iPhone Forensics Days presso l’Università di Milano

iPhone Forensics DaysMartedì 24 e mercoledì 25 maggio 2016 si terranno presso l’Università degli Studi di Milano due giornate di full immersion sull’iPhone Forensics. Grazie alla partecipazione di tecnici e giuristi, verranno presentate e discusse le problematiche legate all’accesso, estrazione, acquisizione locale e remota da dispositivi Apple iOS come iPhone e iPad e il recupero dati dai backup realizzati su PC o su iCloud. Si parlerà anche di trojan/captatori e di confronti con gli altri Sistemi Operativi come Windows Phone e Android. Le due giornate sono a ingresso libero e gratuito, senza necessità d’iscrizione, si precisa che non saranno concessi crediti formativi.

Abstract

Il dibattito politico e la “guerra giudiziaria” generati dal ritrovamento di un iPhone di un terrorista durante le indagini correlate alla strage di S. Bernardino negli Stati Uniti d’America, e la successiva richiesta legale ad Apple di violare il sistema operativo al fine di poter permettere le indagini sul dispositivo bloccato, hanno reso d’attualità il problema della protezione crittografica dei dispositivi personali e delle comunicazioni in generale. Qual è il reale livello di protezione e di privacy oggi? Dove si colloca il delicato equilibrio tra libertà e sicurezza, tra privacy e potere investigativo dell’autorità, tra esigenze di controllo ed esigenze di libertà del cittadino nell’utilizzo dei suoi strumenti informatici quotidiani? Quali sono i metodi migliori per trattare, a livello investigativo, un dispositivo complesso quale l’iPhone, nelle sue differenti versioni?

Programma

Le due giornate affronteranno tematiche ben distinte, con un approccio originale.

La prima giornata si terrà martedì 24 maggio, dalle ore 10:00 alle 18:00 presso la Sala Crociera in Via Festa del Perdono n. 7 a Milano e sarà orientata alle questioni tecniche, con dimostrazioni pratiche di metodologie, software di acquisizione e recupero dati da cellulare e strumenti di mobile forensics utilizzati dai consulenti tecnici nell’ambito della perizia informatica sugli smartphone. I tecnici analizzeranno la tecnologia alla base dell’iPhone mostrando i sistemi di protezione dei dati, le modalità migliori per effettuare investigazioni e l’acquisizione del contenuto degli smartphone, inclusi i backup realizzati su PC o su iCloud, i problemi pratici che possono occorrere durante le indagini e le perizie tecniche forensi, le possibilità di violazione dei sistemi di sicurezza del telefono e del Cloud.

La seconda giornata si terrà mercoledì 25 maggio, dalle ore 10:00 alle 18:00 presso la Sala Napoleonica in Via S. Antonio n. 10 s Milano e sarà orientata alle questioni politiche e giuridiche legate all’accesso ai dati e lo sblocco dei dispositivi protetti da PIN. I giuristi affronteranno, in senso lato, il problema delle crypto wars e del rapporto tra l’azione dell’autorità giudiziaria e la protezione fornita oggi dalle tecnologie più comuni.

Relatori

Raffaele Zallone, Giovanni Ziccardi, Pierluigi Perri, Stefano Zanero, Mattia Epifani, Matteo Flora, Andrea Ghirardini, Paolo Dal Checco, Stefano Sutti, Giuseppe Vaciago, Gerardo Costabile, Davide Gabrini, Litiano Piccin, Giovanni Battista Gallus, Matteo Giacomo Jori, Stefano Mele, Giuseppe Nicosia, Monica A. Senor.

Locandina

E’ possibile scaricare la locandina PDF delle due giornate dedicate all’iPhone Forensics.

Il Consulente Tecnico Informatico nel Processo

Il Consulente Tecnico Informatico nel ProcessoGiovedì 28 aprile si terrà a Roma il primo evento annuale organizzato dall’Osservatorio Nazionale d’Informatica Forense ONIF – di cui faccio parte come membro del direttivo – intitolato “Il Consulente Tecnico Informatico nel Processo” e organizzato con la collaborazione dell’Ordine degli Ingegneri e dell’Ordine Avvocati di Roma.

