Nelle ultime settimane il caso del iPhone del terrorista di San Bernardino ha alimentato discussioni tecniche, giuridiche e sociali sulla risposta che Apple deve fornire al FBI.
Non si vuole qui entrare nel merito del problema, cioè se la richiesta del FBI abbia motivazioni di ‘ordine superiore’ o se le ragioni di protezione della riservatezza di Apple siano giuste e invalicabili. L’associazione ONIF, come osservatorio che racchiude alcuni dei principali e noti tecnici italiani d’informatica forense, vuole fare chiarezza su quelle che sono le attuali possibilità e i limiti in termini di acquisizione dei dati da dispositivi mobile Apple con sistema operativo iOS, anche e soprattutto per puntualizzare alcuni aspetti tecnici erroneamente trattati e approfonditi da diversi media.
Gli iPhone/iPad sono davvero sistemi così sicuri da non poter estrarre informazioni senza che l’utente fornisca le credenziali di accesso?
La risposta dipende dagli strumenti e dalle metodologie che si hanno a disposizione, ma anche e soprattutto dal modello di iPhone/iPad e dalla versione del sistema operativo iOS installato. Gli ultimi modelli hanno sistemi di protezione (crittazione dei dati, impronta digitale, passcode e cancellazione totale dopo 10 immissioni errate del codice) che attualmente pongono severe limitazioni all’accesso ai dati.
È stato chiesto ad Apple di creare una backdoor[1] per accedere ai dati criptati?
No. Non è stato richiesto ad Apple di creare una backdoor. Ad Apple è stato chiesto di sviluppare una versione del sistema operativo iOS che:
- non cancelli i dati presenti sull’iPhone dopo 10 tentativi errati di inserimento del PIN
- permetta all’FBI di effettuare infiniti tentativi di inserimento del PIN senza che il sistema introduca ritardi e/o tempi di attesa tra un tentativo ed il successivo.
Le attuali versioni di iOS non presentano queste caratteristiche ovviamente, e Apple dovrebbe crearne una ad-hoc e renderla funzionante solo sul dispositivo oggetto di accertamento (un iPhone 5C).
È stato chiesto ad Apple di decifrare i dati crittati dell’iPhone?
No. Tale operazione è possibile solo disponendo della password di cifratura. O mediante una backdoor prevista originariamente da Apple (che non risulta essere esistente).
È stato chiesto ad Apple di tentare la decifratura dei dati staccando il chip di memoria dell’iPhone (c.d. chip-off)?
No. L’operazione di chip-off è sempre rischiosa. Inoltre la procedura non porterebbe beneficio perché la crittografia utilizzata sui dispositivi Apple avviene a più livelli: una chiave legata all’hardware (cioè alla parte fisica all’iPhone) e una alla password scelta dall’utilizzatore. Una tecnica proposta negli ultimi giorni da Edward Snowden consiste nell’utilizzo di acidi e laser per estrarre la chiave legata all’hardware[2]. Tuttavia questa tecnica, oltre a essere molto pericolosa e invasiva sul dispositivo, non è mai stata dimostrata in pratica fino ad oggi.
La questione tecnica di accesso a iPhone/iPad
In merito al recupero di dati da un dispositivo Apple (c.d. acquisizione) si distinguono principalmente due casi: acquisizione fisica e acquisizione logica. La scelta del metodo di acquisizione dipende dal tipo dispositivo e dalla versione di iOS.
In linea generale sui dispositivi iOS si distinguono due tipologie di acquisizione:
- Fisica, ovvero la generazione di una immagine bit-stream della memoria interna
- Logica, che può essere realizzata con tre modalità:
- Backup, ovvero un tradizionale backup realizzato attraverso iTunes o libreria analoghe
- Apple File Conduit, ovvero il protocollo di trasferimento file tra computer e dispositivo. Per fare un esempio è il protocollo che permette l’accesso diretto alle fotografie e ai video salvati nel dispositivo
- Apple File Relay, ovvero un altro protocollo di trasferimento file il cui utilizzo per modalità forensi è stato introdotto da Zdziarski nel 2014
Per tutti i dispositivi fino ad iPhone 4 e per la prima versione di iPad è sempre possibile effettuare una acquisizione fisica, anche se il dispositivo è protetto con un passcode. Se il dispositivo è senza codice di blocco o se è bloccato con un codice che può essere violato in un tempo ragionevole, allora è possibile decifrare tutti i dati contenuti nella bit-stream image generata. Se non è possibile fare il cracking del codice non è possibile decifrare alcuni dati (es. i messaggi di posta elettronica all’interno dell’applicazione Apple Mail) ma si possono sicuramente decifrare tutte le informazioni delle applicazioni native (rubrica, SMS/MMS, immagini, video, cronologia di navigazione, ecc.). A partire da iPhone 4s non sono note tecniche per una acquisizione fisica del dispositivo, a meno di attività invasive (ovvero jailbreaking).
