Archivi tag: analisi forense

L’ATO, Cellebrite e il “leak” della Guida sull’Hacking degli Smartphone

Alcuni giorni fa è uscita su diverse testate giornalistiche di rilievo la notizia della pubblicazione su Linkedin, da parte di un impiegato dell’Ufficio delle Tasse Australiano (ATO), di una guida di hacking degli smartphone [WBM, AI] che spiega passo dopo passo come forzare i cellulari, anche se protetti da PIN. A quanto riportano ad alcune fonti, l’impiegato proverrebbe da task force d’Intelligence e avrebbe fatto delle ricerche sul Dark Web per il Governo [WBM, AI], aggiungendo che altrimenti non si spiega come riesca a forzare le password di cellulari anche se con batteria scarica e persino senza scheda SIM, così da poter recuperare dati anche cancellati, messaggi di testo ed elenco chiamate con strumenti tra i quali quelli prodotti dall’israeliana Cellebrite.

Leak dell'Australian Tax Office di un manuale con tecniche di hacking avanzate

La popolazione australiana si è indignata, temendo che il loro equivalente della nostra Agenzia delle Entrate potesse “spiare” il reddito personale entrando di soppiatto nei cellulari, anche protetti da password. Il Ministro della Giustizia, Michael Keenan, si è detto seriamente preoccupato di questo “leak” dell’Ufficio delle Tasse che illustra le metodologie e gli strumenti di hacking dei telefonini. L’impiegato dell’Ufficio sembra aver subito provvedimenti disciplinari o come minimo un rimprovero e ciò che è certo è che ha rimosso in neanche un’ora la guida e buona parte dei suoi profili sui social network (Linkedin, SlideShare, etc…) mentre l’Ufficio delle Tasse era sommerso di contatti da parte dei giornali.

Ramez Katf, il Direttore Tecnico dell’ATO (Australian Tax Office) ha dichiarato che “l’Ufficio delle Tasse non entra di nascosto negli smartphone dei cittadini e che la parola “hacking” forse è un po’ esagerata, l’Agenzia delle Entrate Australiana non agisce da remoto e comunque non fa nulla di nascosto, senza cioè un Decreto dell’Autorità Giudiziaria”. Katf aggiunge che “è vero, uno dei software citato nelle slide viene effettivamente utilizzato, ma soltanto per indagini su larga scala su frodi o attività criminale e sempre su mandato delle Autorità, senza peraltro agire da remoto, i dispositivi vengono infatti prima prelevati o sequestrati tramite un Decreto del Giudice e poi, tramite il software di acquisizione forense per smarthpone, vengono acceduti i contenuti”. Insomma, la situazione è meno terribile di quanto non sia stata dipinta dai giornali, lascia intendere. “Anche quando viene forzato il PIN o la password di uno smartphone”, continua Katf, “c’è sempre l’autorizzazione dell’Autorità Giudiziaria o il consenso del proprietario del cellulare”. Alcune testate giornalistiche sono persino arrivate http://www.abc.net.au/news/2017-07-12/tax-office-slip-up-reveals-new-phone-hacking-capabilities/8698800

Per qualche giorno le condivisioni di post sull’argomento si sono sprecate, ma nessuno ha approfondito il contenuto effettivo di questa guida (rimossa, appunto, di tutta fretta) e se davvero rappresentasse un pericolo per la sicurezza dei cittadini. Vediamo di recuperare, tramite tecniche OSINT, ciò che rimane di questa guida e del profilo del povero impiegato dell’Ufficio delle Tasse, per scoprire che è tutto un equivoco: la guida di hacking non è altro che una presentazione divulgativa che parla di ciò che gli informatici forensi e gli esperti di sicurezza conoscono ormai da anni.

Google, come sappiamo, memorizza una cache – una sorta di “copia” – delle pagine web che indicizza, che utilizza per poter mostrare agli utenti quale versione della pagina lui sta presentando nei motori di ricerca e su quali parole chiave si basa. A meno che non si provveda alla rimozione manuale dei risultati di ricerca, è spesso possibile accedere alla cache di Google anche per diversi giorni dopo che la pagina indicizzata è scomparsa. Nel caso delle presentazioni SlideShare pubblicate da Linkedin, la pagina cache non conterrà l’intera presentazione ma ne riporterà integralmente il testo, proprio per ragioni d’indicizzazione.

Bene, cercando negli indici di Google le informazioni riportate dai giornali, arriviamo a una presentazione intitolata “Hexadecimal Extraction Theory –Mobile Forensics II“, che tradotta viene più o meno “Teoria dell’Estrazione Esadecimale, Analisi Forense di Dispositivi Mobili 2” di cui viene riportata, dai newspaper, una slide considerata la più significativa.

