U.K.: Bulk Powers for for MI5, MI6 and GCHQ — Executive Summary of the Independent Bulk Powers Review

News from the U.K.: the outcome of the Independent Bulk Powers Review is now available here (.pdf, August 2016; mirror). Media reports about the review are available for instance at FT and The Guardian. The review was carried out by David Anderson QC and elaborates on the four bulk powers laid down for MI5, MI6 and GCHQ in the Draft Investigatory Powers Bill (November 2015). That bill is now up for debate in the lower house. In Q1/2016, following the advice of a Joint Committee, the U.K. government provided (further) justification for the new bulk powers proposes in the draft bill; it is available here (.pdf, Q1/2016; mirror). The four bulk powers included in the draft bill are bulk interception, bulk acquisition, bulk equipment interference and bulk personal datasets. TL;DR: the review concludes that there is a proven operational case for bulk interception, bulk acquisition and bulk personal datasets, and a “distinct (though not yet proven)” operational case for bulk equipment interference. No conclusions are made about proportionality or desirability of the powers; that is left as a matter for the U.K. parliament to decide. For my own purposes — related to understanding the draft Dutch bill of which the Dutch government will soon submit the final draft to the Dutch lower house and that also includes new and expanded powers for the Dutch intelligence services AIVD and MIVD related to bulk interception, bulk acquisition and bulk personal datasets (but not bulk equipment interference, at least not in the initial draft of the bill) — I quote the executive summary from the British Independent Bulk Powers Review below.

EXECUTIVE SUMMARY

  • This Report evaluates the operational case for four of the powers in the Investigatory Powers Bill currently before Parliament: bulk interception, bulk acquisition, bulk equipment interference and bulk personal datasets. These powers can be used only by MI5, MI6 and GCHQ.
  • It provides a full introduction to each of the powers (chapter 2) and notes the generally favourable conclusions of those security-cleared persons who have in the past commented on their utility (chapter 3).
  • The security-cleared Review team comprised technical, investigatory and legal experts. We consulted widely. Each member of the Review team authorises me to say that they are in agreement with the conclusions of this Report and with my recommendation (1.28-1.55).
  • The Review applied itself in particular (chapter 4) to:
    • some 60 detailed case studies provided by MI5, MI6 and GCHQ, together with associated intelligence reports,
    • internal documents from each of the Agencies, in which the utility of the powers was discussed, and
    • the questioning of some 85 intelligence officials, including on whether other methods could have achieved the same results.
  • The Report concludes that there is a proven operational case for three of the bulk powers, and that there is a distinct (though not yet proven) operational case for bulk equipment interference (9.12-9.15).
  • As the case studies show, the bulk powers are used across the range of Agency activity, from cyber-defence, counter-espionage and counter- terrorism to child sexual abuse and organised crime (Annexes 8-11).
  • The bulk powers play an important part in identifying, understanding and averting threats in Great Britain, Northern Ireland and further afield. Where alternative methods exist, they are often less effective, more dangerous, more resource-intensive, more intrusive or slower (chapters 5-8).
  • The Review was not asked to reach conclusions as to the proportionality or desirability of the bulk powers. As the terms of reference for the Review made clear, these are matters for Parliament (1.10-1.14).
  • The Report makes a single recommendation: that a Technical Advisory Panel of independent academics and industry experts be appointed by the Investigatory Powers Commission to advise on the impact of changing technology, and on how MI5, MI6 and GCHQ could reduce the privacy footprint of their activities (9.16-9.31).
  • Though it found that the bulk powers have a clear operational purpose, the Report accepts that technological changes will provoke new questions. Adoption of its Recommendation will enable such questions to be asked, and answered, on a properly informed basis (9.32).

EOF

[Dutch] Enkele snippets uit de gelekte Wiv20xx MvT aan RvS

Hierbij enkele zinsneden uit de via de Volkskrant gelekte Wiv20xx MvT die de regering aan de RvS heeft gestuurd (zie hier enkele quick references naar losse onderdelen van de alles-in-één .pdf die de Volkskrant publiceerde). De MvT is ten opzichte van de consultatieversie 123 pagina’s gegroeid; het wetsvoorstel met 8 pagina’s.