Sui dispositivi successivi ad iPhone 4s, quindi, si procede tipicamente con acquisizioni di tipo file system. Se il dispositivo è privo di codice di blocco è sempre possibile effettuare una acquisizione di parte del file system e la tecnica del backup può essere applicata su qualsiasi dispositivo, indipendentemente dalla versione del sistema operativo installato. Questo tipo di acquisizione può essere effettuata sia utilizzando direttamente iTunes sia con software opensource (es. libimobiledevice) sia con software commerciali (es. UFED Physical Analyzer, Oxygen Forensics, ecc.). La possibilità di estrarre i dati mediante backup non significa in assoluto poterli interpretare, ad esempio l’utente potrebbe aver impostato una password sul backup: in questo caso è necessario effettuare, a seguito dell’acquisizione, una attività di attacco sulla password. Il vantaggio sta nella possibilità di effettuare tale attacco “offline” (ovvero non sul dispositivo) e quindi sfruttare quanta più potenza computazionale possibile. In alternativa all’acquisizione attraverso backup si possono utilizzare le altre due tecniche. L’acquisizione attraverso Apple File Conduit produce diversi risultati in funzione della versione del sistema operativo: fino ad iOS 8.3 è possibile estrarre tutti i file multimediali (ivi compresa la musica di iTunes, non presente all’interno del backup) e le applicazioni di terze parti, da iOS 8.3 l’accesso alle applicazioni di terze parti attraverso questa modalità è stata inibita da Apple. L’acquisizione attraverso Apple File Relay è utilizzabile su tutti i sistemi operativi fino ad iOS 7.1.2 e permette di ottenere una acquisizione dei dati in chiaro, indipendentemente dalla presenza di una password di backup sul dispositivo.
Se il dispositivo è, invece, protetto da un codice di blocco è necessario distinguere in modo più granulare i diversi possibili scenari.
Il primo aspetto è lo stato del dispositivo al momento del sequestro/consegna, ovvero se acceso o spento.
Nel caso di dispositivo acceso possiamo avere tre ulteriori scenari:
- dispositivo sbloccato, ovvero completamente accessibile
- dispositivo bloccato ma già sbloccato almeno una volta
- dispositivo bloccato con codice non ancora inserito dal momento dell’accensione.
L’ultimo caso equivale, in sostanza, a quello del dispositivo spento.
Nel primo caso è necessario impedire che il dispositivo possa andare in stato di blocco e comunicare con l’esterno: è quindi necessario disattivare il blocco automatico e attivare la modalità aerea. A questo punto è necessario procedere con l’acquisizione nel tempo più rapido possibile, avendo cura di non far scaricare il dispositivo e di non fare click sul tasto fisico di blocco (superiore o laterale a seconda del dispositivo).
Nel secondo caso è necessario tenere il dispositivo acceso, anche attraverso batterie ausiliarie e, ove possibile, attivare la modalità aerea (es. attraverso il Control Center attivabile mediante slider dal basso). Bisogna quindi ricercare all’interno di un computer utilizzato per sincronizzare il dispositivo un file di pairing (noto anche come certificato di Lockdown) e utilizzarlo per estrarre i dati attraverso una delle modalità di acquisizione già illustrate. E’ necessario evidenziare che, a partire da iOS 8, il file di pairing è valido solo se il dispositivo è stato sbloccato almeno una volta nelle ultime 48 ore.
Nell’ultimo caso è ulteriormente necessario distinguere a seconda del tipo di dispositivo e del sistema operativo installato.