Pros and Cons of the Shoe Boxes

La pagina contenente la presentazione su SlideShare non esiste più, è stata rimossa dall’utente, ma si può ancora osservare il profilo dell’autore, che si dichiara esperto in Computer Forensics e conoscitore di strumenti d’informatica forense come Encase, X-Ways Forensics, Nuix e Access Data. La pagina punta al profilo Linkedin, anch’esso rimosso, ancora presente però come indice nella cache di Google inclusa la descrizione “Australian Taxation Office”, senza versione cache.

Profilo Linkedin dell'impiegato accusato di aver pubblicato un leak

La presentazione “Hexadecimal Extraction Theory –Mobile Forensics II” è già scomparsa anche dalla cache di Google, se ne trova però una copia su Archive.is dalla quale possiamo ricavare i titoli delle slide considerate così “pericolose” dalle testate giornalistiche:

  • Pros and Cons of the Shoe Boxes
  • Phone Forensics Tools Software
  • XRY VS Shoe box XRY Positive
  • Information required to perform a hex dump
  • Locating information before commencing the hex dump
  • Using Shoe box (UFSx series)
  • Free tools
  • Scenario 1 Extract data from Damaged Nokia phone
  • Using FTK imager to create MD5 hash for extracted mobile data file
  • Date and Time Calculations Date and time entry & Patten
  • HEX examiner examples
  • Exercise 2– Breaking the Hex code using Hex examiner
  • Security key
  • Call records S30’s
  • SMS S40’s
  • Protocol Data Unit (PDU)

Leggendo il contenuto delle slide, si nota come l’autore si limita a presentare alcune delle soluzioni più note in ambito di mobile forensics, disciplina che comprende tecniche e metodologie utilizzate in ambito di perizia informatica per acquisizione forense e recupero dati anche cancellati da cellulare. L’autore presenta vantaggi e svantaggi degli strumenti principali come XRY, Shoe Box, SarasSoft, NAND Downloader, Pandora’s box, HEXexaminer, FTK Imager, Cellebrite, XACT e simili. Si parla di conversione di dati tra diversi formati, metadati EXIF e coordinate GPS, estrazione di dati da cellulari Nokia danneggiati, calcolo dei valori hash tramite FTK Imager per una corretta catena di conservazione.

Salta subito all’occhio che i dati non sono neanche aggiornati: nell’illustrare le diverse codifiche di rappresentazione delle date l’autore cita Blackberry, Nokia e Motorola, tutti praticamente scomparsi, menzionando di sfuggita Samsung e ignorando completamente Apple con i suoi iPhone e iPad. Gli esempi di utilizzo degli strumenti di mobile forensics, tra l’altro, riguardano Nokia S30 e S40, che ormai non si trovano più neanche nei negozi dell’usato.

D’altra parte è chiaro che il target non è prettamente tecnico e quindi i contenuti non sono di alto livello, altrimenti non verrebbe dato peso al fatto che si possono recuperare dati anche da cellulari senza scheda SIM o danneggiati, entrambe cose ormai note a chiunque.

Per chi le cercasse, non ci sono istruzioni passo passo su come entrare in un telefonino e forzare la password da remoto, né guide di hacking avanzato, soltanto elenchi di strumenti con pro e contro, esempi di conversione stringhe e bypass di PIN e password per eseguire attività di acquisizione forense e recupero dati da vecchi cellulari.

Per quanto i giornali vi abbiano dato molto peso, l’israeliana Cellebrite non c’entra nulla con questa faccenda: il loro marchio viene citato una sola volta nelle slide dell’impiegato dell’Ufficio delle Tasse mentre viene data più importanza ad altri tool o metodologie, anche gratuite.

Speriamo quindi che l’impiegato (che non abbiamo voluto citare per mantenere un minimo di anonimato, benché sia facilmente reperibile in rete il suo nome) possa tornare a una vita normale e riaprire il suo profilo su Linkedin dopo questa avventura, continuando a fare divulgazione in ambito di digital e mobile forensics ma sperando di non cadere nuovamente in malintesi che rimbalzando di giornale in giornale aumentano in modo incontrollato la loro portata.

Perizia fonica su registrazione audio per Le Iene

Perizia fonica per Le Iene

Perizia fonica su registrazione audio per Le IeneIn diversi mi stanno chiedendo quali software e metodologie di analisi forense ho utilizzato per la perizia fonica su registrazione telefonica eseguita per Le Iene nel servizio di Nicolò De Devitiis andato in onda su Italia Uno domenica scorsa. Per soddisfare la curiosità degli appassionati di audio forensics, a titolo di esempio di perizia fonica, illustrerò quindi brevemente in questo post i passi principali dell’analisi fonica per la verifica della manipolazione con comparazione vocale del file audio fornito per l’analisi.