Over hacking via geautomatiseerde werken van derden (MvT, p.106-107):

“[…] In de praktijk verschaffen de diensten zich al in het overgrote deel van de gevallen toegang tot het geautomatiseerd werk van een target via het geautomatiseerd werk van een derde. Het internet is een ecosysteem van providers, tussenleveranciers en dienstverleners die ervoor zorgen dat informatie beschikbaar is via het internet. Een internetverbinding loopt via een ingewikkelde infrastructuur van routers, netwerkverbindingen, servers, e.d. Om toegang te krijgen tot het geautomatiseerd werk van het target moet gebruik kunnen worden gemaakt van die infrastructuur. Belangrijk is te beseffen dat binnendringen via een geautomatiseerd werk van een derde een ultimum remedium is. De diensten zullen altijd eerst proberen rechtstreeks binnen te dringen in het geautomatiseerde werk van het target zelf. Indien dit niet mogelijk is kunnen alternatieven worden uitgewerkt, waaronder binnendringen via (een) geautomatiseerd werk van (een) derde(n). […]

[…] Tevens moet eventueel aangebrachte malware in het geautomatiseerd werk van de derde indien mogelijk worden verwijderd. Een daartoe strekkende inspanningsverplichting, die zich ook uitstrekt het geautomatiseerde werk van het target, is in artikel 44, zevende lid, van het wetsvoorstel vastgelegd. Er is gekozen voor een inspanningsverplichting, omdat in bepaalde gevallen het verwijderen van de malware disproportioneel nadeel zal opleveren voor de derde of voor zwaarwegende operationele belangen van de diensten.

Over toegang tot kabelnetwerken (NB: ‘OTT-diensten’ staat voor ‘Over The Top-diensten’, denk daarbij aan Skype en WhatsApp):

“De eerste reden waarom deze toegang van belang is voor de informatiepositie van de diensten is dat door technologische ontwikkelingen de opbrengst van gerichte interceptie afneemt. Targets wijken uit naar open en anonieme opstijgpunten van het internet (zoals wifi-netwerken in hotels, restaurants en andere openbare ruimtes) waardoor een gerichte tap bij de traditionele aanbieders van telecommunicatiediensten in Nederland steeds minder effectief is. Targets passen bewust hun gedragingen aan om onder de radar te blijven, bijvoorbeeld door gebruik te maken van chatfuncties in games en van berichten- en videodiensten van social media. Het gaat hier onder meer om OTT-diensten. OTT-diensten verzorgen een dienst over het internet en ze hebben veelal communicatie- en (social) mediatoepassingen. Daarnaast zijn zij doorgaans goedkoper dan de traditionele methoden. Diverse OTT-diensten passeren de traditionele aanbieders van (mobiele) telefonie door bijvoorbeeld (video)bellen en chatten via het internet mogelijk te maken. Wereldwijd kunnen consumenten (en daarmee dus ook targets van de diensten) OTT-diensten benaderen door middel van alle denkbare digitale apparatuur zoals PC’s, laptops, spelcomputers, smartphones (Android, iOS en Windows Phone telefoons), muziekspelers, smart TV’s en tablets.”

Het blijft onduidelijk of de diensten alleen LEESTOEGANG kunnen vorderen of ook SCHRIJFTOEGANG. Dat is een cruciaal punt. Het hebben van schrijftoegang kan goud waard zijn voor het uitvoeren van Man-in-the-Middle-aanvallen ter ondersteuning van het uitoefenen van de hackbevoegdheid. Hierover is duidelijkheid nodig! Daartoe hadden Joris van Hoboken en ik trouwens al opgeroepen in onze reactie op de internetconsultatie. Als iemand hierover meer weet, let me know.

Over de ontsleutelplichten is een lichtpunt(je) te melden (MvT, p.158):

Voor de goede orde wordt opgemerkt dat uit de medewerkingsplicht geen bevoegdheid van de diensten kan worden afgeleid tot het (doen) inbouwen van achterdeuren in systemen om aldus toegang tot de ontsleutelde gegevens te krijgen. Ook is er geen enkele verplichting voor bijvoorbeeld aanbieders van communicatiediensten om de encryptie die in hun systemen is toegepast te verzwakken.

Dat is consistent met het kabinetsstandpunt encryptie dd januari 2016. Afwezigheid van een bevoegdheid tot het (doen) inbouwen van achterdeurtjes of het verzwakken van crypto betekent natuurlijk niet dat dit niet op vrijwillige basis kan plaatsvinden — zie de casus met de PX-1000 pocket telex anno jaren ’80, waarbij op verzoek van de NSA een telex met sterke crypto van de markt is gehaald en een variant met backdoor’d crypto op de markt is gebracht; maar dat terzijde.

