Archivi tag: ufed

Cellebrite Unlock Services - CAIS

Cellebrite conferma lo sblocco di iPhone 6, 6S ed SE con iOS 10

Cellebrite Unlock Services - CAISCellebrite è in grado di sbloccare iPhone 5S, 6, 6S ed SE anche se protetti da PIN o password, con iOS fino alla versione 10.*. Lo comunica ufficialmente nella pagina dedicata agli Unlock Services dei dispositivi Apple e Samsung, pubblicata contestualmente al rinnovo del sito web avvenuto nei giorni scorsi e lo conferma nella brochure linkata dalla pagina stessa.

Capabilities & Benefits
Unlock and extract all available data from the latest iOS devices
Cellebrite is the only partner who can help you overcome the locks on Apple iPhone 4S, 5, 5c, 5S, 6, 6S, and SE, plus equivalent iPad/iPod touch models, such as iPad 2, 3rd/4th Gen, iPad mini 1st Gen, 2, 3, 4, iPad Air, Air 2, and iPod touch 5th/6th Gen, for all available supported versions of iOS 8, iOS 9, and iOS 10.*.

Il nuovo sito Cellebrite, società israeliana specializzata in mobile forensics, è stato pubblicato da poco ma risulta ben organizzato in contesti “Law Enforcement”, “Military & Intelligence” e “Corporate Investigations”. Notiamo che il servizio CAIS è riportato soltanto nella sezione “Law Enforcement” -> “Court”, a conferma del fatto che lo sblocco di iPhone bloccati da PIN o password non viene fornito a privati o aziende, se non dietro autorizzazione e decreto di un PM o di un Giudice.

Nuovo sito Cellebrite e Servizio di Sblocco iPhone e Samsung CAIS

Per gli addetti ai lavori la notizia dello sblocco degli iPhone a 64 bit come l’iPhone 6 in realtà non è del tutto nuova, dato che a febbraio 2017 con un tweet, il responsabile della ricerca in ambito forense della società israeliana Cellebrite, Shahar Tal, aveva annunciato pubblicamente che Cellebrite era in grado di trovare il PIN o la password degli smartphone Apple iPhone 5S, 6 e 6+ e sbloccarli.

Pochi mesi dopo, durante il webinar di marzo 2017 sulle potenzialità investigative dei prodotti Cellebrite, Dan Embury, Direttore del laboratorio, Cellebrite Advanced Investigative Services (CAIS), aveva aggiunto di essere in grado di sbloccare Apple iPhone 4S/5/5C, iPad 2/3/4 e iPod Touch 5G fino a iOS 10, anche se bloccati su schermata di “Connect to iTunes” o “xxx Minutes”.

Sblocco PIN di iPhone 4S, 5 e 5C da parte di Cellebrite

Per per quanto riguardava gli iPhone a 64 bit, cioè gli iPhone 5S, 6 e 6Plus le possibilità di sblocco dal PIN o della password di Apple iPhone erano possibili soltanto fino ad iOS 9, sempre con la funzionalità di sblocco di iPhone disabilitati con messaggio di “Connetti ad iTunes” o “Riprova tra xx minuti”.

Sblocco PIN di iPhone 5S, 6 e 6 Plus con Cellebrite CAIS Services

Tra l’altro, nel webinar Dan Embury dice due cose interessanti circa lo sblocco degli iPhone 7 e l’acquisizione fisica degli iPhone in generale: “In terms of the 64bit devices – so we are talking about the iPhone 5s, the 6 and 6plus, and obviously the newer 6S  and iPhone 7 as well, we can currently support iOS 8 and 9, we’re the the only ones, to our knowledge, who can produce full file system extraction, so we’re not quite there for a full physical extraction, but ultimately be the way that the files are stored in the iPhone device, once a image or video is deleted, the keys are thrown away immediately, so even if you were to get a full physical, the chance of recovering a deleted picture or a deleted video is essentially zero. The data would still be there, in an encrypted state, but the keys have been discarded almost immediately by the Apple Operating System and nothing would be recoverable.“.

