Archivi tag: san bernardino

Cellebrite annuncia il servizio di sblocco PIN per iPhone 5s, 6 e 6 plus

Messaggio Twitter di Shahar Tal con annuncio sblocco PIN di iPhone 6 plusCon un tweet, il responsabile della ricerca in ambito forense della società israeliana Cellebrite, Shahar Tal, ha annunciato pubblicamente [WBM] che Cellebrite è in grado di trovare il PIN dagli smartphone Apple iPhone 5S, 6 e 6+ e sbloccarli, cosa che fino a qualche giorno fa sembrava possibile soltanto con gli iPhone 4S, 5 e 5C.

Tutti ricorderanno il caso dello sblocco dell’iPhone 5C di San Bernardino richiesto dall’FBI del 2016 e la notizia della settimana scorsa dell’iPhone 5S di Tiziana Cantone sbloccato su richiesta dalla Procura di Napoli, il primo risolto grazie a una società esterna di cui non è mai stato confermato il nome ma che in tanti ritengono essere l’israeliana Cellebrite, mentre per il secondo – avvenuto per coincidenza pochi giorni prima il comunicato di Cellebrite – non ci sono ancora conferme ufficiali né sul metodo utilizzato né sugli autori per quanto sui giornali si parla di una collaborazione tra i Carabinieri di Napoli e l’Ing. Carmine Testa [WBM] senza cenni a interventi esterni.

Le informazioni presenti sul sito web della Cellebrite, incluse le pagine relative al servizio CAIS tramite il quale l’Autorità Giudiziaria può richiedere il servizio di sblocco PIN presso i laboratori Cellebrite a Israele o Monaco, non sono ancora state aggiornate ma ormai la nuova funzionalità del servizio sembra confermata anche dalle domande che diversi utenti hanno posto a Shahar sul suo profilo twitter. Messaggi di complimenti, come il “congrats on the new capability” cui Shahar Tal risponde con un  “Who said anything about ‘new’?” lasciando persino trapelare come la funzionalità di sblocco dei nuovi iPhone non sia una novità per la società israeliana.

Come sbloccare il PIN di iPhone con Cellebrite

Fino a pochi giorni fa infatti il servizio CAIS (Cellebrite Advanced Investigative Services) che permette di trovare il PIN dei dispositivi iOS (iPhone, iPad) a 32 bit e 64bit e Android per sbloccarli ed acquisire copia forense veniva offerto soltanto per i seguenti dispositivi:

  • iPhone 4S / 5 / 5c, iPad 2 / 3G / 4G, iPad mini 1G, e iPod touch 5G con iOS 8.x (8.0 / 8.0.1 / 8.0.2 / 8.1 / 8.1.1 / 8.1.2 / 8.1.3 / 8.2/ 8.3 / 8.4 / 8.4.1) or iOS 9.x (9.0 / 9.0.1 / 9.0.2 / 9.1 / 9.2 / 9.2.1 / 9.3 / 9.3.1 / 9.3.2)
  • Samsung Galaxy S6, Galaxy Note 5 e Galaxy S7 con tutte le versioni Android versions fino a e inclusa la Android Marshmallow 6.0.1

Per chi non la conosce, Cellebrite è una delle società leader in campo di mobile forensics, che fornisce il prodotto UFED utilizzato quotidianamente dai consulenti informatici forensi che eseguono perizie su cellulari e smartphone. La funzionalità di sblocco PIN da alcuni cellulari e smartphone era in parte già realtà grazie agli strumenti in dotazione a diversi studi di Informatica Forense, quali il Cellebrite UFED, il Micro Systemation XRY, l’Oxygen Forensics o l’IPBOX ma soltanto per alcune versioni di Android e per le vecchie versioni di iOS (iOS 7 e in parte iOS 8). Per gli iPhone con versione del Sistema Operativo iOS 7 è persino possibile lo sblocco pin quando il dispositivo è disabilitato e richiede di connettersi a iTunes per ripristinare il cellulare.