La puntata de Le Iene, intitolata “La truffa del Sì” cui ho collaborato come perito fonico mostra come il call center che rivendeva contratti di un noto operatore dell’energia ha svolto pratiche commerciali scorrette contattando telefonicamente persone ignare, registrando i “Sì” da esse pronunciati al telefono e montandoli sulla registrazione di una conversazione telefonica durante la quale risulta che la vittima manifesta la sua intenzione di stipulare un nuovo contratto dopo aver disdetto il vecchio registrata in un “verbal order” utilizzato poi dalla Compagnia per migrare effettivamente il contratto come se si trattasse di un vero e proprio contratto cartaceo firmato.

Il verbal order è infatti una modalità di stiuplare un contratto a distanza, in particolare tramite telefono, sempre più diffusa e utilizzata ad esempio per la vendita di servizi e abbonamenti telefonici, di rete fissa o mobile, di pay-tv e abbonamenti satellitari, di prodotti finanziari o per attivazione di contratti di fornitura di servizi energetici. Il verbal order consiste sostanzialmente nella registrazione di una conversazione in cui si svolge una transazione economica, che documenta la correttezza ed autenticità dell’ordine impartito che dovrebbe essere corrispondente a quanto riportato poi sul contratto cartaceo e, ovviamente, a quanto realmente dichiarato dal consumatore.

In casi diffusi è stata, già in passato, riscontrata una difformità tra quanto indicato nel contratto e quanto pronunciato a voce: diversi consumatori lamentano l’inserimento a voce di parole non presenti nel testo del contratto, l’assenza di parole importanti o la sostituzione di alcune parole o frasi.

In questo caso, l’anomalia è particolare: a orecchio si ha già l’impressione che i 12 “Sì” pronunciati dalla Sig.ra Carla sono in realtà sempre lo stesso: gli autori della registrazione hanno infatti registrato quello vero (probabilmente ottenuto come risposta alla domanda circa l’identità della persona chiamata) e poi l’hanno montato come unica risposta in una telefonata in cui si chiedeva consenso per il cambio di gestore dell’energia elettrica.

Per ottenere la dimostrazione dell’identità dei 12 “Sì” e quindi la verifica della manipolazione del file audio, abbiamo proceduto in diverse maniere e con diversi software di audio forensics, commerciali e gratuiti oltre che open source, senza tra l’altro aver avuto bisogno di registrare un saggio fonico poiché la comparazione vocale era da svolgere all’interno dello stesso file:

Preciso che GIMP non è un software di audio forensics ma è stato utilizzato per mostrare, utilizzando la funzione dei livelli e sfruttandone la trasparenza graduale, la sostanziale identità dei diagrammi generati tramite PRAAT dove risultano evidenti le formanti, il timbro (pitch) e l’intensità della voce della Sig.ra durante la pronuncia della parola “Sì” che è stata poi copiata e incollata per 12 volte nella registrazione La metodologia utilizzata per verificare e dimostrare la manipolazione della registrazione telefonica mediante il montaggio delle parti di audio e la non originalità della telefonata è basata infatti sulla comparazione delle forme d’onda, dello spettrogramma, delle formanti, dei livelli, del timbro (pitch) oltre che dall’ascolto delle componenti ripetute ed estratte dalla traccia integrale.

Ho innanzitutto proceduto con l’estrazione, dalla telefonata registrata fornita alla Sig.ra Carla dopo le sue rimostranze sul cambio indesiderato del contratto, dei 12 intervalli durante i quali si sente la Sig.ra pronunciare “Sì” come risposta alle domande dell’operatore. Per selezionare esattamente l’intervallo corrispondente alla registrazione del “Sì” incollato con funzione di “merge” sulla telefonata pre-registrata, ho utilizzato iZotope RX 5 mettendo in risalto i contrasti delle frequenze nello spettrogramma così da identificare con precisione l’inizio e la fine del pezzo contenente il “Sì” che risulta durare per tutti e 12 i “Sì” esattamente 0.433 secondi.

Analisi e pulizia dell'audio per la perizia

L’immagine mostra l’analisi e la pulizia della registrazione audio dalle parole pronunciate dall’operatore telefonico, lasciando quindi soltanto ben evidenti le parti con il “Sì” che verranno utilizzate per periziare l’audio e dimostrarne la manipolazione. I segni blu indicano la forma d’onda dei “Sì”: più sono intensi, maggiore è l’intensità in Decibel e quindi il “volume” percepito della voce. Le tracce arancioni e gialle indicano invece le frequenze all’interno dello spettrogramma, dove nel campo del tempo che scorre in orizzontale abbiamo in verticale le frequenze mostrate dalla trasformata di Fourier schiarendo quelle più intense.