Over de kosten van kabelgebonden interceptie (MvT, p.284):

“Met de uitvoering van kabelgebonden interceptie onder artikel 47 van dit wetsvoorstel zijn ook aan de zijde van de diensten kosten gemoeid. Het gaat om versterking van de personele capaciteit en aanpassing van informatiesystemen bij de diensten. Bij de ontwikkeling van technische systemen is transparantie en controleerbaarheid, onder andere met het oog op toezicht door de CTIVD, een uitgangspunt. De onderstaande bedragen (in miljoen €) berusten op technisch onderzoek en ervaringsgegevens en zijn inclusief de voorgaand geschetste vergoedingen die samenhangen met de toepassing van onderzoeksopdrachtgerichte interceptie en de overige bevoegdheden bij aanbieders van een communicatiedienst.

20160429_kosten-kabelinterceptie

[…]”

Met betrekking tot onderscheid tussen domestic-domestic communicatie en domestic-foreign en foreign-foreign communicatie: dat onderscheid wordt, in tegenstelling tot in Duitsland, VK en Frankrijk, ook in de gelekte versie van de Wiv20xx en MvT nog niet gemaakt. De argumenten vóór en tegen zulk onderscheid zal ik hier niet herhalen, maar ik ben niet overtuigd door de argumenten zoals die in de gelekte MvT worden genoemd. Ik hoop (en verwacht) dat de TIB en CTIVD bij ongerichte search/selectie van domestic-domestic internet- en telefonieverkeer streng(er) toetsen aan noodzaak/subsidiariteit/proportionaliteit, voorzover het niet slechts gaat om digitale aanvallen (indicators of compromise, anomaly-based & signature-based detectie). (Geen idee, trouwens, in hoeverre met het geïntroduceerde bindende ex ante toezicht door de TIB wordt voldaan aan de gerelateerde aanbevelingen in het IViR-rapport Ten standards for oversight and transparency of national intelligence services, dat ook is ingestuurd als reactie op de consultatie.)

Tot slot een iets minder belangrijke opmerking m.b.t. de volgende alinea in de paragraaf “De dreiging die we niet kennen” (MvT, p.17):

“Van bovenaf gezien lijkt het kabellandschap op onze watervoorziening. Deze vergelijking doortrekkend voor de dreiging die via de kabel tot ons komt, leidt tot de conclusie dat we nu geen waterzuiveringssysteem hebben. We kunnen een filter plaatsen op de wateraansluiting van een enkel huis, namelijk het bedrijf dat meldt dat zijn IT is aangevallen. Maar een systeem waarbij de kwaliteit van het water daar waar nodig kan worden onderzocht bij het binnenkomen van ons land, is er niet.”

De analogie met waterzuivering is niet helemaal jofel, omdat bij waterzuivering voor iedereen duidelijk is wat “zuivering” inhoudt en het bijna per definitie gaat over het gezondheidsbelang van individuele burgers. Bij onderzoek aan internetverkeer i.h.k.v. de IVD-taakstellingen ligt dat anders (modulo aanvallen op ICS-systemen voor waterzuivering natuurlijk). Verderop in de MvT worden overigens alsnog enkele voorbeelden van “(nagenoeg) ongekende dreigingen” genoemd (MvT, p.124):

  • “Hierbij kan het onder meer gaan om nog niet onderkende terroristische cellen. Het is van belang om te weten of er vertakkingen zijn naar Nederland vanuit cellen in Frankrijk, België of Syrië/Irak.
  • Het kan ook cyberdreigingen betreffen, zoals digitale spionage en de heimelijke beïnvloeding van ICT-systemen als onderdeel van hybride oorlogvoering (door bijvoorbeeld Rusland of Iran).
  • Het kan gaan om de voorbereiding en ondersteuning van Nederlandse militaire operaties in een onbekende omgeving (zoals enige jaren geleden Uruzgan en thans Mali e.o., door IS ingenomen gebieden en in het kader van anti-piraterij).
    Ook wordt onderzoek gedaan naar de capaciteiten en intenties ten aanzien van specifieke landen en regio’s op het gebied van massavernietigingswapens. Een dreiging kan bestaan uit de export van dual-use goederen naar een risicoland.”

