Блог Элкомсофт

«…Восстановление паролей, расшифровка данных,
мобильная и облачная криминалистика… »

Archive for the ‘Программное обеспечение’ Category

Физический анализ iOS. Джейлбрейк: риски и последствия

Среда, Июнь 19th, 2019

Физический анализ – наиболее универсальный метод исследования содержимого устройств под управлением iOS. Подавляющее большинство технических средств, позволяющих провести физический анализ устройства российским правоохранительным органам, требует установки джейлбрейк (от английского “jailbreak”) – разработанного на основе найденных в устройствах уязвимостях программного обеспечения, позволяющего получить полный доступ к файловой системе устройств iPhone, iPad и iPod Touch.

Использование джейлбрейка для доступа к данным в процессе физического анализа – вынужденный шаг, который не обходится без последствий и связанными с ними рисков. В этой статье мы рассмотрим риски и опишем последствия использования джейлбрейка для извлечения данных из iPhone или iPad.

Для чего нужен джейлбрейк

Для чего эксперту может понадобиться взлом устройства? По своей сути, джейлбрейк – узкоспециализированный инструмент, позволяющий как самой утилите, так и сторонним приложениям получить эскалацию привилегий и вырваться из «песочницы», изолирующий приложения в рамках отведённой ему области файловой системы. Взлом устройства позволяет получить полный доступ ко всему содержимому файловой системы, что является необходимым условием для физического извлечения данных из устройства. Перечислим основные отличия метода физического анализа по сравнению с другими методами доступа к информации.

(далее…)

Физический анализ устройств iOS и установка джейлбрейка: пошаговое руководство

Четверг, Май 30th, 2019

Для извлечения содержимого файловой системы из устройств под управлением iOS (iPhone, iPad, iPod Touch) необходим низкоуровневый доступ, для получения которого эксперту потребуется установить на устройство джейлбрейк. Процедуры установки разнообразных утилит для джейлбрейка подробно описываются в сети, но использование общеизвестных процедур в криминалистической лаборатории ведёт к серьёзным рискам, связанным с необходимостью подключения исследуемого устройства к сети. Выход устройства в сеть может привести к модификации хранящейся на устройстве информации, синхронизации устройства с облачными данными или к получению устройством команды на удалённую блокировку или уничтожение данных. Избежать этих рисков позволит точное следование описанным в данном руководстве инструкциям.

(далее…)

Новый класс jailbreak для iOS 12: теперь rootless

Четверг, Февраль 28th, 2019

В конце прошлого года специалист Google Project Zero опубликовал информацию об уязвимости, присутствующей во всех версиях iOS 10 и 11 вплоть до 11.1.2. Сообщество разработчиков быстро использовало уязвимости для создания целого ряда джейлбрейков – Meridian, LiberIOS, Electra, Unc0ver… Чуть позднее появилась информация об уязвимости, обнаруженной и в последних версиях iOS 11 вплоть до самой последней iOS 11.4.1. Наконец, командой Google Project Zero были опубликованы уязвимости, обнаруженные в iOS 12.0 – 12.1.2. В двенадцатой версии iOS система безопасности претерпела заметные изменения, и полноценный джейлбрейк (с собственным магазином приложений и отключенной проверкой цифровой подписи) задерживался. А в феврале 2019 для iOS 12 выходит принципиально новое поколение джйлбрейк. Встречайте rootlessJB: без Cydia, без возможности устанавливать твики – но с полноценной поддержкой SSH и доступом к файловой системе.

Что такое rootless, чем отличается от полноценных джейлбрейков и как их использовать в целях криминалистического анализа iPhone? Попробуем разобраться. (далее…)

Почему SSD выходят из строя: кто виноват и что делать?

Понедельник, Декабрь 24th, 2018

Искренняя благодарность Роману Морозову, руководителю техподдержки ACELab, рассказавшему о многих тонкостях жизненного цикла твердотельных накопителей.

Начнём издалека. В предыдущей статье, предназначенной для экспертов-криминалистов, мы писали, что современные микросхемы NAND имеют ограниченный ресурс порядка 1000-1500 циклов перезаписи. Это не совсем так. Действительно, большинством производителей декларируется ресурс в несколько тысяч циклов записи; эта декларация поддерживается длительными гарантийными сроками (на многие модели – порядка 5 лет). Независимые исследователи, осуществляющие многократную непрерывную перезапись накопителей в течение длительного времени, демонстрируют устойчивость на отказ и после десятков, а иногда и сотен тысяч циклов.

