Архив за Октябрь, 2020

Значение мобильной криминалистики трудно переоценить. Огромное количество пользователей смартфонов и объём подробнейшей информации об активности владельца устройства вызвали переход количества в качество: в расследовании преступлений на передний план выходят данные из смартфонов и прочих мобильных устройств. История местоположения пользователя, переписка и общение, чаты и защищённые сообщения, платёжные транзакции и криптовалюты – лишь немногие вещи, которые могут стать доступны эксперту при анализе устройства. Сегодня мы поговорим о смартфонах Apple iPhone, занимающих заметную долю рынка и отличающихся повышенной в сравнении с другими устройствами безопасностью.

Статья написана совместно с «Оксиджен Софтвер», ведущим отечественным разработчиком программного обеспечения для проведения комплексной компьютерно-технической экспертизы мобильных устройств, облачных сервисов, дронов и персональных компьютеров. Решениями компании в вопросах извлечения и исследования данных пользуются правоохранительные органы, государственные учреждения, а также службы безопасности коммерческих организаций России и стран СНГ.

В необходимости получить данные из iPhone сомнений нет. Но как это сделать? Здесь важно точно следовать правилам. Процесс можно разбить на следующие шаги: сохранение данных, разблокировка устройства, извлечение, анализ и создание отчёта.

Для сохранения данных необходимо, чтобы устройство оставалось включённым (если оно было включено на момент изъятия), но не имело доступа к сети. Оба пункта одинаково важны: случайный доступ к мобильному интернету или беспроводной сети Wi-Fi позволит злоумышленнику дистанционно обнулить устройство. Но отключение телефона – плохой выход: хранящиеся в оперативной памяти смартфона ключи шифрования будут потеряны, и расшифровать большую часть информации не удастся без длительной процедуры перебора кода блокировки, результат которой к тому же не гарантирован.

Код блокировки экрана – ключевой элемент системы безопасности iPhone. Без него невозможен доступ к данным, а значит – невозможно и исследование телефона, который был выключен или перезагружен. К сожалению, возможность подбора кода блокировки есть далеко не для всех моделей iPhone. Современные и даже старые модели iPhone, оборудованные 64-разрядным процессором, успешно сопротивляются попыткам перебора благодаря встроенному на аппаратном уровне сопроцессору безопасности Secure Enclave. Единственное решение для таких телефонов – доступ через доверенные компьютеры (записи pairing/lockdown). Для некоторых устройств (от iPhone 5s до iPhone 8/8 Plus/X) возможно частичное извлечение в режиме BFU – «до первой разблокировки» через уязвимость загрузчика.

Собственно извлечение данных – не менее сложный шаг. Для получения информации из разных моделей iPhone придумана масса различных способов. Необходимо предельно чётко понимать применимость каждого метода, представлять ожидаемый результат и знать связанные с каждым способом риски и ограничения.

Как правило, специалисты в области мобильной криминалистики сегодня обладают широким арсеналом инструментов для работы с огромным количеством самых разнообразных мобильных устройств. И, конечно же, хотелось бы, чтобы любая из существующих программ по цифровой криминалистике извлекала информацию из всех iOS-устройств по одной кнопке, при этом легко подбирая пароль. К сожалению, такой волшебной утилиты ещё не изобрели. Тем не менее, возможно использовать сочетание нескольких инструментов, которые позволят получить полную информацию и произвести ее подробный анализ из максимально возможного модельного ряда Apple-устройств. Сегодня мы рассмотрим работу уникального тандема инструментов от компаний «Elcomsoft» и «Оксиджен Софтвер».

Как Elcomsoft iOS Forensic Toolkit, так и «Мобильный Криминалист» предлагают выбор множества частично пересекающихся способов извлечения данных из iPhone. Продуктами поддерживаются как безопасное логическое извлечение данных, так и несколько разных способов для снятия образа файловой системы и расшифровки Связки ключей из iPhone. Среди них есть как варианты, использующие джейлбрейк, так и способ, который не требует взлома устройства через джейлбрейк. В рамках последнего метода используется агент-экстрактор, приложение для iOS, которое самостоятельно проводит эскалацию привилегий и устанавливает прямой канал коммуникаций между исследуемым iPhone и компьютером эксперта.

При использовании агента-экстрактора нет необходимости искать, подписывать или устанавливать из сторонних источников файл с джейлбрейком для конкретной комбинации аппаратного обеспечения и версии iOS. Не нужно даже знать, что для взлома устройства с iOS 10 разных версий можно использовать частично пересекающиеся джейлбрейки Yalu, Saïgon, doubleH3lix, Meridian или g0blin, как нет и необходимости разбираться в различиях между ними. Достаточно запустить агент-экстрактор, и нужный уровень доступа к файловой системе приложение получит автономно и самостоятельно.

Извлечение посредством агента-экстрактора отличается широкой совместимость: его можно использовать на iPhone любых моделей, работающих под управлением всех версий iOS от 9 до 13.5 включительно.

Наконец, использование агента-экстрактора не является инвазивным: в отличие от джейлбрейков, агенту нет необходимости модифицировать системный раздел устройства или даже монтировать его для записи. После удаления агента телефон возвращается в исходное состояние; единственные следы его работы – единичные записи в системных журналах.