La sessione mattutina ospiterà, dalle ore 10:00 alle 13:00, l’Assemblea Annuale riservata ai soli soci ONIF, presso il Best Western Hotel Mondial, in Via Torino 127, Roma. Durante la sessione mattutina verranno presentate le iniziative svolte dall’associazione ONIF nel suo primo anno di attività, secondo il seguente programma:

  • Registrazione partecipanti & Welcome coffee
  • Un anno di ONIF: dalla fondazione al primo evento  (Ing. Paolo Reale)
  • Bilancio economico dell’associazione ONIF 2015-2016 (Dott. Mattia Epifani)
  • II sito ONIF (Dott. Paolo Dal Checco)
  • Le mailing list ONIF (Dott. Nanni Bassetti)
  • Elezione di un nuovo componente del Direttivo in sostituzione di Pasquale Stirparo (dimissionario)
  • Idee e progetti per il 2016/2017 (Dibattito aperto a tutti)

La sessione pomeridiana, che si terrà dalle ore 14:30 alle ore 18:30, con il titolo “Il Consulente Tecnico Informatico nel Processo”, vedrà interventi che faranno emergere la necessità di comprendere il valore di una competenza sempre più utilizzata ma non adeguatamente valorizzata, quella del Consulente Informatico Forense. La sessione pomeridiana si terrà in Sala Pastorelli, in Via Genova, 3/a, Ministero dell’Interno c/o Dip. Vigili dei Fuoco.

Il moderatore della sessione pomeridiana dell’evento ONIF sarà il Dott. Giuseppe Latour, Giornalista de “Il Sole 24 Ore”, che introdurrà una sessione che seguirà il seguente programma:

  • Introduzione ai lavori e saluti iniziali (Dott. Ing. Carla Cappiello – Presidente Ordine degli Ingegneri della Provincia di Roma e Dott. Ing. Marco Ghimenti – Comandante Nucleo Provinciale VV.FF. Roma)
  • Chi sono gli informatici forensi in Italia: il ritratto emerso dalla survey 2015 ONIF (Ing. Paolo Reale – Presidente ONIF e Presidente commissione informatica dell’Ordine Ingegneri di Roma, Dott. Mattia Epifani – Ricercatore presso ITTIG (CNR) e Consulente di Informatica Forense)
  • II Pubblico Ministero e l’Informatica Forense: come sono cambiate le attività di indagine (Dott. Eugenio Albamonte – Pubblico Ministero presso la Procura di Roma Componente del pool per il contrasto alla criminalità informatica ed al cyber terrorismo)
  • Le nuove competenze dell’avvocato in relazione alla prova informatica (Avv. Guglielmo Lomanno – Referente per l’informatica del Consiglio dell’ Ordine degli Avvocati di Roma)
  • Informatica forense come scienza forense (Dott. Nanni Bassetti – Fondatore progetto C.A.IN.E. e Consulente di informatica forense)
  • II Consulente Tecnico di Informatica Forense (Dott. Michele Ferrazzano, Ph.D. – Professore a Contratto di Informatica Forense Università di Bologna)

Seguirà una una tavola rotonda moderata dal Dott. Sabrina Scampini – Giornalista e conduttore TV che vedrà il Dott. Ing. Carla Cappiello, il Gen. Umberto Rapetto, l’Avv. Guglielmo Lomanno, l’Ing Paolo Reale e il Dott. Eugenio Albamonte discutere dell’argomento “La prova scientifica nel processo: chi è l’esperto forense?“.

Disponibile per il download la locandina PDF dell’evento ONIF “Il Consulente Tecnico Informatico nel Processo“.

Seminario su Prova Digitale e Indagini Informatiche

Prova Digitale e Indagini InformaticheGiovedì 7 aprile 2016 alle ore 10:30 terrò, presso l’Università degli Studi Milano Bicocca, un seminario su “La Prova digitale e le Indagini Informatiche“, illustrando le diverse modalità di acquisizione della prova nell’ambito della perizia informatica e delle indagini digitali. Il seminario è organizzato dal Prof. Andrea Rossetti nell’ambito della Cattedra di Filosofia del Diritto, A.A. 2015/2016, è aperto a tutti e avrà sede presso l’Università degli Studi Milano Bicocca, edificio U6 aula 35, Piazza dell’Ateneo Nuovo 1, a Milano, dalle 10:30 alle 12:00.

