Come ti sblocco il PIN dell'iPhone - Il caso di San Bernardino - Security Summit - Roma, 7 e 8 giugno 2016 - iisfa.net
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
IISFA Italian Chapter – www.iisfa.net Come ti sblocco il PIN dell’iPhone - Il caso di San Bernardino Federica Bertoni e Selene Giupponi Security Summit – Roma, 7 e 8 giugno 2016
Che cosa è IISFA? L’International Information Systems Forensics Association (IISFA) è un organizzazione senza scopo di lucro con la missione di promuovere la disciplina dell’information Forensics attraverso la divulgazione, l’apprendimento e la certificazione. Info su www.iisfa.net
Gli obiettivi • Rendere disponibile un ambiente professionale e stimolante per lo scambio di idee e di informazioni relative alle tematiche della Forensics tra esperti del settore essendo anche il punto di riferimento per tutti coloro che si avvicinano a tali argomenti . • Creare un network di relazioni tra i membri dell’associazione, favorendo la nascita di opportunità per il miglioramento e la crescita professionale. • Difendere la cultura della professionalità anche attraverso la diffusione della certificazione CIFI.
Chi siamo – Federica Bertoni • Informatico Forense, Libera professionista. • Perito e CTU presso il Tribunale Ordinario di Brescia. • Iscritta al Ruolo dei Periti e degli Esperti della Camera di Commercio di Brescia. • Certificata CIFI (Certified Information System Forensics Investigator). • Socia IISFA (INFORMATION SYSTEM FORENSICS ASSOCIATION ITALIAN CHAPTER). • Socia CLUSIT. • Socia AIP.
Chi siamo – Selene Giupponi • Ingegnere Informatico, specializzato in Computer Forensics & Digital Investigations. • Membro della Commissione ICT dell’Ordine degli Ingegneri della Provincia di Latina. • Socio Aziendale CLUSIT. • Socio IISFA (INFORMATION SYSTEM FORENSICS ASSOCIATION ITALIAN CHAPTER). • CTU Albo Penale e Civile del Tribunale di Latina. • VP & Head of Digital Forensics Unit, Security Brokers ScpA. • Advisor European Courage Focus Group – Cyber Terrorism & CyberCrime – EOS Member. Board • ITU ROSTER OF EXPERTS. • HTCC HIGH TECH CRIME CONSORTIUM Member. • Official Trainer NATO & U.S. NAVY. • CIFI - Certified Information Forensics Investigator, SPEKTOR & UFED.
Agenda • Introduzione e cronologia eventi della vicenda • La richiesta del giudice e i contenuti tecnici della richiesta • Gli errori commessi dall'FBI • Le particolarità di iOS 9 rispetto alle versioni precedenti • Soluzioni tecniche alternative suggerite • Quid Forensics • """"""" Novità tecniche""""" e conclusioni
La cronistoria del caso • 2 dicembre 2015: 14 persone perdono la vita a San Bernardino, per mano di due presunti terroristi dell’Isis, Syed Rizwan Farook e Tashfeen Malik, marito e moglie. • 16 febbraio 2016: il Giudice Federale Eileen M. Decker ingiunge ad Apple di fornire all’FBI l’aiuto tecnico necessario per eseguire un attacco di brute forcing sul PIN dell’iPhone in uso a Farook. • 25 febbraio 2016: Apple risponde in via ufficiale con la “Apple Inc’s motion to vacate order compelling Apple Inc. to assist agents in search, and opposition to Government’s motion to compel assistance”. • 29 febbraio 2016: il giudice federale di New York James Orenstein si pronuncia a favore delle ragioni di Apple e contro l’interpretazione estensiva dell’All Writs Act del 1789. • 22 marzo 2016: data fissata per udienza sul ricorso di Apple, che è cancellata perché FBI sostiene di aver trovato una soluzione tecnica alternativa. Occorrendo del tempo per svolgere dei test, viene richiesto un rinvio al 5 aprile. • 28 marzo 2016, l’FBI inoltra richiesta di deposizione della causa, perché hanno trovato una parte terza che li aiuterà nello sblocco del PIN. Di chi si tratta? Permane tuttora il mistero, sebbene siano state formulate innumerevoli ipotesi.