Почему джейлбрейк не всегда лучшее, но иногда единственное решение

Для чего нужен джейлбрейк? С точки зрения мобильной криминалистики джейлбрейк устанавливают для того, чтобы получить доступ к защищённым областям хранилища телефона: приватным данным приложений, включая базы данных защищённых чатов, паролям пользователя и многим другим данным. И если без джейлбрейка эксперту доступна лишь часть информации – та, которая попадает в резервные копии (или после исследования методом логического анализа), — то после установки джейлбрейка из устройства извлекаются абсолютно все данные.

В то же время джейлбрейки не разрабатывались для решения задач криминалистического анализа. Они используются для установки на устройства стороннего ПО, модификации элементов интерфейса и доступа к репозитариям приложений, которые не представлены в официальном App Store. Для работы всего этого функционала в состав джейлбрейка входят компоненты, которые не только нужны для извлечения файловой системы, но и вредят процессу криминалистического анализа, модифицируя системный раздел и изменяя важные файлы. Некоторые утилиты джейлбрейка позволяют отключить ненужные опции и отказаться от перемонтирования файловой системы, однако требуют предельного внимания и осторожности в процессе установки.

Обойти эти ограничение можно, установив на устройство агент-экстрактор, который включал бы лишь самое необходимое для доступа к файловой системе, будучи максимально простым и безопасным в использовании. Тем не менее, в некоторых случаях без джейлбрейка не обойтись.

Агент-экстрактор поддерживает широкий спектр версий операционных систем от iOS 9 до 13.5 включительно. Но что, если iPhone работает на более свежей версии iOS, для которой у агента нет встроенного эксплойта? В таких случаях на помощь приходит универсальный эксплойт checkm8, который можно адаптировать даже для самых свежих версий операционной системы. Если устройство входит в список моделей, подверженных известной аппаратной уязвимости, то для него становится возможным прямое извлечение данных посредством checkm8.

Извлечение посредством эксплойта checkm8

Программное обеспечение от «Оксиджен Софтвер» последних версий, выпускаемое под брендом «Мобильный Криминалист», на основании применения уязвимости checkm8 извлекает полную файловую структуру и секретное хранилище Keychain как из iPhone (от iPhone 6 до iPhone Х на iOS от 12.4.4 до 13.7 и 14.0 — 14.2 (beta) на ряде моделей), так и из iPad (iPad Mini 4, iPad 5th gen, iPad Pro, iPad 6th gen на iOS от 12.4 до iPadOS 13.7 и 14.0 – 14.0.1 на ряде моделей).

Для доступа к информации необходимо просто подключить устройство к ПК в DFU-режиме, все остальное (применение уязвимости, загрузка в память iBoot и Kernel и внесение нужных исправлений в загруженную в оперативную память копию, перезагрузку устройства) программа выполнит самостоятельно. На этапе извлечения данных следует также ввести пароль блокировки экрана на смартфоне или планшете для получения всего массива информации.

Если пароль неизвестен, извлечение не будет прервано — «Мобильный Криминалист» продолжит его, но только в BFU-режиме. При анализе устройства в режиме до первой разблокировки, программа также извлекает из него доступные данные, среди которых может быть полная информация из приложений, вовсе не шифрующих свои данные (например, мессенджера imo), логи социальных сетей, файлы сессий, кэш мессенджеров и почтовых клиентов, установленных на iPhone или iPad, а также нешифрованные базы данных SQLite. Анализ последних встроенным инструментом помогает находить в них много важной и полезной информации.

Вернемся к получению полной файловой структуры. После разблокировки экрана устройства и, при необходимости (зависит от устройства), повторного ввода пароля программа извлекает из него абсолютно всю информацию: звонки, чаты, медиафайлы, документы, базы данных приложений, заметки, гео-локации, события календаря и многое другое.

Отдельным разделом в итоговом извлечении выделяются «Аккаунты и пароли». Внутри этой секции собираются не только все учетные данные и токены (открывающие безбарьерный доступ к информации владельца гаджета, хранящейся в облаках сервисов и приложений, которые он использовал), но и данные секретного хранилища Keychain.

Стоит отметить, что рассматриваемый метод извлечения позволяет также обходить USB Restricted Mode.

Выбрать данные для анализа = сократить время исследования

Бесспорно, количество времени на получение полной файловой структуры зависит от объема памяти устройства и может быть равным нескольким часам. Иногда исследователь не обладает таким временным запасом, и ему требуется получить информацию из определенных разделов гаджета или приложений в короткие сроки.

«Мобильный Криминалист» обладает решением и для таких ситуаций и предлагает метод выборочного извлечения информации из iOS-устройств.

После успешного подключения гаджета к программе, будь то при работе с вышеописанным методом или же при получении информации из устройств с предварительно установленным джейлбрейком, программа предоставляет два варианта действий: получение всего объема информации, либо ее части.

«МК» дает возможность выбрать для извлечения следующие категории данных:

Когда и для чего использовать checkra1n

Прямое извлечение данных из iPhone при помощи эксплойта checkm8 системой «Мобильный Криминалист» — действительно удобный и безопасный способ анализа смартфона. Однако прямое извлечение доступно не для всех комбинаций программного и аппаратного обеспечения. Для некоторых из них можно воспользоваться публично доступным джейлбрейком checkra1n, который устанавливается на устройства через аппаратную уязвимость в загрузчике.

Джейлбрейк checkra1n основан на уязвимости загрузчика BootROM. Аппаратная природа проблемы не позволяет Apple закрыть уязвимость; соответственно, данный джейлбрейк останется актуальным до тех пор, пока в циркуляции остаются устройства соответствующих поколений. Разработчики джейлбрейка быстро адаптируют его для новых версий iOS, что позволяет использовать его в ситуациях, когда на уязвимом устройстве установлена самая свежая версия системы.

