Archivi autore: Paolo Dal Checco

Informazioni su Paolo Dal Checco

Consulente Informatico Forense specializzato in Perizie Informatiche e Consulenze Tecniche di Parte e d'Ufficio per privati, avvocati, aziende, Tribunali e Procure.

Who unlocked the San Bernardino iPhone?

Yesterday, Monday, March 28, 2016 the US Government issued the report where they say they successfully unlock the PIN code of Farook’s iPhone, seized after the San Bernardino attack. The message says that “the government has now successfully accessed the data stored on Farook’s iPhone and therefore no longer requires the assistance from Apple Inc.”.

Such news was anticipated a few days ago by another official document where the US Government said that an “outside party” demonstrated to the FBI a possible method for unlocking Farook’s iPhone and that testing was required to determine whether that would be a viable method that will not compromise data on the phone.

After the public statement of march 22 about someone being able to unlock the iPhone without Apple’s support, rumours said that the “outside party” might be the Israeli firm Cellebrite, which provide mobile forensics services and software, but today, after the successful data extraction report, voices were not confirmed but sometimes even denied.

Doing some OSINT, Open Source Intelligence, on public information we can read something quite interesting: the Federal Procurement Data System reports that on march 21 (the same day as the “outside party” possibility of unlocking the iPhone public report) FBI issued a purchase order for about $15.000 to Cellebrite for “INFORMATION TECHNOLOGY SOFTWARE” [WBM]. The purchase order was noticed by researchers and published on Twitter.

DJF161200P0004424 Cellebrite FBI Purchase Order

Award ID (Mod#):
DJF161200P0004424 ( 0 ) (View) Award Type: PURCHASE ORDER
Vendor Name: CELLEBRITE USA CORP Contracting Agency: FEDERAL BUREAU OF INVESTIGATION
Date Signed: March 21, 2016 Action Obligation: $15,278.02
Referenced IDV: Contracting Office: DEPT OF JUST/FEDERAL BUREAU OF INVESTIGATION
NAICS (Code): RADIO AND TELEVISION BROADCASTING AND WIRELESS COMMUNICATIONS EQUIPMENT MANUFACTURING ( 334220 ) PSC (Code): INFORMATION TECHNOLOGY SOFTWARE ( 7030 )
Vendor City: PARSIPPANY Vendor DUNS: 033095568
Vendor State: NJ Vendor ZIP: 070544413
Global Vendor Name: CELLEBRITE USA CORP Global DUNS Number: 033095568

The news was not considered as a proof, even if the coincidence is weird, since FBI issued many purchase orders to Cellebrite during past years and since the “7030” code “INFORMATION TECHNOLOGY SOFTWARE” might be related to software supply.

What’s more relevant is that some Open Source Intelligence can show that the above is not the last purchase order issued on March. Yesterday, Monday, March 28th, FBI purchased from Cellebrite $218.000 of “INFORMATION TECHNOLOGY SUPPLIES”  [WBM].

DJF161200G0004569 Cellebrite FBI Purchase Order

Award ID (Mod#):
DJF161200G0004569 ( 0 ) (View) Award Type: PURCHASE ORDER
Vendor Name: CELLEBRITE USA CORP Contracting Agency: FEDERAL BUREAU OF INVESTIGATION
Date Signed: March 28, 2016 Action Obligation: $218,004.85
Referenced IDV: Contracting Office: DEPT OF JUST/FEDERAL BUREAU OF INVESTIGATION
NAICS (Code): RADIO AND TELEVISION BROADCASTING AND WIRELESS COMMUNICATIONS EQUIPMENT MANUFACTURING ( 334220 ) PSC (Code): INFORMATION TECHNOLOGY SUPPLIES ( 7045 )
Vendor City: PARSIPPANY Vendor DUNS: 033095568
Vendor State: NJ Vendor ZIP: 070544413
Global Vendor Name: CELLEBRITE USA CORP Global DUNS Number: 033095568

