Come ti sblocco il PIN dell'iPhone - Il caso di San Bernardino - Security Summit - Roma, 7 e 8 giugno 2016 - iisfa.net
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
IISFA
Italian Chapter – www.iisfa.net
Come ti sblocco il PIN
dell’iPhone - Il caso di San Bernardino
Federica Bertoni e Selene Giupponi
Security Summit – Roma, 7 e 8 giugno 2016
Che cosa è IISFA?
L’International Information Systems
Forensics Association (IISFA) è un
organizzazione senza scopo di lucro
con la missione di promuovere la
disciplina dell’information Forensics
attraverso la divulgazione,
l’apprendimento e la certificazione.
Info su www.iisfa.net
Gli obiettivi • Rendere disponibile un ambiente professionale e stimolante per lo scambio di idee e di informazioni relative alle tematiche della Forensics tra esperti del settore essendo anche il punto di riferimento per tutti coloro che si avvicinano a tali argomenti . • Creare un network di relazioni tra i membri dell’associazione, favorendo la nascita di opportunità per il miglioramento e la crescita professionale. • Difendere la cultura della professionalità anche attraverso la diffusione della certificazione CIFI.
Chi siamo – Federica Bertoni
• Informatico Forense, Libera professionista.
• Perito e CTU presso il Tribunale Ordinario di Brescia.
• Iscritta al Ruolo dei Periti e degli Esperti della Camera di Commercio di
Brescia.
• Certificata CIFI (Certified Information System Forensics Investigator).
• Socia IISFA (INFORMATION SYSTEM FORENSICS ASSOCIATION ITALIAN
CHAPTER).
• Socia CLUSIT.
• Socia AIP.
Chi siamo – Selene Giupponi
• Ingegnere Informatico, specializzato in Computer Forensics & Digital Investigations.
• Membro della Commissione ICT dell’Ordine degli Ingegneri della Provincia di Latina.
• Socio Aziendale CLUSIT.
• Socio IISFA (INFORMATION SYSTEM FORENSICS ASSOCIATION ITALIAN CHAPTER).
• CTU Albo Penale e Civile del Tribunale di Latina.
• VP & Head of Digital Forensics Unit, Security Brokers ScpA.
• Advisor European Courage Focus Group – Cyber Terrorism & CyberCrime – EOS Member.
Board
• ITU ROSTER OF EXPERTS.
• HTCC HIGH TECH CRIME CONSORTIUM Member.
• Official Trainer NATO & U.S. NAVY.
• CIFI - Certified Information Forensics Investigator, SPEKTOR & UFED.
Agenda • Introduzione e cronologia eventi della vicenda • La richiesta del giudice e i contenuti tecnici della richiesta • Gli errori commessi dall'FBI • Le particolarità di iOS 9 rispetto alle versioni precedenti • Soluzioni tecniche alternative suggerite • Quid Forensics • """"""" Novità tecniche""""" e conclusioni
La cronistoria del caso
• 2 dicembre 2015: 14 persone perdono la vita a San Bernardino, per mano di due
presunti terroristi dell’Isis, Syed Rizwan Farook e Tashfeen Malik, marito e moglie.
• 16 febbraio 2016: il Giudice Federale Eileen M. Decker ingiunge ad Apple di fornire
all’FBI l’aiuto tecnico necessario per eseguire un attacco di brute forcing sul PIN
dell’iPhone in uso a Farook.
• 25 febbraio 2016: Apple risponde in via ufficiale con la “Apple Inc’s motion to vacate
order compelling Apple Inc. to assist agents in search, and opposition to
Government’s motion to compel assistance”.
• 29 febbraio 2016: il giudice federale di New York James Orenstein si pronuncia a
favore delle ragioni di Apple e contro l’interpretazione estensiva dell’All Writs Act del
1789.
• 22 marzo 2016: data fissata per udienza sul ricorso di Apple, che è cancellata
perché FBI sostiene di aver trovato una soluzione tecnica alternativa. Occorrendo
del tempo per svolgere dei test, viene richiesto un rinvio al 5 aprile.
