Блог Элкомсофт

«…Восстановление паролей, расшифровка данных,
мобильная и облачная криминалистика… »

iOS 13: что изменится для экспертов-криминалистов

Июль 25th, 2019 by Oleg Afonin

Выход тринадцатой версии iOS не за горами. Новая версия мобильной ОС уже доступна для разработчиков и бета-тестеров в виде предварительной версии. Мы провели исследование изменений в механизмах безопасности, алгоритмах шифрования, резервного копирования и протоколах синхронизации данных iOS 13, добавив поддержку новой версии ОС в наши продукты мобильной криминалистики. В этой статье мы расскажем о том, что изменится для экспертов-криминалистов с выходом iOS 13.

Резервные копии в iCloud

В протокол доступа к резервным копиям и в алгоритмы шифрования был внесён ряд изменений, которых оказалось достаточно для выхода из строя не адаптированных к iOS 13 продуктов мобильной криминалистики. Мы исследовали эти нововведения и внесли необходимые изменения в Elcomsoft Phone Breaker, который позволяет скачивать и расшифровывать «облачные» резервные копии устройств, работающих под управлением iOS 13. Дальнейшие изменения протокола резервного копирования возможны, но маловероятны; мы продолжаем внимательно следить за новыми сборками iOS.

Интерес представляют и изменения, коснувшиеся содержания облачных резервных копий. Содержимое резервных копий в iCloud стало ещё более похожим на содержимое локальных резервных копий без пароля. В частности, из резервных копий в iCloud исчез журнал звонков и история браузера Safari. Логика в этом решении есть: журнал звонков и история браузера уже давно синхронизируются между устройствами. Соответственно, Apple нет смысла сохранять их отдельно в резервные копии, занимая место в облаке. Напомним, доступ к синхронизированным данным осуществляется проще и безопаснее, чем доступ к резервным копиям. Для скачивания синхронизированных данных может быть использована как комбинация из логина, пароля и второго фактора аутентификации, так и маркер аутентификации, извлечённый из компьютера пользователя. Никаких изменений в структуре хранения и протоколах доступа к синхронизированным данным в iOS 13 мы не обнаружили. Читать дальше… »

Сохранение и извлечение данных из iPhone: последовательность шагов

Июль 17th, 2019 by Oleg Afonin

Важность информации, создаваемой и хранящейся в современных смартфонах, невозможно переоценить. Всё чаще смартфон (а точнее — данные, которые он содержит) является той самой уликой, которая способна сдвинуть расследование с мёртвой точки. Кошельки с криптовалютами, пароли от сайтов, с которых распространяют нелегальные вещества, учётные записи от социальных сетей, через которые преступники осуществляют поиск клиентов и данные для входа в приватные чаты и программы мгновенного обмена сообщениями, через которые преступные группировки координируют свою деятельность — лишь малая часть того, что может оказаться (и, как правило, оказывается) в смартфоне подозреваемого.

В то же время производители смартфонов предпринимают серьёзные меры по защите информации. Сквозное шифрование и активное противодействие спецсредствам для разблокировки устройства и получения доступа к его содержимому, а также широко известные возможности по удалённому блокированию устройств и уничтожению информации заставляют специалистов тщательно соблюдать все правила техники безопасности. Узнать об этих правилах и о том, как сохранить информацию в изъятом устройстве и о шагах, которые нужно сделать для того, чтобы получить к ней доступ, вы сможете из этой статьи. Важное уточнение: речь в данной статье пойдёт в первую очередь о моделях  iPhone компании Apple.

Читать дальше… »

Антикриминалистика: как защитить смартфон на Android

Июль 5th, 2019 by Oleg Afonin

Большинство наших статей рассказывает о том, как взломать защиту и получить доступ к данным. Сегодня мы попробуем сыграть за другую команду, рассказав о том, как защитить свои данные.

Для кого написана эта статья? По статистике, почти половина пользователей не может назвать модель используемого ими смартфона. Многие ли из оставшихся смогут назвать версию Android, установленную в их телефоне, не говоря уже о версии патча безопасности? Именно оставшимся пользователям мы адресуем данный текст. В этой статье мы не будем давать набивших оскомину советов «включить код блокировки» или «обновиться до последней версии ОС» (такой совет прозвучит довольно цинично в свете политик обновления подавляющего большинства производителей). Вместо этого мы постараемся дать понимание всего спектра возможностей «тяжёлой артиллерии», которая может быть использована против владельца телефона как злоумышленниками, так и спецслужбами для извлечения данных.

