Articoli di Fede

Se la Mela si baca: di sicurezza, forensics e di tutto quello che non c’è nell’ordinanza del giudice federale di Los Angeles

di Federica Bertoni e Paolo Dal Checco.

I PRESUPPOSTI DELLA VICENDA

Un altro tsunami di orrore si alza e corre. Impietoso e disumano di nuovo si abbatte. Come sempre… viene spontaneo aggiungere. E stavolta son 14. Quattordici: il numero delle vite spezzate nella strage del 2 dicembre scorso, rivendicata dall’Isis, a San Bernardino, in un centro per disabili. 23 i feriti, fra cui due poliziotti. “Questo” – si dirà poi – “è il peggiore attacco con armi da fuoco nel 2015 negli Stati Uniti”. Ed è qui che hanno trovato la morte anche i due attentatori, Syed Rizwan Farook e Tashfeen Malik, marito e moglie. Di tutto ciò, dopo tutto ciò, resta qualcosa che da subito appare fondamentale per le indagini: l’iPhone usato da Farook, quello smartphone con i suoi segreti. Ma il melafonino in uso al presunto terrorista è di fatto inaccessibile: si apre così un altro delicato e spinoso capitolo della vicenda

Anzi, a essere scoperchiato è un vero e proprio vaso di Pandora, nel mezzo della nuova età del terrore, dove la signora Tecnologia tiene in scacco le istanze di sicurezza e privacy, interessi governativi, pubblici e privati, in un caso assai complicato, destinato a perdurare e, in un modo o nell’altro, a “fare scuola”. Non appena le indagini hanno inizio gli occhi dei G-men son tutti puntati lì, su quel display buio e serrato da PIN, su quell’iPhone 5C che di lì a poco saprà ben dividere FBI e autorità giudiziaria da una parte e Tim Cook e i suoi, dall’altra. Sì, perché poco dopo il Giudice Federale USA Eileen M. Decker avrebbe intimato ad Apple di soddisfare quelle che erano già state le richieste rivolte ad Apple dall’ FBI e finalizzate allo sblocco del PIN impostato sul melafonino in uso a Syed Rizwan Farook e sequestrato, dopo la strage, alla proprietà del San Bernardino County Department of Health, dove l’attentatore lavorava. Tuttavia Apple, in una missiva pubblica indirizzata ai propri clienti, prontamente rispondeva che pur comprendendo le ragioni investigative e lasciando intendere di poterlo tecnicamente fare – non aveva nessuna intenzione di supportare l’FBI, adducendo diverse ragioni di ordine etico, morale e professionale. Motivazioni che pochi giorni dopo sarebbero state riprese e debitamente avvalorate in punto di diritto dagli avvocati di Cook, nella “Apple Inc’s motion to vacate order compelling Apple Inc. to assiste agents in search, and opposition to Government’s motion to compel assistance”. L’ ordine del giudice federale di Los Angeles e la questione “sicurezza”. Il documento con il quale l’FBI richiede il supporto di Apple nello sblocco del codice PIN dell’iPhone 5C sequestrato a uno degli autori della strage di San Bernardino è ormai pubblico, nella sua versione completa di 40 pagine contenente le precisazioni del caso.

È quindi possibile analizzarne il contenuto per poter valutare la tipologia e profondità delle richieste tecniche sottoposte ad Apple, che ridotte ai minimi termini e tradotte letteralmente sono quelle di fornire “assistenza tecnica ragionevole per supportare gli operatori delle Forze dell’Ordine nell’ottenere i dati di accesso al dispositivo iPhone 5C posto in sequestro“. Non esistendo al momento strumenti in grado di forzare il PIN di un iPhone con Sistema Operativo successivo ad iOS 9, l’Autorità ha dovuto ricorrere alla richiesta diretta ad Apple, così come ogni Autorità fa durante indagini ove vi sono dati d’interesse in mano a società private.

La prima precisazione è che con questo documento l’FBI non chiede ad Apple di forzare la password, il PIN o la cifratura dell’iPhone, né di produrre d’ora in poi iPhone con “backdoor”, cioè “bachi” programmati a priori nel codice.

L’FBI non chiede ad Apple di forzare password o scrivere “backdoor” ma di caricare sull’iPhone sequestrato una particolare versione del sistema che ne “ammorbidisca” le difese.

Ad Apple è stato in realtà richiesto di scrivere e firmare digitalmente un firmware – cioè una versione del Sistema Operativo in esecuzione sugli iPhone – personalizzato e di caricarlo sullo smartphone in sequestro.

