年度揭秘：Cellebrite是何许人也？

最近几年以色列Cellebrite因其破解手机加密技术以及访问设备上存储的数据的能力而获得了科技界和执法机构的大量关注。不过Cellebrite走进大众的视野还是因为Cellebrite帮助FBI破解了圣伯纳迪诺枪击案凶手的iPhone 5C。

Cellebrite 的UFED手机取证设备能够让执法机关、反恐与安全单位从普通手机、智能手机和个人数据助理获取重要的司法证据，目前除了美国的中央情报机构外全美的警局也基本都在使用该工具。

UFED到底有何魔力让执法人员对它如此青睐，今天小编就为你全面介绍一下Cellebrite 的这款工具：

破解范围：UFED能从超过1600款的手机，其中包括使用Palm、Symbian，微软、黑莓和苹果操作系统的型号，

获取的重要数据：如电话本、照片、视频、音频、短信、通话记录与信息等。

特点：便携式设计，操作容易，无论在现场或实验室均能使用。只需要将要破解的手机简单地插入一部看起来像平板电脑的一部电脑中。然后点击电脑屏幕上的几个按钮，就这么简单，手机的开锁密码就失效了。

破解效果：数据可以复制到任何标准的SD卡、USB闪存，并能制成清晰的报告。并且能保证对不同手机的广泛支持，就连一些新型的手机推出市场之前UFED就已经能够破解了。安全、详尽的内容让执法人员从手机上获取各种不同的数据：通话记录（已拨打、已接听、未接听）电话本；手机本身的信息(IMEI/ESN、电话号码/位置）短信，包括卡上已删除的短信视频音频录音 ；SIM 卡位置信息（TMSI, MCC, MNC, LAC）  

破解数据的呈现：部分Qualcomm CDMA手机的QCP文件系统镜像(File System Dump)数据都是以只读的方式获取，已获取的数据均采用业界标准MD5哈希算法校验，以确保在法庭上作为呈堂证供之数据完整性

UFED报告管理器是一个软件，它能保存、打印和分析已获取数据的所有记录。生成的报告内容既精简，又容易分析，文件采用的格式是HTML，打印出来的报告适合用作呈堂证供。报告里还包含重要的字段，如获取数据时的日期和时间、执行该操作的人员名称、所属部门和案件编号。为了在法庭上能证明数据的完整性，因此使用了只读的MD5哈希校验码。

鉴于如此神奇的破解效果，难怪美国执法机构在2016年花了数百万美元用来购买Cellebrite的工具和相关服务。

虽然Cellebrite的技术可以横扫智能手机行业里的绝大多数现有的设备，但这家以色列公司可不没有胡作非为，而是利用自己的优势帮助执法机构进行相关的安全业务处理。另外Cellebrite也是一家非常低调的公司，他们几乎不对外显示自己的业务细节，不过我们可以从使用这个设备的美国警局里拿到一些破解的报告，通过报告我们可以具体的了解一下这个神秘的公司。