EOF

[Dutch] Schematische weergave onderzoeksopdrachtgerichte interceptie + twee tabellen uit gelekt Wiv20xx-wetsvoorstel aan RvS

Hierbij voor quick reference de onderdelen uit het via de Volkskrant gelekte Wiv20xx-wetsvoorstel aan de RvS (.pdf; mirror). Die versie van het wetsvoorstel bevat wijzigingen ten opzichte van het Wiv20xx-wetsvoorstel zoals dat op 2 juli 2015 in consultatie is gebracht. De nieuwe versie ligt op dit moment bij de RvS voor advies; daarna stuurt de regering een definitief wetsvoorstel naar de Tweede Kamer. Lees dit Volkskrant-artikel van Huib Modderkolk (Twitter: @huibmodderkolk) voor enkele observaties van de gelekte versie.

Hier zijn aparte .pdf’s op basis van de alles-in-één .pdf die de Volkskrant publiceerde:

Dan een “herstelde” versie, als .png, van de schematische weergave van “onderzoeksopdrachtgerichte interceptie” (in oorspronkelijk Wiv20xx-wetsvoorstel: “doelgerichte interceptie”; in Wiv2002: “ongerichte interceptie”), die in Bijlage 4 van de MvT verticaal en over twee pagina’s verspreid staat. Klik op het plaatje voor volledig formaat (3872 x 1479 pixels).

Bijlage 4 Schematische weergave onderzoeksopdrachtgerichte interceptie

Dan een .png van het overzicht van bijzondere bevoegdheden en waarborgen (bijlage 3), klik voor volledig formaat:

Bijlage 3 Overzicht bijzondere bevoegdheden en waarborgen

Dan een .png van het overzicht van wetgeving van enkele andere landen (bijlage 5), klik voor volledig formaat (N.B.: merk op dat de wetgevingsjuristen hierin ook aandacht besteden aan het onderscheid tussen binnenlandse en buitenlandse communicatie — iets dat Duitsland/VK/Frankrijk wel doen, en het Wiv20xx-wetsvoorstel vooralsnog niet — dit overigens in tegenstelling tot de Wiv2002, waarin sigint search ex Art.26 Wiv2002 niet is toegestaan op binnenlandse (ether)communicatie):

Bijlage 5 Schematisch overzicht wetgeving van enkele andere landen

EOF

 

 

Bundesamt für Verfassungsschutz (BfV) warns about intelligence-driven digital espionage from Russia against German targets

In BfV-Newsletter Nr. 1/2016, the German domestic intelligence service Bundesamt für Verfassungsschutz (BfV) warns about intelligence-driven digital espionage from Russia against German targets, and in that, refers to Germany’s geo-strategic position in the center of Europe, its influence in the EU, membership in NATO, and economic power stemming from R&D carried out by public and private entities:

Nachrichtendienstlich gesteuerte Elektronische Angriffe aus Russland

Deutschland steht im Fokus fremder Nachrichtendienste. Die geostrategische Lage im Zentrum Europas, der Einfluss in der EU, die Mitgliedschaft in der NATO, die große Wirtschaftskraft mit vielen innovativen Unternehmen und die weltweite Anerkennung deutscher Wissenschafts- und Forschungsleistungen öffentlicher und privater Stellen rücken die Bundesrepublik ins Zentrum nachrichtendienstlicher Aufklärungsbestrebungen. Um Regierungsstellen, Unternehmen oder Forschungseinrichtungen auszuforschen, werden von einer Vielzahl fremder Nachrichtendienste Cyber-Angriffe eingesetzt.

Russische nachrichtendienstliche Elektronische Angriffe gegen deutsche Ziele sind meist Teil mehrjähriger, international ausgerichteter Cyberspionage-Operationen im Rahmen einer umfassenden strategischen Informationsgewinnung. Deren Angriffskampagnen zeichnen sich durch eine hohe technische Qualifikation aus, verdeutlichen starke finanzielle Ressourcen und lassen in Art und globalem Umfang der Operationen außergewöhnliche Operativ- und Auswertefähigkeiten erkennen. Elektronische Angriffe der russischen Dienste bedrohen in erheblichem Maße die Informationssicherheit deutscher Stellen in Regierung und Verwaltung, Wirtschaft, Wissenschaft und Forschung.