Da quanto riportato nel webinar, quindi, sembra che anche iPhone 7 potrebbe essere presto incluso – sempre se non lo è già – tra i dispositivi compatibili per lo sblocco PIN/Password da parte di Cellebrite mentre risulta chiaro che l’acquisizione che viene eseguita dagli strumenti forensi Cellebrite come UFED è di tipo “filesystem” ma, per come vengono memorizzati i file sui dispositivi Apple, si tratta del tipo di acquisizione più vicino a una “physical”.

Negli ultimi mesi abbiamo poi assistito a diverse notizie di sblocco di dispositivi Apple in casi come quello dello sblocco dell’iPhone 6 dei ricattatori della Sig.ra Julieanna Goddard di Miami, che hanno rifiutato di fornire le credenziali di unlock dell’iPhone prontamente sbloccato dalla Cellebrite. O ancora il caso dello smartphone della ragazza spagnola scomparsa l’anno scorso, Diana Quer, un iPhone 6 con iOS 8 rimasto sul fondo marino, recuperato e “sbloccato dopo circa un anno da Cellebrite per 2.000 euro”, come dichiarato dalla madre durante un’intervista alla TV.

Cellebrite avverte i visitatori del sito d’informarsi presso i rivenditori per conoscere le capabilities del servizio CAIS, visti i repentini aggiornamenti delle tecnologie e delle possibilità di sblocco, intanto ha rimosso la vecchia pagina web, dove fino a pochi giorni fa si parlava ancora dei limiti dello sblocco degli iPhone fino al 5c e con iOS al massimo fino alla versione 9.*.

Textalyzer di Cellebrite permette analisi forense degli smartphone in caso d'incidente stradale

Textalyzer, analisi forense degli smartphone per prevenire incidenti stradali

Circa un anno fa la società israeliana Cellebrite – produttrice di uno dei software maggiormente utilizzato in ambito di mobile forensics – ha annunciato lo sviluppo di textalizer, un’applicazione che permetterà alle Forze dell’Ordine di verificare se un cellulare è stato utilizzato di recente per inviare o ricevere SMS o messaggi di chat come Whatsapp o Telegram.

Textalyzer di Cellebrite permette analisi forense degli smartphone in caso d'incidente stradale

L’idea è quella di affiancare i test della percentuale di alcool nel sangue tramite etilometro con quelli di utilizzo del cellulare, a seguito d’incidenti stradali o preventivamente, con controlli a campione da parte della Polizia Stradale. Così come l’etilometro misura la percentuale di alcool nel sangue, il “textometro” (non esiste ancora traduzione ufficiale) misura l’attività del cellulare negli ultimi minuti, in particolare relativamente all’utilizzo di strumenti di chat, invio o ricezione messaggi di testo SMS. In caso d’incidente, quindi, le Forze dell’Ordine sono così in grado di valutare le condizioni degli autisti anche in merito a eventuale utilizzo di cellulare alla guida, non soltanto per telefonate ma anche per scrivere o leggere messaggi di testo.

Lo strumento non è una novità, Cellebrite fornisce da anni UFED, un tool di mobile forensics che permette acquisizioni forensi certificate di cellulari, smartphone e tablet con il quale gli investigatori sono già in grado di esaminare l’utilizzo del cellulare. In genere, però, UFED viene utilizzato in laboratorio e l’acquisizione non è immediata, cos’ come la reportistica, che richiede talvolta ore di elaborazione. E’ già quindi possibile  valutare – nell’ambito di perizie informatiche su cellulari – l’eventuale utilizzo dello smartphone del guidatore a seguito d’incidenti stradali, utilizzando appunto UFED per estrazione dati e ricostruzione di timeline e poi analizzando manualmente i log degli applicativi di messaggistica come Whatsapp, Telegram o Signal o degli strumenti d’invio e ricezione SMS presenti negli smartphone, siano essi Android (Samsung, HTC, Motorola, Sony, etc…) o iOS (Apple). Lo strumento textalizer però velocizzerà queste analisi rendendole possibile sul campo direttamente da parte degli Operatori e rendendo meno intrusiva la fase di acquisizione forense: Cellebrite infatti dichiara che il tool non acquisisce o mostra dati personali degli utenti, immagini o contenuto dei messaggi, essendo appunto soltanto finalizzato a verificare l’utilizzo del dispositivo nei minuti precedenti l’incidente o il controllo da parte della Polizia Stradale.

