IISFAItalian Chapter – www.iisfa.net

Come ti sblocco il PINdell’iPhone - Il caso di San Bernardino

Federica Bertoni e Selene GiupponiSecurity Summit – Roma, 7 e 8 giugno 2016

Che cosa è IISFA?L’International Information Systems

Forensics Association (IISFA) è unorganizzazione senza scopo di lucro

con la missione di promuovere ladisciplina dell’information Forensics

attraverso la divulgazione,l’apprendimento e la certificazione.

Info su www.iisfa.net

Gli obiettivi• Rendere disponibile un ambiente professionale e

stimolante per lo scambio di idee e diinformazioni relative alle tematiche dellaForensics tra esperti del settore essendo ancheil punto di riferimento per tutti coloro che siavvicinano a tali argomenti .

• Creare un network di relazioni tra i membridell’associazione, favorendo la nascita diopportunità per il miglioramento e la crescitaprofessionale.

• Difendere la cultura della professionalità ancheattraverso la diffusione della certificazione CIFI.

Chi siamo – Federica Bertoni• Informatico Forense, Libera professionista.

• Perito e CTU presso il Tribunale Ordinario di Brescia.

• Iscritta al Ruolo dei Periti e degli Esperti della Camera di Commercio di

Brescia.

• Certificata CIFI (Certified Information System Forensics Investigator).

• Socia IISFA (INFORMATION SYSTEM FORENSICS ASSOCIATION ITALIAN

CHAPTER).

• Socia CLUSIT.

• Socia AIP.

Chi siamo – Selene Giupponi• Ingegnere Informatico, specializzato in Computer Forensics & Digital Investigations.

• Membro della Commissione ICT dell’Ordine degli Ingegneri della Provincia di Latina.

• Socio Aziendale CLUSIT.

• Socio IISFA (INFORMATION SYSTEM FORENSICS ASSOCIATION ITALIAN CHAPTER).

• CTU Albo Penale e Civile del Tribunale di Latina.

• VP & Head of Digital Forensics Unit, Security Brokers ScpA.

• Advisor European Courage Focus Group – Cyber Terrorism & CyberCrime – EOS Member.

Board

• ITU ROSTER OF EXPERTS.

• HTCC HIGH TECH CRIME CONSORTIUMMember.

• Official Trainer NATO & U.S. NAVY.

• CIFI - Certified Information Forensics Investigator, SPEKTOR & UFED.

Agenda• Introduzione e cronologia eventi della vicenda• La richiesta del giudice e i contenuti tecnici della richiesta• Gli errori commessi dall'FBI• Le particolarità di iOS 9 rispetto alle versioni precedenti• Soluzioni tecniche alternative suggerite• Quid Forensics• """"""" Novità tecniche""""" e conclusioni

La cronistoria del caso• 2 dicembre 2015: 14 persone perdono la vita a San Bernardino, per mano di due

presunti terroristi dell’Isis, Syed Rizwan Farook e Tashfeen Malik, marito e moglie.

• 16 febbraio 2016: il Giudice Federale Eileen M. Decker ingiunge ad Apple di fornireall’FBI l’aiuto tecnico necessario per eseguire un attacco di brute forcing sul PINdell’iPhone in uso a Farook.

• 25 febbraio 2016: Apple risponde in via ufficiale con la “Apple Inc’s motion to vacateorder compelling Apple Inc. to assist agents in search, and opposition toGovernment’s motion to compel assistance”.

• 29 febbraio 2016: il giudice federale di New York James Orenstein si pronuncia afavore delle ragioni di Apple e contro l’interpretazione estensiva dell’All Writs Act del1789.

• 22 marzo 2016: data fissata per udienza sul ricorso di Apple, che è cancellataperché FBI sostiene di aver trovato una soluzione tecnica alternativa. Occorrendodel tempo per svolgere dei test, viene richiesto un rinvio al 5 aprile.

• 28 marzo 2016, l’FBI inoltra richiesta di deposizione della causa, perché hannotrovato una parte terza che li aiuterà nello sblocco del PIN. Di chi si tratta?Permane tuttora il mistero, sebbene siano state formulate innumerevoli ipotesi.