• 28 marzo 2016, l’FBI inoltra richiesta di deposizione della causa, perché hanno
trovato una parte terza che li aiuterà nello sblocco del PIN. Di chi si tratta?
Permane tuttora il mistero, sebbene siano state formulate innumerevoli ipotesi.
La Richiesta Del Giudice VS Sicurezza L’incipit della richiesta del giudice, che fa, discutibilmente, dell’All Writs Act del 1789 la 2 propria leva normativa, tradotto letteralmente risulta essere questo: 1) “fornire assistenza tecnica ragionevole per supportare gli operatori delle Forze dell’Ordine nell’ottenere i dati di accesso al dispositivo iPhone 5C posto sotto sequestro”. 2) All Writs Act del 1789: norma che conferisce ai tribunali il potere di emettere ordini per rendere esecutivi decisioni di altre autorità. (pratica legale 1 di cui è stato fatto largo utilizzo dagli agenti federali nei casi in cui vi fossero dispositivi da decriptare).
Il contenuto tecnico della richiesta
Ad Apple è stato ingiunto di:
a)scrivere e firmare digitalmente un
FIRMWARE personalizzato.
e di
b)Caricare in RAM, tramite modalità DFU,
la SIF (Software Image File) di tale FIRMWARE.
FIN QUI NULLA DI STRANO, …appare “ragionevole”
MA andando avanti nella lettura dell’ingiunzione
si apprende che…I requisiti (desiderati) del firmware
a) Il firmware deve bypassare o disabilitare l’eventuale
funzione di autocancellazione dei dati dell’ iPhone dopo 10
tentativi d’inserimento di PIN errato.
b) Il firmware deve consentire all’FBI d’inserire in modo
automatico i vari PIN che saranno impiegati per sferrare il brute
force attack.
c) Il firmware deve permettere all’FBI di eseguire i tentativi
d’inserimento PIN senza forzare delle attese artificiose fra un
inserimento e l’altro.
L’FBI NON richiede ad Apple
di forzare password o di scrivere «backdoor»,
MA di scrivere ex novo e caricare sull’iPhone posto sotto sequestro
una particolare versione del sistema operativo
che ne «ammorbidisca» le difese. (FBiOS!)Diversamente in passato...
a) Fino agli iPhone 4 era possibile caricare firmware in RAM in modalità DFU e bypassare il PIN.
b) Dall’iPhone 4S in poi Apple ha irrobustito il sistema di protezione, consentendo però fino alla
versione 8 di iOS di tentare infiniti PIN attraverso lo sfruttamento di vulnerabilità scoperte dai
ricercatori.
c) Già dalla versione 8 di iOS sono stati implementati meccanismi di sicurezza più forti sia
a livello di hardware sia software, che impediscono ad Apple stessa di entrare nel
sistema («Legal Process Guidelines»).
COSA È DUNQUE POSSIBILE DEDURRE DALLA RICHIESTA DI F.B.I.?
a) L’iPhone 5C in uso a Farook ha con tutta probabilità una versione successiva alla 8, dato che la
società israeliana Cellebrite fornisce uno sblocco di PIN su iPhone/iPad compatibile con tali
device. (Servizio CAIS di sblocco).
b) L’iPhone di Farook non monta iOS 7 altrimenti, anche in questo caso, come è accaduto in
passato, avrebbe erogato il proprio servizio di laboratorio (come ha fatto 2 anni fa per alcune
indagini Procura MI o sbloccando PIN iPhone Pistorius), oppure si
sarebbe potuto bypassare il supporto di Apple utilizzando
IPBOX.La risposta di Apple
“Apple Inc’s motion to vacate order compelling Apple Inc. to assiste agents
in search, and opposition to Government’s motion to compel assistance”.
a) La richiesta dell’FBI:
- Violazione del Primo Emendamento che tutela la libertà di espressione.
