Ровно двенадцать лет назад мы разработали способ поставить Apple iCloud на стражу законности. Двенадцать лет назад наш новый продукт был встречен прохладно. В публичном поле превалировали два полярных мнения: первое — что мы не сделали ничего особенного; второе — что вот теперь хакеры взломают все аккаунты, а спецслужбы воспользуются новым инструментом, чтобы установить тотальную слежку за гражданами. Сколько правды в этих утверждениях и как изменилось общественное мнение по поводу облачной криминалистики — в этой статье.

Прохладная встреча

В 2012 году вышла первая версия Elcomsoft Phone Breaker (на тот момент — Elcomsoft Phone Password Breaker) с поддержкой iCloud. Двенадцать лет назад мы могли скачивать только резервные копии в iCloud; впрочем, других интересных данных в облаке в то время было немного. Для получения доступа должны были быть известны пользовательский идентификатор Apple ID и пароль к нему; ни двухфакторной аутентификации, ни сквозного шифрования, ни каких-либо других дополнительных защит в то время не существовало.

Новый релиз был встречен общественностью неоднозначно.

Некоторые отнеслись к извлечению данных из iCloud с показным равнодушием, утверждая, что если у кого-то есть учётные данные пользователя, то извлечь из облака его данные — дело тривиальное и не стоящее выеденного яйца. С точки зрения этой публики ничего новаторского в процессе извлечения нет, а инструмент — просто удобная оболочка для доступа к данным.

Были и те, кто начал бить в колокола, подчёркивая потенциальные риски, связанные с извлечением из iCloud. С их точки зрения, новый функционал должен неизбежно превращался в хакерский инструмент и новый способ для подавления правительствами гражданских свобод.

Некоторая доля истины есть в обеих точках зрения. Впрочем, и та, и другая сильно упрощают процесс. Хотя наличие данных для входа в облако и в самом деле открывает доступ к облачному хранилищу, просто открыть хранилище недостаточно: данные из него нужно как-то извлечь, а с этим возникают проблемы. С точки зрения Apple, доступ к резервной копии iCloud может понадобиться только устройствам iPhone или iPad; соответственно, и механизмы доступа к резервным копиям были созданы только для этих устройств. Таким образом, даже имея логин и пароль, для скачивания резервной копии без нашего ПО эксперту пришлось бы найти, сбросить и заново настроить совместимое устройство Apple, ещё и убедившись предварительно, что на нём установлена совместимая версия iOS. И даже после этого данные нужно будет как-то извлечь уже из самого устройства, что является отдельной задачей.

Вторая точка зрения имеет некоторые основания. Опасения алармистов получили подтверждение печально известным случаем взлома аккаунтов знаменитостей «Селебгейт» в 2014 году, когда фотографии из iCloud попали в руки злоумышленников. А вот о сколько-нибудь системном, не говоря — массовом, использовании нашего инструмента спецслужбами ни тогда, ни сейчас не было и речи: со слежкой за гражданами успешно справляются сотни тысяч (сегодня — уже миллион) повсеместно установленных видеокамер. Осудим производителей видеокамер или всё-таки тех, кто использует их для подавления гражданских свобод? Мы утверждали и продолжаем утверждать, что инструмент — это всего лишь инструмент, а моральной оценки заслуживают в первую очередь намерения и действия людей, в руках которых он находится.

Отложив полемику, мы считаем, что важнее продолжать изучение технических и юридических тонкостей извлечения данных из облачных сервисов и их влияние на безопасность и конфиденциальность пользовательских данных. Хотя опасения относительно потенциальных злоупотреблений справедливы, наша технология ориентирована на применение в рамках закона — такие как помощь правоохранительным органам в расследовании преступлений или помощь в восстановлении утраченных данных. Более того, важно осознавать изменчивую природу киберугроз и необходимость непрерывной адаптации и улучшения защитных механизмов. События «Селебгейт» послужили уроком как для Apple, так и для пользователей, подтолкнув к улучшению протоколов безопасности и повышению осведомлённости пользователей.

Соревнование щита и меча

Долгое время Apple не реагировала на новую угрозу, однако доступность технологии облачного извлечения заставила компанию ускорить выпуск новых мер безопасности, которые уже находились в процессе разработки. В марте 2013 года в качестве временного решения Apple выпустила опциональную, недоработанную защиту в виде двухэтапной верификации. Только в 2015 году, с выходом iOS 9, компания, наконец, выпустила защиту двухфакторной аутентификацией в её современном виде. Сегодня более 95% учётных записей Apple защищены двухфакторной аутентификацией. Мы же добавили в наш продукт поддержку двухфакторной аутентификации вскоре после её введения.

