Блог Элкомсофт

«…Восстановление паролей, расшифровка данных,
мобильная и облачная криминалистика… »

Эффект Неуловимого Джо: о безопасности экзотических мобильных ОС

Июнь 14th, 2019 by Oleg Afonin

Мы часто пишем о безопасности мобильных операционных систем, публикуем информацию о найденных уязвимостях, описываем слабые стороны защиты и способы взлома. Мы писали и о слежке за пользователями Android, и о зловредных приложениях, которые встраиваются прямо в прошивку, и о неконтролируемой утечке пользовательских данных в «облако» производителя. А как обстоят дела в стане старичков и аутсайдеров – мобильных ОС BlackBerry 10, мобильной версии Windows 10, Samsung Tizen, Sailfish и «Аврора»?

Безопасность: комплексный подход

Прежде, чем анализировать безопасность платформы, определимся с терминологией. С точки зрения обычного пользователя, если он вообще об этом задумывается, безопасность устройства зачастую приравнивается к физической безопасности данных, которые в нём хранятся. Такой подход в корне неверен. Физическая безопасность данных, безусловно, важна, но ей дело не ограничивается. Что имеется в виду под физической безопасностью данных – защита от низкоуровневого анализа с извлечением микросхемы памяти или же просто защита от любопытных, которые не знают пароля и не умеют обманывать сканер отпечатков пальцев? А что насчёт эффективности ограничений, разрешающих приложениям шпионить за пользователями, собирать и передавать о них информацию? Хранение данных в «облаке» — плюс это или минус с точки зрения безопасности? А в какое облако, кому и куда, каких именно данных, знает ли об этом пользователь и может ли отключить? А насколько вероятно на той или иной платформе получить зловредное приложение и расстаться не только с паролями, но и с деньгами на счёте?

Аспекты безопасности мобильных платформ невозможно рассматривать в отрыве друг от друга. Безопасность – это комплексное решение, охватывающее все аспекты использования устройства от коммуникаций и изоляции приложений до низкоуровневой защиты и шифрования данных.

Сегодня мы рассмотрим некоторые аспекты безопасности таких платформ, как BlackBerry 10, Windows 10 Mobile, ОС «Аврора» (в девичестве Sailfish) и Samsung Tizen. Читать дальше… »

Насколько безопасен современный Android?

Июнь 13th, 2019 by Oleg Afonin

О безопасности и уязвимостях Android написаны десятки тысяч статей и сотни книг. Разумеется, мы не будем пытаться объять необъятное; вместо этого попробуем окинуть взглядом экосистему в целом и подход Google к обеспечению безопасности платформы.

Парадоксально, но факт. Будучи самой распространённой мобильной ОС, в экосистеме Android нет ни одного устройства, сравнимого по популярности с любой моделью от Apple. Десятки тысяч моделей, тысячи прошивок, чехарда с версиями Android и невнятная политика обновлений привели к потрясающей воображение фрагментации экосистемы, объединённой по большому счёту лишь названием.

До какого-то момента Android был не только самой распространённой, но и наименее безопасной мобильной ОС. До версии 4.4 (а это – 2013 год) безопасность системы обсуждать было бессмысленно: отсутствие шифрования по умолчанию и очень слабые опциональные алгоритмы делали смартфоны с этой ОС уязвимыми для целого ряда атак. Минимально приемлемый уровень безопасности в Android был достигнут только с версией 6.0, причём только в тех устройствах, которые выходили с завода уже с Android 6.0 на борту. В последующих версиях системы Google последовательно ужесточал требования к безопасности. Последним нововведением, которое появилось в Android 9, стало шифрование «облачных» резервных копий устройств ключом, который зависел от кода блокировки экрана. Читать дальше… »

Физический анализ устройств iOS и установка джейлбрейка: пошаговое руководство

Май 30th, 2019 by Oleg Afonin

Для извлечения содержимого файловой системы из устройств под управлением iOS (iPhone, iPad, iPod Touch) необходим низкоуровневый доступ, для получения которого эксперту потребуется установить на устройство джейлбрейк. Процедуры установки разнообразных утилит для джейлбрейка подробно описываются в сети, но использование общеизвестных процедур в криминалистической лаборатории ведёт к серьёзным рискам, связанным с необходимостью подключения исследуемого устройства к сети. Выход устройства в сеть может привести к модификации хранящейся на устройстве информации, синхронизации устройства с облачными данными или к получению устройством команды на удалённую блокировку или уничтожение данных. Избежать этих рисков позволит точное следование описанным в данном руководстве инструкциям.