Einige dieser Operationen lassen sich über eine Zeitspanne von sieben bis zehn Jahren zurückverfolgen. Viele dieser Angriffskampagnen weisen untereinander technische Gemeinsamkeiten wie zum Beispiel Schadsoftwarefamilien und Infrastruktur auf – dies sind wichtige Indizien für dieselbe Urheberschaft. Es ist davon auszugehen, dass sowohl der russische Inlandsnachrichtendienst FSB als auch der militärische Auslandsnachrichtendienst GRU Cyberoperationen ausführen.

Ziele der Angriffe russischer Dienste sind vor allem die Stärkung der äußeren und inneren Sicherheit, die Sicherung strategischen Einflusses sowie die Förderung russischer Militär- und Energieexporte und russischer Spitzentechnologie. Die beobachteten Kampagnen sind in aller Regel auf Informationsbeschaffung, also Spionage, gerichtet. Im Einzelfall zeigten russische Nachrichtendienste aber auch die Bereitschaft zu Sabotage und Datenveränderung, wie beispielsweise die Löschung einer Datenbank bei einem deutschen Opfer gezeigt hat.

Ähnlich der Aufklärung mit traditionellen Spionagemethoden liegt bei der Informationsgewinnung mittels Elektronischer Angriffe der Fokus der russischen Dienste auf allen Politikfeldern, die russische Interessen berühren können. Angriffe auf staatliche Stellen betreffen insbesondere Energiepolitik und -sicherheit, außenpolitische Fragen wie Abstimmungsprozesse in der Europäischen Union (EU), die Zentralasien- und die Nahost-Politik sowie die Militär- und Rüstungspolitik, die Verteilung von EU-Geldern sowie humanitäre Fragen.

Die NATO-Erweiterungspolitik und die Ausrichtung der EU auf das transatlantische Bündnis mit den USA werden von der russischen Führung als Gefährdung der nationalen Sicherheit angesehen.

Die russische Wirtschaft und auch der Staatshaushalt sind in hohem Maße von der Entwicklung der Einnahmen aus dem durch Preisverfall gekennzeichneten Öl- und Gasgeschäft abhängig. Staatsunternehmen sind in strategischen Bereichen wie dem Energie- und Rohstoffsektor, im Flugzeugbau und teilweise im Bereich der Informations- und Kommunikationstechnik dominierend. Angriffe auf ausländische Unternehmen und Forschungseinrichtungen dienen der Abschöpfung von Know-how und Förderung der eigenen Wirtschaft und Forschung.

Russische Angriffskampagnen richten sich unter anderem gegen supranationale Organisationen, Regierungsstellen, Streitkräfte, Politiker und Parlamente, deutsche und internationale Wirtschaftsunternehmen sowie Wissenschafts- und Forschungseinrichtungen. Sie zielen auf die Ausforschung von Spitzentechnologien. Dabei sind Schwerpunkte in den Bereichen Energie-, Militär-, Röntgen- und Nukleartechnik sowie Luft- und Raumfahrt zu beobachten. Zudem stehen Regierungskritiker, Journalisten und NGOs sowie internationale Großbanken und Fernsehanstalten im Fokus russischer Angreifer.

Neben Langzeitoperationen werden auch ereignisorientierte oder anlassabhängige Angriffe festgestellt, die für ein russisches staatliches Aufklärungsinteresse sprechen, so zum Beispiel die Cyberangriffe auf das niederländische Ermittlerteam im zeitlichen Kontext mit der Veröffentlichung des Abschlussberichts im Herbst 2015 zu den Ursachen des Absturzes des Malaysia-Airlines-Fluges MH17 am 17. Juli 2014 über der Ostukraine.

Die russischen Angreifer demonstrieren ihr technisches Know-how unter anderem anhand einer großen Bandbreite schwer zu detektierender Angriffsvektoren. Sie umfasst E-Mails mit Schadanhang oder Links zu Webseiten mit Schadcode, USB-Sticks, Phishing-Seiten, Watering Holes oder infizierte legitime Webseiten.

Spear-Phishing-Angriffe zeichnen sich durch gutes Social Engineering der auf das Opfer zugeschnittenen E-Mails aus. Es handelt sich dabei regelmäßig um gut recherchierte, glaubwürdige E-Mails mit für das Opfer relevanten Inhalten (teilweise Insiderwissen) und ihm vermeintlich bekannten Absendern. Darüber hinaus zeichnen sich die Angreifer durch eine große Sprachkompetenz aus. So wurden verseuchte E-Mails bereits in unterschiedlichen europäischen Sprachen festgestellt.

