Все статьи автора Oleg Afonin

Пароль – один из самых старых, классических способов аутентификации. Почтенный возраст паролей не мешает им оставаться основным способом убедиться в том, что пользователь – именно тот, за кого себя выдаёт. Несмотря на множество недостатков, у паролей есть и несомненные достоинства: при должном контроле они могут быть как достаточно безопасными, так и вполне запоминаемыми. В экосистеме Apple используется четыре (или пять, если считать паролем одноразовый код) разных, но тесно связанных между собой паролей. Что это за пароли и как они взаимосвязаны? Попробуем разобраться.

Какие бывают пароли?

Что важнее, безопасность или запоминаемость? Вопрос не такой однозначный, каким кажется. Ещё в 2017 году было проведено исследование, согласно которому у самого обычного пользователя было порядка 20 учётных записей. У среднего офисного работника использовалась 191 учётная запись – и это только те пароли, которые вводятся в окно браузера. К началу 2020 года среднее число паролей пользователя достигло 207, при этом в среднем каждый пароль используется без изменений в 3.9 учётных записях. Статистика не указывает, какое количество паролей пользователи используют в разных учётных записях с минимальными изменениями (например, password, Password, password1, Password2010 и т.п.) По нашим данным, количество уникальных паролей, которые невозможно угадать, подсмотрев остальные пароли пользователя, в среднем не превышает 5-7 штук на пользователя.

Какие пароли бывают? Если вы – пользователь iPhone или iPad, то, скорее всего, вам приходится иметь дела с четырьмя паролями, тесно связанными между собой. Вот они:

  1. Код блокировки экрана (это PIN-код или пароль, которым вы разблокируете iPhone)
  2. Пароль от iCloud (он же – пароль от учётной записи Apple ID)
  3. Пароль от резервной копии iTunes (с его помощью будет зашифрована резервная копия iPhone, если создать её на компьютере)
  4. Пароль Экранного времени (позволяет защитить перечисленные выше пароли от сброса, а также устанавливать ограничения на использование устройства)
  5. Одноразовый код двухфакторной аутентификации (будем считать его «половинкой» пароля; используется только в учётных записях, на которых включена двухфакторная аутентификация)

Все эти пароли связаны между собой достаточно запутанной системой взаимоотношений, в которой нелегко разобраться даже специалистам. Мы уже писали о некоторых взаимосвязях (например, о том, что пароль на резервную копию iTunes можно сбросить, если известен код блокировки экрана), но все эти пароли переплетены между собой гораздо теснее, чем мы описывали ранее.

В этой статье описаны все известные нам взаимосвязи и взаимозависимости между паролями, актуальные для всех версий iOS 12 и 13, а также способы, посредством которых можно сбросить один пароль, если известен другой.

Код блокировки экрана

Код блокировки – самый важный пароль (а точнее, кодовая фраза), который пользователи iPhone используют чаще всех остальных вместе взятых. Этот пароль используется в процессе настройки iPhone. По умолчанию система предлагает установить код блокировки, состоящий из 6 цифр. Также можно использовать и более простой PIN-код, состоящий из 4 цифр. Можно выбрать и более сложный код блокировки, состоящий из произвольного количества цифр (как в Android) или из буквенно-цифровой последовательности произвольной длины.

В Apple контролируют минимальную сложность кода блокировки; слишком простой пароль установить не получится. В Apple предпочли не публиковать этот список официально, но независимым исследователям удалось восстановить этот список, сконструировав и использовав специального робота:

Скачать список таких «простых» паролей можно с GitHub.

При настройке кода блокировки будет установлено соединение с iCloud; это необходимо для того, чтобы добавить устройство в доверенный круг, участники которого могут безопасно синхронизировать такие данные, как пароли (облачная Связка ключей), Здоровье, сообщения и Экранное время. Соответственно, ни одна из этих категорий не будет синхронизирована, если пользователь не настроит код блокировки. Кроме того, без кода блокировки не будет работать платёжная система Apple Pay.

В нашем блоге есть две статьи на тему кода блокировки экрана: Protecting Your Data and Apple Account If They Know Your iPhone Passcode и Passcode vs. Biometrics: Forensic Implications of Touch ID and Face ID in iOS 12.

Если код блокировки утрачен

У обычного пользователя, который забудет код блокировки, не так много возможностей. Можно сбросить устройство через режим Recovery. Для настройки сброшенного устройства потребуется ввести пароль от iCloud.

Если телефон регулярно подключали к компьютеру, то на компьютере может сохраниться файл lockdown. С его помощью можно установить соединение и сделать резервную копию телефона перед тем, как его сбросить (работает только в том случае, если телефон разблокировали хотя бы раз после последнего включения или перезагрузки). Если резервная копия защищена паролем от резервной копии iTunes, то из неё можно извлечь пароль от iCloud, посредством которого можно будет активировать сброшенный телефон. А вот если такого файла нет или срок его действия истёк, то подключить телефон к компьютеру не получится: начиная с iOS 11 для подключения к новому компьютеру нужно ввести код блокировки экрана.

У работников правоохранительных органов в некоторых странах есть возможность запустить перебор кодов блокировки (именно поэтому усиленно не рекомендуется использовать 4-значный PIN). Впрочем, шанс на успех при использовании даже шестизначного цифрового кода блокировки невысокий.

Итак, если код блокировки утрачен:

  • Можно сбросить iPhone через Recovery. Это сбросит код блокировки экрана, но для настройки устройства потребуется ввести пароль от iCloud.
  • Если вы работаете в правоохранительных органах, вам может быть доступен вариант с перебором кодов блокировки.
  • Подключить iPhone к новому компьютеру не удастся (для установления доверенного соединения требуется ввести код блокировки экрана).
  • Если есть доступ к файлу lockdown, а телефон был разблокирован хотя бы раз с момента последней перезагрузки или включения, то существует возможность извлечения локальной резервной копии. Если резервная копия защищена паролем от резервной копии iTunes, то из неё можно будет извлечь пароль от iCloud, посредством которого можно активировать сброшенный телефон.

Если код блокировки известен

Если же код блокировки известен, с телефоном можно проделать множество разных вещей:

  • Разблокировать устройство даже после холодной загрузки
  • Подключить к новому компьютеру или аксессуарам USB (обход блокировки USB)
  • Создать свежую резервную копию в формате iTunes
  • Сбросить пароль от iCloud и изменить доверенный номер телефона для получения кодов двухфакторной аутентификации (только для учётных записей с двухфакторной аутентификацией; одноразовый код для этого не нужен)
  • Сбросить пароль от резервной копии iTunes (если не установлен или известен пароль Экранного времени), создать резервную копию с новым паролем и узнать из неё пароль от iCloud
  • iOS 13: установить или изменить пароль от резервной копии iTunes
  • Обновить версию iOS
  • Сбросить устройство к заводским настройкам, отключить iCloud lock
  • Просматривать пароли из Связки ключей
  • Получить доступ к некоторым типам данных в iCloud (потребуется указать пароль от iCloud и одноразовый код двухфакторной аутентификации – оба из которых можно сбросить и настроить заново при помощи кода блокировки экрана). В список входят такие данные, как облачная связка ключей (пароли от учётных записей пользователя, заполненные формы в Safari), данные Здоровья и Экранного времени, сообщения (SMS, iMessage).
  • Сменить или удалить код блокировки экрана (при его удалении станут недоступными некоторые данные как в самом iPhone, так и в облаке iCloud)

Подводные камни

  • Установленный неизвестный пароль Экранного времени не позволит сбросить пароль от резервной копии iTunes.
  • Если пользователь установил ограничения на изменения в учётную запись Apple ID и защитил ограничение паролем Экранного времени, то сбросить пароль от iCloud не удастся.
  • При смене кода блокировки экрана iOS потребует установить соединение с iCloud. Это нужно для добавления iPhone в круг доверенных устройств, которые будут синхронизировать защищённую часть данных (пароли из облачной связки ключей, Здоровье, сообщения, Экранное время).

Выглядит достаточно запутанно? Мы только начали!

Пароль от iCloud

Так же, как и код блокировки экрана, учётная запись в iCloud не является обязательной. Впрочем, так же, как и в случае с кодом блокировки, без учётной записи в iCloud вы не сможете полноценно пользоваться устройством. Пароль от iCloud совпадает с паролем от учётной записи Apple ID, а без учётной записи Apple вы не сможете не только синхронизировать данные в и создавать резервные копии в iCloud, но и загружать приложения, даже бесплатные, из магазина App Store, слушать музыку и совершать покупки в Apple Music и так далее. Мало кто покупает iPhone исключительно для звонков и просмотра веб-страниц через встроенный браузер, поэтому большинство пользователей заводит себе учётную запись Apple ID.

В Apple контролируют минимальную сложность пароля к iCloud; слишком простой пароль установить не получится, равно как и пароль, совпадающий с одним из тех, которые использовались ранее.

Пароль от iCloud защищает доступ к онлайновой части доступных пользователю сервисов Apple (например, к фотографиям, которые хранятся в iCloud, к данным календарей, заметок, облачным резервным копиям и так далее). Кроме того, пароль от iCloud используется для защиты iPhone от сброса к заводским настройкам (а точнее – от возможности его после этого активировать и использовать), а также для удалённой блокировки, отслеживания или стирания данных с украденных устройств.

В то же время пароль от iCloud – далеко не всё, что нужно для доступа ко всем данным в iCloud. Так, некоторые данные будут сохраняться в облако только после включения двухфакторной аутентификации (соответственно, для их извлечения понадобится одноразовый код двухфакторной аутентификации), а некоторые данные (пароли из облачной связки ключей, Здоровье, сообщения, Экранное время) дополнительно защищены ещё и кодом блокировки экрана.

Частный случай пароля от Apple ID в случаях, когда используется двухфакторная аутентификация – пароль приложений. Пароль приложения можно создать в учётной записи Apple ID; он будет сгенерирован автоматически (а не установлен пользователем). Использовать пароль приложения можно в ряде сценариев, когда то или иное приложение не поддерживает двухфакторную аутентификацию. Примеры таких приложений – некоторые сторонние почтовые клиенты или утилита Cydia Impactor для установки сторонних (не из App Store) приложений на устройство с iOS. Кроме того, пароль приложения требуется создать и в том случае, если вы используете агент-экстрактор из состава Elcomsoft iOS Forensic Toolkit с для извлечения образа файловой системы.

Можно ли обойти пароль и всё равно получить доступ к данным из облака? Да, но набор доступных таким образом данных будет ограничен; подробности – в статье Accessing iCloud With and Without a Password in 2019.

Если пароль от iCloud утрачен

Пароль от iCloud используется значительно реже кода блокировки экрана; соответственно, забывают его пользователи гораздо чаще. Для его восстановления Apple опубликовали подробную инструкцию (https://support.apple.com/ru-ru/HT201487) в статье Если вы забыли пароль учётной записи Apple ID.

Пароль от iCloud можно сбросить с доверенного устройства (собственного iPhone пользователя); для этого достаточно указать код блокировки экрана, но требуется, чтобы в учётной записи была включена двухфакторная аутентификация (одноразовый код не потребуется). Пароль от iCloud можно сбросить и с другого устройства Apple или через веб-браузер (в этом случае потребуется ввести одноразовый код двухфакторной аутентификации).

Кроме того, пароль от iCloud можно узнать, проанализировав пароли, сохранённые в браузере на компьютере (Chrome, IE, Edge, Firefox) при помощи Internet Password Breaker (Windows), либо извлечь из связки ключей macOS при помощи Password Digger. Наконец, можно проанализировать зашифрованную резервную копию iOS при помощи Phone Breaker.

Итак, если утрачен пароль от iCloud, вы сможете:

  • Сбросить его с вашего iPhone или другого устройства из экосистемы Apple (потребуется код блокировки экрана, должна быть включена двухфакторная аутентификация, одноразовый код не потребуется)
  • Сбросить с чужого устройства из экосистемы Apple (код блокировки экрана, должна быть включена двухфакторная аутентификация, нужно ввести одноразовый код)
  • Сбросить через браузер (процесс различается для учётных записей с 2FA и без; потребуется доступ к ящику электронной почты, привязанному к данному Apple ID, одноразовый код двухфакторной аутентификации для учётных записей с 2FA; под может быть доставлен посредством SMS, отправленной на доверенный номер телефона – который, напомним, можно сменить при помощи кода блокировки экрана).

Если пароль от iCloud известен

Как ни странно, если известен пароль от iCloud и только он, сделать можно не так и много. Перечислим:

  • Заново настроить устройство, если был утрачен код блокировки экрана (сброс через Recovery, настройка с нуля, ввести пароль от iCloud для отвязки от iCloud).
  • Подтверждать покупки в App Store и iTunes Store (альтернатива – биометрическая аутентификация, для настройки которой, впрочем, всё равно потребуется ввести пароль от iCloud).
  • Подтверждать обновление приложений (пароль запрашивается не всегда; закономерности выявить не удалось).
  • Логин в App Store (если включена двухфакторная аутентификация, потребуется одноразовый код)
  • Извлекать ограниченное количество данных из iCloud (если двухфакторная аутентификация не включена).
  • Извлекать чуть больше данных из iCloud (только если двухфакторная аутентификация включена и доступен одноразовый код).
  • Извлекать ещё чуть больше данных из iCloud (пароли облачной связки ключей, пароль Экранного времени, сообщения, Здоровье; только если двухфакторная аутентификация включена, доступен одноразовый код и код блокировки экрана).
  • Отвязать iPhone от iCloud, отключить Find My iPhone, осуществить сброс к заводским настройкам.
  • Войти в учётную запись Apple из браузера (если включена двухфакторная аутентификация, потребуется одноразовый код).
  • Дистанционно стереть или заблокировать iPhone при помощи сервиса iCloud Find (одноразовый код не нужен даже для учётных записей с двухфакторной аутентификацией).
  • Сменить пароль от Apple ID/iCloud.
  • Добавление учётной записи на устройствах Apple; устройство становится доверенным (если включена двухфакторная аутентификация, потребуется одноразовый код).

Подводные камни

  • Пароль от iCloud не получится сбросить или изменить, если на устройстве настроено ограничение Экранного времени на действия с учётной записью (а пароль Экранного времени неизвестен)
  • Уже по списку «если пароль известен» видно, что сам по себе пароль от iCloud практически бесполезен, если в учётной записи включена двухфакторная аутентификация. Имея доступ ко второму фактору, можно легко сбросить пароль от iCloud. А вот добавить или изменить дополнительный фактор аутентификации, имея только пароль от iCloud, невозможно. Существующая официальная процедура восстановления учётной записи не даёт гарантированного результата (в нашей лаборатории мы смогли восстановить лишь каждую вторую учётную запись). Похоже, дополнительный фактор аутентификации в настоящий момент имеет больший вес, чем пароль от iCloud.

Пароль от резервной копии iTunes

Этот пароль такой же опциональный, как и предыдущие два. Более того, если не установить пароль на резервную копию, то для неискушённого пользователя не изменится, по большому счёту, ничего: все возможности как устройства, так и облачных сервисов будут доступны точно так же, как и с паролем. В статье The Most Unusual Things about iPhone Backups мы описали некоторые особенности паролей от резервной копии.