Читать дальше… »

Как Apple и Google защищают «Здоровье» пользователей: извлекаем и сравниваем данные Apple Health и Google Fit

Май 24th, 2019 by Oleg Afonin

«Здоровье» пользователя, его медицинские показатели и информация о физической активности – одна из важнейших категорий данных, которая может храниться на смартфоне. Бум носимых устройств, разнообразных датчиков, браслетов, часов и трекеров продолжается более пяти лет. Индустрия предлагает широкое разнообразие устройств, которые могут собирать подробную информацию как о состоянии организма, так и о физической активности пользователя и его местоположении даже если пользователь не взял с собой смартфон. Комбинация данных с такого устройства и информации с телефона позволяет восстановить подробную картину действий пользователя буквально по минутам. Такая информация не должна попасть в руки злоумышленников или нечистоплотных рекламодателей; эта же информация бесценна для расследования преступлений, позволяя восстановить картину происшествия с точной привязкой ко времени. Сегодня мы подробно рассмотрим, какие данные собирают стандартные приложения Apple Health (iOS) и Google Fit (Android), как и где эти данные сохраняются, куда синхронизируются, как защищены и как их можно извлечь. Читать дальше… »

Новый класс jailbreak для iOS 12: теперь rootless

Февраль 28th, 2019 by Oleg Afonin

В конце прошлого года специалист Google Project Zero опубликовал информацию об уязвимости, присутствующей во всех версиях iOS 10 и 11 вплоть до 11.1.2. Сообщество разработчиков быстро использовало уязвимости для создания целого ряда джейлбрейков – Meridian, LiberIOS, Electra, Unc0ver… Чуть позднее появилась информация об уязвимости, обнаруженной и в последних версиях iOS 11 вплоть до самой последней iOS 11.4.1. Наконец, командой Google Project Zero были опубликованы уязвимости, обнаруженные в iOS 12.0 – 12.1.2. В двенадцатой версии iOS система безопасности претерпела заметные изменения, и полноценный джейлбрейк (с собственным магазином приложений и отключенной проверкой цифровой подписи) задерживался. А в феврале 2019 для iOS 12 выходит принципиально новое поколение джйлбрейк. Встречайте rootlessJB: без Cydia, без возможности устанавливать твики – но с полноценной поддержкой SSH и доступом к файловой системе.

Что такое rootless, чем отличается от полноценных джейлбрейков и как их использовать в целях криминалистического анализа iPhone? Попробуем разобраться. Читать дальше… »

Методы защиты электронных книг: DRM, шифрование, пароли и обфускация

Февраль 19th, 2019 by Oleg Afonin

Количество книг, изданных исключительно в электронном виде, давно превысило число изданий на бумаге. Ещё в 2011 году объём продаж электронных книг в американском магазине Amazon превысил объём продаж печатных изданий сперва в США, а буквально через год — и по всему миру. Однако в 2015 году энтузиазм покупателей пошёл на спад, а в 2016 наметились просто-таки тревожные тенденции. Сначала рост продаж электронных изданий замедлился, а потом продажи пошли на спад. Что произошло?

Роль сыграла комбинация факторов. С одной стороны, стоимость электронных изданий в крупных магазинах почти догнала по цене бумажные книги. С другой – у электронных изданий гораздо больше ограничений в сравнении с бумажными книгами. Проиллюстрировать эти ограничения можно на примере крупнейшей торговой площадки – Amazon. Что может сделать владелец с купленной на Amazon бумажной книгой? Бумажную книгу можно продать, подарить, одолжить почитать. Ненужные книги можно сдать в макулатуру или отдать в библиотеку, где к ним получит доступ ещё сколько-то читателей.

