Статьи по ключевому слову ‘извлечение данных’

Рутинная процедура изъятия. У подозреваемого – Apple iPhone. Аппарат изымается, проверяется на предмет блокировки экрана, извлекается SIM-карта, телефон выключается и передаётся в лабораторию. Казалось бы, что может пойти не так? В описанном выше сценарии «не так» — буквально каждая мелочь. Результат – телефон, с которым эксперту будет сложно или и вовсе невозможно работать. В чём состоят ошибки и как их избежать? Об этом – в нашей статье.

Выключение питания

Самая распространённая ошибка, которая повторяется из раза в раз – выключение изъятых устройств. Как правило, устройство отключают для того, чтобы не дать ему подключиться к беспроводным сетям, получить дистанционную команду на удаление данных.

Фактически же сотрудник, выключающий изъятое устройство, заметно осложнит работу эксперта. И вот почему.

  • Устройство переводится из состояния AFU* в состояние BFU* со всеми вытекающими последствиями.
  • Ключи шифрования пользовательского раздела хранятся в оперативной памяти устройства. При его выключении ключи исчезают, а восстановить их можно исключительно вводом корректного пароля (кода блокировки экрана).
  • Если возникнет необходимость подобрать код блокировки, то скорость атаки после выключения или перезагрузки устройства будет почти на порядок медленнее.
  • Перестанут работать записи lockdown; логическое извлечение станет невозможным.
  • Если код блокировки неизвестен, извлечение данных придётся проводить в режиме BFU.

* Что такое состояния AFU и BFU? AFU – режим After First Unlock, «после начальной разблокировки». Он означает, что пользователь хотя бы раз разблокировал телефон паролем после перезагрузки. В режиме AFU расшифрованы пользовательские данные, их можно попытаться извлечь. Скорость перебора кодов блокировки в этом режиме высокая (порядка нескольких минут на PIN-код, состоящий из 4 цифр).

Режим BFU – Before First Unlock, или режим холодного старта. Устройство было перезагружено или выключено; ключей шифрования пользовательских данных в памяти нет, а сами данные – надёжно зашифрованы.  Скорость перебора паролей низкая; на полный перебор 4 цифр PIN-кода может уйти до нескольких дней, а перебор 6-значного цифрового пароля теряет смысл.

Как делать правильно? Мы описали корректную процедуру в статье The Art of iPhone Acquisition.

Извлечение SIM-карты

Вторая распространённая ошибка как сотрудников полиции, так и экспертов – извлечение из устройства SIM-карты. С точки зрения сотрудника полиции это действие несёт тот же смысл, что и выключение устройства; полезность этого действия со стороны эксперта сомнительна, ведь анализ смартфонов должен проводиться в изолированном от беспроводных сетей помещении.

Извлечение SIM-карты приводит к печальным последствиям, сравнимым с отключением телефона. Если iPhone работает под управлением iOS 11, 12 или 13, извлечение SIM-карты будет иметь следующие последствия:

  • Экран телефона блокируется
  • Биометрические датчики Touch ID и Face ID временно блокируются; разблокировать экран можно только паролем
  • Включается режим ограничений USB

Подробнее об этом можно почитать в наших статьях: Passcode vs. Biometrics: Forensic Implications of Touch ID and Face ID in iOS 12; о режиме ограничений USB: USB Restricted Mode Inside Out (обновления: iOS 12 Enhances USB Restricted Mode и USB Restricted Mode in iOS 13: Apple vs. GrayKey, Round Two).

Иными словами, не извлекайте SIM-карту из iPhone.

“Не держите его таким образом”

Фраза, высказанная Стивом Джобсом в ответ на критику iPhone 4, давно стала крылатой. Однако для новых iPhone, оборудованных системой распознавания лиц Face ID, эта фраза несёт и второй смысл. Достаточно взглянуть на телефон, и одна из пяти попыток разблокировки по лицу будет утрачена. Именно это случилось на сцене во время анонса iPhone X: YouTube.

Если же iPhone оборудован датчиком Touch ID, не стоит пытаться проверить, включено ли устройство, нажимая на кнопку датчика отпечатков пальцев. Воспользуйтесь вместо этого кнопкой блокировки экрана, расположенной на верхней или боковой грани смартфона.

Сброс пароля к резервной копии

Во многих случаях (за исключением возможности установки джейлбрейка через уязвимость checkm8), логическое извлечение с использованием резервных копий iTunes является основным источником данных. Мы подробно рассказывали о резервных копиях iPhone в статье The Most Unusual Things about iPhone Backups.