И «Мобильный Криминалист», и Elcomsoft iOS Forensic Toolkit, в свою очередь, позволяют извлекать данные из Apple-устройств, на которых ранее был предустановлен джейлбрейк. Если эксперт успешно поставил на изучаемое устройство джейлбрейк, к нему осуществляется подключение по указанному SSH-порту, после чего из устройства извлекается вся доступная информация. Стоит помнить о том, что полнота данных, так же, как и при checkm8-извлечении, будет зависеть от того, разблокирован ли экран устройства в момент извлечения информации или нет.

Отметим также, что функционал большинства джейлбрейков, основанных на программных уязвимостях в iOS, полностью доступен при извлечении посредством агента-экстрактора в Elcomsoft iOS Forensic Toolkit.

Извлечение через облако

Метод извлечения через iCloud до сих пор остаётся недооценённым. Изначально под «облачным» анализом подразумевалось исключительно скачивание резервных копий и фотографий пользователя. Сегодня роль резервных копий в iCloud снизилась; на первое место выходят другие категории данных – те, которые синхронизируются в облако. Синхронизированные данные хранятся отдельно от резервных копий. Синхронизируется практически всё: от контактов до фотографий, от истории браузера до сообщений. Попадает в облако и такая информация, как пароли, данные приложения «Здоровье» и многое другое. В iCloud Drive сохраняются файлы и документы пользователя, часто включая папки Documents и Desktop с компьютеров Mac. Очень важно то, что все эти данные собираются не только с единственного iPhone, но и со всех остальных устройств, подключённых к учётной записи.

Криминалистические продукты «Мобильный Криминалист» и Elcomsoft Phone Breaker были и остаются наиболее универсальными инструментами для извлечения максимального количества данных из облака iCloud. Извлекаются как резервные копии, так и синхронизированные данные, включая те, которые защищены сквозным шифрованием: для их извлечения и расшифровки потребуется код блокировки экрана или системный пароль от одного из устройств, зарегистрированных в учётной записи. Так же, как и в других ситуациях, при частичном пересечении функциональных возможностей продуктов имеет смысл использовать обе программы. Так, Elcomsoft Phone Breaker позволит расширить извлечённый «Мобильным Криминалистом» набор данных, добавив в список такие категории, как данные экранного время, зашифрованные сообщения и некоторые другие защищённые сквозным шифрованием категории. В то же время реализации скачивания резервных копий у продуктов отличаются кардинально, и для конкретной комбинации устройства и учётной записи могут сработать как оба подхода, так и лишь один из них.

Анализ и отчёты

Последний этап работы с данными из устройств – их анализ. Порой, разные программные продукты после импорта одного и того же извлечения могут предоставить для конечного исследования совершенно разный объем информации.

Чтобы получить максимально возможный массив данных, необходимо импортировать полученные результаты в «Мобильный Криминалист», который позволяет импортировать резервные копии iTunes, а также полный образ iOS-устройств, полученные самыми разными программными средствами и, на сегодняшний день, обеспечивает их лучший разбор, а также предоставляет сильнейший аналитический функционал для исследования результатов извлечения:

  • агрегированные разделы «Звонки» и «Сообщения» содержат все коммуникации владельца исследуемого устройства с детальной информацией о них: длительность звонка, дата отправки или получения сообщения, текст сообщения, вложения и т.д;
  • раздел «Контакты» объединяет внутри себя все контакты, найденные в извлечении, группирует несколько контактов, привязанных на один и тот же номер телефона или адрес электронной почты, в один;
  • «Граф Связей» устанавливает прямые и косвенные связи между всеми контактами извлечения;
  • «Лента Событий» выстраивает все события, происходившие на устройстве, в хронологическом порядке;
  • «Матрица активности» позволяет установить наиболее частые периоды использования гаджета, а «Диаграмма активности» — просмотреть, какие определенные типы событий происходили на устройстве в выбранный промежуток времени;
  • «Поиск» осуществляет поиск по заданным параметрам (номерам телефонов, email, номерам паспортов, MAC или IP-адресам, ключевым словам, хэшам и др.) по всему массиву данных;
  • «Статистика» аккумулирует важные цифровые показатели: от топа последних коммуникаций и групп до количества файлов разных типов в извлечении;
  • Аналитические секции, основанные на нейронных сетях, распознают на изображениях лица, текст, а также разные виды угроз;
  • раздел «Важное» собирает все артефакты, отмеченные нейросетями как опасные или определенные самим исследователем как ключевые, а также выделенные им заметками.

Итогом такого детального анализа собранной информации станет отчет как по всему извлечению в целом, так и по его отдельным разделам. При этом, инструмент создания отчетов является достаточно гибким, с их точечной настройкой. Так, возможно выбрать не только конкретные разделы информации, но и типы, и категории данных внутри выделенных разделов, попадающих в отчет; настроить порядок полей; отфильтровать информацию по датам и тегам; указать определенные типы файлов и многое другое.

Заключение

«Решение одной кнопки» было и остаётся несбыточной мечтой. К сожалению, не существует ни одного интегрированного решения, которое смогло бы извлечь весь набор данных из любой модели iPhone. В игру вступают такие тонкости, как поколение процессора, установленная версия iOS, наличие или отсутствие кода блокировки экрана, активированный режим защиты USB и множество других факторов.

