Archivi tag: perizie informatiche

HackInBoat - Hacker in Crociera

HackInBoat: cybersecurity e digital forensics in crociera

Si sta ormai avvicinando il momento in cui salperemo per la crociera rivolta a tutti gli appassionati di sicurezza offensiva e informatica forense, organizzata in forma di conferenza/corso itinerante da Mario Anglani, con la collaborazione del Team HackInBo. Partendo da Genova il 2 maggio 2019, navigheremo nel Mediterraneo occidentale con scali a Barcellona e Marsiglia, rientrando a Genova il 5 maggio 2019 con un programma di offensive security e digital forensics che terrà impegnati i partecipanti per due giornate, lasciando il resto dei giorni liberi per godersi il viaggio in nave e intrattenere rapporti sociali con i partecipanti.

HackInBoat - Hacker in Crociera

Il percorso HackInBoat di offensive security – dal nome in codice “Offensive Security 4 n00bs” – vede come docenti Igor “Koba” Falcomatà & Gianfranco Ciotti, entrambi che operano da anni nel campo della sicurezza informatica.

Igor Koba Falcomatà e Gianfranco Ciotti - Offensive Security

Il programma del corso si offensive security di HackInBoat si distribuisce in due giornate, percorrendo i seguenti argomenti:

  • Affinità e divergenze tra: risk assessment, vulnerability assessment, penetration test, red/blue teaming e altre buzzword assortite;
  • Sicurezza di rete: del perché l’evil bit non era poi un’idea così balzana;
  • Pwning for fun & profit: la dura vita del pentester;
  • Sicurezza su mobile: bitterly birds;
  • Sicurezza applicativa: non è tutto web quello che luccica;
  • Famolo strano: IOT? ICS/SCADA?

Il percorso HackInBoat di digital forensics – dal nome in codice “DFIR@HackInBoat” – vede come docenti Paolo dal Checco & Davide “Rebus” Gabrini, entrambi da anni sul campo in attività d’indagine informatica e investigazioni digitali.

Davide Gabrini e Paolo Dal Checco - Digital Forensics

Il programma del corso d’informatica forense di HackInBoat si suddivide in questo modo nelle due giornate di corso:

  • Durante la prima giornata di corso verranno mostrate tecniche di incident response in modalità “live”, tramite strumenti prevalentemente free e open source, mostrando ai discenti come acquisire informazioni circa attività occorse sui sistemi Windows, Mac OS e Linux sfruttando l’immediatezza dell’azione e il fatto che i sistemi sono ancora operativi. Rispetto alle analisi “post mortem” che verranno mostrate durante la seconda giornata, le attività svolte a sistema “vivo” offrono spesso spunti investigativi rilevanti, non solo per l’immediatezza dei risultati ma anche per il fatto che spesso tali risultati non sono ottenibili su un sistema spento.
  • Durante la seconda giornata analizzeremo invece le potenzialità di azione “post mortem” con analisi forensi che partono con la copia forense dei sistemi Windows, Mac OS (con cenni anche a sistemi Android e iOS) eseguita tramite strumentazione/software adeguato e certificata da valori hash e timestamp, proseguendo con le analisi sulle immagini forensi bitstream acquisite. Ponendosi in un contesto di violazione di fedeltà aziendale (il tipico caso di “dipendente infedele” ormai all’ordine del giorno per chi si occupa d’informatica forense e perizie informatiche) si toccheranno temi come carving, analisi del registro, lnk, shellbag e jump list, mft, usnjrnl, logfile, ricostruzione della navigazione sul web, timeline, supertimeline, tutti artefatti spesso essenziali ricostruire ciò che è accaduto su di un sistema.

I posti per partecipare alla crociera più attesa dell’anno sono esauriti il primo giorno in cui sono state aperte le vendite ma c’è ancora la possibilità di registrarsi in lista d’attesa. Per informazioni su prezzi, date e iscrizioni consigliamo di visitare il sito ufficiale di HackInBoat.