Для чего вообще нужен этот пароль? Очевидно, для шифрования резервной копии, которую можно создать в iTunes. Нужно ли задавать этот пароль, если вы никогда не создавали резервные копии в iTunes и не собираетесь этого делать? Да, нужно, потому что резервную копию злоумышленник может создать за вас, после чего получит доступ практически к полному содержимому телефона, включая все ваши пароли к учётным записям, которые вы использовали в браузере Safari. Помешает ли этот пароль злоумышленнику, если он получит ваш iPhone и узнает его код блокировки? Нет, не помешает, но вы сможете дополнительно (и достаточно надёжно) защитить его паролем Экранного времени.

Насколько вообще безопасен пароль от резервной копии iTunes? Если в руки злоумышленника попадут только файлы резервной копии, зашифрованные неизвестным паролем, то вам повезло: скорость перебора будет исключительно низкой. Даже на профессиональном оборудовании с использованием аппаратного ускорения и распределённых вычислительных сетей скорость перебора на одном компьютере не превышает 100 паролей в секунду. Это – очень низкая скорость; пароль из случайного набора букв и цифр длиной хотя бы в 6 символов не будет вскрыт и за сотню лет.

Ситуация меняется на свою полную противоположность, если в руки злоумышленника попадёт ваш iPhone, а код блокировки экрана подсмотрят или узнают иным способом. Используя код блокировки экрана, пароль от резервной копии iTunes можно сбросить буквально за пару шагов (вместе с ним удаляется и код блокировки телефона). Если же цель – узнать оригинальный пароль, то на телефон можно установить джейлбрейк (для ряда устройств это возможно независимо от версии iOS), после чего пароль извлекается из скрытой записи Связки ключей.

Наконец, если на iPhone запущена iOS 13, то для установки или смены пароля от резервной копии также потребуется ввести код блокировки экрана. Подытожим:

Если пароль от резервной копии iTunes утрачен

  • Если оригинальный iPhone – в вашем распоряжении, вы сможете сбросить пароль от резервной копии iTunes; для этого нужен код блокировки экрана. Если установлен пароль Экранного времени, то потребуется ввести и его.
  • Если же в вашем распоряжении – только файлы резервной копии, то единственный возможный вариант – атака по словарю или методом полного перебора.
  • Если ваша цель – анализ данных из локальной резервной копии, то заменить её может восстановление на новое устройство либо скачивание и анализ комбинации из облачной резервной копии устройства и облачной связки ключей из iCloud. Для доступа к ним нужны будут пароль от iCloud, одноразовый код двухфакторной аутентификации и (для анализа облачной связки ключей) код блокировки экрана телефона.

Если пароль от резервной копии iTunes известен

Известный пароль от резервной копии (при наличии самой резервной копии) позволит:

  • Восстановить из резервной копии как оригинальное, так и новое устройство с iOS, включая восстановление Связки ключей с паролями.
  • Проанализировать содержимое резервной копии (включая пароли из Связки ключей).
  • Узнать пароль Экранного времени (только для iOS 12) или пароль ограничений (для iOS 11). Приложений для этого существует достаточно много; отобразить пароль Экранного времени в состоянии, к примеру, Elcomsoft Phone Viewer.
  • Узнать пароль от iCloud/Apple ID (об этом подробнее – чуть ниже).

Подводные камни

  • Пароль от iCloud не всегда можно найти в резервной копии. Точную зависимость установить не удалось.
  • Пароль Экранного времени можно узнать только для старых версий iOS. В резервных копиях, созданных iOS 13 и более свежими сборками, пароль Экранного времени получил более высокий класс защиты и не может быть расшифрован из резервной копии.
  • Если вам пришлось сбросить пароль от резервной копии iTunes через настройки телефона, то код блокировки экрана также будет сброшен. Это приведёт к удалению с устройства данных обо всех транзакциях Apple Pay, писем и данных Exchange. Вы потеряете возможность сбросить пароль от iCloud; будет утрачен доступ к облачной связке ключей и другим защищённым данным в облаке. Впрочем, доступ к «облачным» данным можно восстановить, задав код блокировки заново и позволив системе добавить устройство в список доверенных.

А теперь – обещанные подробности об извлечении пароля от iCloud из резервной копии с паролем (это важно: из резервной копии, которая паролем не защищена, извлечь Связку ключей не представляется возможным). Пароль от iCloud может храниться в одной или нескольких записей из следующего списка:

com.apple.account.AppleIDAuthentication.password

apple.account.iTunesStore.password и apple.account.AppleAccount.password (устаревшие записи, в которых всё ещё может оказаться пароль)

Пароль от iCloud можно обнаружить и в следующих записях, принадлежащих браузеру Safari:

  • appleid.apple.com
  • www.icloud.com
  • idmsa.apple.com
  • id.apple.com
  • store.apple.com
  • apple.com

Пароль Экранного времени

Экранное время – представленная в iOS 12 система, позволяющая отслеживать и ограничивать время использования устройства. Установленные ограничения пользователь может защитить код-паролем, состоящим из 4 цифр.

Если пользователь установил пароль Экранного времени, то система будет запрашивать его при попытке изменить настройки как собственно ограничений, установленных в разделе Экранного времени, так и некоторых других системных настроек. В частности, система потребует ввести пароль Экранного времени (в дополнение к коду блокировки экрана) при попытке сбросить настройки (Reset All Settings) с целью сбросить пароль от резервной копии iTunes.

Пользователи могут установить и собственные ограничения. Например, может быть установлено ограничение на действия с учётной записью, после чего iOS не позволит сбросить пароль от iCloud посредством ввода кода блокировки. Ещё одно ограничение может запретить установку на устройство приложений, что не даст установить на устройство джейлбрейк и извлечь из него образ файловой системы. А вот защитить пароли в Связке ключей таким образом не получится: их всегда можно просмотреть, даже если установлен пароль Экранного времени.

Если пароль Экранного времени утрачен

  • Невозможно отключить или обойти установленные ограничения Экранного времени, убрать или сменить пароль
  • Невозможно включить функцию Экранного времени “Share across devices” («Учёт на всех устройствах»), благодаря которой пароль Экранного времени попадает в облако iCloud и может быть оттуда извлечён
  • Невозможно сбросить настройки для удаления пароля к резервной копии iTunes
  • В зависимости от установленных пользователем настроек, могут быть и другие ограничения: на сброс пароля от iCloud, установку приложений и другие.
  • iOS 12: пароль Экранного времени можно извлечь из локальной резервной копии с паролем (если пароль от резервной копии iTunes известен).
  • iOS 12 и 13: пароль Экранного времени можно извлечь из iCloud, если известны пароль от iCloud, есть одноразовый код двухфакторной аутентификации и известен код блокировки устройства (не обязательно данного конкретного устройства, но хотя бы одного устройства из доверенного круга); функция Экранного времени “Share across devices” («Учёт на всех устройствах») должна быть уже включена.

Если пароль Экранного времени известен

Если пароль Экранного времени известен, вы сможете:

  • Настраивать и отключать ограничения Экранного времени.
  • Сменить или удалить пароль Экранного времени.
  • Если известен код блокировки устройства, сменить пароль от резервной копии iTunes.

Подводные камни

  • iOS 12: для того, чтобы извлечь пароль Экранного времени из локальной резервной копии, необходимо, чтобы локальная копия была зашифрована паролем, а сам пароль от резервной копии iTunes – известен.
  • iOS 13: пароль Экранного времени хранится с повышенным классом защиты и не может быть извлечён из резервной копии. Вместо этого можно использовать извлечение из iCloud.
  • Из облака iCloud пароль Экранного времени можно извлечь лишь при условии, что пользователь включил функцию Экранного времени “Share across devices” («Учёт на всех устройствах»). Если эта функция включена, то в качестве кода блокировки можно использовать код блокировки экрана или системный пароль любого устройства Apple, входящего в «доверенный круг» (т.е. они зарегистрированы в том же Apple ID и на них также включена функция Экранного времени «Учёт на всех устройствах»).
  • Функция «Учёт на всех устройствах» работает исключительно в учётных записях с двухфакторной аутентификацией. Соответственно, потребуется ввести одноразовый код двухфакторной аутентификации.

Ссылки по теме:

  • How To Access Screen Time Password and Recover iOS Restrictions Password (link)
  • How to Extract Screen Time Passcodes and Voice Memos from iCloud (link)

Одноразовый код двухфакторной аутентификации

Итак, мы рассмотрели четыре пароля, которые защищают различные аспекты экосистемы Apple. Однако если в случае с iPhone даже слабого пароля может быть достаточно просто в силу того, что к телефону нужно ещё получить физический доступ, то защита онлайновой учётной записи одним лишь паролем давно показала свою несостоятельность. Яркий пример – Celebgate, событие, которое заставила Apple поторопиться и выпустить сырую версию двухфакторной аутентификации под названием Two-Step Verification.

Сегодня Apple использует гораздо более технически продвинутую и безопасную схему, которая называется просто и бесхитростно – Two-Factor Authentication, или двухфакторная аутентификация. В этой системе есть возможность настроить любое устройство Apple (и только Apple) в качестве доверенного «второго фактора». Кроме того, пользователю обязательно придётся добавить хотя бы один доверенный телефонный номер на тот случай, если единственное устройство Apple будет утеряно или украдено.

Система получилась сильной и достаточно безопасной, и в Apple решили этим воспользоваться. Неожиданно «второй, дополнительный» фактор аутентификации получил в нагрузку возможности, позволяющие проделывать ряд вещей, которые в других системах считаются чрезмерными.

Нравится вам это или нет, но двухфакторную аутентификацию вам придётся включить, если вы хотите получить доступ к любому из перечисленных ниже сервисов:

Купив новое устройство с iOS 13 и зарегистрировав свежий идентификатор Apple ID, вы просто не сможете настроить его без двухфакторной аутентификации. Раз включив, отключить её уже не получится: прецеденты единичны, и каждый случай требовал персонального обращения в поддержку Apple и длительного периода ожидания.

О том значении, которое придаёт Apple двухфакторной аутентификации, говорит тот факт, что посредством второго «дополнительного» фактора легко можно сбросить пароль от Apple ID/iCloud. А вот если потерять доступ ко всем носителям «дополнительного» фактора (включая устройства Apple и доверенный телефонный номер – что на самом деле легко, если вы в заграничной поездке), то получить доступа к собственной учётной записи не получится. Точнее, это можно будет проделать, заполнив заявку, и после длительного (несколько недель) периода ожидания с пятидесятипроцентной вероятностью доступ к учётной записи может быть (а может и не быть) предоставлен.

Если доступ ко второму фактору аутентификации утрачен

Если доступа ко второму фактору аутентификации нет, наступят следующие последствия:

  • Доступ к учётной записи Apple ID и к iCloud невозможен, даже если пароль от iCloud известен. Исключения – функция Find My и отвязка сброшенного телефона от iCloud; в обоих этих случаях достаточно одного лишь пароля от iCloud.
  • Возможно, вам удастся восстановить доступ к учётной записи Apple через официальную процедуру. Процесс длительный (несколько недель), а результат не гарантирован.
  • Второй фактор аутентификации лучше не терять.

Если доступ ко второму фактору аутентификации имеется

Если же у вас есть доступ ко второму фактору аутентификации, можно проделать следующие вещи:

  • Сбросить пароль от iCloud/Apple ID с доверенного устройства (оно выступает в роли второго фактора)
  • Восстановить доступ к учётной записи Apple ID и сбросить пароль от iCloud при помощи одноразового кода двухфакторной аутентификации (с чужого устройства Apple)
  • После сброса пароля от iCloud войти в учётную запись и извлечь из неё данные (часть данных будет дополнительно защищена кодом блокировки экрана)
  • Восстановить из облачной резервной копии новое или актуальное устройство Apple
  • При восстановлении из облачной резервной копии существующего устройства (именно того, с которого была ранее создана резервная копия) будут восстановлены и пароли из Связки ключей (даже если вам неизвестен код блокировки экрана, который необходим для скачивания синхронизированной «облачной связки ключей»).

Подводные камни

  • Даже в случае утраты доступа ко второму фактору аутентификации будут доступны функция Find My и отвязка сброшенного телефона от iCloud. Для их работы достаточно одного лишь пароля от iCloud.
  • Связка ключей из облачной резервной копии может быть восстановлена исключительно на то же самое физическое устройство, с которого была создана резервная копия. Для доступа к Облачной связке ключей необходимо ввести код блокировки экрана от одного из предыдущих устройств.

Пароли и политики безопасности

Политики безопасности, ограничивающие использование слишком простых паролей, различаются для всех четырёх (с половиной) паролей.

  • Код блокировки экрана: официальной политики нет. По умолчанию система предлагает использовать код, состоящий из 6 цифр, но по желанию пользователь может выбрать и 4-значный PIN, а также цифровой пароль произвольной длины либо буквенно-цифровой пароль произвольного размера. У Apple есть база данных самых часто используемых паролей; если пользователь попытается установить именно такой пароль (например, 0000, 1111 или 1234), то система предупредит о небезопасности такого кода блокировки – но всё же позволит его установить. Просмотреть список небезопасных паролей можно по ссылке GitHub.
  • Пароль от iCloud: минимальная длина – 8 знаков. Требуется использовать по крайней мере одну строчную и одну заглавную букву, а также по крайней мере одну цифру. При смене пароля не позволяется установка ранее использованных паролей.
  • Пароль от резервной копии iTunes: ограничения отсутствуют. В iOS 13 установка или смена пароля от резервной копии требует ввода кода блокировки экрана.
  • Пароль Экранного времени: всегда ровно 4 цифры.
  • Двухфакторная аутентификация: доверенными устройствами могут стать только устройства из экосистемы Apple (iPhone, iPad, компьютер Mac). Требуется наличие хотя бы одного доверенного телефонного номера, при этом допускается наличие в одной учётной записи нескольких доверенных телефонных номеров из разных стран, что может быть удобно в поездках.Одноразовый код двухфакторной аутентификации всегда состоит из 6 цифр, а время действия ограничено 30 секундами. Получить его можно в виде push-сообщения на доверенное устройство (требуется доступ в Интернет, устройство необходимо разблокировать), а также в виде SMS или телефонного звонка на доверенный телефонный номер. Кроме того, при наличии разблокированного устройства одноразовый код можно получить и без доступа к Интернет из настроек устройства.

Реакция на попытку перебора

Большинство пользователей, забывших тот или иной пароль, попытаются вспомнить его, подобрав один из ранее использованных паролей. Реакция системы на подбор пароля будет отличаться в зависимости от того, какой именно пароль вы пытаетесь подобрать.

  • Код блокировки экрана: iOS будет увеличивать задержку между попытками ввода. Через определённое количество неудачных попыток устройство будет перманентно заблокировано: на экране появится сообщение “Connect to iTunes”, но подключить устройство к компьютеру не удастся из-за активированного режима защиты USB. У пользователя есть некоторая степень контроля: так, в настройках можно включить функцию “Erase after 10 attempts” setting, которая сбросит устройство к заводским настройкам после 10 неудачных попыток.
  • Пароль от iCloud: попытка подобрать пароль приведёт к временной блокировке учётной записи. Точное количество доступных попыток не разглашается. Важный момент: если вы попытаетесь подобрать код блокировки экрана устройства, посредством которого защищается доступ к Облачной связке ключей (а также паролю Экранного времени, данным Здоровья и сообщениям), то система удалит защищённые данные (ту самую Облачную связку ключей и далее по списку) после 10 неудачных попыток.
  • Пароль от резервной копии iTunes: никаких ограничений. Ломайте на здоровье!
  • Пароль Экранного времени: увеличивающаяся задержка между попытками ввода; после 10 попыток, задержка между попытками составляет ровно час.
  • Одноразовые коды двухфакторной аутентификации: у пользователя есть ограниченное число попыток для ввода кода двухфакторной аутентификации. Если код подобрать не удалось, то будут применяться правила для защиты от попытки подбора пароля к iCloud.