Комбинация из Elcomsoft iOS Forensic Toolkit, Elcomsoft Phone Breaker и «Мобильного Криминалиста» –наиболее полное и продвинутое решение на рынке цифровой криминалистики. В актуальных реалиях для всестороннего исследования всех доступных данных невозможно обойтись единственной криминалистической программой или пакетом: каким бы продвинутым не был каждый отдельный пакет программ, огромный пласт информации будет упущен. Набор из нескольких продуктов позволит эксперту использовать сильные стороны каждого из них. Разработчики «Элкомсофт» и «Оксиджен Софтвер» делают все возможное, чтобы предложить экспертам на выбор самый широкий спектр методов извлечения данных из мобильных устройств. Каким из них воспользоваться — вопрос как доступности и применимости для конкретного устройства, так и нужд эксперта в каждой отдельной ситуации.

Дополнительные полезные ресурсы по теме:

Кевин Митник не нуждается в представлении. Бывший хакер, специалист по безопасности, автор множества книг и публикаций, получивший известность после крайне противоречивых событий, приведших в 1995 году к его аресту и обвинению. Но сегодня речь пойдёт не об этом. Передаём слово Кевину.

2008 год, Богота, Колумбия. Не первая и не последняя поездка в этот год. Незадолго до отъезда Дарси, моя бывшая девушка, помогла мне поменять жёсткий диск в моем MacBook Pro. Напомню, на дворе — 2008 год; заменить диск в MacBook Pro было непросто, но возможно. Итак, Дарси заменила мой жёсткий диск на совершенно новый, который я отформатировал и установил на него систему. Зачем я это сделал? Из соображений безопасности. Я не горел желанием пересекать границу в чужую страну со всеми данными моих клиентов — особенно после того, что случилось со мной в Атланте! Но об этом позже.

Стоит отметить, что выбранный мной отель не был каким-то захудалым мотелем в сомнительной части города. Нет, это был весьма уважаемый отель, в котором останавливались даже военнослужащие Боготы. Возможно, это и стало моей ошибкой.

Итак, мы с Дарси отправились ужинать, а мой MacBook Pro остался в номере. Вернувшись в номер, я обнаружил, что дверь заблокирована, а моя карточка-ключ не работает: загорался жёлтый светодиод. Не красный, не зелёный, а именно жёлтый.В тот момент особо не задумался над ситуацией. Возможно, просто неисправная карта, подумал я. Мы спустились в вестибюль и попросили новую карту. Но не сработал и новый ключ. Повторный визит к стойке администратора — и тот же результат. Думаете, я что-нибудь заподозрил? Нет, я был просто взбешён. Мне выдали три новых карты, и ни одна из них не сработала! Только после этого администратор, наконец, согласился отправить кого-нибудь в мой номер.

Сотрудник отеля воспользовался картой, загорелся зелёный светодиод, и мы, наконец, смогли войти в номер. Я всё ещё не думал, что происходит что-то необычное; дверные замки в отелях — притча во языцех.

Однако, когда по возвращении домой я попросил Дарси снова поменять диск MacBook Pro, она поинтересовалась, зачем я вскрывал ноутбук. Озадаченный, я пробормотал, что ничего такого я не делал. Но Дарси была непреклонна: устройство вскрывали. Она намеренно едва затянула винты, удерживающие жёсткий диск, но теперь они были ввёрнуты до упора.

И тут меня осенило. Кто-то побывал в моем гостиничном номере в Боготе и, вероятно, извлекал из ноутбука жёсткий диск — скорее всего, чтобы скопировать образ.

Этот инцидент стал для меня очередным тревожным сигналом. Тем не менее, это был не первый случай, когда в мою личную жизнь вторглись во время поездки.

Всего год назад, при возвращении из Колумбии, меня задержали в аэропорту Атланты. Причину задержания мне не сообщили, но тщательно обыскали все мои вещи. У меня было несколько ноутбуков и много другого компьютерного оборудования, которое я использовал для докладов и выступлений. Пока я находился на досмотре, мне позвонила моя тогдашняя девушка. С ней связалась колумбийская полиция и попросила разрешения на досмотр посылки, которую я отправлял из Колумбии в США. В посылке был зашифрованный жёсткий диск от ноутбука. Полиция Боготы заявила, что они искали кокаин. Разумеется, никаких следов наркотиков в жёстком диске не нашли, а сам диск был зашифрован с помощью PGP Whole Disk Encryption. В Атланте же меня выпустили из зоны досмотра и позволили продолжить путь.

Эти два инцидента заставили меня понять, что в заграничных поездках мне нужно быть предельно осторожным с данными. Моя деятельность не вызывает вопросов у правосудия, но на моих устройствах хранятся заметные объёмы конфиденциальной информации — например, данные о найденных по заказу компаний уязвимостей в их инфраструктуре. Если эти данные попадут в чужие руки, проблемы будут как у моих клиентов, так и у меня.

Из всего этого я сделал для себя следующие выводы. Перед тем, как ехать куда-то за границу, я создаю зашифрованную резервную копию диска. Эту резервную копию я сохраняю в зашифрованный контейнер VeraCrypt (второй слой шифрования), который сохраняю на внешнем диске. Этот диск я отправляю в гостиницу, в которой планирую остановиться. Чем это отличается от ситуации, когда я везу диск с собой? Известный факт: во многих странах у пограничников есть право потребовать от путешественника предоставить пароль от зашифрованных данных. Самого путешественника при этом можно задержать без предъявления обвинений и не выпускать ровно столько времени, сколько ему понадобится на осознание того, что пароль выдать всё-таки придётся.