Scuola del Difensore Penale presso il Palazzo di Giustizia di Torino

Scuola per la Formazione Tecnica e Deontologica del Difensore Penale

Scuola del Difensore Penale presso il Palazzo di Giustizia di TorinoMartedì 18 settembre 2018, dalle 14:30 alle 17:30, terrò a Torino la lezione “L’analisi dei delitti contro la personalità individuale, la libertà personale e dei reati informatici attraverso la discussione di casi pratici” insieme agli Avv.ti Giuseppe Caprioli e Monica Senor nell’ambito della “Scuola per la Formazione Tecnica e Deontologica del Difensore Penale” organizzata dal Consiglio dell’Ordine degli Avvocati di Torino e dalla Camera Penale “Vittorio Chiusano” del Piemonte Occidentale e Valle d’Aosta per il 2018 e 2019 con la collaborazione degli Avv.ti Guido Anetrini, Flavio Campagna, Francesca Maria Chialva, Federico Morbidelli, Marco Longo, Luciano Paciello, Barbara Passanisi, Vittorio Maria Rossini, Claudio Strata e la direzione dell’Avv. Daniele Zaniolo.

Scuola di Formazione Tecnica e Deontologica del Difensore Penale

Il mio modesto contributo verterà sulle problematiche legate alla raccolta delle prove, fin dalla fase iniziale, quando si corre alto rischio di perdere o corrompere le evidenze digitali a causa di azioni errate (da parte di vittima o chi interviene e la supporta). Tratterò quindi alcuni casi pratici illustrando cosa è bene fare e cosa è consigliabile non fare per gestire al meglio un reato informatico dal punto di vista tecnico di informatica forense, in collaborazione con il consulente della difesa. Il legale avrà quindi alcune indicazioni su come condurre l’indagine difensiva supportando il consulente tecnico di parte, l’informatico forense o l’investigatore informatico nella perizia tecnica e analisi forense sui dispositivi o sui dati a disposizione. Verranno altresì mostrati alcuni esempi di perizie informatiche nei quali sono state prese scelte diverse in base alle tipologie di prove da inserire a processo tramite acquisizione forense, siano esse dati presenti su PC, notebook, smartphone, web, rete, social network.

L’incontro si terrà presso la Maxi Aula 2 del Palazzo di Giustizia di Torino e fa parte di un ciclo di lezioni avviato a febbraio 2018 che terminerà a maggio 2019. Tutti gli argomenti oggetto delle lezioni in programma saranno trattati ponendo specifica attenzione alla casistica, alle strategie difensive e agli aspetti deontologici rilevanti. Per maggiori informazioni, s’invita a visionare il volantino riportato online dall’Ordine degli Avvocati di Cuneo è disponibile in copia locale anche a questo link.

Conferenza su tecniche investigative, profili fiscali e penali del Bitcoin

Martedì 12 dicembre 2017 sarò relatore, a Bologna, del seminario su “Criptovalute e illegalità virtuale: l’economia sommersa del deep web. Tecniche investigative, profili fiscali e penali” organizzato dall’Associazione Sindacale Avvocati di Bologna e dell’Emilia Romagna aderente alla A.N.F. – Associazione Nazionale Forense.

Il seminario sul bitcoin e le criptovalute si terrà all’interno della Sala delle Colonne presso il Tribunale di Bologna, in Via Farini n. 1 a Bologna, la brochure è disponibile a questo link.

Durante il seminario verranno trattati gli aspetti investigativi delle criptovalute, con cenni sulla storia e le basi del bitcoin per passare alla disciplina della bitcoin forensics e bitcoin intelligence, con alcune informazioni sulle perizie informatiche sulla blockchain e i bitcoin e le modalità tecniche di sequestro di bitcoin e criptovalute. Si passerà quindi – con l’ottimo intervento del Dott. Stefano Capaccioli – agli aspetti legali e fiscali del Bitcoin e delle criptomonete, illustrando le problematiche del riciclaggio e le tecniche di antiriciclaggio

Il programma della conferenza sugli aspetti tecnici, fiscali, penali e investigativi del Bitcoin e delle criptovalute è il seguente:

Presentazione e saluti

  • Avv. Nicoletta Grassi (Segretario ANF – Bologna)
  • Dott.ssa Mariagiovanna Caruso (Presidente U.G.D.C.E.C. di Bologna)
  • Avv. Francesco Paolo Colliva (Consigliere dell’Ordine degli Avvocati di Bologna)

Modera

  • Avv. Maria Luisa Caliendi (Direttivo ANF – Bologna)