Sblocco del PIN di un iPhone disabilitato

Le versioni successive di iOS (quindi tutti gli iPhone inclusi quelli con processore a 64bit) non sono supportate da nessuno di questi tool e quindi il servizio di sblocco PIN e password da cellulare fornito da Cellebrite diventa strategico in caso di perizia tecnica informatica su dispositivi mobili in ambito giudiziario, considerando però che la momento non supporta ancora i dispositivi con processore A9 come iPhone 6s, iPhone 6s plus e iPhone 7 e non è compatibile con smartphone con processore A10 Fusion come l’iPhone 7 e iPhone 7 Plus.

Cellebrite deve essere infatti riuscita a superare le protezioni impose dal meccanismo di secure enclave, che come descrive Apple a pagina 12 della sua Guida Ufficiale sulla Sicurezza dei Dispositivi iOS [WBM] comanda i ritardi dell’inserimento del PIN lock sui dispositivi con processore A7 o successivi. Secure Enclave impone infatti i seguenti ritardi tra i tentativi di inserimento del codice: da 1 a 4 tentativi nessun ritardo, al quinto tentativo 1 minuto di ritardo, al sesto 5 minuti, al settimo e ottavo 15 minuti, al nono 1 ora. Un ulteriore tentativo errato d’inserimento PIN porta l’iPhone nello stato di disabled, disabilitato, oppure ne avvia il ripristino se “Impostazioni > Touch ID e codice > Inizializza dati” è attivato.

Shahar, con ulteriori tweet, ringrazia il suo team per gli obiettivi raggiunti e per il supporto dato alla giustizia in tutto il mondo, in particolare nei casi relativi a molestie su minori che vengono catturati e imprigionati grazie al lavoro dei ricercatori che permettono alle Forze dell’Ordine di acquisire in maniera forense i dati presenti sugli smartphone per utilizzarli come elementi probatori.

In base alle informazioni presenti in rete, il servizio CAIS di sblocco PIN e password di iPhone e Android possiede le seguenti caratteristiche e limitazioni:

  • il servizio può essere richiesto solamente dall’Autorità Giudiziaria, in ambito d’indagini per processi penali o civili;
  • l’operazione di PIN unlock costa circa 1.500 dollari;
  • l’unlock del PIN non supporta ancora i dispositivi con processore A9 come iPhone 6s, iPhone 6s plus e iPhone 7 né quelli con processore A10 Fusion come l’iPhone 7 e iPhone 7 Plus
  • il servizio di sblocco viene offerto soltanto presso le sedi Cellebrite, è quindi necessario portare di persona lo smartphone da loro o spedirlo;
  • non è possibile assistere all’operazione di sblocco del PIN o della password del dispositivo;
  • al termine dell’attività tecnica viene fornito al committente il codice PIN con il quale il cellulare è bloccato.

Sblocco PIN su Apple iOS 9.x 32bit e Samsung Galaxy S6 e S7

Sblocco PIN di iPhone e Android tramite CellebriteDue importanti novità nel campo della mobile forensics: la società israeliana Cellebrite ha recentemente aggiornato il suo servizio CAIS con la funzione di sblocco PIN e acquisizione fisica dei dispositivi Apple con processore a 32 bit senza secure enclave e iOS 9.x, fino a pochi giorni fa impossibili da sbloccare poiché il servizio era disponibile soltanto per gli iPhone/iPad/iPod con versione Apple iOS 8.x.

Ccellebrite CAIS Unlocking ServicesLa funzionalità di sblocco PIN di iPhone e Samsung Android non è stata inserita nei prodotti Cellebrite come UFED ma viene fornita dalla casa produttrice tramite contatto diretto mediante il loro modulo per Cellebrite CAIS Unlocking Services e a pagamento.

I dettagli e le modalità di esecuzione del servizio CAIS vengono forniti su richiesta, sappiamo però che in passato Cellebrite ha fornito assistenza anche all’Autorità Giudiziaria italiana a seguito di consegna a mano dell’iPhone presso la loro sede in Germania poiché il dispositivo da sbloccare possedeva processore A6 a 32 bit senza il sistema secure enclave.