Comparazione dell'audio da parte dell'operatore telefonico del perito fonico

Già a occhio nella comparazione dell’audio estratto da tre “Sì” che un perito fonico può eseguire tramite strumentazione come iZotope RX Studio si nota come sia le forme d’onda sia lo spettrogramma dei 12 sì sia praticamente identico. Osservando ad esempio tre “Sì”, è evidente nello spettrogramma la stessa identica “figura” che si ripete uguale nonostante il brusio di sottofondo del call center sia sempre diverso: il “Sì” è stato “mescolato” all’audio della telefonata registrata e non “sostituito”, altrimenti si sarebbe percepito troppo il passaggio. Nel diagramma qui sopra (detto appunto “spettrogramma”) il suono e la voce vengono convertiti in una “forma” nella quale le parti più chiare indicano le frequenze con l’intensità più alta, frequenze che per i tre “Sì” formano la stessa identica forma.

Questo tipo di analisi si sarebbe potuto tranquillamente fare anche con Audacity e Speech Filing System (SFS), tool free e open source utilizzati in ambito di editing e audio forensics, ovviamente con strumenti come iZotope RX Studio o ancora meglio Sony/Magix Spectra Layers Pro si può avere una visione più chiara del fenomeno, che può persino diventare uno spettrogramma tridimensionale, come si può apprezzare nella seguente immagine generata tramite Sony/Magix Spectra Layers Pro, strumento spesso utilizzato da chi esegue attività di perizia fonica.

Spectra Layers utilizzato per una Perizia Fonica

Si può notare come le tre forme, che ripetiamo sono disegnate a partire dalle frequenze di tre “Sì” presi da punti diversi dalla registrazione dell’operatore, risultano sostanzialmente identiche, cosa praticamente impossibile da realizzare nella realtà anche pronunciando 1.000 volte una stessa parola. La riproduzione tridimensionale dello spettrogramma permette di apprezzare le altezze ruotando la posizione dell’osservatore e confermando ulteriormente l’identità delle parole pronunciate.

Perizia fonica di comparazione vocale con spettrogramma tridimensionale

Non accontentandoci delle frequenze, abbiamo proceduto ad analizzare le frequenze di risonanza prodotte dalla voce umana, dette formanti, calcolabili ad esempio tramite PRAAT o SFS (Speech Filing System) e riproducibili su di una tabella con il numero di formante come colonna (a partire dalla cosiddetta “fondamentale”∑, F0) e ogni “Sì” come linea.

Calcolo delle frequenze formanti e della frequenza fondamentale della voce

Le frequenze formanti in genere si calcolano sulle vocali pronunciate dal soggetto e sono caratteristiche del soggetto stesso e della vocale che sta pronunciando. Una volta raccolte le formanti nei vari punti ripetuti della registrazione, è possibile calcolarne la media, la deviazione standard, la deviazione standard media e l’errore percentuale e medio così da dimostrare la perfetta coincidenza (tenuto ovviamente conto del mix/merge con il rumore di sottofondo) del parlato nei punti in cui la Sig.ra Carla pronuncia la parola “Sì”.

Per una visione più chiara delle formanti, utilizziamo il software free ed open source PRAAT, sviluppato dall’Università di Amsterdam, che ci mostra

Comparazione vocale fonica tramite formanti mediante PRAAT

PRAAT ci permette di eseguire una comparazione vocale “visiva” osservando la sostanziale coincidenza della distribuzione dei punti rossi (che rappresentano le formanti) nello spettrogramma in basso, dellle linee blu (che rappresentano il timbro/pitch) e di quelle gialle (che rappresentano l’intensità della voce) confrontando il fonema di sinistra e quello di destra, corrispondenti a due “Sì” diversi nella registrazione fornita dall’operatore.

Confronto tramite video delle formanti prodotte tramite PRAATCome al solito, un video illustra in modo migliore il passaggio da una immagine all’altra, così presentiamo qui di fianco la transizione tra lo schema prodotto da PRAAT per un “Sì” verso quello prodotto per un “Sì” diverso nella registrazione. Si nota chiaramente come i punti rossi (che identificano le frequenze formanti) rimangono nella stessa area, così come la linea blu (pitch) e quella gialla (intensità), oltre alle sfumature di grigio che identificano lo spettrogramma stesso.

In conclusione, quindi, tramite questo esempio di perizia informatica, in particolare esempio di perizia fonica, abbiamo dimostrato come è avvenuta la comparazione vocale utilizzata per la perizia fonica svolta a supporto del servizio de Le Iene di Nicolò De Devitiis. Tale comparazione vocale ha dimostrato, tra l’altro senza bisogno di saggio fonico, come nella registrazione fornita dall’operatore telefonico alla Sig.ra Carla, la sua voce è stata prelevata e utilizzata per comporre una nuova registrazione, utilizzata poi per disdire il suo vecchio contratto e stipularne uno nuovo.