It might be a simple coincidence, but if we issue the query  <<CONTRACTING_AGENCY_NAME:”FEDERAL BUREAU OF INVESTIGATION” VENDOR_FULL_NAME:”CELLEBRITE USA CORP>> on the FPDS search engine, in the EZ Search section, we can see and download the full history of purchase orders issued by “FEDERAL BUREAU OF INVESTIGATION” to “CELLEBRITE USA CORP” [WBM]. We can observe that since September 2009 Cellebrite was given 187 purchase orders, but the purchase order issued yesterday, with ID “DJF161200G0004569”, is rather unique in that:

  • it’s the only one with an action obligation of more than $ 200.000 issued with “CELLEBRITE USA CORP” (the average for purchase orders is about  $11.000);
  • it’s the only one with the “INFORMATION TECHNOLOGY SUPPLIES” description and PSC type “7045”;
  • it was issued yesterday, when the US Government published a note informing that the San Bernardino iPhone was successfully unlocked and data was successfully accessed, presumably by an “outside party” as they said in the previous note.

In conclusion, we don’t know if Cellebrite was involved in San Bernardino iPhone PIN unlocking, we know that Cellebrite is able to unlock iPhons up to iOS 7 and iOS8 with 32bit processors and on iPhone 4s/5/5c, iPad 2/3/4, iPad Mini 1 and… the coincidence of yesterday’s purchase order is rather weird.

Chi ha sbloccato l’iPhone di San Bernardino?

Di ieri lunedì 28 marzo 2016 la dichiarazione con la quale il Governo USA comunica di aver sbloccato con successo l’iPhone di Syed Farook, sequestrato dopo la strage di San Bernardino. La notizia non giunge inaspettata, dato che in un’altra dichiarazione ufficiale pochi giorni fa il Governo USA aveva dichiarato che una “outside party” poteva essere in grado di trovare il PIN del dispositivo. Nel comunicato si legge che “il Governo ha avuto accesso ai dati memorizzati nell’iPhone di Farook e quindi non vi è più la necessità di richiedere assistenza da parte di Apple, come inizialmente formulato in data 16 febbraio.

Dopo la comunicazione del 22 marzo circa la possibilità di sbloccare l’iPhone senza l’aiuto di Apple, giravano voci che la “outside party” fosse l’israeliana Cellebrite, fornitori di software e servizi di mobile forensics, e oggi, dopo il comunicato della riuscita dell’operazione, rimane il mistero e si leggono persino smentite.

Facendo un po’ di OSINT, intelligence sulle fonti aperte, è possibile però rilevare un dato interessante: consultando il sito pubblico del Federal Procurement Data System (una sorta di portale delle Spese di Giustizia che riporta i dati di fornitori, bandi, importi minimi pattuiti, etc…) emerge come proprio il 21 marzo (data della comunicazione di un potenziale “outside party”) l’FBI abbia ha immesso un ordine di acquisto di circa $15.000 nei confronti di Cellebrite per “INFORMATION TECHNOLOGY SOFTWARE” [WBM], cosa che su Twitter aveva già destato l’attenzione di alcuni osservatori.

DJF161200P0004424 Cellebrite FBI Purchase Order

Award ID (Mod#):
DJF161200P0004424 ( 0 ) (View) Award Type: PURCHASE ORDER
Vendor Name: CELLEBRITE USA CORP Contracting Agency: FEDERAL BUREAU OF INVESTIGATION
Date Signed: March 21, 2016 Action Obligation: $15,278.02
Referenced IDV: Contracting Office: DEPT OF JUST/FEDERAL BUREAU OF INVESTIGATION
NAICS (Code): RADIO AND TELEVISION BROADCASTING AND WIRELESS COMMUNICATIONS EQUIPMENT MANUFACTURING ( 334220 ) PSC (Code): INFORMATION TECHNOLOGY SOFTWARE ( 7030 )
Vendor City: PARSIPPANY Vendor DUNS: 033095568
Vendor State: NJ Vendor ZIP: 070544413
Global Vendor Name: CELLEBRITE USA CORP Global DUNS Number: 033095568

