Статьи по ключевому слову ‘ecx’

Извлечение данных через облако — один из из наиболее распространённых способов получения улик. Важно понимать, что анализ данных, собранных компанией Google в собственном облаке, способен предоставить значительно более полные данные по сравнению с самым низкоуровневым анализом единственного телефона с Android. Сегодня мы поговорим об одной из особенностей облачного анализа: возможности извлекать данные пользователя, хранящиеся в учётной записи Google, без его логина и пароля.

Токены аутентификации

Общая концепция токенов аутентификации очень проста. Вместо того, чтобы каждый раз отправлять на удалённый ресурс, требующий аутентификации, ваши логин и пароль (или хеш пароля), браузер или приложение приложит небольшой набор двоичных данных. Эти двоичные данные и носят название токена аутентификации. Как только сайт или ресурс получает токен, пользователь сможет получить доступ к ресурсам. Как правило, доступ по токену ограничен по времени, по истечение которого пользователю придётся снова ввести логин и пароль. Тем не менее, в промежутке (а он может быть достаточно длительным — иногда до полугода) пользователь сможет пользоваться ресурсами, не вводя каждый раз пароль.

В Google используется классическая схема аутентификации по токенам. Пользователь аутентифицируется один раз, получает токен аутентификации и использует этот токен для дальнейшего доступа и к другим сервисам Google. Например, токен аутентификации, полученный в Google Chrome, автоматически используется для доступа к списку контактов, календарям, почте и т. д. Примечательно, что токен нельзя использовать для доступа к некоторым службам, таким как список паролей на сайте Google (список паролей в самом браузере Chrome — совершенно отдельная статья).

Токены не являются ни паролями, ни их хешами. Не существует способа восстановить по токену оригинальный пароль. Фактически, токен — это просто набор случайных или псевдослучайных данных, отформатированный для удобства и сохранённый в виде записи в базе данных или в файле, иногда — в зашифрованном виде, но иногда и в открытом. Использование токенов аутентификации делает систему не только более удобной (нет необходимости повторной аутентификации для пользователя), но и более безопасной, поскольку пароль нигде не сохраняется.

Google использует два основных типа токенов: токен Google Chrome (создаётся, когда пользователь входит в свою учётную запись в браузере Google Chrome) и токен, который создаётся приложением Google Backup & Sync (ранее — Google Drive), если оно установлено.

Разумеется, Google также сохраняет токены и на мобильных устройствах (Android и iOS), но извлечь их оттуда гораздо сложнее, чем из компьютера.

Токен Google Drive

Начнём с простого. Токен Google Drive создаётся приложением Google Backup & Sync на компьютерах Windows и macOS. Токен Google Drive хранится в зашифрованном виде. В системах Windows токен защищён DPAPI, в то время как в macOS для хранения токена используется Связка ключей.

Токен Google Drive можно извлечь при помощи Elcomsoft Cloud Explorer. Роль токенов Google Drive ограничена; их можно использовать исключительно для того, чтобы получить доступ к файлам в облачном хранилище Google Drive.

Токены Google Drive хранятся в зашифрованном виде. Для извлечения и расшифровки токена Google Drive вам потребуется доступ к компьютеру пользователя (а не образ диска), который использовался для входа в Google Drive через приложение Google Backup & Sync. Процесс извлечения и расшифровки обеспечит Elcomsoft Cloud Explorer. Внимание: если пользователь выйдет из Google Drive, токены аутентификации удаляются или становятся недействительными.

Токен браузера Chrome

Этот токен создаётся, когда пользователь входит в свою учётную запись Google в браузере Chrome. При помощи данного токена можно получить доступ к ряду служб Google. В системах Windows токен Chrome защищён комбинацией DPAPI и Gcm256 (старые версии Chrome полагались исключительно на защиту DPAPI). В macOS токен хранится в Связке ключей.

Также, как и в случае с токенами Google Drive, для доступа к токену Chrome вам понадобится оригинальный компьютер Windows или Mac пользователя. Для извлечения и расшифровки токена потребуется Elcomsoft Cloud Explorer. Если пользователь вышел из учётной записи Google в Chrome, токены аутентификации удаляются или аннулируются.

