Статьи в рубрике ‘Разное’

Пока пользователи постепенно обновляются на новую версию iOS, мы продолжаем исследовать нововведения в различных подсистемах безопасности iOS 13 и её производных. В этой статье мы рассмотрим изменения в работе функции ограничений USB. Кроме того, была опубликована официальная информация о времени жизни файлов lockdown, позволяющих подключать iPhone к компьютеру, даже если его экран заблокирован.

Режим ограничения USB впервые появился в iOS 11.4.1 и был расширен в iOS 12. Мы опубликовали пять статей на тему ограничений USB в нашем англоязычном блоге. Также рекомендуем русскоязычную статью Apple «Использование аксессуаров USB с ОС iOS 11.4.1 и более поздних версий».

Более подробная информация доступна в документе iOS Security Guide. Последний раз документ обновлялся в мае 2019 (соответственно, речь идёт об iOS 12.3). Относительно ограничений USB в документе указано следующее: (далее…)

В конце апреля в англоязычных средствах массовой информации прокатилась очередная волна публикаций на тему «Apple уничтожает конкуренцию». Скандал спровоцировала статья с провокационным заголовком «Apple расправились с приложениями против зависимости от iPhone», опубликованная в New York Times. По версии авторов статьи, пользователи iPhone пытались бороться с собственной (а заодно, так уж и быть, и у детей) зависимостью от электронных гаджетов, устанавливая приложения сторонних разработчиков. Приложения, в свою очередь, устанавливали в систему профили конфигурации, посредством которых осуществлялся контроль за действиями пользователей и устанавливались ограничения на использование устройств.

Использование профилей конфигурации послужило Apple формальным поводом для удаления ряда приложений из App Store, что вызвало со стороны журналистов обвинения в нечестной конкуренции. Масла в огонь подлил факт выхода iOS 12 с её подсистемой «Экранного времени» (Screen Time), которая фактически брала на себя основные функции ныне удалённых из магазина приложений программ.

Среди пострадавших (или, скорее, «пострадавших») компания Лаборатория Касперского, приложение Kaspersky Safe Kids (KSK) которой, по словам представителей компании, лишилась существенной части функционала.

Почему «пострадала» Лаборатория Касперских в кавычках? Посмотрим на таймлайн событий.

  • В марте 2019 Лаборатория Касперского подаёт официальную жалобу в ФАС.
  • 3 июня 2019 Apple меняет правила для приложений в App Store, разрешив использование профилей конфигурации для приложений родительского контроля. В то же время, это разрешение не безусловно; об этом ниже.
  • 8 августа на основании жалобы Лаборатории Касперского ФАС России возбудила дело в отношении Apple Inc.

Почему Apple запретили, а потом разрешили сторонним разработчикам использовать профили конфигурации в приложениях родительского контроля? Достаточно ли функционала «Экранного времени» для эффективного родительского контроля и может ли «Экранное время» заменить сторонние приложения? Почему, наконец, Лаборатория Касперского продолжает жаловаться на Apple несмотря на то, что ограничения на её продукт вроде бы сняты? Попробуем разобраться. (далее…)

Выход тринадцатой версии iOS не за горами. Новая версия мобильной ОС уже доступна для разработчиков и бета-тестеров в виде предварительной версии. Мы провели исследование изменений в механизмах безопасности, алгоритмах шифрования, резервного копирования и протоколах синхронизации данных iOS 13, добавив поддержку новой версии ОС в наши продукты мобильной криминалистики. В этой статье мы расскажем о том, что изменится для экспертов-криминалистов с выходом iOS 13.

Резервные копии в iCloud

В протокол доступа к резервным копиям и в алгоритмы шифрования был внесён ряд изменений, которых оказалось достаточно для выхода из строя не адаптированных к iOS 13 продуктов мобильной криминалистики. Мы исследовали эти нововведения и внесли необходимые изменения в Elcomsoft Phone Breaker, который позволяет скачивать и расшифровывать «облачные» резервные копии устройств, работающих под управлением iOS 13. Дальнейшие изменения протокола резервного копирования возможны, но маловероятны; мы продолжаем внимательно следить за новыми сборками iOS.