Eine in den letzten Monaten häufiger beobachtete Methode zur Erlangung privater Zugangsdaten zu Opfersystemen mittels Spear-Phishing-Angriffen beschreibt zum Beispiel das IT-Sicherheitsunternehmen Trend Micro in einem entsprechenden Report:

Dazu registriert der Angreifer Domains, die sich nur durch kleine Änderungen in der Schreibung von legitimen Webseiten unterscheiden (sog. Typosquatting). Dann versendet er eine E-Mail mit Link an ausgewählte Opfer, in diesem Beispiel an Mitarbeiter der amerikanischen Sicherheitsfirma Academi (ehemals Blackwater). Wird der Link angeklickt, erscheint im Vorschau-Fenster von MS-Outlook in einem neuen Reiter eine legitime Nachrichtenseite – in diesem Fall eine Seite, die über Afghanistan berichtet und mithin den Interessen des Empfängerkreises entsprechen dürfte. Im Hintergrund sorgt jedoch in der Zwischenzeit ein veränderter Java-Script-Befehl dafür, dass die auf dem nun verdeckten Reiter befindliche Seite gegen die neu erstellte Outlook-Seite des Angreifers ausgetauscht wird. Wechselt das Opfer nun von der Vorschau der Nachrichtenseite zurück zu seinem Outlook-Programm, sieht es nur noch die manipulierte Angreiferseite (mit nachgebauter Anmeldemaske), die vortäuscht, die Session sei abgelaufen und ihn auffordert, seine Zugangsdaten erneut einzugeben. Diese Eingabe ermöglicht dem Angreifer dann, mit diesen Daten das Opfer auszuspähen und sich möglicherweise weitere Zugänge zu verschaffen.

Dieser Spear-Phishing-Angriff zeigt die Raffinesse, mit der der Angreifer hier vorgeht. Das Opfer hat in der Regel keine Chance, diesen Angriff als solchen zu erkennen, da kaum jemand auf die genaue Schreibweise einer URL achten wird. Zudem verdeutlicht dieser Vorfall die Zielrichtung mancher nachrichtendienstlich gesteuerter Angriffswellen. So erfolgten die Angriffe gegen Academi im Frühjahr 2014 zeitgleich mit dem Vorwurf des russischen Außenministeriums, das Unternehmen entsende 400 Söldner in die Ukraine.

Bei der Analyse staatlich gesteuerter Elektronischer Angriffe aus Russland zeigt sich deutlich die hohe informationstechnische Qualität dieser Angriffsoperationen – zum Beispiel durch Ausnutzung noch unbekannter Sicherheitslücken. Sichtbar wird auch die Finanzstärke der Täter; zudem lassen Art und globaler Umfang der Operationen immense Operativ- und Auswertekapazitäten erkennen. Die festgestellten Angriffe erfolgen meist sehr zielgerichtet und passgenau: Die jeweiligen Opfer werden gezielt ausgewählt und angegriffen („target list“).

Die Erfolgswahrscheinlichkeit und damit das Schadpotenzial russischer Angriffe sind aufgrund des erkennbar hohen Ressourcenansatzes, der herausgehobenen technischen Fähigkeiten und des guten Social Engineerings groß.

 

EOF

Snippets on Cellebrite’s Samsung Solution and Blackberry Solution, OCR’d from legal complaint against competitor

The complaint (.pdf) filed by Cellebrite’s attorneys against a competitor for infringement on copyright and trade secrets contains some information about Cellebrite’s Samsung Solution and Blackberry Solution — here a some OCR’d snippets (perhaps this is already widely known; it’s new to me):

[…]

1.  The Cellebrite Samsung Solution
  a.  Development of the Cellebrite Samsung Solution

86. in March 2011, Cellebrite released a breakthrough Samsung solution in its UFED version 2.0, which was the world’s first forensic solution for physical extraction of Samsung mobile phones (the “Cellebrite Samsung Solution”).

87. The physical extraction function enables the extraction of deleted data from the phone in addition to undeleted data. In addition to the ability to extract deleted data, the Cellebrite Samsung Solution can be used while the phone is already powered up and it is not required for the phone to first be powered down, like all previous solutions. This function is very sophisticated, was the first of its kind, and is still unique today.