- Violazione del Quinto Emendamento sul giusto processo.
b) Apple afferma che il caso NON può essere assolutamente considerato come
eccezione circoscritta al singolo iPhone usato dall’attentatore di San Bernardino
(come invece asserisce l’FBI), ma che al contrario, attraverso questa vicenda, FBI e
Dipartimento di Giustizia stiano puntando ad ottenere "il potere di costringere aziende
come Apple a minare le disposizioni di sicurezza e gli interessi nei confronti della
privacy di centinaia di milioni di utenti di tutto il mondo".La pronuncia del giudice di New York a
favore di Apple
Pende una causa giudiziaria del tutto analoga a quella di San
Bernardino, ma il giudice di New York afferma che nel caso di San
Bernardino, l'All Writs Act non può essere interpretato in maniera tanto
estensiva da forzare Apple a mettere a rischio la privacy degli utenti.
Caso New York Caso San Bernardino
iPhone 5S con iOS 7 iPhone 5C con iOS 9
Dati estraibili Sistema cifratura più forte
(Apple può entrare) (Apple non può entrare)
Mero servizio di laboratorio
≠
Creazione tool ex novoErrare humanum est... Anche per l’FBI 1°errore: CAMBIO PASSWORD iCLOUD per scaricare i contenuti di backup (backup dei dati recuperato fino 19 ottobre 2015). MA il cambio della pw di iCloud ha inibito il tentativo di forzare lo smartphone a eseguire un nuovo backup aggiornato, ottenendo quindi una parte in più di informazioni. Come si poteva procedere? 1. Collegare il telefono a una presa di corrente. 2. Agire entro 48 ore dall’ultimo accesso. 3. Far connettere il «device» a una rete WiFi nota (tramite ad esempio PineApple). 2° errore: IPHONE SPENTO O RIAVVIATO DI PROPOSITO? Lo spegnimento di un device iOS con versione successiva alla 7 causa la perdita di svariate possibiità di accesso ai dati, poiché al riavvìo (o passate 48 h dall’ultimo accesso) gli iPhone si «blindano» chiudendo i canali di comunicazione verso l’esterno.
iOS 9
NAND Mirroring
• Si applica alla memoria flash all’interno del dispositivo.
• E’ una operazione che consente di clonare il contenuto della flash
e operare contemporaneamente su più immagini virtuali della
stessa.
• Il procedimento di copia della NAND è anche fisico: si dissalda la
memoria dal dispositivo e si inserisce in un lettore di chip in grado
di accedere in lettura e scrittura alla stessa NAND per poi
lavorare sul processo di scambio dati.Reset Tentativi di pass-code La memoria flash NAND contiene il contatore dei tentativi di codici di accesso, fornendo la possibilità, sempre ripristinabile, di eseguire un numero di tentativi virtualmente infinito.
De-capping • De-capping: tecnica che consiste nello scollegare e operare fisicamente sul chip di memoria che contiene i dati (la cancellazione avviene sulla memoria al superamento dei dieci tentativi errati di sblocco) La procedura consiste nel rimuovere con un acido il chip saldato sull’iPhone ed esaminare a livello hardware il contenuto del chip utilizzando un fascio ionico focalizzato. • Si tratta di un metodo complesso che richiede di individuare micron dopo micron le porzioni che contengono effettivamente dati, leggendo bit per bit le informazioni. • E’ una tecnica difficoltosa da attuare, complessa, delicata e rischiosa.
0-days
Quid (Digital) Forensics?
Non si tratta di una mera richiesta di laboratorio.
(Jonathan Zdziarski)
Creazione tool (forense!) ex novo
cioè
Deve essere validato ed esaminato da altri esperti.
Deve rispettare i requisiti di riproducibilità e prevedibilità dei risultati.
Deve essere messo a disposizione di terze parti, come ad esempio dei periti della
difesa.
Deve essere passato al vaglio di organizzazioni scientifiche «super partes»
(esempio, NIST) e quindi riconosciuto come strumento forense dalla comunità
scientifica.
Deve resistere in dibattimento. Di esso può essere intimato si fornisca il codice.Novità tecniche e conclusioni
Lo conoscete?Domande?
IISFA
Italian Chapter – www.iisfa.net
Grazie per l’attenzione.
Federica Bertoni e Selene Giupponi
Security Summit – Roma, 7 e 8 giugno 2016
info@brixiaforensics.com – sg@security-brokers.comPuoi anche leggere