Relazioni

  • Dott. Paolo Dal Checco (Consulente Informatico Forense, Prof. a contr. Università di Torino): “Bitcoin e criptovalute: principi di funzionamento, potenzialità investigative e modalità di sequestro
  • Dott. Stefano Capaccioli (Dottore Commercialista e Revisore Legale):
    Bitcoin e criptovalute: profili critici del regime impositivo, riciclaggio e
    antiriciclaggio

Tavola rotonda su criptovalute e illegalità virtuale
Interverranno, oltre ai relatori,

  • Dott.ssa Lucia Musti (Procuratore Capo della Procura della Repubblica di Modena)
  • Avv. Daniele Coliva (Avvocato del Foro di Bologna)

Le iscrizioni sono riservate agli iscritti all’Associazione Sindacale Avvocati di Bologna e dell’Emilia Romagna, per le prenotazioni è disponibile la pagina della formazione del Sindacato degli Avvocati di Bologna.

L’evento in corso di accreditamento presso l’Ordine degli Avvocati di Bologna e l’Ordine dei Commercialisti ed Esperti Contabili di Bologna.

Particolare del Demone di Mombello

Perizia fotografica sul Demone dell’ex manicomio di Mombello

L’ex ospedale psichiatrico Giuseppe Antonini, noto come il manicomio di Mombello di Limbiate, in provincia di Monza e Brianza, è stato costruito nel XIV secolo, adibito a ospedale psichiatrico nel 1863 è stato chiuso e abbandonato nel 1999 dopo la legge Basaglia. Da allora è meta di appassionati del paranormale che vi organizzano, muniti di macchine fotografiche, cellulari o videocamere, visite alla ricerca di fantasmi e spiriti.

Uno di questi appassionati si è rivolto all’AIPO – Agenzia di Investigazione del Paranormale e dell’Occulto – per chiedere conferma di un particolare emerso da una fotografia scattata nei sotterranei del manicomio. L’AIPO, su autorizzazione dell’autore degli scatti, si è rivolto a noi richiedendo una perizia fotografica dell’immagine, così da poterne valutare l’integrità e l’originalità e l’assenza di manipolazioni.

Perizia Fotografica sul Demone del Manicomio di MombelloLo scatto di cui è stata richiesta la perizia fotografica è stato ripreso nei sotterranei del Manicomio di Mombello a fine marzo 2015 e ritrae un corridoio dove la luce del flash ha messo in evidenza alcuni tubi in primo piano sulla sinistra lasciando però all’oscuro il resto del locale a causa del breve tempo di scatto.

La fotografia è stata scattata con una Nikon D3100 con AF-S DX VR Zoom-Nikkor 18-55mm f/3.5-5.6G e salvata in formato JPEG. A prima vista on si nota nulla di strano, anche ingrandendo i particolari della fotografia, a parte i tubi in primo piano ben illuminati dal flash il resto è troppo scuro per distinguere eventuali oggetti.

Per verificare se nell’immagine compaiono altri elementi oltre ai tubi illuminati dal flash in primo piano possiamo ridistribuire i livelli di chiaro/scuro su una scala più bassa, cioè ampliando l’intervallo di ciò che vediamo come “nero” sullo sfondo e che invece ha all’interno delle differenze di tonalità che non riusciamo ad apprezzare.

Ricostruzione dell'immagine tramite distribuzione dei livelli di chiaro scuro

E’ possibile bilanciare i livelli in input e output tramite il tool free e open source GIMP oppure anche utilizzando il software “Anteprima” presente in tutti gli Apple Mac OS, utilizzando la funzione “Regola colore”.

Bilanciamento dei livelli nella perizia di miglioramento delle fotoModificando la scala di grigi in input e in output, tramite regolazione delle curve o dei livelli, otteniamo un’immagine dove oltre ai tubi in primo piano si possono osservare gli oggetti presenti nel resto del corridoio del sotterraneo, si nota infatti ora la presenza di un contatore elettrico e di una forma poco distante.

Pulizia dell'immagine scura tramite perizia fotografica

Particolare del Demone di MombelloIngrandendo la parte centrale e ottimizzando l’immagine tramite sharpening e gaussian blur, si può osservare chiaramente una forma che antropomorficamente possiamo interpretare come simile a un corpo umano e che l’AIPO ha soprannominato “il Demone di Mombello” per la sua struttura esile e ambigua. La forma umanoide è posizionata sotto la trave che percorre il soffitto, di fianco alla cassetta elettrica e la sua altezza sembra di circa due metri ipotizzando un soffitto del sotterraneo a circa tre metri. Per chi non riesce a identificare la forma del “Demone”, abbiamo preparato un’animazione dove i contorni vengono delineati in modo graduale.