La Richiesta Del Giudice VS Sicurezza L’incipit della richiesta del giudice, che fa, discutibilmente, dell’All Writs Act del 1789 la 2 propria leva normativa, tradotto letteralmente risulta essere questo: 1) “fornire assistenza tecnica ragionevole per supportare gli operatori delle Forze dell’Ordine nell’ottenere i dati di accesso al dispositivo iPhone 5C posto sotto sequestro”. 2) All Writs Act del 1789: norma che conferisce ai tribunali il potere di emettere ordini per rendere esecutivi decisioni di altre autorità. (pratica legale 1 di cui è stato fatto largo utilizzo dagli agenti federali nei casi in cui vi fossero dispositivi da decriptare).
Il contenuto tecnico della richiesta Ad Apple è stato ingiunto di: a)scrivere e firmare digitalmente un FIRMWARE personalizzato. e di b)Caricare in RAM, tramite modalità DFU, la SIF (Software Image File) di tale FIRMWARE. FIN QUI NULLA DI STRANO, …appare “ragionevole” MA andando avanti nella lettura dell’ingiunzione si apprende che…
I requisiti (desiderati) del firmware a) Il firmware deve bypassare o disabilitare l’eventuale funzione di autocancellazione dei dati dell’ iPhone dopo 10 tentativi d’inserimento di PIN errato. b) Il firmware deve consentire all’FBI d’inserire in modo automatico i vari PIN che saranno impiegati per sferrare il brute force attack. c) Il firmware deve permettere all’FBI di eseguire i tentativi d’inserimento PIN senza forzare delle attese artificiose fra un inserimento e l’altro. L’FBI NON richiede ad Apple di forzare password o di scrivere «backdoor», MA di scrivere ex novo e caricare sull’iPhone posto sotto sequestro una particolare versione del sistema operativo che ne «ammorbidisca» le difese. (FBiOS!)
Diversamente in passato... a) Fino agli iPhone 4 era possibile caricare firmware in RAM in modalità DFU e bypassare il PIN. b) Dall’iPhone 4S in poi Apple ha irrobustito il sistema di protezione, consentendo però fino alla versione 8 di iOS di tentare infiniti PIN attraverso lo sfruttamento di vulnerabilità scoperte dai ricercatori. c) Già dalla versione 8 di iOS sono stati implementati meccanismi di sicurezza più forti sia a livello di hardware sia software, che impediscono ad Apple stessa di entrare nel sistema («Legal Process Guidelines»). COSA È DUNQUE POSSIBILE DEDURRE DALLA RICHIESTA DI F.B.I.? a) L’iPhone 5C in uso a Farook ha con tutta probabilità una versione successiva alla 8, dato che la società israeliana Cellebrite fornisce uno sblocco di PIN su iPhone/iPad compatibile con tali device. (Servizio CAIS di sblocco). b) L’iPhone di Farook non monta iOS 7 altrimenti, anche in questo caso, come è accaduto in passato, avrebbe erogato il proprio servizio di laboratorio (come ha fatto 2 anni fa per alcune indagini Procura MI o sbloccando PIN iPhone Pistorius), oppure si sarebbe potuto bypassare il supporto di Apple utilizzando IPBOX.
La risposta di Apple “Apple Inc’s motion to vacate order compelling Apple Inc. to assiste agents in search, and opposition to Government’s motion to compel assistance”. a) La richiesta dell’FBI: - Violazione del Primo Emendamento che tutela la libertà di espressione. - Violazione del Quinto Emendamento sul giusto processo. b) Apple afferma che il caso NON può essere assolutamente considerato come eccezione circoscritta al singolo iPhone usato dall’attentatore di San Bernardino (come invece asserisce l’FBI), ma che al contrario, attraverso questa vicenda, FBI e Dipartimento di Giustizia stiano puntando ad ottenere "il potere di costringere aziende come Apple a minare le disposizioni di sicurezza e gli interessi nei confronti della privacy di centinaia di milioni di utenti di tutto il mondo".