Предыстория

Написать эту статью нас побудило просто огромное количество публикаций в самых разнообразных изданиях на одну и ту же тему: как обезопасить свой смартфон. Авторы прочитанных нами статей повторяют одни и те же советы, которые при самом тщательном выполнении не дают владельцу смартфона ничего, кроме ложного ощущения безопасности. «Используйте стойкий код блокировки», «включите датчик отпечатков» и предельно циничное «обновитесь на последнюю версию Android» — советы сами по себе логичные, но совершенно, абсолютно недостаточные. Очень редко среди советов попадается рекомендация отключить Smart Lock – тоже правильно и также недостаточно. Читать дальше… »

Обучение экспертов по цифровой криминалистике

Июнь 26th, 2019 by Oleg Afonin

Производители программ для криминалистов не забывают подчеркнуть, что именно их продукт является не только самым продвинутым на рынке, но и самым простым в использовании. Тем не менее, несмотря на уверения в простоте и интуитивности использования собственной продукции, все крупные производители предлагают и обучающие курсы и тренинги, стоимость которых заметно превышает цену самих продуктов. Зачем нужны тренинги, если программы легко использовать? Что это – маркетинговое лукавство или насущная необходимость? Попробуем разобраться, для чего нужны тренинги в мобильной и компьютерной криминалистике.

Программы для цифровой криминалистики

Так ли просты в использовании программы для цифровой криминалистики, как уверяют производители? Здесь нет и не может быть «средней температуры по больнице». Какие-то продукты сложнее в использовании, а некоторые использовать совсем просто. Если говорить о продуктах нашей компании, то большая часть из них обладает простым и понятным пользовательским интерфейсом, но ряд возможностей (например, настройки парольных мутаций для распределённых атак в продукте Elcomsoft Distributed Password Recovery) требует чёткого понимания как способов, так и целей выполняемых действий.

Не стоит обманываться простотой использования даже самых дружелюбных к пользователю инструментов: в цифровой криминалистике нет и не может быть простых решений, которые проделают за эксперта его работу. Инструмент, даже самый продвинутый – это всего лишь инструмент, выполняющий ограниченный круг задач. Читать дальше… »

Анализ Apple TV и Apple Watch

Июнь 21st, 2019 by Vladimir Katalov

Популярность iPhone, основного продукта Apple, отодвигает в тень другие продукты компании. Такие устройства, как планшеты iPad, музыкальные колонки HomePod, телевизионная приставка Apple TV и часы Apple Watch пользуются заслуженной популярностью. Все эти устройства работают на вариациях одной и той же операционной системы — iOS, и для них работают многие методы извлечения и анализа данных, которыми эксперты пользуются для доступа к информации из iPhone. Сегодня мы рассмотрим процедуру извлечения данных из приставок Apple TV и часов Apple Watch.

Читать дальше… »

Необычные пароли. Защита резервных копий iOS

Июнь 20th, 2019 by Oleg Afonin

Пользователи программ для восстановления паролей хорошо представляют сложности, связанные со скоростью перебора. И дело не в том, что скорости всегда не хватает, а в том, что в одних форматах данных может использоваться достаточно посредственная защита, в то время как в других сложность атаки возрастает даже не в разы — на порядки. Как следствие, скорость перебора, как и вероятность успешного восстановления, существенно падают. К таким форматам относятся и резервные копии iPhone и iPad, создаваемые приложением iTunes или любой сторонней программой. Даже с учётом того, что в наших продуктах поддерживается более 300 форматов данных, мы продолжаем считать защиту резервных копий iOS уникальным решением.

В чём состоит уникальность защиты резервных копий iOS? Только ли в стойком шифровании и чрезвычайно медленной скорости перебора? Можно ли как-то обойти защиту? Попробуем разобраться.

Читать дальше… »

Физический анализ iOS. Джейлбрейк: риски и последствия

Июнь 19th, 2019 by Oleg Afonin

Физический анализ – наиболее универсальный метод исследования содержимого устройств под управлением iOS. Подавляющее большинство технических средств, позволяющих провести физический анализ устройства российским правоохранительным органам, требует установки джейлбрейк (от английского “jailbreak”) – разработанного на основе найденных в устройствах уязвимостях программного обеспечения, позволяющего получить полный доступ к файловой системе устройств iPhone, iPad и iPod Touch.

Использование джейлбрейка для доступа к данным в процессе физического анализа – вынужденный шаг, который не обходится без последствий и связанными с ними рисков. В этой статье мы рассмотрим риски и опишем последствия использования джейлбрейка для извлечения данных из iPhone или iPad.

Для чего нужен джейлбрейк

Для чего эксперту может понадобиться взлом устройства? По своей сути, джейлбрейк – узкоспециализированный инструмент, позволяющий как самой утилите, так и сторонним приложениям получить эскалацию привилегий и вырваться из «песочницы», изолирующий приложения в рамках отведённой ему области файловой системы. Взлом устройства позволяет получить полный доступ ко всему содержимому файловой системы, что является необходимым условием для физического извлечения данных из устройства. Перечислим основные отличия метода физического анализа по сравнению с другими методами доступа к информации.