 Ricostruzione del corpo tramite perizia video

Non è necessaria una perizia antropometrica forense per osservare come le proporzioni della figura siano sostanzialmente compatibili con quelle del fisico di un uomo, per quanto le gambe siano esili, il busto sia in ombra e il braccio destro si veda poco. Conoscendo le misure del sotterraneo sarebbe anche possibile stabilire – cosa comunemente fatta durante le perizie antropometriche forensi – un sistema di riferimento tridimensionale su cui poi calcolare le misure del corpo come altezza, larghezza del busto e parti del corpo.

Gli esami tecnici eseguiti sull’immagine sono diversi e fanno tutti parte delle metodologie utilizzate nelle perizie fotografiche dove il quesito è quello di rilevare eventuali anomalie o artefazioni. In primo luogo, sono stati richiesti altri scatti eseguiti durante la stessa giornata, possibilmente quelli immediatamente precedenti e successivi, per verificare la coerenza dei metadati exif e la numerazione.

I dati exif risultano sostanzialmente corretti e compatibili con quelli prodotti da una fotocamera Nikon D3100, anche se abbiamo rilevato un’anomalia su alcuni campi che mostrano una differenza rispetto alle immagini presenti e successive. Nell’immagine sottostante, la parte sinistra mostra i dati exif dell’immagine con il “demone” mentre sulla destra abbiamo i dati di alcune altre immagini scattate poco dopo.

Confronto dati EXIF per perizia fotografica

L’immagine su cui è stata eseguita la perizia fotografica di autenticazione e una seconda immagine fornita risultano essere state marchiate da “Microsoft Windows Live Photo Gallery” con UUID “faf5bdd5-ba3d-11da-ad31-d33d75182f1b”, come se fossero state riversate su PC, aperte probabilmente tramite Windows Explorer, salvate e poi inviate per le analisi. Riteniamo che queste anomalie non rappresentino una alterazione, poiché probabilmente create nel tentativo di modificare la scala di chiari/scuri per visualizzare eventuali oggetti presenti sullo sfondo anche nella seconda immagine fornita come campione. Le indicazioni su orario, giorno, numero incrementale dello scatto, informazioni sulle impostazioni di scatto e sulla fotocamera sembrano corrette e anche il rapporto di compressione jpg tra le immagini con i dati exif modificati e quelli originali è identico.

Analisi forense anteprima thumbnail exifIl thumbnail exif risulta corretto e corrispondente all’immagine principale, cosa che talvolta in corrispondenza di alterazioni non avviene perché gli autori modificano l’immagine senza aggiornare anche l’anteprima contenuta nell’immagine stessa. Sono frequenti i casi nei quali sono state rilevate alterazioni alle immagini grazie all’analisi forense delle anteprime exif che contenevano le immagini originali, non alterate o compromesse. Ovviamente l’anteprima è ridotta come dimensioni rispetto all’originale ma si può notare che modificandone la scala di grigi risulta contenere la sagoma sospetta.

Photo Forensics - ELA, Error Level AnalysisSi è quindi proceduto ad eseguire alcune analisi tipiche di photo forensics, come quella del livello di errore nel tasso di compressione delle diverse aree jpg (ELA, Error Level Analysis) che in caso di alterazioni spesso permette d’identificare l’area modificata marcandola con colori più chiari che indicano appunto una differenza nella modalità con la quale sono state compresse le aree contenenti artefazioni. Ovviamente un eventuale malintenzionato potrebbe alterare una fotografia operando modifiche tali da rendere l’analisi ELA neutra, quindi questa verifica non può essere considerata esaustiva ma è certamente un passaggio nelle analisi dell’integrità di fotografie digitali che viene eseguita all’interno delle perizie informatiche forensi su fotografie e video finalizzate a verificare e identificare un potenziale fotomontaggio o manipolazione della fotografia.

Eseguite anche ulteriori analisi e dopo confronto con colleghi abbiamo concluso che non risultano tracce di alterazione, manipolazioni o fotomontaggi nell’immagine fotografica fornita, il che conferma la buona fede di chi ha eseguito e fornito gli scatti e una presunta integrità degli stessi.

