Блог Элкомсофт

«…Восстановление паролей, расшифровка данных,
мобильная и облачная криминалистика… »

Новый класс jailbreak для iOS 12: теперь rootless

Февраль 28th, 2019 by Oleg Afonin

В конце прошлого года специалист Google Project Zero опубликовал информацию об уязвимости, присутствующей во всех версиях iOS 10 и 11 вплоть до 11.1.2. Сообщество разработчиков быстро использовало уязвимости для создания целого ряда джейлбрейков – Meridian, LiberIOS, Electra, Unc0ver… Чуть позднее появилась информация об уязвимости, обнаруженной и в последних версиях iOS 11 вплоть до самой последней iOS 11.4.1. Наконец, командой Google Project Zero были опубликованы уязвимости, обнаруженные в iOS 12.0 – 12.1.2. В двенадцатой версии iOS система безопасности претерпела заметные изменения, и полноценный джейлбрейк (с собственным магазином приложений и отключенной проверкой цифровой подписи) задерживался. А в феврале 2019 для iOS 12 выходит принципиально новое поколение джйлбрейк. Встречайте rootlessJB: без Cydia, без возможности устанавливать твики – но с полноценной поддержкой SSH и доступом к файловой системе.

Что такое rootless, чем отличается от полноценных джейлбрейков и как их использовать в целях криминалистического анализа iPhone? Попробуем разобраться. Читать дальше… »

Методы защиты электронных книг: DRM, шифрование, пароли и обфускация

Февраль 19th, 2019 by Oleg Afonin

Количество книг, изданных исключительно в электронном виде, давно превысило число изданий на бумаге. Ещё в 2011 году объём продаж электронных книг в американском магазине Amazon превысил объём продаж печатных изданий сперва в США, а буквально через год — и по всему миру. Однако в 2015 году энтузиазм покупателей пошёл на спад, а в 2016 наметились просто-таки тревожные тенденции. Сначала рост продаж электронных изданий замедлился, а потом продажи пошли на спад. Что произошло?

Роль сыграла комбинация факторов. С одной стороны, стоимость электронных изданий в крупных магазинах почти догнала по цене бумажные книги. С другой – у электронных изданий гораздо больше ограничений в сравнении с бумажными книгами. Проиллюстрировать эти ограничения можно на примере крупнейшей торговой площадки – Amazon. Что может сделать владелец с купленной на Amazon бумажной книгой? Бумажную книгу можно продать, подарить, одолжить почитать. Ненужные книги можно сдать в макулатуру или отдать в библиотеку, где к ним получит доступ ещё сколько-то читателей.

А что можно сделать с купленной на Amazon электронной книгой? Её можно скачать на авторизованное устройство (любой планшет или телефон на Android и iOS или читалку на e-Ink, если она – Kindle) и прочитать. В некоторых случаях книгу можно одолжить другому пользователю, у которого также есть учётная запись Amazon. Впрочем, даже в тех случаях, когда подобное разрешено – одалживать книги можно нечасто и ненадолго. Ещё книгу можно удалить из своей библиотеки. На этом возможности заканчиваются.

Электронные книги прекрасно продавались пять лет назад, но на сегодняшний день продажи электронных книг у крупных магазинов падают, а перспективы электронных продаж уже не выглядят так радужно. Цены на электронные издания постепенно подросли до уровня цен на бумажные издания, а присущие электронным форматам ограничения никто и не подумал снять. Ситуация дошла в своей абсурдности до предела после того, как студенты американских университетов дружно проигнорировали электронные учебники: при том, что в электронном виде учебные материалы можно было купить на 20-30% дешевле бумажных, электронный учебник невозможно ни продать в конце учебного года, ни купить со скидкой в букинистическом отделе. При стоимости учебников, исчисляющейся десятками долларов за книгу, стоимость пользования электронными версиями заметно превышала стоимость владения «бумагой».

Что же мешает студентам, да и простым читателям, делиться книгами в электронной форме? Мешает защита от копирования, DRM. Digital Rights Management (DRM) – термин, которым обозначают различные виды защиты, с помощью которых правообладатели контролируют использование лицензиатом (уже не покупателем!) защищённого материала. В случае с электронными книгами в качестве DRM чаще всего используется шифрование, но и здесь ситуация далеко не однозначна. Рассмотрим, какие именно системы DRM используются в мире, а какие – у нас в стране. Читать дальше… »