Si partirà dalle modifiche introdotte nel Codice di Procedura Penale dalla Legge 48/2008 per poi illustrare le basi dell’acquisizione forense di evidenze riprese dall’RFC 3227. Verranno quindi presentati gli strumenti, le metodologie e le problematiche della copia forense di hard disk nell’ambito della computer forensics. Si parlerà quindi dei tool e delle soluzioni per acquisizione forense e recupero dati che si dimostrano attività strategiche durante la perizia su cellulari e smartphone, con alcuni cenni sulle novità emerse con il caso dello sblocco dell’iPhone di San Bernardino.

Dopo aver trattato la perizia informatica forense su computer e cellulari, l’attenzione si sposterà sull’acquisizione forense di siti web e delle evidenze online come profili Facebook, Twitter o Instagram. Anche in questo caso, è necessario seguire particolari metodologie per preservare l’integrità dei dati e garantire la catena di conservazione.

In conclusione, alcuni casi studio come la ormai tradizionale perizia tecnica sul “dipendente infedele” che trafuga i dati aziendali tramite email o pendrive, connessioni di rete o dischi esterni e lascia tracce indelebili che permetteranno al consulente informatico forense di ricostruire le attività eseguite dal dipendente tramite realizzazione di timeline, supertimeline, ricostruzione dell’utilizzo delle periferiche esterne USB, etc…

La presentazione sarà corredata da esempi e aneddoti che illustrano cosa fare e cosa non fare durante le fasi di identificazione, acquisizione, analisi e produzione della consulenza tecnica informatica.

Who unlocked the San Bernardino iPhone?

Yesterday, Monday, March 28, 2016 the US Government issued the report where they say they successfully unlock the PIN code of Farook’s iPhone, seized after the San Bernardino attack. The message says that “the government has now successfully accessed the data stored on Farook’s iPhone and therefore no longer requires the assistance from Apple Inc.”.

Such news was anticipated a few days ago by another official document where the US Government said that an “outside party” demonstrated to the FBI a possible method for unlocking Farook’s iPhone and that testing was required to determine whether that would be a viable method that will not compromise data on the phone.

After the public statement of march 22 about someone being able to unlock the iPhone without Apple’s support, rumours said that the “outside party” might be the Israeli firm Cellebrite, which provide mobile forensics services and software, but today, after the successful data extraction report, voices were not confirmed but sometimes even denied.

Doing some OSINT, Open Source Intelligence, on public information we can read something quite interesting: the Federal Procurement Data System reports that on march 21 (the same day as the “outside party” possibility of unlocking the iPhone public report) FBI issued a purchase order for about $15.000 to Cellebrite for “INFORMATION TECHNOLOGY SOFTWARE” [WBM]. The purchase order was noticed by researchers and published on Twitter.

DJF161200P0004424 Cellebrite FBI Purchase Order

Award ID (Mod#):
DJF161200P0004424 ( 0 ) (View) Award Type: PURCHASE ORDER
Vendor Name: CELLEBRITE USA CORP Contracting Agency: FEDERAL BUREAU OF INVESTIGATION
Date Signed: March 21, 2016 Action Obligation: $15,278.02
Referenced IDV: Contracting Office: DEPT OF JUST/FEDERAL BUREAU OF INVESTIGATION
NAICS (Code): RADIO AND TELEVISION BROADCASTING AND WIRELESS COMMUNICATIONS EQUIPMENT MANUFACTURING ( 334220 ) PSC (Code): INFORMATION TECHNOLOGY SOFTWARE ( 7030 )
Vendor City: PARSIPPANY Vendor DUNS: 033095568
Vendor State: NJ Vendor ZIP: 070544413
Global Vendor Name: CELLEBRITE USA CORP Global DUNS Number: 033095568

The news was not considered as a proof, even if the coincidence is weird, since FBI issued many purchase orders to Cellebrite during past years and since the “7030” code “INFORMATION TECHNOLOGY SOFTWARE” might be related to software supply.

What’s more relevant is that some Open Source Intelligence can show that the above is not the last purchase order issued on March. Yesterday, Monday, March 28th, FBI purchased from Cellebrite $218.000 of “INFORMATION TECHNOLOGY SUPPLIES”  [WBM].

