Отключват телефона на Алексей Петров между 5 и 12 часа срещу 10 - 15 хил. долара
- В киберлаборатория устройството вероятно ще се разкодира с израелския софтуер "Селебрайт"
- След т.нар. "физическо извличане" се придобива достъп до криптографски ключове, възстановяват се изтрити снимки и съобщения
- Ако е имал Signal Private Messaging с функция "триене след прочитане", чатове няма да бъдат намерени, премахнати са и от сървъра
Българските власти не успяха да отключат телефона на застреляния Алексей Петров и за разкодирането му ще разчитат на ФБР. Бюрото ще получи мобилното устройство на някогашния съветник в ДАНС, за да извлече информация за последните му писмени кореспонденции, разговори, снимки, видеа и други файлове.
Към Федералната агенция годишно се обръщат множество страни с молба за помощ в отварянето на джиесеми на престъпници. Това се прави с цел по-бързо разплитане на случаи. ФБР обаче се явява само посредник в този процес, научи "24 часа - 168 истории". То търси трета компания, която разполага със специализиран софтуер.
Какъв е той, как действа и защо устройството на Петров ще бъде върнато у нас чак след месеци, пред медията ни обяснява експертът по киберсигурност Любомир Тулев.
- Телефонът на Алексей Петров е "заключен". Какво означава това, за специална защита ли говорим?
- Има три начина за извличане на информация от мобилните устройства, когато се прави т.нар. криминалистична експертиза на телефон. Първият начин е директно копиране на файлове от него, докато той е включен. Те се записват на външен носител, обикновено на изчистен преди това от всяка друга информация хард диск, специално предназначен за тази експертиза. Вторият начин е "логическо извличане". То става чрез специализиран софтуер, който, след като се свърже посредством кабел за пренос на данни за телефона, извлича информацията, докато устройството все още е в работен режим. Така се създава т.нар "имидж файл" на устройството. Софтуерът прави копие само на тази информация, която е на ниво потребителско ползване, т.е. тази, до която потребителите имат достъп, но не и до системните файлове. Третият начин е т.нар "физическо извличане". При него телефонът е в изключено състояние и се осъществява извличане на информацията чрез създаване на т.нар. "Bit by bit" имидж файл - "огледално копие" на телефонния хард диск.
Това се случва на външен носител, който е предварително подготвен за целта. Става и посредством специализиран софтуер. При този вариант обаче може да се извлече цялата информация от телефона, която включва обема, който вижда самият потребител - снимки, видео, музика, но освен тях се извличат и системните файлове - тези в самата операционна система. Това включва изтрити файлове и т.нар. "криптиращи ключове". Когато инсталираме на телефона чат апликации като вайбър, уотсап и други подобни, те осигуряват т.нар. "потребител до потребител криптирана връзка". Това криптиране всъщност означава, че на вашия телефон се закодира специален ключ. Той е уникален за отделните приложения - един е за вайбър, друг - за уотсап и прочие. Този ключ ви дава възможност съобщението да бъде отключено и прочетено. Без него няма да може да прочетете нищо от това, което ви е написано. Ключът стои записан на ниво операционна система. Без да се направи физическото извличане, тези ключове няма как да бъдат прехванати. В днешно време едно от най-ценните неща, които се извличат от мобилните телефони, са чатовете. На практика достъп до криптиращите ключове няма как да има, ако няма и физическо извличане. Без тях няма да се отворят чат съобщенията на телефона. Информацията, която е на физическо ниво, обикновено стои криптирана. Модерните телефони като айфон, самсунг и т.н. имат криптиран хард диск в момента, в който съхранявате информацията (файлове, снимки, видеа). Когато потребителят в работен режим на телефона си въведе съответния код (пин код, шаблонно чертаене по дисплея, пръстов отпечатък, лицево разпознаване и прочие), той не просто отключва устройството, но и разкриптира информацията, съдържаща се в момента на хард диска.
Една елементарна стъпка като въвеждане на пин код (не пин за сим картата - бел. ред.), разкриптира файловете на мобилния ти апарат. Когато казваме, че един телефон е заключен, имаме предвид, че това е станало с пин, пръстов отпечатък и т.н. Тук има две последствия - от една страна, устройството се отваря за работа от потребителя, но от друга - се разкриптира информацията. Ако не знаем тези кодове, дори да направим копие на мобилния телефон, няма да можем да разчетем нищо.
- Как става отключването на телефона?