Заключение

В статье мы попытались разобраться в запутанных взаимоотношениях между четырьмя (с половиной) паролями Apple. Если вам кажется, что после этой статьи вы понимаете меньше, чем до неё – это совершенно нормально: о том, каким образом одни пароли влияют на другие, могут уверенно рассуждать разве что работники Apple, которое эту систему проектировали. С нашей точки зрения как экспертов по безопасности созданная Apple система кажется не до конца продуманной и местами нелогичной. Самыми нелогичными решениями Apple нам представляются возможности сброса пароля от резервной копии iTunes и пароля от iCloud посредством одного лишь кода блокировки экрана. Система безопасности, созданная Google, представляется нам гораздо более стройной и логичной (о ней мы обязательно напишем в будущем).

Создаётся ощущение, что ряд правил и возможностей вводились компанией либо под давлением пользователей («Как мне сбросить пароль от резервной копии? Что, совсем никак? Ну, вы…»), либо при попытке быстро закрыть обнаруженную дыру в безопасности. Такой подход не позволяет нам искренне похвалить созданную в Apple систему безопасности пользовательской экосистемы. В то же время, понятны и причины, по которым компании пришлось пойти на компромиссы.

К сожалению, компания не смогла удержать планку баланса между удобством и безопасностью на одном уровне, придавая чрезмерное значение одним факторам безопасности (код блокировки экрана и второй фактор аутентификации) и принизив значение других (пароль от iCloud, который можно узнать или сбросить, если есть доступ к хотя бы одному другому паролю или второму фактору аутентификации). Такой перекошенный баланс делает бесполезным и бессмысленным использование сложных паролей к резервной копии (зачем, если его можно сбросить в пару кликов?) и паролей от iCloud (зачем, если есть второй фактор аутентификации, а сам пароль можно легко сбросить с устройства?)

В статье Извлечение данных из iPhone без джейлбрейка мы рассказали о том, как использовать программу-агента для доступа к файловой системе iOS. В этой статье упоминалось о том, что для работы агента необходима учётная запись Apple ID, зарегистрированная в программе Apple для разработчиков. В чём смысл этой регистрации, для чего эксперту-криминалисту нужно становиться «зарегистрированным разработчиком» и можно ли без этого обойтись? Попробуем разобраться.

Как работает установка сторонних приложений в iOS

Итак, в инструментарии Elcomsoft iOS Forensic Toolkit появилась дополнительная группа команд, позволяющая выполнить извлечение данных посредством специальной программы, так называемого агента-экстрактора. Новый функционал не требует установки джейлбрейка – это несомненный плюс. С другой стороны, для установки на устройство программы-агента нужна цифровая подпись, для которой можно использовать только такие учётные записи Apple ID, которые зарегистрированы в программе Apple для разработчиков.

Почему это так? Прежде, чем ответить на этот вопрос, необходимо разобраться, как именно сторонние приложения в целом и агент-экстрактор в частности могут быть установлены на устройство с iOS.

Агент-экстрактор поставляется в виде стандартного для iOS пакета – файла с расширением .ipa; в точно таком же виде распространяются и утилиты джейлбрейк. Пакет IPA – обычный архив в формате ZIP, в котором содержится двоичный исполняемый файл для операционной системы iOS. Пока – ничего необычного.

Для того, чтобы пакет IPA можно было установить на устройстве, система iOS потребует наличия актуальной цифровой подписи. В принципе, и здесь ничего нового нет: на смартфоны с Android тоже можно устанавливать исключительно подписанные APK. Разница же между iOS и другими операционными системами заключается в том, что цифровая подпись удостоверяет не только разработчика приложения, но и идентифицирует устройство или устройства, на которые может быть установлено приложение. Для того, чтобы подписать пакет IPA, требуется учётная запись Apple ID, которые могут быть одного из трёх типов.

Apple ID обычного пользователя

Подавляющее большинство учётных записей Apple ID принадлежит обычным пользователям. При использовании обычной учётной записи Apple ID для цифровой подписи пакета IPA подписанный пакет может быть установлен только и исключительно на то устройство, для которого была создана цифровая подпись. Более того, при установке такого приложения на устройство iOS потребует верифицировать цифровую подпись, для чего устройство придётся пустить в Интернет. Выход устройства в Интернет несёт потенциальные риски: возможность удалённой блокировки или уничтожения всех данных через функцию Find My (не говоря уже о синхронизации как самой системы, так и ряда сторонних программ). Соответственно, использование обычных Apple ID в рамках расследования – неоднозначное и рискованное мероприятие.

Корпоративные учётные записи

Штатный способ установки приложений на устройства под управлением iOS – скачивание приложений через магазин приложений App Store. В то же время кураторы App Store пропускают далеко не все приложения. Для корпоративных клиентов Apple обеспечивает альтернативный способ установки и распространения приложений – через корпоративные профили. Использование корпоративного профиля позволяет подписывать и распространять приложения среди сотрудников компании, минуя App Store. При этом каждое конечное устройство, на которое устанавливается такое приложение, также потребует верификации сертификата через Интернет. Более того; если Apple посчитает, что та или иная компания злоупотребила своим положением (или сертификат будет украден и использован на сайтах, подобных «альтернативному магазину приложений» ignition.fun), сертификат будет немедленно отозван.

Учётные записи разработчиков

Наконец, мы подошли к третьему типу учётных записей – учётной записи разработчика. Такие учётные записи занимают уникальное положение. Приложения, подписанные цифровыми сертификатами таких учётных записей, можно установить на устройство с iOS, при этом устройство не потребует дополнительной верификации сертификата. Соответственно, установка возможна в режиме офлайн, без связи с Интернет. Это – важнейшее преимущество учётных записей для разработчиков с точки зрения криминалистики. А что по поводу того, что цифровой сертификат в iOS выдаётся для каждого конкретного устройства? Всё правильно: с технической точки зрения идентификаторы всех устройств, на которые разрешена установка подписанных сертификатом приложений, сохраняются в самом сертификате. iOS проверяет наличие в разрешённом списке идентификатора текущего устройства, и если он найден – позволяет установить приложение.

Что изменилось

Итак, мы рассмотрели три типа учётных записей Apple ID, которые потенциально могли бы использоваться для цифровой подписи агента-экстрактора. Почему же нельзя использовать учётную запись обычного пользователя?

Дело в том, что в ноябре 2019 Apple убрали возможность использовать обычные учётные записи для цифровой подписи приложений. Причины такого решения точно неизвестны. Возможно, таким образом в компании борются с возможностью установки джейлбрейков – однако наличие сторонних «магазинов приложений», готовых подписать любой пакет IPA одним из многочисленных украденных корпоративных сертификатов опровергает эту теорию. Дискуссию на эту тему можно увидеть в Twitter разработчика приложения Cydia Impactor:

https://twitter.com/saurik/status/1196888477830221824

В Elcomsoft iOS Forensic Toolkit используется похожий механизм установки, который также прекратил работать, если используется обычная учётная запись Apple ID. Таким образом, для установки агента-экстрактора потребуется использовать учётную запись разработчика.

Мы работаем над решением, которое позволит вернуть возможность цифровой подписи посредством обычных учётных записей. Решение для Mac в стадии тестирования; пользователям Windows придётся подождать.

Ограничения учётных записей разработчиков

Apple не была бы Apple, если бы не было подводных камней.

Первый подводный камень – двухфакторная аутентификация. Для всех учётных записей, участвующих в программе Apple для разработчиков, включение двухфакторной аутентификации является обязательным требованием. Для установки агента-экстрактора нужно ввести логин и пароль – но пароль не от основного Apple ID, а так называемый «пароль приложения», который необходимо предварительно создать в учётной записи. Использование такого пароля для подписи приложения позволяет обойтись без второго шага аутентификации.

Второе ограничение касается количества устройств, которые вы можете добавить в учётную запись разработчика. Ежегодное ограничение – сто устройств каждого типа: вы можете добавить сто iPhone и сто iPad в год. Вы можете удалить устройства из вашего профиля разработчика, но лимит на число устройств будет сброшен лишь в конце года.

Нужно знать и о ещё одной особенности. После того, как очередное устройство будет добавлено в ваш профиль разработчика, сгенерированный цифровой сертификат будет содержать полный список идентификаторов UUID всех устройств, которые присутствуют в профиле. Если вы хотите, чтобы этого не происходило, вам нужно будет вручную удалить из вашей учётной записи идентификаторы уже отработанных устройств и заново сгенерировать сертификат.

И последнее. Зарегистрироваться в программе для разработчиков Apple как организации – достаточно сложная и длительная процедура. Гораздо проще зарегистрировать учётную запись, оформленную на частное лицо. Стоимость такой регистрации эквивалентна $99 в год.

Обходные пути

Можно ли обойтись без регистрации и не платить за участие в программе Apple для разработчиков? Многочисленные сторонние магазины приложений (AltServer, AppStore.io, AppEven, ignition.fun, Tutuapp, Pandahelper, App Valley, Desde tu iPhone, Tweakbox и прочие) предлагают бесплатно воспользоваться одним из оплаченных или украденных корпоративных сертификатов или сертификатов разработчиков. Помимо того, что такие сертификаты оперативно отслеживаются и блокируются Apple, использование стороннего магазина приложений часто приводит к серьёзным модификациям файловой системы и установке неожиданных «бонусов» в виде зловредного ПО.

Использование checkra1n и checkm8

Использование джейлбрейка checkra1n и эксплойта checkm8 не имеет прямого отношения к учётным записям для разработчиков, т.к. работает через Bootrom. В то же время, вполне логичен вопрос: можно ли обойтись без учётной записи для разработчиков в свете существования альтернативного способа извлечения?

Отметим, что у метода извлечения посредством джейлбрейка checkra1n либо напрямую с использованием эксплойта checkm8 есть ряд особенностей и ограничений.

Основное ограничение метода — совместимость. Из многих десятков iPhone и iPad, имеющихся в нашей лаборатории совместимыми оказались далеко не все: метод работает лишь для устройств iPhone 5s — 8/8 Plus/iPhone X. Более новые устройства, вышедшие в последние два года (а это — iPhone Xr/Xs/Xs Max и линейка iPhone 11) не поддерживаются. Более того, поддерживаются не все комбинации моделей устройств и версий iOS.

Вторая проблема метода — скорость и стабильность работы. Из 50 устройств, теоретически совместимых с checkm8, каждое третье устройство оказалось проблемным. Наш опыт подтверждают и пользователи, отмечающие длительное время работы метода. На англоязычных форумах обсуждаются устройства, процесс извлечения файловой системы которых продолжается в течение двух недель.

Наконец, имеет значение и лабораторная чистота метода с точки зрения криминалистики. Несмотря на то, что разные поставщики решений для мобильной криминалистики так и не смогли договориться о том, что подразумевается под «лабораторно чистым» извлечением, установка любого джейлбрейка (и даже прямое извлечение через checkm8) таковым однозначно не является.

Абсолютно все методы извлечения данных из устройств под управлением iOS оставляют следы. Даже один и тот же продукт, запущенный дважды подряд, выдаст два различных результата с несовпадающими контрольными суммами. В то же время метод, использующий агент-экстрактор, является максимально приближённым к «лабораторно чистому» извлечению. Единственные следы, остающиеся на устройстве после отработки агента — это несколько записей в системных журналах.

Является ли агент-экстрактор универсальным решением для iOS? Нет; у метода есть свои ограничения (впрочем, следующая версия Elcomsoft iOS Forensic Toolkit будет поддерживать устройства с iOS 13.0-13.3 на любых устройствах). Тем не менее, как надёжность, так и скорость работы агента при прочих равных условиях всегда существенно выше, чем у методов, основанных на checkm8/checkra1n. Кроме того, для его работы нужна учётная запись для разработчиков.

Заключение

Учётная запись Apple для разработчиков – одна из необходимых инвестиций для лабораторий мобильной криминалистики. Только учётные записи этого типа обеспечивают возможность безопасной установки агента-экстрактора или джейлблейка на устройства под управлением iOS.

Соответствие нормам безопасного хранения информации защита персональных данных – то, над чем работают практически все производители средств хранения информации. И если в корпоративном сегменте представлены относительно надёжные решения, то рекламным лозунгам «безопасное шифрование AES-256» в накопителях, ориентированных на домашний сегмент, безусловно верить не стоит. Неоднозначная реализация средств защиты, небезопасное хранение ключей, использование псевдослучайных чисел, выбранных из 255 вариантов – лишь немногое из того, с чем нам довелось столкнуться в процессе исследования. В этой статье мы расскажем о том, как и от чего защищает пользовательские данные производитель самых популярных среди домашних и офисных пользователей сетевых хранилищ Synology.

Шифрование в сетевых накопителях (NAS)

Конкуренция среди производителей сетевых хранилищ для домашних пользователей и офисов огромна. Здесь и исключительно популярные модели Western Digital, подкупающие нулевой или отрицательной ценой (NAS со встроенным диском стоит дешевле такого же диска отдельно), и признанные гранды QNAP и Synology, которые берут мощной программной частью и длительной поддержкой, и выступающие с переменным успехом Asustor и Drobo, и даже экзотические для нас Buffalo, Terra Master и Thecus.

В большинстве моделей этих производителей в том или ином виде присутствует шифрование, позволяющее защитить пользовательские данные. Некоторые производители довольно забавно рекламируют возможность шифрования:

От каких угроз способны защитить зашифрованные данные сетевые накопители, насколько серьёзные атаки способны выдержать и как всё-таки добраться до зашифрованных файлов? Попробуем разобраться.

Шифрование в Synology

Все сетевые накопители используют один и тот же алгоритм шифрования AES, как правило, с длиной ключа 256 бит (нам встречались варианты и со 192-битными ключами). Выбор алгоритма вполне логичен: большинство современных наборов микросхем в том или ином виде поддерживает аппаратное ускорение AES или хотя бы набор инструкций, использующихся именно в этом алгоритме. Тем не менее, реальная безопасность зашифрованных таким образом данных разительно отличается в зависимости от реализации.

В некоторых NAS, в которых есть возможность зашифровать данные, используется либо защита всего накопителя целиком (аппаратное шифрование SED на уровне контроллера SATA), либо шифрование тома, расположенного как на одном диске, так и на массиве RAID. В некоторых моделях (например, QNAP), можно активировать оба способа – и это правильно, т.к. позволяет избежать некоторых очевидных атак.

В моделях Synology, предназначенных для серверных стоек, также можно активировать аппаратное шифрование SED. Однако большинство домашних и офисных моделей такой возможности лишены. Вместо этого Synology предлагает использовать шифрование файлов на уровне отдельных сетевых папок.

Шифрование реализовано средствами стандартной для Linux файловой системы eCryptFS, о которой можно почитать здесь или здесь. В сравнении с методами шифрования, основанными на защите целых томов, у такого способа шифрования есть как достоинства, так и недостатки.

В достоинства можно записать следующее:

  1. Поскольку шифруются отдельные сетевые папки, не имеет значения, на каком из внутренних физических или логических накопителей они расположены. А вот шифрование папок на внешних накопителях Synology не поддерживает.
  2. Каждый пользователь может зашифровать свою папку своим собственным паролем. Таким образом, обеспечивается защита и между отдельными пользователями.
  3. Стандартная реализация шифрования позволяет просто скопировать зашифрованную папку, к примеру, на другой накопитель – и данные останутся надёжно зашифрованными. При этом смонтировать и расшифровать такую папку получится стандартными средствами на любом компьютере с Linux.
  4. Шифруются как сами данные, так и имена папок и файлов.