Токен Chrome обеспечивает доступ к большему количеству категорий данных по сравнению с токеном Google Drive. Категории, к которым открыт доступ, включают историю посещений в браузере Chrome и некоторые другие данные (например, список открытых вкладок и закладок), список сетей Wi-Fi, журналы вызовов, календари, данные Личного кабинета пользователя, а также заметки Google Keep. Полный список категорий данных, доступных с токенами аутентификации Chrome, приведён на скриншоте:

Как извлечь токены

Мы обнаружили место на компьютере, куда сохраняются токены Chrome и Google Drive, и нашли способ использовать их для аутентификации без пароля. Для этого используется приложение Elcomsoft Cloud Explorer. Аутентификация без пароля доступна (с использованием токена аутентификации) доступна в случаях, когда пользователь использует браузер Google Chrome и вошёл в свою учётную запись.

Токены аутентификации находятся в следующих местах.

Токены Google Chrome:

Chrome Windows:

%appdata%\Local\Google\User Data\<Profile_name>\Web Data

Chrome macOS:

~/Library/Application Support/Google/Chrome/<profile_name>/Web Data

Токены Google Drive:

Windows (в Registry):

HKEY_CURRENT_USER\SOFTWARE\Google\Drive\
Название ключа начинается с "OAuthToken_"

macOS (in the Keychain):

в разделе Связки ключей login keychain

В состав Elcomsoft Cloud Explorer входит утилита Google Token Extractor (GTEX). Эта утилита работает в командной строке. Она автоматически сканирует компьютер пользователя (Windows или Mac) на предмет токенов аутентификации, сохраненных браузером Google Chrome или приложением Google Drive. Как только токен аутентификации будет найден, GTEX сохранит его в текущем каталоге (Windows) или каталоге пользователя по умолчанию (Mac). Находятся и расшифровываются все поддерживаемые токены для всех зарегистрированных учётных записей.

После того, как утилита Google Token Extractor завершит извлечение токенов, они будут сохранены под именами, формирующимися по следующему принципу:

<user_name><Google ID><token_type><date><time>.xml

Пример:

Google Chrome:

john.smith_test.account@gmail.com_GoogleChrome_05.05.2020_15-05-16_UTC.xml

Google Drive:

john.smith_test.account@gmail.com_GoogleDrive_05.05.2020_15-05-16_UTC.xml

Содержимое токена может быть таким.

Google Chrome (Windows):

<?xml version="1.0" encoding="UTF-8" standalone="yes" ?>
<ExtractedToken>
<GTEXVersion>1</GTEXVersion>
<Platform>Windows</Platform>
<GoogleID>test.account@gmail.com</GoogleID>
<Token>1/ukM2X_qTUU-viA-8Yn6LqzLjcGQ-nmHjsh254RYAOF4</Token>
<TokenType>GoogleChrome</TokenType>
<ClientID>77185425430.apps.googleusercontent.com</ClientID>
<ClientSecret>OTJg....</ClientSecret>
<ExtractedAt>03.04.2018 09:12:35</ExtractedAt>
</ExtractedToken>

Google Drive (МаcOS)

<?xml version="1.0" encoding="UTF-8" standalone="yes" ?>
<ExtractedToken>
<GTEXVersion>1</GTEXVersion>
<Platform>macOS</Platform>
<GoogleID>other.test.account@gmail.com</GoogleID>
<Token>1/ukM2X_qTUU-viA-8Yn6LqzLjcGQ-nmHjsh254RYAOF4</Token>
<TokenType>GoogleDrive</TokenType>
<ClientID>645529619299.apps.googleusercontent.com</ClientID>
<ClientSecret>nu6p....</ClientSecret>
<ExtractedAt>27.02.2018 16:46:55</ExtractedAt>
</ExtractedToken>

После извлечения токена его можно использовать с Elcomsoft Cloud Explorer для доступа к информации, хранящейся в учётной записи пользователя Google. Логин, пароль и прохождение двухфакторной аутентификации не потребуются.

Использование токенов для доступа к данным

Токен Chrome можно использовать для доступа и к другим категориям данных.

Чтобы авторизоваться в учётной записи при помощи токена, запустите Elcomsoft Cloud Explorer и выберите аутентификацию с помощью токена.

Будет выведен список доступных категорий данных (те, которые выделены серым цветом, недоступны при аутентификации посредством токена; для доступа к ним нужны логин и пароль).

 

В новой версии Elcomsoft Cloud Explorer появилась поддержка такого интересного сервиса, как Личный кабинет Google. Личный кабинет Google отличается тем, что информация из него не попадает в скачанные с сайта Google данные. Получить доступ к Личному кабинету можно либо через веб-сайт компании, либо, если требуется офлайновый анализ, посредством Elcomsoft Cloud Explorer. В этой статье мы расскажем о сервисе Личный кабинет Google и о том, как данные из него можно извлечь и проанализировать.