La modalità di acquisizione fisica di un dispositivo mobile indica la possibilità di estrarre l’intero contenuto della memoria flash, tramite una “copia forense” bit-to-bit di tutte le aree, allocate e non, incluse quelle precluse al Sistema Operativo o quelle in cui sono presenti dati cancellati ma non ancora sovrascritti. Ciò permette, in alcuni casi, di eseguire il recupero dati cancellati da smartphone o accedere ad aree di memoria ove sono presenti dati rilevanti per le indagini che l’acquisizione logical o filesystem non riescono a raggiungere. Nell’ambito delle perizie informatiche su cellulare e smartphone, è certamente un elemento strategico poter disporre di una copia fisica del dispositivo e di dati fino a oggi inaccessibili se non tramite rooting o jailbreaking.

Cellebrite dichiara nel suo comunicato online [WBM], sulla brochure del servizio CAIS del 15 luglio [WBM] (dove dichiara “Galaxy S7“) e in quella del 20 luglio [WBM] (dove ha precisa “some Galaxy S7 devices“) di essere la prima società a fornire una “estrazione fisica con decifratura” di alcuni dispositivi iPhone (iOS) e Samsung (Android):

  • iPhone 4S / 5 / 5c, iPad 2 / 3G / 4G, iPad mini 1G e iPod touch 5G con iOS 8.x (8.0 / 8.0.1 / 8.0.2 / 8.1 / 8.1.1 / 8.1.2 / 8.1.3 / 8.2/ 8.3 / 8.4 / 8.4.1) or iOS 9.x (9.0 / 9.0.1 / 9.0.2 / 9.1 / 9.2 / 9.2.1 / 9.3 / 9.3.1 / 9.3.2);
  • Samsung Galaxy S6, Galaxy Note 5 e alcuni dispositivi Galaxy S7 con qualunque versione di Android fino alla Marshmallow 6.0.1 inclusa.

Sembra quindi che sia ancora impossibile lo sblocco di PIN e la physical acquisition di smartphone con processore a 64 bit come l’iPhone 5s, iPhone 6, iPhone 6 plus, iPhone 6s, iPhone 6s plus oppure iPad Air, ipad Air 2, iPad Mini 2, iPad Mini 3, iPad Mini 4.

In particolare, il servizio permette di sbloccare dispositivi iPhone o Samsung protetti da PIN e acquisire in maniera forense il contenuto senza la necessità di eseguire rooting o jailbreak al fine di accedere al’intero filesystem per recuperare email scaricate, dati di applicazioni di terze parti, dati di geolocalizzazione o log di sistema.

Ciò che viene estratto dalla copia fisica dell’iPhone può poi integrare quanto già fino a oggi estraibile tramite il Cellebrite UFED Physical Analyzer, cioè:

  • Dati decodificati: Elenco chiamate, voicemail, contatti, localizzazioni geografiche (WiFi, celle e fix GPS), immagini, video, messaggi di testo SMS, MMS, email, note, applicazioni installate e loro utilizzo, dizionario utente, calendario/agenda, storia dei pairing con dispositivi bluetooth, cache delle mappe;
  • Applicazioni: Skype, Whatsapp, Viber, Fring, MotionX, AIM, TigerText, Facebook Messenger, Twitterrific, Textfree, Google+, Facebook, Foursquare, Garmin, TomTom, Waze, TextNow, Dropbox, Yahoo Messenger, Ping Chat, Twitter, Touch (new ping chat), Find My iPhone, LinkedIn, iCQ, Kik Messenger, Google Maps, Kakaotalk, QIP, Evernote, Vkontakte, Mail.ru
  • Dati di navigazione web: Safari, Opera Mini – bookmark, history e cookies

La tabella di supporto per il recupero dati e lo sblocco del PIN di dispositivi Apple con Sistema Operativo iOS come iPhone, iPad e iPod del software UFED Physical Analyzer è la seguente:

Supporto iPhone iOS di Cellebrite UFED Physical Analyzer

Ricordiamo infine che la società israeliana Cellebrite era tra quelle che si riteneva potessero avere contribuito allo sblocco dell’iPhone di Farook durante le indagini per la strage di San Bernardino e i telefoni per i quali è disponibile il servizio CAIS comprendono anche il modello utilizzato dall’autore della strage Farook, un iPhone 5C con processore a 32 bit e iOS 9.x.