Questo non esclude ovviamente attività di staging, cioè di riprese e fotografie “originali” e autentiche di oggetti o soggetti effettivamente presenti nell’ambiente ma preparati ad hoc (es. sagome predisposte per rappresentare soggetti particolari, etc…) o scelti in modo da essere fuorvianti. Gli scatti di questo genere producono quindi fotografie “originali” (nel senso di prive di manipolazioni grafiche post produzione) ma contenenti oggetti o soggetti non reali. Si pensi ad esempio alle foto dei frisbee che vengono presentate come foto di UFO, sono “originali”, integre e prive di forgery o manipolazioni nel senso che non c’è attività di post produzione ma non ritraggono UFO…

Ovviamente possono verificarsi episodi non intenzionali di scatti originali con soggetti la cui identificazione è dubbia. Per questo motivo, pur non trattandosi presumibilmente di un fotomontaggio o di una manipolazione, poco convinti che la sagoma rappresentata fosse davvero quella di un demone, abbiamo deciso quindi di procedere tramite riscontro sull’ambiente fotografato, ipotizzando che il “demone” potesse trattarsi di qualche effetto legato alla conformazione del posto. Si è quindi deciso di eseguire attività di ricerca su fonti aperte OSINT con l’intento di trovare altre fotografie scattate nello stesso corridoio del sotterraneo del Manicomio di Mombello, possibilmente dalla stessa angolazione. Attraverso ricerca su pagine web, social network, Youtube, Flickr, etc… abbiamo trovato un filmato su Youtube che riporta diverse fotografie scattate nel Manicomio di Mombello, una delle quali risulta compatibile con l’oggetto della ricerca: stesso corridoio, stessa angolazione, periodo leggermente diverso.

Il video risulta essere stato girato a febbraio 2014, quindi circa un anno prima dello scatto oggetto della perizia sull’immagine, ma la qualità della fotografia estratta dal filmato Youtube non è sufficiente per le analisi. L’AIPO ha quindi provveduto a contattare l’autore del video per chiedere cortesemente se l’originale, il sorgente della fotografia inserita al minuto 01:46, fosse disponibile per le analisi.

Immagine contenuta nel filmato Youtube girato nell'ex Manicomio di Mombello

L’autore ha gentilmente concesso all’AIPO di esaminare il sorgente della fotografia per confrontarla con quella oggetto di perizia forense. L’immagine risulta scattata con una Nikon D700 in formato portrait invece che landscape come l’originale oggetto di analisi tecnica, da posizione leggermente più arretrata. Mostriamo qui una versione ritagliata e con la distribuzione di chiari/scuri in modo che l’immagine sia simile a quella della foto oggetto di analisi.

Perizia fotografica della foto estratta dal video di Youtube

Come si nota già dal filmato su Youtube, la luce del flash è distribuita meglio, illuminando sia i quattro tubi in primo piano sia il fondo della galleria. permettendo d’identificare chiaramente l’arco sotto il quale nell’immagine oggetto di perizia tecnica è presente la figura sospetta, il tubo metallico (leggermente spostato) e il contatore elettrico sulla destra.

Particolare della foto prelevata dal video di YoutubeCiò che emerge da una rapida analisi è che al posto della figura del demone, nella fotografia estratta dal filmato di Youtube vi sono delle tubature con una giuntura, che si sviluppano creando una forma tridimensionale, scendendo dall’arco soprastante con la macchia gialla (presente in entrambi gli scatti) e arrivando al pavimento. Mostriamo qui a destra una versione ingrandita e ottimizzata nella distribuzione delle luci e degli scuri sul particolare della zona dove risiedono i tubi o il demone, a seconda di quale versione si preferisca.  Il tubo presenta una giuntura in corrispondenza della testa del “demone” e si sdoppia, una tubatura va verso la parete (in corrispondenza del braccio del “demone”) mentre ne scendono due (in corrispondenza delle “gambe” del demone) e una segue una curva proprio in corrispondenza del piede del “demone”.

La spiegazione scientifica del “demone” che compare nella foto originale sembra quindi delinearsi: complici l’oscurità e il flash che nella foto del “demone” ha illuminato con meno chiarezza la galleria rispetto a quella dell’anno prima presente nel video Youtube, si è creato un effetto di chiari/scuri che ha fatto sì che la mente di chi osserva vi veda una forma umana, esattamente in corrispondenza di ciò che invece trattasi di tubature.