La Richiesta Del Giudice VS Sicurezza

1

2L’incipit della richiesta del giudice, che fa,discutibilmente, dell’All Writs Act del 1789 lapropria leva normativa, tradottoletteralmente risulta essere questo:

1) “fornire assistenza tecnicaragionevole per supportare glioperatori delle Forze dell’Ordinenell’ottenere i dati di accesso aldispositivo iPhone 5C posto sottosequestro”.

2) All Writs Act del 1789: norma checonferisce ai tribunali il potere diemettere ordini per rendere esecutividecisioni di altre autorità. (pratica legaledi cui è stato fatto largo utilizzo dagliagenti federali nei casi in cui vi fosserodispositivi da decriptare).

Il contenuto tecnico della richiestaAd Apple è stato ingiunto di:

a)scrivere e firmare digitalmente unFIRMWARE personalizzato.

e dib)Caricare in RAM, tramite modalità DFU,

la SIF (Software Image File) di tale FIRMWARE.

FIN QUI NULLA DI STRANO, …appare “ragionevole”MA andando avanti nella lettura dell’ingiunzione

si apprende che…

I requisiti (desiderati) del firmware

a) Il firmware deve bypassare o disabilitare l’eventualefunzione di autocancellazione dei dati dell’ iPhone dopo 10tentativi d’inserimento di PIN errato.

b) Il firmware deve consentire all’FBI d’inserire in modoautomatico i vari PIN che saranno impiegati per sferrare il bruteforce attack.

c) Il firmware deve permettere all’FBI di eseguire i tentativid’inserimento PIN senza forzare delle attese artificiose fra uninserimento e l’altro.

L’FBI NON richiede ad Appledi forzare password o di scrivere «backdoor»,

MA di scrivere ex novo e caricare sull’iPhone posto sotto sequestrouna particolare versione del sistema operativoche ne «ammorbidisca» le difese. (FBiOS!)

Diversamente in passato...a) Fino agli iPhone 4 era possibile caricare firmware in RAM in modalità DFU e bypassare il PIN.b) Dall’iPhone 4S in poi Apple ha irrobustito il sistema di protezione, consentendo però fino alla

versione 8 di iOS di tentare infiniti PIN attraverso lo sfruttamento di vulnerabilità scoperte dairicercatori.

c) Già dalla versione 8 di iOS sono stati implementati meccanismi di sicurezza più forti siaa livello di hardware sia software, che impediscono ad Apple stessa di entrare nelsistema («Legal Process Guidelines»).

COSA È DUNQUE POSSIBILE DEDURRE DALLA RICHIESTA DI F.B.I.?a) L’iPhone 5C in uso a Farook ha con tutta probabilità una versione successiva alla 8, dato che la

società israeliana Cellebrite fornisce uno sblocco di PIN su iPhone/iPad compatibile con talidevice. (Servizio CAIS di sblocco).

b) L’iPhone di Farook non monta iOS 7 altrimenti, anche in questo caso, come è accaduto inpassato, avrebbe erogato il proprio servizio di laboratorio (come ha fatto 2 anni fa per alcuneindagini Procura MI o sbloccando PIN iPhone Pistorius), oppure si

sarebbe potuto bypassare il supporto di Apple utilizzandoIPBOX.

La risposta di Apple“Apple Inc’s motion to vacate order compelling Apple Inc. to assiste agentsin search, and opposition to Government’s motion to compel assistance”.

a) La richiesta dell’FBI:- Violazione del Primo Emendamento che tutela la libertà di espressione.- Violazione del Quinto Emendamento sul giusto processo.

b) Apple afferma che il caso NON può essere assolutamente considerato comeeccezione circoscritta al singolo iPhone usato dall’attentatore di San Bernardino(come invece asserisce l’FBI), ma che al contrario, attraverso questa vicenda, FBI eDipartimento di Giustizia stiano puntando ad ottenere "il potere di costringere aziendecome Apple a minare le disposizioni di sicurezza e gli interessi nei confronti dellaprivacy di centinaia di milioni di utenti di tutto il mondo".