Если у пофайлового шифрования столько достоинств, почему производители корпоративных устройств предпочитают шифровать целые тома? К сожалению, у eCryptFS есть и ряд недостатков, способных серьёзно испортить опыт использования или даже сделать шифрование невозможным.

Шифрование, применяемое к отдельным файлам, не обеспечивает приемлемого уровня безопасности в ряде сценариев. В eCryptFS каждый файл хранится на диске отдельно; соответственно, даже без ключа шифрования легко определить такие вещи, как объём зашифрованных данных, количество файлов и размер каждого файла. Соответственно, к зашифрованным папкам применимы такие атаки, как профилирование по размеру файлов, что позволяет узнать содержимое зашифрованной папки, если размер заданного количества файлов совпадает с размером известных атакующему файлов.

Ещё один популярный сценарий – возможность моментального уничтожения данных на зашифрованном накопителе. Так, если используется зашифрованный том (BitLocker, VeraCrypt, FileVault 2 и т.п.), то пользователю достаточно удалить единственный блок данных, в котором содержатся ключ шифрования данных. После этого все данные на зашифрованном томе становятся перманентно недоступными – даже если взломщику известен пароль. В случае eCryptFS ключи шифрования данных хранятся в заголовке каждого отдельного файла, и их моментальное уничтожение невозможно.

Добавим сюда невозможность сменить пароль шифрования без длительной перешифровки метаданных, и получим классическую странную, непродуманную и небезопасную, зато – бесплатную и не требующую лицензионных отчислений реализацию шифрования.

Однако на этом проблемы eCryptFS не заканчиваются. Кроме ограничений, касающихся безопасности, в eCryptFS есть и чисто функциональные ограничения, основное из которых – ограничение на длину имён файлов. В имени файла в зашифрованной папке не может быть больше 143 символов ANSI или 47 символа иероглифической записи. На этом фоне невозможность использовать NFS с зашифрованными папками уже не удивляет.

Хорошо, об ограничениях eCryptFS поговорили; принципиально это те же ограничения, которые будут у любой другой компании, которая решит сэкономить на проектировании и разработке и использует в недешёвом коммерческом продукте готовое бесплатное решение с открытым исходным кодом. А что насчёт уязвимостей в конкретной реализации от Synology? Они есть, и их больше одной. Но прежде, чем говорить об уязвимостях, рассмотрим механизм управления ключами, реализованный в Synology.

Управление ключами шифрования в Synology DSM

Все сетевые хранилища Synology работают под управлением ОС под названием Disk Station Manager, DSM. Практически все модели компании (по крайней мере, те из них, которые были выпущены в последние 5-6 лет) работают под управлением унифицированной сборки DSM; обновления выходят практически одновременно для всех моделей. На сегодня актуальны сборки DSM 6.2.

Для управления ключами в DSM 6.2 используется утилита Key Manager, основная задача которой – хранение ключей и осуществление возможности автоматического монтирования зашифрованных томов после загрузки устройства.

После создания зашифрованной сетевой папки ключ (файл с расширением .key, представляющий из себя пароль в «обёртке» — практически обфускация) автоматически сохраняется на компьютер пользователя. Этот ключ можно сохранить (например, в зашифрованном архиве), а можно удалить – если пользователь уверен, что никогда не забудет пароль шифрования.

Пользователь может выбрать один из трёх вариантов управления ключами.

  1. Полностью ручное управление. На устройстве Synology пароль не сохраняется (помним при этом о файле с ключом, который был автоматически сохранён на компьютер пользователя). При включении NAS или перезагрузке DSM зашифрованные тома автоматически размонтируются. Для их монтирования нужно будет зайти в администраторский веб-интерфейс, открыть раздел сетевых папок и вручную смонтировать все нужные зашифрованные папки. Для продвинутых пользователей существует неофициальный и недокументированный вариант с удалённым монтированием через SSH, но, полагаю, большинству домашних и офисных пользователей об этом неизвестно.
  2. Двоичный ключ шифрования (“machine key” в терминах DSM) сохраняется на устройстве Synology. Зачем это может понадобиться пользователю? Именно для того, чтобы избежать описанных в первом пункте шагов для монтирования зашифрованного тома! Достаточно поставить галочку в пункте “mount on boot”, и DSM автоматически смонтирует зашифрованную папку при загрузке. Удобно! О безопасности, правда, можно забыть: если и ключ шифрования, и сами данные хранятся на одном и том же устройстве, то их расшифровка тривиальна как в случае анализа устройства целиком, так и при извлечении из него только дисков.
  3. Наконец, реверанс в сторону безопасности: ключ шифрования сохраняется не на самом устройстве, а на внешнем USB накопителе. Более того, ключ шифрования MEK, сохранённый на внешнем USB накопителе можно зашифровать своим собственным паролем (KEK) – и это важный момент, позволяющий использовать сложный случайный набор символов для шифрования собственно файлов. Тем не менее, и для ключей шифрования, сохранённых на USB накопителе, опция “mount on boot” по-прежнему доступна. Это означает, что при активации этой опции пароль шифрования ключа (KEK), который вводит пользователь, сохраняется на устройстве Synology. Отметим и этот момент.Что происходит, если опция “mount on boot” включена, а USB накопитель с ключом вставлен в NAS во время загрузки DSM? Сетевые папки расшифровываются и монтируются автоматически. А если опция “mount on boot” выключена? Тогда не монтируются.Что произойдёт, если вставить USB накопитель с ключом уже после загрузки, когда зашифрованная папка не смонтирована? Автоматически не монтируется, будет предложен выбор из трёх вариантов аутентификации:

Как DSM получает двоичный ключ шифрования для алгоритма AES из пароля пользователя? Пароль шифрования, который указал пользователь, «оборачивается» очередным ключом, который называется “wrapping key”. Именно wrapping key выполняет роль ключа KEK, который должен защитить ключ шифрования данных MEK.

Примерно такую схему я ожидал увидеть при анализе защиты DSM. На самом же деле оказалось, что в DSM (уточню: в тех версиях DSM, которые работают на потребительских моделях Synology, предназначенных для дома и офиса) не используется ничего подобного. Данные, как мы выяснили, шифруются посредством пароля, который устанавливает пользователь. А вот сам пароль шифруется одной единственной жёстко прошитой в систему фразой “$1$5YN01o9y” – аналогом печально известного “default_password”, использующегося при шифровании по методу FDE в Android.

Что даёт такой подход к шифрованию? Во-первых, если пароль шифрования сетевой папки нам известен, расшифровать её содержимое мы можем на абсолютно любом компьютере с Linux, просто вытащив диск из сетевого накопителя. Сложности, связанные с монтированием RAID массива мы оставим в стороне – в конце концов, программы для этого существуют даже для Windows.

Во-вторых, если пользователь сохранил ключ во встроенной утилите Key Manager (а это делают часто, ведь монтирование зашифрованных папок в DSM – процесс небыстрый и не самый удобный), то такой сохранённый ключ тоже шифруется всё тем же wrapping key – теперь можно не только расшифровать данные, но и увидеть сам пароль, который вводил пользователь!

Если ключ шифрования сохраняется на встроенном накопителе, пароль wrapping passphrase сменить нельзя. Этот пароль один и тот же на всех накопителях Synology.

Что получается в результате? При использовании встроенной в DSM утилиты Key Manager уровень защиты данных отрицательный: и данные, и ключ шифрования MEK хранятся на жёстком диске, а ключ KEK фиксированный и нам известен. Соответственно, расшифровать можно не только данные пользователя, но и его пароль – который можно попробовать использовать для расшифровки другой информации по цепочке.

Для лучшего понимания всей глубины проблемы сравним механизм шифрования DSM с тем, что используют компьютеры с Windows. Для защиты данных в Windows используется широко известный и подробно документированный алгоритм BitLocker, которым можно зашифровать системный раздел. Ключ шифрования данных MEK сохраняется в составе контейнера; при этом ключ MEK будет зашифрован ключом KEK, который выдаёт защищённый модуль TPM2.0 (доступны разнообразные политики, позволяющие дополнительно защитить этот ключ PIN-кодом, ключом на флешке или комбинацией этих факторов). Извлечь оттуда этот ключ практически невозможно, проще провести лобовую атаку пароля учётной записи Windows. Таким образом, если мы извлечём из компьютера зашифрованный BitLocker-ом диск, то расшифровать его не удастся даже в том случае, когда используется защита самого начального уровня – BitLocker Device Protection. Для расшифровки потребуется, чтобы диск был установлен в тот самый компьютер с тем самым аппаратным модулем TPM, плюс – пароль от учётной записи пользователя. Просто TPM или просто пароля от учётной записи для расшифровки раздела недостаточно.

Если с защитой данных всё так плохо, то в чём смысл включать шифрование и использовать встроенный Key Manager? Причин несколько.

  1. Peace of mind. Чувство защищённости и спокойный сон очень важны для здоровья. О том, что чувство безопасности – ложное, можно никогда и не узнать.
  2. Безопасная продажа или утилизация работоспособного накопителя. При продаже или утилизации старых дисков потребуется уничтожить данные. Это можно сделать, полностью перезаписав содержимое накопителя, что займёт несколько часов. Но той же цели можно добиться проще и быстрее, просто удалив ключи шифрования из Key Manager. Теперь зашифрованные данные – просто цифровой шум, а диск достаточно заново инициализировать.Обратите внимание: в отличие от защиты BitLocker или VeraCrypt, в которых достаточно удалить единственный ключ шифрования данных, в Synology возможность атаки и восстановления даже удалённых зашифрованных файлов остаётся, и она заметно отлична от нуля. Сценарий «безопасной утилизации» дисков в сетевых накопителях Synology не реализован, и рассчитывать на него нельзя.
  3. Если сохранить ключ не на встроенный, а на внешний USB накопитель, то Key Manager предложит ввести свой собственный пароль для защиты ключа. Теперь для расшифровки дисков потребуется USB накопитель с ключом шифрования. Впрочем, если активирован режим автоматического монтирования томов, то пароль, которым защищён ключ шифрования, будет сохранён на внутреннем накопителе Synology.

Выполнение любого из перечисленных ниже условий делает зашифрованные данные уязвимыми:

  1. Пользователь добавляет ключ в Key Manager, сохраняя его на встроенном накопителе. Положение переключателя “mount on boot” в данном случае значения не имеет.
  2. Пользователь сохраняет ключ на внешнем USB накопителе, и у злоумышленника есть доступ к этому накопителю.
  3. Ключ шифрования автоматически сохраняется на компьютер пользователя при создании зашифрованной сетевой папке. Если злоумышленнику доступен этот ключ, проблемы с расшифровкой данных не будет. Имя файла по умолчанию — <name_of_encrypted_share>.key
  4. Наконец, если злоумышленнику удалось узнать пароль шифрования, то расшифровка данных тривиальна. А вот защититься от неё чрезвычайно сложно: казалось бы, простейшая и привычная смена пароля в Synology превращается в многочасовую операцию по перешифровке метаданных.

Уязвимости и их использование

Итак, подытожим описанное выше. В Synology DSM используется стандартная криптографическая файловая система eCryptFS, при этом шифрование SED (Self-Encrypting Disk) на уровне SATA домашними и офисными устройствами не используется. Ключи шифрования могут сохраняться на встроенный или внешний накопитель. В первом случае ключ шифрования защищается фиксированным паролем; во втором – пароль задаёт пользователь, но этот пароль сохраняется на встроенном накопителе (по крайней мере, если включена опция “mount on boot”).

Уязвимость 1: Отсутствие шифрования SED, а также шифрования на уровне тома, позволяет извлечь диск и изменить пароль от административной учётной записи владельца устройства, просто отредактировав файл с учётными записями.

Уязвимость 2: Если пользователь сохранил ключ шифрования в DSM Key Manager, его можно извлечь и использовать для расшифровки зашифрованных данных. Кроме того, из сохранённого ключа шифрования легко разворачивается и оригинальный пароль, который вводил пользователь при создании зашифрованной сетевой папки.

Уязвимость 3: Все устройства Synology используют фиксированный пароль для шифрования ключа шифрования.

Следующая команда отобразит оригинальный пароль, который вводил пользователь при создании зашифрованной папки:

printf "%s" "\$1\$5YN01o9y" | ecryptfs-unwrap-passphrase keyfile.key -

Здесь “$1$5YN01o9y” – тот самый фиксированный ключ wrapping passphrase, а “keyfile.key” – зашифрованный ключ шифрования данных MEK.

Узнав пароль, можно смонтировать зашифрованную папку на любом компьютере с Linux. То же самое можно сделать и одной командой посредством файла с ключом шифрования:

mount -t ecryptfs -o key=passphrase,ecryptfs_cipher=aes,ecryptfs_key_bytes=32,ecryptfs_passthrough=no,ecryptfs_enable_filename_crypto=yes,passwd=$(printf "%s" "\$1\$5YN01o9y" | ecryptfs-unwrap-passphrase /path/to/keyfile.key -) /path/to/encrypted/folder /path/to/mountpoint

Пути /path/to/keyfile.key, /path/to/encrypted/folder и /path/to/mountpoint нужно заменить на фактически используемые. Физически зашифрованное содержимое сетевых папок DSM сохраняет в следующей коннотации:

/Volume<N>/@<name_of_encrypted_share@

В примере выше путь будет таким:

/Volume1/@Encrypted_Share@

Статьи по теме:

  • How To Recover Synology encrypted folders in Linux (Robert Castle)
  • How to decrypt ecryptfs file with private key instead of passphrase (slackexchange)
  • Automatically mounting encrypted folders (на немецком) (synology-forum.de)
  • Script: Decrypt encrypted folders via keyfile (.key) (на немецком) (synology-forum.de)

Если пользователь сохранил ключ на внешнем USB накопителе, DSM запросит ввести пароль для шифрования этого ключа.

Если пользователь настроит сетевую папку таким образом, чтобы она автоматически подключалась после загрузки устройства, то этот пароль сохраняется на внутреннем накопителе. Пароль можно извлечь и использовать для доступа к данным.

Наконец, если пользователь ни в каком виде не сохранил ключ шифрования в Key Manager, то данные в относительной безопасности. «Относительной» потому, что средняя энтропия пользовательских паролей значительно ниже энтропии 256-битного ключа шифрования AES. Атаки на пароли именно этого типа существуют давно, отлично оптимизированы и работают чрезвычайно быстро (в отличие, например, от атак на ключи BitLocker или документы, созданные в Microsoft Office 2016, которые при прочих равных работают значительно медленнее). Никто не отменял и человеческий фактор (1, 2, 3 и 4), который также может использоваться для взлома таких паролей.

Заключение

Данные расшифрованы, всё пропало? Реальная безопасность «непробиваемого» шифрования в Synology оказалась ниже ожидаемой в силу отсутствия каких-либо аппаратных механизмов обеспечения безопасности и сомнительного выбора базовой платформы. Для обеспечения безопасности ключей шифрования в iOS используется Secure Enclave, в Windows – TPM2.0, в устройствах с Android – TrustZone. В домашних и офисных моделях Synology не используется ничего из вышеперечисленного, хотя даже в SoC Realtek RTD1296, на которой основаны младшие модели Synology DS118, DS218Play и DS218, поддержка ARM TrustZone есть. Роль аппаратного модуля безопасности выполняет фиксированная фраза “$1$5YN01o9y” – аналог “default_password” в старых версиях Android.

