Come ti sblocco il PIN dell'iPhone - Il caso di San Bernardino - Security Summit - Roma, 7 e 8 giugno 2016 - iisfa.net

Pagina creata da Antonio Sacchi
 
CONTINUA A LEGGERE
Come ti sblocco il PIN dell'iPhone - Il caso di San Bernardino - Security Summit - Roma, 7 e 8 giugno 2016 - iisfa.net
IISFA
                     Italian Chapter – www.iisfa.net

        Come ti sblocco il PIN
dell’iPhone - Il caso di San Bernardino
      Federica Bertoni e Selene Giupponi
Security Summit – Roma, 7 e 8 giugno 2016
Come ti sblocco il PIN dell'iPhone - Il caso di San Bernardino - Security Summit - Roma, 7 e 8 giugno 2016 - iisfa.net
Che cosa è IISFA?
L’International Information Systems
  Forensics Association (IISFA) è un
 organizzazione senza scopo di lucro
   con la missione di promuovere la
 disciplina dell’information Forensics
       attraverso la divulgazione,
  l’apprendimento e la certificazione.
          Info su www.iisfa.net
Come ti sblocco il PIN dell'iPhone - Il caso di San Bernardino - Security Summit - Roma, 7 e 8 giugno 2016 - iisfa.net
Gli obiettivi
• Rendere disponibile un ambiente professionale e
  stimolante per lo scambio di idee e di
  informazioni relative alle tematiche della
  Forensics tra esperti del settore essendo anche
  il punto di riferimento per tutti coloro che si
  avvicinano a tali argomenti .

• Creare un network di relazioni tra i membri
  dell’associazione, favorendo la nascita di
  opportunità per il miglioramento e la crescita
  professionale.

• Difendere la cultura della professionalità anche
  attraverso la diffusione della certificazione CIFI.
Come ti sblocco il PIN dell'iPhone - Il caso di San Bernardino - Security Summit - Roma, 7 e 8 giugno 2016 - iisfa.net
Chi siamo – Federica Bertoni
• Informatico Forense, Libera professionista.

• Perito e CTU presso il Tribunale Ordinario di Brescia.

• Iscritta al Ruolo dei Periti e degli Esperti della Camera di Commercio di
    Brescia.

• Certificata CIFI (Certified Information System Forensics Investigator).

• Socia IISFA (INFORMATION SYSTEM FORENSICS ASSOCIATION ITALIAN
    CHAPTER).

• Socia CLUSIT.

•   Socia AIP.
Come ti sblocco il PIN dell'iPhone - Il caso di San Bernardino - Security Summit - Roma, 7 e 8 giugno 2016 - iisfa.net
Chi siamo – Selene Giupponi
•   Ingegnere Informatico, specializzato in Computer Forensics & Digital Investigations.

•   Membro della Commissione ICT dell’Ordine degli Ingegneri della Provincia di Latina.

•   Socio Aziendale CLUSIT.

•   Socio IISFA (INFORMATION SYSTEM FORENSICS ASSOCIATION ITALIAN CHAPTER).

•   CTU Albo Penale e Civile del Tribunale di Latina.

•   VP & Head of Digital Forensics Unit, Security Brokers ScpA.

•   Advisor European Courage Focus Group – Cyber Terrorism & CyberCrime – EOS Member.
    Board

•   ITU ROSTER OF EXPERTS.

•   HTCC HIGH TECH CRIME CONSORTIUM Member.

•   Official Trainer NATO & U.S. NAVY.

•   CIFI - Certified Information Forensics Investigator, SPEKTOR & UFED.
Come ti sblocco il PIN dell'iPhone - Il caso di San Bernardino - Security Summit - Roma, 7 e 8 giugno 2016 - iisfa.net
Agenda
•   Introduzione e cronologia eventi della vicenda
•   La richiesta del giudice e i contenuti tecnici della richiesta
•   Gli errori commessi dall'FBI
•   Le particolarità di iOS 9 rispetto alle versioni precedenti
•   Soluzioni tecniche alternative suggerite
•   Quid Forensics
•   """"""" Novità tecniche""""" e conclusioni
Come ti sblocco il PIN dell'iPhone - Il caso di San Bernardino - Security Summit - Roma, 7 e 8 giugno 2016 - iisfa.net
Come ti sblocco il PIN dell'iPhone - Il caso di San Bernardino - Security Summit - Roma, 7 e 8 giugno 2016 - iisfa.net
La cronistoria del caso
•   2 dicembre 2015: 14 persone perdono la vita a San Bernardino, per mano di due
    presunti terroristi dell’Isis, Syed Rizwan Farook e Tashfeen Malik, marito e moglie.

•   16 febbraio 2016: il Giudice Federale Eileen M. Decker ingiunge ad Apple di fornire
    all’FBI l’aiuto tecnico necessario per eseguire un attacco di brute forcing sul PIN
    dell’iPhone in uso a Farook.