Что такое Личный кабинет Google

Личный кабинет Google (он же Google Dashboard) — относительно малоизвестный криминалистам сервис компании, в котором собрана статистика использования сервисов Google. В Личном кабинете Google сохраняются такие данные, как поисковые запросы, кампании AdWords, созданные пользователем файлы, количество сообщений электронной почты и многое другое.

Google позволяет зарегистрированным пользователям загружать данные, хранящиеся в Личном кабинете, но в предоставленном наборе данных многие категории отсутствуют (например, данные о подключённых приложениях и активностях устройств). Используя Elcomsoft Cloud Explorer, можно получить весь набор данных, доступных в Личном кабинете Google, включая категории, которые не предоставляются самой компанией.

Личный кабинет Google содержит агрегированные статистические данные о действиях пользователя. В результате данные Личного кабинета можно скачать очень быстро, буквально за считанные секунды. Загрузка и анализ данных Личного кабинета перед тем, как вы скачаете весь набор собранной Google информации, позволяет сэкономить время и начать расследование быстрее.

Откуда берётся информация в Личном кабинете

В отличие от большинства других категорий данных Google, в Личном кабинете, строго говоря, нет ничего нового, ничего такого, чего не было бы в других категориях. В то же время Личный кабинет — это своеобразная информационная сводка, позволяющая быстро сориентироваться в том, на какие именно категории  стоит обратить пристальное внимание. Другими словами, Личный кабинет — это статистика, агрегированные данные.

Как извлечь данные Личного кабинета

Чтобы извлечь данные панели мониторинга Google из учётной записи Google, вам потребуется Elcomsoft Cloud Explorer 2.31 или более новый.

  1. Запустите Elcomsoft Cloud Explorer. Выполните аутентификацию с помощью имени пользователя и пароля от учётной записи Google или используйте токен аутентификации. На приведённом ниже снимке экрана показана аутентификация на основе токенов.
  2. Установите флажок «Google Dashboard». Примечание: если вы спешите, вы можете очистить остальные флажки. Загрузив и проанализировав данные Личного кабинета, вы сможете лучше понять, на какие категории вам стоит обратить внимание в первую очередь.
  3. Процесс извлечения данных займёт порядка нескольких минут.
  4. После обработки данные Личного кабинета станут доступны для анализа.

 

Анализ данных Личного кабинета Google

Данные из Личного кабинета можно разбить на ряд категорий. Сюда входят такие данные, как Устройства, Карты, Календарь, Диск, Оповещения, Аналитика, Книги, Группы, Новости, Отслеживание отправлений, Платежи, Фотографии, Музыка Google Play, приложения из Google Play, Задачи, Blogger, AdSense, Учётные записи брендов, FeedBurner, Поиск и Хранение, а также как и несколько других.

Получить представление о содержимом Личного кабинета можно из следующих скриншотов.

В категории «Устройства» представлен обзор зарегистрированных устройств пользователя, работающих на ОС Android. Если у устройства есть облачная резервная копия, хранящаяся на Google Drive, то вы увидите информацию об этой резервной копии.

Категория «Фотографии», хотя и не отображает фотографии как таковые, содержит информацию о количестве изображений, последних манипуляциях пользователя, количестве общедоступных фотографий и т.д.

В категории «Карты» вы увидите домашний и рабочий адреса пользователя, его последнее известное местоположение (точнее, POI местоположения) и информацию о последнем отзыве пользователя, оставленного в приложении Google Maps.

Аналогично предыдущему, в категории Gmail вы не найдёте истории переписки пользователя. Она содержит статистическую информацию об использовании Gmail владельцем учётной записи, такую как общее количество сообщений, количество отправленных сообщений и т.д.

Раздел «Действия устройства» содержит информацию об устройствах пользователя (не обязательно смартфонах Android), на которых пользователь выполнил вход в систему, чтобы воспользоваться одним из сервисов Google.

Раздел «Подключённые приложения» содержит информацию о приложениях, которым пользовал разрешил использовать свои учётные данные.

Есть множество других категорий, которые могут быть интересны для расследования.

Заключение

Личный кабинет Google (Google Dashboard) не содержит того, что можно классифицировать как «новые» или «уникальные» данные. Тем не менее, эта важная категория позволяет ускорить расследование, выявляя взаимодействия пользователя с устройствами и службами Google в считанные секунды. Получение и анализ данных из Личного кабинета позволит определиться с очерёдностью анализа остальных категорий из огромного массива собранной Google информации.

