Статьи в рубрике ‘Полезные советы’

Какие существуют способы для извлечения максимально подробных данных из устройств iPhone, iPad, Apple TV и Apple Watch, и каким из множества способов стоит воспользоваться? Ответ на этот вопрос — многомерная матрица со множеством сносок и отступлений. О них мы и поговорим в этой статье.

Вопрос совместимости

Первые два измерения матрицы — совместимость различных способов извлечения с версией программного обеспечения и аппаратной платформой устройства. На создание таблицы совместимости ушло много времени и усилий; при этом время, в течение которых эти данные будут оставаться актуальными, ограничено циклом выхода новых версий соответствующих операционных систем. В таблице отсутствуют модели планшетов iPad; это упущение связано с тем, что совместимость соответствующих моделей iPad практически полностью совпадает с совместимостью моделей iPhone, работающих под управлением аналогичных версий операционной системы (версии iOS и iPadOS  синхронизированы).

Расшифровка сокращений:

  • Backups — локальные резервные копии в формате iTunes или в iCloud
  • iCloud Sync — данные, синхронизированные в облаке iCloud
  • Media/Shared/Logs — мультимедиа-файлы (изображения и видео), файлы некоторых приложений и журналы диагностики
  • FFS — Full File System, полный образ файловой системы устройства
  • Keychain — Связка ключей (извлечение и расшифровка)
  • FFS & keychain — полный образ файловой системы и расшифровка Связки ключей

Рассмотрим возможные подводные камни.

По типу устройства

iPhone и iPads (iOS/iPadOS)

Для iOS (и iPadOS) доступно максимальное разнообразие методов извлечения данных. Всё, что вам потребуется — это кабель Lightning или USB Type-C (для моделей iPad Pro и Apple TV 4). Впрочем, для извлечения через checkra1n мы рекомендуем использовать кабель USB-A — Lightning (пример), но не USB-C — Lightning, т.к. при использовании последнего часто возникают проблемы (в частности, с переводом устройства в режим DFU).

Apple TV (tvOS)

В случае с Apple TV 4 всё достаточно просто: устройство оборудовано разъёмом USB Type-C. В новой модели 4K порт убрали; вам потребуется переходник, позволяющий подключиться к скрытому порту Lightning. Мы написали об этом в статье Jailbreaking Apple TV 4K.

Если вы предпочитаете использовать checkra1n вместо unc0ver (например, если версия tvOS не поддерживается unc0ver), обратите внимание: вам потребуется дополнительный кабель-прерыватель для перевода устройства в режим DFU.

Без джейлбрейка можно извлечь мультимедиа-файлы и метаданные плюс некоторые журналы диагностики.

Apple Watch (watchOS)

В данном случае адаптер нужен всегда, см. Apple TV and Apple Watch Forensics 01: Acquisition. Нужные адаптер носит название «IBUS». В настоящее время подобные адаптеры существуют для поколений часов S1/S2/S3, но не для S4 или S5. В то же время, часть данных (в основном Здоровье), которые собираются часами, синхронизируются с подключённым телефоном iPhone и через него — с облаком iCloud. Отдельных резервных копий часов в облаке нет, но часть данных Apple Watch хранится в резервных копиях iPhone.

По методу извлечения

Логическое извлечение данных — самый быстрый, простой, безопасный и совместимый метод сбора данных. Да, этот метод предоставляет ограниченный объем данных; тем не менее, мы рекомендуем воспользоваться в первую очередь именно им. Обратите внимание:

  • Существуют различия в данных между локальными и облачными резервными копиями.
  • Также существуют различия между локальными резервными копиями с и без пароля (см. The Most Unusual Things about iPhone Backups); больше данных содержат именно резервные копии с паролем.
  • Извлечь резервную копию из облака может оказаться сложнее, чем кажется (и это не только вопрос двухфакторной аутентификации).

Имейте в виду, что резервные копии — лишь часть информации, доступной в рамках логического извлечения. Можно извлечь мультимедиа-файлы с метаданными, даже если резервная копия защищена паролем, а пароль неизвестен. Кроме того, можно извлечь некоторые файлы приложений (обычно документы, но иногда и другие пользовательские данные от фотографий до баз данных, включая например менеджеры паролей) и журналы диагностики, которые могут помочь в восстановлении истории использования устройства. Этот метод — единственный, который работает на устройствах Apple TV без джейлбрейка и на устройствах Apple Watch от S1 до S3.

Полный образ файловой системы содержит намного больше данных, чем даже резервная копия с паролем. С образом файловой системы вы получаете все данные, включая данные из «песочниц» приложений и системные базы данных с точками местоположения, информацию об использовании устройства и многое другое.

Настоящая золотая жила — Связка ключей. Связка ключей представляет собой защищённое и зашифрованное хранилище для паролей пользователя, ключей шифрования, сертификатов, данных кредитных карт и многого другого. Расшифровав Связку ключей, вы получите доступ к чатам защищённых мессенджеров, к сторонним облачным службам, используемым владельцем устройства, и многому другому. Если вы не работаете со Связкой ключей, вы многое теряете.

Чтобы получить файловую систему и связку ключей, мы рекомендуем извлечение с помощью агента (если он доступен для выбранной модели и версии системы), так как это самый безопасный и надежный метод. Однако поддержка версий iOS и моделей устройств шире именно с джейлбрейками.

Наконец, извлечение из облака iCloud (честно говоря, наша любимая тема). У этого метода так много преимуществ, что о них стоит написать отдельную статью. Устройство — не нужно! А вот код блокировки от него (не говоря о пароле к учётной записи) понадобится для расшифровки некоторых данных, защищённых в облаке сквозным шифрованием (не совсем корректный термин, извините). Через облако можно получить доступ к текущим и удалённым данным, а также к данным с других устройств пользователя, подключённых к той же учётной записи.

По версии ОС

Для логического анализа, включая извлечение файлов мультимедиа и журналов диагностики, версия операционной системы не имеет значения. Логический анализ доступен для всех версий ОС: от древней iOS 4 до предварительной бета-версии iOS 13.6 (последняя версия, доступная на момент написания этой статьи); результат будет примерно одинаков. Первая бета-версия iOS 14 выходит на следующей неделе, и мы практически уверены, что логический анализ заработает сразу и без проблем.

К сожалению, в случае с джейлбрейками и нашим собственным агентом-экстрактором дела обстоят иначе. Как джейлбрейки, так и наш агент-экстрактор базируются на обнаруженных исследователями уязвимостях. Такие эксплойты существуют для большинства версий iOS вплоть до iOS 13.5 включительно, но некоторые конкретные версии системы охвачены не полностью. Например, для iOS 12.3–12.4.7 из iPhone 5s и iPhone 6 мы можем извлечь только образ файловой системы, но не связку ключей. Аналогичным образом обстоят дела с устройствами под управлением iOS 13.3.1–13.4.1. Наконец, хотя для iOS 13.5 и доступен джейлбрейк, позволяющий извлечь как файловую систему, так и связку ключей, вам придётся самостоятельно устанавливать джейлбрейк; наш агент-экстрактор для этой версии не сработает. Для iOS 13.5.1–13.6 beta 2 можно использовать checkra1n (только для совместимых моделей).

С tvOS ситуация значительно хуже. Эксплойты существуют и для Apple TV (точнее, для tvOS), но джейлбрейки доступны только для очень ограниченного числа версий в диапазоне tvOS 9-12. Только tvOS 13 полностью поддерживается джейлбрейком checkra1n, включая (в теории) и последнюю бета-версию 13.4.8, которую мы однако ещё не проверяли. Мы в состоянии добавить поддержку агента для более старых версий tvOS, но конкретных планов пока нет. Обратите внимание, что Apple по умолчанию обновляет tvOS автоматически, поэтому на приставке Apple TV, как правило, будет установлена ​​последняя версия tvOS.

Что касается watchOS, то об извлечении файловой системы можно забыть независимо от версии watchOS. Несмотря на то, что watchOS уязвима для эксплойта checkm8, общедоступных джейлбрейков для watchOS 5.2 и более поздних версий просто не существует; текущей же версией является watchOS 6.2.8 beta 2. С другой стороны, бОльшая часть информации, собранной Apple Watch, доступна либо с iPhone, с которым он связан, либо из облака. Если у вас есть адаптер IBUS, вы сможете извлечь медиа-файлы и метаданные (для часов серии S1-S3).

Заключение

Как мы уже многократно писали, в случае с извлечением данных с устройств Apple не существует «решения одной кнопки» (не верьте производителям, которые заявляют о подобном), хотя мы стараемся сделать рабочий процесс максимально простым. Важно понимать, какие варианты извлечения данных доступны для каждой комбинации аппаратного и программного обеспечения, и принимать обдуманное и взвешенное решение при выборе метода для анализа (точнее, комбинации методов).

Одной из основных задач расследований, связанных с мобильными устройствами, является извлечение максимально полного набора данных. В случае, если мобильное устройство — iPhone, для низкоуровневого доступа к файлам и для расшифровки Связки ключей, в которой хранятся все пароли пользователя, может потребоваться установка джейлбрейка.  Несмотря на то, что существуют надёжные методы сбора данных, которые работают без джейлбрейка, эти методы могут быть недоступны в зависимости от ряда факторов, что возвращает нас к вопросу о джейлбрейках. Сегодня мы рассмотрим два самых популярных и самых надёжных в работе джейлбрейка — checkra1n и unc0ver. Чем они отличаются и в каких ситуациях какой из них стоит использовать? Попробуем разобраться.

Джейлбрейк checkra1n

Джейлбрейк chechra1n основан на уязвимости загрузчика, реализованной в эксплойте checkm8. Аппаратная природа проблемы не позволяет Apple закрыть уязвимость; соответственно, данный эксплойт и основанный на нём джейлбрейк останутся актуальными до тех пор, пока в циркуляции остаются устройства соответствующих поколений.

  • Подверженные уязвимости модели: iPhone 5s, 6, 6 Plus, 7, 7 Plus, 8, 8 Plus, iPhone X
  • Подверженные уязвимости версии iOS: iOS 12.3 до iOS 13.5.5 beta
  • За: совместимость с будущими версиями iOS; работает на заблокированных устройствах с неизвестным кодом блокировки
  • Против: поддерживается ограниченное число моделей; не работает для iOS 12.2 и более старых

Джейлбрейк unc0ver

Джейлбрейк unc0ver кардинально отличается от ранее описанного checkra1n. Данные джейлбрейк основан на уязвимостях в операционной системе iOS, а точнее — в конкретных версиях iOS вплоть до iOS 13.5. В новых версиях системы найденные уязвимости исправлены, и джейлбрейк перестал работать.