•   25 febbraio 2016: Apple risponde in via ufficiale con la “Apple Inc’s motion to vacate
    order compelling Apple Inc. to assist agents in search, and opposition to
    Government’s motion to compel assistance”.

•   29 febbraio 2016: il giudice federale di New York James Orenstein si pronuncia a
    favore delle ragioni di Apple e contro l’interpretazione estensiva dell’All Writs Act del
    1789.

•   22 marzo 2016: data fissata per udienza sul ricorso di Apple, che è cancellata
    perché FBI sostiene di aver trovato una soluzione tecnica alternativa. Occorrendo
    del tempo per svolgere dei test, viene richiesto un rinvio al 5 aprile.

•   28 marzo 2016, l’FBI inoltra richiesta di deposizione della causa, perché hanno
    trovato una parte terza che li aiuterà nello sblocco del PIN. Di chi si tratta?
    Permane tuttora il mistero, sebbene siano state formulate innumerevoli ipotesi.
Come ti sblocco il PIN dell'iPhone - Il caso di San Bernardino - Security Summit - Roma, 7 e 8 giugno 2016 - iisfa.net
La Richiesta Del Giudice VS Sicurezza

L’incipit della richiesta del giudice, che fa,
discutibilmente, dell’All Writs Act del 1789 la    2
propria       leva     normativa,       tradotto
letteralmente risulta essere questo:

1) “fornire      assistenza     tecnica
   ragionevole    per   supportare   gli
   operatori delle Forze dell’Ordine
   nell’ottenere i dati di accesso al
   dispositivo iPhone 5C posto sotto
   sequestro”.

2) All Writs Act del 1789: norma che
   conferisce ai tribunali il potere di
   emettere ordini per rendere esecutivi
   decisioni di altre autorità. (pratica legale 1
   di cui è stato fatto largo utilizzo dagli
   agenti federali nei casi in cui vi fossero
   dispositivi da decriptare).
Come ti sblocco il PIN dell'iPhone - Il caso di San Bernardino - Security Summit - Roma, 7 e 8 giugno 2016 - iisfa.net
Il contenuto tecnico della richiesta
            Ad Apple è stato ingiunto di:

         a)scrivere e firmare digitalmente un
             FIRMWARE personalizzato.
                         e di
      b)Caricare in RAM, tramite modalità DFU,
    la SIF (Software Image File) di tale FIRMWARE.

FIN QUI NULLA DI STRANO, …appare “ragionevole”
  MA andando avanti nella lettura dell’ingiunzione
               si apprende che…
I requisiti (desiderati) del firmware
a) Il firmware deve bypassare o disabilitare l’eventuale
   funzione di autocancellazione dei dati dell’ iPhone dopo 10
   tentativi d’inserimento di PIN errato.
b) Il firmware deve consentire all’FBI d’inserire in modo
   automatico i vari PIN che saranno impiegati per sferrare il brute
   force attack.
c) Il firmware deve permettere all’FBI di eseguire i tentativi
   d’inserimento PIN senza forzare delle attese artificiose fra un
   inserimento e l’altro.

                     L’FBI NON richiede ad Apple
            di forzare password o di scrivere «backdoor»,
 MA di scrivere ex novo e caricare sull’iPhone posto sotto sequestro
              una particolare versione del sistema operativo
              che ne «ammorbidisca» le difese. (FBiOS!)
Diversamente in passato...
a)   Fino agli iPhone 4 era possibile caricare firmware in RAM in modalità DFU e bypassare il PIN.
b)   Dall’iPhone 4S in poi Apple ha irrobustito il sistema di protezione, consentendo però fino alla
     versione 8 di iOS di tentare infiniti PIN attraverso lo sfruttamento di vulnerabilità scoperte dai
     ricercatori.
c)   Già dalla versione 8 di iOS sono stati implementati meccanismi di sicurezza più forti sia
     a livello di hardware sia software, che impediscono ad Apple stessa di entrare nel
     sistema («Legal Process Guidelines»).
            COSA È DUNQUE POSSIBILE DEDURRE DALLA RICHIESTA DI F.B.I.?
a) L’iPhone 5C in uso a Farook ha con tutta probabilità una versione successiva alla 8, dato che la
   società israeliana Cellebrite fornisce uno sblocco di PIN su iPhone/iPad compatibile con tali
   device. (Servizio CAIS di sblocco).

b) L’iPhone di Farook non monta iOS 7 altrimenti, anche in questo caso, come è accaduto in
   passato, avrebbe erogato il proprio servizio di laboratorio (come ha fatto 2 anni fa per alcune
   indagini Procura MI o sbloccando PIN iPhone Pistorius), oppure si
sarebbe potuto bypassare il supporto di Apple utilizzando
                                               IPBOX.
La risposta di Apple
           “Apple Inc’s motion to vacate order compelling Apple Inc. to assiste agents
            in search, and opposition to Government’s motion to compel assistance”.