这是一张被破解的iPhone 5里的全部信息，包括已经删除的信息

报告封面:详细的显示了执法机构的案件编号、调查人员姓名及部门、唯一的设备识别信息

被破解的手机信息：包括了这个手机所有人的详细信息，包括手机号码，注册的Apple ID, 手机唯一识别符比如IMEI号

插件:这部分描述了UFED所做的具体分体其中包括Quicktime元数据提取和分析。UFED还可以交叉引用联系人,短信,和其他通讯的数据来建立相关的设备数据档案

定位:标记破解记录中的每个照片的地理位置,并在地图上可视化,使调查员一部了然看到被破解手机的位置

消息:调查员可以将所有的短信按时间顺序排列,然后查看某个时间被调查者都说了些什么

用户帐号:这部分揭示了手机所有者安装的应用程序安装。如上图所示，可以对收集安装的Instagram用户名和密码

无线网络:破解出所有连接到的无线网络包括加密类型和路由器的MAC地址，并按时间顺序列出表格

通话记录:通话记录的报告包含一个完整的列表,包扩打入和打出的时间,日期,电话号码和通话时间。这种类型的信息收集对情报机构非常有用

联系人:联系人的电话包括名称、电话号码,和其他联系信息，比如电子邮件地址，甚至连删除的内容都可能被收集

安装应用程序:所有已安装的应用程序包括它们的版本，权限设置

注:任何数据都写在Notes的应用程序下

语音信箱:存储在电话语音信箱的音频文件。它还包括留下的语音邮件和语音时间

配置和数据库: 在iphone存储应用程序的数据属性列表(“plist”)。这些单个文件包含丰富的信息,如配置,设置,选择,和其他的缓存文件

活动分析:对于每一个电话号码进行相关性行为分析,比如短信或电话

看完以上由UFED破解生成的提取报告，不要说是执法人员，就是普通人也能从其中看出这个人是谁，具体都干了些什么？

需要注意的是，目前Cellebrite称很难破解有密码保护的iPhone 4S及之后的iPhone。iPhone 5S及之后的iPhone则更难破解，因为A7芯片内置了Secure Enclave协处理器。所以小伙伴们，记住了吧。一定要将手机设置密码保护，这对保护你的隐私非常重要。

而很多人不知道，Cellebrite 在收集资料移转方面是苹果多年的合作伙伴，而Cellebrite 的产品更是出现在苹果的零售店中。在零售店里，苹果的销售人员就是利用该公司的产品把用户的通讯录和其他文件资料传送进新买的 iPhone 中的。

早在 2013 年，FBI 就曾经和 Cellebrite 签订合约，确定后者为指定的手机破解服务合作伙伴。

而在 2012 年的时候，英国警员曾经请求 Cellebrite 帮忙，恢复了一支 iPhone 3GS 上被删除的资料。

由于和苹果的深度合作关系，Cellebrite 掌握了大量 iPhone 深层的运作机制。它的“独门绝技”就是：专修各种有问题的 iPhone，曾经为美国、法国、印度、日本的警员军方解决过多不胜数的和手机解密有关的棘手难题。

根据最新的了解，目前Cellebrite 已经和100多个国家的执法机构有过或多或少的合作。

少到这里你可能要问了，难道市场上的手机破解设备只有Cellebrite一家公司吗？当然不是，除了它之外，还有BlackBag （美国公司，擅长对苹果系列进行定向取证），Magnet Forensics 和Paraben（司法软件、硬件和服务提供商 ），但我们来看看美国执法机构在今年进行智能设备破解的供应商名单中Cellebrite的产品独占鳌头。

美国的联邦执法机构，各州警察包括高速公路巡逻队都在使用 Cellebrite的产品，原来只是联邦的执法机构使用Cellebrite的产品，但随着智能手机的普及并日益成为我们生活的数字中心，很多地方机构也有了移动取证工具的需求。

截至目前根据披露的资料，Cellebrite已经将其商品出售给20个州的地方执法机构，可以肯定还有更多的州在使用。目前使用最广泛的就是Cellebrite的UFED。 

爱荷华州公共安全部网络犯罪组和反侵害儿童网络犯罪的负责特工Nate McLaren表示：“我们将UFED用于任何犯罪行为的手机，只要能在犯罪分子的手机上得到线索。”

为了更好地了解移动电话取证技术在联邦层面上的优势，motherboard网站向美国每个州的国家警察局和高速公路巡逻队分别提交了公共记录访问请求，访问从2010年至今的取证记录。一些州将请求转交给当地的国家公共安全部或其他类似机构;一些州则拒绝访问取证记录，认为他们具有当地法律的豁免权; 一些州则趁机收取高昂的访问费；而一些州则懒得给予回应，不过还是有一些州提供了一些部分的记录。

最终，motherboard网站获得了20个州的执法记录，包括伊利诺伊州立警察局，密苏里州公路巡逻队和亚利桑那州公共安全部。 

通过对这些记录的调查发现，这些执法机构都花了数万美元来购买Cellebrite的UFED，虽然版本各有不同，有 UFED Touch，Ultimate，Pro系列或一个名为UFED4PC的计算机软件。

