Protezioni elevate, scarsa coscienza

Dal salone del mobile (hacking)

di

thumbnail

17

giu

2016

Alle protezioni sempre più raffinate dei sistemi corrisponde preparazione inversamente proporzionale dell’utenza.

È passata la polemica di San Bernardino; Stefano Quintarelli ha presentato la sua proposta di legge sull’uso dei captatori (e più di un mese dopo, il governo non ha ancora inserito il testo su Internet); un hacker italiano ha pubblicato su YouTube il video di un jailbreak di iPhone con iOS 9.3.2 usando Safari; Android N è stato annunciato e sembra che conterrà nuove feature di sicurezza (e, probabilmente, una miliardata di altri bachi); il 24-25 maggio è stato organizzato a Milano un convegno di due giorni sul tema dell’analisi dei dispositivi mobile.

Il convegno è stato molto interessante. Non solo perché il tema è attuale e il mercato mobile particolarmente frizzante, ma anche perché tra i relatori c’era praticamente il gotha dell’analisi forense dei dispositivi mobile (hanno invitato anche me ma è stato certamente un errore di valutazione di Giovanni Ziccardi). Mattia Epifani, Paolo dal Checco e Litiano Piccin, in particolare, hanno trascorso quattro ore a parlare agli astanti sia di tutte le tecniche di protezione messe in atto da Apple per salvaguardare le informazioni dei propri dispositivi mobile, sia di tutti i metodi ora conosciuti per poterle aggirare e/o eludere al fine di visionare il contenuto di tali apparecchi. Due ore ulteriori sono state dedicate da Davide Gabrini ai sistemi Android (che si rivelano sempre più fragili) e dal sottoscritto a Windows Mobile (in assoluto la bestia nera per gli analisti forensi). Il secondo giorno è stato invece dedicato alla discussione politico/legale.

Ma tutto questo hype sul mobile ha senso?

Sì e i motivi sono molteplici. Lo smartphone non è solamente un telefono o un dispositivo digitale personale. È lo strumento principe sia per comunicare (pensate a tutte le applicazioni di comunicazione alternativa al tradizionale binomio fonia/SMS, come Skype, Whatsapp, Viber, Telegram, Tango, Silent, WeChat, Line, Jabber, Hangouts, FaceTime…), sia per, passatemi il termine, digitalizzarsi la vita. Le persone affidano allo smartphone tutti i momenti più intimi, dal selfie hot allo stalking, al sexting, alle comunicazioni lavorative, ai dati di posizionamento, ai social eccetera.

Ecografia via smartphone

Dallo smartphone oramai passano persino le ecografie. È l’assistente definitivo.

Per ogni PC venduto vengono attivati smartphone a decine e, oramai, il traffico internet mobile supera quello desktop. Chiunque abbia fatto un po’ di analisi forense seria, e abbia sfruttato i principali software di analisi  (non parlo di roba come UFED che estrae i dati e poi lascia tutto il compito di correlarli all’utente finale; parlo per esempio delle funzioni di analisi di Oxygen Forensics Suite, o con software ben più sofisticati, come, ad esempio Palantir o Analyst) avrà certamente notato come la quantità di informazioni creata e usufruita dai dispositivi mobili sia via via cresciuta con il tempo. Un po’ per merito delle tecnologie, un po’ per i terminali che sono sempre più sofisticati (e quindi in molti casi prendono il posto dei computer) e un po’ perché ci sono Paesi dove gli smartphone sono praticamente l’unico modo per accedere alla rete. Il recente cambiamento negli algoritmi di indicizzazione di Google, che fornisce maggiore punteggio ai siti con una versione mobile, è una chiara testimonianza di quanto sto dicendo. Lo stesso dicasi dei maggiori processi che sono divenuti mediatici in Italia e dove l’analisi delle fonti di prova digitale ha avuto come protagonista uno smartphone.

Protezioni elevate

Da questo nasce una serie di problemi, bene evidenziati dal convegno. L’era del prendi uno smartphone, attaccalo a UFED, prendi il report PDF e dallo al cliente è finita. Fosse così, quattro relatori non avrebbero speso altrettante ore solo a parlare dei problemi relativi all’analisi del solo iOS. Le protezioni messe in atto dai singoli produttori di hardware e di software sono così elevare da richiedere conoscenze e specializzazione molto elevate e che possono attingere da molteplici campi: networking, sistemi operativi (anche embedded), elettronica e crittografia.

Purtroppo pare che questo non sia ancora ben percepito dai clienti, né dai sedicenti operatori. Al convegno parlavo con Mattia Epifani, una autorità in materia nel campo di iOS, che riceve di tanto in tanto email tipo questa:

Salve, siamo lo studio XXXX YYYY, volevamo informarla che ci siamo dotati di una nuova mirabolante tecnologia militare israeliana [UFED. N.d.A.] e quindi volevamo farle presente che siamo in grado di analizzare ogni smartphone possibile, estraendo qualunque dato indipendentemente dalle protezioni.

Ovvio che, non solo se mandi una mail del genere hai gravi problemi di profilazione dei tuoi clienti (altrimenti non faresti figure di materiale organico di scarto con uno dei più quotati esperti del settore), ma anche non hai capito nulla della materia e pure del sistema che stai reclamizzando, per giunta pagato non poco.

Testimonianza legale

Se si parla di smartphone, si sentono spesso in tribunale affermazioni da stupidario.

Lo stesso dicasi per certe affermazioni fatti da sedicenti esperti in alcuni dei processi che hanno infiammato le recenti pagine di cronaca nera. Alcune di queste sono ormai diventati aneddoti da bar tra gli esperti del settore e potrebbero, senza tema di smentita, entrare in un possibile stupidario della digital forensics (una su tutte, quella che tutte le celle puntano a nord, come il muschio sugli alberi…).

Scarsa coscienza

Per fortuna, se da una parte la difficoltà di analisi si eleva sempre più, dall’altra gli utilizzatori sono sempre meno consci del mezzo che stanno utilizzando. Troppo spesso l’utente finale non gestisce correttamente la parte di sicurezza, non ha assolutamente ben chiaro il profilo di demarcazione tra quanto è contenuto nel suo smartphone e quanto invece è partito per il cloud (non mi stancherò mai di citare la battuta di Sex Tape dove Jason Segel dice Nessuno capisce il cloud! È un mistero!), utilizza PIN banali o facilmente riconducibili a lui, riutilizza la stesa password per tutto ed è ancora convinto che, finché il cellulare è nella sua tasca, questo sarà inattaccabile.

Si presenta un futuro molto interessante, un mercato che necessariamente dovrà eliminare gli attori improvvisati e una coscienza digitale della popolazione media che continuerà a latitare.




Andrea Ghirardini (@darkpila) è uno dei precursori della Digital Forensics in Italia. Sistemista multipiattaforma – anche se con una netta preferenza per Unix – con una robusta esperienza in materia di sicurezza informatica, si occupa in particolare di progettare sistemi informativi di classe enterprise. È Chief Technical Officer in BE.iT SA, società svizzera facente parte del gruppo BIG, specializzata nella gestione discreta e sicura di sistemi informativi aziendali. Per Apogeo è autore di Digital Forensics edito nella collana Guida completa.

Letto 2.224 volte | Tag: , , , , , , , , ,

Lascia il tuo commento