Интерес представляют и изменения, коснувшиеся содержания облачных резервных копий. Содержимое резервных копий в iCloud стало ещё более похожим на содержимое локальных резервных копий без пароля. В частности, из резервных копий в iCloud исчез журнал звонков и история браузера Safari. Логика в этом решении есть: журнал звонков и история браузера уже давно синхронизируются между устройствами. Соответственно, Apple нет смысла сохранять их отдельно в резервные копии, занимая место в облаке. Напомним, доступ к синхронизированным данным осуществляется проще и безопаснее, чем доступ к резервным копиям. Для скачивания синхронизированных данных может быть использована как комбинация из логина, пароля и второго фактора аутентификации, так и маркер аутентификации, извлечённый из компьютера пользователя. Никаких изменений в структуре хранения и протоколах доступа к синхронизированным данным в iOS 13 мы не обнаружили. (далее…)

Производители программ для криминалистов не забывают подчеркнуть, что именно их продукт является не только самым продвинутым на рынке, но и самым простым в использовании. Тем не менее, несмотря на уверения в простоте и интуитивности использования собственной продукции, все крупные производители предлагают и обучающие курсы и тренинги, стоимость которых заметно превышает цену самих продуктов. Зачем нужны тренинги, если программы легко использовать? Что это – маркетинговое лукавство или насущная необходимость? Попробуем разобраться, для чего нужны тренинги в мобильной и компьютерной криминалистике.

Программы для цифровой криминалистики

Так ли просты в использовании программы для цифровой криминалистики, как уверяют производители? Здесь нет и не может быть «средней температуры по больнице». Какие-то продукты сложнее в использовании, а некоторые использовать совсем просто. Если говорить о продуктах нашей компании, то большая часть из них обладает простым и понятным пользовательским интерфейсом, но ряд возможностей (например, настройки парольных мутаций для распределённых атак в продукте Elcomsoft Distributed Password Recovery) требует чёткого понимания как способов, так и целей выполняемых действий.

Не стоит обманываться простотой использования даже самых дружелюбных к пользователю инструментов: в цифровой криминалистике нет и не может быть простых решений, которые проделают за эксперта его работу. Инструмент, даже самый продвинутый – это всего лишь инструмент, выполняющий ограниченный круг задач. (далее…)

Физический анализ – наиболее универсальный метод исследования содержимого устройств под управлением iOS. Подавляющее большинство технических средств, позволяющих провести физический анализ устройства российским правоохранительным органам, требует установки джейлбрейк (от английского “jailbreak”) – разработанного на основе найденных в устройствах уязвимостях программного обеспечения, позволяющего получить полный доступ к файловой системе устройств iPhone, iPad и iPod Touch.

Использование джейлбрейка для доступа к данным в процессе физического анализа – вынужденный шаг, который не обходится без последствий и связанными с ними рисков. В этой статье мы рассмотрим риски и опишем последствия использования джейлбрейка для извлечения данных из iPhone или iPad.

Для чего нужен джейлбрейк

Для чего эксперту может понадобиться взлом устройства? По своей сути, джейлбрейк – узкоспециализированный инструмент, позволяющий как самой утилите, так и сторонним приложениям получить эскалацию привилегий и вырваться из «песочницы», изолирующий приложения в рамках отведённой ему области файловой системы. Взлом устройства позволяет получить полный доступ ко всему содержимому файловой системы, что является необходимым условием для физического извлечения данных из устройства. Перечислим основные отличия метода физического анализа по сравнению с другими методами доступа к информации.

(далее…)

«Здоровье» пользователя, его медицинские показатели и информация о физической активности – одна из важнейших категорий данных, которая может храниться на смартфоне. Бум носимых устройств, разнообразных датчиков, браслетов, часов и трекеров продолжается более пяти лет. Индустрия предлагает широкое разнообразие устройств, которые могут собирать подробную информацию как о состоянии организма, так и о физической активности пользователя и его местоположении даже если пользователь не взял с собой смартфон. Комбинация данных с такого устройства и информации с телефона позволяет восстановить подробную картину действий пользователя буквально по минутам. Такая информация не должна попасть в руки злоумышленников или нечистоплотных рекламодателей; эта же информация бесценна для расследования преступлений, позволяя восстановить картину происшествия с точной привязкой ко времени. Сегодня мы подробно рассмотрим, какие данные собирают стандартные приложения Apple Health (iOS) и Google Fit (Android), как и где эти данные сохраняются, куда синхронизируются, как защищены и как их можно извлечь. (далее…)