 

 

Приложения для обмена мгновенными сообщениями стали стандартом де-факто для переписки в реальном времени. Извлечение истории переписки из таких приложений и облачных сервисов может оказаться исключительно важным в ходе расследования. В этой статье мы сравниваем безопасность пяти самых распространённых приложений для обмена мгновенными сообщениями для iPhone в контексте их криминалистического анализа.

Способы извлечения данных

В контексте операционной системы iOS, под управлением которой работают смартфоны iPhone и планшеты iPad, есть несколько способов извлечения истории переписки из приложений для обмена мгновенными сообщениями. На платформе iOS практически исключены атаки класса MITM (перехват и расшифровка сообщений в процессе доставки); если исключения и встречаются, то нам о них не известно. Даже на устройствах Android для атаки MITM потребуется установить сторонний SSL-сертификат, и даже это может не сработать для некоторых мессенджеров.

Возможность получения историй переписки от владельца соответствующего приложения является (по крайней мере, в теории) отличным способом, который вполне официально доступен работникам правоохранительных органов. Политики производителей разнятся от почти мгновенной и практически полной выдачи информации до полного неразглашения. Эти особенности мы обсудим дополнительно.

Если производитель использует собственный облачный сервис для доставки и хранения сообщений, то данные можно попробовать извлечь из него. Наконец, историю переписки иногда получается извлечь из облака Apple iCloud, но только в том случае, если эти данные туда вообще попадают: и в этом смысле политики производителей мессенджеров сильно отличаются.

Историю переписки всегда можно извлечь из самого устройства iPhone, но уровень сложности различается для разных приложений. Для некоторых приложений достаточно логического извлечения (анализ резервных копий iTunes), в то время как некоторые другие мессенджеры запрещают хранение своих данных в локальных резервных копиях. Для полного доступа к истории переписки может потребоваться образ файловой системы (иногда — и Связка ключей).

Итак, рассмотрим различные варианты извлечения истории переписки для пяти распространённых приложений для обмена мгновенными сообщениями в iOS.

iMessage

iMessage — предустановленный сервис для обмена сообщениями, доступный на каждом устройстве iPhone и iPad «из коробки». Поскольку приложение предустановлено на каждом iPhone, предполагается, что большая часть пользователей iPhone так или иначе пользуется этим приложением. В какой-то мере это соответствует действительности: по умолчанию отправка сообщения через встроенное приложение «Сообщения» пошлёт SMS пользователю Android или кнопочного телефона, но отправит iMessage, если на другом конце — такой же пользователь iPhone. Компания Apple оценивает количество пользователей iMessage в 1.6 миллиарда; оценка основана на количестве активных iPhone. В 2016 году сервис пересылал порядка 200,000 сообщений iMessages в секунду.

  • Запрос от правоохранительных органов: Неоднозначно, но — нет. С одной стороны, Apple хранит сообщения на собственных серверах. С другой, по утверждениям компании, все сообщения зашифрованы сквозным шифрованием; код шифрования зависит от кода блокировки зарегистрированного устройства пользователя. Этот факт позволяет Apple утверждать, что компания не в состоянии расшифровать данные. Впрочем, Apple категорически отказывается расшифровать сообщения даже в том случае, если код блокировки известен — что фактически не представляет проблемы даже для сторонних сервисов. Так или иначе, Apple не возвращает сообщения iMessage по запросу от правоохранительных органов.
  • Собственный облачный сервис: Копии сообщений хранятся в iCloud, если пользователь включил функцию «Облачные сообщения». Данные зашифрованы, для их расшифровки необходим код блокировки экрана одного из зарегистрированных устройств пользователя. Для извлечения и расшифровки потребуется Apple ID, пароль, второй фактор аутентификации и код блокировки экрана.
  • Локальные резервные копии: История переписки iMessages всегда попадает в резервные копии, её можно извлечь и расшифровать посредством логического анализа.
  • Резервные копии в iCloud: Apple хранит сообщения iMessage в резервных копиях iCloud в том и только в том случае, если пользователь не включил функцию «Облачные сообщения». В противном случае см. предыдущие пункты.
  • iCloud Drive: нет.
  • Образ файловой системы: Сообщения iMessage хранятся в файловой системе устройства без дополнительной степени защиты. Соответственно, для их извлечения достаточно лишь образа файловой системы; расшифровка Связки ключей для этого не обязательна.

iMessage: выводы

Извлечь сообщения можно, но нужно хорошо понимать, что именно нужно делать. Сообщения доступны из нескольких источников; соответственно, получить к ним доступ можно несколькими разными способами. В целом мы оцениваем сложность извлечения iMessage как среднюю.