La società di Cupertino è certamente in grado di scrivere un firmware (ne abbiamo conferma ogni volta che esce un nuovo aggiornamento per il nostro smartphone) e di caricarlo sul dispositivo (possiamo persino farlo noi stessi tramite iTunes in modalità DFU). Quindi fino a qui la richiesta ha – tecnicamente – un senso e viene ulteriormente integrata dai tre requisiti che l’FBI indica per il firmware:

  1. Il firmware deve bypassare o disabilitare l’eventuale funzione di auto cancellazione del contenuto dell’iPhone dopo 10 tentativi di inserimento del PIN falliti, che può essere stata attivata dal proprietario;
  2. Il firmware deve permettere all’FBI di inserire in modo automatico (tramite cavo, bluetooth, wifi o qualunque altro protocollo) i vari PIN che verranno utilizzati per il brute force, dato che inserirli a mano richiederebbe giorni per 4 cifre o persino anni/secoli/millenni per password complesse;
  3. Il firmware deve permettere all’FBI di eseguire i tentativi di inserimento PIN senza forzare delle attese artificiose tra un tentativo e l’altro.

L’FBI precisa che Apple può fare in modo che tale firmware (che alcuni hanno già battezzato “FBiOS”, la versione di iOS per l’FBI) possa essere eseguito soltanto sul dispositivo in sequestro, così da non compromettere la sicurezza di altri iPhone. L’immagine del firmware (SIF, Software Image File) dovrà a questo punto essere caricata in RAM tramite la modalità DFU (Device Firmware Update) in modo da non intaccare il contenuto della flash del cellulare, così da preservare i dati memorizzati dal terrorista. Una volta caricato il firmware, l’FBI si occuperà di eseguire i tentativi di brute force destinati a trovare il PIN con cui sono stati cifrati i contenuti dell’iPhone, operazione facilitata dal fatto che l’iPhone non si bloccherà dopo pochi tentativi e non cancellerà il contenuto della memoria. Tecnicamente, in passato sugli iPhone 4 era possibile caricare un firmware in RAM tramite DFU in grado di bypassare il PIN ed eseguire il recupero dati dall’iPhone tramite acquisizione fisica. Erano in grado di farlo non solo i tecnici Apple ma chiunque, scaricando software appositi o acquistando dispositivi di acquisizione forense come Cellebrite UFED. Dall’iPhone 4s in poi Apple ha irrobustito il sistema di protezione dei dati lasciando però, fino alla ver sione 8 di iOS, la possibilità di tentare infiniti PIN attraverso lo sfruttamento di ad alcune vulnerabilità scoperte da ricercatori. Dal punto di vista dell’accesso ai dati, già dalla versione 8 di iOS compresa sono stati implementati in iOS e nell’hardware degli iPhone meccanismi di sicurezza che impediscono anche ad Apple stessa di entrare nel sistema.

Apple ha chiarito questi limiti nel documento “Legal Process Guidelines”, dove specifica anche che l’estrazione dati su dispositivi con iOS dalla versione 4 alla 7 permette, in ogni caso, di fornire soltanto alcuni tipi di dati, come SMS, messaggi iMessage, MMS, foto, video, contatti, registrazione audio ed elenco chiamate. Dal punto di vista tecnico, come sottolinea il ricercatore Jonathan Zsziarski nel suo blog, le richieste dell’FBI sono tecnicamente realizzabili, dato che l’iPhone 5C non possiede ancora il chip A7 che forzerebbe un ritardo tramite l’hardware cosiddetto “Secure Enclave” nell’inserimento del PIN.

Dal punto di vista tecnico, le richieste dell’FBI sono tecnicamente realizzabili, grazie alle caratteristiche hardware dell’iPhone sottoposto a sequestro.

Dalla richiesta dell’FBI intuiamo che l’iPhone 5C ha probabilmente una versione di iOS successiva alla 8, perché altrimenti è noto che la società israeliana Cellebrite fornisce un servizio di sblocco del PIN iPhone e iPad compatibile con tali dispositivi. Lo stesso servizio, tra l’altro, è stato utilizzato a febbraio 2016 dalla Procura di Milano per sbloccare l’iPhone 5 di Alexander Boettcher, sul quale era installato proprio iOS 8.

Certamente sul cellulare sequestrato a San Bernardino non è presente la versione 7 di iOS, dato che altrimenti Apple avrebbe fornito il supporto per l’estrazione e il recupero dati così come ha fatto un paio di anni fa per alcune indagini della Procura di Milano o per sbloccare il PIN dell’iPhone del corridore Pistorius accusato di aver ucciso la fidanzata.

L’ORDINE DEL GIUDICE FEDERALE DI LOS ANGELES: QUID FORENSICS?

Proprio nel momento in cui scriviamo, un giudice federale di New York si è pronunciato a favore di Apple, dichiarando che il dipartimento di giustizia di San Bernardino non può obbligare la società di Cupertino a sbloccare l’iPhone, basandosi sull’All Writs Act del 1789, come era invece stato fatto in un precedente caso di traffico di droga.

Il giudice federale di Los Angeles, pertanto, secondo la valutazione formulata dal giudice dell’altra grande Mela, New York, non può intimare ad Apple di sviluppare un software ad hoc per assecondare quella “ragionevole assistenza” pretesa dai federali determinati a raggiungere – a quanto pare, in qualsiasi modo – i dati racchiusi nel telefonino di uno dei presunti autori della carneficina.