La cosa è passata in secondo piano, visto il grande numero di commesse che l’FBI affida a Cellebrite, anche se in realtà quella è soltanto la quarta del 2016. Il codice 7030 “INFORMATION TECHNOLOGY SOFTWARE” potrebbe infatti essere relativo all’acquisto di software, anche se la data in cui è stata effettuata tale spesa è certamente curiosa.

Ciò che invece risulta più rilevante facendo una ricerca tramite Open Source Intelligence è che quella commessa non è l’ultima: proprio ieri, lunedì 28 marzo 2016, l’FBI ha acquistato da Cellebrite servizi di “INFORMATION TECHNOLOGY SUPPLIES” per un totale di circa $218.000 [WBM].

DJF161200G0004569 Cellebrite FBI Purchase Order

Award ID (Mod#):
DJF161200G0004569 ( 0 ) (View) Award Type: PURCHASE ORDER
Vendor Name: CELLEBRITE USA CORP Contracting Agency: FEDERAL BUREAU OF INVESTIGATION
Date Signed: March 28, 2016 Action Obligation: $218,004.85
Referenced IDV: Contracting Office: DEPT OF JUST/FEDERAL BUREAU OF INVESTIGATION
NAICS (Code): RADIO AND TELEVISION BROADCASTING AND WIRELESS COMMUNICATIONS EQUIPMENT MANUFACTURING ( 334220 ) PSC (Code): INFORMATION TECHNOLOGY SUPPLIES ( 7045 )
Vendor City: PARSIPPANY Vendor DUNS: 033095568
Vendor State: NJ Vendor ZIP: 070544413
Global Vendor Name: CELLEBRITE USA CORP Global DUNS Number: 033095568

Ora questa potrebbe certamente essere una coincidenza o un semplice “rinnovo licenze” come riporta il dettaglio della spesa, ma se eseguiamo sul portale FPDS nella sezione EZ Search la query <<CONTRACTING_AGENCY_NAME:”FEDERAL BUREAU OF INVESTIGATION” VENDOR_FULL_NAME:”CELLEBRITE USA CORP>>, che ci mostra l’estrapolazione dal database dello storico di tutti ordini immessi dall’FBI verso la società Cellebrite USA Corp [WBM], notiamo come dal settembre 2009 siano stati commissionati alla Cellebrite ben 187 incarichi, per diverse centinaia di migliaia di dollari, ma l’incarico di ieri con codice “DJF161200G0004569” ha alcune caratteristiche peculiari:

  • è l’unico con un importo di quasi i $ 220.000 stipulato con “CELLEBRITE USA CORP” (la media di tutti gli altri incarichi è di circa $11.000);
  • l’unico con la descrizione “INFORMATION TECHNOLOGY SUPPLIES” mentre la tipologia PSC “7045” viene associata per gli altri ordini, a “ADP SUPPLIES” (anche se nella descrizione interna che si ottiene cliccando su “View” nella pagina del purchase order è stato inserito  “Cellebrite Renewal” come “Description of Requirement”, ma si consideri che l’ordine DJF151800P0001960 dell’anno precedente per “renewal of 5 Cellebrite UFED software licenses” per lo stesso distretto è costato $15.000);
  • è stato stipulato proprio ieri, giorno in cui il Governo USA ha dichiarato di aver sbloccato l’iPhone di San Bernardino precisando nel comunicato precedente che a farlo sarebbe stata una “outside party“.