Необходимые программы: Elcomsoft iOS Forensic Toolkit (извлечение из образа файловой системы) или Elcomsoft Phone Breaker (извлечение из iCloud, резервных копий в iCloud, локальных резервных копий iTunes); Elcomsoft Phone Viewer (для просмотра и анализа).

Инструкции: Messages in iCloud: How to Extract Full Content Including Media Files, Locations and Documents, iMessage Security, Encryption and Attachments.

WhatsApp

Пользователей WhatsApp — более 2 миллиардов, что делает WhatsApp одним из самых популярных приложений для обмена сообщениями. Несмотря на то, что протокол обмена сообщениями WhatsApp основан на протоколе Signal, использующем сквозное шифрование, приложение WhatsApp ничуть не более безопасно в сравнении с другими мессенджерами. В приложении WhatsApp есть возможность создания резервных копий. Впрочем, история переписки WhatsApp не хранится на серверах компании за исключением недоставленных сообщений.

  • Запрос от правоохранительных органов: WhatsApp не сохраняет историю сообщений на собственных серверах. Исключение — недоставленные сообщения; только их и можно получить по запросу от правоохранительных органах.
  • Собственный облачный сервис: См. выше: доступны только недоставленные сообщения.
  • Локальные резервные копии: Как правило, резервные копии WhatsApp сохраняются как в локальных, так и в облачных резервных копиях iOS.
  • Резервные копии в iCloud: См. выше; как правило, данные WhatsApp можно извлечь из облачной резервной копии в iCloud.
  • iCloud Drive: WhatsApp предлагает пользователям возможность сохранения автономной резервной копии в облаке iCloud. Эти данные можно с лёгкостью извлечь из облака; проблема же в том, что они зашифрованы. Для расшифровки таких резервных копий необходимо зарегистрироваться в качестве нового клиента WhatsApp (например, при помощи Elcomsoft Explorer for WhatsApp).
  • Образ файловой системы: База данных WhatsApp доступна и в образе файловой системы. Никакой дополнительной защиты нет.

WhatsApp: выводы

Сложность извлечения истории переписки WhatsApp мы оцениваем как невысокую. Данные WhatsApp можно извлечь практически из любого источника (за исключением собственных серверов компании), в том числе из локальных и облачных резервных копий.

Необходимые программы: Elcomsoft iOS Forensic Toolkit и Elcomsoft Phone Viewer; либо специализированный продукт Elcomsoft Explorer for WhatsApp.

Инструкции: Extract and Decrypt WhatsApp Backups from iCloud.

Telegram

Telegram — одна из самых продвинутых программ для мгновенного обмена сообщениями. Благодаря приложениям, доступным для практически всех платформ, Telegram набрал порядка 200 миллионов пользователей (данные 2018 года). В день пересылается порядка 300 миллионов сообщений.

Telegram использует собственный облачный сервис как для доставки, так и для хранения сообщений (это и позволяет использовать несколько клиентов Telegram одновременно на разных устройствах). Доступен специальный режим «секретных чатов», в котором сообщения на сервере не хранятся.

  • Запрос от правоохранительных органов: Telegram хранит полную историю переписки пользователей на собственных серверах — за исключением секретных чатов. В зависимости от юрисдикции, историю переписки в Telegram можно получить по запросу от правоохранительных органов.
  • Собственный облачный сервис: Историю переписки в Telegram можно извлечь непосредственно из облака компании, зарегистрировавшись в качестве приложения-клиента.
  • Локальные резервные копии: Нет. Данные Telegram не попадают в локальные резервные копии.
  • Резервные копии в iCloud: Нет. Данные Telegram не сохраняются в облачных резервных копиях.
  • iCloud Drive: Нет.
  • Образ файловой системы: Telegram не использует никакой дополнительной защиты. Для доступа к данным достаточно образа файловой системы.

Telegram: выводы

Сложность извлечения данных Telegram средняя. Данные Telegram (в том числе секретные чаты) можно извлечь из образа файловой системы. Обычные чаты можно получить по запросу от правоохранительных органов (в зависимости от юрисдикции).

Необходимые программы: Elcomsoft iOS Forensic Toolkit (для извлечения из файловой системы); Elcomsoft Phone Viewer (для анализа данных).