88. The Cellebrite Samsung Solution took thousands of hours to develop by a team of highly trained, experienced Cellebrite software engineers.

89. Cellebrite’s Samsung Solution contains no less than six (6) key proprietary innovations, including:

1.  Identification of a unique vulnerability in the random access memory (“RAM“) of  Samsung phones allowing Cellebrite to inject and run its software directly on the phones;

2.  Identification of specific landing site locations — referred to as “Loading Addresses” — on the Samsung phone RAM where Cellebrite could inject and run its own software for each of the models of Samsung phones;

3.  Development of proprietary Cellebrite Samsung bootloader software (the “Cellebrite Samsung Bootloader“) that runs on the Samsung mobile device’s RAM to gather personal data and extract such data for download to Cellebrite’s UFED Units.

4.  A magic command “OxB7 that facilitates communication between Cellebrite’s Samsung Bootloader and the Samsung phone’s RAM (the “Magic Command“).

5.  Identification and sequencing of USB communication software code signatures for the Samsung mobile device models that are supported by Cellebrite’s Samsung Bootloader (the “USB Communications Signatures“).

6.  Development of a proprietary algorithm that allows for innovative searching and identification of the Samsung model on which the UFED is running in order to select the correct USB Communications Signatures in Cellebrite’s Samsung Bootloader (the “Model Signature Search Algorithm“).

[…]

2.  The Cellebrite BlackBerry Solution
  a. Development of the Cellebrite BlackBerry Solution

92. In January 2012, Cellebrite released a BlackBerry extraction solution in its UFED version 1.1.9.0 (the “Cellebrite BlackBerry Solution“).

93. This cutting edge solution — a world first — was based upon an exclusive discovery of a vulnerability in the BlackBerry mobile device’s validation process of the manufacturer’s digitally signed software code delivered by BlackBerry desktop software to the BlackBerry mobile device.

94. The exploitation of this vulnerability was a complex process and involved substantial research.

95. The development of an advanced methodology by Cellebrite to access the BlackBerry mobile device through such vulnerability, upload Cellebrite’s proprietary boot loader software, and then extract the data from the BlackBerry mobile device, among other related innovations, was extensive and took thousands of hours to develop by a team of highly trained experienced Cellebrite software engineers.

96. Cellebrite’s BlackBerry Solution contains no less than ten (10) key proprietary innovations:

1.  Identification and extraction of a BlackBerry digitally signed bootloader software program buried in BlackBerry desktop software (The “BlackBerry Signed Bootloader“), using the April 2011 version of BlackBerry’s desktop software;

2.  Development of a boot loader software program that could run on the BlackBerry phone RAM (the “Cellebrite Unsigned Bootloader“) that would piggyback on the BlackBerry Signed Bootloader, thus tricking the extremely sophisticated BlackBerry security protocols to allow the Cellebrite Unsigned Bootloader to run on the BlackBerry phone;

3. Development of a physical extraction payload that would locale, gather and allow for the extraction of data on the RAM for download to the UFED Unit (the “Physical Extraction Payload“).

4.  Transmission of the Cellebrite Unsigned Bootloader with the BlackBerry Signed Bootloader and the Physical Extraction Payload over the BlackBerry communications protocol using randomly selected distances between each of these three programs on the BlackBerry communications protocol.

5.  Landing the Cellebrite Unsigned Bootloader on the RAM of the BlackBerry mobile device in a Loading Address where the BlackBerry Signed Bootloader usually resides and relocating the BlackBerry Signed Bootloader to a usually unused Loading Address.

6.  Creating a “jumper” function on a specific location of the Cellebrite Unsigned Bootloader, which activates the proprietary stack changer function developed by Cellebrite as part of the Cellebrite BlackBerry Solution (the “Stack Changer“), for integrating actions between the Cellebrite Unsigned Bootloader and the BlackBerry Signed Bootloader.

7.  Using BlackBerry command number 8 to act as the launching location for the Physical Extraction Payload.

8.  Developing proprietary USB pointer and cache functions on the Cellebrite Physical Extraction Payload.

9.  Developing a proprietary OneNAND initialization function (the “OneNAND Initialization“); and

10. Writing a unique ownership string code (the “Ownership String“) on the Cellebrite Unsigned Bootloader.

[…]

EOF