В то же время фактический жизненный цикл современных микросхем TLC может быть ограничен всего 20-50 циклами перезаписи. Этот параметр может быть лучше или хуже в зависимости от типа памяти, норм технологического производства и уровня брака на китайском заводе-производителе. Использование таких технологий, как SLC кэш с пониженным напряжением записи в ячейку позволяет заметно увеличить ресурс, в то время как наличие умножающего коэффициента записи (write amplification) снижает эффективный ресурс накопителя.

Как жизненный цикл современных TLC микросхем в 20-50 циклов соотносится с декларацией производителей и действительно впечатляющими гарантийными сроками и насколько на самом деле надёжны современные SSD? Попробуем разобраться.

(далее…)

Жизнь после Trim: как восстановить удалённые данные с накопителей SSD

Пятница, Декабрь 21st, 2018

Благодарности: эта статья не вышла бы в свет без подробных консультаций Романа Морозова, руководителя техподдержки ACELab.

Механизмы хранения, удаления и восстановления данных в твердотельных накопителях – классический «тёмный лес» в представлении как обычных пользователей, так и экспертов-криминалистов. В отличие от традиционных магнитных жёстких дисков, данные на которых остаются на месте даже после удаления файла, твердотельные накопители способны самостоятельно запустить и поддерживать процесс безвозвратного уничтожения информации, стоит лишь подать на них питание. Таким образом стандартная в процессе экспертизы процедура снятия образа диска приводит к тому, что к моменту окончания процесса на SSD не остаётся никаких следов удалённых пользователем данных.

До недавнего времени единственной возможностью получить доступ к удалённым блокам была трудоёмкая процедура извлечения чипов NAND и прямого считывания информации (с последующей реконструкцией адресации). Сейчас же, наконец, появилась разумная альтернатива. Попробуем разобраться в механизмах хранения и удаления информации на современных SSD и попытаемся восстановить данные в удалённых блоках.

В данной статье не описывается, но представляет отдельный интерес уязвимость популярного алгоритма шифрования дисков BitLocker, являющегося составной частью Windows. Как обнаружили исследователи, вместо программного шифрования с использованием центрального процессора BitLocker может использовать контроллер SSD для шифрования данных. Соответственно, низкоуровневый доступ к SSD позволяет найти ключ шифрования данных и расшифровать содержимое такого накопителя.

(далее…)

Андроид плохой и улучшенный

Пятница, Июль 20th, 2018

На прошлой неделе мы подробно рассмотрели причины, по которым смартфоны Apple были и будут быстрее актуальных флагманов на Android. Статья вызвала массу обсуждений, и мы решили развить тему. В этом выпуске — о том, как «улучшают» Android OEM-производители смартфонов и что получается из таких улучшений.

Андроид плохой и хороший

В этой статье ничего не будет об ошибках и неудобствах чистого Android – некоего эталона, состоящего из комбинации AOSP и сервисов Google. Именно такой Android устанавливается в смартфоны линеек Android One, Google Pixel и смартфоны некоторых производителей (например, Motorola и Nokia). Такой Android мы назовём «хорошим»: нравятся ли пользователю его особенности или нет, но именно так он был спроектирован. В сравнении с тем, что выходит с заводов большинства производителей смартфонов, «хороший» Android чаще бывает хорошо оптимизирован и с большей вероятностью будет регулярно обновляться – по крайней мере, у тех производителей, которые сделали «чистый Android» своей маркетинговой особенностью.

Здесь и сейчас мы поговорим о том, как производители – те самые HTC, LG, Samsung и прочие, — пытаются улучшить систему, и что из этого получается.

Свистелки: благие намерения по-азиатски

Первым, что нас встретит при включении любого новенького флагмана, будет анимированная заставка, бут-анимация. Американские производители скромны: на iPhone и iPad в течение всего процесса загрузки мы имеем счастье наблюдать лишь белое статичное яблоко. Смартфоны на Windows 10 Mobile радуют таким же статичным голубым логотипом Windows. Google значительно менее скромен, выводя весёлую разноцветную анимацию, которая ещё и отличается для разных версий Android. (далее…)

Резервные копии мобильных устройств: Android

Понедельник, Август 28th, 2017

В прошлом месяце мы рассмотрели отличную реализацию резервного копирования данных на примере устройств Apple iOS. А как обстоят дела на других платформах? Сегодня мы рассмотрим главного антагониста iOS – платформу Google Android. Как сохранить данные с root-доступом и без? Каким образом восстановить данные из резервной копии, можно ли, а главное – нужно ли это делать?

