Venerdì 10 maggio 2019 dalle ore 11:30 alle 13:00 si terrà a Torino la Sessione di Studio con approfondimento sulle attività di perizia informatica e indagine digitale su smartphone e cellulari, dal titolo “Dammi il tuo smartphone e ti dirò chi sei…”. Il seminario si terrà presso il Collegio Universitario Renato Einaudi – Sezione Crocetta – in Corso Lione 24, a Torino.
L’amico Mattia Epifani ci parlerà della storia della mobile forensics e di come si è evoluta fino ai giorni nostri, raggiungendo livelli di complessità notevoli dovuti al sempre più presente cloud, cifratura e protezioni da parte dei produttori che rendono difficile talvolta accedere ai dati delle applicazioni. Mattia Epifani mostrerà come è facile, su alcuni dispositivi, sbloccare la protezione del pin o della password di accesso e entrare nello smartphone potendone visionare e acquisire i contenuti nella loro interezza.
Il mio intervento verterà su alcuni esempi pratici di acquisizione di smartphone Android e iPhone tramite strumentazione open source, che seppur in modo limitato permette di raggiungere un buon livello di completezza e correttezza in termini informatica forense e livello di dettaglio. Mostrerò come è possibile, ad esempio, acquisire in maniera forense chat Whatsapp cifrate e decifrarle successivamente estraendo poi i messaggi o le conversazioni d’interesse, il tutto utilizzando strumenti gratuiti e open source come la live distro Tsurugi Linux per informatica forense.
Verranno infine presentate alternative alla mobile forensics tradizionale, come chip off, jtag, strumenti di sblocco di pin e password come Grayshift e CAS della società Cellebrite con approfondimenti sulle analisi di chat, social network e cloud.
In questi giorni sta impazzando sui social il servizio “Sarahah”, disponibile sia via web sia tramite App per Android e iOS, che permette a chiunque iscriversi e ricevere messaggi anonimi. In questo articolo analizzeremo alcune potenzialità della “sarahah forensics”, cioè dell’analisi tecnica forense dell’App Sarahah su iPhone e Android e del sito web da cui inviare messaggi o su cui leggere i messaggi anonimi ricevuti dagli sconosciuti.
Circa un anno fa la società israeliana Cellebrite – produttrice di uno dei software maggiormente utilizzato in ambito di mobile forensics – ha annunciato lo sviluppo di textalizer, un’applicazione che permetterà alle Forze dell’Ordine di verificare se un cellulare è stato utilizzato di recente per inviare o ricevere SMS o messaggi di chat come Whatsapp o Telegram.
L’idea è quella di affiancare i test della percentuale di alcool nel sangue tramite etilometro con quelli di utilizzo del cellulare, a seguito d’incidenti stradali o preventivamente, con controlli a campione da parte della Polizia Stradale. Così come l’etilometro misura la percentuale di alcool nel sangue, il “textometro” (non esiste ancora traduzione ufficiale) misura l’attività del cellulare negli ultimi minuti, in particolare relativamente all’utilizzo di strumenti di chat, invio o ricezione messaggi di testo SMS. In caso d’incidente, quindi, le Forze dell’Ordine sono così in grado di valutare le condizioni degli autisti anche in merito a eventuale utilizzo di cellulare alla guida, non soltanto per telefonate ma anche per scrivere o leggere messaggi di testo.