Per mostrare meglio quanto ricavato dalle analisi esperite, abbiamo sovrapposto le due immagini passando da una all’altra tramite dissolvenza graduale, così da poter apprezzare il passaggio dalle tubature al “demone” e viceversa.

Confronto tra fotografia originale e filmato Youtube nell'ambito della perizia video-fotografica

La corrispondenza è molto marcata, vi sono alcune piccole differenze dovute al fatto che le tubature risultano essere state leggermente spostate durante l’anno intercorso tra i due scatti, in particolare il tubo che percorre la galleria (da cui poi sale quello che va a formare il “demone”) è stato spostato verso sinistra, muovendo quindi anche l’intera figura di tubi che non risulta quindi essere corrispondente 1:1 con il demone.

In conclusione, riteniamo che la fotografia sia autentica, nel senso di priva di forgery o manipolazioni post produzione, ma ritragga un soggetto che viene “percepito” dagli occhi dell’osservatore come una figura umanoide (o un “demone”, come taluni hanno sottolineato) pur essendo in realtà un oggetto diverso. Il “demone” è infatti in realtà un effetto dovuto alla presenza nell’immagine di tubature, conformate in modo particolare, riprese con un grado di luce così basso da generare sfumature nel bilanciamento dei livelli. Non si può escludere, inoltre, la presenza di stracci od oggetti appoggiati sopra ai tubi che nelle fotografie di raffronto sono “puliti” e ben delineati mentre nella foto del demone appaiono meno definiti e più sfocati, certamente anche a causa della poca luce che li illumina.

Speriamo che questo esempio di perizia informatica e fotografica, seppur sostanziale e ridotto alle analisi principali, privo degli aspetti d’informatica forense come catena di conservazione, calcolo degli hash, documentazione tecnica possa essere utile per capire come in diversi contesti le perizie informatiche (fotografiche, audio, video, su computer, cellulari, smartphone, web, social network, etc…) possono essere dirimenti.

Cellebrite annuncia il servizio di sblocco PIN per iPhone 5s, 6 e 6 plus

Messaggio Twitter di Shahar Tal con annuncio sblocco PIN di iPhone 6 plusCon un tweet, il responsabile della ricerca in ambito forense della società israeliana Cellebrite, Shahar Tal, ha annunciato pubblicamente [WBM] che Cellebrite è in grado di trovare il PIN dagli smartphone Apple iPhone 5S, 6 e 6+ e sbloccarli, cosa che fino a qualche giorno fa sembrava possibile soltanto con gli iPhone 4S, 5 e 5C.

Tutti ricorderanno il caso dello sblocco dell’iPhone 5C di San Bernardino richiesto dall’FBI del 2016 e la notizia della settimana scorsa dell’iPhone 5S di Tiziana Cantone sbloccato su richiesta dalla Procura di Napoli, il primo risolto grazie a una società esterna di cui non è mai stato confermato il nome ma che in tanti ritengono essere l’israeliana Cellebrite, mentre per il secondo – avvenuto per coincidenza pochi giorni prima il comunicato di Cellebrite – non ci sono ancora conferme ufficiali né sul metodo utilizzato né sugli autori per quanto sui giornali si parla di una collaborazione tra i Carabinieri di Napoli e l’Ing. Carmine Testa [WBM] senza cenni a interventi esterni.

Le informazioni presenti sul sito web della Cellebrite, incluse le pagine relative al servizio CAIS tramite il quale l’Autorità Giudiziaria può richiedere il servizio di sblocco PIN presso i laboratori Cellebrite a Israele o Monaco, non sono ancora state aggiornate ma ormai la nuova funzionalità del servizio sembra confermata anche dalle domande che diversi utenti hanno posto a Shahar sul suo profilo twitter. Messaggi di complimenti, come il “congrats on the new capability” cui Shahar Tal risponde con un  “Who said anything about ‘new’?” lasciando persino trapelare come la funzionalità di sblocco dei nuovi iPhone non sia una novità per la società israeliana.