Как определить модель контроллера и тип памяти SSD

Январь 31st, 2019 by Oleg Afonin

В статье Почему SSD выходят из строя: кто виноват и что делать мы рассказали о выносливости современных твердотельных накопителей, о наработке на отказ и о причинах, по которым SSD может выйти из строя при относительно небольшом износе. При написании статьи мы ориентировались на то, что заявленные для конкретной модели характеристики накопителя соответствуют реальным и остаются неизменными на протяжении всего жизненного цикла модели. К сожалению, ожидания не всегда соответствуют действительности. Излюбленный трюк производителей современных твердотельных накопителей – изменение реальных спецификаций уже выпускаемой (и протестированной обозревателями) модели в середине её жизненного цикла. Так, известен ряд моделей таких производителей, как ADATA, Kingston, Transcend, которые получали отличные отзывы от обозревателей – после чего производитель менял «начинку» устройств, сохраняя прежнее название и номер модели. В редких случаях новая ревизия получала дополнительный индекс, позволяющий отличить её от прежней модели, но чаще всего потребителю доставался «кот в мешке». Не минула проблема и такого крупного производителя как Crucial, выпустившего модель BX300 на основе 3D-MLC памяти и впоследствии заменившая чипы в этом недорогом накопителе на более дешёвую 3D-TLC. Как отличить одно от другого и убедиться, что начинка выбранного накопителя соответствует ожиданиям? Используем низкоуровневые утилиты для проверки модели контроллера и типа использованной памяти. Читать дальше… »

Почему SSD выходят из строя: кто виноват и что делать?

Декабрь 24th, 2018 by Oleg Afonin

Искренняя благодарность Роману Морозову, руководителю техподдержки ACELab, рассказавшему о многих тонкостях жизненного цикла твердотельных накопителей.

Начнём издалека. В предыдущей статье, предназначенной для экспертов-криминалистов, мы писали, что современные микросхемы NAND имеют ограниченный ресурс порядка 1000-1500 циклов перезаписи. Это не совсем так. Действительно, большинством производителей декларируется ресурс в несколько тысяч циклов записи; эта декларация поддерживается длительными гарантийными сроками (на многие модели – порядка 5 лет). Независимые исследователи, осуществляющие многократную непрерывную перезапись накопителей в течение длительного времени, демонстрируют устойчивость на отказ и после десятков, а иногда и сотен тысяч циклов.

В то же время фактический жизненный цикл современных микросхем TLC может быть ограничен всего 20-50 циклами перезаписи. Этот параметр может быть лучше или хуже в зависимости от типа памяти, норм технологического производства и уровня брака на китайском заводе-производителе. Использование таких технологий, как SLC кэш с пониженным напряжением записи в ячейку позволяет заметно увеличить ресурс, в то время как наличие умножающего коэффициента записи (write amplification) снижает эффективный ресурс накопителя.

Как жизненный цикл современных TLC микросхем в 20-50 циклов соотносится с декларацией производителей и действительно впечатляющими гарантийными сроками и насколько на самом деле надёжны современные SSD? Попробуем разобраться.

Читать дальше… »

Жизнь после Trim: как восстановить удалённые данные с накопителей SSD

Декабрь 21st, 2018 by Oleg Afonin

Благодарности: эта статья не вышла бы в свет без подробных консультаций Романа Морозова, руководителя техподдержки ACELab.

Механизмы хранения, удаления и восстановления данных в твердотельных накопителях – классический «тёмный лес» в представлении как обычных пользователей, так и экспертов-криминалистов. В отличие от традиционных магнитных жёстких дисков, данные на которых остаются на месте даже после удаления файла, твердотельные накопители способны самостоятельно запустить и поддерживать процесс безвозвратного уничтожения информации, стоит лишь подать на них питание. Таким образом стандартная в процессе экспертизы процедура снятия образа диска приводит к тому, что к моменту окончания процесса на SSD не остаётся никаких следов удалённых пользователем данных.

До недавнего времени единственной возможностью получить доступ к удалённым блокам была трудоёмкая процедура извлечения чипов NAND и прямого считывания информации (с последующей реконструкцией адресации). Сейчас же, наконец, появилась разумная альтернатива. Попробуем разобраться в механизмах хранения и удаления информации на современных SSD и попытаемся восстановить данные в удалённых блоках.

В данной статье не описывается, но представляет отдельный интерес уязвимость популярного алгоритма шифрования дисков BitLocker, являющегося составной частью Windows. Как обнаружили исследователи, вместо программного шифрования с использованием центрального процессора BitLocker может использовать контроллер SSD для шифрования данных. Соответственно, низкоуровневый доступ к SSD позволяет найти ключ шифрования данных и расшифровать содержимое такого накопителя.

Читать дальше… »

Готовы ли правоохранительные органы к цифровому веку?

Декабрь 6th, 2018 by Vladimir Katalov

Широкое распространение смартфонов привело к возникновению в доказательной базе новой категории: в дополнение к «вещественным» доказательствам на головы следователей обрушились «цифровые». Цифровые улики ворвались в нашу жизнь стремительно и внезапно; по историческим меркам событие произошло буквально «вчера». Правоохранительная система не успела адаптироваться к новым правилам игры ни с точки зрения законодательства, ни в виде нужных знаний и навыков у персонала правоохранительных органов.