  • Подверженные уязвимости модели: iPhone 5s до iPhone 11 Pro Max и iPhone SE 2 (2020)
  • Подверженные уязвимости версии iOS: iOS 11.0 до iOS 13.5
  • За: стабильная установка и работа; совместим со всеми версиями iOS 11 и iOS 12; поддерживает последние поколения устройств Apple (iPhone 11, iPhone SE 2020)
  • Против: не работает с iOS 13.5.1 и 13.5.5 beta; используемые уязвимости закрыты Apple в свежих версиях системы

Агент-экстрактор

Рассказав о джейлбрейках и их особенностях, было бы неправильно не упомянуть альтернативный способ извлечения данных — агент-экстрактор нашей собственной разработки. Агент-экстрактор обеспечивает криминалистически чистый способ получить эскалацию привилегий и извлечь данные из устройства. К сожалению, агент-экстрактор работает не на всех версиях iOS, что естественным образом ограничивает область его применимости. В то же время, если конкретная комбинация аппаратного и программного обеспечения совместимы с агентом-экстрактором, использует следует именно его как наиболее безопасный и чистый способ, практически не оставляющий (за исключением записей в системном журнале) следов работы.

  • Поддерживаемые модели: iPhone 5s до iPhone 11 Pro Max и iPhone SE 2 (2020)
  • Поддерживаемые версии iOS: iOS 11.0 до iOS 13.3 (с некоторыми исключениями для iPhone 5s и iPhone 6)
  • За: 100% безопасность и криминалистическая прозрачность
  • Против: требуется учётная запись Apple для разработчиков; ограниченная совместимость

Прочие джейлбрейки

Для iOS 11 iOS 12 существуют и другие джейлбрейки, в частности — ElectrarootlessJB и Chimera. Мы поддерживаем Electra и Chimera, но поддержку rootlessJB в последней версии EIFT удалили. Связано это с тем, что обязанности этого джейлбрейка для всех поддерживаемых моделей устройств и версий iOS принял на себя агент-экстрактор нашей собственной разработки, который гораздо лучше приспособлен для работы в криминалистической лаборатории. В любом случае, мы рекомендуем остановиться на checkra1n и unc0ver для всех поддерживаемых ими устройств.

Для старых версий iOS доступны следующие джейлбрейки:

  • iOS 10.0 to iOS 10.3.3: Meridian
  • iOS 9.2 to iOS 9.3.3: Pangu
  • iOS 9.0 to 9.1: Pangu (другая версия)
  • iOS 8.0 to iOS 8.4: TaiG

Мы протестировали все, и не обнаружили проблем с извлечением как файловой системы, так и Связки ключей. Обратите внимание, что в некоторых джейлбрейках по умолчанию не включен ssh, поэтому вам придется установить OpenSSH из Cydia. Имейте в виду, что подключение устройства к сети несёт соответствующие риски. Поддержку iOS 10 в агент-экстрактор мы планируем добавить в ближайшее время.

Последовательность шагов

Прежде, чем вы предпримете какие-либо действия, необходимо узнать максимально полную информацию об устройстве:

  • Точный идентификатор модели
  • Установленная версия iOS
  • Заблокирован ли экран устройства и известен ли вам код блокировки

Для отключенных и заблокированных устройств с неизвестным паролем у вас не будет других вариантов, кроме использования checkra1n. Даже в этом случае вы будете ограничены извлечением данных из режима BFU (до первой разблокировки), в котором получится извлечь ограниченный набор данных. Это лучше чем ничего, но имейте в виду, что данный джейлбрейк совместим только с устройствами под управлением iOS 12.3 и более новых. Кроме того, checkra1n версии 0.9.6+ принудительно активирует режим ограничений USB, поэтому рекомендуем использовать более старую версию этого джейлбрейка, либо воспользоваться режимом диагностики для решения этой проблемы.

Если экран устройства разблокирован, но на устройстве установлена последняя версия iOS (бета-версия 13.5.1 или 13.5.5), checkra1n также будет единственным доступным вариантом.

Для большинства прочих моделей и версий iOS предпочтительным методом будет использование агента-экстрактора. Как отмечалось выше, это быстро и безопасно. При извлечении на основе агента не используется SSH; вместо этого используется прямое подключение. В текущей версии Elcomsoft iOS Forensic Toolkit есть полная поддержка iOS 11.0 — 13.3; для iOS 13.3.1 — 13.4.1 поддерживается только извлечение файловой системы (но не Связки ключей).

Для чего, в таком случае, нужен unc0ver? Этот джейлбрейк стоит использовать исключительно для современных поколений устройств на процессорах A12/A13 (модели iPhone Xs, Xr, 11, 11 Pro, SE2) для расшифровки Связки ключей в iOS 13.3.1-13.4.1 или iOS 13.5. Мы работаем над поддержкой расшифровки Связки ключей в iOS 13.5; эта возможность войдёт в ближайшую версию Elcomsoft iOS Forensic Toolkit, выход которой запланирован на следующей неделе.

Наконец, что можно сделать, если ни один из джейлбрейков к устройству не подошёл, а агент-экстрактор не поддерживает модель устройства или версию iOS? Ответ — логический анализ, включающий как резервную копию, так и другие данные. Обратите внимание:

  • Не позволяйте iPhone синхронизироваться с компьютером
  • Создавайте резервные копии с заданным (известным) паролем (в них содержится больше данных)
  • Не забывайте извлечь медиа-файлы, системные журналы и файлы приложений

Самый сложный вариант? Заблокированный iPhone на основе A12/A13 (checkm8 не поддерживается), с активированным режимом ограничений USB (нет возможности даже логического анализа, даже с действительной записью сопряжения lockdown/pairing). Все, что можно сделать, это переключить устройство в режим диагностики и извлечь информацию об устройстве, после чего запросить у Apple данные пользователя из облака, указав серийный номер устройства. Также можно попытаться найти учетные данные пользователя и выполнить извлечение из iCloud с помощью Elcomsoft Phone Breaker.

Другие устройства

Apple Watch S1-S3 точно так же уязвимы для эксплойта checkm8, как и модели iPhone, работающие на процессорах тех же поколений. Теоретически возможно полное извлечение файловой системы и из часов. Однако для Apple Watch не существует джейлбрейка; извлечение агентом-экстрактором также невозможно.

Для Apple TV 4 и 4K доступны джейлбрейки checkra1n и unc0ver. Мы не тестировали checkra1n (сложности с переводом Apple TV 4K в режим DFU, для чего необходим специальный адаптер), но unc0ver отработал корректно для версий tvOS до 13.4.5. Информация, доступная в Apple TV, может оказаться полезной для расследования — см. статью Apple TV and Apple Watch Forensics 01: Acquisition.

Заключение

«Решение одной кнопки» — несбыточная мечта для наших клиентов и недостижимая цель для нас. К сожалению, не существует ни одного решения, которое смогло бы извлечь информацию из абстрактного iPhone. В игру вступают такие тонкости, как используемый в модели процессор, установленная версия iOS, наличие или отсутствие кода блокировки экрана, активированный режим защиты USB и множество других факторов. Мы делаем все возможное, чтобы предложить экспертам на выбор несколько разных методов. Каким из них воспользоваться — вопрос как доступности и применимости для конкретного устройства, так и нужд эксперта в каждой конкретной ситуации.

Извлечение данных через облако — один из из наиболее распространённых способов получения улик. Важно понимать, что анализ данных, собранных компанией Google в собственном облаке, способен предоставить значительно более полные данные по сравнению с самым низкоуровневым анализом единственного телефона с Android. Сегодня мы поговорим об одной из особенностей облачного анализа: возможности извлекать данные пользователя, хранящиеся в учётной записи Google, без его логина и пароля.

Токены аутентификации

Общая концепция токенов аутентификации очень проста. Вместо того, чтобы каждый раз отправлять на удалённый ресурс, требующий аутентификации, ваши логин и пароль (или хеш пароля), браузер или приложение приложит небольшой набор двоичных данных. Эти двоичные данные и носят название токена аутентификации. Как только сайт или ресурс получает токен, пользователь сможет получить доступ к ресурсам. Как правило, доступ по токену ограничен по времени, по истечение которого пользователю придётся снова ввести логин и пароль. Тем не менее, в промежутке (а он может быть достаточно длительным — иногда до полугода) пользователь сможет пользоваться ресурсами, не вводя каждый раз пароль.

В Google используется классическая схема аутентификации по токенам. Пользователь аутентифицируется один раз, получает токен аутентификации и использует этот токен для дальнейшего доступа и к другим сервисам Google. Например, токен аутентификации, полученный в Google Chrome, автоматически используется для доступа к списку контактов, календарям, почте и т. д. Примечательно, что токен нельзя использовать для доступа к некоторым службам, таким как список паролей на сайте Google (список паролей в самом браузере Chrome — совершенно отдельная статья).

Токены не являются ни паролями, ни их хешами. Не существует способа восстановить по токену оригинальный пароль. Фактически, токен — это просто набор случайных или псевдослучайных данных, отформатированный для удобства и сохранённый в виде записи в базе данных или в файле, иногда — в зашифрованном виде, но иногда и в открытом. Использование токенов аутентификации делает систему не только более удобной (нет необходимости повторной аутентификации для пользователя), но и более безопасной, поскольку пароль нигде не сохраняется.

Google использует два основных типа токенов: токен Google Chrome (создаётся, когда пользователь входит в свою учётную запись в браузере Google Chrome) и токен, который создаётся приложением Google Backup & Sync (ранее — Google Drive), если оно установлено.

Разумеется, Google также сохраняет токены и на мобильных устройствах (Android и iOS), но извлечь их оттуда гораздо сложнее, чем из компьютера.

Токен Google Drive

Начнём с простого. Токен Google Drive создаётся приложением Google Backup & Sync на компьютерах Windows и macOS. Токен Google Drive хранится в зашифрованном виде. В системах Windows токен защищён DPAPI, в то время как в macOS для хранения токена используется Связка ключей.

Токен Google Drive можно извлечь при помощи Elcomsoft Cloud Explorer. Роль токенов Google Drive ограничена; их можно использовать исключительно для того, чтобы получить доступ к файлам в облачном хранилище Google Drive.

Токены Google Drive хранятся в зашифрованном виде. Для извлечения и расшифровки токена Google Drive вам потребуется доступ к компьютеру пользователя (а не образ диска), который использовался для входа в Google Drive через приложение Google Backup & Sync. Процесс извлечения и расшифровки обеспечит Elcomsoft Cloud Explorer. Внимание: если пользователь выйдет из Google Drive, токены аутентификации удаляются или становятся недействительными.

Токен браузера Chrome

Этот токен создаётся, когда пользователь входит в свою учётную запись Google в браузере Chrome. При помощи данного токена можно получить доступ к ряду служб Google. В системах Windows токен Chrome защищён комбинацией DPAPI и Gcm256 (старые версии Chrome полагались исключительно на защиту DPAPI). В macOS токен хранится в Связке ключей.

Также, как и в случае с токенами Google Drive, для доступа к токену Chrome вам понадобится оригинальный компьютер Windows или Mac пользователя. Для извлечения и расшифровки токена потребуется Elcomsoft Cloud Explorer. Если пользователь вышел из учётной записи Google в Chrome, токены аутентификации удаляются или аннулируются.