Se il sistema operativo è iOS 7 ed è disponibile un certificato di lockdown è possibile utilizzare le modalità Apple File Relay e Apple File Conduit ed estrarre parte del file system.
Se il sistema operativo è iOS 7 e non è disponibile un certificato di lockdown si possono utilizzare soluzioni software e hardware per effettuare un attacco bruteforce sul passcode del dispositivo. Esempi di queste soluzioni sono UFED User Lock Code Recovery Tool e IP-BOX. E’ necessario evidenziare che, nel caso sia attiva la funzionalità di wiping del dispositivo dopo 10 inserimenti errati, questi strumenti rischiano di compromettere definitivamente la possibile acquisizione del dispositivo.
Se il sistema operativo è iOS 8 è disponibile un certificato di lockdown è possibile utilizzare la modalità Apple File Conduit, ma con una limitata quantità di informazioni estraibili (es. iBooks, cartelle condivise delle applicazioni attraverso Apple File Sharing, lista delle applicazioni installate, ecc.).
Se il sistema operativo è fino ad iOS 8.1 e non è disponibile un certificato di lockdown è possibile utilizzare, con necessità di apertura fisica del dispositivo, IP-BOX. Valgono le analoghe considerazioni espresse prima in relazione al rischio di wiping del dispositivo.
Se il sistema operativo è una qualunque versione di iOS 8 e il dispositivo è con processore a 32 bit (iPhone 4s/5/5c, iPad 2/3/4, iPad Mini 1), allora è possibile utilizzare il servizio offerto dalla società Cellebrite attraverso il CAIS[3] che permette di ottenere il codice di blocco[4] del dispositivo.
Se il sistema operativo è successivo ad iOS 8.1 e il dispositivo è a 64 bit, non sono note tecniche per il bruteforce del passcode, così come non sono note tecniche per qualsiasi tipo di dispositivo con sistema operativo iOS 9. Per questo motivo in caso di dispositivi spenti e con codice di blocco non è possibile allo stato attuale recuperare alcun tipo di informazione utente.
E’ utile evidenziare due ulteriori modalità per ottenere informazioni relative all’utilizzo di un dispositivo iOS: accedere all’account iCloud e verificare la presenza di backup del dispositivo oppure ricercare backup del dispositivo su computer che siano stati utilizzati per sincronizzare il dispositivo. Nel primo caso è necessario conoscere le credenziali dell’utente, oppure estrarre un token di autenticazione da un computer in cui sia installato il software iCloud Control Center oppure richiedere direttamente il supporto ad Apple. Nel secondo caso è sufficiente ricercare nella cartella dove tipicamente sono contenuti i backup (variabile a seconda della versione del sistema operativo installato sul computer) e ricercare il backup corrispondente all’identificatore univoco del dispositivo (UDID).
Giova inoltre ricordare che le informazioni sul dispositivo (es. tipo, colore, nome del dispositivo, versione del sistema operativo, UDID, Mac Address Wi-Fi) possono essere estratti anche da dispositivi bloccati utilizzando il tool ideviceinfo contenuto all’interno di libimobiledevice.
Conclusione
Abbiamo organizzato il presente intervento con una serie di domande/risposte che identificano i termini della questione FBI-Apple e una sezione di approfondimento tecnico che descrive più in dettaglio le modalità ed il tipo di informazioni che è possibile estrarre da un iPhone/iPad all’attuale stato dell’arte.
Dal punto di vista puramente tecnico, Apple è in grado di soddisfare le richieste avanzate dal FBI.
[1] Cos’è una backdoor? Si tratta di un punto di accesso ai dati riservata che permette di superare tutti i meccanismi di sicurezza del sistema.
[2] http://kticradio.com/abc_national/san-bernardino-iphone-can-be-hacked-without-apple-researchers-say-abcid35617143/
[3] http://www.cellebrite.com/it/Pages/services
[4] http://www.cellebrite.com/Pages/cellebrite-solution-for-locked-apple-devices-running-ios-8x
L’Osservatorio Nazionale di Informatica Forense ONIF offre il proprio patrocinio alla conferenza 
Carissimi lettori,
Commenti recenti