Decodificando o hack de telefone de Jeff Bezos: O que o resto de nós pode aprender com o relatório forense

CEO da Amazon, Jeff Bezos. (Foto do arquivo GeekWire)

O smartphone de Jeff Bezos está de volta nas notícias. Após dias de relatos em segunda mão de que o fundador da Amazon e o telefone do proprietário do Washington Post foram invadidos por ninguém menos que o príncipe herdeiro saudita Mohammed bin Salman, também conhecido como MBS, agora temos acesso ao relatório forense completo sobre o incidente.

A placa mãe postou uma cópia aqui. O relatório foi preparado pela FTI Consulting, a pedido do investigador de Bezos. Se você curte computação forense, é uma boa leitura e fornece o tipo de detalhe que um bom relatório forense deve ter. Por exemplo, o relatório observa que, uma vez que a FTI tomou posse do telefone, suas instalações foram protegidas 24x).

Mas se você não quiser ler um relatório forense de mais de 15 páginas, aqui estão os pontos principais para se concentrar:

• A FTI não conseguiu, em suas investigações, localizar ou identificar malware no sistema
• A FTI não conseguiu obter acesso total ao dispositivo devido à falta de uma senha para backups do iTunes.
• Bezos e MBS enviaram uma mensagem via WhatsApp em 4/4/18 para o MBS e receberam uma resposta em 5/4/18, aparentemente para trocar números de telefone.
• Em 1/5/18, Bezos recebeu uma mensagem de Mohammad bin Salman (MBS) com um grande arquivo de vídeo. Isso “chegou inesperadamente e sem explicação”.
• Após 01/05/2019, “A quantidade de dados transmitidos pelo telefone de Bezos mudou drasticamente após o recebimento do arquivo de vídeo do WhatsApp e nunca voltou à linha de base…. a saída no dispositivo [dados enviados pelo dispositivo] aumentou imediatamente 29.000%. ”

Alex Stamos, ex-diretor de segurança do Facebook, postou um tópico no Twitter com sua opinião sobre o relatório. Ele explica bem quando diz: “Este relatório forense da FTI não é muito forte. Muitas evidências circunstanciais estranhas, com certeza, mas nenhuma arma de fumar. O engraçado é que parece que a FTI tem potencialmente a arma do crime ali, eles simplesmente não descobriram como testá-la. ”

Esse último ponto é importante e que o FTI percebe claramente. O relatório indica que o FTI continua a explorar linhas adicionais de investigação. E de uma maneira boa para o crowdsourcing, depois que Stamos postou sua análise, várias pessoas na comunidade de segurança se ofereceram para ajudar.

Por que essa investigação "não é muito forte"? Porque, desde a redação do relatório, a FTI não conseguiu obter acesso total ao dispositivo para fazer uma análise forense completa. Aparentemente, isso ocorre devido a problemas com o backup do iTunes que eles detalham em seu relatório, provavelmente por causa de uma senha esquecida.

Em outras palavras, os investigadores de Bezos enfrentaram o mesmo problema que estamos lendo que a aplicação da lei enfrenta nos iPhones relacionados ao tiroteio na base naval em Pensacola, na Flórida. Isso levou o procurador-geral William Barr e o presidente Trump para renovar o pedido de maneiras de contornar a criptografia, uma medida que está reacendendo as "guerras de criptografia" da década de 1990.

Os investigadores da FTI Consulting delinearam um caso circunstancial convincente. Claramente, ALGO aconteceu em 1/5/18 ao telefone de Bezos para começar a enviar grandes quantidades de dados. E foi nessa mesma data que Bezos conseguiu um vídeo inesperado do MBS. A FTI Consulting reforça seu argumento circunstancial observando e mostrando evidências de que um cliente da Equipe de hackers, uma empresa que fabrica ferramentas de hackers e vigilância usadas por estados-nação e outros, perguntou em maio de 2018 se era possível infectar um através de uma imagem ou vídeo que é baixado automaticamente. O pedido até pergunta especificamente sobre o WhatsApp, o aplicativo de propriedade do Facebook usado por Bezos e MBS.

Onde isso nos deixa? Com um caso circunstancial razoável e credível. Também nos deixa um mistério técnico que ainda não foi resolvido, mas poderá ser resolvido no futuro. A quantidade de interesse somente neste caso significa que essa resposta insatisfatória não será suficiente para sempre. Acrescente o entusiasmo com o qual a comunidade de segurança gosta de um bom desafio, e agora está olhando para entrar, e você pode razoavelmente esperar que haverá mais para sair disso.

Enquanto isso, o que isso ensina a todos nós?

Primeiro, se você é potencialmente alvo de um ataque no nível de um país, deve trocar de telefone regularmente. Uma coisa que me surpreende neste relatório é que Bezos aparentemente manteve o mesmo telefone, com a mesma configuração, por quase um ano. Se havia malware no telefone a partir de maio de 2018, ele ainda estava ativo, aparentemente até fevereiro de 2019, oito meses completos. Este episódio também nos lembra um importante princípio de segurança: se o dispositivo físico não for seguro, todas as apostas serão desativadas. Se alguém obtém acesso físico ao dispositivo, ele é o proprietário. De fato, a chave para obter mais informações nesse caso provavelmente virá porque os investigadores têm o dispositivo físico de Bezos e são capazes de decifrá-lo.

Segundo, o relatório da FTI Consulting faz outro argumento razoável e circunstancial de que quem invadiu seu telefone ouviu em um briefing telefônico em fevereiro de 2019 sobre possível invasão de seu telefone. Este é um lembrete de que um dispositivo móvel comprometido é o melhor amigo de um espião. Possui, por design, recursos de coleta de áudio e vídeo. Ele também fornece aos atacantes informações sobre sua localização física. E pode dar acesso a todos os emails, contas de mídia social e aplicativos que você possui no dispositivo. Como a maioria das pessoas vive em seus telefones, isso dá acesso total e total.

Terceiro, isso ressalta que mesmo aplicativos de bate-papo "seguros" como WhatsApp ou Signal não são à prova de balas e não oferecem proteção completa. Esses aplicativos fornecem criptografia de conversas, sim. Mas a frase-chave é "criptografia de ponta a ponta": se um dos fins for comprometido com malware, todas as apostas serão desativadas.

Esta história ainda não acabou. Ainda não há uma resposta conclusiva. Ainda não estou 100% convencido. No entanto, existe um caso circunstancial razoável por aí. Então, estou quase 100% convencido de que posso estar 100% convencido no futuro. E se pesquisas adicionais forem implementadas e forem bem-sucedidas, esse caso circunstancial pode acabar sendo ainda mais sólido.

Por fim, é um lembrete de que até bilionários e até especialistas em tecnologia podem ser invadidos. Tenha cuidado lá fora.

Via: Geek Wire