La pronuncia del giudice di New York afavore di Apple

Pende una causa giudiziaria del tutto analoga a quella di SanBernardino, ma il giudice di New York afferma che nel caso di SanBernardino, l'All Writs Act non può essere interpretato in maniera tantoestensiva da forzare Apple a mettere a rischio la privacy degli utenti.

Caso New York Caso San BernardinoiPhone 5S con iOS 7 iPhone 5C con iOS 9

Dati estraibili(Apple può entrare)

Sistema cifratura più forte(Apple non può entrare)

Mero servizio di laboratorio≠

Creazione tool ex novo

Errare humanum est... Anche per l’FBI1°errore: CAMBIO PASSWORD iCLOUD per scaricare i contenuti dibackup (backup dei dati recuperato fino 19 ottobre 2015).MA il cambio della pw di iCloud ha inibito il tentativo di forzare losmartphone a eseguire un nuovo backup aggiornato, ottenendo quindiuna parte in più di informazioni.Come si poteva procedere?1. Collegare il telefono a una presa di corrente.2. Agire entro 48 ore dall’ultimo accesso.3. Far connettere il «device» a una rete WiFi nota (tramite ad esempio PineApple).

2° errore: IPHONE SPENTO O RIAVVIATO DI PROPOSITO?Lo spegnimento di un device iOS con versione successiva alla 7 causa la perditadi svariate possibiità di accesso ai dati, poiché al riavvìo (o passate 48 hdall’ultimo accesso) gli iPhone si «blindano» chiudendo i canali di comunicazioneverso l’esterno.

iOS 9

NAND Mirroring

• Si applica alla memoria flash all’interno del dispositivo.• E’ una operazione che consente di clonare il contenuto della flash

e operare contemporaneamente su più immagini virtuali dellastessa.

• Il procedimento di copia della NAND è anche fisico: si dissalda lamemoria dal dispositivo e si inserisce in un lettore di chip in gradodi accedere in lettura e scrittura alla stessa NAND per poilavorare sul processo di scambio dati.

Reset Tentativi di pass-code

La memoria flash NAND contiene il contatore dei tentativi di codici diaccesso, fornendo la possibilità, sempre ripristinabile, di eseguire unnumero di tentativi virtualmente infinito.

De-capping• De-capping: tecnica che consiste nello scollegare e operare

fisicamente sul chip di memoria che contiene i dati (lacancellazione avviene sulla memoria al superamento dei diecitentativi errati di sblocco)

La procedura consiste nel rimuovere con un acido il chipsaldato sull’iPhone ed esaminare a livello hardware ilcontenuto del chip utilizzando un fascio ionico focalizzato.• Si tratta di un metodo complesso che richiede di

individuare micron dopo micron le porzioni checontengono effettivamente dati, leggendo bit per bit leinformazioni.

• E’ una tecnica difficoltosa da attuare, complessa, delicata erischiosa.

0-days

Quid (Digital) Forensics?

Non si tratta di una mera richiesta di laboratorio.(Jonathan Zdziarski)

Creazione tool (forense!) ex novo

cioèDeve essere validato ed esaminato da altri esperti.Deve rispettare i requisiti di riproducibilità e prevedibilità dei risultati.Deve essere messo a disposizione di terze parti, come ad esempio dei periti delladifesa.Deve essere passato al vaglio di organizzazioni scientifiche «super partes»(esempio, NIST) e quindi riconosciuto come strumento forense dalla comunitàscientifica.Deve resistere in dibattimento. Di esso può essere intimato si fornisca il codice.

Novità tecniche e conclusioni

Lo conoscete?

Domande?

IISFAItalian Chapter – www.iisfa.net

Grazie per l’attenzione.Federica Bertoni e Selene Giupponi

Security Summit – Roma, 7 e 8 giugno 2016info@brixiaforensics.com – sg@security-brokers.com