Блог Элкомсофт

«…Восстановление паролей, расшифровка данных,
мобильная и облачная криминалистика… »

Posts Tagged ‘EPB’

Резервные копии мобильных устройств: Apple iOS

Среда, Июль 19th, 2017

О резервном копировании не говорит только ленивый, но мало кто следует рекомендациям специалистов. Производителям электроники приходится брать заботу о пользователях в свои руки. И если с резервным копированием данных с компьютера всё более-менее понятно, то как обстоят дела на мобильном фронте? Как с этой задачей справляются смартфоны, планшеты и прочие, более экзотические устройства под управлением Apple iOS, Google (и не-Google) Android, мобильных и стационарных сборок Microsoft Windows и BlackBerry 10? Как извлечь данные, куда сохранить, как восстановить, как обеспечить безопасность и как расшифровать зашифрованную информацию – об этом мы расскажем в новом цикле публикаций.

Начнём с устройств Apple под управлением iOS.

Резервные копии: Apple iOS

Пользователям «яблочной» продукции повезло: компания тщательно продумала и прекрасно реализовала систему резервного копирования и восстановления данных, которая не требует от пользователя никаких усилий. При настройке нового устройства достаточно согласиться (не снимать галочку, которая уже выбрана по умолчанию) с тем, что данные будут автоматически сохраняться в «облако». Об остальном система позаботится самостоятельно.

Действительно так просто? Для обычного пользователя – да. А мы попробуем посмотреть чуть глубже. И сразу же обнаружим, что на самом-то деле механизмов резервного копирования целых два (а то и три, если учитывать разницу между зашифрованными и незашифрованными копиями). Но – по порядку. (далее…)

«Облачные» заметки: без срока давности

Пятница, Май 19th, 2017

Экосистема Apple активно развивается в сторону «облачных» технологий. В «облаке» iCloud могут храниться фотографии, резервные копии, история звонков, закладки и история посещений браузера Safari и многое другое. В сегодняшнем материале мы поговорим о заметках, которые также попадают в «облако» — как оказалось, на «вечное» хранение.

Зачем заметки сохраняются в «облако»? В первую очередь – для удобства пользователя. К синхронизированным заметкам можно получить доступ как с мобильных устройств, так и с компьютера – через сайт iCloud.com. Синхронизация – стандартная практика для всех крупных производителей. Evernote, Microsoft OneNote, Google Keep, Simplenote и многие другие синхронизируют заметки с помощью собственных «облачных» сервисов. Apple старается не отставать: встроенное в iOS и macOS приложение «Заметки» автоматически сохранит в «облако» все записи пользователя. Синхронизируются операции создания, редактирования и удаления заметок.

Что произойдёт с заметкой, если пользователь удалит её на одном из устройств? Довольно скоро она исчезнет и с остальных устройств, зарегистрированных с тем же Apple ID. А если пользователь передумает? Тогда можно зайти на сайт iCloud.com и просмотреть содержимое папки «Recently Deleted», в которой удалённые заметки будут храниться в течение 30 дней.

Что произойдёт с удалёнными заметками через 30 дней? В теории – заметки будут окончательно удалены из «облака». На практике – заметки из облака исчезают (становятся недоступны для просмотра обычными способами), но не удаляются, и их можно скачать и просмотреть с помощью Elcomsoft Phone Breaker 6.50 и последней версии Elcomsoft Phone Viewer. (далее…)

Новый способ извлечения данных из «облака» позволяет следить за iPhone

Среда, Декабрь 21st, 2016

Для того, чтобы извлечь данные из iPhone, нужно как минимум иметь доступ к самому iPhone. Или не обязательно? Действительно, ещё несколько лет назад извлечь информацию из смартфона можно было только имея устройство на руках. Появление «облачных» сервисов привело к постепенному смещению акцента в сторону дистанционных методов извлечения, а появление встроенных механизмов синхронизации данных через «облако» ещё больше повышает привлекательность дистанционного извлечения.

Какие же методы дистанционного извлечения данных из смартфонов iPhone и планшетов iPad доступны современному эксперту-криминалисту? Попробуем разобраться.

(далее…)

Криминалистическая экспертиза заблокированных iPhone: как обойтись без пароля

Вторник, Декабрь 20th, 2016

Смартфоны и планшеты Apple становятся более безопасными с каждым поколением. Каждое обновление операционной системы также вносит дополнительные элементы в систему безопасности. Так, с выходом iOS 8, доступной даже для достаточно старых устройств, в Apple полностью пересмотрели механизм депонирования ключей на компьютеры, синхронизированные с iPhone или iPad через iTunes.

Важным результатом нововведений в системе безопасности мобильной операционной системе стали изменения в официальной политике Apple. Теперь компания отказывается помогать правоохранительным органам в извлечении данных из устройств, работающих под управлением iOS 8 и более новых версий. И если извлечение данных из разблокированного iPhone в целом не представляет проблемы, то программно-техническая экспертиза устройств, заблокированных паролем и/или с помощью датчика отпечатков пальцев представляет серьёзнейшую проблему.

В результате усилий Apple резко сократилось число вариантов для извлечения данных из заблокированных устройств. В данной публикации мы рассмотрим техническую возможность извлечения данных из заблокированного iPhone при следующих обстоятельствах:

  1. На телефоне установлена iOS версии с 8.x по 10.x
  2. При конфискации устройство было включено и заблокировано
  3. Устройство не выключалось и не перезагружалось в промежутке между конфискацией и анализом
  4. На устройство не установлен или не может быть установлен jailbreak, либо статус jailbreak неизвестен
  5. Имеется доступ к компьютеру (Mac или PC) с установленным приложением iTunes, к которому подключался iPhone. Пользователь установил доверенные отношения с компьютером, подтвердив запрос “Trust this PC” на устройстве

Список из пяти пунктов может показаться чрезмерным, но именно в такой ситуации чаще всего оказываются следственные органы при проведении криминалистического анализа. Пожалуй, самый неочевидный момент – это требование не выключать и не перезагружать устройство с момента конфискации. Дело в том, что после загрузки устройство безальтернативно потребуется разблокировать с помощью пароля. В противном случае установленные ранее доверенные отношения с компьютером использоваться не удастся.

(далее…)