А что можно сделать с купленной на Amazon электронной книгой? Её можно скачать на авторизованное устройство (любой планшет или телефон на Android и iOS или читалку на e-Ink, если она – Kindle) и прочитать. В некоторых случаях книгу можно одолжить другому пользователю, у которого также есть учётная запись Amazon. Впрочем, даже в тех случаях, когда подобное разрешено – одалживать книги можно нечасто и ненадолго. Ещё книгу можно удалить из своей библиотеки. На этом возможности заканчиваются.

Электронные книги прекрасно продавались пять лет назад, но на сегодняшний день продажи электронных книг у крупных магазинов падают, а перспективы электронных продаж уже не выглядят так радужно. Цены на электронные издания постепенно подросли до уровня цен на бумажные издания, а присущие электронным форматам ограничения никто и не подумал снять. Ситуация дошла в своей абсурдности до предела после того, как студенты американских университетов дружно проигнорировали электронные учебники: при том, что в электронном виде учебные материалы можно было купить на 20-30% дешевле бумажных, электронный учебник невозможно ни продать в конце учебного года, ни купить со скидкой в букинистическом отделе. При стоимости учебников, исчисляющейся десятками долларов за книгу, стоимость пользования электронными версиями заметно превышала стоимость владения «бумагой».

Что же мешает студентам, да и простым читателям, делиться книгами в электронной форме? Мешает защита от копирования, DRM. Digital Rights Management (DRM) – термин, которым обозначают различные виды защиты, с помощью которых правообладатели контролируют использование лицензиатом (уже не покупателем!) защищённого материала. В случае с электронными книгами в качестве DRM чаще всего используется шифрование, но и здесь ситуация далеко не однозначна. Рассмотрим, какие именно системы DRM используются в мире, а какие – у нас в стране. Читать дальше… »

Как определить модель контроллера и тип памяти SSD

Январь 31st, 2019 by Oleg Afonin

В статье Почему SSD выходят из строя: кто виноват и что делать мы рассказали о выносливости современных твердотельных накопителей, о наработке на отказ и о причинах, по которым SSD может выйти из строя при относительно небольшом износе. При написании статьи мы ориентировались на то, что заявленные для конкретной модели характеристики накопителя соответствуют реальным и остаются неизменными на протяжении всего жизненного цикла модели. К сожалению, ожидания не всегда соответствуют действительности. Излюбленный трюк производителей современных твердотельных накопителей – изменение реальных спецификаций уже выпускаемой (и протестированной обозревателями) модели в середине её жизненного цикла. Так, известен ряд моделей таких производителей, как ADATA, Kingston, Transcend, которые получали отличные отзывы от обозревателей – после чего производитель менял «начинку» устройств, сохраняя прежнее название и номер модели. В редких случаях новая ревизия получала дополнительный индекс, позволяющий отличить её от прежней модели, но чаще всего потребителю доставался «кот в мешке». Не минула проблема и такого крупного производителя как Crucial, выпустившего модель BX300 на основе 3D-MLC памяти и впоследствии заменившая чипы в этом недорогом накопителе на более дешёвую 3D-TLC. Как отличить одно от другого и убедиться, что начинка выбранного накопителя соответствует ожиданиям? Используем низкоуровневые утилиты для проверки модели контроллера и типа использованной памяти. Читать дальше… »

Почему SSD выходят из строя: кто виноват и что делать?

Декабрь 24th, 2018 by Oleg Afonin

Искренняя благодарность Роману Морозову, руководителю техподдержки ACELab, рассказавшему о многих тонкостях жизненного цикла твердотельных накопителей.

