Remore e morte

Cellebrite e celebrità

di

thumbnail

06

mar

2017

La canzone che ha vinto il Festival di Sanremo quest’anno ha un passaggio sintomatico: “tutti tuttologi con il web”.

Possiamo vedere comportamenti di questo genere tutti i santi giorni. L’ultimo caso è quello del cellulare di Tiziana Cantone. Va detto che una vicenda del genere dovrebbe spingere tutti a chiudere la bocca e stare zitti.

Siamo di fronte ad un dramma che si è consumato per via di una pressione mediata esagerata, al punto da spingere una donna a chiudere il suo conto con la vita. Invece ora, dopo i telegiornali, dopo l’indefinibile individuo che ha diffuso i video in rete, dopo i talk show, ci si mettono pure gli inquirenti che vogliono la loro parte di notorietà piuttosto che fare il proprio lavoro.

La faccenda si snocciola attorno al telefono di questa sventurata che doveva essere analizzato in cerca di possibili indizi digitali. Si tratta di un iPhone 5s, ovviamente bloccato da PIN.

La cosa è particolarmente rilevante. Due precedenti casi, quello di San Bernardino (che aveva come protagonista un iPhone 5c) e quello della coppia dell’acido (con un iPhone 5), sono balzati agli onori delle cronache e sono stati sbloccati dalla stessa compagnia, ovvero Cellebrite. Al momento costoro dispongono di exploit non noto pubblicamente per riuscire a sbloccare questo tipo di telefoni.

L’Enclave sicura

Dalla versione 5s di iPhone, però, Apple ha aggiunto un componente che ha drasticamente migliorato la sicurezza dei suoi apparecchi, ovvero Secure Enclave. È un componente hardware, facente parte dei System on a Chip da A7 in avanti, il cui compito è memorizzare le chiavi di decifrazione, quelle generate con Touch ID e i codici per lo sblocco.

Il livello di sicurezza di iPhone si è così elevato di molto rispetto alle precedenti generazioni, specialmente per quanto riguarda l’analisi fisica e il tampering del device. Al momento attuale:

  • Gli iPhone fino al 4s possono essere sbloccati facilmente tramite software o hardware acquistabile.
  • Gli iPhone 5 e 5c hanno un bug di cui è a conoscenza solo Cellebrite.
  • Gli iPhone da 5s in avanti finora erano considerati inviolabili.

Gli inquirenti però, nella vicenda Cantone, hanno dichiarato a più riprese di essere riusciti a sbloccare lo smartphone in piena autonomia.

Questo ha destato parecchio chiacchiericcio in rete e, come sempre, c’è chi ne ha approfittato giusto per darsi quei dieci minuti di notorietà. Un tipico esempio è stato il tweet di Selvaggia Lucarelli che, con un certo sarcasmo, ha trovato modo di esprimersi sull’argomento (di cui dubito fortemente si possa considerare un’autorità in materia).

Quindi? Un plauso agli inquirenti, un bravo a Carmine Esposito o chi per esso e una stecca all’FBI che si è fatta alleggerire di un milioncino per nulla, nonché a Mattia Epifani che, pur essendo dei migliori esperti di mobile forensics, ha avuto come unica opzione farsi un viaggio in Germania e bersi una birra mentre gli israeliani di Cellebrite lavoravano?

Personalmente ho molti dubbi. Perché le cose non sono ancora cambiate dal caso Boettcher (la coppia dell’acido). Ovvero non vi è stata alcuna rivelazione di codice utile per aggirare il blocco sugli smartphone di cui sopra, non vi sono state novità di rilievo dal lato hardware né altro. Tutte le mie fonti sono concordi, così come tutta la comunità che ruota attorno a questi argomenti. E qui, ripeto, si tratta di uno smartphone che ha un livello di sicurezza più elevato dovuto a Secure Enclave. Le strade possibili sono due:

  • Hanno recuperato la password dell’account iCloud della Cantone (magari da un file in un computer) e poi hanno recuperato i file da un backup in rete del telefono. Certo non è proprio uno sblocco del telefono come dichiarato, ma alla fine il risultato è lo stesso.
  • Qualcuno, zitto zitto, ha chiamato Cellebrite. Perché, in effetti, loro hanno i mezzi e le competenze per studiare nuovi sistemi di sblocco anche alcuni modelli dotati di Secure Enclave, come il 5s appunto.

Esiste una terza via, ovvero un genio sconosciuto che abbia trovato il modo di sbloccare tali smartphone. Non si può escludere a priori, certo, ma non sarebbe molto più utile che si facesse conoscere dalla comunità invece di fare dichiarazioni sui giornali? Nessuno pretende che regali al mondo le sue competenze; ma se facesse sapere quali combinazioni di smartphone/sistemi operativi è in grado di sbloccare, sicuramente darebbe una mano a indagini sparse in mezzo mondo, oltre ovviamente a guadagnare delle cifre rilevanti.

Esposito assente

Questo però non è successo. Sapete che cosa penso? Non c’è nessun geniale Carmine Esposito: quel telefono è stato sbloccato da Cellebrite, magari nella stessa sede di Monaco dove è stato sbloccato quello di Boettcher. Chi scommette una birra?

Se peraltro uno dei due casi elencati sopra fosse quello corretto, questo non sminuirebbe il lavoro svolto dalle forze dell’ordine e anzi avrebbe dimostrato che sono state tentate tutte le strade possibili per cercare la verità, con risultati perfettamente utilizzabili.

Continuo a pensare che qualcuno invece si sia imbaldanzito e abbia scelto la strada dei proclami mediatici, probabilmente con uno stile da pescatore che racconta la sua prodezza. In questo caso, cercare di attirare i riflettori laddove una donna è morta per colpa dei media sarebbe davvero un episodio di cattivo gusto.

Scritto con la collaborazione di ONIF (Osservatorio Nazionale Informatica Forense).




Andrea Ghirardini (@darkpila) è uno dei precursori della Digital Forensics in Italia. Sistemista multipiattaforma – anche se con una netta preferenza per Unix – con una robusta esperienza in materia di sicurezza informatica, si occupa in particolare di progettare sistemi informativi di classe enterprise. È Chief Technical Officer in BE.iT SA, società svizzera facente parte del gruppo BIG, specializzata nella gestione discreta e sicura di sistemi informativi aziendali. Per Apogeo è autore di Digital Forensics edito nella collana Guida completa.

Letto 1.365 volte | Tag: , , , , , ,

Lascia il tuo commento