Инструкции: Извлечение секретных чатов из Telegram для iPhone

Signal

Если судить исключительно по количеству пользователей (их порядка полумиллиона), Signal не входит в пятёрку (и даже в десятку) самых распространённых мессенджеров. В то же время, благодаря беспрецедентному вниманию к безопасности, Signal стал фактически стандартным инструментом для обмена сообщениями среди тех, кому есть что скрывать. Именно по этой причине Signal вызывает неослабеваемый интерес правоохранительных органов.

Разработчики Signal внедрили исключительно безопасный протокол обмена сообщениями, использующий сквозное шифрование. В отличие от WhatsApp, основанного на том же протоколе, Signal заметно более безопасен с других точек зрения. В частности, Signal не сохраняет резервных копий, а рабочая база данных зашифрована ключом с высшим классом защиты, что не позволяет открыть базу данных, просто вытащив файл из образа файловой системы.

  • Запрос от правоохранительных органов: Нет. Signal не хранит сообщения на сервере; соответственно, нечего и запрашивать.
  • Собственный облачный сервис: Нет. Signal не хранит историю переписки на своих серверах.
  • Локальные резервные копии: Нет. Данные Signal не попадают в резервные копии.
  • Резервные копии в iCloud: Нет. Данные Signal не сохраняются в облачных резервных копиях.
  • iCloud Drive: Нет. Signal не создаёт резервных копий, даже автономных.
  • Образ файловой системы: Да, но сложно. Signal шифрует рабочую базу данных, а ключ шифрования хранится в Связки ключей с максимальным классом защиты. Для расшифровки базы данных вам придётся извлечь как образ файловой системы, так и Связку ключей (Elcomsoft iOS Forensic Toolkit).

Signal: выводы

Signal — самый сложный мессенджер с точки зрения извлечения истории переписки. Для расшифровки его базы данных вам потребуется как образ файловой системы iPhone, так и расшифрованная Связка ключей.

Необходимые программы: Elcomsoft iOS Forensic Toolkit (извлечение образа файловой системы и расшифровка Связки ключей); Elcomsoft Phone Viewer (расшифровка базы данных Signal).

Инструкции: How to Extract and Decrypt Signal Conversation History from the iPhone

Skype

Skype — один из старейших мессенджеров. В настоящее время сервис принадлежит компании Microsoft. В марте 2020 года Skype использовался ста миллионами пользователей ежемесячно. Порядка 40 миллионов человек использует Skype ежедневно. Microsoft сохраняет историю общения пользователей Skype; данные доступны по запросу от правоохранительных органов.

  • Запрос от правоохранительных органов: Да; проще, чем в остальных случаях. Skype хранит полную историю переписки в облаке Microsoft; секретные чаты отсутствуют как возможность. Microsoft охотно сотрудничает с правоохранительными органами, выдавая полный набор данных по запросу от правоохранительных органов.
  • Собственный облачный сервис: Да. Microsoft хранит данные в собственном облаке, и их можно извлечь, авторизовавшись в учётной записи пользователя.
  • Локальные резервные копии: С некоторых пор Skype перестал сохранять историю переписки в локальных резервных копиях. Этот путь доступа к данным в настоящее время закрыт.
  • Резервные копии в iCloud: См. выше. В настоящее время извлечение из облачных резервных копий невозможно.
  • iCloud Drive: Нет.
  • Образ файловой системы: Skype не использует дополнительных мер по защите рабочей базы данных. Для доступа достаточно только образа файловой системы.

Skype: выводы

С нашей точки зрения, сложность извлечения данных Skype средняя. С одной стороны, Microsoft охотно сотрудничает с правоохранительными органами, выдавая историю переписки пользователя по запросу. С другой — данные Skype не попадают в резервные копии и не сохраняются в облаке iCloud. Соответственно, данные Skype можно извлечь либо из облака Microsoft, либо из образа файловой системы.

Необходимые программы: Elcomsoft Phone Breaker (для скачивания переписки из Microsoft Account); Elcomsoft Phone Viewer (для просмотра данных).

Инструкции: Extracting Skype Histories and Deleted Files Metadata from Microsoft Account

Заключение

Данная статья не претендует на полноту. Line, Viber, QQ, WeChat, Facebook Messenger и множество других приложений, в том числе от Yandex и Mail.ru, используется огромным количеством пользователей. Мы продолжаем исследования, постепенно добавляя поддержку самых распространённых мессенджеров.

Google Fit – сравнительно малоизвестная подсистема для сбора и анализа данных о здоровье и тренировках пользователя. Между тем, подсистема исправно поставляет данные в соответствующий раздел в облаке Google. Google Fit отправляет данные о количестве шагов и частоте сердечных сокращений; координатах, треках, пробежках, поездках и велосипедных маршрутах пользователя. Иными словами, Google Fit поставляет массив уникальной и подробной информации о действиях и поведении пользователя в каждый момент времени. О том, что именно хранится в облаке и как получить доступ к информации – в этой статье.