Отправляя же диск почтой, мне не приходится беспокоиться о том, что кто-либо сможет заставить меня сообщить пароль, а какие-либо конфиденциальные данные окажутся в чужих руках. Перед отъездом я удалю со своего компьютера все конфиденциальные данные и инструменты для взлома. Как только я приеду в отель, я восстановлю эти данные с зашифрованного диска, который я ранее отправил в отель. Поскольку я уже пересёк границу, у полиции не будет законного права на обыск.

Аналогичным образом я действую с мобильными устройствами, такими, как мой iPhone.

Сначала я делаю полную зашифрованную резервную копию телефона и сохраняю её в зашифрованном контейнере. Поскольку в телефоне обычно гораздо меньше данных, чем на жёстком диске, я могу спокойно сохранить зашифрованный образ телефона куда-нибудь в облако AWS или Azure. Оказавшись на месте, я могу скачать и восстановить резервную копию на телефон. Собственно, телефон можно и вовсе не брать с собой — резервную копию можно без проблем восстановить на аналогичное устройство в том же объёме. Важно помнить, что некоторые элементы, такие как сообщения Signal, не восстанавливаются; впрочем, это разумная плата за защиту конфиденциальности.

К сожалению, всё это не помешает попросту войти в вашу комнату и снять образ диска, как это произошло со мной в Боготе. Мой совет, чтобы избежать подобных ситуаций, — всегда держать устройства при себе. Находясь за границей, не оставляйте ноутбук и телефон без присмотра. Возьмите их с собой, даже если собираетесь просто спуститься на ужин. В некоторых странах я бы даже рекомендовал брать устройства с собой в ванную, когда принимаете душ!

Всё это может показаться излишним и, несомненно, требует дополнительных усилий, но они являются необходимыми для защиты конфиденциальной информации в поездках.

Об авторе: Кевин Митник — знаковая фигура, бывший хакер, консультант по компьютерной безопасности и писатель. В 1995 году был обвинён в совершении компьютерных преступлений. Обвинение, судебный процесс и связанные с этим события носят весьма противоречивый характер. Кевин — личный друг Владимира Каталова; они регулярно встречаются в Москве. На фото: одна из первых встреч с Кевином — мы взломали его iPhone прямо на конференции BlackHat в Вегасе.

В процессе анализа устройств под управлением iOS вы наверняка встречались с отсылками на поколения процессоров (SoC). Чаще всего такие отсылки встречаются у исследователи безопасности и разработчиков эксплойтов и джейлбрейков для iOS — например, джейлбрейка checkra1n. Как правило, в списке поддерживаемых устройств перечисляется несколько моделей iPhone с пометкой, в которой упоминаются «совместимые модели iPad». Какие именно модели «совместимы» и почему? Можно ли сказать то же самое об устройствах iPod Touch и Apple TV?

Идентификация модели

На этом шаге нужно точно определить модель iPhone, iPad или другого устройства. На сайте Apple есть подробные инструкции

В этом списке отсутствуют часы Apple Watch, хотя о них мы тоже могли бы рассказать. Проблема в том, что извлечение данных из часов Apple Watch возможно в очень ограниченных масштабах.

Как правило, определить модель устройства достаточно просто: на задней крышке устройства (iPhone, iPad или iPod Touch) указывается номер модели в формате Axxxx. «xxxx» — это четыре цифры. Как только вы узнаете номер модели, выполните поиск по вышеупомянутым страницам. Сразу отметим, что некоторые модели iPhone и iPod могут иметь одинаковый внешний вид, а иногда во время ремонта в неавторизованных сервисах задняя крышка заменяется на крышку от другой модели или и вовсе неоригинальную. Единственный надёжный способ узнать модель устройства — открыть [Настройки] | [Об устройстве], где и будет указан номер модели.

Поколение процессора (SoC)

Сердце каждого устройства Apple — это SoC, интегрированная система на кристалле, которую в целях упрощения принято называть просто «процессором». Apple использует процессоры ARM собственной разработки; актуальный на данный момент процессор — A14, который появится в iPad Air (2020). Как модель процессора может повлиять на доступность методов извлечения? Это единственный фактор или есть что-то ещё, кроме очевидного — версии iOS?

Начнём с модели процессора. Мы собрали информацию из общедоступных источников и поместили её в таблицу:

Расшифруем значения цветов ячеек.

  • Зелёный: для этих устройств доступны все варианты, включая взлом пароля и извлечение BFU (в ограниченном объёме, если пароль неизвестен)
  • Синий: устройства уязвимы для эксплойта checkm8. Извлечение в режиме BFU (Before First Unlock) возможно независимо от версии iOS, но есть особенности (см. ниже)
  • Красный: если устройство заблокировано, а пароль неизвестен, извлечь из него данные не удастся

Уязвимость загрузчика BootROM

Эксплойт checkm8 получил широкую известность. В то же время вопрос его совместимости с разными поколениями устройств остаётся достаточно запутанным. И если в теории эксплойт должен работать на всех устройствах поколений от iPhone 4s до iPhone X включительно, то факты заметно сложнее.