Come sbloccare il PIN di iPhone con Cellebrite

Fino a pochi giorni fa infatti il servizio CAIS (Cellebrite Advanced Investigative Services) che permette di trovare il PIN dei dispositivi iOS (iPhone, iPad) a 32 bit e 64bit e Android per sbloccarli ed acquisire copia forense veniva offerto soltanto per i seguenti dispositivi:

  • iPhone 4S / 5 / 5c, iPad 2 / 3G / 4G, iPad mini 1G, e iPod touch 5G con iOS 8.x (8.0 / 8.0.1 / 8.0.2 / 8.1 / 8.1.1 / 8.1.2 / 8.1.3 / 8.2/ 8.3 / 8.4 / 8.4.1) or iOS 9.x (9.0 / 9.0.1 / 9.0.2 / 9.1 / 9.2 / 9.2.1 / 9.3 / 9.3.1 / 9.3.2)
  • Samsung Galaxy S6, Galaxy Note 5 e Galaxy S7 con tutte le versioni Android versions fino a e inclusa la Android Marshmallow 6.0.1

Per chi non la conosce, Cellebrite è una delle società leader in campo di mobile forensics, che fornisce il prodotto UFED utilizzato quotidianamente dai consulenti informatici forensi che eseguono perizie su cellulari e smartphone. La funzionalità di sblocco PIN da alcuni cellulari e smartphone era in parte già realtà grazie agli strumenti in dotazione a diversi studi di Informatica Forense, quali il Cellebrite UFED, il Micro Systemation XRY, l’Oxygen Forensics o l’IPBOX ma soltanto per alcune versioni di Android e per le vecchie versioni di iOS (iOS 7 e in parte iOS 8). Per gli iPhone con versione del Sistema Operativo iOS 7 è persino possibile lo sblocco pin quando il dispositivo è disabilitato e richiede di connettersi a iTunes per ripristinare il cellulare.

Sblocco del PIN di un iPhone disabilitato

Le versioni successive di iOS (quindi tutti gli iPhone inclusi quelli con processore a 64bit) non sono supportate da nessuno di questi tool e quindi il servizio di sblocco PIN e password da cellulare fornito da Cellebrite diventa strategico in caso di perizia tecnica informatica su dispositivi mobili in ambito giudiziario, considerando però che la momento non supporta ancora i dispositivi con processore A9 come iPhone 6s, iPhone 6s plus e iPhone 7 e non è compatibile con smartphone con processore A10 Fusion come l’iPhone 7 e iPhone 7 Plus.

Cellebrite deve essere infatti riuscita a superare le protezioni impose dal meccanismo di secure enclave, che come descrive Apple a pagina 12 della sua Guida Ufficiale sulla Sicurezza dei Dispositivi iOS [WBM] comanda i ritardi dell’inserimento del PIN lock sui dispositivi con processore A7 o successivi. Secure Enclave impone infatti i seguenti ritardi tra i tentativi di inserimento del codice: da 1 a 4 tentativi nessun ritardo, al quinto tentativo 1 minuto di ritardo, al sesto 5 minuti, al settimo e ottavo 15 minuti, al nono 1 ora. Un ulteriore tentativo errato d’inserimento PIN porta l’iPhone nello stato di disabled, disabilitato, oppure ne avvia il ripristino se “Impostazioni > Touch ID e codice > Inizializza dati” è attivato.

Shahar, con ulteriori tweet, ringrazia il suo team per gli obiettivi raggiunti e per il supporto dato alla giustizia in tutto il mondo, in particolare nei casi relativi a molestie su minori che vengono catturati e imprigionati grazie al lavoro dei ricercatori che permettono alle Forze dell’Ordine di acquisire in maniera forense i dati presenti sugli smartphone per utilizzarli come elementi probatori.

In base alle informazioni presenti in rete, il servizio CAIS di sblocco PIN e password di iPhone e Android possiede le seguenti caratteristiche e limitazioni:

  • il servizio può essere richiesto solamente dall’Autorità Giudiziaria, in ambito d’indagini per processi penali o civili;
  • l’operazione di PIN unlock costa circa 1.500 dollari;
  • l’unlock del PIN non supporta ancora i dispositivi con processore A9 come iPhone 6s, iPhone 6s plus e iPhone 7 né quelli con processore A10 Fusion come l’iPhone 7 e iPhone 7 Plus
  • il servizio di sblocco viene offerto soltanto presso le sedi Cellebrite, è quindi necessario portare di persona lo smartphone da loro o spedirlo;
  • non è possibile assistere all’operazione di sblocco del PIN o della password del dispositivo;
  • al termine dell’attività tecnica viene fornito al committente il codice PIN con il quale il cellulare è bloccato.