Токен Chrome обеспечивает доступ к большему количеству категорий данных по сравнению с токеном Google Drive. Категории, к которым открыт доступ, включают историю посещений в браузере Chrome и некоторые другие данные (например, список открытых вкладок и закладок), список сетей Wi-Fi, журналы вызовов, календари, данные Личного кабинета пользователя, а также заметки Google Keep. Полный список категорий данных, доступных с токенами аутентификации Chrome, приведён на скриншоте:

Как извлечь токены

Мы обнаружили место на компьютере, куда сохраняются токены Chrome и Google Drive, и нашли способ использовать их для аутентификации без пароля. Для этого используется приложение Elcomsoft Cloud Explorer. Аутентификация без пароля доступна (с использованием токена аутентификации) доступна в случаях, когда пользователь использует браузер Google Chrome и вошёл в свою учётную запись.

Токены аутентификации находятся в следующих местах.

Токены Google Chrome:

Chrome Windows:

%appdata%\Local\Google\User Data\<Profile_name>\Web Data

Chrome macOS:

~/Library/Application Support/Google/Chrome/<profile_name>/Web Data

Токены Google Drive:

Windows (в Registry):

HKEY_CURRENT_USER\SOFTWARE\Google\Drive\
Название ключа начинается с "OAuthToken_"

macOS (in the Keychain):

в разделе Связки ключей login keychain

В состав Elcomsoft Cloud Explorer входит утилита Google Token Extractor (GTEX). Эта утилита работает в командной строке. Она автоматически сканирует компьютер пользователя (Windows или Mac) на предмет токенов аутентификации, сохраненных браузером Google Chrome или приложением Google Drive. Как только токен аутентификации будет найден, GTEX сохранит его в текущем каталоге (Windows) или каталоге пользователя по умолчанию (Mac). Находятся и расшифровываются все поддерживаемые токены для всех зарегистрированных учётных записей.

После того, как утилита Google Token Extractor завершит извлечение токенов, они будут сохранены под именами, формирующимися по следующему принципу:

<user_name><Google ID><token_type><date><time>.xml

Пример:

Google Chrome:

john.smith_test.account@gmail.com_GoogleChrome_05.05.2020_15-05-16_UTC.xml

Google Drive:

john.smith_test.account@gmail.com_GoogleDrive_05.05.2020_15-05-16_UTC.xml

Содержимое токена может быть таким.

Google Chrome (Windows):

<?xml version="1.0" encoding="UTF-8" standalone="yes" ?>
<ExtractedToken>
<GTEXVersion>1</GTEXVersion>
<Platform>Windows</Platform>
<GoogleID>test.account@gmail.com</GoogleID>
<Token>1/ukM2X_qTUU-viA-8Yn6LqzLjcGQ-nmHjsh254RYAOF4</Token>
<TokenType>GoogleChrome</TokenType>
<ClientID>77185425430.apps.googleusercontent.com</ClientID>
<ClientSecret>OTJg....</ClientSecret>
<ExtractedAt>03.04.2018 09:12:35</ExtractedAt>
</ExtractedToken>

Google Drive (МаcOS)

<?xml version="1.0" encoding="UTF-8" standalone="yes" ?>
<ExtractedToken>
<GTEXVersion>1</GTEXVersion>
<Platform>macOS</Platform>
<GoogleID>other.test.account@gmail.com</GoogleID>
<Token>1/ukM2X_qTUU-viA-8Yn6LqzLjcGQ-nmHjsh254RYAOF4</Token>
<TokenType>GoogleDrive</TokenType>
<ClientID>645529619299.apps.googleusercontent.com</ClientID>
<ClientSecret>nu6p....</ClientSecret>
<ExtractedAt>27.02.2018 16:46:55</ExtractedAt>
</ExtractedToken>

После извлечения токена его можно использовать с Elcomsoft Cloud Explorer для доступа к информации, хранящейся в учётной записи пользователя Google. Логин, пароль и прохождение двухфакторной аутентификации не потребуются.

Использование токенов для доступа к данным

Токен Chrome можно использовать для доступа и к другим категориям данных.

Чтобы авторизоваться в учётной записи при помощи токена, запустите Elcomsoft Cloud Explorer и выберите аутентификацию с помощью токена.

Будет выведен список доступных категорий данных (те, которые выделены серым цветом, недоступны при аутентификации посредством токена; для доступа к ним нужны логин и пароль).

 

Только что вышла свежая сборка iOS Forensic Toolkit. Для пользователя — эксперта-криминалиста, — изменения почти незаметны; внутри продукта, однако, изменилось многое. В этой статье мы расскажем о том, как работает один из самых интересных продуктов нашей компании, что изменилось в последней сборке и как это повлияет на процесс извлечения данных.

Для чего понадобился новый движок в iOS Forensic Toolkit

Необходимость в новом движке для утилиты низкоуровневого извлечения данных из устройств под управлением iOS (а также watchOS, tvOS и iPadOS) назрела давно. Для того, чтобы извлечь информацию из iPhone или iPad, нужно подключить его к компьютеру через USB порт. В отдельных случаях срабатывает и беспроводное подключение, но проводное — быстрее и гораздо надёжнее.

Для того, чтобы извлечь данные из iPhone, мы задействуем целый ряд протоколов и опрашиваем несколько разных служб, работающих на устройстве. Для того, чтобы это стало возможным, нам (и всем остальным поставщикам криминалистического ПО для iPhone) необходимы низкоуровневые драйверы Apple. Другого способа связаться с iPhone просто не существует.

Итак, драйвер. Сталкивались ли вы когда-нибудь с проблемой, описанной в статье Если компьютер не распознает iPhone, iPad или iPod? Помимо прочего, в состав автономной версии iTunes для Windows входит компонент под названием “Apple Mobile Device Driver” (фактически, это два разных драйвера — в 32- и 64-разрядном исполнении). А вот в редакции iTunes для встроенного в Windows 10 магазина приложений Microsoft Store этот компонент не входит — хоть сам драйвер и поставляется в составе продукта. Соответственно, предыдущие версии iOS Forensic Toolkit, рассчитывая на установленный в системе компонент, выдавали ошибку, если установлена была «магазинная» версия iTunes.

Ещё одной проблемой являются компоненты, которые расположены между драйвером и нашей утилитой. К примеру, в статье CheckRa1n описаны сторонние компоненты, iproxy; есть и множество других вещей, не вошедших в статью (например, itunnel_mux).

Наконец, что не менее важно, тип соединения. Мы всегда рекомендуем не только переводить устройство в режим «В самолёте», но и отключать сетевые подключения (Wi-Fi и даже Ethernet) на компьютере, на котором запущена утилита. Если об этом забыть, результат может получиться… неожиданный. Так, однажды в нашей лаборатории Toolkit случайно подключился к Apple TV, который находился в той же сети Wi-Fi, и даже получил от него какие-то данные. На тот момент мы и представить не могли, что такое возможно.

Что изменилось и как это повлияет на использование iOS Forensic Toolkit

Новый канал взаимодействия удаляет устаревшие зависимости и становится значительно быстрее и надёжнее. Теперь не имеет значения, установлена ли у вас установленная версия iTunes или версия Microsoft Store (тем не менее, рекомендуем ознакомиться со статьёй Apple iTunes: Standalone vs. Microsoft Store Edition, в силу наличия других особенностей данной версии). Благодаря новому каналу удалось избавиться от одного из предварительных шагов – требования отключать беспроводные сети на компьютере эксперта. Отключать беспроводные сети на iPhone мы рекомендуем по-прежнему в силу очевидных причин.

Новый канал взаимодействия работает для логического извлечения и при использовании джейлбрейка; агент-экстрактор собственной разработки Элкомсофт изначально использовал новый способ взаимодействия.

Наконец, последнее. Время от времени у некоторых пользователей возникали проблемы с работой команд (I)nfo, (L)ogs и (S)hared, проявлявшиеся на некоторых комбинациях устройств и версий iOS. Проблемы проявлялись случайным и непредсказуемым образом; сегодня работает, завтра — нет. И эта проблема также решена внедрением нового канала взаимодействия.

Помимо прочего, мы улучшили поддержку iOS 13.4.1 и добавили совместимость с iOS 13.4.5 (beta 4; мы пока не протестировали работоспособность нового механизма Exposure Notification API для отслеживания распространения COVID-19).

Windows или macOS?

Нам прекрасно известно, что популярность компьютеров Apple с macOS в России стремится к нулю, а их распространённость в среде специалистов по мобильной криминалистики не стремится, а строго равняется нулю. Тем не менее, было бы неправильно не рассказать о некоторых преимуществах, которыми обладают компьютеры Apple в контексте связки с другими устройствами компании — например, iPhone. Некоторые виды джейлбрейков, а также множество манипуляций (например, отключение режима защиты USB) возможны только в macOS. Само извлечение данных также работает более уверенно именно в ОС собственной разработки Apple в силу более качественных драйверов USB и некоторых особенностей ядра. Иными словами, для извлечения данных macOS подходит лучше. А вот для анализа собранной информации можно (и даже более удобно) использовать компьютер с Windows.

Если у вас используется macOS 10.15 Catalina, ознакомьтесь со статьёй Installing and using iOS Forensic Toolkit on macOS 10.15 Catalina:

  • Обработайте образ DMG iOS Forensic Toolkit с помощью команды xattr.
  • Установите доверительные отношения с устройством в Finder (немедленного запроса при подключении устройства нет).
  • Если вам нужен доступ к файлам lockdown (pairing), сначала отключите SIP (требуется перезагрузка), а затем предоставьте текущему пользователю доступ к этой папке с помощью команды sudo chmod.

Если вы используете Windows (мы поддерживаем Windows 8 / 8.1, Windows 7 и Windows 10), обязательно прочитайте iOS Acquisition on Windows: Tips&Tricks. Есть только одно важное дополнение: при создании резервной копии с помощью iOS Forensic Tookit проявите терпение. После выбора папки и ввода пароля резервной копии, но ещё до того, как процесс создания резервной копии фактически начнётся, может возникнуть пауза до 2 минут. На экране при этом ничего не происходит; это нормально. При возникновении любых проблем первое, что нужно попробовать, это просто перезагрузить систему и снова запустить процесс. (Мы в курсе того, что «перезагрузить систему» — первая и обычно последняя рекомендация «специалистов по технической поддержке», но в данной ситуации это действительно помогает в 90% случаев).

Информация о совместимости

На текущий момент актуальна следующая информация о совместимости:

  • (Расширенное) логическое извлечение: все устройства, все версии.
  • Полное извлечение файловой системы и связки ключей из взломанных устройств: все комбинации устройств/iOS, для которых доступен джейлбрейк (в настоящее время до iOS 13.4.5 бета для совместимых с checkra1n устройств, до 13,3 для iPhone Xs/Xr/11/11 Pro).
  • Извлечение агентом-экстрактором: большинство устройств под управлением iOS 11.0–13.3 (кроме iPhone 5s и 6 под управлением отдельных версий iOS).

Время жизни файлов lockdown в iOS 11-13 ограничено 30 днями согласно бюллетеню Apple Platform Security (используйте эту ссылку, если прямой линк на файл с PDF не работает). Эти файлы чрезвычайно полезны для расширенного логического извлечения заблокированных устройств, если не активирован режим ограничения USB (см. USB Restricted Mode in iOS 13: Apple vs. GrayKey, Round Two).