  • Поддерживаются в настоящее время: s5l8947x, s5l8950x, s5l8955x, s5l8960x, t8002, t8004, t8010, t8011, t8015
  • Поддержка запланирована: s5l8940x, s5l8942x, s5l8945x, s5l8747x, t7000, t7001, s7002, s8000, s8001, s8003, t8012

Выглядит запутанно? В этом нет ничего удивительного: идентификаторы соответствуют версии загрузчиков. Например, T8010 — это загрузчик, использующийся в iPad 6 и 7 поколений, iPhone 7 и 7 Plus, а также iPod Touch 7 поколения.

 

В сопроводительной записке к джейлбрейку checkra1n ещё больше путаницы.

However, with the recently published blackbird vulnerability, we are able to get control of the Secure Enclave on A10 and A10X and disable this mitigation. Support for A10 and A10X devices is being worked on and is expected to be ready in the coming weeks.

Разработчики сообщают, что недавно обнаруженная уязвимость может помочь получить контроль над Secure Enclave в устройствах A10 и A10X (см. таблицу соответствия моделей).

Соответственно, актуальный список совместимости выглядит следующим образом:

  • iPhone 6s, 6s Plus и SE
  • iPad 5
  • iPad Air 2
  • iPad mini 4
  • iPad Pro 1
  • Apple TV 4 и 4K

Список вызывает удивление. Например, iPad mini 4 собран на процессоре A8X, который соответствует тому, что используется в iPhone 6 и 6 Plus; однако для iPhone 6 нет iOS 14 (и даже iOS 13), в то время как для iPad mini 4 — есть.

Извлечение данных

В процессе извлечения данных модели устройств, наборы микросхем и версии iOS являются скорее отвлекающими факторами. Актуальная матрица доступности методов извлечения — ниже:

Матрица неполна. Во-первых, в ней не хватает некоторых старых устройств, таких как iPhone 4, 4s, 5 и 5c. Во-вторых, в ней не описана совместимость с iOS 14, которая ограничена моделями iPhone 6s, iPhone SE, Apple TV и «совместимыми моделями iPad», см. выше.

Резюме:

  • iPhone 4, iPhone 4s, iPhone 5, iPhone 5s: все возможности — в ваших руках, даже для заблокированных iPhone
  • от iPhone 6s до iPhone X: извлечение образа файловой системы и Связки ключей для iOS до 13; частичное извлечение через BFU, если пароль неизвестен
  • iPhone 6s и SE: всё вышеперечисленное применимо и к iOS 14
  • iPhone Xr / Xs и iPhone 11: извлечение образа файловой системы и Связки ключей для iOS 13.5 и ниже, если известен пароль

Используйте Elcomsoft iOS Forensic Toolkit в качестве инструмента для извлечения файловой системы и расшифровки Связки ключей как для устройств с джейлбрейком, так и без него.

На скриншоте показан процесс извлечения через режим BFU с неизвестным паролем.

Другие варианты

Разумеется, iCloud. Независимо от того, с какой моделью iPhone вы работаете и какая версия iOS на нём установлена, при наличии учётных данных пользователя вы сможете загружать резервные копии всех устройств из его учётной записи, файлы с iCloud Drive и большое количество синхронизированных данных, включая информацию об учётной записи, множество категорий данных (контакты, заметки и фотографии iCloud и многое другое), а также данные, защищённые «сквозным шифрованием», такие как связка ключей iCloud, сообщения (iMessage и SMS), данные приложения Здоровье и многое другое. Инструменты? Elcomsoft Phone Breaker — единственный продукт на рынке, который может загружать все эти данные.

Современный смартфон — кладезь информации. В устройстве содержится подробнейшая информация о действиях, местоположении и прочих видах активности владельца устройства. В телефоне сохраняются и пароли пользователя, позволяющие зайти в сетевые ресурсы и сервисы. Если доступ к этим данным получит злоумышленник, пострадает сам пользователь. Парадокс в том, что далеко не каждый готов взять на себя ответственность по защите своих данных, предпочитая полагаться на случай или и вовсе полагая, что «скрывать нечего».

Недавно мы описали способы защиты резервных копий iPhone. Сегодня мы подготовили общий обзор способов, которыми ответственный за собственную цифровую гигиену пользователь может защитить информацию о своей жизни от злоумышленников.

Модели iPhone

Первое и главное: далеко не все модели iPhone одинаково безопасны. Если в ваших руках — iPhone 5s, 6, 6s, SE первого выпуска, iPhone 7, 8 или iPhone X, о безопасности можно смело забыть. В этих моделях присутствует неисправимая аппаратная уязвимость, эксплуатация которой при некоторых условиях позволяет получить доступ к данным. Если вы заботитесь о приватности собственных данных, смените модель устройства на более современную — одну из следующего списка:

  • iPhone Xr
  • iPhone Xs
  • iPhone Xs Max
  • iPhone 11
  • iPhone 11 Pro
  • iPhone 11 Pro Max
  • iPhone SE (2020)
  • iPhone 12

Ещё раз отметим, что использование устаревших моделей не оставляет шансов успешно защитить свои данные в силу наличия эксплойта checkm8.