Выбор средств защиты данных – всегда компромисс между удобством и безопасностью. И если в Windows, Android и iOS мы получаем стойкую защиту зашифрованных файлов, которую не удалось пробить даже эксплуатации уязвимости на уровне загрузчика, то у пользователей Synology выбор простой: или относительно безопасно, но неудобно (сетевые папки монтировать каждый раз вручную, через веб-интерфейс, вводя каждый раз более или менее стойкий пароль шифрования), или удобно, но с нулевым уровнем безопасности. Компромиссным решением будет хранение ключа шифрования на подключаемой к устройству флешке, которую можно вставлять в процессе загрузки и физически извлекать из накопителя после её завершения.

В последнем обновлении iOS Forensic Toolkit появилась поддержка нового способа извлечения данных из iPhone без джейлбрейка, использующий программу-агента собственной разработки. В этой статье мы расскажем об отличиях между извлечением с использованием агента и классическим способа, который использует джейлбрейк для доступа к данным; опишем как преимущества, так и недостатки у нового метода.

Для чего нужен джейлбрейк

Прежде, чем описывать способ извлечения данных без джейлбрейка, попробуем разобраться, для чего нужен джейлбрейк и почему многие пользователи не хотят его устанавливать.

С точки зрения мобильной криминалистики джейлбрейк необходим для того, чтобы получить доступ к защищённым областям хранилища телефона: приватным данным приложений, включая базы данных защищённых чатов, паролям пользователя и маркерам аутентификации для самых разнообразных ресурсов. И если без джейлбрейка эксперту доступна лишь часть данных – та, к которой официально разрешён доступ как разработчиком приложения, так и компанией Apple, — то после установки джейлбрейка становятся доступны абсолютно все данные на смартфоне.

В то же время, цель разработки утилит джейлбрейка лежит далеко за пределами криминалистического анализа. Джейлбрейки часто используются для установки на устройства нелицензионного ПО, модификации элементов интерфейса и доступа к репозитариям приложений, которые по той или иной причине не были приняты в официальный магазин приложений Apple. Для того, чтобы обеспечить эти возможности, в состав джейлбрейка входят компоненты, которые не только нужны для извлечения файловой системы, но и вредят процессу криминалистического анализа, модифицируя системный раздел и изменяя некоторые файлы. Некоторые утилиты джейлбрейка (к примеру, последняя версия unc0ver) позволяют отключить ненужные опции и отказаться от перемонтирования файловой системы, однако требуют предельного внимания и осторожности в процессе установки.

Все эти особенности заставили нас задуматься о разработке собственного агента, который включал бы лишь самое необходимое для доступа к файловой системы, будучи максимально простым и безопасным в использовании.

Доступ к файловой системе и Связке ключей через программу-агента

Список поддерживаемых агентом устройств довольно широк, включая все модели iPhone начиная с iPhone 5s и заканчивая линейкой iPhone Xr, Xs и Xs Max. Поддерживается большинство планшетов iPads, основанных на процессорах соответствующих поколений. Список поддерживаемых версий iOS несколько уже: поддерживаются iOS 11 и 12 всех версий, за исключением iOS 12.3, 12.3.1 и 12.4.1. Оценить совместимость разных способов извлечения данных можно на следующей схеме:

В чём отличия между разными способами извлечения данных?

  1. Логическое извлечение: доступ к данным из резервной копии, расшифровка многих записей Связки ключей, извлечение медиа-файлов, некоторых журналов и данных приложений. Работает на всех устройствах и любых версиях iOS, но количество извлекаемых данных ограничено.
  2. Работа через джейлбрейк: извлечение файловой системы и расшифровка Связки ключей. Совместимость ограничена моделями устройств и версиями iOS, для которых существует джейлбрейк.
  3. Работа с checkra1n/checkm8: извлечение файловой системы и расшифровка Связки ключей. Совместимость ограничена моделями устройств (вплоть до A11, т.е. до iPhone 8/8 Plus/iPhone X включительно) и (на данный момент) версиями iOS3-13.3.1. В то же время этот метод использует аппаратную уязвимость, которую Apple не сможет исправить. Кроме того, доступно частичное извлечение в режиме BFU (до первой разблокировки, если пароль устройства неизвестен).
  4. Программа-агент: извлечение файловой системы и расшифровка Связки ключей. Совместимость ограничена моделями устройств (A7-A11) и версиями iOS (11-12, кроме 12.3, 12.3.1, 12.4).

Извлечение файловой системы из iPhone с программой-агентом

Перед тем, как начать работу, потребуется подготовка. Для установки программы-агента на iPhone вам потребуется учётная запись Apple ID, зарегистрированная в программе Apple для разработчиков. Обычный Apple ID использовать для установки программы-агента нельзя.

Для регистрации в программе Apple для разработчиков будет необходимо активировать двухфакторную аутентификацию (если вы не сделали этого ранее). Для установки программы-агента вам потребуется создать пароль приложения; это можно сделать через браузер на странице Apple ID.

Обратите внимание: в программе Apple для разработчиков может быть зарегистрировано до 100 устройств каждого типа (например, 100 телефонов iPhones и 100 планшетов iPads). Вы сможете удалить устройство из вашей учётной записи после того, как закончите с ним работать.

Для извлечения файловой системы и расшифровки Связки ключей проделайте следующие действия.

  1. Подключите iPhone к компьютеру. Подтвердите запрос на установление связи (на телефоне может потребоваться ввести код блокировки).
  2. Запустите Elcomsoft iOS Forensic Toolkit 5.30 или более новую версию.
  3. В качестве первого шага рекомендуем выполнить логическое извлечение (создание резервной копии, извлечение медиа-файлов и т.д.)
  4. Для работы с программой-агентом используйте цифровые команды 1…4.
  5. Установка агента на iPhone: команда ‘1’ (Install agent). Вам потребуется ввести логин от Apple ID (напомним, зарегистрированного в программе для разработчиков) и пароль приложения, который вы сгенерировали ранее. Далее введите ‘Team ID’ из учётной записи для разработчиков. После установки агента, запустите приложение-агент на телефоне и оставьте его работать в активном режиме.
  6. Дальнейшие шаги похожи на извлечение с использованием джейлбрейка за исключением того, что командой ‘D’ (Disable lock) пользоваться не нужно.
  7. Извлечение Связки ключей: команда ‘2’.
  8. Создание образа файловой системы: команда ‘3’. Копия файловой системы iPhone будет сохранена на компьютере в архиве в формате TAR.
  9. Для удаление программы-агента с iPhone используйте команду ‘4’.

Просмотреть содержимое файловой системы можно посредством Elcomsoft Phone Viewer или альтернативного приложения, поддерживающего формат TAR. Для анализа Связки ключей используйте Elcomsoft Phone Breaker. Для анализа в ручном режиме смонтируйте или распакуйте образ файловой системы (для этого желательно использовать систему на основе UNIX или macOS).

Заключение

В сравнении с традиционным способом извлечения файловой системы через джейлбрейк использование агента собственной разработки «Элкомсофт» позволяет сделать процесс анализа значительно более удобным и совершенно безопасным. Агент не модифицирует системный раздел устройства и пользовательские данные, не перемонтирует файловую систему и не оставляет явных следов работы; худшее, что может произойти с устройством – перезагрузка в штатном режиме. При извлечении данных автоматически подсчитываются и сохраняются хэш-суммы. Кроме того, использование агента позволило нашим разработчикам добиться максимально возможной для каждой модели скорости передачи данных. По завершении работы агент удаляется с устройства одной командой.

Сообщения о взломах, утечках паролей, украденных, уничтоженных или зашифрованных файлах давно не способны удивить. Можно ли защитить свои данные от подобных угроз, и что нужно делать? Достаточно ли зашифровать информацию «неуязвимым шифрованием» AES с 256-битным ключом, которое «надёжно защитит от хакеров»? Наш опыт позволяет утверждать, что шифрование данных само по себе способно защитить лишь от узкого спектра угроз – и совершенно неэффективно против взломов, утечек, воровства, уничтожения или шифрования файлов с целью вымогательства. В этой статье рассказывается о том, от каких угроз и какими способами может защитить свои файлы обычный пользователь.

Откуда исходит опасность?

Прежде, чем предпринимать какие-либо меры по защите системы и файлов, нужно понять, от каких именно угроз вы собираетесь строить защиту. Защита от зловредного программного обеспечения и вымогателей-шифровальщиков работает не так, как защита файлов в случае кражи компьютера, которая, в свою очередь, недостаточна для защиты действительно важных данных. Однако некоторые меры безопасности необходимо предпринять в любом случае, и речь сейчас совершенно не об установке широко разрекламированного антивируса или не менее разрекламированного сервиса VPN.

Шифрование диска: защита системного раздела BitLocker

Шифрование загрузочного раздела – та самая «неуязвимая защита», которая, по утверждению многих компаний, «надёжно защитит ваши данные от хакеров».

На самом же деле шифрование само по себе не способно защитить ваши данные ни от вирусов, ни от хакеров – по крайней мере, если вы хотя бы время от времени обращаетесь к зашифрованным данным.

И тем не менее, зашифровать загрузочный раздел встроенной в Windows утилитой BitLocker совершенно необходимо; просто защита эта – вовсе не от хакеров и не от вирусов-шифровальщиков. От чего же защитит шифрование диска?

  • Доступность: Windows 10 Professional и выше; требуется наличие модуля TPM0, подсистемы Intel PTT или, если нет ни одного из них, редактирование групповых политик Windows. Шифрование device encryption доступно во всех редакциях Windows, работающих на многих субноутбуках и планшетах (к примеру, Microsoft Surface).
    • Обратите внимание: Windows 10 Home не может создавать зашифрованные разделы или шифровать диски. В то же время в ней можно монтировать уже зашифрованные диски без каких-либо ограничений.
  • Защита от физического доступа к диску, извлечённому из компьютера: максимальная
  • Защита от физического доступа к самому компьютеру: зависит от ряда условий
  • Другие локальные пользователи компьютера: отсутствует
  • Зловредное ПО, вирусы-шифровальщики: отсутствует
  • Дистанционный взлом: отсутствует
  • Сценарии использования: защита данных в случае кражи жёсткого диска или всего устройства; мгновенное уничтожение доступа к данным при продаже жёсткого диска или его отправке в мастерскую для гарантийного ремонта.

Шифрование – это сложно? Долго? Замедляет доступ к данным? Ответ во всех случаях отрицательный. Чтобы включить шифрование BitLocker, достаточно иметь компьютер с Windows 10 Professional или Enterprise, который будет оборудован или модулем TPM2.0 (они встречаются нечасто), или программным эмулятором Intel Platform Trust Technology (его нужно будет включить в BIOS). Далее откройте Панель управления и запустите апплет BitLocker Drive Encryption.

Детальное исследование BitLocker выходит далеко за рамки этой статьи, поэтому заинтересовавшихся читателей приглашу ознакомиться с нашей статьёй Introduction to BitLocker: Protecting Your System Disk. В этой статье, в частности, рассказывается о том, как включить BitLocker, если нет ни TPM2.0, ни Intel PTT.

Если вы – пользователь ультралёгкого ноутбука, то ваш системный раздел может быть уже зашифрован, даже если на нём установлена Windows 10 Home. Шифрование BitLocker Device Encryption применяется автоматически, если ваша административная учётная запись привязана к учётной записи Microsoft Account (а не создана в качестве локальной).

От чего защитит шифрование системного раздела? В первую очередь – от физического копирования данных при извлечении диска любой природы (HDD, SSD, NVME) из компьютера. Обратите внимание: если диск извлекли из компьютера, то расшифровать защищённый раздел злоумышленнику не удастся, даже если ему известен ваш пароль. Для расшифровки потребуется длинный двоичный ключ BitLocker Recovery Key (который, кстати, может сохраняться в учётной записи Microsoft Account; если злоумышленнику станет известен пароль от неё, то и извлечение этого ключа не составит проблемы).

Во вторую – от несанкционированного доступа к данным, если украден весь компьютер или ноутбук целиком. Стойкость защиты в этом случае зависит от таких факторов, как возможность угадать ваш пароль или извлечь из компьютера образ оперативной памяти. Так, BitLocker уязвим перед следующими векторами атак:

  1. Снятие образа оперативной памяти и поиск ключей шифрования, в том числе через порты Thunderbolt или посредством атаки cold boot attack.
  2. Перебор или извлечение пароля от вашей учётной записи Windows (извлечь пароль можно, к примеру, из облака Google account, если вы сохранили в нём пароль от учётной записи Microsoft и использовали её для входа в компьютер).
  3. Obtaining your BitLocker Recovery Key from your Microsoft Account or Active Directory.

А вот от каких-либо дистанционных или вирусных атак BitLocker не защитит: если вы сумели войти в систему, значит, содержимое зашифрованного раздела уже доступно для чтения и записи. Точно так же BitLocker не защитит и от других пользователей, которым вы разрешили доступ к компьютеру.

Дополнительная информация: BitLocker recovery guide

Ещё о шифровании: защита внешних накопителей

BitLocker – прекрасное решение для защиты системного раздела, но его роль этим не ограничивается. Если ваша редакция Windows поддерживает BitLocker, то вы сможете использовать его для шифрования других встроенных дисков, а также внешних накопителей USB (флешки, внешние жёсткие диски и т.п.)

Для шифрования внешних устройств предусмотрен режим BitLocker To Go. В отличие от защиты системного раздела, шифрование BitLocker To Go основано на пароле. Вы можете использовать любой пароль (желательно, чтобы он не совпадал ни с одним из используемых вами паролей, особенно – с паролем от учётной записи Windows). Для удобства вы сможете сделать так, что зашифрованные внешние накопители будут монтироваться на вашем компьютере автоматически (без запроса пароля). С одной стороны, это несколько снижает безопасность, когда у злоумышленника есть доступ не только к зашифрованному накопителю, но и к вашему компьютеру. С другой – если речь о зашифрованной флешке, которую вы потеряли в поездке, то данным ничего не угрожает (если пароль стойкий и неизвестен злоумышленнику).

  • Доступность:
    • Создание зашифрованного накопителя: Windows 10 Professional и выше
    • Доступ к уже зашифрованным накопителям: любые редакции Windows 10 без каких-либо ограничений
  • Защита от физического доступа к устройству, извлечённому из компьютера: зависит от стойкости выбранного пароля
  • Защита от физического доступа к самому компьютеру: аналогично предыдущему разделу
  • Другие локальные пользователи компьютера: зависит от того, было ли смонтировано устройство
  • Зловредное ПО, вирусы-шифровальщики: зависит от того, было ли смонтировано устройство (отсутствует, если устройство подключено и смонтировано)
  • Дистанционный взлом: зависит от того, было ли смонтировано устройство (отсутствует, если устройство подключено и смонтировано)
  • Сценарии использования: защита данных на внешних накопителях в случае кражи или потери; мгновенное уничтожение доступа к данным при продаже устройства или отправке в ремонт.

В отличие от защиты системного раздела, BitLocker To Go does не поддерживает многофакторную аутентификацию (TPM+PIN и подобные схемы). Соответственно, модуль TPM не может быть использован для дополнительной защиты.

Шифрование сторонними утилитами

Если ваша редакция Windows не поддерживает BitLocker, вы можете воспользоваться одной из альтернативных утилит. В частности, высочайший уровень защиты обеспечивает бесплатная утилита с открытым исходным кодом VeraCrypt.