Lo strumento non è una novità, Cellebrite fornisce da anni UFED, un tool di mobile forensics che permette acquisizioni forensi certificate di cellulari, smartphone e tablet con il quale gli investigatori sono già in grado di esaminare l’utilizzo del cellulare. In genere, però, UFED viene utilizzato in laboratorio e l’acquisizione non è immediata, cos’ come la reportistica, che richiede talvolta ore di elaborazione. E’ già quindi possibile valutare – nell’ambito di perizie informatiche su cellulari – l’eventuale utilizzo dello smartphone del guidatore a seguito d’incidenti stradali, utilizzando appunto UFED per estrazione dati e ricostruzione di timeline e poi analizzando manualmente i log degli applicativi di messaggistica come Whatsapp, Telegram o Signal o degli strumenti d’invio e ricezione SMS presenti negli smartphone, siano essi Android (Samsung, HTC, Motorola, Sony, etc…) o iOS (Apple). Lo strumento textalizer però velocizzerà queste analisi rendendole possibile sul campo direttamente da parte degli Operatori e rendendo meno intrusiva la fase di acquisizione forense: Cellebrite infatti dichiara che il tool non acquisisce o mostra dati personali degli utenti, immagini o contenuto dei messaggi, essendo appunto soltanto finalizzato a verificare l’utilizzo del dispositivo nei minuti precedenti l’incidente o il controllo da parte della Polizia Stradale.
In diverse città americane le autorità stanno puntando verso l’inserimento del controllo del cellulare in caso d’incidente e durante le fermate ai posti di blocco, insieme all’etilometro, proprio per disincentivare l’utilizzo degli smartphone durante la guida e poter verificare eventuali responsabilità durante gli incidenti stradali. Chicago si è già portata avanti ma anche a New York e in Tennessee le Autorità stanno lavorando per conferire agli Organi di Controllo il potere di controllare i cellulari dei guidatori anche durante i normali interventi di verifica a campione. I guidatori avranno la possibilità di rifiutare di consegnare il proprio telefonino ma rischieranno, così come già avviene per gli alcohol test, di vedersi ritirare la patente o incorrere in sanzioni pecuniarie.
Ovviamente questa novità non ha nulla a che fare con il messaggio Whatsapp che sta circolando in questi giorni in Italia e che cita:
Vi comunico che a partire da maggio entrerà in vigore il nuovo codice della strada. Oggi e stato approvato l’articolo più pesante ed era anche giusto. Cioè vi spiego chiunque verrà sorpreso alla guida del veicolo anche se è fermo ai semafori o agli stop con il cellulare o altri apparecchi. La sanzione e la seguente, ritiro della patente immediata e la multa parte da 180 euro fino a 680 euro. Quindi state molto attenti organizzativi con i viva voce. Credo sia utile diffondere. Buongiorno.
Il messaggio è impreciso, anche se è confermato che già a maggio potrebbe essere inserita una modifica al Codice della Strada tramite un decreto, in attesa che riparta l’iter legislativo del nuovo Codice, che introdurrebbe la sospensione della patente (mentre oggi si paga la multa e si perdono 5 punti) per un mese già la prima volta che si viene sorpresi alla guida mentre si sta utilizzando lo smartphone.
Certamente uno strumento come Textalyzer, di Cellebrite, per verificare e dimostrare l’utilizzo del dispositivo durante la guida potrebbe tornare utile anche per rafforzare il rispetto del Codice della Strada ed evitare contestazioni o ricorsi.
Con un tweet, il responsabile della ricerca in ambito forense della società israeliana Cellebrite, Shahar Tal, ha annunciato pubblicamente [WBM] che Cellebrite è in grado di trovare il PIN dagli smartphone Apple iPhone 5S, 6 e 6+ e sbloccarli, cosa che fino a qualche giorno fa sembrava possibile soltanto con gli iPhone 4S, 5 e 5C.
Tutti ricorderanno il caso dello sblocco dell’iPhone 5C di San Bernardino richiesto dall’FBI del 2016 e la notizia della settimana scorsa dell’iPhone 5S di Tiziana Cantone sbloccato su richiesta dalla Procura di Napoli, il primo risolto grazie a una società esterna di cui non è mai stato confermato il nome ma che in tanti ritengono essere l’israeliana Cellebrite, mentre per il secondo – avvenuto per coincidenza pochi giorni prima il comunicato di Cellebrite – non ci sono ancora conferme ufficiali né sul metodo utilizzato né sugli autori per quanto sui giornali si parla di una collaborazione tra i Carabinieri di Napoli e l’Ing. Carmine Testa [WBM] senza cenni a interventi esterni.