- Има три начина да се отключат мобилни телефони. Първият е чрез налучкване на парола, респективно пин код. Това е възможно, когато познаваш добре потребителя, или пък в случай че си успял да добиеш достъп до други негови пароли. Тоест може да опиташ с тях, тъй като хората обичат да използват едни и същи пароли навсякъде. Вторият начин се нарича "брут форс", иначе казано "насилствено отключване". Тогава автоматично задаваш на специализиран софтуер да пробва и налучква пин кодове, така че да се отключи телефонът. До 2018 г. дори айфоните нямаха т.нар. функция за "заключване" след неуспешни опити. Има редица софтуери, с които можеш да направиш така, че като закачиш устройството за тях и им кажеш: "Давай му разбъркани кодове", в мига, в който правилният код бъде познат, телефонът просто се отключва. За съжаление на властите, водещите марки въведоха функцията, която дава възможност след три неуспешни опита за въвеждане на пин код устройството да се заключи за една минута. Това действие прогресира. Ако след изтичане на първата минута отново въведеш грешен пин, то се заключва за 5 минути, после за 15 минути, следват 30 минути и т.н. Така тези софтуери вече не можеха да работят.
- Кой е третият начин за отключване на такива телефони?
- Само чрез специализиран софтуер. В света има два водещи софтуерни разработчика на специализиран софтуер за експертиза на мобилни устройства. Най-добрият в момента е израелски и се казва "Селебрайт" (Cellebrite). Вторият по популярност и функционалност е шведски и се казва "Екс Ар Уай" (XRY). В момента, в който те се закачат за устройството, го изключват и чрез написани от тях "пейлоди" и "къстъм ром имиджи" опитват да заобиколят защитата и да получат достъп до информацията на хард диска, за да я извлекат. Тук е важно да кажем, че "Селебрайт" е компания, с която ФБР си партнираше през декември 2015 г. заради Сайед Фарук, който откри стрелба в калифорнийския град Сан Бернардино и уби 14 души. Тогава Бюрото не успя да отвори айфона му и се обърна към "Селебрайт", които го направиха. Те предадоха информацията на властите.
- Кой от двата разработчика на специализиран софтуер за експертиза е по-добър?
- Работил съм и с двата производителя. Определено "Селебрайт" е по-добрият. МВР има закупени 2 - 3 лиценза. Имат го и няколко частни експерти в България. Лицензът за една година на такъв специализиран софтуер върви около 20 хил. долара. "Селебрайт" твърдят, че могат да отключат всеки телефон. Има един любопитен момент - те нарочно оставят софтуера да може да отключва предпоследния модел на мобилното устройство на водещите производители, но не и най-новия. Сегашната версия на айфон 15 не може да бъде отключена, тъй като е от много скоро на пазара. Софтуерът все още не е снабден и с пейлоуди за версия 14, но 13 например - може. При самсунга е по същия начин - може да отключите S21, но не и S22. "Селебрайт" не оставя водещите флагман модели на вендорите да се отключват през софтуера, а предоставя специализирана услуга. Компанията казва: "Ние ще ви го отключим, но трябва да пратите телефона физически на една от двете ни локации - или в Израел, или в Мюнхен". Това, което всъщност правят, е да отключат устройството и да го върнат декриптирано с т.нар. физическо извличане на информация.
- Защо БГ властите не успяха да отключат телефона на Алексей Петров?
- Предполагам, че телефонът му е модел Iphone 14, тъй като 15 излезе след убийството му. Явно от "Селебрайт" все още не са налели тази версия, за да я отключат.
- Всеки ли може да се възползва от услугите на "Селебрайт"?
- Не. Трябва задължително запитването да идва от полиция, прокуратура, съд, но не и от частно лице. Правил съм го веднъж след постановление на прокуратурата. Успяхме да убедим "Селебрайт", че действам по поръчение на властите и правя анализа в тяхно изпълнение. Компанията държи да предостави услугата си само за правоприлагащи нужди на органите.
- Колко струва да им изпратиш телефон за отключване?
- Към 2018 г. струваше около 2 хил. долара на устройство. Сега цената може би е достигнала 4 - 5 хил. долара предвид обстоятелствата и изминалите години. В конкретния случай с Алексей Петров ще предположа, че може да излезе 10 - 15 хил. долара. Тази цифра включва логистика и изпращане по специализиран начин на устройството до САЩ, ако търсят съдействие от ФБР, след това до "Селебрайт" и прочие.
- Защо главният секретар на МВР каза, че отключването на телефона на Петров от ФБР ще отнеме месеци?