La pronuncia del giudice di New York a favore di Apple Pende una causa giudiziaria del tutto analoga a quella di San Bernardino, ma il giudice di New York afferma che nel caso di San Bernardino, l'All Writs Act non può essere interpretato in maniera tanto estensiva da forzare Apple a mettere a rischio la privacy degli utenti. Caso New York Caso San Bernardino iPhone 5S con iOS 7 iPhone 5C con iOS 9 Dati estraibili Sistema cifratura più forte (Apple può entrare) (Apple non può entrare) Mero servizio di laboratorio ≠ Creazione tool ex novo
Errare humanum est... Anche per l’FBI 1°errore: CAMBIO PASSWORD iCLOUD per scaricare i contenuti di backup (backup dei dati recuperato fino 19 ottobre 2015). MA il cambio della pw di iCloud ha inibito il tentativo di forzare lo smartphone a eseguire un nuovo backup aggiornato, ottenendo quindi una parte in più di informazioni. Come si poteva procedere? 1. Collegare il telefono a una presa di corrente. 2. Agire entro 48 ore dall’ultimo accesso. 3. Far connettere il «device» a una rete WiFi nota (tramite ad esempio PineApple). 2° errore: IPHONE SPENTO O RIAVVIATO DI PROPOSITO? Lo spegnimento di un device iOS con versione successiva alla 7 causa la perdita di svariate possibiità di accesso ai dati, poiché al riavvìo (o passate 48 h dall’ultimo accesso) gli iPhone si «blindano» chiudendo i canali di comunicazione verso l’esterno.
iOS 9
NAND Mirroring • Si applica alla memoria flash all’interno del dispositivo. • E’ una operazione che consente di clonare il contenuto della flash e operare contemporaneamente su più immagini virtuali della stessa. • Il procedimento di copia della NAND è anche fisico: si dissalda la memoria dal dispositivo e si inserisce in un lettore di chip in grado di accedere in lettura e scrittura alla stessa NAND per poi lavorare sul processo di scambio dati.
Reset Tentativi di pass-code La memoria flash NAND contiene il contatore dei tentativi di codici di accesso, fornendo la possibilità, sempre ripristinabile, di eseguire un numero di tentativi virtualmente infinito.
De-capping • De-capping: tecnica che consiste nello scollegare e operare fisicamente sul chip di memoria che contiene i dati (la cancellazione avviene sulla memoria al superamento dei dieci tentativi errati di sblocco) La procedura consiste nel rimuovere con un acido il chip saldato sull’iPhone ed esaminare a livello hardware il contenuto del chip utilizzando un fascio ionico focalizzato. • Si tratta di un metodo complesso che richiede di individuare micron dopo micron le porzioni che contengono effettivamente dati, leggendo bit per bit le informazioni. • E’ una tecnica difficoltosa da attuare, complessa, delicata e rischiosa.
0-days
Quid (Digital) Forensics? Non si tratta di una mera richiesta di laboratorio. (Jonathan Zdziarski) Creazione tool (forense!) ex novo cioè Deve essere validato ed esaminato da altri esperti. Deve rispettare i requisiti di riproducibilità e prevedibilità dei risultati. Deve essere messo a disposizione di terze parti, come ad esempio dei periti della difesa. Deve essere passato al vaglio di organizzazioni scientifiche «super partes» (esempio, NIST) e quindi riconosciuto come strumento forense dalla comunità scientifica. Deve resistere in dibattimento. Di esso può essere intimato si fornisca il codice.
Novità tecniche e conclusioni Lo conoscete?
Domande?
IISFA Italian Chapter – www.iisfa.net Grazie per l’attenzione. Federica Bertoni e Selene Giupponi Security Summit – Roma, 7 e 8 giugno 2016 info@brixiaforensics.com – sg@security-brokers.com
Puoi anche leggere