Per approfondimenti sul sistema di protezione dati di Apple iOS, il secure enclave, il boot process e tutto ciò che concerne la sicurezza dei dispositivi iOS consigliamo la lettura della iOS Security Guide ufficiale di Apple [WBM] mentre per una schematizzazione dei dispositivi Apple organizzata per processore, versione iOS e caratteristiche hardware e software consigliamo la pagina Wikipedia sui dispositivi iOS [WBM].

Who unlocked the San Bernardino iPhone?

Yesterday, Monday, March 28, 2016 the US Government issued the report where they say they successfully unlock the PIN code of Farook’s iPhone, seized after the San Bernardino attack. The message says that “the government has now successfully accessed the data stored on Farook’s iPhone and therefore no longer requires the assistance from Apple Inc.”.

Such news was anticipated a few days ago by another official document where the US Government said that an “outside party” demonstrated to the FBI a possible method for unlocking Farook’s iPhone and that testing was required to determine whether that would be a viable method that will not compromise data on the phone.

After the public statement of march 22 about someone being able to unlock the iPhone without Apple’s support, rumours said that the “outside party” might be the Israeli firm Cellebrite, which provide mobile forensics services and software, but today, after the successful data extraction report, voices were not confirmed but sometimes even denied.

Doing some OSINT, Open Source Intelligence, on public information we can read something quite interesting: the Federal Procurement Data System reports that on march 21 (the same day as the “outside party” possibility of unlocking the iPhone public report) FBI issued a purchase order for about $15.000 to Cellebrite for “INFORMATION TECHNOLOGY SOFTWARE” [WBM]. The purchase order was noticed by researchers and published on Twitter.

DJF161200P0004424 Cellebrite FBI Purchase Order

Award ID (Mod#):
DJF161200P0004424 ( 0 ) (View) Award Type: PURCHASE ORDER
Vendor Name: CELLEBRITE USA CORP Contracting Agency: FEDERAL BUREAU OF INVESTIGATION
Date Signed: March 21, 2016 Action Obligation: $15,278.02
Referenced IDV: Contracting Office: DEPT OF JUST/FEDERAL BUREAU OF INVESTIGATION
NAICS (Code): RADIO AND TELEVISION BROADCASTING AND WIRELESS COMMUNICATIONS EQUIPMENT MANUFACTURING ( 334220 ) PSC (Code): INFORMATION TECHNOLOGY SOFTWARE ( 7030 )
Vendor City: PARSIPPANY Vendor DUNS: 033095568
Vendor State: NJ Vendor ZIP: 070544413
Global Vendor Name: CELLEBRITE USA CORP Global DUNS Number: 033095568

The news was not considered as a proof, even if the coincidence is weird, since FBI issued many purchase orders to Cellebrite during past years and since the “7030” code “INFORMATION TECHNOLOGY SOFTWARE” might be related to software supply.

What’s more relevant is that some Open Source Intelligence can show that the above is not the last purchase order issued on March. Yesterday, Monday, March 28th, FBI purchased from Cellebrite $218.000 of “INFORMATION TECHNOLOGY SUPPLIES”  [WBM].

DJF161200G0004569 Cellebrite FBI Purchase Order

Award ID (Mod#):
DJF161200G0004569 ( 0 ) (View) Award Type: PURCHASE ORDER
Vendor Name: CELLEBRITE USA CORP Contracting Agency: FEDERAL BUREAU OF INVESTIGATION
Date Signed: March 28, 2016 Action Obligation: $218,004.85
Referenced IDV: Contracting Office: DEPT OF JUST/FEDERAL BUREAU OF INVESTIGATION
NAICS (Code): RADIO AND TELEVISION BROADCASTING AND WIRELESS COMMUNICATIONS EQUIPMENT MANUFACTURING ( 334220 ) PSC (Code): INFORMATION TECHNOLOGY SUPPLIES ( 7045 )
Vendor City: PARSIPPANY Vendor DUNS: 033095568
Vendor State: NJ Vendor ZIP: 070544413
Global Vendor Name: CELLEBRITE USA CORP Global DUNS Number: 033095568