In diverse città americane le autorità stanno puntando verso l’inserimento del controllo del cellulare in caso d’incidente e durante le fermate ai posti di blocco, insieme all’etilometro, proprio per disincentivare l’utilizzo degli smartphone durante la guida e poter verificare eventuali responsabilità durante gli incidenti stradali. Chicago si è già portata avanti ma anche a New York e in Tennessee le Autorità stanno lavorando per conferire agli Organi di Controllo il potere di controllare i cellulari dei guidatori anche durante i normali interventi di verifica a campione. I guidatori avranno la possibilità di rifiutare di consegnare il proprio telefonino ma rischieranno, così come già avviene per gli alcohol test, di vedersi ritirare la patente o incorrere in sanzioni pecuniarie.

Ovviamente questa novità non ha nulla a che fare con il messaggio Whatsapp che sta circolando in questi giorni in Italia e che cita:

Vi comunico che a partire da maggio entrerà in vigore il nuovo codice della strada. Oggi e stato approvato l’articolo più pesante ed era anche giusto. Cioè vi spiego chiunque verrà sorpreso alla guida del veicolo anche se è fermo ai semafori o agli stop con il cellulare o altri apparecchi. La sanzione e la seguente, ritiro della patente immediata e la multa parte da 180 euro fino a 680 euro. Quindi state molto attenti organizzativi con i viva voce. Credo sia utile diffondere. Buongiorno.

Il messaggio è impreciso, anche se è confermato che già a maggio potrebbe essere inserita una modifica al Codice della Strada tramite un decreto, in attesa che riparta l’iter legislativo del nuovo Codice, che introdurrebbe la sospensione della patente (mentre oggi si paga la multa e si perdono 5 punti) per un mese già la prima volta che si viene sorpresi alla guida mentre si sta utilizzando lo smartphone.

Certamente uno strumento come Textalyzer, di Cellebrite, per verificare e dimostrare l’utilizzo del dispositivo durante la guida potrebbe tornare utile anche per rafforzare il rispetto del Codice della Strada ed evitare contestazioni o ricorsi.

 

Sblocco PIN su Apple iOS 9.x 32bit e Samsung Galaxy S6 e S7

Sblocco PIN di iPhone e Android tramite CellebriteDue importanti novità nel campo della mobile forensics: la società israeliana Cellebrite ha recentemente aggiornato il suo servizio CAIS con la funzione di sblocco PIN e acquisizione fisica dei dispositivi Apple con processore a 32 bit senza secure enclave e iOS 9.x, fino a pochi giorni fa impossibili da sbloccare poiché il servizio era disponibile soltanto per gli iPhone/iPad/iPod con versione Apple iOS 8.x.

Ccellebrite CAIS Unlocking ServicesLa funzionalità di sblocco PIN di iPhone e Samsung Android non è stata inserita nei prodotti Cellebrite come UFED ma viene fornita dalla casa produttrice tramite contatto diretto mediante il loro modulo per Cellebrite CAIS Unlocking Services e a pagamento.

I dettagli e le modalità di esecuzione del servizio CAIS vengono forniti su richiesta, sappiamo però che in passato Cellebrite ha fornito assistenza anche all’Autorità Giudiziaria italiana a seguito di consegna a mano dell’iPhone presso la loro sede in Germania poiché il dispositivo da sbloccare possedeva processore A6 a 32 bit senza il sistema secure enclave.

La modalità di acquisizione fisica di un dispositivo mobile indica la possibilità di estrarre l’intero contenuto della memoria flash, tramite una “copia forense” bit-to-bit di tutte le aree, allocate e non, incluse quelle precluse al Sistema Operativo o quelle in cui sono presenti dati cancellati ma non ancora sovrascritti. Ciò permette, in alcuni casi, di eseguire il recupero dati cancellati da smartphone o accedere ad aree di memoria ove sono presenti dati rilevanti per le indagini che l’acquisizione logical o filesystem non riescono a raggiungere. Nell’ambito delle perizie informatiche su cellulare e smartphone, è certamente un elemento strategico poter disporre di una copia fisica del dispositivo e di dati fino a oggi inaccessibili se non tramite rooting o jailbreaking.