In conclusione, non sappiamo se sia stata la società israeliana Cellebrite a sbloccare il PIN dell’iPhone di San Bernardino, sappiamo che Cellebrite è in grado di farlo con iPhone con iOS 7 e iOS 8 e processore a 32bit su iPhone 4s/5/5c, iPad 2/3/4, iPad Mini 1 e… certamente la coincidenza della spesa di ieri pubblicata sul database FPDS è notevole.

Corso OSINT e SOCMINT a Torino

Giovedì 17 marzo 2016 si terrà a Torino il Corso OSINT sulle fonti aperte e giornalismo investigativo. Il corso su Open Source Intelligence (seguito il 18 marzo dal Corso SOCMINT) durerà una giornata, io aprirò il corso e poi lascerò la parola a Leonida Reitano, esperto di giornalismo investigativo e autore del primo manuale italiano di Open Source Intelligence “Esplorare Internet. Manuale di investigazioni digitali e Open Source Intelligence”. L’amico Leonida tiene con cadenza quasi mensile Corsi di OSINT e SOCMINT a Roma, Milano e diverse città d’Italia tramite la sua Associazione  Giornalismo Investigativo e ha accettato di collaborare con lo Studio per realizzare questo corso.

Il Corso di Open Source Intelligence tenuto tratterà di Dns tools, Domain name intelligence, Google base e avanzato, Bing base e avanzato, Motori di ricerca regionali, Motori di ricerca settoriali, Geolocalizzazione e tracking di individui online, Analisi dei metadati delle mail, IP tracking, IP bait, IP geolocation, Analisi dei metadati con FOCA con esercizi pratici su attività di ricerca OSINT e giornalismo investigativo.

Corso SOCMINTIl giorno dopo, venerdì 18 marzo 2016 si terrà sempre a Torino il Corso SOCMINT (Social Media Intelligence) sulle attività d’intelligence sui social network. Il corso su Social Media Intelligence durerà una giornata e sarà anch’esso tenuto da Leonida Reitano, esperto di analisi delle fonti aperte e investigazioni digitali.

Il corso di Social Media Intelligence, che si terrà a Torino tratterà di Ricerche avanzate con Facebook, Google queries per ricerca su Facebook, Reverse email search, Facebook Graph, Analisi reputazionale di individui via SOCMINT, People search engine e scansione profili social, Profilazione e geolocalizzazione utenti twitter, Analisi Linkedin ricerca base e avanzata.

Per informazioni sul costo, date, orari, prenotazioni per il Corso OSINT e il Corso SOCMINT a Torino, per l’edizione in corso o quelle future, si prega di contattare lo Studio utilizzando i recapiti indicati nella pagina contatti.

L’FBI chiede ad Apple sblocco PIN iPhone

Sblocco PIN dell'iPhone Apple su richiesta dell'FBIQuesta mattina un Giudice Federale ha intimato ad Apple di soddisfare le richieste dell’FBI finalizzate allo sblocco del PIN impostato sull’iPhone 5C sequestrato dopo la strage di San Bernardino. Apple ha risposto poco dopo che – pur comprendendone le ragioni investigative e potendolo tecnicamente fare – non ha nessuna intenzione di supportare l’FBI nello sblocco dell’iPhone. Continua a leggere

Bitcoin e Cash Out al Ministero del Tesoro

GIPAF presso il Ministero dell'Economia e delle FinanzeGiovedì 17 dicembre 2015 si è riunito a Roma, presso il Ministero dell’Economia e delle Finanze (MEF), il Gruppo di Lavoro Interdisciplinare per la Prevenzione Amministrativa delle Frodi sulle Carte di Pagamento (GIPAF). Il gruppo opera presso il Dipartimento del Tesoro, nell’ambito delle competenze dell’Ufficio Centrale Antifrode dei Mezzi di Pagamento (UCAMP) e vi partecipano esperti nel settore delle frodi, designati dalle Amministrazioni statali, dalla Banca d’Italia, dall’ABI, dalle Forze di Polizia, dalle società segnalanti, nonché esperti provenienti dal mondo accademico e scientifico.