It might be a simple coincidence, but if we issue the query  <<CONTRACTING_AGENCY_NAME:”FEDERAL BUREAU OF INVESTIGATION” VENDOR_FULL_NAME:”CELLEBRITE USA CORP>> on the FPDS search engine, in the EZ Search section, we can see and download the full history of purchase orders issued by “FEDERAL BUREAU OF INVESTIGATION” to “CELLEBRITE USA CORP” [WBM]. We can observe that since September 2009 Cellebrite was given 187 purchase orders, but the purchase order issued yesterday, with ID “DJF161200G0004569”, is rather unique in that:

  • it’s the only one with an action obligation of more than $ 200.000 issued with “CELLEBRITE USA CORP” (the average for purchase orders is about  $11.000);
  • it’s the only one with the “INFORMATION TECHNOLOGY SUPPLIES” description and PSC type “7045”;
  • it was issued yesterday, when the US Government published a note informing that the San Bernardino iPhone was successfully unlocked and data was successfully accessed, presumably by an “outside party” as they said in the previous note.

In conclusion, we don’t know if Cellebrite was involved in San Bernardino iPhone PIN unlocking, we know that Cellebrite is able to unlock iPhons up to iOS 7 and iOS8 with 32bit processors and on iPhone 4s/5/5c, iPad 2/3/4, iPad Mini 1 and… the coincidence of yesterday’s purchase order is rather weird.

Chi ha sbloccato l’iPhone di San Bernardino?

Di ieri lunedì 28 marzo 2016 la dichiarazione con la quale il Governo USA comunica di aver sbloccato con successo l’iPhone di Syed Farook, sequestrato dopo la strage di San Bernardino. La notizia non giunge inaspettata, dato che in un’altra dichiarazione ufficiale pochi giorni fa il Governo USA aveva dichiarato che una “outside party” poteva essere in grado di trovare il PIN del dispositivo. Nel comunicato si legge che “il Governo ha avuto accesso ai dati memorizzati nell’iPhone di Farook e quindi non vi è più la necessità di richiedere assistenza da parte di Apple, come inizialmente formulato in data 16 febbraio.

Dopo la comunicazione del 22 marzo circa la possibilità di sbloccare l’iPhone senza l’aiuto di Apple, giravano voci che la “outside party” fosse l’israeliana Cellebrite, fornitori di software e servizi di mobile forensics, e oggi, dopo il comunicato della riuscita dell’operazione, rimane il mistero e si leggono persino smentite.

Facendo un po’ di OSINT, intelligence sulle fonti aperte, è possibile però rilevare un dato interessante: consultando il sito pubblico del Federal Procurement Data System (una sorta di portale delle Spese di Giustizia che riporta i dati di fornitori, bandi, importi minimi pattuiti, etc…) emerge come proprio il 21 marzo (data della comunicazione di un potenziale “outside party”) l’FBI abbia ha immesso un ordine di acquisto di circa $15.000 nei confronti di Cellebrite per “INFORMATION TECHNOLOGY SOFTWARE” [WBM], cosa che su Twitter aveva già destato l’attenzione di alcuni osservatori.

DJF161200P0004424 Cellebrite FBI Purchase Order

Award ID (Mod#):
DJF161200P0004424 ( 0 ) (View) Award Type: PURCHASE ORDER
Vendor Name: CELLEBRITE USA CORP Contracting Agency: FEDERAL BUREAU OF INVESTIGATION
Date Signed: March 21, 2016 Action Obligation: $15,278.02
Referenced IDV: Contracting Office: DEPT OF JUST/FEDERAL BUREAU OF INVESTIGATION
NAICS (Code): RADIO AND TELEVISION BROADCASTING AND WIRELESS COMMUNICATIONS EQUIPMENT MANUFACTURING ( 334220 ) PSC (Code): INFORMATION TECHNOLOGY SOFTWARE ( 7030 )
Vendor City: PARSIPPANY Vendor DUNS: 033095568
Vendor State: NJ Vendor ZIP: 070544413
Global Vendor Name: CELLEBRITE USA CORP Global DUNS Number: 033095568