总之，Cellebrite的UFED提供物理和逻辑数据提取两种方式。

两者的区别是逻辑信息提取花费的时间比物理信息更短。在时间至关重要的案例上，如也许是一个绑架事件，需要对移动数据进行更快速的分析，这种情况下，要用“逻辑提取”获取通用数据，而无需做深度分析。“物理提取”则提供犯罪嫌疑人电话数据的详细历史记录，并需要更多的时间来提取和分析。在一宗谋杀案的调查中需要整理大量的证据和三重检查，物理提取的办法是最有效的。

Cellebrite移动取证工具UFED系列可覆盖移动数据采集中的3个阶段：提取、解码和分析，第一阶段是实际的数据提取，即提取设备访问手机的存储。数据提取后，手机数据解码把数据转换成本机格式以便取证团队进行分析。 最后阶段是移动数据的分析。警方研究犯罪分子间的通信模式并对调查结果进行分析。

Cellebrite的研究人员尤瓦尔•本-摩西（Yuval Ben-Moshe）说：“我们可以获取手机上的几乎任何数据。” 

根据特拉华州警察刑事情报和国土安全科的一份UFED使用记录，UFED基本上不需要经过什么培训就能上手了，就像上面分析的那样，因为从操作到数据的报告生成，调查人员基本上不需要做什么。

从得到的这20份记录我们知道，如果执法机构想要一直用Cellebrite的产品的话，那就必须每年对付费对设备更新一次，比如亚利桑那公共安全部在三年内花了大约11万美元，伊利诺伊州警察局每年花费45000多美元，爱荷华州公共安全部每年大约是92000美元。

而这些还仅仅是UFED产品本身的话费，如果你还想使用它的配套产品，则需另外支付比如UFED的UFED Link Analysis，不仅可以提取数据，还能够将数据进行对比，这些数据可以是来自同一个手机，也可以来自不同的手机，找出数据的结合点，包括手机与手机发送短消息的内容和时间，找出相关的证据。

为什么Cellebrite可以如此成功？

除了产品本身的技术过硬，拥有所属行业中最大的研发团队，不断致力于追求新技术之外，Cellebrite的成功还得益于其成功的营销，比如对客户的保密 

就拿Cellebrite帮助FBI破解了圣贝纳迪诺枪手Syed Rizwan Farook留下的iPhone 5C的事情来说吧，当有媒体向Cellebrite采访具体细节时，公司的回答是：“我们不能对任何客户进行评论。”

当被问及Cellebrite是否与专制国家的政府合作，公司负责人的回答是：“我不知道如何回答这个问题。我无权对此发表意见。”而且根据motherboard的调查，Cellebrite的产品已经提前锁定了一些机构的购买单，比如每年一次的更新支持，其实就是一种产品的营销模式。

特拉华州立警察局获得的的一份关于Cellebrite产品的备忘录是这样描写的“目前还没有同类型的产品来替代Cellebrite的产品，我们别无选择。”

至于其他机构，根据公开记录，Cellebrite的美国子公司自2012年以来已经从联邦调查局获得了超过200万美元的采购订单。其他联邦机构还有美国劳工部监察长办公室、国土安全部和其他秘密服务机构。

另外移动取证设备在美国各地流行的一个重要原因，可能与美国的RCFL (圣地亚哥地区计算机取证实验室)有关，

RCFL由FBI在2000年创建，现在它已经在美国境内拥有15家处在“不同领域”的实验室。这些实验室负责恐怖主义、儿童色情、暴力犯罪、盗窃商业秘密等刑事调查的数据证据审查工作。

在美国科罗拉多州巡逻队的一份2012年文件中，M. Packard写道，为了说服主管部门购买UFED，他们给出的理由是“目前，地方的调查人员只有与联邦调查局，ICE（麻醉品管制局）DEA（美国移民和海关执法局） 合作才能访问UFED。”

但是，根据Cellebrite的前美国联邦调查局代理人的说法，最主要的原因是，需要分析的智能手机数量在过去四年内明显增加，最起码增加了100倍。

总的来说，这是Cellebrite与手机厂商之间的一场攻防大战，手机厂商拼命提高自己的安全性能，而Cellebrite这样的公司却不断地要破解它们，以彰显自己存在。

看来，手机厂商和破解软件公司之间的技术战争比我们可能想象的更激烈。