Версии iOS

Вероятно, вы много раз слышали совет «вовремя обновляйте программное обеспечение». К сожалению, этот совет повторяют настолько часто, что многие стали его игнорировать. Не слишком помогает и несколько издевательский оттенок этого совета в контексте смартфонов под управлением Android, для большинства которых обновления ПО — роскошь, доступная с огромными задержками или недоступная вовсе. Однако у пользователей iPhone такого оправдания нет: Apple выпускает обновления iOS регулярно, их доступность — мгновенна, а покрываются все модели iPhone, включая выпущенные несколько лет назад. Моете ли вы руки перед едой? Обновляете ли вы программное обеспечение? Эти вопросы — из одного ряда. В старых версиях iOS есть уязвимости, позволяющие взломать устройство и получить доступ к данным. Apple быстро реагирует на опубликованные уязвимости, выпуская исправления в течение дней или недель после их обнаружения. Очень важно понимать, что пункт «исправлена уязвимость» относится лишь к самой последней, актуальной здесь и сейчас версии iOS. На данный момент актуальной является iOS 14.0.1 is (iOS 14.2 доступна в виде бета-версии). Использование любой более старой версии — рискованно.

Пароли

Создаёте ли вы резервные копии? Даже если нет, обязательно установите длинный и сложный пароль на резервную копию. Сделайте это независимо от того, планируете ли вы делать локальные резервные копии или нет: если резервную копию телефона не создадите вы, то злоумышленник с удовольствием создаст её вместо вас. Пароль должен быть достаточно сложным: нужно использовать не менее 8 символов, смешивая строчные и заглавные буквы, цифры и специальные символы. Этот пароль должен быть уникальным (не сохраняйте его в браузере!) и не должен состоять из словарных слов.

Наконец, установите код доступа Экранного времени — опять же, независимо от того, используете ли вы саму функцию Экранного времени или нет. Просто установив этот пароль, вы обезопасите устройство от сброса пароля к резервной копии в случае, если кто-то получит контроль над вашим iPhone. Код доступа Экранного времени должен отличаться от кода блокировки устройства. Воздержитесь от использования года рождения вас или членов вашей семья, текущего или любого другого года. Дополнительно:

Код блокировки и биометрические датчики

По умолчанию iOS предлагает использовать 6-значный код блокировки экрана (раньше были 4-значные PIN). Это удобно, но определённо небезопасно: существуют решения для взлома кода блокировки, предположительно доступные только для правоохранительных органов. Максимальная безопасность достигается с использованием кода блокировки из 8 цифр либо буквенно-цифрового пароля.

Использовать Touch ID и Face ID — удобно, но их безопасность ниже, чем безопасность кода блокировки. Биометрические датчики — своеобразный компромисс, позволяющий реже вводить код блокировки экрана, но ослабляющий безопасность устройства.

Подключения

Если вы подключали iPhone к любому компьютеру, ваши данные под угрозой. Об этом можно прочитать в статье The Issue of Trust: Untrusting Connected Devices from Your iPhone.

Что можно сделать? Рекомендации достаточно просты:

  • Используйте оригинальные или сертифицированные Apple кабели, купленные в Apple Store. К сожалению, ни один другой магазин, даже если это Amazon, не в состоянии обеспечить гарантии того, что кабель будет действительно оригинальным. Будьте в курсе существования таких вещей, как MG Cable и USB Ninja.
  • То же относится и к зарядным устройствам. Такие зарядные устройства могут использоваться злоумышленниками.
  • Если при использовании любого зарядного устройства на телефоне появился запрос на установление доверенных отношений (Trust this computer?), знайте: перед вами — устройство для кражи информации. Ни одно «честное» зарядное устройство не нуждается в «доверии» телефона для его зарядки и не обладает достаточно дорогой программно-аппаратной обвязкой, которая необходима для обмена данными. Единственная цель установления «доверенных отношений» — доступ к информации в телефоне.
  • Не устанавливайте доверенных отношений с компьютером, которому вы не можете полностью доверять. Если же это всё же произошло, удалите связь как можно быстрее.
  • Следите за безопасностью вашего собственного компьютера. Помимо прочего, в его браузере могут быть сохранены пароли от ваших учётных записей.

Наконец, помните, что ваш компьютер может использоваться для доступа к вашему телефону. Используйте BitLocker в Windows или FileFault2 в macOS – и, разумеется, установите уникальный пароль на вход в систему.

SOS!

Потренируйтесь в том, как быстро активировать режим «S.O.S.» на вашем iPhone. После запуска этого режима из памяти устройства удаляются некоторые ключи, что сделает невозможным биометрическую разблокировку. Кроме того, будет немедленно заблокирован порт Lightning, что значительно затрудняет, если не делает невозможным извлечение данных. Дополнительно: The True Meaning of iOS Recovery, DFU and SOS Modes for Mobile Forensics.

iCloud

О безопасности учётной записи iCloud можно написать не одну статью. Вот лишь несколько замечаний:

  • Убедитесь, что вы точно знаете, какие именно данные хранятся в вашей учётной записи iCloud. Не делайте предположений: вы можете удивиться, обнаружив в iCloud неожиданные вещи и не обнаружив в облаке, например, свежей резервной копии.
  • Используйте надёжный и уникальный пароль iCloud.
  • Включите функцию Find My [Phone]
  • Используйте двухфакторную аутентификацию.

Обратите внимание, что Apple имеет доступ к большей части ваших данных, хранящихся в iCloud, и может предоставить их правоохранительным органам по запросу; подробности см. в Программе поддержки правоохранительных органов. Все, что нужно для оформления запроса, — это ваш Apple ID (электронная почта) либо номер телефона, IMEI устройства или его серийный номер.