Читать дальше… »

Эффект Неуловимого Джо: о безопасности экзотических мобильных ОС

Июнь 14th, 2019 by Oleg Afonin

Мы часто пишем о безопасности мобильных операционных систем, публикуем информацию о найденных уязвимостях, описываем слабые стороны защиты и способы взлома. Мы писали и о слежке за пользователями Android, и о зловредных приложениях, которые встраиваются прямо в прошивку, и о неконтролируемой утечке пользовательских данных в «облако» производителя. А как обстоят дела в стане старичков и аутсайдеров – мобильных ОС BlackBerry 10, мобильной версии Windows 10, Samsung Tizen, Sailfish и «Аврора»?

Безопасность: комплексный подход

Прежде, чем анализировать безопасность платформы, определимся с терминологией. С точки зрения обычного пользователя, если он вообще об этом задумывается, безопасность устройства зачастую приравнивается к физической безопасности данных, которые в нём хранятся. Такой подход в корне неверен. Физическая безопасность данных, безусловно, важна, но ей дело не ограничивается. Что имеется в виду под физической безопасностью данных – защита от низкоуровневого анализа с извлечением микросхемы памяти или же просто защита от любопытных, которые не знают пароля и не умеют обманывать сканер отпечатков пальцев? А что насчёт эффективности ограничений, разрешающих приложениям шпионить за пользователями, собирать и передавать о них информацию? Хранение данных в «облаке» — плюс это или минус с точки зрения безопасности? А в какое облако, кому и куда, каких именно данных, знает ли об этом пользователь и может ли отключить? А насколько вероятно на той или иной платформе получить зловредное приложение и расстаться не только с паролями, но и с деньгами на счёте?

Аспекты безопасности мобильных платформ невозможно рассматривать в отрыве друг от друга. Безопасность – это комплексное решение, охватывающее все аспекты использования устройства от коммуникаций и изоляции приложений до низкоуровневой защиты и шифрования данных.

Сегодня мы рассмотрим некоторые аспекты безопасности таких платформ, как BlackBerry 10, Windows 10 Mobile, ОС «Аврора» (в девичестве Sailfish) и Samsung Tizen. Читать дальше… »

Насколько безопасен современный Android?

Июнь 13th, 2019 by Oleg Afonin

О безопасности и уязвимостях Android написаны десятки тысяч статей и сотни книг. Разумеется, мы не будем пытаться объять необъятное; вместо этого попробуем окинуть взглядом экосистему в целом и подход Google к обеспечению безопасности платформы.

Парадоксально, но факт. Будучи самой распространённой мобильной ОС, в экосистеме Android нет ни одного устройства, сравнимого по популярности с любой моделью от Apple. Десятки тысяч моделей, тысячи прошивок, чехарда с версиями Android и невнятная политика обновлений привели к потрясающей воображение фрагментации экосистемы, объединённой по большому счёту лишь названием.

До какого-то момента Android был не только самой распространённой, но и наименее безопасной мобильной ОС. До версии 4.4 (а это – 2013 год) безопасность системы обсуждать было бессмысленно: отсутствие шифрования по умолчанию и очень слабые опциональные алгоритмы делали смартфоны с этой ОС уязвимыми для целого ряда атак. Минимально приемлемый уровень безопасности в Android был достигнут только с версией 6.0, причём только в тех устройствах, которые выходили с завода уже с Android 6.0 на борту. В последующих версиях системы Google последовательно ужесточал требования к безопасности. Последним нововведением, которое появилось в Android 9, стало шифрование «облачных» резервных копий устройств ключом, который зависел от кода блокировки экрана. Читать дальше… »

Физический анализ устройств iOS и установка джейлбрейка: пошаговое руководство

Май 30th, 2019 by Oleg Afonin

Для извлечения содержимого файловой системы из устройств под управлением iOS (iPhone, iPad, iPod Touch) необходим низкоуровневый доступ, для получения которого эксперту потребуется установить на устройство джейлбрейк. Процедуры установки разнообразных утилит для джейлбрейка подробно описываются в сети, но использование общеизвестных процедур в криминалистической лаборатории ведёт к серьёзным рискам, связанным с необходимостью подключения исследуемого устройства к сети. Выход устройства в сеть может привести к модификации хранящейся на устройстве информации, синхронизации устройства с облачными данными или к получению устройством команды на удалённую блокировку или уничтожение данных. Избежать этих рисков позволит точное следование описанным в данном руководстве инструкциям.

Читать дальше… »