  • Доступность: все версии Windows 10 (а также более старые ОС)
  • Защита от физического доступа к устройству, извлечённому из компьютера: высокая; зависит от стойкости выбранного пароля
  • Защита от физического доступа к самому компьютеру: так же или выше, чем у BitLocker (зависит от настроек)
  • Другие локальные пользователи компьютера: зависит от того, было ли смонтировано устройство
  • Зловредное ПО, вирусы-шифровальщики: зависит от того, было ли смонтировано устройство (отсутствует, если устройство подключено и смонтировано)
  • Дистанционный взлом: зависит от того, было ли смонтировано устройство (отсутствует, если устройство подключено и смонтировано)
  • Сценарии использования: защита данных в случае извлечения накопителя; мгновенное уничтожение доступа к данным при продаже накопителя или отправке в ремонт.

Правильно настроить VeraCrypt сложнее, чем BitLocker, а обсуждение этих настроек выходит далеко за рамки данной статьи. Я подробно описал особенности защиты VeraCrypt в статье

Как укрепить «Веру». Делаем шифрованные контейнеры VeraCrypt неприступными, опубликованной в журнале «Хакер».

Шифрование средствами файловой системы (EFS)

Согласно Википедии, Encrypting File System (EFS) — система шифрования на уровне файлов, предоставляющая возможность «прозрачного шифрования» данных, хранящихся на разделах с файловой системой NTFS, для защиты потенциально конфиденциальных данных от несанкционированного доступа при физическом доступе к компьютеру и дискам.

Описание сколь точное, столь и бесполезное, не объясняющее того, для кого, а главное – в каких ситуациях предназначена EFS, а также от каких именно угроз она способна уберечь.

  • Доступность: все версии Windows 10 (а также более старые ОС), за исключением редакции Home
  • Защита от физического доступа к устройству, извлечённому из компьютера: высокая; зависит от стойкости пароля к учётной записи Windows
  • Защита от физического доступа к самому компьютеру: аналогично предыдущему
  • Другие локальные пользователи компьютера: эффективная защита
  • Зловредное ПО, вирусы-шифровальщики: данные других пользователей компьютера защищены от извлечения, но не от уничтожения или шифрования; данные текущего пользователя не защищены
  • Дистанционный взлом: аналогично предыдущему
  • Сценарии использования: защита данных в случае, когда компьютером пользуется несколько человек; защита от кражи информации, если взломана одна из других учётных записей на том же физическом компьютере; эффективный дополнительный уровень защиты от физического доступа, если используется шифрование системного раздела BitLocker.

Как видно из приведённой выше таблицы, шифрование файлов средствами EFS максимально эффективно для защиты файлов и документов между разными пользователями одного и того же компьютера. Даже если у одного из пользователей компьютера есть административные привилегии, он не сможет прочитать зашифрованные данные, даже если сбросит пароль другого пользователя. Впрочем, удалить или зашифровать защищённые EFS файлы ему удастся.

В чём разница между EFS и BitLocker, и какую из этих технологий имеет смысл использовать?

BitLocker защищает целый раздел. Если вашим компьютером пользуется (имеет учётные записи) несколько человек, каждый из них сможет получить доступ к данным. Если один из пользователей имеет административные привилегии, он сможет прочитать любые файлы любого другого пользователя.

EFS защитит только те папки и файлы, для которых пользователь указал соответствующий атрибут. В то же время прочитать зашифрованные файлы сможет только сам пользователь (или тот, кому известен его пароль); другие пользователи, даже администраторы, прочитать зашифрованные файлы не смогут.

В случае кражи устройства или извлечения диска первой линией обороны становится BitLocker. Если злоумышленнику удастся преодолеть этот рубеж, ему придётся взламывать ещё и шифрование EFS. В то же время рассчитывать исключительно на EFS (без BitLocker) в качестве защиты от физического доступа не стоит: BitLocker предлагает защиту длинным и стойким аппаратным ключом (конфигурация TPM/Intel PTT), в то время как файлы, зашифрованные EFS, защищены лишь паролем от учётной записи.

Как включить шифрование EFS? Проще простого. Выберите файл или папку, которую хотите защитить, и кликните по ней правой кнопкой мыши. В меню выберите Properties, затем Advanced во вкладке General. В Advanced Attributes выберите опцию Encrypt contents to secure data и кликните OK.

На том – всё: Windows зашифрует файлы в фоновом режиме.

У использования EFS есть один недостаток. Если вы забудете пароль от учётной записи или вам придётся его сбросить, вы потеряете доступ к зашифрованным файлам. Для восстановления доступа рекомендуем воспользоваться утилитой Elcomsoft Advanced EFS Data Recovery, для работы которой вам потребуется указать тот пароль от учётной записи, который использовался до сброса.

Обратите внимание: менять пароль от учётной записи штатным образом (через соответствующий диалог в Windows) вы можете без ограничений; система автоматически и моментально перешифрует все необходимые ключи.

Защита важных документов

Итак, два слоя защиты мы уже рассмотрели: это шифрование загрузочного раздела посредством BitLocker и шифрование папок с файлами или отдельных файлов средствами EFS. Эти уровни отлично защитят от ряда угроз, но совершенно не справятся с другими. И BitLocker, и EFS оказываются бессильными, если на ваш компьютер производится дистанционная атака, устанавливается зловредное программное обеспечение или троян-шифровальщик. Это нормально: описанные выше технологии и не предназначены для защиты от такого рода угроз.

Защититься от кражи конфиденциальной информации как на вашем компьютере, так и в момент пересылки поможет шифрование самих документов средствами Microsoft Office.

Шифрование отдельных документов – важная часть многоуровневой стратегии безопасность. Шифрование не защитит документы от удаления зловредным ПО или перешифровки трояном-вымогателем. Однако доступа к информации, которая содержится в зашифрованных документах, ни вирус, ни троян-шифровальщик, ни хакер не получат. Разумеется, лишь в том случае, если для защиты вы использовали стойкий, а главное – уникальный пароль, который не сохранялся, не пересылался и не использовался где-либо ещё. (Если вы отправили пароль по почте или через программу мгновенного обмена сообщениями – забудьте всё, что было написано выше: никакой защиты более нет до тех пор, пока вы не сохраните документ с новым паролем.)

  • Доступность: все версии Microsoft Office
  • Степень защиты: сильная зависимость как от пароля, так и от версии Microsoft Office и формата файла, в котором сохранён документ. Максимальная степень защиты с современными (Office 2013 и более новыми) версиями Office при использовании форматов .DOCX, .XLSX и т.д. (в отличие от старых форматов .DOC, .XLS, степень защиты которых низкая).
  • Защита от физического доступа к устройству, извлечённому из компьютера: аналогично предыдущему
  • Защита от физического доступа к самому компьютеру: аналогично предыдущему
  • Другие локальные пользователи компьютера: аналогично предыдущему
  • Зловредное ПО, вирусы-шифровальщики: содержимое документов защищено от несанкционированного доступа, но не от уничтожения или шифрования
  • Дистанционный взлом: аналогично предыдущему
  • Сценарии использования: защита важных данных, которые хранятся в таблицах и документах Microsoft Office; защита данных не только на компьютере пользователя, но и во время пересылки.
  • Как включить шифрование: Защита документов паролем

Что выбрать между шифрованием EFS и защитой документов паролем? Эти виды защиты покрывают разные сценарии использования. EFS – совершенно прозрачная защита всей папки с документами. Стоит вам войти в систему, и вы сможете пользоваться любыми защищёнными документами без ввода дополнительных паролей. Стоит злоумышленнику узнать пароль от вашей учётной записи Windows, и он сможет получить доступ ко всем защищённым EFS файлам.

В то же время шифрование средствами Microsoft Office потребует от вас сознательных усилий. Вам придётся вводить пароль каждый раз при открытии документа. Однако защищённые таким образом документы злоумышленнику потребуется взламывать по одному, а степень защиты у Microsoft Office может быть очень высокой.

Особенности шифрования документов

Шифрование документов в Microsoft Office имеет ряд особенностей, полное описание которых выходит за рамки данной статьи. Однако коротко перечислить все пункты необходимо во избежание ошибок.

  1. Стойкость защиты зависит от версии Microsoft Office, которая сохранила документ или таблицу. Полный обзор безопасности шифрования в разных версиях офисных приложений приводится в статье Microsoft Office encryption evolution: from Office 97 to Office 2019. В целом же использование относительно свежей (всего восьмилетней давности) пакета Office 2013 (и, разумеется, любых более новых версий) отлично обезопасит ваши документы.
  2. Не менее важен и формат файла, в котором вы будете сохранять документ. Даже сегодня, в 2020 году, нам часто присылают документы в устаревших форматах .DOC/.XLS (с точки зрения отправителя – «совместимых»; вероятно, нас подозревают в пользовании программ 17-летней давности). Проблема с этими форматами в том, что их безопасность заморожена на уровне 17-летней давности; взломать их защиту не составит большого труда. Если вы до сих пор сохраняете документы в «режиме совместимости» — откажитесь от этой практики и перейдите на «новый», 13-летней давности формат .DOCX/.XLSX.
  3. Степень защиты зависит от стойкости и уникальности пароля. Если вы используете один и тот же пароль для защиты как документов, так и чего-то другого, взломав «что-то другое», злоумышленник получит доступ и к вашим зашифрованным документам.
  4. Если вы хотя бы раз переслали пароль по email или через программу мгновенного обмена сообщениями, считайте и этот пароль, и переданный документ скомпрометированными. Взлом почтового ящика, вашего компьютера или удалённого сервера позволят злоумышленнику получить доступ к зашифрованной информации.

Защита архивов и резервных копий

О том, что резервные копии делать необходимо, говорят все. О том, что их необходимо защищать, обычно не говорят совсем. Подумайте о том, что резервная копия содержит все те файлы и всю ту информацию, которую вы хотели бы защитить на компьютере, но готовы сохранить в виде обычного, незашифрованного файла.

При создании резервных копий используйте следующие рекомендации.

  1. Сохраняйте резервные копии на устройствах (встроенных или внешних накопителях), защищённых BitLocker. Напомню, что никаких дополнительных неудобств это не несёт: вы можете настроить защиту BitLocker таким образом, чтобы Windows автоматически монтировала накопитель, если вы вошли в систему. Использование BitLocker защитит ваши резервные копии даже если программа резервного копирования не поддерживает шифрования. Обратите внимание: если вам придётся восстанавливать систему из образа резервной копии, Windows 10 корректно смонтирует защищённый BitLocker накопитель. Для монтирования внешних устройств (BitLocker To Go) вам потребуется только пароль, а для доступа к встроенным дискам – длинный двоичный BitLocker Recovery Key (обычно Windows предлагает сохранить его в учётной записи Windows Account при создании зашифрованного тома).
  2. Если вы используете для создания резервных копий программу, которая поддерживает шифрование – задайте пароль и используйте шифрование. Обратите внимание: утилита, вероятно, сохранит ваш пароль в системе (чтобы не запрашивать пароль каждый раз при создании резервной копии). Не используйте этот пароль повторно для защиты других типов данных.

Одним из распространённых инструментов частичного резервного копирования являются привычные всем утилиты-архиваторы: WinZip, 7Zip, WinRar и подобные. Все эти утилиты предлагают возможность шифрования содержимого резервных копий паролем. Стойкость шифрования у разных утилит различается, но общий уровень защиты достаточно высок. Использование стойкого, уникального пароля, составленного как минимум из 8 символов (желательно использовать буквы, цифры и специальные символы и не использовать слова из словаря) защитит архив в достаточной мере. Если же вы разместите архивы на накопителе, зашифрованном посредством BitLocker, то данные будут надёжно защищены.

Обратите внимание: стойкость шифрования архивов ZIP/7Z/RAR существенно ниже, чем стойкость BitLocker или документов Office 2013 (и более новых). Не используйте один и тот же пароль для шифрования архивов и других типов данных.

Дополнительная информация:

Безопасность в облаке: личное хранилище OneDrive Personal Vault

Хранение документов в облаке OneDrive – отличный вариант резервного копирования и синхронизации данных. Безопасность приватных данных в облаке можно обеспечить шифрованием отдельных документов. Однако OneDrive предлагает и ещё один, дополнительный уровень безопасности: Личное хранилище OneDrive.

Что такое «личное хранилище OneDrive»? На сайте Microsoft даётся предельно косноязычное описание: «Личное хранилище в OneDrive защищено проверкой личности, чтобы вы могли хранить свои самые конфиденциальные файлы в облаке, не теряя удобства повсеместного доступа.»

Думаю, стоит пояснить. Личное хранилище – это ещё одна, особая папка в OneDrive, доступ к которой дополнительно защищён. Что значит «дополнительно защищён»? Чтобы зайти в эту папку, потребуется ввести пароль и пройти проверку двухфакторной аутентификации (например, подтвердив push-уведомление в приложении Microsoft Authenticator, установленном на вашем смартфоне). Да, это необходимо будет делать каждый раз, когда вы захотите получить доступ к папке «личного хранилища»: доступ к папке автоматически блокируется спустя короткое время (порядка 15 минут) после того, как вы перестанете ей пользоваться. Однако огромный плюс этого решения в том, что никто другой (ни дистанционный взломщик, ни сетевой пользователь, ни троян-шифровальщик, ни даже злоумышленник, укравший ваш пароль от Windows) не сможет получить доступ к файлам, которые хранятся в папке «личного хранилища».

В то же время дополнительная проверка – это дополнительное неудобство; защищать таким образом все документы вы вряд ли захотите. «Личное хранилище OneDrive» — прекрасный дополнительный уровень защиты для документов, которым такая защита необходима. Примеры таких данных – секретные QR-коды для инициализации двухфакторной аутентификации, ключи восстановления доступа к зашифрованным дискам BitLocker и подобные вещи.

Насколько серьёзна защита «личного хранилища» и как сильно она повышает безопасность? Решение OneDrive Personal Vault появилось совсем недавно; независимых исследований его безопасности не проводилось. Мы будем внимательно следить за состоянием дел в этой области и опубликуем статью, как только нам станет известно больше.

  • Доступность: все редакции Windows с последней версией приложения OneDrive
  • Защита от физического доступа к устройству, извлечённому из компьютера: не тестировалось
  • Защита от физического доступа к самому компьютеру: не тестировалось
  • Другие локальные пользователи компьютера: эффективная защита
  • Зловредное ПО, вирусы-шифровальщики: не тестировалось
  • Дистанционный взлом: эффективная защита
  • Сценарии использования: защита особо важных, но редко используемых данных (ключи восстановления доступа к зашифрованным дискам, коды инициализации приложений двухфакторной аутентификации и т.п.)

Наша рекомендация: если вы храните в облаке OneDrive такие вещи, как ключи восстановления доступа или списки паролей в таблице, переместите их в «личное хранилище». Оно обеспечит эффективный дополнительный уровень безопасности против целого ряда угроз.

Защита от шифровальщиков-вымогателей

В последнем разделе статьи я хочу рассказать об одном из максимально эффективных способов защиты от вирусов-шифровальщиков.

Что такое шифровальщик? Этим термином (другие названия – вирус-вымогатель, ransomware) обозначают класс зловредного программного обеспечения, который, проникнув на компьютер, зашифровывает данные пользователя собственным ключом. После того, как данные будут зашифрованы, программа блокирует работу компьютера или выводит окно, в котором от пользователя требуют заплатить выкуп. Как правило, вымогатели требуют немедленно перевести сумму в криптовалюте, угрожая удвоить сумму спустя сутки, а через два дня – полностью уничтожить данные. Программы-вымогатели несут серьёзный риск для домашних пользователей и представляют проблему как для частных компаний, так и для государственных учреждений. Вирусы-вымогатели уже использовались злоумышленниками для того, чтобы вывести из строя госпитали и образовательные учреждения.