И ещё о программном обеспечении

Насколько вы уверены в безопасности приложений, которые вы используете? Задумывались ли вы об этом в принципе? Имейте в виду: абсолютно любое приложение, от мессенджера до программы управления документами, может представлять угрозу безопасности. Большинство известных программ для мгновенного обмена сообщениями безопасны (рекомендуем Signal), но всё же уязвимы для эксплойтов или вредоносного программного обеспечения, которое может быть незаметно установлено на ваш iPhone или телефон вашего собеседника. Кроме того, некоторые мессенджеры хранят свои данные в облачных сервисах производителя или создают резервные копии чатов в Apple iCloud (что справедливо и для других типов ПО).

Ещё о блокировке экрана

О сложности кода блокировки мы уже поговорили. Остались мелочи: убедитесь, что экран вашего телефона будет заблокирован автоматически, даже если вы забудете отключить его кнопкой. В настройке Display & Brightness | Auto-Lock должно быть значение, отличное от “Never”.

Кроме того, имеет смысл ограничить возможности взаимодействия с устройством в то время, когда экран заблокирован. В пункте настроек [Touch/Face ID & Passcode] | [Allow access when locked] отключите следующие вещи:

  • Notification Centre
  • Control Centre
  • USB Accessories

Центр уведомлений стоит отключить потому, что в уведомлениях может содержаться (и часто содержится) информация, не предназначенная для посторонних. Центр управления позволяет включить режим «в полёте», часто использующийся злоумышленниками для транспортировки телефона без отключения питания. Наконец, последняя настройка позволяет активироваться режиму ограничений USB.

И последнее: в настройке [Require passcode] установите “Immediately”.

IoT

Вы носите Apple Watch? Устройства Интернета вещей могут представлять дополнительный риск. Например, Apple Watch можно использовать для разблокировки компьютера Mac (если вы настроили эту функцию). Дополнительные сведения о данных, доступных в Apple Watch Apple TV and Apple Watch Forensics 01: Acquisition and Apple Watch Forensics 02: Analysis . Чтобы защитить свои Apple Watch, убедитесь, что вы включили пароль, и что он отличается от того, который установлен на вашем iPhone.

Пользователям Apple TV повезло меньше: защитить это устройство паролем невозможно. В приставке могут быть найдены такие данные: Apple TV Forensics 03: Analysis.

Прочее

Помимо перечисленного выше, есть ещё несколько достойных упоминания вещей.

Приложения, установленные из сторонних источников

В отличие от Android, в iOS нет простого способа установить приложение не из App Store. Слежка за пользователем встречается в приложениях для iOS так же часто, как и на Android, но в iOS 14 Apple собирается решить эту проблему, заставив разработчиков запрашивать у пользователя разрешение на отслеживание.

Джейлбрейк

Не устанавливайте джейлбрейк. Взломанные устройства заметно менее безопасны, чем невзломанные. Помимо прочего, джейлбрейк обычно доступен для устаревших версий iOS (Apple оперативно устраняет уязвимости, которые делают возможной его установку), что само по себе несёт дополнительные риски.

MDM

MDM — это мощный способ установить дополнительные ограничения для повышения безопасности устройства. Например, можно заставить пользователя устанавливать достаточно сложные коды блокировки, или потребовать определённых настроек автоматической блокировки экрана. Среди прочего, MDM можно использовать для ограничения или запрета на сопряжение с новыми устройствами.

У MDM есть и обратная сторона. Если злоумышленник получит доступ к консоли MDM, он сможет изменять настройки безопасности или отслеживать ваше устройство.

И снова облако

iCloud — самый большой риск в экосистеме iOS. Даже если вы сделаете всё возможное, чтобы защитить свою учётную запись, Apple будет по-прежнему обрабатывать запросы от правоохранительных органов. Данные в облаке даже более подробны, чем те, которые находятся в устройстве. В их состав могут входить, например, кадры с камер наблюдения, установленных в магазинах Apple Store. Apple предоставляет информацию о том, какие данные хранятся в облаке и могут быть раскрыты по запросу, но фактический объём и разнообразие данных больше, чем компания готова признать публично.

Рандомизация MAC-адреса

В статье Использование частных адресов Wi-Fi в iOS 14, iPadOS 14 и watchOS 7 подробно описано, зачем это нужно.

Google и Facebook

Если вы используете приложения или сервисы Google на своём iPhone, имейте в виду, что у Google есть собственная политика о методах сбора, обработки, хранения и раскрытия данных.

Даже если у вас нет учётной записи и приложения Facebook, большинство приложений, которые вы установите на свой iPhone, будет включать SDK от Facebook, который используется для слежки за пользователем. Apple собирается ограничить слежку через SDK в следующих обновлениях iOS 14 в начале 2021 года.

Сотовые операторы

По запросу от правоохранительных органов оператор сотовой связи будет обязан передать большой объём данных, включая подробную историю местоположения пользователя и даже список посещённых веб-сайтов (запросы DNS).

Теория заговора

Даже если вы выключите свой iPhone, не извлекая аккумулятор (это сделать невозможно), ваш телефон может использоваться в качестве удалённого микрофона.

Заключение

Какой бы безопасной ни казалась экосистема Apple, она не лишена недостатков, большая часть из которых является уступками в сторону удобства использования. Невозможно рассказать сразу обо всём или создать единое руководство по безопасности: ситуация меняется постоянно, и любое руководство устареет сразу после публикации. Помните: ответственность за безопасность ваших данных лежит на вас и только на вас.

НАШИ НОВОСТИ