В конце прошлого года специалист Google Project Zero опубликовал информацию об уязвимости, присутствующей во всех версиях iOS 10 и 11 вплоть до 11.1.2. Сообщество разработчиков быстро использовало уязвимости для создания целого ряда джейлбрейков – Meridian, LiberIOS, Electra, Unc0ver… Чуть позднее появилась информация об уязвимости, обнаруженной и в последних версиях iOS 11 вплоть до самой последней iOS 11.4.1. Наконец, командой Google Project Zero были опубликованы уязвимости, обнаруженные в iOS 12.0 – 12.1.2. В двенадцатой версии iOS система безопасности претерпела заметные изменения, и полноценный джейлбрейк (с собственным магазином приложений и отключенной проверкой цифровой подписи) задерживался. А в феврале 2019 для iOS 12 выходит принципиально новое поколение джйлбрейк. Встречайте rootlessJB: без Cydia, без возможности устанавливать твики – но с полноценной поддержкой SSH и доступом к файловой системе.

Что такое rootless, чем отличается от полноценных джейлбрейков и как их использовать в целях криминалистического анализа iPhone? Попробуем разобраться. (далее…)

В статье Почему SSD выходят из строя: кто виноват и что делать мы рассказали о выносливости современных твердотельных накопителей, о наработке на отказ и о причинах, по которым SSD может выйти из строя при относительно небольшом износе. При написании статьи мы ориентировались на то, что заявленные для конкретной модели характеристики накопителя соответствуют реальным и остаются неизменными на протяжении всего жизненного цикла модели. К сожалению, ожидания не всегда соответствуют действительности. Излюбленный трюк производителей современных твердотельных накопителей – изменение реальных спецификаций уже выпускаемой (и протестированной обозревателями) модели в середине её жизненного цикла. Так, известен ряд моделей таких производителей, как ADATA, Kingston, Transcend, которые получали отличные отзывы от обозревателей – после чего производитель менял «начинку» устройств, сохраняя прежнее название и номер модели. В редких случаях новая ревизия получала дополнительный индекс, позволяющий отличить её от прежней модели, но чаще всего потребителю доставался «кот в мешке». Не минула проблема и такого крупного производителя как Crucial, выпустившего модель BX300 на основе 3D-MLC памяти и впоследствии заменившая чипы в этом недорогом накопителе на более дешёвую 3D-TLC. Как отличить одно от другого и убедиться, что начинка выбранного накопителя соответствует ожиданиям? Используем низкоуровневые утилиты для проверки модели контроллера и типа использованной памяти. (далее…)

Авторы многочисленных публикаций, в которых обсуждается тема планшетных устройств, не устают повторять популярную мантру: Андроид «не оптимизирован» для планшетов, приложения «не предназначены» для планшетов. Те же публикации вполне заслуженно хвалят планшеты iPad, которые, по версии их авторов, вполне «предназначены» и «оптимизированы». Как обстоят дела на самом деле и почему всё-таки Google проиграл планшетную гонку? Попробуем разобраться.

Приложения, оптимизированные для планшетов

Планшеты с Android действительно продаются хуже более дорогих iPad, а те, что всё-таки есть, предлагают худший опыт использования (иногда – драматически худший) в сравнении даже с недорогими моделями iPad. Может ли это быть связано с тем, что основная масса приложений не оптимизирована для планшетов?

(далее…)

С выходом очередной версии iOS пользователи получили не только качественную оптимизацию, улучшающую работу даже старых устройств, но и несколько важных нововведений, затрагивающих безопасность пользовательских данных. Сегодня мы поговорим о способах, которыми обеспечивается безопасное хранение информации в свежей версии iOS с точки зрения пользователя; рассмотрим способы, которыми злоумышленник может воспользоваться для получения доступа к данным; расскажем о шагах, позволяющих дополнительно защитить устройство и оценим стойкость такой защиты. Наконец, мы подробно обсудим стратегию действий пользователя для защиты данных в случае компрометации кода блокировки. (далее…)

НАШИ НОВОСТИ