Le informazioni presenti sul sito web della Cellebrite, incluse le pagine relative al servizio CAIS tramite il quale l’Autorità Giudiziaria può richiedere il servizio di sblocco PIN presso i laboratori Cellebrite a Israele o Monaco, non sono ancora state aggiornate ma ormai la nuova funzionalità del servizio sembra confermata anche dalle domande che diversi utenti hanno posto a Shahar sul suo profilo twitter. Messaggi di complimenti, come il “congrats on the new capability” cui Shahar Tal risponde con un “Who said anything about ‘new’?” lasciando persino trapelare come la funzionalità di sblocco dei nuovi iPhone non sia una novità per la società israeliana.
Fino a pochi giorni fa infatti il servizio CAIS (Cellebrite Advanced Investigative Services) che permette di trovare il PIN dei dispositivi iOS (iPhone, iPad) a 32 bit e 64bit e Android per sbloccarli ed acquisire copia forense veniva offerto soltanto per i seguenti dispositivi:
Samsung Galaxy S6, Galaxy Note 5 e Galaxy S7 con tutte le versioni Android versions fino a e inclusa la Android Marshmallow 6.0.1
Per chi non la conosce, Cellebrite è una delle società leader in campo di mobile forensics, che fornisce il prodotto UFED utilizzato quotidianamente dai consulenti informatici forensi che eseguono perizie su cellulari e smartphone. La funzionalità di sblocco PIN da alcuni cellulari e smartphone era in parte già realtà grazie agli strumenti in dotazione a diversi studi di Informatica Forense, quali il Cellebrite UFED, il Micro Systemation XRY, l’Oxygen Forensics o l’IPBOX ma soltanto per alcune versioni di Android e per le vecchie versioni di iOS (iOS 7 e in parte iOS 8). Per gli iPhone con versione del Sistema Operativo iOS 7 è persino possibile lo sblocco pin quando il dispositivo è disabilitato e richiede di connettersi a iTunes per ripristinare il cellulare.
Le versioni successive di iOS (quindi tutti gli iPhone inclusi quelli con processore a 64bit) non sono supportate da nessuno di questi tool e quindi il servizio di sblocco PIN e password da cellulare fornito da Cellebrite diventa strategico in caso di perizia tecnica informatica su dispositivi mobili in ambito giudiziario, considerando però che la momento non supporta ancora i dispositivi con processore A9 come iPhone 6s, iPhone 6s plus e iPhone 7 e non è compatibile con smartphone con processore A10 Fusion come l’iPhone 7 e iPhone 7 Plus.
Cellebrite deve essere infatti riuscita a superare le protezioni impose dal meccanismo di secure enclave, che come descrive Apple a pagina 12 della sua Guida Ufficiale sulla Sicurezza dei Dispositivi iOS [WBM] comanda i ritardi dell’inserimento del PIN lock sui dispositivi con processore A7 o successivi. Secure Enclave impone infatti i seguenti ritardi tra i tentativi di inserimento del codice: da 1 a 4 tentativi nessun ritardo, al quinto tentativo 1 minuto di ritardo, al sesto 5 minuti, al settimo e ottavo 15 minuti, al nono 1 ora. Un ulteriore tentativo errato d’inserimento PIN porta l’iPhone nello stato di disabled, disabilitato, oppure ne avvia il ripristino se “Impostazioni > Touch ID e codice > Inizializza dati” è attivato.
In base alle informazioni presenti in rete, il servizio CAIS di sblocco PIN e password di iPhone e Android possiede le seguenti caratteristiche e limitazioni:
il servizio può essere richiesto solamente dall’Autorità Giudiziaria, in ambito d’indagini per processi penali o civili;
l’operazione di PIN unlock costa circa 1.500 dollari;
l’unlock del PIN non supporta ancora i dispositivi con processore A9 come iPhone 6s, iPhone 6s plus e iPhone 7 né quelli con processore A10 Fusion come l’iPhone 7 e iPhone 7 Plus
il servizio di sblocco viene offerto soltanto presso le sedi Cellebrite, è quindi necessario portare di persona lo smartphone da loro o spedirlo;
non è possibile assistere all’operazione di sblocco del PIN o della password del dispositivo;
al termine dell’attività tecnica viene fornito al committente il codice PIN con il quale il cellulare è bloccato.