DJF161200G0004569 Cellebrite FBI Purchase Order

Award ID (Mod#):
DJF161200G0004569 ( 0 ) (View) Award Type: PURCHASE ORDER
Vendor Name: CELLEBRITE USA CORP Contracting Agency: FEDERAL BUREAU OF INVESTIGATION
Date Signed: March 28, 2016 Action Obligation: $218,004.85
Referenced IDV: Contracting Office: DEPT OF JUST/FEDERAL BUREAU OF INVESTIGATION
NAICS (Code): RADIO AND TELEVISION BROADCASTING AND WIRELESS COMMUNICATIONS EQUIPMENT MANUFACTURING ( 334220 ) PSC (Code): INFORMATION TECHNOLOGY SUPPLIES ( 7045 )
Vendor City: PARSIPPANY Vendor DUNS: 033095568
Vendor State: NJ Vendor ZIP: 070544413
Global Vendor Name: CELLEBRITE USA CORP Global DUNS Number: 033095568

It might be a simple coincidence, but if we issue the query  <<CONTRACTING_AGENCY_NAME:”FEDERAL BUREAU OF INVESTIGATION” VENDOR_FULL_NAME:”CELLEBRITE USA CORP>> on the FPDS search engine, in the EZ Search section, we can see and download the full history of purchase orders issued by “FEDERAL BUREAU OF INVESTIGATION” to “CELLEBRITE USA CORP” [WBM]. We can observe that since September 2009 Cellebrite was given 187 purchase orders, but the purchase order issued yesterday, with ID “DJF161200G0004569”, is rather unique in that:

  • it’s the only one with an action obligation of more than $ 200.000 issued with “CELLEBRITE USA CORP” (the average for purchase orders is about  $11.000);
  • it’s the only one with the “INFORMATION TECHNOLOGY SUPPLIES” description and PSC type “7045”;
  • it was issued yesterday, when the US Government published a note informing that the San Bernardino iPhone was successfully unlocked and data was successfully accessed, presumably by an “outside party” as they said in the previous note.

In conclusion, we don’t know if Cellebrite was involved in San Bernardino iPhone PIN unlocking, we know that Cellebrite is able to unlock iPhons up to iOS 7 and iOS8 with 32bit processors and on iPhone 4s/5/5c, iPad 2/3/4, iPad Mini 1 and… the coincidence of yesterday’s purchase order is rather weird.

Chi ha sbloccato l’iPhone di San Bernardino?

Di ieri lunedì 28 marzo 2016 la dichiarazione con la quale il Governo USA comunica di aver sbloccato con successo l’iPhone di Syed Farook, sequestrato dopo la strage di San Bernardino. La notizia non giunge inaspettata, dato che in un’altra dichiarazione ufficiale pochi giorni fa il Governo USA aveva dichiarato che una “outside party” poteva essere in grado di trovare il PIN del dispositivo. Nel comunicato si legge che “il Governo ha avuto accesso ai dati memorizzati nell’iPhone di Farook e quindi non vi è più la necessità di richiedere assistenza da parte di Apple, come inizialmente formulato in data 16 febbraio.

Dopo la comunicazione del 22 marzo circa la possibilità di sbloccare l’iPhone senza l’aiuto di Apple, giravano voci che la “outside party” fosse l’israeliana Cellebrite, fornitori di software e servizi di mobile forensics, e oggi, dopo il comunicato della riuscita dell’operazione, rimane il mistero e si leggono persino smentite.

Facendo un po’ di OSINT, intelligence sulle fonti aperte, è possibile però rilevare un dato interessante: consultando il sito pubblico del Federal Procurement Data System (una sorta di portale delle Spese di Giustizia che riporta i dati di fornitori, bandi, importi minimi pattuiti, etc…) emerge come proprio il 21 marzo (data della comunicazione di un potenziale “outside party”) l’FBI abbia ha immesso un ordine di acquisto di circa $15.000 nei confronti di Cellebrite per “INFORMATION TECHNOLOGY SOFTWARE” [WBM], cosa che su Twitter aveva già destato l’attenzione di alcuni osservatori.