Защититься от вирусов-вымогателей достаточно сложно. Классическая антивирусная защита способна определить и справиться с уже существующими угрозами, но не дают гарантии эффективной защиты против новых поколений зловредного ПО. Производители операционных систем (пока – только Microsoft) и облачных сервисов (пока – тоже только Microsoft) начали добавлять дополнительные уровни обороны, нацеленные именно на защиту от вымогателей-шифровальщиков.

Первый уровень защиты – встроенный в Windows 10 режим управляемого доступа к папкам. Управляемый доступ к папкам позволяет защитить ценные данные от вредоносных приложений и угроз; в частности – от вирусов-шифровальщиков. По утверждению компании, эта технология позволяет эффективно защитить систему не только от известных уязвимостей, но также от неизвестных, то есть 0day.

Включить управляемый доступ к папкам можно следующим образом:

Подробнее об этом режиме можно узнать по ссылкам:

Управляемый доступ к папкам обладает следующими свойствами.

  • Доступность: все редакции Windows 10 Fall Creators Update и более новые
  • Защита от физического доступа к устройству, извлечённому из компьютера: нет
  • Защита от физического доступа к самому компьютеру: нет
  • Другие локальные пользователи компьютера: нет
  • Зловредное ПО, вирусы-шифровальщики: достаточно эффективна в качестве первого (но не единственного) уровня защиты
  • Дистанционный взлом: нет
  • Сценарии использования: защита отдельных папок (документы, фотографии, другие данные пользователя) от вирусов-шифровальщиков, троянов и других видов зловредного ПО

Рекомендуем обязательно включить режим управляемого доступа для защиты папок с документами, фотографиями и другими важными данными.

Второй уровень защиты от вымогателей: восстановление файлов

Борьба с вымогателями ведётся с переменным успехом. Даже использование управляемого доступа к папкам не даст абсолютной гарантии защиты. Что делать, если вирусу-вымогателю всё же удалось проникнуть на ваш компьютер и зашифровать папку с документами? Разумеется, пользователи, которые в прошлом уже подвергались атакам, создают резервные копии. Однако у подавляющего большинства пользователей резервных копий или нет совсем, или они утратили актуальность. Как раз для таких пользователей и предназначена защита от вымогателей, предоставляемая компанией пользователям облачного хранилища OneDrive в рамках подписки на пакет Microsoft Office 365.

Защита файлов в OneDrive от вымогателей-шифровальщиков включается и работает полностью автоматически у всех подписчиков Office 365; от вас не требуется никаких действий. Если зловредное ПО удалит или зашифрует файлы, синхронизированные с облаком OneDrive, система уведомит об этом пользователя и предложит откатить изменения, восстановив таким образом уничтоженные или зашифрованные данные.

  • Доступность: подписчикам Office 365, использующим OneDrive
  • Защита от физического доступа к устройству, извлечённому из компьютера: нет
  • Защита от физического доступа к самому компьютеру: нет
  • Другие локальные пользователи компьютера: нет
  • Зловредное ПО, вирусы-шифровальщики: чрезвычайно эффективна в качестве пассивной защиты и своеобразной страховки, позволяя восстановить оригинальные версии файлов уже после того, как их удалит или уничтожит зловредное ПО
  • Дистанционный взлом: нет
  • Эффективность защиты: чрезвычайно эффективна
  • Сценарии использования: защита облачных данных (любые данные, которые синхронизируются с OneDrive) и возможность восстановления оригинальных файлов после работы вирусов-шифровальщиков, троянов и других видов зловредного ПО

Если вы – пользователь Dropbox, то ваши файлы защищены системой Dropbox Rewind, которая работает похожим образом. Для её использования вы должны быть подписчиком уровня Plus или Professional.

«Холодные» резервные копии

Если вы относитесь к той немногочисленной категории пользователей, которая всё-таки создаёт резервные копии, обратите внимание на то, каким именно образом вы храните копии данных. Стандартной практикой является регулярное создание так называемых «горячих» резервных копий (инкрементные копии с системой версий, позволяющие восстановить одну из предыдущих версий файла; создаются автоматически по расписанию, сохраняются на всегда доступное подключённое устройство). В то же время рекомендуется периодическое создание полных резервных копий данных, которые постоянно хранятся на физически отключённом устройстве – например, портативном жёстком диске. Хранение «холодной» резервной копии на обесточенном, не подключённом к компьютеру накопителе позволит уберечься от любых угроз, связанных со взломом вашего компьютера.

Дополнительно:

  • Использование истории файлов для резервного копирования и восстановления в Windows 10 (Microsoft)

Заключение

В одной статье невозможно подробно описать все угрозы и способы защиты. На рынке присутствуют специализированные пакеты, разработчики которых обещают эффективную защиту от одного или нескольких типов угроз. К сожалению, использование даже самого лучшего пакета программ не заменит необходимости следовать правилам элементарной цифровой гигиены – тем самым правилам, которые и были изложены в этой статье.

В устройствах Apple, работающих под управлением операционной системы iOS (а это – и смартфоны iPhone, и планшеты iPad, и даже приставки Apple TV и часы Apple Watch) встроен ряд специальных режимов, представляющих особый интерес для специалистов, работающих в области мобильной криминалистики. Использование таких режимов, как режим восстановления (recovery mode) и режим обновления прошивки (DFU) позволяет как извлекать информацию, так и взламывать некоторые устройства. Специальный режим экстренного вызова SOS, напротив, способен затруднить работу специалиста. Сегодня мы расскажем о том, как работают, для чего используются и как могут повлиять на работу специалиста режимы обновления прошивки, восстановления и экстренного вызова.

Режим восстановления: recovery mode

Режим восстановления (в англоязычных источниках – iOS recovery mode) – самый простой для понимания. Согласно информации Apple, этот режим используется для восстановления доступа к устройству через компьютер (имеется в виду приложение iTunes) в случае, когда что-то пошло не так.

Данный режим имеет смысл использовать в следующих ситуациях:

  • Компьютер не распознает устройство или сообщает, что оно находится в режиме восстановления.
  • Устройство не загружается. На экране уже несколько минут отображается логотип Apple без индикатора хода выполнения или отображается экран режима восстановления. Такая ситуация довольно часто встречается при попытке обновить устройство при недостатке свободного места или при обновлении устройства, работающего на очень старой версии iOS. Так, недавно нам принесли устройство, пользователь которого попытался обновить на актуальную версию iOS3 телефон iPhone 7, всё это время проработавший на iOS 9.
  • Пользователь забыл код блокировки и хочет сбросить устройство к заводским настройкам. При этом будет активирована защита в виде iCloud lock: для активации устройства потребуется ввести пароль от учётной записи Apple ID, к которой было привязано устройство перед сбросом.

Перевод устройства в режим восстановления

В отличие от режима DFU, режим восстановления отлично документирован. Для перевода устройства в этот режим необходимо выполнить принудительную перезагрузку, после чего выполнить следующие действия.

  1. Принудительно перезагрузите подключенное устройство, следуя инструкциям. Не отпускайте кнопки, когда появится логотип Apple, — дождитесь, пока откроется экран режима восстановления.
  2. На моделях iPad с Face ID: нажмите и быстро отпустите кнопку увеличения громкости. Нажмите и быстро отпустите кнопку уменьшения громкости. Нажмите верхнюю кнопку и удерживайте ее, пока устройство не начнет перезагружаться. Продолжайте удерживать верхнюю кнопку, пока устройство не перейдет в режим восстановления.
  3. На iPhone 8 или более поздних моделей: нажмите и быстро отпустите кнопку увеличения громкости. Нажмите и быстро отпустите кнопку уменьшения громкости. Затем нажмите и удерживайте боковую кнопку, пока не появится экран режима восстановления.
  4. На iPhone 7, iPhone 7 Plus и iPod touch (7-го поколения): одновременно нажмите и удерживайте верхнюю (или боковую) кнопку и кнопку уменьшения громкости. Продолжайте удерживать их, пока не появится экран режима восстановления.
  5. На iPad с кнопкой «Домой», iPhone 6s или более ранних моделей и iPod touch (6-го поколения) или более ранних моделей: нажмите и удерживайте одновременно кнопку «Домой» и верхнюю (или боковую) кнопку. Продолжайте удерживать их, пока не откроется экран режима восстановления.

 

(Источник: https://support.apple.com/ru-ru/HT201263)

Для чего используется режим восстановления

Режим восстановления (recovery mode) может быть использован в следующих целях.

  1. Переустановка или обновление iOS (установить можно только актуальную версию iOS, которая подписывается Apple на момент установки). Как правило, данные пользователя при этом сохраняются.
  2. Переход с бета-версии на актуальную версию iOS. В этом случае данные сохраняются не всегда.
  3. Сброс устройства. Часто используется пользователями, которые забыли пароль, а также пользователями, устройство которых заблокировано с индикацией «Подключите устройство к iTunes». Данные пользователя также будут сброшены.
  4. Частичное извлечение данных через режим recovery mode. Для работу потребуется свежая версия iOS Forensic Toolkit (EIFT10 или более новая).

Данные, которые можно извлечь в режиме восстановления

Режим восстановления позволяет извлечь лишь ограниченное количество информации об устройстве. Доступны следующие данные:

Device Model: iPhone8,1
Model: n71map
ECID: XXXXXXXXXXXXXXXX
Serial Number: XXXXXXXXXXX
IMEI: XXXXXXXXXXXXXXX
MODE: Recovery

Пояснения:

  • Device model и Model: идентификация модели устройства в двух разных представлениях. К примеру, iPhone7,2 (n61ap), iPhone10,6 (d221ap) и т.п.
  • ECID (UCID): XXXXXXXXXXXXXXXX. Идентификатор ECID (Exclusive Chip Identification) или Unique Chip ID (UCID) уникален для каждого конкретного устройства (а точнее, установленного в нём процессора).
  • Serialnumber: серийный номер устройства в формате XXXXXXXXXXX (или N/A)
  • IMEI: XXXXXXXXXXXXXXX (или N/A). Обратите внимание: как правило, информация об IMEI устройства системой не выдаётся даже тогда, когда в него вставлена SIM-карта.
  • Mode: индикация режима, в данном случае – Recovery, режим восстановления.

Выход из режима восстановления

Процедура вывода устройства из режима восстановления также различается для разных поколений устройств. Общие для всех устройств шаги:

  • Отсоедините кабель USB.
  • Зажмите и удерживайте кнопку питания до отключения устройства.
  • Чтобы включить устройство, продолжайте удерживать комбинацию кнопок или отпустите, а потом снова зажмите указанные кнопки.
  • Отпустите кнопки. Устройство начнёт загружаться.

В случае, если штатным образом вывести устройство из режима восстановления не удаётся, воспользуйтесь следующей процедурой.

  • iPhone 6s и более старые модели, модели iPad с Touch ID: зажмите и удерживайте кнопки «Домой» и кнопку выключения питания, пока устройство не перезагрузится.
  • iPhone 7 и iPhone 7 Plus: удерживайте кнопку выключения питания и уменьшения громкости до перезагрузки.
  • iPhone 8 и более новые: короткое нажатие Громкость+, короткое нажатие Громкость-, затем удерживать кнопку отключения питания до перезагрузки.

Использование режима восстановление в целях мобильной криминалистики

С точки зрения эксперта-криминалиста, режим восстановления обладает ограниченной ценностью.

  • Можно узнать информацию об устройстве, не зная пароля.
  • Режим блокировки USB не влияет на результат.
  • Для новых устройств, основанных на процессоре A12 и более новых, возвращает больше информации, чем режим DFU.

Интересный момент: при установке джейлбрейка checkra1n с использованием встроенной утилиты установки программа сначала переводит устройство в режим восстановления, а потом выдаёт инструкции для переключения устройства в режим DFU. Этот промежуточный шаг можно пропустить, если устанавливать checkra1n из командной строки.

Режим обновления прошивки DFU

В отличие от режима восстановления, для режима обновления прошивки DFU отсутствует какая-либо официальная документация. Последовательность шагов для перевода устройства в режим DFU отличается для устройств разных поколений, а сам процесс значительно сложнее. Для успешного перехода в этот режим требуется в точности выдерживать заданные задержки. Если недодержать или передержать кнопки в процессе выполнения инструкций, устройство просто перезагрузится.

Режим DFU – часть загрузочного процесса, которая прошита в устройства Apple на аппаратном уровне. Прошивка на аппаратном уровне не позволяет компании обновлять соответствующий код. Уязвимость, обнаруженная в устройствах, основанных на процессорах поколений A7 — A11, позволяет взломать устройство и извлечь часть данных даже тогда, когда код блокировки устройства неизвестен. Подробности в статье BFU Extraction: Forensic Analysis of Locked and Disabled iPhones.

Ниже приводится информация о переводе в режим DFU ряда устройств, для которых нам удалось найти соответствующие инструкции. Обратите внимание: в режиме DFU экран устройства останется чёрным; никакого визуального подтверждения перехода в режим DFU вы не увидите. Ресурс iPhone Wiki содержит актуальную информацию по переводу устройств в режим DFU.

Apple TV

  1. Подключите устройство к компьютеру кабелем USB.
  2. Принудительно перезагрузите устройство, зажав кнопки «меню» и «вниз» на 6-7 секунд.
  3. Зажмите кнопки «меню» и «проигрывание» сразу после перезагрузки. Продолжайте удерживать кнопки, пока в iTunes не появится сообщение о том, что обнаружено устройство Apple TV в режиме восстановления.

Устройства с процессорами A9 и более старые (ряд моделей iPad, iPhone 6s и более старые, iPhone SE и iPod touch 6 и более старые)

  1. Подключите устройство к компьютеру кабелем USB.
  2. Зажмите кнопки «Домой» и питания.
  3. Ровно через 8 секунд отпустите кнопку питания, продолжая удерживать кнопку «Домой».
    • Если на экране появилось «яблоко» Apple, вы удерживали кнопку питания слишком долго. Повторите попытку.
  4. При успешном входе в режим DFU экран остаётся чёрным. В iTunes отобразится сообщение о том, что обнаружено устройство в режиме восстановления.
    • Если экран устройства не чёрный, вероятно, устройство загружено в режиме восстановления, а не DFU. Повторите попытку.

Альтернативный способ 1:

  1. Удерживайте кнопку питания 3 секунды
  2. Продолжая удерживать кнопку питания, удерживайте кнопку «Домой» (15 сек)
  3. Отпустите кнопку питания. Продолжайте удерживать кнопку «Домой» (10 сек)
  4. Устройство должно перейти в режим DFU

Альтернативный способ 2:

  1. Подключите устройство к компьютеру и запустите iTunes. Выключите устройство.
  2. Удерживайте нажатой кнопку блокировки и кнопку «Домой» ровно 10 секунд, затем отпустите кнопку блокировки.
  3. Продолжайте удерживать кнопку «Домой», пока iTunes на вашем компьютере не покажет сообщение о том, что устройство в режиме восстановления было обнаружено.

Экран устройства останется полностью черным.