Cellebrite dichiara nel suo comunicato online [WBM], sulla brochure del servizio CAIS del 15 luglio [WBM] (dove dichiara “Galaxy S7“) e in quella del 20 luglio [WBM] (dove ha precisa “some Galaxy S7 devices“) di essere la prima società a fornire una “estrazione fisica con decifratura” di alcuni dispositivi iPhone (iOS) e Samsung (Android):

  • iPhone 4S / 5 / 5c, iPad 2 / 3G / 4G, iPad mini 1G e iPod touch 5G con iOS 8.x (8.0 / 8.0.1 / 8.0.2 / 8.1 / 8.1.1 / 8.1.2 / 8.1.3 / 8.2/ 8.3 / 8.4 / 8.4.1) or iOS 9.x (9.0 / 9.0.1 / 9.0.2 / 9.1 / 9.2 / 9.2.1 / 9.3 / 9.3.1 / 9.3.2);
  • Samsung Galaxy S6, Galaxy Note 5 e alcuni dispositivi Galaxy S7 con qualunque versione di Android fino alla Marshmallow 6.0.1 inclusa.

Sembra quindi che sia ancora impossibile lo sblocco di PIN e la physical acquisition di smartphone con processore a 64 bit come l’iPhone 5s, iPhone 6, iPhone 6 plus, iPhone 6s, iPhone 6s plus oppure iPad Air, ipad Air 2, iPad Mini 2, iPad Mini 3, iPad Mini 4.

In particolare, il servizio permette di sbloccare dispositivi iPhone o Samsung protetti da PIN e acquisire in maniera forense il contenuto senza la necessità di eseguire rooting o jailbreak al fine di accedere al’intero filesystem per recuperare email scaricate, dati di applicazioni di terze parti, dati di geolocalizzazione o log di sistema.

Ciò che viene estratto dalla copia fisica dell’iPhone può poi integrare quanto già fino a oggi estraibile tramite il Cellebrite UFED Physical Analyzer, cioè:

  • Dati decodificati: Elenco chiamate, voicemail, contatti, localizzazioni geografiche (WiFi, celle e fix GPS), immagini, video, messaggi di testo SMS, MMS, email, note, applicazioni installate e loro utilizzo, dizionario utente, calendario/agenda, storia dei pairing con dispositivi bluetooth, cache delle mappe;
  • Applicazioni: Skype, Whatsapp, Viber, Fring, MotionX, AIM, TigerText, Facebook Messenger, Twitterrific, Textfree, Google+, Facebook, Foursquare, Garmin, TomTom, Waze, TextNow, Dropbox, Yahoo Messenger, Ping Chat, Twitter, Touch (new ping chat), Find My iPhone, LinkedIn, iCQ, Kik Messenger, Google Maps, Kakaotalk, QIP, Evernote, Vkontakte, Mail.ru
  • Dati di navigazione web: Safari, Opera Mini – bookmark, history e cookies

La tabella di supporto per il recupero dati e lo sblocco del PIN di dispositivi Apple con Sistema Operativo iOS come iPhone, iPad e iPod del software UFED Physical Analyzer è la seguente:

Supporto iPhone iOS di Cellebrite UFED Physical Analyzer

Ricordiamo infine che la società israeliana Cellebrite era tra quelle che si riteneva potessero avere contribuito allo sblocco dell’iPhone di Farook durante le indagini per la strage di San Bernardino e i telefoni per i quali è disponibile il servizio CAIS comprendono anche il modello utilizzato dall’autore della strage Farook, un iPhone 5C con processore a 32 bit e iOS 9.x.

Per approfondimenti sul sistema di protezione dati di Apple iOS, il secure enclave, il boot process e tutto ciò che concerne la sicurezza dei dispositivi iOS consigliamo la lettura della iOS Security Guide ufficiale di Apple [WBM] mentre per una schematizzazione dei dispositivi Apple organizzata per processore, versione iOS e caratteristiche hardware e software consigliamo la pagina Wikipedia sui dispositivi iOS [WBM].