Когда отказ от признания — преступление

2 апреля, 2026, Oleg Afonin

Чем больше мы зависим от мобильных устройств, тем больше производители стараются обезопасить нас и наши данные от злоумышленников. Технически сложные методы разблокировки, надёжное шифрование, выделенные сопроцессоры безопасности с собственной ОС — лишь вершина айсберга. Но что происходит, когда защищаться приходится вовсе не от злоумышленников? Повсеместное использование шифрования всё чаще приводит к тому, что полиция упирается в глухую стену: получить доступ к данным без участия владельца часто невозможно технически. Этот технологический тупик спровоцировал конфликт между стремлением государства получить доступ к цифровым уликам и фундаментальным правом человека не свидетельствовать против самого себя.

Читать дальше »

Извлечение секретных чатов из Telegram для iPhone

29 апреля, 2020, Oleg Afonin

Telegram – один из самых популярных сервисов для обмена мгновенными сообщениями, которым пользуются более 500 миллионов человек. Хотя Telegram не считается самым безопасным сервисом для обмена мгновенными сообщениями (этот титул по праву принадлежит Signal), история переписки в приложении Telegram для iOS не попадает ни в резервные копии iTunes, ни в iCloud. Более того, секретные чаты Telegram не хранятся даже на серверах Telegram. В результате секретные чаты Telegram можно извлечь исключительно из того устройства, которое участвовало в переписке. О том, как это сделать, мы расскажем в данной статье.

Читать дальше »

Сравнение методов извлечения данных из iPhone: логический, физический и облачный анализ

20 апреля, 2020, Vladimir Katalov

iPhone — один из самых популярных смартфонов в мире. Благодаря своей огромной популярности, iPhone привлекает большое внимание сообщества криминалистов. Для извлечения данных из iPhone разработано множество методов, позволяющих получать то или иное количество информации с большими или меньшими усилиями. Некоторые из этих методов основаны на недокументированных эксплойтах и публичных джейлбрейках, в то время как другие используют API для доступа к информации. В этой статье мы сравним типы и объёмы данных, которые можно извлечь из одного и того же iPhone 11 Pro Max объёмом 256 ГБ, используя три различных метода доступа к информации: расширенный логический, физический и облачный.

Читать дальше »

Извлечение и анализ Google Fit: шаги, маршруты, местоположение и пульс

17 апреля, 2020, Oleg Afonin

Google Fit – сравнительно малоизвестная подсистема для сбора и анализа данных о здоровье и тренировках пользователя. Между тем, подсистема исправно поставляет данные в соответствующий раздел в облаке Google. Google Fit отправляет данные о количестве шагов и частоте сердечных сокращений; координатах, треках, пробежках, поездках и велосипедных маршрутах пользователя. Иными словами, Google Fit поставляет массив уникальной и подробной информации о действиях и поведении пользователя в каждый момент времени. О том, что именно хранится в облаке и как получить доступ к информации – в этой статье.

Читать дальше »

Облачные координаты: анализ местоположения пользователя на основе облачных данных

16 апреля, 2020, Oleg Afonin

Данные о местоположении – первоочередная цель для правоохранительных органов и различных государственных организаций. Правоохранительные органы используют эти данные, чтобы определить круг подозреваемых либо установить местоположение конкретных лиц поблизости от места преступления в момент его совершения, а службы реагирования на чрезвычайные ситуации используют геолокацию для определения местоположения спасаемых. Ещё один способ использования данных о местоположении – помощь в отслеживании распространения эпидемий, идентификации и изоляции инфицированных граждан. Каким образом получаются данные о местоположении и как их можно извлечь?

Читать дальше »

Извлечение паролей из Microsoft Edge Chromium

15 апреля, 2020, Oleg Afonin

В начале апреля новый браузер Microsoft Edge, основанный на исходных кодах проекта Chromium, занял второе место по популярности, обойдя FireFox. В новой версии Edge разработчики Microsoft не просто проделали работу над ошибками, но использовали совершенно другую основу. Изменилось всё: возможности настройки и кастомизации, совместимость с операционными системами и способ отображения веб-страниц. Особый интерес для экспертов-криминалистов представляет новый способ хранения и защиты паролей, которые сохраняют в браузере пользователи.

Читать дальше »

Мгновенный доступ к паролям LastPass

14 апреля, 2020, Oleg Afonin

LastPass, как и другие подобные продукты, спроектирован в первую очередь для безопасного хранения паролей. Пароли хранятся в зашифрованных базах данных, защищённых мастер-паролем. Используя шифрование и десятки и сотни тысяч хеш-итераций, реализация защиты в менеджерах паролей искусственно замедляет доступ к зашифрованному хранилищу, снижая эффективность и привлекательность атак методом прямого перебора. В этой статье описан способ мгновенно разблокировать хранилище LastPass без использования перебора.

Читать дальше »

macOS, iOS и iCloud: что изменилось для эксперта-криминалиста

3 апреля, 2020, Vladimir Katalov

День ото дня специалисты Apple работают над тем, чтобы осложнить жизнь эксперта-криминалиста. Усложняется работа с облаком iCloud, вводятся новые условия и ограничения. С выходом iOS 13.4 и macOS 10.15.4 работа экспертов станет ещё немного труднее. Посмотрим, что нового появилось в последних версиях операционных систем от Apple (и как изменилась при этом работа продуктов Элкомсофт).

Читать дальше »

Расшифровка криптоконтейнеров VeraCrypt

2 апреля, 2020, Oleg Afonin

VeraCrypt – фактическая замена популярной программе шифрования дисков TrueCrypt и самый распространённый на сегодняшний день криптоконтейнер. В сравнении с TrueCrypt, VeraCrypt предлагает широкий выбор алгоритмов шифрования и хеширования паролей. Как выбранные алгоритмы влияют на безопасность данных и скорость атаки и что делать, если неизвестно, каким именно способом защищён зашифрованный контейнер?

Читать дальше »

Извлечение данных без джейлбрейка: iOS 13 и iPhone 11

18 марта, 2020, Vladimir Katalov

Совсем недавно мы представили новый способ извлечения данных из устройств iPhone и iPad. Агент-экстрактор — быстрый, безопасный и не требующий установки джейлбрейка способ извлечь полный образ файловой системы устройства и расшифровать все записи из Связки ключей. В свежей версии Elcomsoft iOS Forensic Toolkit мы существенно расширили список устройств, с которыми совместим агент-экстрактор. В новой версии инструментария агент-экстрактор доступен на устройствах iPhone и iPad поколений A9-A13, работающих под управлением всех версий от iOS 11.0 до iOS 13.3. Для старых моделей (iPhone 5s и 6) доступна поддержка iOS 11, 12-12.2 и 12.4. В этой статье приводится полная матрица совместимости моделей iPhone и iPad с новым методом извлечения данных.

Читать дальше »

Четыре с половиной пароля. Аутентификация пользователей в экосистеме Apple

12 марта, 2020, Oleg Afonin

Пароль – один из самых старых, классических способов аутентификации. Почтенный возраст паролей не мешает им оставаться основным способом убедиться в том, что пользователь – именно тот, за кого себя выдаёт. Несмотря на множество недостатков, у паролей есть и несомненные достоинства: при должном контроле они могут быть как достаточно безопасными, так и вполне запоминаемыми. В экосистеме Apple используется четыре (или пять, если считать паролем одноразовый код) разных, но тесно связанных между собой паролей. Что это за пароли и как они взаимосвязаны? Попробуем разобраться.

Читать дальше »