DJF161200P0004424 Cellebrite FBI Purchase Order

Award ID (Mod#):
DJF161200P0004424 ( 0 ) (View) Award Type: PURCHASE ORDER
Vendor Name: CELLEBRITE USA CORP Contracting Agency: FEDERAL BUREAU OF INVESTIGATION
Date Signed: March 21, 2016 Action Obligation: $15,278.02
Referenced IDV: Contracting Office: DEPT OF JUST/FEDERAL BUREAU OF INVESTIGATION
NAICS (Code): RADIO AND TELEVISION BROADCASTING AND WIRELESS COMMUNICATIONS EQUIPMENT MANUFACTURING ( 334220 ) PSC (Code): INFORMATION TECHNOLOGY SOFTWARE ( 7030 )
Vendor City: PARSIPPANY Vendor DUNS: 033095568
Vendor State: NJ Vendor ZIP: 070544413
Global Vendor Name: CELLEBRITE USA CORP Global DUNS Number: 033095568

La cosa è passata in secondo piano, visto il grande numero di commesse che l’FBI affida a Cellebrite, anche se in realtà quella è soltanto la quarta del 2016. Il codice 7030 “INFORMATION TECHNOLOGY SOFTWARE” potrebbe infatti essere relativo all’acquisto di software, anche se la data in cui è stata effettuata tale spesa è certamente curiosa.

Ciò che invece risulta più rilevante facendo una ricerca tramite Open Source Intelligence è che quella commessa non è l’ultima: proprio ieri, lunedì 28 marzo 2016, l’FBI ha acquistato da Cellebrite servizi di “INFORMATION TECHNOLOGY SUPPLIES” per un totale di circa $218.000 [WBM].

DJF161200G0004569 Cellebrite FBI Purchase Order

Award ID (Mod#):
DJF161200G0004569 ( 0 ) (View) Award Type: PURCHASE ORDER
Vendor Name: CELLEBRITE USA CORP Contracting Agency: FEDERAL BUREAU OF INVESTIGATION
Date Signed: March 28, 2016 Action Obligation: $218,004.85
Referenced IDV: Contracting Office: DEPT OF JUST/FEDERAL BUREAU OF INVESTIGATION
NAICS (Code): RADIO AND TELEVISION BROADCASTING AND WIRELESS COMMUNICATIONS EQUIPMENT MANUFACTURING ( 334220 ) PSC (Code): INFORMATION TECHNOLOGY SUPPLIES ( 7045 )
Vendor City: PARSIPPANY Vendor DUNS: 033095568
Vendor State: NJ Vendor ZIP: 070544413
Global Vendor Name: CELLEBRITE USA CORP Global DUNS Number: 033095568

Ora questa potrebbe certamente essere una coincidenza o un semplice “rinnovo licenze” come riporta il dettaglio della spesa, ma se eseguiamo sul portale FPDS nella sezione EZ Search la query <<CONTRACTING_AGENCY_NAME:”FEDERAL BUREAU OF INVESTIGATION” VENDOR_FULL_NAME:”CELLEBRITE USA CORP>>, che ci mostra l’estrapolazione dal database dello storico di tutti ordini immessi dall’FBI verso la società Cellebrite USA Corp [WBM], notiamo come dal settembre 2009 siano stati commissionati alla Cellebrite ben 187 incarichi, per diverse centinaia di migliaia di dollari, ma l’incarico di ieri con codice “DJF161200G0004569” ha alcune caratteristiche peculiari:

  • è l’unico con un importo di quasi i $ 220.000 stipulato con “CELLEBRITE USA CORP” (la media di tutti gli altri incarichi è di circa $11.000);
  • l’unico con la descrizione “INFORMATION TECHNOLOGY SUPPLIES” mentre la tipologia PSC “7045” viene associata per gli altri ordini, a “ADP SUPPLIES” (anche se nella descrizione interna che si ottiene cliccando su “View” nella pagina del purchase order è stato inserito  “Cellebrite Renewal” come “Description of Requirement”, ma si consideri che l’ordine DJF151800P0001960 dell’anno precedente per “renewal of 5 Cellebrite UFED software licenses” per lo stesso distretto è costato $15.000);
  • è stato stipulato proprio ieri, giorno in cui il Governo USA ha dichiarato di aver sbloccato l’iPhone di San Bernardino precisando nel comunicato precedente che a farlo sarebbe stata una “outside party“.

In conclusione, non sappiamo se sia stata la società israeliana Cellebrite a sbloccare il PIN dell’iPhone di San Bernardino, sappiamo che Cellebrite è in grado di farlo con iPhone con iOS 7 e iOS 8 e processore a 32bit su iPhone 4s/5/5c, iPad 2/3/4, iPad Mini 1 e… certamente la coincidenza della spesa di ieri pubblicata sul database FPDS è notevole.