Начнём издалека. В предыдущей статье, предназначенной для экспертов-криминалистов, мы писали, что современные микросхемы NAND имеют ограниченный ресурс порядка 1000-1500 циклов перезаписи. Это не совсем так. Действительно, большинством производителей декларируется ресурс в несколько тысяч циклов записи; эта декларация поддерживается длительными гарантийными сроками (на многие модели – порядка 5 лет). Независимые исследователи, осуществляющие многократную непрерывную перезапись накопителей в течение длительного времени, демонстрируют устойчивость на отказ и после десятков, а иногда и сотен тысяч циклов.

В то же время фактический жизненный цикл современных микросхем TLC может быть ограничен всего 20-50 циклами перезаписи. Этот параметр может быть лучше или хуже в зависимости от типа памяти, норм технологического производства и уровня брака на китайском заводе-производителе. Использование таких технологий, как SLC кэш с пониженным напряжением записи в ячейку позволяет заметно увеличить ресурс, в то время как наличие умножающего коэффициента записи (write amplification) снижает эффективный ресурс накопителя.

Как жизненный цикл современных TLC микросхем в 20-50 циклов соотносится с декларацией производителей и действительно впечатляющими гарантийными сроками и насколько на самом деле надёжны современные SSD? Попробуем разобраться.

Читать дальше… »

Жизнь после Trim: как восстановить удалённые данные с накопителей SSD

Декабрь 21st, 2018 by Oleg Afonin

Благодарности: эта статья не вышла бы в свет без подробных консультаций Романа Морозова, руководителя техподдержки ACELab.

Механизмы хранения, удаления и восстановления данных в твердотельных накопителях – классический «тёмный лес» в представлении как обычных пользователей, так и экспертов-криминалистов. В отличие от традиционных магнитных жёстких дисков, данные на которых остаются на месте даже после удаления файла, твердотельные накопители способны самостоятельно запустить и поддерживать процесс безвозвратного уничтожения информации, стоит лишь подать на них питание. Таким образом стандартная в процессе экспертизы процедура снятия образа диска приводит к тому, что к моменту окончания процесса на SSD не остаётся никаких следов удалённых пользователем данных.

До недавнего времени единственной возможностью получить доступ к удалённым блокам была трудоёмкая процедура извлечения чипов NAND и прямого считывания информации (с последующей реконструкцией адресации). Сейчас же, наконец, появилась разумная альтернатива. Попробуем разобраться в механизмах хранения и удаления информации на современных SSD и попытаемся восстановить данные в удалённых блоках.

В данной статье не описывается, но представляет отдельный интерес уязвимость популярного алгоритма шифрования дисков BitLocker, являющегося составной частью Windows. Как обнаружили исследователи, вместо программного шифрования с использованием центрального процессора BitLocker может использовать контроллер SSD для шифрования данных. Соответственно, низкоуровневый доступ к SSD позволяет найти ключ шифрования данных и расшифровать содержимое такого накопителя.

Читать дальше… »

Готовы ли правоохранительные органы к цифровому веку?

Декабрь 6th, 2018 by Vladimir Katalov

Широкое распространение смартфонов привело к возникновению в доказательной базе новой категории: в дополнение к «вещественным» доказательствам на головы следователей обрушились «цифровые». Цифровые улики ворвались в нашу жизнь стремительно и внезапно; по историческим меркам событие произошло буквально «вчера». Правоохранительная система не успела адаптироваться к новым правилам игры ни с точки зрения законодательства, ни в виде нужных знаний и навыков у персонала правоохранительных органов.

Цифровая криминалистика – относительно молодое направление; мобильная и «облачная» криминалистика находятся в зачаточном состоянии. В то же время преступными группировками вполне эффективно используются такие инструменты, как криптовалюты и «теневой интернет». Преступники не стесняются пользоваться шифрованием, встроенным во все современные смартфоны, получая практический иммунитет от существующих методов расследования. Расследование как традиционных преступлений, совершаемых с использованием современных технологий, так и относительно недавно возникших видов цифрового мошенничества и вымогательства становится чрезвычайно сложным и затратным процессом, который требует как усилий специалистов высокой квалификации, так и серьёзных денежных вложений в технические средства. Читать дальше… »