Nella Sala del Parlamentino del palazzo di via XX Settembre il Dott. Giuseppe Maresca, dirigente generale della Direzione V – Prevenzione Utilizzo Sistema Finanziario per Fini Illegali,  ha introdotto i lavori accennando tra le altre cose al fenomeno del Bitcoin e della blockchain, sollevando alcune osservazioni sulle strategie investigative da impiegare nel mondo delle criptovalute.

Il tavolo di lavoro si è quindi aperto con la presentazione del Rapporto Statistico sulle frodi con le carte di pagamento n. 5/2015, da parte del Dott. Antonio Adinolfi e del Dott. Stefano Grossi dell’Ufficio Centrale Antifrode dei Mezzi di Pagamento (UCAMP). ll Rapporto annuale analizza sotto diversi aspetti i fenomeni delle frodi su carte di pagamento emesse in Italia, le manomissioni agli ATM e le revoche delle convenzioni dei POS e per la prima volta nel rapporto del 2015 vi sono interessanti approfondimenti sui black market e il Bitcoin.

Analisi dei Black Market di Pierluigi PaganiniDopo la presentazione del Rapporto Statistico sulle Frodi l’Ing. Pierluigi Paganini ha illustrato la sua relazione sulle Carte di Pagamento nel Deep Web, contenente un’ottima analisi dei principali black market nel dark web e del tipo di attività e prodotti illegali proposte al loro interno. L’Ing. Pierluigi Paganini ha analizzato black market come Abraxas, Agora, AlphaBay, Nucleus, Outlaw, Italian DarkNet Community, Dream Market, Haven e Middle Earth raccogliendo statistiche sulle categorie merceologiche nei vari siti onion di Tor.

Bitcoin e Cash OutA seguire è stato il turno dell’intervento congiunto tenuto insieme al Dott. Stefano Capaccioli su Bitcoin e Cash Out. Il Bitcoin è un fenomeno certamente rilevante per le implicazioni sull’anonimato (in realtà pseudo-anonimato) che lo rendono uno dei mezzi di pagamento utilizzati nel dark web. Il cerchio dell’acquisto/vendita o riciclaggio si chiude con il cash out, cioè la conversione dei bitcoin in moneta fiat come Euro o Dollaro.

Bitcoin Forensics al GIPAFLa prima parte della presentazione ha riguardato gli aspetti tecnici e Investigativi del Bitcoin, che includono la bitcoin forensics e intelligence le analisi sui sistemi di conversione dei bitcoin in moneta fiat. La seconda parteha riguardato gli aspetti giuridici e legislativi delle criptovalute toccando questioni come la definizione giuridica del Bitcoin, gli unbanked, i reati commessi mediante il Bitcoin, riciclaggio e antiriciclaggio, normative e Anti Money Laundering (AML).

Il Dott. Marco Mastrorillo ha quindi presentato un aggiornamento delle tabelle tipologiche SIPAF, seguito dal Col. Federico Romi che ha parlato delle Carte di Pagamento nello scenario internazionale di criminalità e terrorismo. Il Dott. Antonio Adinolfi ha quindi chiuso la sessione di lavoro.

L’interesse nella sala è stato elevato, indice di sensibilità da parte del Gruppo di Lavoro al tema bitcoin e alle sue implicazioni economiche e investigative. Sull’argomento sono state sollevate alcune interessanti domande, in particolare circa le problematiche legate al sequestro e confisca dei bitcoin, argomento sul quale sarà necessario lavorare dal punto di vista tecnico e giuridico.

Sia io sia il Dott .Stefano Capaccioli siamo profondamente grati al Dott. Antonio Adinolfi (dirigente dell’Ufficio VI della Direzione V), al Colonnello Federico Romi, al Dott. Marco Mastrorillo e al Dott. Riccardo Valenza (Segretario del GIPAF) per l’opportunità concessa e l’attenzione prestata.