Помимо усиления протоколов аутентификации, Apple внедрила и другие меры для укрепления безопасности iCloud. Среди них — сквозное шифрование для ряда категорий, которое дополнительно защищает чувствительные данные ключом, который шифруется с помощью кода блокировки или пароля от устройства пользователя (или несколькими паролями, если на одном Apple ID зарегистрированы несколько устройств с разными паролями). Поскольку Apple не знает пароль устройства пользователя, компания не имеет доступа к чувствительной информации пользователя, такой как его пароли от других сервисов или сообщения в iCloud. Сама компания не может выдать эти данные по запросу правоохранительных органов, а мы — можем: в 2017 году мы добавили возможность извлечения облачной связки ключей, которая является основной частью набора данных, защищённых сквозным шифрованием. Со временем всё большее число типов данных переходило под зонтик сквозного шифрования — а мы, соответственно, добавляли возможность их извлечения.

Изменения в iOS 17 осложнили доступ к iCloud в плане скачивания резервных копий; в Elcomsoft Phone Breaker этот функционал работает нестабильно, если резервная копия была создана в iOS 17. Мы до сих пор пытаемся определить причину проблемы. В то же время доступ к синхронизированным данным остался без изменений: и фотографии из iCloud, и категории, защищённые сквозным шифрованием, можно скачать независимо от версии iOS.

По крайней мере, так было до недавнего времени.

В конце 2022 года, Apple представила очередную опциональную функцию под названием Advanced Data Protection for iCloud. Эта функция, которую пользователь должен активировать самостоятельно, позволяет защитить практически всю информацию с помощью новой реализации сквозного шифрования. Новая реализация отличается от стандартного механизма, работать с которым мы умеем: теперь кода блокировки экрана уже недостаточно, чтобы получить доступ к данным. Спустя почти полтора года мы так и не нашли решения этой проблемы. Пока что Apple на шаг впереди.

Запрос данных из iCloud: официальный способ не для всех

Правоохранительным органам большинства государств доступен легальный способ получения доступа к облачным данным. Для этого нужно обратиться в Apple с официальным запросом, который оформляется по правилам, описанным в документации (см. ссылки ниже). Кроме правильно оформленного запроса для выдачи данных компании Apple потребуется ордер. Данные, полученные таким способом, примет любой суд — но получить их таким образом непросто в силу юридических и бюрократических причин. Приведём, тем не менее, ссылки на соответствующие документы.

Основной ресурс — страница

• Конфиденциальность – Государственные запросы на раскрытие информации

В ней описаны общие положения и приводятся ссылки на формы и документы, которые доступны только на английском языке:

• Law Enforcement Guidelines (US)
• Government & Law Enforcement outside the United States
• Microsoft Word — gle-inforequest.docx (apple.com)

Для связи с компанией можно использовать информацию со следующей страницы:

• Legal — Contact Us — Apple
• iCloud User Guide — Apple Support

Хотя юридический путь гарантирует, что данные получены надлежащим образом, что повышает достоверность доказательств в судебном разбирательстве, этот путь может быть длительным и очень сложным. Более того, Apple не возвращает никаких данных, подпадающих под действие сквозного шифрования; соответственно, никакого доступа к связке ключей iCloud (с логинами и паролями пользователя), никаких сообщений, истории Safari и многих других типов данных, которые могли бы стать важными уликами. Все эти данные можно загрузить с помощью Elcomsoft Phone Breaker, но только в том случае, если у вас есть код блокировки экрана или системный пароль для одного из устройств Apple пользователя, зарегистрированных в той же учётной записи Apple ID.

А что впереди?

Попробуем заглянуть в будущее. В нём я не вижу места локальным резервным копиям; они, вероятно, уйдут в прошлое вслед за разъёмом Lightning и приложением iTunes в macOS. В облаке останутся резервные копии; пока непонятно, получит ли массовое распространение технология Advanced Data Protection, которая защищает резервные копии в облаке сквозным шифрованием.  Впрочем, также непонятно, у какого числа пользователей вообще будут создаваться облачные резервные копии: минимальный объём хранилища современных моделей iPhone — 128ГБ, а бесплатного места в iCloud компания предоставляет всего 5ГБ. Нет ли здесь некоторой диспропорции? (Спойлер: она есть. У большинства пользователей, не оплачивающих дополнительное место в облаке, резервных копий нет.)

В то же время многие типы данных синхронизируются с облаком, минуя резервные копии. Это относится к паролям, контактам, истории браузера, сообщениям и многим другим типам данных, которые не занимают в облаке много места. Эти данные по-прежнему успешно извлекаются Elcomsoft Phone Breaker, но лишь у тех пользователей, которые не включили технологию Advanced Data Protection.

В результате у тех пользователей, которые хоть в какой-то степени озабочены безопасностью своих данных, есть простой и понятный способ свои данные обезопасить: для этого им достаточно коснуться переключателя «Advanced Data Protection» в настройках устройства; остальное Apple сделает автоматически. У правоохранительных органов остаётся доступ к данным учётных записей, владельцы которых данную возможность не активировали. Нам очень интересно узнать, какой процент как обычных пользователей, так и преступников активировал эту защиту. К сожалению, ни Apple, ни правоохранительные органы не спешат поделиться этой интереснейшей информацией.