Цифровая криминалистика – относительно молодое направление; мобильная и «облачная» криминалистика находятся в зачаточном состоянии. В то же время преступными группировками вполне эффективно используются такие инструменты, как криптовалюты и «теневой интернет». Преступники не стесняются пользоваться шифрованием, встроенным во все современные смартфоны, получая практический иммунитет от существующих методов расследования. Расследование как традиционных преступлений, совершаемых с использованием современных технологий, так и относительно недавно возникших видов цифрового мошенничества и вымогательства становится чрезвычайно сложным и затратным процессом, который требует как усилий специалистов высокой квалификации, так и серьёзных денежных вложений в технические средства. Читать дальше… »

Причины падения рынка планшетов Android

Декабрь 5th, 2018 by Oleg Afonin

Авторы многочисленных публикаций, в которых обсуждается тема планшетных устройств, не устают повторять популярную мантру: Андроид «не оптимизирован» для планшетов, приложения «не предназначены» для планшетов. Те же публикации вполне заслуженно хвалят планшеты iPad, которые, по версии их авторов, вполне «предназначены» и «оптимизированы». Как обстоят дела на самом деле и почему всё-таки Google проиграл планшетную гонку? Попробуем разобраться.

Приложения, оптимизированные для планшетов

Планшеты с Android действительно продаются хуже более дорогих iPad, а те, что всё-таки есть, предлагают худший опыт использования (иногда – драматически худший) в сравнении даже с недорогими моделями iPad. Может ли это быть связано с тем, что основная масса приложений не оптимизирована для планшетов?

Читать дальше… »

Методология извлечения данных из устройств под управлением iOS

Ноябрь 2nd, 2018 by Oleg Afonin

На тему извлечения данных из смартфонов под управлением iOS написано множество статей и книг, в том числе и книга за нашим авторством. Тем не менее, хотя многочисленные статьи и могут подробно осветить тот или иной метод доступа к информации, их нельзя рассматривать в качестве прямого руководства к действию в отрыве от общей ситуации. В данной работе мы рассмотрим все шаги, которые необходимо предпринять по отношению к конкретному устройству с целью максимально увеличить шансы на успешное извлечение информации. Мы постараемся полностью описать всю цепочку шагов, включающую процесс конфискации, хранения и транспортировки устройства, методы презервации данных и последовательность использования методов извлечения и анализа информации. Читать дальше… »

Сферический Android в вакууме: физическая безопасность реальных устройств

Октябрь 26th, 2018 by Oleg Afonin

«Сферический Android в вакууме» — система, которая при выполнении ряда условий и грамотном использовании могла бы стать достаточно безопасной. В реальном же мире производители непременно добавят ложку дёгтя, испортив, казалось бы, непробиваемые защитные механизмы операционной системы. Сегодня мы рассмотрим защитные механизмы Android, призванные обеспечивать доверенную загрузку и защищать данные от злоумышленников – а также ошибки и не совсем ошибки производителей, сводящие пользу от этих механизмов на нет.

Читать дальше… »

QuickCharge 4: два года спустя

Октябрь 5th, 2018 by Oleg Afonin

В декабре 2016 компанией Qualcomm была представлена обновлённая версия стандарта быстрой зарядки Quick Charge 4. В отличие от предыдущих версий Quick Charge, работавших по собственному протоколу Qualcomm, нарушая при этом стандарты, установленные для разъёмов USB Type C, в Quick Charge 4 появилась долгожданная унификация с открытым стандартном USB-PD (Power Delivery).

После анонса нового стандарта прошло почти два года. За это время на рынке появилось 10 моделей смартфонов, поддерживающих новый стандарт. За то же время было сертифицировано всего три (четыре, если считать автомобильную зарядку) модели зарядных устройств. Почему так произошло? Каковы причины такого медленного распространения нового стандарта и почему на рынке отсутствуют соответствующие зарядные устройства? Попробуем разобраться.

Если вы ещё читали нашу предыдущую статью, рекомендуем ознакомиться: Быстрая зарядка: стандарты, особенности и проблемы совместимости.

Почему на рынке нет зарядных устройств QC4+

По официальной информации Qualcomm, на рынке присутствует 10 смартфонов, поддерживающих новый стандарт зарядки. Однако из этих десяти моделей только одна (а именно – Razer Phone) поставляется в комплекте с зарядным устройством, поддерживающим стандарт QC4+. В коробках оставшихся девяти устройств можно обнаружить зарядные устройства, поддерживающие предыдущее поколение стандарта – Quick Charge 3.0. Не балуют покупателей и сторонние производители: на рынке присутствует всего три модели ЗУ, сертифицированных по стандарту QC4.0+ (и одна автомобильная зарядка). Вот исчерпывающий список: Читать дальше… »