В ближайшее время мы планируем добавить извлечение файловой системы агентом-экстрактором для iOS 13.3.1, 13.4 и 13.4.1, а также некоторых устаревших версий iOS (от iOS 7 до iOS 10). Для использования этой функции вам нужна учётная запись разработчика Apple; есть вероятность, что мы сможем сделать подпись агента, используя одноразовый Apple ID.

Не забудьте о Связке ключей! Это — настоящий Клондайк, в котором содержатся все сохранённые пароли пользователя (используйте Elcomsoft Phone Breaker).

Наконец, не забывайте об Elcomsoft Phone Viewer, инструменте для просмотра и анализа собранной другими нашими программами данных. Приложение поддерживает резервные копии iTunes и iCloud, а также образы файловой системы:

Заключение

Извлечение данных из устройств под управлением iOS на первый взгляд выглядит проще, чем работа с Android, однако это иллюзия. Не доверяйте инструментам, которые не дают полного и подробного объяснения того, как работают все их функции, скрывая особенности работы под названиями «метод 1» и «метод 2» с пометкой «если первый метод не работает, попробуйте второй». Вам необходимо чётко представлять, как работает вся система, какие данные вы можете получить и главное — какими будут последствия.

В новой версии Elcomsoft Cloud Explorer появилась поддержка такого интересного сервиса, как Личный кабинет Google. Личный кабинет Google отличается тем, что информация из него не попадает в скачанные с сайта Google данные. Получить доступ к Личному кабинету можно либо через веб-сайт компании, либо, если требуется офлайновый анализ, посредством Elcomsoft Cloud Explorer. В этой статье мы расскажем о сервисе Личный кабинет Google и о том, как данные из него можно извлечь и проанализировать.

Что такое Личный кабинет Google

Личный кабинет Google (он же Google Dashboard) — относительно малоизвестный криминалистам сервис компании, в котором собрана статистика использования сервисов Google. В Личном кабинете Google сохраняются такие данные, как поисковые запросы, кампании AdWords, созданные пользователем файлы, количество сообщений электронной почты и многое другое.

Google позволяет зарегистрированным пользователям загружать данные, хранящиеся в Личном кабинете, но в предоставленном наборе данных многие категории отсутствуют (например, данные о подключённых приложениях и активностях устройств). Используя Elcomsoft Cloud Explorer, можно получить весь набор данных, доступных в Личном кабинете Google, включая категории, которые не предоставляются самой компанией.

Личный кабинет Google содержит агрегированные статистические данные о действиях пользователя. В результате данные Личного кабинета можно скачать очень быстро, буквально за считанные секунды. Загрузка и анализ данных Личного кабинета перед тем, как вы скачаете весь набор собранной Google информации, позволяет сэкономить время и начать расследование быстрее.

Откуда берётся информация в Личном кабинете

В отличие от большинства других категорий данных Google, в Личном кабинете, строго говоря, нет ничего нового, ничего такого, чего не было бы в других категориях. В то же время Личный кабинет — это своеобразная информационная сводка, позволяющая быстро сориентироваться в том, на какие именно категории  стоит обратить пристальное внимание. Другими словами, Личный кабинет — это статистика, агрегированные данные.

Как извлечь данные Личного кабинета

Чтобы извлечь данные панели мониторинга Google из учётной записи Google, вам потребуется Elcomsoft Cloud Explorer 2.31 или более новый.

  1. Запустите Elcomsoft Cloud Explorer. Выполните аутентификацию с помощью имени пользователя и пароля от учётной записи Google или используйте токен аутентификации. На приведённом ниже снимке экрана показана аутентификация на основе токенов.
  2. Установите флажок «Google Dashboard». Примечание: если вы спешите, вы можете очистить остальные флажки. Загрузив и проанализировав данные Личного кабинета, вы сможете лучше понять, на какие категории вам стоит обратить внимание в первую очередь.
  3. Процесс извлечения данных займёт порядка нескольких минут.
  4. После обработки данные Личного кабинета станут доступны для анализа.

 

Анализ данных Личного кабинета Google

Данные из Личного кабинета можно разбить на ряд категорий. Сюда входят такие данные, как Устройства, Карты, Календарь, Диск, Оповещения, Аналитика, Книги, Группы, Новости, Отслеживание отправлений, Платежи, Фотографии, Музыка Google Play, приложения из Google Play, Задачи, Blogger, AdSense, Учётные записи брендов, FeedBurner, Поиск и Хранение, а также как и несколько других.

Получить представление о содержимом Личного кабинета можно из следующих скриншотов.

В категории «Устройства» представлен обзор зарегистрированных устройств пользователя, работающих на ОС Android. Если у устройства есть облачная резервная копия, хранящаяся на Google Drive, то вы увидите информацию об этой резервной копии.

Категория «Фотографии», хотя и не отображает фотографии как таковые, содержит информацию о количестве изображений, последних манипуляциях пользователя, количестве общедоступных фотографий и т.д.

В категории «Карты» вы увидите домашний и рабочий адреса пользователя, его последнее известное местоположение (точнее, POI местоположения) и информацию о последнем отзыве пользователя, оставленного в приложении Google Maps.

Аналогично предыдущему, в категории Gmail вы не найдёте истории переписки пользователя. Она содержит статистическую информацию об использовании Gmail владельцем учётной записи, такую как общее количество сообщений, количество отправленных сообщений и т.д.

Раздел «Действия устройства» содержит информацию об устройствах пользователя (не обязательно смартфонах Android), на которых пользователь выполнил вход в систему, чтобы воспользоваться одним из сервисов Google.

Раздел «Подключённые приложения» содержит информацию о приложениях, которым пользовал разрешил использовать свои учётные данные.

Есть множество других категорий, которые могут быть интересны для расследования.

Заключение

Личный кабинет Google (Google Dashboard) не содержит того, что можно классифицировать как «новые» или «уникальные» данные. Тем не менее, эта важная категория позволяет ускорить расследование, выявляя взаимодействия пользователя с устройствами и службами Google в считанные секунды. Получение и анализ данных из Личного кабинета позволит определиться с очерёдностью анализа остальных категорий из огромного массива собранной Google информации.

 

 

Как получить доступ к файлам из учётной записи компьютера при проведении расследования или в случаях, когда сотрудник уволен? Ответ на этот вопрос очевиден далеко не всегда. Сброс пароля средствами Active Directory поможет войти в учётную запись, но не поможет получить доступ к данным, защищённым средствами DPAPI (например, сохранённым паролям пользователя). Кроме того, будет потерян доступ к файлам, зашифрованным средствами EFS. В этой статье мы расскажем об одной из возможностей получения доступа к учётным записям Windows посредством создания загрузочного USB-накопителя.

Первое препятствие: шифрование диска

Шифрование диска (особенно — загрузочного раздела) способно существенно затруднить восстановление доступа. Никакие другие атаки или попытки получить доступ к данным невозможны до тех пор, пока не будет преодолён рубеж шифрования диска.

Традиционный способ атаки на зашифрованные разделы — извлечение диска и создание образа. Мы предлагаем более быстрый и простой способ доступа к информации, необходимой для взлома шифрования диска. Способ основан на загрузке с USB-накопителя, извлечении файлов подкачки и гибернации и получении метаданных, необходимых для подбора пароля к зашифрованному тому.

Мы публиковали руководство по работе с зашифрованными системными томами в статье A Bootable Flash Drive to Extract Encrypted Volume Keys, Break Full-Disk Encryption

Если диск не зашифрован: нужен ли пароль?

Нужен ли пароль от учётной записи Windows, если диск не зашифрован? Ответ не так однозначен, как может показаться. С одной стороны, пароль от учётной записи пользователя можно сбросить — в этом случае можно зайти в его учётную запись. С другой — сброс пароля сделает невозможным доступ к заметному количеству информации, включая следующее.

Файлы и папки NTFS, зашифрованные EFS. Доступ к зашифрованным файлам возможен исключительно по оригинальному паролю пользователя.

Пароли, маркеры, ключи и сертификаты, защищённые DPAPI. Механизм Windows Data Protection API (DPAPI) появился во времена Windows 2000 и используется по сей день для хранения и защиты ключевых данных.

Один из механизмов, использующих DPAPI — это Windows Credential Manager, система хранения паролей, маркеров, ключей доступа к сетевым ресурсам и т.п. В браузерах Internet Explorer и Edge Legacy система Windows Credential Manager использовалась для хранения паролей. В новой версии Edge Crhromium, а также в свежих сборках браузера Chrome, DPAPI используется для защиты ключа, которым зашифрована база данных с паролями пользователя (подробности — в статье Extracting Passwords from Microsoft Edge Chromium).

Защита DPAPI основана на данных для входа в учётную запись. Соответственно, для восстановления доступа к защищённым таким образом данным вам потребуется восстановить оригинальный пароль пользователя, а не сбрасывать его.

Внимание: для доступа к данным и паролям, защищённым DPAPI, а также для расшифровки зашифрованных EFS файлов и папок, необходимо восстановить оригинальный пароль пользователя Windows.

Почему пароль нельзя сбросить

Пароль можно сбросить. Нужно лишь чётко понимать, какие именно данные получится, а какие — не получится извлечь в таком случае. Оригинальный пароль пользователя необходим для для доступа к данным и паролям, защищённым DPAPI, а также для расшифровки зашифрованных EFS файлов и папок. Если доступ к этим данным не нужен, то пароль от учётной записи пользователя можно сбросить — в отличие от перебора, сброс не занимает времени.

Работа по цепочке

Восстановив пароль пользователя от учётной записи, вы сможете извлечь пароли, которые пользователь сохранил в браузерах Chrome, Opera и Microsoft Edge Chromium. Далее можно воспользоваться утилитой Elcomsoft Internet Password Breaker для доступа к iCloud или программой Elcomsoft Cloud Explorer для извлечения данных из учётной записи Google. Из списка паролей можно составить высококачественный словарь для атаки по словарю на другие файлы и документы пользователя.

Восстановление оригинального пароля

Восстановление пароля для входа в Windows может оказаться простой задачей, решаемой загрузкой с USB-накопителя и проведением автоматической атака, а может оказаться достаточно сложной. Во втором случае потребуется извлечение метаданных файлов и работа Elcomsoft Distributed Password Recovery в течение нескольких дней или недель (в перспективе — до бесконечности).

Последняя сборка Elcomsoft System Recovery (версия 7.03 и новее) поставляется с улучшенными, более интеллектуальными и значительно более эффективными алгоритмами восстановления паролей учётных записей Windows посредством автоматической атаки. При запуске восстановления оригинального пароля к учётной записи Windows утилита Elcomsoft System Recovery попытается извлечь пароли, которые пользователь сохранил или кэшировал в своей учётной записи (те из них, которые не защищены DPAPI). ESR создаст из этих паролей словарь и запустит автоматическую предварительную атаку.

