Bezos, attacco hacker: tutto quello che non torna

L’indagine forense sullo smartphone del patron di Amazon lascia più dubbi che certezze e non chiarisce i metodi di analisi. Tutti i punti di domanda del rapporto

La pubblicazione del rapporto relativo all’analisi forense eseguita sullo smartphone di Jeff Bezos, il patron di Amazon, che pare essere caduto vittima di un attacco informatico perpetrato tramite un malware, partito da un messaggio su Whatsapp del principe saudita Mohammed bin Salman, è un evento eccezionale e di straordinaria importanza. Perché ci mette di fronte al difficile compito di chi effettua questo genere di analisi. E perché non si tratta di un dispositivo qualsiasi ma di quello dell’uomo più ricco del pianeta. Eppure, a ben guardare il documento, sorgono parecchi dubbi: è autentico? E se la risposta è affermativa, davvero è stato fatto un buon lavoro? C’è chi non ha battuto ciglio, dandolo per buono e attenendosi a ciò che è stato descritto, e concluso, dagli esperti di Fti Consulting, cioè l’agenzia che si è occupata delle indagini forensi. C’è chi, al contrario, trova il rapporto così lacunoso da sollevare perplessità sia sulle procedure seguite, sia sulle conclusioni e sia, in virtù di tutto questo, sull’attendibilità del lavoro svolto.

Un cliente scomodo

Partiamo, innanzitutto, dal cliente: Jeff Bezos. Tutti i clienti, agli occhi di un informatico forense, sono e devono essere uguali. Quindi l’analisi va sempre effettuata al meglio delle possibilità, con la migliore strumentazione possibile e con tutta la competenza necessaria. Un laboratorio di informatica forense, semmai, spesso propone diverse soluzioni a costi che possono variare da “modesto” ad “altissimo”, e poi sta al cliente accettare o meno a seconda delle disponibilità. Ecco, la differenza di avere Jeff Bezos come cliente è che il budget, probabilmente, non rappresenta un problema. Quindi, di fatto, si ha davvero carta bianca nell’applicare tutte le metodologie necessarie ad arrivare a un esito oggettivo.

Oggettività, questa sconosciuta

Passiamo proprio a questo concetto, cioè quello dell’oggettività. In un’analisi di informatica forense non si dovrebbe mai dedurre, né tanto meno si dovrebbe partire da qualche preconcetto. Lo scopo di un’analisi di questo tipo è ottenere informazioni certe, dati nudi e crudi, che andranno poi valutati da altri professionisti, che si tratti di investigatori o di legali. Saranno questi, semmai, a fare deduzioni. Figurarsi se un’analista può concedersi dei pregiudizi. Il rapporto di Fti, già a pagina 2, cede alla tentazione.

Là si punta il dito contro la mente che si celerebbe dietro al misfatto: Saud al Qahtani, amico e consigliere del principe saudita Mohamed bin Salman (abbreviato Mbs). La conclusione, data prima di mostrare gli esiti del rapporto (non un errore, ma una pessima esposizione, diciamo), è definita come la summa dei “risultati di digital forensics, combinati con le indagini, gli interrogatori, ricerche e informazioni di intelligence”. Delle due l’una: se questo documento è una perizia di informatica forense, allora si deve limitare a procedure e risultati di informatica forense. Se, invece, è un documento che riassume l’intera indagine, allora dovrebbe includere anche il resto del materiale. Come vedremo, non rientra in nessuno dei due casi.

E di sicuro, in termini di pregiudizio dell’analisi, non gioca molto a favore il paragrafo conclusivo di pagina 2, nel quale si descrive un precedente tra Qahtani e Bezos, col primo che sarebbe autore di una campagna social contro il secondo. Di nuovo: un’analisi forense è come un esame del sangue. Ti aspetti di trovarci il valore del colesterolo o della glicemia, non una dissertazione sul fatto che ti piacciono i dolci e che mangiare troppi zuccheri fa male.

Il video al centro di tutto

A pagina 3 c’è una premessa più tecnica, ma di nuovo pregiudizievole. Si racconta che Bezos e Mohamed bin Salman si sono scambiati il numero di telefono a una cena, quindi il principe saudita era venuto in possesso del numero. Il rapporto inoltre menziona il fatto che Al Qahtani è proprietario del 20% di Hacking Team, l’azienda italiana nota per lo sviluppo di alcuni malware di spionaggio, e che si sarebbe informato per lo sviluppo di un software di hacking in grado di attaccare un dispositivo con l’invio di foto o video via WhatsApp. Può essere un’informazione utile, ma solo nel momento in cui si trovano dei riscontri oggettivi che vanno poi contestualizzati. Cosa che non c’è. La stessa Hacking Team ha escluso pubblicamente di essere coinvolta nel caso e di avere un attacco di quel tipo. E comunque, il nesso tra essere proprietario del 20% di Hacking Team, fare richieste di malware e aver infettato lo smartphone di Bezos, va corroborato da riscontri analitici.