Il Giudice Federale di New York ha decretato che l’FBI non può intimare ad Apple di sviluppare una versione personalizzata del suo sistema finalizzata a permetterne l’accesso da parte degli investigatori.

Mentre il braccio di ferro fra Apple e FBI si è così spostato, com’era inevitabile accadesse, sul ring giudiziario, se apparentemente tanto e di tutto è stato raccontato e considerato a proposito della vicenda in questione e, in particolare, circa l’eterno dilemma che vede contrapposte sicurezza e privacy, in un periodo, quale è quello attuale, in cui è altresì bollente il tema “backdoor”, in realtà per gli aspetti di Digital Forensics, pochissimi si sono prodigati a spendere parola.

Ad avviso di chi scrive, le modalità di recupero delle evidenze digitali che potrebbero eventualmente emergere, avrebbero dovuto, insieme ai profili di iOS security, essere messe sotto la lente d’ingrandimento nell’ordine del giudice federale californiano, sin dalle prime battute della faccenda, ancor prima di accingersi a redigere l’ordinanza. Invece così non è stato.

Come acutamente osservato e come è stato chiaramente evidenziato dal ricercatore Zdziarski,, nel caso di specie, siamo di fronte a una richiesta che non si risolve in un mero servizio di laboratorio, come i casi che Apple aveva potuto supportare in passato (e legati per l’appunto alla possibilità d’intervenire su versioni precedenti di iOS), ma andrebbe a concretizzarsi nello sviluppo di un tool ex novo.

Tuttavia, in un contesto giudiziario tale strumento non può che assumere la forma e la sostanza di uno strumento forense, cioè deve essere validato, esaminato da altri esperti e riconosciuto come tale dalla comunità scientifica. Inoltre, deve rispettare i requisiti di riproducibilità e di prevedibilità dei risultati, perciò deve essere testato su un’ampia gamma di dispositivi e deve essere messo a disposizione di terze parti, come dei periti della difesa. Last but not least, ogni volta che un nuovo tool forense viene creato deve essere passato al vaglio di organizzazioni scientifiche super partes, come il National Institute of Standards and Technology (NIST). Ancora, nel momento in cui un nuovo strumento forense viene alla luce, esso deve poter resistere in dibattimento, senza tener conto che di esso potrebbe anche essere intimato che si fornisca il codice sorgente.

A conferma di ciò, chi si scrive, ricorda bene come uno dei primi dibattiti in materia di Computer Forensics ruotava proprio intorno alla questione se fosse preferibile optare per l’adozione di strumenti forensi open source o proprietari, proprio per le ragioni appena illustrate. Addirittura si giungeva alla conclusione della forza probatoria di cui avrebbero potuto godere risultati identici prodotti a seguito di analisi forensi condotte, su un medesimo device, prima con uno strumento open e poi, a mo’ di verifica, con uno proprietario o viceversa.

Questi sono solo alcuni dei punti salienti di quello che, secondo l’opinione di chi scrive, è il grande paradosso contenuto nell’ordinanza del giudice federale di Los Angeles, il quale giudica non fondamentale richiedere che si proceda secondo una metodologia forense, proprio come se non frequentasse i tribunali.

CONCLUSIONI

Nel caso dell’iPhone di San Bernardino, se da una parte il problema principale pare essere di sicurezza – un sistema che con una modifica del produttore diventa vulnerabile non è infatti un sistema sicuro – d’altro canto sono state omesse del tutto le necessarie valutazioni tecnico-operative della metodologia forense. Anzi, riteniamo che questo sia un caso in cui la Forensics stessa potrebbe fare da ombrello alla sicurezza delle informazioni, riparandola da indebite violazioni, facili abusi e usi subdoli e distorti.

E se è vero che da una parte non c’è nell’ordinanza dell’autorità giudiziaria un ordine finalizzato alla creazione di una backdoor (come è invece stato alacremente commentato a caldo da una grossa fetta di esperti del settore) pesando ciò forse più favorevolmente negli occhi di chi pondera con attenzione il contenuto dell’ordinanza in questione, dall’altra gioca in maniera pesantemente sfavorevole alla stessa la palese frustrazione del rigore con cui si deve operare nel momento in cui ci si accinge a trattare fonti di prova digitali, ovvero procedere in ossequio a una precisi criteri forensi; se a quell’ordinanza, così per come è stata concepita e formulata, fosse data esecuzione, il più generale assetto della sicurezza delle informazioni conservate nei sistemi mobili, già fisiologicamente fragili, sarebbe compromesso.

Il quadro di massima incertezza giuridica e conseguentemente giudiziaria in cui si colloca la vicenda, richiede pertanto il pronto intervento del legislatore affinché colmi il vuoto normativo, perché qui l’unica pericolosa backdoor che c’è, semmai, è nel “sistema – legge”.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s