В процессе сбора могут быть извлечены многие типы сохранённых паролей, включая различные системные пароли, а также пароли, хранящиеся в браузере Firefox. Тем не менее, этих паролей будет достаточно, чтобы сформировать исключительно короткий словарь. Мы работаем с человеческим фактором, подразумевающим повторное использование пароля. ESR попытается автоматически применить все распространённые модификации (например, добавляя цифры в конце пароля или изменяя регистр первого символа).

Если Elcomsoft System Recovery не сможет восстановить пароль, вам придётся перенести хэш-файлы и открыть их с помощью Elcomsoft Distributed Password Recovery для проведения полномасштабной атаки.

Elcomsoft System Recovery позволяет быстрее начать расследование, загрузившись с портативного флэш-накопителя. При этом для жёстких дисков исследуемого компьютера гарантируется доступ только для чтения. Чтобы создать загрузочный накопитель, запустите Elcomsoft System Recovery на своём компьютере (не на компьютере подозреваемого) и следуйте подсказкам.

Для того, чтобы попытаться восстановить оригинальный пароль от учётной записи пользователя, вам потребуется загрузиться с накопителя и настроить продукт следующим образом. Для проведения атаки на оригинальный пароль пользователя, выберите пункт «Change local user account«, как показано на скриншоте:

Далее нужно отметить пункт «Scan target system for plaintext passwords» для того, чтобы просканировать диск на предмет существующих паролей, которые хранятся в открытом доступе:

Через несколько минут программа выполнит предварительную атаку и выведет результат:

Заключение

Будет ли успешной попытка восстановления пароля от учётной записи пользователя с помощью предварительной атаки — вопрос исключительно удачи, особенно если на компьютере несколько пользователей или используется контроллер домена. Если пароль для входа в систему конкретного пользователя Windows восстановить не удалось, можно попробовать сбросить пароль учётной записи (или снять блокировку учётной записи, если она была заблокирована). Этот вариант можно использовать без опаски, т.к. ESR создаёт резервную копию, позволяющую в любой момент выполнить откат к исходной конфигурации.

iPhone — один из самых популярных смартфонов в мире. Благодаря своей огромной популярности, iPhone привлекает большое внимание сообщества криминалистов. Для извлечения данных из iPhone разработано множество методов, позволяющих получать то или иное количество информации с большими или меньшими усилиями. Некоторые из этих методов основаны на недокументированных эксплойтах и публичных джейлбрейках, в то время как другие используют API для доступа к информации. В этой статье мы сравним типы и объёмы данных, которые можно извлечь из одного и того же iPhone 11 Pro Max объёмом 256 ГБ, используя три различных метода доступа к информации: расширенный логический, физический и облачный.

Мы протестировали и сравнили доступные методы на примере устройства iPhone 11 Pro Max 256 ГБ под управлением iOS 13.3. Устройство подключено к учётной записи iCloud вместе с большим количеством других устройств, включая компьютеры MacBook Pro, Mac Mini, iMac, четыре других iPhone (6s, 7, X, Xr), один iPad Pro третьего поколения, часы Apple Watch, пара Apple TV и одну колонку HomePod. Мы не считали устройства других членов семьи, объединённые в Семейный доступ. В процессе тестирования ожидалось, что значительная часть данных будет синхронизироваться между устройствами через iCloud.

Важно отметить, что ситуация постоянно меняется. В каждой или почти каждой новой версии iOS и macOS разработчики Apple меняют способы хранения, протоколы доступа и методы защиты данных. В iCloud также происходят постоянные изменения. Свежие примеры — в статье macOS, iOS and iCloud updates: forensic consequences.

Логический анализ

Логический анализ — самый известный, популярный и, казалось бы, хорошо изученный способ получить доступ к основному массиву данных. Метод логического анализа работает для всех устройств под управлением iOS и её производных iPadOS, WatchOS и tvOS. Всё, что нужно для работы — это само устройство, кабель Lightning (для часов Apple Watch — адаптер iBUS) и в некоторых случаях — код блокировки экрана для того, чтобы установить доверенные отношения с компьютером (это требование можно обойти, использовав извлечённую из компьютера пользователь запись lockdown).

Логический анализ предоставляет доступ к следующим типам данных:

  • Расширенная информация об устройстве
  • Резервная копия в формате iTunes (может оказаться зашифрованной паролем)
  • Медиа-файлы (фото и видео) и некоторые базы данных, которые могут содержать записи об удалённых файлах
  • Диагностические и crash-логи
  • Данные некоторых приложений

Резервные копии в формате iTunes — то, с чего начинался логический анализ. Все знают о резервных копиях; создавать резервную копию умеют, наверное, все или почти все пакеты для экспертов-криминалистов. Можно обойтись и без них, использовав непосредственно утилиту iTunes в Windows или Finder в macOS Catalina, см. статью Резервное копирование данных на устройствах iPhone, iPad и iPod touch; обратите, однако, внимание на необходимость заранее отключить синхронизацию в iTunes, иначе данные на устройстве будут модифицированы после подключения к компьютеру.

В статье The Most Unusual Things about iPhone Backups мы подробно рассказали о самых интересных вещах, связанных с резервными копиями iOS. Основная проблема, связанная с резервными копиями — возможность защиты паролем. Пароли к резервным копиям iOS необычайно стойкие; их перебор невыносимо медленный, буквально единицы или десятки паролей в секунду даже с использованием мощных графических ускорителей. Иногда пароль удаётся сбросить, но и сброс пароля к резервной копии — не панацея; детали — в статье The Worst Mistakes in iOS Forensics. В то же время, резервные копии с паролем содержат значительно больше доступных данных в сравнении с незашифрованными резервными копиями (в частности — Связка ключей, в которой хранятся все пароли пользователя). Разумеется, для доступа к ним вам потребуется узнать пароль.

Очень часто эксперты ограничиваются извлечением только резервной копии. Однако логический анализ ими не ограничивается. Как минимум, стоит извлечь медиа-файлы (их извлечение работает независимо от того, установлен ли пароль на резервную копию), в состав которых входят базы данных и уменьшенные копии изображений.

Наконец, извлечь можно и некоторые системные журналы (журнал диагностики и crash-лог) и файлы, доступ к которым через iTunes открывают некоторые приложения.

Одна из сильных сторон логического анализа — возможность доступа к данным даже тогда, когда экран устройства заблокирован (с рядом оговорок). Возможность сработает, если телефон был разблокирован хотя бы раз после включения, у эксперта есть физический доступ к доверенному компьютеру и режим ограничения USB не был активирован. (Нужно отметить, что в последних версиях iOS режим ограничения доступа к USB активируется сообразно достаточно неочевидным правилам, см. USB Restricted Mode in iOS 13).

Из нашего тестового iPhone удалось извлечь резервную копию, в которой обнаружилось 112 тысяч файлов общим объёмом 138 ГБ. Дополнительно удалось извлечь 47,000 медиа-файлов включая метаданные общим объёмом 101 ГБ. Кроме того, мы извлекли 271 файл приложений общим объёмом 109 МБ.

Все возможности логического анализа предоставляет инструментарий Elcomsoft iOS Forensic Toolkit.

Достоинства метода:

  • Метод прост в использовании
  • Совершенно безопасен, если используется специализированное программное обеспечение
  • Безопасно даже через с iTunes (если не забыли отключить синхронизацию)
  • Совместим со всеми версиями iOS
  • Может работать с заблокированными устройствами (если есть доступ к доверенному компьютеру)
  • Может извлекать журналы устройства и данные приложений
  • Медиа-файлы (с EXIF) доступны, даже если установлен пароль на резервную копию

Недостатки:

  • Количество данных ограничено
  • На резервную копию может быть установлен пароль
  • Связку ключей можно извлечь только из резервных копий с паролем
  • Требуется код блокировки экрана, если устройство подключается к новому компьютеру

Извлечение файловой системы

В резервной копии, даже защищённой паролем, содержится намного меньше информации, чем хранится в устройстве. В устройстве содержатся базы данных с детальной историей местоположений, данные всех приложений, включая историю переписки в безопасных мессенжерах; WAL-файлы SQLite, в которых могут содержаться удалённые записи, временные файлы, данные WebKit, транзакции AplePay, уведомления приложений и многое другое, что может стать важными уликами.

При этом доступ к файловой системе достаточно сложен — начиная с вопроса о выборе метода, который будет для этого использоваться. Для разных моделей iPhone доступно множество методов: классические и rootless джейлбрейки, эксплойт checkm8 и доступ посредством программы-агента. Для того, чтобы понять, с какими именно версиями iOS и моделями iPhone совместим каждый из способов, нужно разобраться в трёхмерной матрице совместимости. В частности, для моделей до iPhone X включительно извлечение возможно вплоть до последней версии iOS (на сегодня это iOS 13.4.1), в том числе в режиме частичного извлечения с неизвестным кодом блокировки (BFU Extraction: Forensic Analysis of Locked and Disabled iPhones).

Из нашего тестового устройства удалось извлечь 211 ГБ данных примерно за то же время (скорость работы — порядка 2.5 ГБ/мин, или 150 ГБ в час).

Доступ к файловой системе может быть осуществлён посредством установки джейлбрейка. В то же время важно понимать, что установка джейлбрейка не является «чистой работой», оставляя следы работы на устройстве, большая часть которых не документирована. Кроме того, вам потребуется инструментарий iOS Forensic Toolkit для расшифровки Связки ключей.

Достоинства метода

  • Частичное извлечение для устройств с заблокированным экраном и/или портом USB
  • Извлекается полный набор данных
  • Пароль на резервные копии игнорируется
  • Ограничения MDM игнорируются
  • Извлекается полная Связка ключей

Недостатки

  • Требуется версия iOS с обнаруженной уязвимостью
  • Требуется учётная запись Apple для разработчиков

Извлечение через облако iCloud

Метод извлечения через iCloud до сих пор остаётся недооценённым. Изначально извлечение через облако iCloud означало извлечение резервных копий. Сегодня роль резервных копий в iCloud значительно снизилась; резервные копии в облаке содержат ещё меньше данных, чем локальные резервные копии iTunes без пароля. Более того, поскольку большинство устройств iPhone и iPad синхронизируют данные в облако, эти (синхронизированные) данные хранятся отдельно от резервных копий. Синхронизируется практически всё: от контактов до фотографий и сообщений, а также Связка ключей с паролями. Связка ключей в iCloud, помимо паролей, может содержать и маркеры аутентификации. Есть и iCloud Drive со множеством файлов и документов, часто включая папки Documents и Desktop с компьютеров Mac. Все эти данные собираются не только с единственного iPhone, но и со всех остальных устройств пользователя, подключённых к учётной записи.

В процессе работы Elcomsoft Phone Breaker из облака помимо резервных копий было скачано 39 ГБ синхронизированных данных и 101 ГБ фотографий.

В iCloud Drive может содержаться большое количество файлов включая документы, данные сторонних приложений и резервные копии из некоторых мессенжеров и программ управления паролями.