I primi dati interessanti arrivano a pagina 4, dove si racconta che, dopo qualche ora dalla ricezione di un video inviato proprio da Mbs, i dati in uscita dallo smartphone di Bezos passano da una media di 430 kilobyte al giorno a circa 126 megabyte, pari al 29000% in più. È un dato, oggettivo, ma che andrebbe approfondito. Si dice, per esempio, che la trasmissione di questa mole di dati si sarebbe protratta per mesi, con picchi anche superiori. Ma per quanti mesi, di preciso? Per quanti giorni? Nelle pagine successive si trova qualche informazione in più, ma mancano quelle fondamentali. Per esempio, da dove sono stati ricavati questi dati di traffico. Se, per esempio, provengono dai file netusage.sqlite e datausage.sqlite, che sono dei must in analisi di questo tipo, c’è da tenere conto che qui sono stipati i dati di traffico trasmesso e ricevuto da varie app, e analizzandoli sarebbe piuttosto semplice scremare il traffico “strano” da quello genuino. Ma non possiamo saperlo, perché non è spiegata la metodologia di analisi.

E poi, si dice che 430 kilobyte al giorno è “fairly typical of an iPhone”. “Abbastanza tipico per un iPhone” la trasmissione di appena 430 kilobyte al giorno? È più strano questo valore dei 126 megabyte, semmai.

L’impressione è che si lasci più spazio al racconto che ai dati, e questo viene confermato nelle due pagine successive, dove si dimostrerebbe che il principe saudita, aveva avuto modo di accedere a informazioni su Bezos in anticipo, lasciando intuire che poteva attingere ai dati del suo smartphone. Le “prove” sarebbero un meme con un volto che somiglia a quella che all’epoca era l’amante segreta di Bezos, mesi prima che la relazione divenisse pubblica, e un messaggio col quale il principe saudita suggerisce al proprietario di Amazon di non credere alle voci che li vogliono mettere contro.

Tralasciando per un secondo l’approccio ben poco scientifico utilizzato in questo frangente, e sfruttando solo della semplice logica, davvero il principe saudita, dopo aver architettato col suo consigliere una delle più complesse attività di hacking che esistano, contro uno degli uomini più potenti e controllati del pianeta, si tradirebbe in questo modo? E poi, la somiglianza tra i due volti, l’allusione implicita che Mbs farebbe all’amante di Bezos, su cosa si basa? Si è fatto forse un riscontro dei parametri biometrici? O si è stabilito che si somigliano per alzata di mano tra gli analisti? L’approccio è lontano dall’essere analitico.

Gli “effetti speciali”

Le pagine 6, 7 e 8 descrivono con dovizia di particolari il laboratorio approntato per eseguire l’analisi, condotta con alcuni dei migliori prodotti in commercio. Fa un po’ sorridere leggere anche le misure di sicurezza adottate, tra cui il divieto di portare apparecchi elettronici dall’esterno e l’utilizzo di un metal detector in cui far passare i responsabili dell’analisi, quando il rapporto che stiamo esaminando era disponibile in rete appena un mese dopo. L’impressione è che queste misure di sicurezza facessero parte di un impianto scenico, più che prendersi realmente cura della riservatezza dell’intervento.

Del resto, siccome il diavolo si trova nei dettagli, è curioso notare l’espressione, a pagina 7: “The following items were acquired by Gbda and used to perform forensic acquisition and analysis of Bezos’ iPhone X”, e a seguire l’elenco di strumenti che dovrebbe far parte della dotazione di base di qualsiasi laboratorio forense. Forse è un’errata interpretazione del messaggio, ma l’impressione, invece, è che questi strumenti siano stati acquisiti all’occorrenza. Che, nel caso, sarebbe come non avere un microscopio in un laboratorio di biologia e doversene procurare uno solo quando serve.

Al di là di questa considerazione, a pagina 8 si legge che è stata effettuata un’acquisizione logica del dispositivo. Il rapporto non è molto chiaro sulla questione, mentre è evidente il porsi una domanda: perché, se confermato, un’acquisizione logica e non fisica? La differenza tra le due può essere riassunta in quella che passa tra copiare il contenuto di una chiavetta col proprio sistema operativo, e farlo utilizzando un software che la cloni, copiando quindi ogni singolo byte, compresi quelli apparentemente vuoti ma che in realtà potrebbero celare dei dati cancellati. Se ci si trova di fronte a un caso come questo, col sospetto di essere alle prese con un malware, e per giunta di quelli di alto livello, diventa imperativo un’acquisizione di questo tipo. Che, certo, può compromettere la ripetibilità dell’analisi, ma non credo questo rappresentasse un problema. E non si dice nemmeno che il dispositivo è stato acquisito con la modalità aerea attiva, requisito essenziale. Lo si dovrebbe dare per scontato, ma da quanto visto non si sa mai.