Резервные копии: Google Android

Определимся с терминологией. В этой статье мы будем писать исключительно про ту разновидность Android, которая поставляется с сервисами Google. Открытый исходный код, AOSP, сторонние прошивки нас сейчас не интересуют: количество их пользователей минимально, при этом создавать и восстанавливать резервные копии данных при прошивке очередного «кастома» эти пользователи отлично умеют. Тема сегодняшней беседы касается остальных 99% пользователей, которые хотят открыть коробку, ввести логин и пароль от учётной записи и получить что-то работоспособное.

В данном исследовании мы использовали порядка десятка устройств от ASUS, Google Nexus и Pixel, LG, Motorola, Sony. Тестировалось как восстановление данных на то же устройство после сброса к заводским настройкам, так и миграция данных на другое устройство.

Итак, какие же механизмы резервного копирования доступны в Android? От пестроты доступных решений просто глаза разбегаются. Начнём, пожалуй, с приложений, которые поставляются производителями устройств. (далее…)

Резервные копии мобильных устройств: Apple iOS

Среда, Июль 19th, 2017

О резервном копировании не говорит только ленивый, но мало кто следует рекомендациям специалистов. Производителям электроники приходится брать заботу о пользователях в свои руки. И если с резервным копированием данных с компьютера всё более-менее понятно, то как обстоят дела на мобильном фронте? Как с этой задачей справляются смартфоны, планшеты и прочие, более экзотические устройства под управлением Apple iOS, Google (и не-Google) Android, мобильных и стационарных сборок Microsoft Windows и BlackBerry 10? Как извлечь данные, куда сохранить, как восстановить, как обеспечить безопасность и как расшифровать зашифрованную информацию – об этом мы расскажем в новом цикле публикаций.

Начнём с устройств Apple под управлением iOS.

Резервные копии: Apple iOS

Пользователям «яблочной» продукции повезло: компания тщательно продумала и прекрасно реализовала систему резервного копирования и восстановления данных, которая не требует от пользователя никаких усилий. При настройке нового устройства достаточно согласиться (не снимать галочку, которая уже выбрана по умолчанию) с тем, что данные будут автоматически сохраняться в «облако». Об остальном система позаботится самостоятельно.

Действительно так просто? Для обычного пользователя – да. А мы попробуем посмотреть чуть глубже. И сразу же обнаружим, что на самом-то деле механизмов резервного копирования целых два (а то и три, если учитывать разницу между зашифрованными и незашифрованными копиями). Но – по порядку. (далее…)

Извлечение SMS из резервных копий Android O и Google Pixel

Среда, Апрель 26th, 2017

Android O ещё не вышел официально, но некоторые факты о новой версии мобильной операционной системы Google уже известны. Так, смартфоны Android O, наконец, получат возможность автоматического сохранения и восстановления SMS из «облака» Google. Сама по себе эта возможность не нова, и пользователи устройств Google Pixel и Pixel XL уже успели оценить её по достоинству. Оценила уникальную возможность и наша компания, выпустив инструмент для извлечения SMS из «облачных» резервных копий Google Pixel/Pixel XL, а также устройств под управлением Android O.

О том, как это работает и как именно скачать SMS из «облака» Google Account – в этой статье. (далее…)

Apple прекратит поддержку 32-битных приложений в iOS

Вторник, Апрель 18th, 2017

При запуске 32-разрядных приложений в iOS 10.3 пользователям выдаётся предупреждение о том, что приложение может замедлять работу устройства и может не поддерживаться в новых версиях системы. Таким образом Apple даёт понять, что 32-разрядные приложения уходят в прошлое. С высокой долей уверенности можно предположить, что в iOS 11 не будет поддержки как 32-битных приложений, так и 32-разрядных устройств (iPhone 5 и 5c). Кроме того, можно предположить, что новое поколение устройств под управлением iOS – будущие итерации iPhone и iPad – будут лишены самой возможности исполнять 32-битный код на аппаратном уровне. Что это может означать для индустрии и для нас, пользователей?

Выводы из отказа Apple поддерживать 32-разрядный код следуют очень интересные – разумеется, если компания будет последовательна в своих действиях. (далее…)