Устройства с процессором A10 devices (iPhone 7 и iPhone 7 Plus, iPad 2018, iPod touch 7)

  1. Подключите устройство к компьютеру с помощью USB-кабеля.
  2. Нажмите и удерживайте боковую кнопку и кнопку уменьшения громкости.
  3. Через 8 секунд отпустите боковую кнопку, продолжая удерживать нажатой кнопку уменьшения громкости.
  4. Если появляется логотип Apple, боковая кнопка удерживалась слишком долго.
    • Если устройство успешно перешло в режим DFU, экран остаётся чёрным. iTunes выведет сообщение, что обнаружено устройство в режиме восстановления.

Если на экране устройства отображается сообщение о подключении устройства к iTunes, повторите процедуру.

Устройства с процессором A11 и более новые (iPhone 8 и новее, iPad Pro 2018, iPad Air 2019, iPad Mini 2019)

  1. Подключите устройство к компьютеру с помощью USB-кабеля.
  2. Нажмите и сразу отпустите увеличения громкости.
  3. Нажмите и сразу отпустите кнопку уменьшения громкости.
  4. Удерживайте боковую кнопку, пока экран не станет черным, затем нажмите боковую кнопку и кнопку уменьшения громкости одновременно.
  5. Ровно через 5 секунд отпустите боковую кнопку, продолжая удерживать нажатой кнопку уменьшения громкости.
    • Если появляется логотип Apple, боковая кнопка удерживалась слишком долго. Повторите процедуру.

Если устройство успешно перешло в режим DFU, экран остаётся чёрным. iTunes выдаст сообщение, что обнаружено устройство в режиме восстановления.

Если на вашем устройстве отображается экран с сообщением о подключении устройства к iTunes, повторите процедуру.

Дополнительная информация: iphonewiki и другие источники.

Информация, доступная в режиме DFU

Если не учитывать джейлбрейк checkra1n, то режим DFU возвращает ещё меньше информации даже в сравнении с режимом восстановления.

Device Model: iPhone8,1
Model: n71map
ECID: XXXXXXXXXXXXXXXX
Serial Number: N/A
IMEI: N/A
MODE: DFU

Режим DFU поддерживает iOS Forensic Toolkit 4.10 и более новые версии.

  • Devicemodel и Model: идентификация модели устройства в двух разных представлениях. К примеру, iPhone7,2 (n61ap), iPhone10,6 (d221ap) и т.п.
  • ECID (UCID): XXXXXXXXXXXXXXXX. Идентификатор ECID (Exclusive Chip Identification) или Unique Chip ID (UCID) уникален для каждого конкретного устройства (а точнее, установленного в нём процессора).
  • Serialnumber: в режиме DFU недоступен.
  • IMEI: в режиме DFU недоступен.
  • Mode: индикация режима, в данном случае – DFU, режим обновления прошивки.

Выход из режима DFU

Процесс выхода из режима DFU также различен для разных устройств.

Для устройств с физической кнопкой «Домой» (вплоть до iPhone 6s и iPhone SE включительно): удерживайте кнопку «Домой» и кнопку блокировки до перезагрузки устройства.

Для iPhone 7 и iPhone 7 Plus: удерживайте боковую кнопку и кнопку уменьшения громкости, пока устройство не перезагрузится.

Для iPhone 8 и iPhone 8 Plus, iPhone X: нажмите кнопку увеличения громкости, затем кнопку уменьшения громкости, после чего нажмите и удерживайте боковую кнопку, пока устройство не перезагрузится.

Значение режима DFU для мобильной криминалистики

Несмотря на скудность доступной в режиме DFU информации, он имеет неожиданные последствия. Значение режима обновления прошивки для мобильных криминалистов сложно переоценить. В зависимости от модели устройства, вам может быть доступен вариант с установкой джейлбрейка checkra1n даже тогда, когда пароль от устройства неизвестен. Для устройств iPhone, iPod Touch и iPad на базе процессоров Apple поколений от A5 до A11 (это устройства iPhone от iPhone 4s до iPhone 8, 8 Plus и iPhone X включительно, а также соответствующие модели iPad) была обнаружена аппаратная уязвимость в загрузчике. Эту уязвимость невозможно исправить, т.к. её код прошит в режиме «только для чтения». Уязвимость позволяет устанавливать джейлбрейк checkra1n независимо от установленной версии iOS. В своб очередь checkra1n позволяет извлекать ограниченный, но существенный объём данных в режиме DFU, даже если пароль неизвестен.

  • Все устройства: позволяет получать информацию об устройстве без пароля
  • Все устройства: позволяет обойти ограниченный режим USB (доступно ограниченное количество информации)
  • Устройства iOS с уязвимостью checkm8 (поколения от A5 до A11): доступно значительно больше информации по сравнению с режимом восстановления.

Известно, что преступники используют эту уязвимость для снятия блокировки активации (iCloud lock) с уязвимых устройств, работающих под управлением старых версий iOS. Несмотря на то, что эта возможность была исправлена Apple в iOS 13.3, вскоре появились решения как для iOS 13.3, так и для 13.3.1. Похоже на то, что защита от кражи iPhone (iCloud Lock) стала неэффективной для устройств Apple вплоть до моделей iPhone 8, 8 Plus и iPhone X включительно.

Из уязвимых устройств удаётся извлечь следующую информацию:

  • Ограниченное извлечение файловой системы: список установленных приложений, некоторые данные Wallet, список подключений Wi-Fi, некоторые мультимедийные файлы, уведомления (в них могут содержаться некоторые сообщения чатов, одноразовые пароли и другие полезные данные) и множество точек местоположения.
  • Записи из Связки ключей с атрибутами kSecAttrAccessibleAlways и kSecAttributeAccessibleAlwaysThisDeviceOnly.
  • Кроме того, набор программ Oxygen Forensic Detective извлекает дополнительные данные из таких файлов, как /private/var/wireless/Library/Databases/DataUsage.sqlite (сетевая активность приложений), /private/var/preferences/ (сетевые интерфейсы) или /private/var/mobile/Library/Voicemail/ (голосовые сообщения).

Дополнительная информация: BFU Extraction: Forensic Analysis of Locked and Disabled iPhones и iOS Device Acquisition with checkra1n Jailbreak.

Различия между режимами восстановления и DFU

Несмотря на то, что оба режима DFU и восстановления (recovery mode) предназначены для одной и той же цели (восстановления устройства посредством перепрошивки), различий между ними гораздо больше.

Режим восстановления загружается посредством загрузчика iBoot, и работает посредством команд, исполняемых загрузчик. Загрузчик, в свою очередь, является частью операционной системы и может быть обновлён компанией Apple, если последняя обнаружит в нём какие-либо уязвимости. Режим восстановления позволит прошить только подписанные образы, поэтому возврат к прошивке, которая больше не подписывается Apple, невозможен. Когда устройство находится в режиме восстановления, пользователь получает чёткую индикацию на устройстве.

Режим обновления прошивки DFU (Device Firmware Upgrade) также позволяет восстанавливать устройства, однако способен проделать это из любого состояния, даже если повреждён сам загрузчик. DFU раз и навсегда прошивается в устройство как часть SecureROM. В результате DFU не может быть обновлён; в нём невозможно исправить ошибки и уязвимости, его нельзя и отключить. В результате Apple не в состоянии исправить широко известную уязвимость в bootrom и соответствующий эксплойт checkm8. Это позволяет экспертам извлекать определённые данные из уязвимых устройств, обходя при этом защиту паролем и ограничения USB.

Впрочем, установить неподписанный образ через DFU не удастся: в этом режиме также принимаются только подписанные прошивки. Однако, в отличие от режима восстановления, вы можете свободно понижать или повышать версию iOS при условии, что выбранный вами образ подписывается Apple. Ещё одно отличие состоит в том, что при работе DFU нет никакой индикации на экране устройства. Всё время работы в DFU экран устройства остаётся чёрным.

Режим восстановления был разработан для того, чтобы им могли воспользоваться обычные пользователи продуктов Apple. Режим DFU не предназначен для конечного пользователя. Вход в режим восстановления прост; любой пользователь может успешно воспользоваться режимом. Войти в DFU не только значительно сложнее, но и потребует некоторой сноровки и внимания со стороны эксперта. Стоит передержать или недодержать кнопку во время любого шага, и устройство перезагрузится.

Режим экстренного вызова S.O.S.

Последний специальный режим iOS, о котором мы хотим рассказать, носит название SOS. Режим SOS (режим экстренного вызова) можно активировать вручную; на сайте Apple есть вся необходимая документация.

Вход в режим SOS

Для iPhone 8 и более поздних моделей переход в режим SOS выполняется следующим образом:

Нажмите и удерживайте боковую кнопку и одну из кнопок регулировки громкости до тех пор, пока не появится ползунок «Экстренный вызов — SOS».

Для iPhone 7 и более ранних моделей:

Быстро нажмите боковую (или верхнюю) кнопку пять раз. Появится ползунок «Экстренный вызов — SOS». (В Индии потребуется нажать кнопку только три раза, после чего iPhone автоматически наберёт номер служб экстренной помощи.)

Обратите внимание: переход в режим SOS временно блокирует биометрическую аутентификацию; для разблокировки экрана необходимо ввести пароль. Кроме того, использование режима SOS активирует режим ограничений USB.

Выход из режима SOS

Для выхода из режима SOS просто нажмите «Отмена» на соответствующем экране. Для разблокировки экрана необходимо будет ввести пароль.

Значение режима SOS для мобильной криминалистики

В отличие от режимов восстановления и DFU, режим способен доставить криминалистам лишь неудобства.

  • Устройство переводится в состояние BFU (Before First Unlock), ключи шифрования удаляются из памяти. Извлечение данных в режиме AFU (After First Unlock) становится невозможным даже для устройств со старыми (до 11.4 включительно) версиями iOS.
  • Биометрические способы аутентификации (Touch ID и Face ID) временно блокируются. Устройство должно быть разблокировано паролем.
  • Отключается передача данных через порт USB (активируется режим ограничения USB). Фактически, таким образом Apple пытается защитить пользователя от решений для перебора кодов блокировки, предлагаемых такими компаниями, как Cellebrite и GrayShift.

Для исследований, демонстраций и разработки нам приходится ежемесячно приобретать множество устройств с iOS. Как правило, мы стараемся брать iPhone с умеренно свежим процессором (если не требуется самая свежая версия iOS или экзотическая комбинация программного и аппаратного обеспечения). Выход джейлбрейка checkra1n, работающего на старых устройствах независимо от версии iOS, открыл дополнительные возможности, позволяя нам разобраться во внутренностях самых свежих версий iOS, работающих на старых платформах.

Старые устройства недоступны в официальном магазине Apple, зато их можно приобрести в любом из множества онлайновых магазинов. Как правило, по низкой цене предлагаются устройства, описанные как «новые, в коробке, проверка при доставке».

(далее…)

Мерцающие OLED дисплеи остались в прошлом! Сначала в смартфонах Xiaomi, а потом и в других китайских устройствах стали появляться экраны без мерцания. Более того, мерцание стали отключать и на предыдущих поколениях устройств. Насколько действительно полезна функция DC dimming и сколько здесь рекламы, что на самом деле сделали в Xiaomi и можно ли отключить мерцание на других смартфонах? Попробуем разобраться.

О вреде мерцания

Споры о вреде мерцания не стихают с тех самых пор, как дисплеи начали мерцать. «Через пять минут глаза слезятся, через полчаса краснеют», жалуется один из пользователей на форуме Samsung. «Ничего подобного, не слезятся и не краснеют!», хором отвечают ему форумчане. «На AMOLED цвета, конечно, сочнее, но зато от IPS глаза не болят», делятся наблюдением другие пользователи, и делают неожиданный вывод: «Наверное, дело в цветопередаче!»

Увы, нет: дело не в цветопередаче (а точнее – не в величине области цветового охвате), или не только в ней. Дело в том, что большинство современных экранов смартфонов, выполненных по технологии органических светодиодов OLED, мерцают на достаточно низкой частоте в 240 Гц. По статистике, мерцания на этой частоте не замечает 70% пользователей, а из тех, кто замечает – большинство не обращает внимания. В то же время нагрузка на глаз одинакова у всех; будут ли болеть глаза у конкретного пользователя, который смотрит на мерцающий экран, зависит не от того, замечает ли он мерцание (это физиологическое свойство не глаз, а мозга, обрабатывающего поступающую от глазного нерва картинку), а от здоровья глаз пользователя и оставшегося «запаса прочности» по зрению.

В этой статье мы расскажем не только о том, как избавиться от мерцания в смартфонах iPhone 11 Pro и Pro Max, Xiaomi Mi 9, Google Pixel 4/4 XL и других устройствах с Android. Мы также расскажем о том, как обойти установленное Google ограничение, связанное с новыми экранами, установленными в Google Pixel 4 и 4 XL. Эти экраны реализуют более плавное обновление картинки с частотой 90 Гц вместо привычных 60 – но только на яркости в 75% или выше. (далее…)

Связка ключей – один из основных компонентов безопасности macOS, iOS и её производных iPadOS, watchOS и tvOS. В экосистеме Apple Связка ключей (Keychain) выполняет роль безопасного хранилища для логинов и паролей пользователя, номеров кредитных карт, ключей шифрования и прочей информации, которая должна храниться с максимальным уровнем безопасности. В Связке ключей хранятся и маркеры аутентификации, позволяющие как системным, так и сторонним приложениям авторизоваться для доступа к учётным записям.

Среди доступных в Связке ключей записей – пароли к веб-сайтам и онлайновым сервисам, различным учётным записям (включая учётную запись Apple ID), пароли к почтовым клиентам и многое другое. Часть данных (например, пароли Wi-Fi) доступна любому пользователю и любому приложению системы, в то время как другие пароли доступны только тем приложениям, в которых они были созданы.

В iOS 12 появился механизм, позволяющий разработчикам использовать автоматическое заполнение паролей. Этот механизм позволяет пользователю использовать пароли из Safari в том числе и для авторизации в сторонних приложениях. Важная особенность данного механизма в том, что пароли не доступны сторонним приложениям напрямую. Пользователю необходимо самостоятельно выбрать нужную запись в системном диалоге, и система самостоятельно заполнит поля ввода в приложении выбранными данными.

Если удастся получить доступ к Связке ключей пользователя, то можно получить доступ к соответствующим ресурсам и учётным записям, профилям социальных сетей и истории переписки в программах мгновенного обмена сообщениями. В этой статье мы расскажем обо всех известных нам способах узнать содержимое Связки ключей.

(далее…)

Код-пароль Экранного времени – своеобразный дополнительный уровень защиты в iOS. Установка пароля Экранного времени позволяет защитить доступ к настройкам ограничений (к примеру, максимальное время использования устройства или отдельных приложений, установки или удаления приложений, изменения учётной записи и других). Помимо основной функции пароль Экранного времени обладает важным свойством: при его установке система запросит не только код блокировки экрана, но и пароль экранного времени при попытке сбросить пароль к локальной резервной копии. В свою очередь локальная резервная копия является важнейшим элементом логического анализа устройств с iOS.

Код-пароль Экранного времени можно извлечь из локальной резервной копии устройства, но только в том случае, если локальная резервная копия защищена паролем. Если пароль неизвестен, возникает патовая ситуация: невозможно узнать пароль Экранного времени, т.к. невозможно узнать пароль на резервную копию (а пароль на резервную копию нельзя сбросить, не указав пароль Экранного времени).

Вырваться из замкнутого круга поможет новый функционал Elcomsoft Phone Breaker, появившийся в версии 9.20. В новой версии продукта пароль Экранного времени как для основного (родительского), так и для привязанных (детских) устройств можно извлечь непосредственно из облака iCloud.

(далее…)

НАШИ НОВОСТИ