Gli indicatori di compromissione

Fti, dall’analisi del traffico di rete effettuato dopo l’acquisizione, quindi a telefono attivo, rileva ben 192 possibili indirizzi malevoli, in gergo Ioc o Indicators of compromise (sto semplificando, espertoni: indicatori di compromissione). Cioè indirizzi verso i quali il traffico poteva essere ridirezionato in modo malevolo, per essere spiato o sabotato. Bene, di questi 192 indirizzi, ben 192 sono stati ritenuti falsi positivi. Tutti. Di per sé non sarebbe un problema, almeno fino a quando si va a leggere la tabella dei primi 50: bing.com, en.wikipedia.org, medium.com, outlook.com, ieee.org. Dall’analisi non sembra che la verifica sia stata rivolta alla corrispondenza con gli Ip o la verifica dei Dns, per dire, ma ci si sia proprio concentrati sui semplici indirizzi Url.

Il downloader

Forse l’errore più grave in tutta questa analisi riguarda il downloader. Si parte dal presupposto che il video inviato dal principe saudita a Bezos sia stato scaricato tramite un downloader, cioè un software che ha scaricato fisicamente il filmato dalla rete e lo ha copiato nella memoria del telefono. Secondo Fti, questo downloader era crittografato e il file complessivo che conteneva il video aveva dimensioni maggiori del video stesso. A parte che questo è abbastanza ovvio, visto che la dimensione finale è data, a spanne, da quella del software più quella del video, se è stato verificato che si trattava di un software crittografato, perché non decodificarlo e analizzarlo in ogni suo angolo?

Fti lascia intuire che sia stato questo il veicolo d’infezione, quindi gli sforzi andavano concentrati proprio qui. Tanto più che la chiave di decodifica, molto probabilmente, era presente nel telefono stesso, sul quale si aveva ogni tipo di disponibilità e autorizzazione. Se la chiave non era disponibile, invece, sarebbe stato opportuno dirlo e raccontare come mai non si è proceduto con un approfondimento a dir poco vitale, visti gli assunti di partenza fatti. Nessuno si aspetta che un’analisi forense vada sempre a buon fine in tutti i suoi aspetti, ma occorre spiegare cosa è andato storto e perché. Sempre.

Il malware

Si parte dal presupposto pregiudizievole che dietro a tutta la faccenda ci sia un malware, ma alla fine si comunica che di malware non ce ne sono. Si reitera più volte il concetto dell’aumentato traffico, ma tutte le prove eseguite non provano l’infezione. Si arriva addirittura a comparare il traffico del dispositivo di Bezos con quello di altri 5 iPhone di Fti, pur di dimostrare la differenza di entità nello scambio di dati, ma si tratta di una prova assolutamente empirica e lontana dalle buone norme di analisi forense.

Leggendo questo rapporto con piglio analitico, soffermandosi solo sui dati e gli elementi oggettivi, la conclusione è che non ci sono malware e il video inviato dal principe saudita è… un semplice video, che per altro è famoso e spesso condiviso in rete. A leggere le conclusioni di Fti, al contrario, si trova che la società “valuta con certezza medio-alta che l’iPhone X di Bezos è stato compromesso con un un video WhatsApp che è stato invitato da un account utilizzato dal principe saudita Mohamed bon Salman”, e si arriva anche a supporre il tipo di malware utilizzato, che sarebbe il Pegasus-3 di Nso o il Galileo di Hacking Team. Entrambe le società hanno negato qualsiasi coinvolgimento.

Cosa resta da fare?

L’ultimo paragrafo del rapporto è dedicato a elencare eventuali attività da avviare per completare l’indagine. In particolare, effettuare il jailbreak per eseguire, guarda caso, proprio un’acquisizione completa della memoria, incluso il root file system, cioè la zona più intima e altrimenti inaccessibile. Quella copia fisica che ha scatenato le perplessità iniziali, e che di solito è un elemento imprescindibile quando si va a caccia di malware, di quelli veri, di quelli esistenti e non supposti. Ciò, insomma, che andava fatto fin da subito e che qualunque laboratorio di informatica forense degno di questo nome, con un caso così eclatante davanti agli occhi, farebbe. Ci sono stati forse dei fattori che hanno impedito questa acquisizione? Se è così, andava spiegato. Altrimenti l’impressione è che ci si sia accorti della necessità di questo tipo di analisi dopo aver riconsegnato il dispositivo a Bezos, e a quel punto non rimanesse che metterla come un desiderata per il futuro.

Difficile valutare questo rapporto. Molte affermazioni mancano di supporto da parte dei dati e di contesto, e con un simile livello di incertezza l’analisi non può fare il proprio dovere, cioè aiutare gli investigatori a trarre delle conclusioni. Conclusioni che, invece, sembrano non mancare agli analisti.