a) La richiesta dell’FBI:
- Violazione del Primo Emendamento che tutela la libertà di espressione.
- Violazione del Quinto Emendamento sul giusto processo.

b) Apple afferma che il caso NON può essere assolutamente considerato come
eccezione circoscritta al singolo iPhone usato dall’attentatore di San Bernardino
(come invece asserisce l’FBI), ma che al contrario, attraverso questa vicenda, FBI e
Dipartimento di Giustizia stiano puntando ad ottenere "il potere di costringere aziende
come Apple a minare le disposizioni di sicurezza e gli interessi nei confronti della
privacy di centinaia di milioni di utenti di tutto il mondo".
La pronuncia del giudice di New York a
                                     favore di Apple

Pende una causa giudiziaria del tutto analoga a quella di San
Bernardino, ma il giudice di New York afferma che nel caso di San
Bernardino, l'All Writs Act non può essere interpretato in maniera tanto
estensiva da forzare Apple a mettere a rischio la privacy degli utenti.

           Caso New York                           Caso San Bernardino
         iPhone 5S con iOS 7                        iPhone 5C con iOS 9
            Dati estraibili                       Sistema cifratura più forte
         (Apple può entrare)                      (Apple non può entrare)

                          Mero servizio di laboratorio
                                         ≠
                               Creazione tool ex novo
Errare humanum est... Anche per l’FBI
1°errore: CAMBIO PASSWORD iCLOUD per scaricare i contenuti di
backup (backup dei dati recuperato fino 19 ottobre 2015).
MA il cambio della pw di iCloud ha inibito il tentativo di forzare lo
smartphone a eseguire un nuovo backup aggiornato, ottenendo quindi
una parte in più di informazioni.
Come si poteva procedere?
1. Collegare il telefono a una presa di corrente.
2. Agire entro 48 ore dall’ultimo accesso.
3. Far connettere il «device» a una rete WiFi nota (tramite ad esempio PineApple).

2° errore: IPHONE SPENTO O RIAVVIATO DI PROPOSITO?
Lo spegnimento di un device iOS con versione successiva alla 7 causa la perdita
di svariate possibiità di accesso ai dati, poiché al riavvìo (o passate 48 h
dall’ultimo accesso) gli iPhone si «blindano» chiudendo i canali di comunicazione
verso l’esterno.
iOS 9
NAND Mirroring

•   Si applica alla memoria flash all’interno del dispositivo.
•   E’ una operazione che consente di clonare il contenuto della flash
    e operare contemporaneamente su più immagini virtuali della
    stessa.
•   Il procedimento di copia della NAND è anche fisico: si dissalda la
    memoria dal dispositivo e si inserisce in un lettore di chip in grado
    di accedere in lettura e scrittura alla stessa NAND per poi
    lavorare sul processo di scambio dati.
Reset Tentativi di pass-code

La memoria flash NAND contiene il contatore dei tentativi di codici di
accesso, fornendo la possibilità, sempre ripristinabile, di eseguire un
numero di tentativi virtualmente infinito.
De-capping
• De-capping: tecnica che consiste nello scollegare e operare
  fisicamente sul chip di memoria che contiene i dati (la
  cancellazione avviene sulla memoria al superamento dei dieci
  tentativi errati di sblocco)
La procedura consiste nel rimuovere con un acido il chip
saldato sull’iPhone ed esaminare a livello hardware il
contenuto del chip utilizzando un fascio ionico focalizzato.
• Si tratta di un metodo complesso che richiede di
   individuare micron dopo micron le porzioni che
   contengono effettivamente dati, leggendo bit per bit le
   informazioni.
• E’ una tecnica difficoltosa da attuare, complessa, delicata e
   rischiosa.
0-days
Quid (Digital) Forensics?
            Non si tratta di una mera richiesta di laboratorio.
                                 (Jonathan Zdziarski)

                       Creazione tool (forense!) ex novo

                                             cioè
Deve essere validato ed esaminato da altri esperti.
Deve rispettare i requisiti di riproducibilità e prevedibilità dei risultati.
Deve essere messo a disposizione di terze parti, come ad esempio dei periti della
difesa.
Deve essere passato al vaglio di organizzazioni scientifiche «super partes»
(esempio, NIST) e quindi riconosciuto come strumento forense dalla comunità
scientifica.
Deve resistere in dibattimento. Di esso può essere intimato si fornisca il codice.
Novità tecniche e conclusioni

        Lo conoscete?
Domande?
IISFA
                       Italian Chapter – www.iisfa.net

   Grazie per l’attenzione.
          Federica Bertoni e Selene Giupponi
     Security Summit – Roma, 7 e 8 giugno 2016
info@brixiaforensics.com – sg@security-brokers.com
Puoi anche leggere