Дополнительно:

Достоинства метода:

  • Совместим со всеми версиями iOS
  • Само устройство не нужно
  • Доступны данные со всех устройств, подключённых к учётной записи
  • Извлекается облачная Связка ключей
  • Файлы в iCloud Drive
  • Данные доступны в реальном времени
  • Могут быть доступны старые резервные копии

Недостатки:

  • Требуются учётные данные для входа в iCloud (включая второй фактор аутентификации)
  • Возможна замена логина и пароля маркером аутентификации; применение последних весьма ограниченно
  • Код блокировки или пароль одного из доверенных устройств потребуется для доступа к некоторым типам данных (Связка ключей, Здоровье, сообщения и другим, использующим сквозное шифрование)
  • Устройства могут вообще не использовать iCloud, поэтому иногда данные отсутствуют
Резервные копии (локальные) Резервные копии (iCloud) Синхронизация iCloud Образ файловой системы
Данные приложений ограниченно ограниченно ограниченно +
Apple Pay +
Books + + +
Календари + + только iCloud +
Звонки + + за 30 дней +
Контакты + + только iCloud +
Настройки устройства + + +
Здоровье только зашифрованные + +
Связка ключей только зашифрованные + +
Почта только iCloud +
Карты только зашифрованные + +
Медиа + только если не синхронизируется + +
Сообщения +  только если не синхронизируется iOS 11.4+, 2FA +
Заметки + + только iCloud +
Уведомления ограниченно + +
ScreenTime ограниченно +
Диктофон + iOS<12 iOS 12+ +
Wallet + + + +
Web — закладки + + + +
Web — история только зашифрованные + 2 недели +
Web — поиск только зашифрованные + +

Заключение

В этой статье мы рассмотрели три способа извлечения данных из устройств под управлением iOS. Мы уверены, что эта информация поможет вам выбрать правильный способ или способы при анализе смартфонов iPhone и других устройств под управлением iOS и её производных.

Google Fit – сравнительно малоизвестная подсистема для сбора и анализа данных о здоровье и тренировках пользователя. Между тем, подсистема исправно поставляет данные в соответствующий раздел в облаке Google. Google Fit отправляет данные о количестве шагов и частоте сердечных сокращений; координатах, треках, пробежках, поездках и велосипедных маршрутах пользователя. Иными словами, Google Fit поставляет массив уникальной и подробной информации о действиях и поведении пользователя в каждый момент времени. О том, что именно хранится в облаке и как получить доступ к информации – в этой статье.

Доступ к данным, которые собирает приложение Google Fit — это доступ к огромным массивам информации, относящейся к состоянию здоровья и физической активности пользователя; информации, которая хранится в облаке Google. Подробные, уникальные данные о местонахождении и активности пользователя, собранные фитнес-приложением Google, могут оказаться неоценимыми в ходе расследования.

Разумеется, Google Fit – далеко не единственный источник информации о местоположении пользователей, которая есть в распоряжении Google. Поисковый гигант собирает огромное количество информации – в том числе Историю местоположений и Хроники Google Карт. Данные Google Fit прекрасно дополняют картину, поставляя дополнительные точки геокоординат, которые сообщают различные браслеты, часы и прочие носимые устройства.

Впрочем, координаты пользователя – это также далеко не всё, что доступно в Google Fit. Подсистема Google Fit агрегирует любые данные, поставляемые фитнес-браслетами, часами и трекерами, а также их приложениями-компаньонами. Типы данных варьируются в зависимости от устройства; как правило, доступны показания датчиков шагомера, пульсометра и местоположения, но встречаются и браслеты, которые могут измерять уровень кислорода в крови и другие показания состояния организма пользователя.

Помимо данных Google Fit, в облаке Google хранится множество других данных от подробной истории местоположений пользователя за несколько лет до паролей, фотографий, почты Gmail, контактов, календарей и поисковых запросов. Сохраняется (и извлекается) история поисковых и голосовых запросов, журналы звонков, текстовые сообщения, статистика использования устройств под управлением Android и многое другое.

Google предоставляет правоохранительным органам доступ к большей части собранной информации, однако посредством Elcomsoft Cloud Explorer можно получить доступ к данным гораздо более простым способом практически моментально. С учётом сквозного шифрования, использующегося в современных смартфонах Android, Elcomsoft Cloud Explorer может оказаться единственным способом получить доступ к данным.

Откуда Google Fit получает данные

Google Fit – это и приложение, и сервис. Приложение Google Fit доступно для платформ Android и iOS; соответственно, использовать его можно как на iPhone, так и на смартфонах под управлением Android. Сервис Google Fit развёрнут в облаке Google; в нём хранится и обрабатывается информация, полученная как от приложения Google Fit, так и от использующих соответствующие API сторонних программ.

Для многих пользователей Google Fit – это просто приложение, которое необходимо установить из Play Store для настройки часов с WearOS (ранее известной под названием Android Wear). На самом же деле для работы Google Fit наличие часов, фитнес-трекера или браслета совершенно не обязательно: приложение вполне способно обходиться и той информацией, которую поставляют встроенные в телефон датчики. Например, данные о количестве шагов приложение Google Fit вычисляет по сложному алгоритму, использующему технологии искусственного интеллекта. Алгоритм периодически опрашивает датчик шагомера и постоянно опрашивает датчики местоположения (в зависимости от некоторых условий это могут быть как данные от сотовых вышек, так и показания датчика GPS). На основе этой информации вычисляется количество шагов, которые прошёл пользователь на том или ином участке. Впрочем, использование совместимого браслета или часов позволяет получать и другие данные – например, измерять пульс, подсчитывать точное, а не приблизительное количество шагов, собирать другую сопутствующую информацию.

Данные Google Fit хранятся в облаке Google, откуда их можно извлечь. Вероятно, наибольшую ценность представляют массивы данных о местоположении пользователя, которые дополняют данные Истории местоположений Google.

Как Google защищает данные о здоровье

Вероятно, ответ «никак» не устроит наших читателей, поэтому начнём издалека. Для того, чтобы дать оценку подходу Google к защите данных о здоровье пользователя рассмотрим действия конкурента – компании Apple.

В рамках экосистемы Apple данные «Здоровья» относятся к категории со степенью защиты, которую сама Apple определяет как «сквозное шифрование». С нашей точки зрения, термин «сквозное шифрование» недостаточно хорошо определяет суть процесса. «Синхронизированные данные с дополнительным шифрованием» будет более точным определением. Именно в таких контейнерах хранятся пароли из облачной связки ключей, данные приложения «Здоровье», сообщения SMS и iMessage, синхронизированные в облако, а также данные Apple Maps.

Защищённые таким образом данные зашифрованы ключом, который зависит от кода блокировки устройства. Информация из защищённых облачных контейнеров доступна исключительно самому пользователю: доступа к этим данным нет ни у полиции, ни у самой компании Apple. Эти данные не будут предоставлены по запросу правоохранительных органов. Для доступа к ним через Elcomsoft Phone Breaker необходим полный набор для аутентификации пользователя, включающий логин и пароль Apple ID, одноразовый код второго фактора аутентификации (к примеру, SIM-карта с доверенным телефонным номером или одно из устройств пользователя, привязанных к той же учётной записи, в разблокированном виде), а также код блокировки экрана (iPhone, iPad, iPod Touch) или системный пароль (Mac) одного из устройств пользователя, привязанных к той же учётной записи Apple.

Отметим также тот факт, что данные «Здоровье» попадают в облако Apple iCloud том и только в том случае, если пользователь включил для учётной записи дополнительную защиту двухфакторной аутентификацией.

Разобравшись в том, как работает защита данных о здоровье пользователя у Apple, понять схему защиты этих данных у Google будет предельно просто: она отсутствует. Данные можно просто скачать, получить по запросу, извлечь из учётной записи по логину и паролю (двухфакторная аутентификация у Google остаётся опциональной).

Логин и пароль от учётной записи Google

Для авторизации в учётной записи Google Account необходимы логин и пароль пользователя (а в случае использования пользователем двухфакторной аутентификации – способ её пройти (одноразовый код, подтверждение всплывающего сообщения и т.п.) Логин и пароль пользователя можно узнать, проанализировав компьютер пользователя при помощи Elcomsoft Internet Password Breaker, извлечь из облака посредством Elcomsoft Phone Breaker или из Связки ключей при помощи Elcomsoft iOS Forensic Toolkit.

Обратите внимание: несмотря на то, что в Elcomsoft Cloud Explorer поддерживается возможность доступа к данным из облака Google Account с использованием маркера аутентификации вместо логина и пароля, доступ к данным Google Fit получить таким образом невозможно. Используйте маркер аутентификации для получения доступа к другим типам данных.

Извлечение данных Google Fit

Для извлечения данных Google Fit используйте приложение Elcomsoft Cloud Explorer 2.30 или более новой версии.

  1. Запустите Elcomsoft Cloud Explorer и создайте новый проект. Авторизуйтесь в учётной записи пользователя (Google Account) его логином и паролем. При необходимости пройдите двухфакторную аутентификацию.
  2. Отметьте пункт “Google Fit”.
  3. Данные будут доступны в течение нескольких секунд.
  4. После обработки данных их можно просмотреть в разделе Google Fit.

Анализ данных Google Fit

В процессе анализа данных можно использовать сортировку и группировку. Во вкладке Sessions отображаются сеансы активности пользователя, обнаруженные приложением Google Fit. Активные занятия могут включать в себя сон, ходьбу, бег трусцой и другие виды деятельности.

Обратите внимание, что как виды сессий, так и время их начала и конца определяются автоматически различными приложениями и устройствами. Вкладка Packet name содержит название пакета приложения, которое внесло информацию о сеансе.

Steps (шаги) могут быть либо необработанными данными из подключённых умных часов или браслета, либо информацией, сгенерированной приложением Google Fit на основе комбинации счётчика шагов смартфона и мониторинга данных о местоположении. Если внешние устройства или браслеты не подключены, приложение Google Fit использует искусственный интеллект для вычисления количества шагов на основе вышеупомянутых данных. Приложение периодически опрашивает встроенный в смартфон шагомер, но делает это с большими интервалами, в основном полагаясь на более энергоэффективный сенсор определения местоположения.

Такие виды активности, как спортивная ходьба и бег, автоматически определяются приложением на основе увеличения скорости передвижения и частоты сердечных сокращений пользователя, увеличения числа шагов в минуту и всё тех же данных о местоположении.

Один из самых интересных отчётов – Places («Места»). Google Fit собирает огромные массивы данных о местоположении пользователя. В нашей тестовой учётной записи обнаружилось 13,788 точек за 9 месяцев использования. Учитывая, что тестовым устройством мы пользовались достаточно редко, частота и количество отчётов о местоположении кажутся даже несколько избыточными. При нажатии строку с координатами открываются карты Google Maps.

Заключение

Данные Google Fit могут содержать подробную информацию как о местонахождении пользователя, так и о физических параметрах его организма. Из облачного сервиса Google Fit можно получить такие данные, как количество шагов и темп ходьбы, тип физической активности, частоту сердечных сокращений, количество преодолённых лестничных пролётов и многое другое.