La cosa è passata in secondo piano, visto il grande numero di commesse che l’FBI affida a Cellebrite, anche se in realtà quella è soltanto la quarta del 2016. Il codice 7030 “INFORMATION TECHNOLOGY SOFTWARE” potrebbe infatti essere relativo all’acquisto di software, anche se la data in cui è stata effettuata tale spesa è certamente curiosa.

Ciò che invece risulta più rilevante facendo una ricerca tramite Open Source Intelligence è che quella commessa non è l’ultima: proprio ieri, lunedì 28 marzo 2016, l’FBI ha acquistato da Cellebrite servizi di “INFORMATION TECHNOLOGY SUPPLIES” per un totale di circa $218.000 [WBM].

DJF161200G0004569 Cellebrite FBI Purchase Order

Award ID (Mod#):
DJF161200G0004569 ( 0 ) (View) Award Type: PURCHASE ORDER
Vendor Name: CELLEBRITE USA CORP Contracting Agency: FEDERAL BUREAU OF INVESTIGATION
Date Signed: March 28, 2016 Action Obligation: $218,004.85
Referenced IDV: Contracting Office: DEPT OF JUST/FEDERAL BUREAU OF INVESTIGATION
NAICS (Code): RADIO AND TELEVISION BROADCASTING AND WIRELESS COMMUNICATIONS EQUIPMENT MANUFACTURING ( 334220 ) PSC (Code): INFORMATION TECHNOLOGY SUPPLIES ( 7045 )
Vendor City: PARSIPPANY Vendor DUNS: 033095568
Vendor State: NJ Vendor ZIP: 070544413
Global Vendor Name: CELLEBRITE USA CORP Global DUNS Number: 033095568

Ora questa potrebbe certamente essere una coincidenza o un semplice “rinnovo licenze” come riporta il dettaglio della spesa, ma se eseguiamo sul portale FPDS nella sezione EZ Search la query <<CONTRACTING_AGENCY_NAME:”FEDERAL BUREAU OF INVESTIGATION” VENDOR_FULL_NAME:”CELLEBRITE USA CORP>>, che ci mostra l’estrapolazione dal database dello storico di tutti ordini immessi dall’FBI verso la società Cellebrite USA Corp [WBM], notiamo come dal settembre 2009 siano stati commissionati alla Cellebrite ben 187 incarichi, per diverse centinaia di migliaia di dollari, ma l’incarico di ieri con codice “DJF161200G0004569” ha alcune caratteristiche peculiari:

  • è l’unico con un importo di quasi i $ 220.000 stipulato con “CELLEBRITE USA CORP” (la media di tutti gli altri incarichi è di circa $11.000);
  • l’unico con la descrizione “INFORMATION TECHNOLOGY SUPPLIES” mentre la tipologia PSC “7045” viene associata per gli altri ordini, a “ADP SUPPLIES” (anche se nella descrizione interna che si ottiene cliccando su “View” nella pagina del purchase order è stato inserito  “Cellebrite Renewal” come “Description of Requirement”, ma si consideri che l’ordine DJF151800P0001960 dell’anno precedente per “renewal of 5 Cellebrite UFED software licenses” per lo stesso distretto è costato $15.000);
  • è stato stipulato proprio ieri, giorno in cui il Governo USA ha dichiarato di aver sbloccato l’iPhone di San Bernardino precisando nel comunicato precedente che a farlo sarebbe stata una “outside party“.

In conclusione, non sappiamo se sia stata la società israeliana Cellebrite a sbloccare il PIN dell’iPhone di San Bernardino, sappiamo che Cellebrite è in grado di farlo con iPhone con iOS 7 e iOS 8 e processore a 32bit su iPhone 4s/5/5c, iPad 2/3/4, iPad Mini 1 e… certamente la coincidenza della spesa di ieri pubblicata sul database FPDS è notevole.