Wyciekłe pliki pokazują, jak wygląda raport z ekstrakcji telefonu Cellebrite
On 27 października, 2021 by admin
(Image: file photo)
Na początku tego roku otrzymaliśmy serię dużych, zaszyfrowanych plików rzekomo należących do amerykańskiego departamentu policji w wyniku wycieku w firmie prawniczej, która w sposób niezabezpieczony synchronizowała swoje systemy kopii zapasowych przez internet bez hasła.
Wśród plików była seria zrzutów telefonicznych stworzonych przez departament policji za pomocą specjalistycznego sprzętu, który został stworzony przez Cellebrite, izraelską firmę, która zapewnia technologię phone-cracking.
Cyfrowa firma kryminalistyczna specjalizuje się w pomaganiu policji w wyłapywaniu złych facetów za pomocą całego wachlarza technologii. Strzeliła do sławy wcześniej w tym roku, kiedy to został błędnie przypięty jako firma, która pomogła odblokować iPhone’a strzelca z San Bernardino, ten sam telefon, który uwikłał Apple w prawnym brouhaha z FBI.
To nie znaczy, że Cellebrite nie mógł pomóc.
Praca Cellebrite jest w dużej mierze tajne, a firma balansuje na cienkiej linii między ujawniając swoje możliwości do bębna do biznesu i zapewnienie, że tylko „dobrych facetów” mają dostęp do swojej technologii.
Mówi się, że policja USA wydała miliony na tego rodzaju technologii łamania telefonu. I nie jest to zaskakujące, ponieważ Cellebrite osiąga wyniki.
Firma kryminalistyczna twierdzi, że może pobrać prawie każdy strzęp danych z prawie każdego urządzenia w imieniu policyjnych agencji wywiadowczych w ponad stu krajach. Robi to poprzez przejęcie telefonu od policji, podłączenie go i wyodrębnienie wiadomości, połączeń telefonicznych, poczty głosowej, obrazów i innych danych z urządzenia przy użyciu własnej zastrzeżonej technologii.
Następnie generuje raport ekstrakcji, umożliwiając śledczym sprawdzenie na pierwszy rzut oka, gdzie dana osoba była, z kim rozmawiała i kiedy.
Uzyskaliśmy wiele z tych tak zwanych raportów ekstrakcji.
Jeden z ciekawszych raportów pochodził z iPhone’a 5 z systemem iOS 8. Właściciel telefonu nie używał kodu dostępu, co oznaczało, że telefon był całkowicie niezaszyfrowany.
Oto wszystko, co było przechowywane na tym telefonie iPhone 5, w tym niektóre usunięte treści.
(iOS 8 firmy Apple był pierwszą wersją oprogramowania dla iPhone’a wyposażoną w szyfrowanie oparte na kodzie dostępu. To byłoby na tyle, aby udaremnić przeciętnego złodzieja telefonu, ale może nie utrudniać niektórych crackerów telefonicznych z odpowiedniego sprzętu. Cellebrite mówi, że nie może złamać kody na iPhone 4s i później. iPhone 5s telefony i później pochodzą z bezpiecznego enklawy co-procesor na iPhone 5s 'głównego układu procesora, który sprawia, że phone-cracking znacznie trudniejsze.)
Telefon został podłączony do urządzenia Cellebrite UFED, który w tym przypadku był dedykowany komputer w departamencie policji. Policjant przeprowadził logiczną ekstrakcję, która pobiera to, co jest w pamięci telefonu w danym momencie. (Motherboard ma więcej o tym, jak Cellebrite’s proces ekstrakcji działa.)
W niektórych przypadkach, to również zawierał dane użytkownik miał recently deleted.
Do naszej wiedzy, istnieje kilka przykładowych raportów tam pływających w sieci, ale to rzadko, aby zobaczyć rzeczywisty przykład, jak wiele danych może być siphoned off z dość nowoczesnego urządzenia.