Многие пользователи постоянно носят разнообразные браслеты, часы и подобные устройства. Такие устройства могут сообщать (и, соответственно, сохранять в облаке) массу дополнительной информации. В частности, в дополнительные данные может попадать информация об уровне кислорода в крови пользователя, пульсе, точном количество шагов, а также дополнительные данные о местоположении с датчика GPS, встроенного в браслет. Анализ данных Google Fit может оказать неоценимую помощь в расследовании.

Данные о местоположении – первоочередная цель для правоохранительных органов и различных государственных организаций. Правоохранительные органы используют эти данные, чтобы определить круг подозреваемых либо установить местоположение конкретных лиц поблизости от места преступления в момент его совершения, а службы реагирования на чрезвычайные ситуации используют геолокацию для определения местоположения спасаемых. Ещё один способ использования данных о местоположении – помощь в отслеживании распространения эпидемий, идентификации и изоляции инфицированных граждан. Каким образом получаются данные о местоположении и как их можно извлечь?

Источники данных о местоположении

Данные о местоположении извлекаются из нескольких принципиально различных источников. Основной источник данных о местоположении – данные операторов сотовой связи, которые сообщаются в виде детализации Call Detail Record (CDR). Эти данные могут быть выданы правоохранительным органам по соответствующим образом оформленному запросу; массовая выдача подобных данных регулируется и ограничивается законодательно.

Данные о местоположении можно извлечь из смартфона пользователя; как правило, объём таких данных относительно невелик, а для извлечения информации необходим низкоуровневый доступ к файловой системе.

Наибольший интерес представляет дистанционный анализ данных о местоположении, доступ к которым осуществляется через облако. Особенно интересен «облачный» анализ устройств под управлением Android. В таких устройствах количество точек местоположения, хранящихся в самом телефоне, значительно уступает массиву информации, который собирает и систематизирует в облаке производитель Android – корпорация Google.

Важно отметить, что данные о местоположении могут храниться в не самых очевидных местах. К примеру, одним из важных источников данных о местоположении являются обычные фотографии, сделанные пользователем смартфона. Как сами фотографии, так и переданные пользователем сообщения с вложениями в виде фотографий содержат метаданные EXIF, в которых, в свою очередь, записаны координаты снимка.

Разнообразные приложения (например, приложения для отслеживания спортивных тренировок и фитнеса) также могут сохранять данные о местоположении, передавая эту информацию в собственное облако компании-разработчика приложения.

Огромные массивы данных о местоположении можно извлечь из таких приложений, как Google Fit или Strava. Координаты могут сохраняться даже в событиях из календаря. В наших продуктах есть возможность проанализировать данные, полученные из всех источников. За это отвечает функция агрегации данных о местоположении, которая появилась в Elcomsoft Phone Viewer 3.70 в 2018 году.

EPV 3.70 способен агрегировать данные из множества источников, часть которых доступна лишь в результате физического анализа устройства. В список источников входят:

  • Важные геопозиции (что это такое)*
  • Кеш геопозиций (3G/LTE/Wi-Fi connections)
  • Apple Maps
  • Google Maps
  • Метаданные EXIF, включая идентификатор устройства, на котором был сделан снимок
  • События календаря и ссылка на событие
  • Приложение UBER

* Компания Apple использует именно этот термин, «геопозиция». Также используются термины «геолокация» и «геопредупреждения».

Рассмотрим способы извлечения и анализа данных о местоположении из трёх облачных провайдеров: Apple (iCloud), Google и Microsoft.

Apple

В отличие от Google, Apple не сохраняет многолетнюю подробную историю местоположения пользователя. Соответственно, возможность извлечь эти данные из облака iCloud достаточно ограниченна. В то же время в iCloud всё же есть некоторые данные, которыми можно воспользоваться для извлечения геопозиций. Эти данные включают:

Фотографии в облаке iCloud Photos

Если пользователь активирует функцию «облачных» фотографий, все снимки, сделанные на устройствах пользователя, поступают в облако iCloud в виде синхронизированных данных.  Фотографии можно скачать из облака при помощи Elcomsoft Phone Breaker, после чего извлечь метки GPS из данных EXIF (либо воспользоваться функцией Elcomsoft Phone Viewer > Aggregated Locations).

Облачные сообщения iCloud Messages

Сами по себе сообщения (SMS и iMessage) не включают метки местоположения за двумя исключениями: сообщения с вложениями фотографий (теги EXIF) и специальные сообщения, в которых пользователи делятся своими координатами.

Здоровье — Тренировки

В рамках экосистемы Apple «тренировки» — пожалуй, единственный тип облачных данных, который стабильно содержит множество точных отметок местоположения. Данные поступают от устройств системы HealthKit, оборудованных датчиком GPS – например, от часов Apple Watch пользователя. Как только устройство обнаруживает начало тренировки, включается датчик позиционирования, и устройство начинает регистрировать такие данные, как частота сердечных сокращений и координаты пользователя. Точки местоположения, в свою очередь, поступают от датчика GPS, встроенного во все последние модели Apple Watch и доступного во множестве других совместимых с HealthKit устройств.

Данные о тренировках относятся к категории «Здоровье», которая, в свою очередь, хранится в облаке с использованием сквозного шифрования. Для доступа к зашифрованным таким образом данным с помощью Elcomsoft Phone Breaker вам понадобятся Apple ID и пароль пользователя, одноразовый код двухфакторной аутентификации, а также пароль блокировки экрана или системный пароль пользователя от одного из зарегистрированных в учётной записи устройств.

Данные можно проанализировать посредством Elcomsoft Phone Viewer.

Данные Find My

Сервис Find My обеспечивает точное определение текущих координат устройства – например, в случае его кражи или утери. У сервиса Find My есть две важных с точки зрения экспертов особенности. Во-первых, узнать текущее местоположение устройства можно без прохождения двухфакторной аутентификации (достаточно только логина и пароля пользователя). Во-вторых, пользователь получит уведомление о том, что была активирована служба Find My.

Резервные копии в iCloud

Некоторое количество данных местоположения можно извлечь из облачных резервных копий, которые создаются устройствами с iOS в iCloud. Координаты можно получить из метаданных фотографий. Если же пользователь включит синхронизацию фотографий посредством iCloud Photos, то для экономии места в облаке снимки перестанут сохраняться в резервных копиях.

Карты Apple Maps

В данных Apple Maps содержится на удивление мало точек определения координат. Несмотря на это, разработчики Apple решили защитить данные Apple Maps в облаке сквозным шифрованием, аналогично тому, как защищается Связка ключей или данные приложения «Здоровье». Соответственно, для доступа к этим данным понадобятся как логин и пароль от Apple ID, так и одноразовый код двухфакторной аутентификации и код блокировки экрана одного из устройств в учётной записи.

Данные о местоположении можно просмотреть посредством Elcomsoft Phone Viewer.

Google

Наконец, мы подошли к самому интересному провайдеру данных о местоположении – компании Google. В облаке Google хранятся десятки и сотни тысяч точек координат, позволяющих реконструировать полную историю перемещений и жизнедеятельности пользователя устройств с Android. Google собирает и хранит эти данные в течение многих лет, если пользователь не очистит историю местоположения вручную. Данные о местоположении можно извлечь из следующих источников:

  • История местоположений и хронология в Google Картах. Это – основные источники данных о местоположении пользователя.
  • Google Fit. В отличие от Apple Health, Google Fit оценивает данные о физической активности пользователя на основе периодического опроса встроенного датчика-шагомера и отслеживания местоположения. Точки местоположения затем сохраняются в учётной записи Google пользователя в категории Google Fit (отдельно от основной истории местоположений).
  • Фотографии. В настоящее время Google не возвращает теги геолокации в EXIF при использовании API Google Photos. В результате криминалистический анализ фотографий из Google Photos может не вернуть данные о местоположении. Однако при извлечении Google Фото по запросу о выдаче информации от правоохранительных органов будут получены оригинальные изображения с полными метаданными EXIF, включая теги геолокации.

В чём разница между «историей местоположений» и «хронологией в Google Картах» и как одно соотносится с другим?

История местоположений – массив координатных точек и времени. Данные вычисляются на основе показаний датчика GPS, триангуляцией сигнала сотовых вышек, определяются по идентификаторам точек доступа Wi-Fi BSSID и специализированным излучателям в помещениях (такие распространены в крупных многоэтажных торговых центрах). История местоположений – это просто координаты и время. Сама по себе история местоположений ничего не говорит о том, что пользователь делал в том или ином месте или как он туда попал (пешком, на машине или на велосипеде).

Хронология Google Карт – принципиально другой источник данных. Как пишет сам Google, с помощью Хронологии «…Вы можете посмотреть места, которые посетили, и расстояние, которое преодолели, а также способ передвижения (например, пешком, на велосипеде, на машине или общественным транспортом). Расстояния указываются в милях или километрах, в зависимости от страны.»

Хронология Карт – это взгляд Google на повседневную жизнедеятельность каждого пользователя Android. Здесь отмечаются заведения, которые посещает пользователь, и регистрируются способы передвижения (Google уверенно различает поездки на автомобиле, в общественном транспорте и на велосипеде, не говоря о пеших прогулках или пробежках).

Для извлечения и анализа данных о местоположении из учётных записей Google можно воспользоваться программой Elcomsoft Cloud Explorer.

Microsoft

Microsoft использует для синхронизации данных учётные записи Microsoft Account. Данные можно просмотреть в Privacy Dashboard либо скачать при помощи Elcomsoft Phone Breaker (см. статью Fetching Call Logs, Browsing History and Location Data from Microsoft Accounts). Данные о местоположении предоставляются компанией в формате JSON. Microsoft получает данные о местоположении пользователя из нескольких источников, включая запросы Cortana, историю браузера Microsoft Edge (как на компьютерах, так и мобильных приложениях), запросам к Bing (если пользователь вошёл в учётную запись Microsoft Account).

Microsoft – Apple и Google

Ещё один неочевидный источник данных о местоположении – хранилище OneDrive. Подписчики Office 365 получают 1 ТБ облачного хранилища. В то же время, без дополнительной оплаты Apple предоставляет своим пользователем всего 5 ГБ места в хранилище iCloud, что делает его использование для синхронизации хранения фотографий практически невозможным. В результате ряд пользователей iPhone хранит фотографии в облаке OneDrive с помощью соответствующего приложения для iOS.

Google бесплатно предоставляет неограниченное хранилище фотографий в рамках сервиса Google Photos. Тем не менее, бесплатное и неограниченное хранилище для экономии места в облаке заметно сжимает фотографии, что отрицательно влияет на разрешение и качество снимков. Соответственно, и пользователи Android часто используют для хранения именно OneDrive, в котором нет таких ограничений.

Теги EXIF фотографий из OneDrive – отличный источник данных местоположения.

Почему данным местоположений нельзя доверять

Данные о местоположении могут лгать. При анализе полученной из любых источников информации ни в коем случае нельзя слепо доверять полученным результатам, а тем более – основывать на таких результатах обвинительное заключение. Одной из распространённых ошибок является безоглядное использование данных EXIF, извлечённых из всех изображений, обнаруженных на устройстве или в облачной учётной записи пользователя. Многие фотографии, найденные в источнике, могут быть получены от других пользователей или вовсе скачаны из сети. Кеш местоположений, который является ещё одним источником данных, содержит приблизительные координаты ближайшей базовой станции, которая может находиться довольно далеко от устройства пользователя. Делать какие-либо выводы на основании точек доступа Wi-Fi и вовсе не стоит: координаты таких точек доступа получают из сторонних сервисов на основе идентификатора BSSID. Наконец, Хронология Google Карт может выглядеть чрезвычайно убедительно, но нужно понимать, что это всего лишь предположения, сделанные алгоритмом искусственного интеллекта с закрытым исходным кодом.