Si partirà dalle indagini sulla blockchain per giungere alla blockchain intelligence tramite clustering dei wallet. Il raggruppamento degli indirizzi bitcoin in wallet è infatti uno dei principali strumenti per la deanonimizzazione degli indirizzi bitcoin e il tracciamento delle transazioni. Verranno presentati i vari metodi utilizzati dai software e dai servizi di clustering e de-anonymization come i commerciali Neutrino, Elliptic, Chainalyis, Blockseer, Scorechain, Skry, Blockchaingroup, Sabr ma anche i gratuiti Bit Cluster e Wallet Explorer per raggruppare indirizzi appartenenti allo stesso wallet in un cluster analizzabile e tracciabile.
Allo stesso modo, esiste la possibilità di tracciare indirizzi IP dei client e dei wallet che hanno immesso transazioni firmate sulla rete Bitcoin o di client SPV che – tramite utilizzo del filtro di bloom – interrogano i server della rete per conoscere lo stato degli indirizzi bitcoin posseduti nel wallet. In entrambi i casi, l’attività di network monitoring e forensics può portare a ottimi risultati nel tracciamento e deanonimizzazione di wallet, indirizzi, transazioni.
La presentazione verterà quindi sulle attività di analisi forense e perizia informatica eseguibili sui wallet bitcoin come il Wallet.dat del client Bitcoin QT e i file accessori come Debug.log, Tramite strumentazione apposita è possibile recuperare gli artefatti lasciati dai wallet e identificare indirizzi, transazioni, wallet anche dalle aree non allocate del disco.
Su wallet per dispositivi cellulari e smartphone è poi possibile eseguire attività di mobile forensics ed acquisire i database come breadwallet.sqlite su BreadWallet per iOS o wallettracking.db su Mycelium per Android o per esaminarne il contenuto e ricavare informazioni preziose come indirizzi o transazioni eseguite tramite il wallet.
Qui di seguito riportiamo il programma della Bitcoin Conference ad Hannover:
09.15 Innovation & Trust – Patrick Curry (British Business Federation Authority, UK)
10.00 Virtual Currencies, Privacy and the European Anti Money Laundering Framework – Carolin Kaiser (Rijksuniversiteit Groningen, NL)
10.45 Coffee break
11.15 Crypto Currencies – Prevention of Illegal Use and Deregulation – Thomas Gloe (Dence GmbH, DE)
12.00 Collaborative Discussion – Panel: Patrick Curry (British Business Federation Authority, UK) Carolin Kaiser (Rijksuniversiteit Groningen, NL), Thomas Gloe (Dence GmbH, DE)
12.30 Lunch break
13.30 Bitcoin Intelligence and Forensics – Mattia Epifani (Reality Net – System Solutions, IT) Paolo Dal Checco (Digital Forensics Bureau, IT)
14.15 Bitcoin and Law Enforcement Investigation Matthew Simon (INTERPOL)
15.00 Coffee break
15.30 Deregulation of State Authority and Enforcement Mechanisms Christoph Burchard (Goethe-Universität Frankfurt am Main, DE)
16.15 Bitcoin Opportunities and Challenges for Criminal Investigations Markus Hartmann (Public Prosecutor’s Of ce Cologne, DE)
17.00 Collaborative Discussion – Moderator: Florian Jeßberger (University of Hamburg, DE), Panel: Christoph Burchard (Goethe-Universität Frankfurt am Main, DE) Mattia Epifani (Reality Net – System Solutions, IT), Paolo Dal Checco (Digital Forensics Bureau, IT), Markus Hartmann (Public Prosecutor’s Of ce Cologne, DE) Matthew Simon (INTERPOL)