Доступ к данным, которые собирает приложение Google Fit — это доступ к огромным массивам информации, относящейся к состоянию здоровья и физической активности пользователя; информации, которая хранится в облаке Google. Подробные, уникальные данные о местонахождении и активности пользователя, собранные фитнес-приложением Google, могут оказаться неоценимыми в ходе расследования.

Разумеется, Google Fit – далеко не единственный источник информации о местоположении пользователей, которая есть в распоряжении Google. Поисковый гигант собирает огромное количество информации – в том числе Историю местоположений и Хроники Google Карт. Данные Google Fit прекрасно дополняют картину, поставляя дополнительные точки геокоординат, которые сообщают различные браслеты, часы и прочие носимые устройства.

Впрочем, координаты пользователя – это также далеко не всё, что доступно в Google Fit. Подсистема Google Fit агрегирует любые данные, поставляемые фитнес-браслетами, часами и трекерами, а также их приложениями-компаньонами. Типы данных варьируются в зависимости от устройства; как правило, доступны показания датчиков шагомера, пульсометра и местоположения, но встречаются и браслеты, которые могут измерять уровень кислорода в крови и другие показания состояния организма пользователя.

Помимо данных Google Fit, в облаке Google хранится множество других данных от подробной истории местоположений пользователя за несколько лет до паролей, фотографий, почты Gmail, контактов, календарей и поисковых запросов. Сохраняется (и извлекается) история поисковых и голосовых запросов, журналы звонков, текстовые сообщения, статистика использования устройств под управлением Android и многое другое.

Google предоставляет правоохранительным органам доступ к большей части собранной информации, однако посредством Elcomsoft Cloud Explorer можно получить доступ к данным гораздо более простым способом практически моментально. С учётом сквозного шифрования, использующегося в современных смартфонах Android, Elcomsoft Cloud Explorer может оказаться единственным способом получить доступ к данным.

Откуда Google Fit получает данные

Google Fit – это и приложение, и сервис. Приложение Google Fit доступно для платформ Android и iOS; соответственно, использовать его можно как на iPhone, так и на смартфонах под управлением Android. Сервис Google Fit развёрнут в облаке Google; в нём хранится и обрабатывается информация, полученная как от приложения Google Fit, так и от использующих соответствующие API сторонних программ.

Для многих пользователей Google Fit – это просто приложение, которое необходимо установить из Play Store для настройки часов с WearOS (ранее известной под названием Android Wear). На самом же деле для работы Google Fit наличие часов, фитнес-трекера или браслета совершенно не обязательно: приложение вполне способно обходиться и той информацией, которую поставляют встроенные в телефон датчики. Например, данные о количестве шагов приложение Google Fit вычисляет по сложному алгоритму, использующему технологии искусственного интеллекта. Алгоритм периодически опрашивает датчик шагомера и постоянно опрашивает датчики местоположения (в зависимости от некоторых условий это могут быть как данные от сотовых вышек, так и показания датчика GPS). На основе этой информации вычисляется количество шагов, которые прошёл пользователь на том или ином участке. Впрочем, использование совместимого браслета или часов позволяет получать и другие данные – например, измерять пульс, подсчитывать точное, а не приблизительное количество шагов, собирать другую сопутствующую информацию.

Данные Google Fit хранятся в облаке Google, откуда их можно извлечь. Вероятно, наибольшую ценность представляют массивы данных о местоположении пользователя, которые дополняют данные Истории местоположений Google.

Как Google защищает данные о здоровье

Вероятно, ответ «никак» не устроит наших читателей, поэтому начнём издалека. Для того, чтобы дать оценку подходу Google к защите данных о здоровье пользователя рассмотрим действия конкурента – компании Apple.

В рамках экосистемы Apple данные «Здоровья» относятся к категории со степенью защиты, которую сама Apple определяет как «сквозное шифрование». С нашей точки зрения, термин «сквозное шифрование» недостаточно хорошо определяет суть процесса. «Синхронизированные данные с дополнительным шифрованием» будет более точным определением. Именно в таких контейнерах хранятся пароли из облачной связки ключей, данные приложения «Здоровье», сообщения SMS и iMessage, синхронизированные в облако, а также данные Apple Maps.