О том, насколько сильно могут ошибаться алгоритмы, можно судить по следующей истории. Рассмотрим скриншот из учётной записи Microsoft Account.

Обе точки показывают местоположение, в которых владелец учётной записи не был никогда (в частности, потому, что писал в этот момент данную статью, находясь при этом дома в совершенно другой части города). Более того, вторая точка появилась в учётной записи через несколько месяцев после того, как сообщившее координаты устройство было сброшено и продано (аналогичных случаев в сети можно найти предостаточно).

 

LastPass, как и другие подобные продукты, спроектирован в первую очередь для безопасного хранения паролей. Пароли хранятся в зашифрованных базах данных, защищённых мастер-паролем. Используя шифрование и десятки и сотни тысяч хеш-итераций, реализация защиты в менеджерах паролей искусственно замедляет доступ к зашифрованному хранилищу, снижая эффективность и привлекательность атак методом прямого перебора. В этой статье описан способ мгновенно разблокировать хранилище LastPass без использования перебора.

LastPass

LastPass был представлен в 2008 году компанией Marvasol Inc (в настоящее время — LogMeIn). На сегодняшний день LastPass входит в четвёрку самых популярных менеджеров паролей. Как и другие подобные продукты, LastPass предназначен для хранения, управления и синхронизации паролей, что помогает пользователям избежать повторного использования паролей. Благодаря автоматическому хранению и синхронизации паролей, а также генерации паролей с высокой энтропией, пользователи получают возможность использовать сложные, уникальные пароли для разных учётных записей без необходимости запоминать их все.

В семейство продуктов LastPass входят приложения для настольных операционных систем Windows и macOS, а также мобильные приложения для iOS и Android. Особый интерес представляют так называемые расширения, позволяющие устанавливать LastPass на разных платформах в виде расширения для браузера.

В рамках приложения LastPass пароли сохраняются в локальной базе данных, которая может быть зашифрована с помощью мастер-пароля, обладающего высокой энтропией и уникальностью. Используемый LastPass алгоритм шифрования вполне надёжен; для замедления потенциальных атак на мастер-пароль используются многочисленные итерации хеширования.

В то же время стойкость защиты баз данных LastPass различается на разных платформах. Так, на компьютерах под управлением Windows и macOS используется максимальное (порядка сотни тысяч) количество итераций хеширования, а на устройствах с Android используется защита с минимальным числом итераций.

С технической точки зрения пароли хранятся в базе данных в формате SQLite. Для защиты базы данных используется пароль, на основе которого вычисляется ключ шифрования. Для вычисления ключа шифрования производится (в зависимости от платформы) от 5,000 до порядка 100,000 итераций хеширования.

Извлечь базу данных LastPass проще всего с компьютера пользователя. Соответственно, для её защиты LastPass использует 100,100 итераций хеш-функции мастер-пароля. Атака методом прямого перебора демонстрирует следующую скорость работы:

Скорость перебора в 15,500 паролей в секунду с использованием аппаратного ускорителя NVIDIA GeForce 2070 достаточно типична, обеспечивая адекватный уровень защиты при условии использования достаточно стойкого мастер-пароля.

Ситуация на мобильных платформах заметно отличается. Во-первых, стойкость мастер-пароля ограничивается естественным нежеланием пользователей вводить длинные и сложные комбинации символов с экранной клавиатуры, которая усиливается фактором отсутствия для подобного рода устройств ввода моторной памяти. Во-вторых, LastPass использует меньшее количество итераций для преобразования мастер-пароля в ключ шифрования. На слабых устройствах с Android используется всего 5,000 итераций хеширования, что заметно ускоряет атаку. В результате базу данных LastPass, извлечённую из абстрактного смартфона с Android, взломать будет, скорее всего, значительно проще, чем аналогичную базу данных, полученную с жёсткого диска компьютера.

Скорость перебора мастер-пароля LastPass для устройств с Android может достигать 309,000 комбинаций в секунду на ускорителе NVIDIA GeForce 2070. Такая скорость перебора считается высокой, позволяя восстанавливать достаточно сложные пароли в разумные сроки. Так, семизначный мастер-пароль, составленный из случайной комбинации цифр и букв в обоих регистрах, но без использования спецсимволов, может быть восстановлен в течение трёх месяцев. Шестизначный же пароль, составленный из того же набора символов, получится вскрыть в течение трёх дней.

Однако наибольший интерес представляет особый случай, позволяющий мгновенно восстановить оригинальный мастер-пароль без перебора.

Расширение для браузера Chrome и Microsoft Edge Chromium

В наборе продуктов LastPass есть расширения для нескольких популярных браузеров. Расширение, предназначенное для браузера Google Chrome, также работает и в браузере Microsoft Edge Chromium.

Расширение для браузера – пожалуй, один из самых удобных способов управления паролями. Уверенное определение полей для автозаполнения, управление паролями непосредственно из браузера предоставляют пользователю весьма удобный инструмент.

Компания-разработчик LastPass утверждает, что расширение для Chrome обеспечивает тот же уровень безопасности, что и отдельное приложение:

Only you know your master password, and only you can access your vault. Your master password is never shared with LastPass. That’s why millions of people and businesses trust LastPass to keep their information safe. We protect your data at every step.

Source

Мы выяснили, что в реальности дела обстоят иначе. В частности, если пользователь выбирает опцию «Запоминать пароль» для автоматического разблокирования защищённого хранилища, расширение LastPass для Chrome не обеспечивает должного уровня безопасности. Фактически, ни о какой безопасности в данном случае не может идти и речи.

В чём смысл использования опции «Запоминать пароль»? Так же, как и другие менеджеры паролей, LastPass автоматически блокирует доступ к защищённому хранилищу при закрытии сессии. Многие пользователи предпочитают не вводить пароль постоянно, доверяя хранение своего мастер-пароля расширению LastPass. В то же время, расширение LastPass сохраняет мастер-пароль небезопасным образом:

«Уязвимость (под названием LastPass-Vul-1) заключается в небезопасной архитектуре механизма запоминания мастер-паролей в LastPass. Как показано на рисунке 2, LastPass может запомнить мастер-пароль пользователя (с именем пользователя BCPM) в локальной базе данных SQLite [40] tableLastPassSavedLogins2, позволяя пользователю автоматически проходить аутентификацию при каждом последующем использовании LastPass».

Источник

Описанная выше уязвимость присутствует во всех известных нам версиях расширения LastPass для Chrome (на момент написания — LastPass 4.44.0 и Google Chrome 80.0.3987.146 для Windows 10 x64). Соответственно, эксперт может извлечь и расшифровать мастер-пароль пользователя и получить таким образом доступ ко всему содержимому хранилища LastPass. Способ работает при условии использования пользователем опции «Запоминать пароль».

Казалось бы, если пароль уже сохраняется в базе данных, то естественно было бы ожидать, что его можно оттуда извлечь. Тем не менее, это не так; другие продукты используют гораздо более безопасные способы, делающие подобную атаку невозможной. Рассмотрим эти способы.

Windows Data Protection API

Начнём издалека. Воспользовавшись приложением Elcomsoft Internet Password Breaker, можно моментально извлечь пароли, которые хранятся в браузере Chrome и Microsoft Edge Chromium. Казалось бы, в чём разница?

 

 

Разница в том, что извлечь пароли из Google Chrome или Edge Chromium можно лишь в том случае, если известны логин и пароль пользователя Windows или есть доступ к авторизованной сессии (разблокированному именно данным пользователем компьютеру). Если компьютер выключен, а у эксперта есть исключительно жёсткий диск или его образ (при этом пароль пользователя Windows неизвестен), то и расшифровать пароли из Chrome или Edge Chromium не удастся.

Почему не удастся?

Дело в том, как именно Chrome (и Edge Chromium; в дальнейшем это уточнение можно опускать) защищают базу данных, в которой хранятся пароли пользователя. Сама по себе база данных шифруется алгоритмом AES-256; при этом пароль шифрования (мастер-пароль) по умолчанию не используется. (Здесь, пожалуй, кроется единственное отличие механизмов защиты Chrome и Edge Chromium: если в Chrome задать пароль для синхронизации паролей пользователь сможет, то в Edge Chromium подобный функционал не предусмотрен).

Ключ шифрования базы данных с паролями хранится на том же компьютере, что и сама база данных. При этом ключ шифрования защищён при помощи Windows

Data Protection API (DPAPI), который появился ещё во времена Windows 2000. DPAPI использует AES-256 в качестве алгоритма шифрования. Для доступа к паролям из Chrome пользователь должен войти в учётную запись Windows с использованием пароля, PIN-кода или подсистемы Windows Hello. Только после этого хранилище, защищённое DPAPI, будет расшифровано.

Похожим образом дела обстоят и в системе macOS. В этой ОС используется системное защищённое хранилище, «Связка ключей». Именно в ней Chrome сохраняет ключ шифрования от базы данных с паролями пользователей. Таким образом, безопасность подсистемы хранения паролей Chrome в macOS соответствует уровню безопасности Связки ключей, который признан достаточно высоким.

Подытожим изложенное. Для доступа к паролям Google Chrome и Microsoft Edge Chromium потребуется не только образ диска или файл базы данных, но и логин и пароль пользователя системы (либо доступ к аутентифицированной сессии). «Холодная» атака, таким образом, невозможна.

Именно возможность «холодной» атаки (извлечение мастер-пароля из образа диска или просто из файла базы данных) и является отличительной чертой расширения LastPass для Chrome. Всё, что потребуется для доступа к защищённому хранилищу – это сам файл базы данных и активированная пользователем опция «Запоминать пароль».

Извлечение мастер-пароля LastPass

Для извлечения пароля воспользуемся продуктом Elcomsoft Distributed Password Recovery.

  1. Расширение LastPass для Chrome сохраняет защищённую базу данных по следующему пути (Windows 10):
     %UserProfile%\AppData\Local\Google\Chrome\User Data\Default\databases\chrome-extension_hdokiejnpimakedhajhdlcegeplioahd_0
  2. Запустите Elcomsoft Hash Extractor (входит в состав Elcomsoft Distributed Password Recovery) и откройте указанный выше файл. Важно: файл можно извлечь как из уже авторизованной сессии, так и скопировать с диска или извлечь из образа.
  3. Hash Extractor автоматически извлекает заголовок. Сохраните его в файл с и откройте в Elcomsoft Distributed Password Recovery.
  4. Выберите учётную запись.
  5. Запустите атаку.
  6. Elcomsoft Distributed Password Recovery отобразит найденный мастер-пароль в течение нескольких секунд.

НАШИ НОВОСТИ