Одной из основных проблем, которые могут возникнуть в процессе логического анализа, является пароль на резервную копию. Если резервная копия защищена паролем, атака на уже созданную резервную копию будет чрезвычайно медленной (за единичным исключением конкретной версии iOS 10). Тем не менее, во всех версиях iOS начиная с iOS 11 и более новых существует возможность сбросить пароль: iOS 11 Makes Logical Acquisition Trivial, Allows Resetting iTunes Backup Password.

Проблема в том, что все пароли в iOS взаимосвязаны сложными и неочевидными способами; мы писали об этом в статье Four and a Half Apple Passwords. Соответственно, попытка сбросить один пароль неизбежно повлияет и на другие.

В iOS 11, 12 и 13 сброс пароля к резервной копии осуществляется командой “Reset all settings” (почти все пользовательские данные и пароли остаются нетронутыми). Ключевое слово здесь – «почти». При использовании этой команды будут сброшены пароли к Wi-Fi, история транзакций Apple Pay, скачанные сообщения Exchange и некоторые другие данные. Однако самым важным будет тот факт, что сбрасывается в том числе и код блокировки экрана. Почему это важно? В статьях iOS 11 Horror Story: the Rise and Fall of iOS Security и Protecting Your Data and Apple Account If They Know Your iPhone Passcode мы подробно описали, что именно зависит от наличия кода блокировки. Сюда входят, в частности, такие вещи, как доступ к зашифрованным данным в iCloud (облачная связка ключей, сообщения в iCloud, данные приложения «Здоровье» и т.д.)

Логический анализ iOS

Казалось бы, совершить ошибку в процессе логического анализа iOS достаточно сложно. Логический анализ – это резервная копия iTunes, но не только. Впрочем, даже в процессе создания резервной копии можно совершить несколько ошибок, которые могут привести к печальным последствиям.

Резервная копия создаётся в программе iTunes. Действительно, во многих лабораториях до сих пор используют программу iTunes для создания резервной копии. Этот подход логичен: конечный результат (резервная копия) не зависит от того, каким приложением его извлекали из устройства. Резервная копия создаётся внутри телефона, а программа (iTunes, Elcomsoft iOS Forensic Toolkit или любая другая) всего лишь принимает поток данных и сохраняет его в файлы на диске. Проблема с использованием в целях криминалистического анализа программы iTunes в том, что в iTunes по умолчанию включена синхронизация. Соответственно, ещё до того, как из телефона получится извлечь резервную копию, iTunes уже модифицирует данные на устройстве. Синхронизацию в iTunes необходимо отключить, причём сделать это нужно до того, как телефон будет подключён к компьютеру.

Резервная копия без пароля. Резервную копию легче проанализировать, если пароль не установлен? С одной стороны, действительно, легче. С другой – iOS использует пароль для шифрования таких данных, как Связка ключей (пароли пользователя), «Здоровье», с недавнего времени – история браузера Safari и журнал звонков. Если же пароль не установлен, все эти и некоторые другие данные будут зашифрованы аппаратным ключом, и расшифровать их в процессе логического анализа не удастся. Если есть возможность, всегда задавайте известный пароль перед началом извлечения.

Что-то упущено. Резервная копия – далеко не всё, что можно извлечь из iPhone в процессе логического анализа. Логический анализ позволяет извлечь и медиа-файлы (фото и видео, включая EXIF, а также метаданные), журналы диагностических событий (полезны для реконструкции активности пользователя), данные приложений (iTunes shared data). Все эти данные можно извлечь независимо от того, установлен ли пароль на резервную копию. Более того, некоторые типы данных можно извлечь и из устройств Apple Watch и Apple TV при использовании Elcomsoft iOS Forensic Toolkit.

Заключение

Я перечислил лишь наиболее часто встречающиеся ошибки, которые относятся к анализу Apple iPhone. В то же время, возможностей совершить ошибку современная техника оставляет множество. Точное следование инструкциям, подробное документирование каждого шага, повторяемость и возможность верификации результатов – важнейшие составляющие процесса. Уследить за постоянно меняющимся рынком мобильных устройств нелегко. В помощь органам охраны правопорядка мы предлагаем учебные курсы как по мобильной, так и по компьютерной криминалистике.

