Cellebrite公司专访：为FBI破解手机的以色列移动设备取证公司

Cellebrite以色列总部位于特拉维夫东部佩塔提科瓦的一幢不大写字楼内，这里曾经是一片柑橘园，但现在已经被各种高科技园取代。在这幢写字楼内还有IBM和Intel公司。六月的下午，办公室内昏暗而安静，偶尔传来研究人员工作时播放的希伯来摇滚乐。穿过研究室走廊，就是一个大型设备实验室，在井井有条的储物柜内存有15000多部经过精心标记的手机，这些手机为购买或供应商预检提供以作测试分析。
实验室每月都会接收到将近200部检测手机，这些手机包含不同系统、不同配置或不同移动运营商。在这些手机中，有一些是犯罪份子和恐怖份子使用的预支付一次性手机。而来自中国的手机，由于其设计生产缺乏统一标准，所以在数据提取时存在一些困难。研究人员会对每一部进入实验室的手机进行手工检查，以确定其运行软件和系统与之前版本的变化。

Cellebrite有5个取证技术研究团队：逆向工程寻找0-day漏洞和其它数据提取方法的团队、将二进制数据转换为可读格式的研究团队、云数据团队，以及两个数据分析团队。其中数据分析团队主要致力于从各种来源数据中挖掘有用信息和线索，例如，从提取的手机数据中进行交叉比对以确定嫌犯过去的行为轨迹，另外，数据分析团队也对一些手机提取视频进行分析识别。
逆向团队主要研究手机破解方法，由Tal负责，大约20多人。Tal之前在CheckPoint进行漏洞研究工作，刚刚于去年加入了Cellebrite。
Tal 说，“我不知道NSA对移动领域的研究如何，但是在取证方面，我们拥有强大的研究团队”。

Cellebrite在移动取证领域的优势前景光明，但Cellebrite的发展却不想仅局限于取证行业。Cellebrite于1999年推出手机通讯录转移设备而成立，那时，通讯录转移通常需要手工操作，是件麻烦而费时的事，但是，Cellebrite研发的通用内存转换设备（UME）可以在任意型号的两台手机间进行数据传输转移。之后，UME又增加了数据备份、恢复和同步功能。
最初，UME设备只在以色列和欧洲的一些通信公司和手机店售卖，到了2005年，像美国的Verizon和T-Mobile手机店，以及Best Buy 和 Wal-Mart都有UME设备。“每个提供手机销售、维修和数据交换的店面都有Cellebrite的身影”，Carmil说。随着UME成为移动行业服务链中不可或缺的一部分之后，一些手机供应商甚至在新款手机发布之前要求Cellebrite对其产品进行UME设备适配性检测。
Cellebrite对新发布手机的提前预检是其竞争优势之一，而像MSAB和Paraben因为担心削弱取证工作，则不开展这项业务。Paraben CEO Amber Schroader告诉我们，提前预检的技术要求性较高，而且将会涉及到很多固件更换。
2006年，Cellebrite把UME设备向以色列国内外的执法部门和安全机构推广。也就是在这个时候，一些客户的使用案例引起了公司注意：UME设备在犯罪调查中提取的通话记录和数据线索却不被法庭认可，因此，客户要求Cellebrite能增加向法庭证明提取数据未经修改的功能，Carmil和其它CEO由此看到了公司新的发展方向，而此时，Cellebrite仅有18名员工。第二年，他们开发出了第一个基于软件的取证工具，除数据提取、转移、备份和恢复之外增加了一个数据完整性校验的哈希认证功能。之后，随着手机和数据格式的发展，Cellebrite又增加了不同格式的数据解码和分析功能。

而Cellebrite并不是第一家进入移动取证领域的公司，Paraben和MSAB分别在2001年和2003年就已经开展移动设备取证工作，而Cellebrite的最大优势在于，它可以解码其它竞争对手不能处理的CDMA和TDMA手机通话数据。Cellebrite产品和业务发展副总裁Leeor Ben-Peretz说，十年前手机数据提取对他们来说就是件很容易的事，那时，公司的此类设备都不加设安全保护，大家可以找到很详细的编程接口说明文档，其它公司也没必要对此类设备进行逆向破解。
快速发展
然而，真正的改变发生在苹果推出iPhone手机的2007年，这一年，真正开启了智能手机时代，iPhone集成了音乐、邮件、短信、网页、相机和应用程序于一体，并包含了简单易用的触屏界面，而且，第二年，苹果还向iPhone加入了GPS功能。对执法部门来说，iPhone手机简直就是线索取证的富矿。但是由于苹果不像其它手机制造商一样开放说明文档，并且还在后续款式中增加了加密和其它防护功能，使得从其中提取数据变得非常困难。之后，或许考虑到iPhone的流行性，并为应对iPhone带来的取证挑战，Cellebrite迅速扩充了研究团队。
Cellebrite招聘了大量擅长逆向分析的工程师，尤其是从以色列信号情报部队8200，该部队以培养网络安全和漏洞研究技术的精英黑客而出名，而Cellebrite的33岁技术主管Tal就是来自该部队。