Publikujemy kilka fragmentów raportu, z usuniętymi informacjami wrażliwymi lub umożliwiającymi identyfikację.
Okładka: pierwsza strona raportu zawiera numer sprawy, nazwisko egzaminatora i wydział. Zawiera również unikatowe informacje identyfikujące urządzenie.
Informacje o urządzeniu:
Informacje o urządzeniu: Raport zawiera szczegółowe informacje o tym, do kogo należy telefon, w tym numer telefonu, zarejestrowany identyfikator Apple ID i unikatowe identyfikatory, takie jak numer IMEI urządzenia.
Wtyczki oprogramowania do ekstrakcji:
Wtyczki: Ta część opisuje, jak działa oprogramowanie i co robi. Obejmuje ono ekstrakcję metadanych Quicktime i generowanie analiz. Oprogramowanie może również porównywać dane z urządzenia w celu tworzenia profili kontaktów, wiadomości SMS i innych rodzajów komunikacji.
Lokalizacje:
Lokalizacje: oprogramowanie do ekstrakcji rejestruje geolokalizację każdego wykonanego zdjęcia i wizualizuje je na mapie, umożliwiając śledczym sprawdzenie, gdzie i kiedy był właściciel telefonu.
Wiadomości:
Wiadomości: W tym widoku „rozmowy” śledczy może zobaczyć wszystkie wiadomości tekstowe w porządku chronologicznym, co pozwala dokładnie sprawdzić, co zostało powiedziane w określonym przedziale czasu.
Konta użytkowników:
Konta użytkowników: ta część ujawnia konta użytkowników właściciela telefonu, w zależności od tego, ile aplikacji jest zainstalowanych. W tym przypadku zebrano tylko nazwę użytkownika i hasło do Instagrama.
Sieci bezprzewodowe:
Sieci bezprzewodowe: oprogramowanie do ekstrakcji pobierze listę wszystkich sieci bezprzewodowych, z którymi łączył się telefon, w tym ich typ szyfrowania i adres MAC routera sieci oraz kiedy telefon ostatnio łączył się z siecią.
Raport połączeń:
Raport połączeń: Raport zawiera pełną listę rekordów połączeń, w tym rodzaj połączenia (przychodzące lub wychodzące), godzinę, datę i numer telefonu połączenia oraz czas trwania połączenia. Tego typu informacje są bardzo przydatne w przypadku zbierania ich przez agencje wywiadowcze.
Kontakty:
Kontakty: Kontakty w telefonie są odkurzane przez oprogramowanie do ekstrakcji, w tym nazwiska, numery telefonów i inne informacje kontaktowe, takie jak adresy e-mail. Nawet usunięta zawartość może nadal być gromadzona.
Zainstalowane aplikacje:
Zainstalowane aplikacje: Wszystkie zainstalowane aplikacje, ich wersja i ustawienia uprawnień są rejestrowane przez oprogramowanie do ekstrakcji.
Notatki:
Notatki: Wszelkie dane zapisane w aplikacji Notatki są również pobierane. Tutaj zredagowaliśmy to, co wydaje się być informacjami o koncie bankowym.
Poczta głosowa:
Poczta głosowa: wiadomości głosowe przechowywane w telefonie są pobierane jako pliki audio. Zawierają one również numer telefonu osoby, która zostawiła wiadomość głosową, oraz czas jej trwania.
Konfiguracje i bazy danych
Konfiguracje i bazy danych: listy właściwości („plist”) przechowują dane aplikacji w telefonach iPhone. Te pojedyncze pliki zawierają mnóstwo informacji, takich jak konfiguracje, ustawienia, opcje i inne pliki pamięci podręcznej.
Analiza aktywności:
Analiza aktywności: dla każdego numeru telefonu silnik analityczny oblicza, ile powiązanych działań miało miejsce, takich jak wiadomości tekstowe lub połączenia.
.
Dodaj komentarz