Искренняя благодарность Роману Морозову, руководителю техподдержки ACELab, рассказавшему о многих тонкостях жизненного цикла твердотельных накопителей.

Начнём издалека. В предыдущей статье, предназначенной для экспертов-криминалистов, мы писали, что современные микросхемы NAND имеют ограниченный ресурс порядка 1000-1500 циклов перезаписи. Это не совсем так. Действительно, большинством производителей декларируется ресурс в несколько тысяч циклов записи; эта декларация поддерживается длительными гарантийными сроками (на многие модели – порядка 5 лет). Независимые исследователи, осуществляющие многократную непрерывную перезапись накопителей в течение длительного времени, демонстрируют устойчивость на отказ и после десятков, а иногда и сотен тысяч циклов.

В то же время фактический жизненный цикл современных микросхем TLC может быть ограничен всего 20-50 циклами перезаписи. Этот параметр может быть лучше или хуже в зависимости от типа памяти, норм технологического производства и уровня брака на китайском заводе-производителе. Использование таких технологий, как SLC кэш с пониженным напряжением записи в ячейку позволяет заметно увеличить ресурс, в то время как наличие умножающего коэффициента записи (write amplification) снижает эффективный ресурс накопителя.

Как жизненный цикл современных TLC микросхем в 20-50 циклов соотносится с декларацией производителей и действительно впечатляющими гарантийными сроками и насколько на самом деле надёжны современные SSD? Попробуем разобраться.

(далее…)

Благодарности: эта статья не вышла бы в свет без подробных консультаций Романа Морозова, руководителя техподдержки ACELab.

Механизмы хранения, удаления и восстановления данных в твердотельных накопителях – классический «тёмный лес» в представлении как обычных пользователей, так и экспертов-криминалистов. В отличие от традиционных магнитных жёстких дисков, данные на которых остаются на месте даже после удаления файла, твердотельные накопители способны самостоятельно запустить и поддерживать процесс безвозвратного уничтожения информации, стоит лишь подать на них питание. Таким образом стандартная в процессе экспертизы процедура снятия образа диска приводит к тому, что к моменту окончания процесса на SSD не остаётся никаких следов удалённых пользователем данных.

До недавнего времени единственной возможностью получить доступ к удалённым блокам была трудоёмкая процедура извлечения чипов NAND и прямого считывания информации (с последующей реконструкцией адресации). Сейчас же, наконец, появилась разумная альтернатива. Попробуем разобраться в механизмах хранения и удаления информации на современных SSD и попытаемся восстановить данные в удалённых блоках.

В данной статье не описывается, но представляет отдельный интерес уязвимость популярного алгоритма шифрования дисков BitLocker, являющегося составной частью Windows. Как обнаружили исследователи, вместо программного шифрования с использованием центрального процессора BitLocker может использовать контроллер SSD для шифрования данных. Соответственно, низкоуровневый доступ к SSD позволяет найти ключ шифрования данных и расшифровать содержимое такого накопителя.

(далее…)

На тему извлечения данных из смартфонов под управлением iOS написано множество статей и книг, в том числе и книга за нашим авторством. Тем не менее, хотя многочисленные статьи и могут подробно осветить тот или иной метод доступа к информации, их нельзя рассматривать в качестве прямого руководства к действию в отрыве от общей ситуации. В данной работе мы рассмотрим все шаги, которые необходимо предпринять по отношению к конкретному устройству с целью максимально увеличить шансы на успешное извлечение информации. Мы постараемся полностью описать всю цепочку шагов, включающую процесс конфискации, хранения и транспортировки устройства, методы презервации данных и последовательность использования методов извлечения и анализа информации. (далее…)

В наших статьях и в книге мы много писали об основах безопасности Android, методах аутентификации и извлечения данных. Однако всё, что мы писали ранее, относилось исключительно к устройствам, работающим под управлением оригинального программного обеспечения – прошивки, – разработанной непосредственно производителем устройства. Порядка 98% устройств работают именно на прошивках от производителя тех или иных версий.

Остаётся сравнительно небольшая прослойка энтузиастов, которые любят экспериментировать со своими устройствами и устанавливают сторонние прошивки. Зачем это нужно пользователям помимо удовлетворения любопытства исследователя, какие бывают и какие преимущества дают сторонние прошивки, как в них обстоят дела с безопасностью и каким образом извлечь из них данные – в этой статье.
(далее…)

НАШИ НОВОСТИ