- Единствената компания, която може да отключи този телефон, е "Селебрайт". Ако си представим, че тази компания трябва да обслужи целия свят, тя се бави заради натоварването. В моя случай през 2018 г. те ми казаха, че ще отнеме 2 месеца. Чисто технологично, когато в нашата киберлаборатория аз съм отключвал телефони с техния софтуер, ми отнемаше между 5 - 12 часа. Технически това може да се случи в рамките на един работен ден, но те дават срок 2 месеца, защото получават много заявки. Информацията на нашите власти, че ще отнеме месеци, е вярна. Все пак това устройство трябва да пътува до Щатите и да стигне до ФБР, които пък ще го изпратят на "Селебрайт". След това Бюрото ще го чака обратно, за да го върне в България. Самият процес е дълъг, но работата по отключването е 5 и 12 часа.
- Възможно ли е след самото отключване да установят, че има въведена допълнителна защита?
- Не. В момента, в който се направи "физическо извличане", няма нещо, което да може да ги спре. Тогава не просто се придобива достъп до всички данни и криптографски ключове, но дори и до изтритите снимки и съобщения. Те също могат да бъдат възстановени. Едно е информацията да бъде извлечена, но за да бъде анализирана задълбочено, отнема 3 - 4, а понякога и повече дни допълнително. През това време се прави възобновяване на файлове, на съобщения, анализ на чатовете. "Селебрайт" отключва телефона и извлича информацията. Анализът впоследствие се извършва от властите.
- Хора с криминално минало и връзки в подземния свят държат ли уличаваща информация на телефона си?
- Хората, които държат на това личната им информация да бъде запазена в тайна, използват специализирани чат апликации. Те имат вайбър, но не за по-конфиденциалната им кореспонденция. Обикновено действат с "Телеграм" или "Сигнал прайвит месиджинг". Тези апликации, наред с всички останали, имат опцията за криптиране на информацията. "Сигнал" обаче дава възможност и за изтриване на съобщение, след като бъде видяно. Позволява ти да му зададеш и след колко време да се изтрие.
- Но ФБР в сътрудничество със "Селебрайт" не могат ли да видят изтритите съобщения в "Сигнал прайвит месиджинг"?
- Не и ако е включена функцията за изтриване на съобщението, след като е видяно. Тогава написаното изчезва не само от телефона, но и от сървъра, който поддържа комуникацията между двете страни. В този случай няма възможност да бъде възстановена чат комуникацията. По-скоро в контекста на човека, за когото говорим, такива като него не си пишат, а използват подобни приложения, за да се обадят. Тогава единствената следа е, че някой на някого е звънял. Написаното остава, казаното - не.
- Да разбираме ли, че ФБР работи със "Селебрайт" и ще им даде телефона?
- ФБР най-вероятно имат закупени лицензи и за други специализирани софтуери, но бих казал, че основно работят със "Селебрайт". Според мен в тази игра има три важни страни. Първата са технологичните вендори, тоест производители на телефони, които опитват да защитават своите потребители, тяхната неприкосновеност на информацията, т.нар. privacy. Никой потребител няма да иска да си купи телефон, ако знае, че производителят му би дал информацията на полицията веднага. Пък дори да има законово право, особено "по-специфичните" клиенти едва ли биха си купили устройство с ясното съзнание, че компанията предоставя факти официално на ФБР. Затова за тези производители е много важно пред потребителите си да запазят реноме и да са строги в криптирането на данните така, че никой да не може да ги разкодира. Това е силната им черта. От другата страна стоят правоприлагащите органи. Те знаят, че в този свят всичко се дигитализира и не съществува престъпник без мобилен телефон, който е изключително важен източник на информация. Тоест има огромна необходимост устройството да бъде отключено и анализирано в случай че им попадне в ръце. И сега вижте какъв е парадоксът - от една страна са производителите на телефони, които трябва да защитят потребителите си, а от другата страна са властите, които отново защитават хората, но трябва да отключат тези устройства. В САЩ все още действа т.нар. "Патриотичен акт". Той беше приет след атаките на 11 септември и казва, че след заповед на полицията компании в Щатите са задължени да предоставят информация, когато бъдат официално запитани от службите. Мислите ли, че ФБР и Америка биха позволили "Епъл" да оперира на територията им, без да имат достъп до информация. Тук се появява моментът, в който трябва да влезе трети играч - посредник. Това са именно компании, които извършват мобилна експертиза като "Селебрайт". През годините излязоха факти, сочещи, че тя е толкова добра, защото работи неофициално с инженери и разработчици от "Епъл", които дават информация за "отворени задни вратички" в мобилните им телефони. Чрез тях могат да се извличат данните. Сиреч ФБР отива при "Селебрайт" и им казва: "Ние си плащаме". Какво точно прави компанията и как извлича информацията след това, не ги касае. Веригата върви без спънки.