Защищённые таким образом данные зашифрованы ключом, который зависит от кода блокировки устройства. Информация из защищённых облачных контейнеров доступна исключительно самому пользователю: доступа к этим данным нет ни у полиции, ни у самой компании Apple. Эти данные не будут предоставлены по запросу правоохранительных органов. Для доступа к ним через Elcomsoft Phone Breaker необходим полный набор для аутентификации пользователя, включающий логин и пароль Apple ID, одноразовый код второго фактора аутентификации (к примеру, SIM-карта с доверенным телефонным номером или одно из устройств пользователя, привязанных к той же учётной записи, в разблокированном виде), а также код блокировки экрана (iPhone, iPad, iPod Touch) или системный пароль (Mac) одного из устройств пользователя, привязанных к той же учётной записи Apple.

Отметим также тот факт, что данные «Здоровье» попадают в облако Apple iCloud том и только в том случае, если пользователь включил для учётной записи дополнительную защиту двухфакторной аутентификацией.

Разобравшись в том, как работает защита данных о здоровье пользователя у Apple, понять схему защиты этих данных у Google будет предельно просто: она отсутствует. Данные можно просто скачать, получить по запросу, извлечь из учётной записи по логину и паролю (двухфакторная аутентификация у Google остаётся опциональной).

Логин и пароль от учётной записи Google

Для авторизации в учётной записи Google Account необходимы логин и пароль пользователя (а в случае использования пользователем двухфакторной аутентификации – способ её пройти (одноразовый код, подтверждение всплывающего сообщения и т.п.) Логин и пароль пользователя можно узнать, проанализировав компьютер пользователя при помощи Elcomsoft Internet Password Breaker, извлечь из облака посредством Elcomsoft Phone Breaker или из Связки ключей при помощи Elcomsoft iOS Forensic Toolkit.

Обратите внимание: несмотря на то, что в Elcomsoft Cloud Explorer поддерживается возможность доступа к данным из облака Google Account с использованием маркера аутентификации вместо логина и пароля, доступ к данным Google Fit получить таким образом невозможно. Используйте маркер аутентификации для получения доступа к другим типам данных.

Извлечение данных Google Fit

Для извлечения данных Google Fit используйте приложение Elcomsoft Cloud Explorer 2.30 или более новой версии.

  1. Запустите Elcomsoft Cloud Explorer и создайте новый проект. Авторизуйтесь в учётной записи пользователя (Google Account) его логином и паролем. При необходимости пройдите двухфакторную аутентификацию.
  2. Отметьте пункт “Google Fit”.
  3. Данные будут доступны в течение нескольких секунд.
  4. После обработки данных их можно просмотреть в разделе Google Fit.

Анализ данных Google Fit

В процессе анализа данных можно использовать сортировку и группировку. Во вкладке Sessions отображаются сеансы активности пользователя, обнаруженные приложением Google Fit. Активные занятия могут включать в себя сон, ходьбу, бег трусцой и другие виды деятельности.

Обратите внимание, что как виды сессий, так и время их начала и конца определяются автоматически различными приложениями и устройствами. Вкладка Packet name содержит название пакета приложения, которое внесло информацию о сеансе.

Steps (шаги) могут быть либо необработанными данными из подключённых умных часов или браслета, либо информацией, сгенерированной приложением Google Fit на основе комбинации счётчика шагов смартфона и мониторинга данных о местоположении. Если внешние устройства или браслеты не подключены, приложение Google Fit использует искусственный интеллект для вычисления количества шагов на основе вышеупомянутых данных. Приложение периодически опрашивает встроенный в смартфон шагомер, но делает это с большими интервалами, в основном полагаясь на более энергоэффективный сенсор определения местоположения.

Такие виды активности, как спортивная ходьба и бег, автоматически определяются приложением на основе увеличения скорости передвижения и частоты сердечных сокращений пользователя, увеличения числа шагов в минуту и всё тех же данных о местоположении.

Один из самых интересных отчётов – Places («Места»). Google Fit собирает огромные массивы данных о местоположении пользователя. В нашей тестовой учётной записи обнаружилось 13,788 точек за 9 месяцев использования. Учитывая, что тестовым устройством мы пользовались достаточно редко, частота и количество отчётов о местоположении кажутся даже несколько избыточными. При нажатии строку с координатами открываются карты Google Maps.

Заключение

Данные Google Fit могут содержать подробную информацию как о местонахождении пользователя, так и о физических параметрах его организма. Из облачного сервиса Google Fit можно получить такие данные, как количество шагов и темп ходьбы, тип физической активности, частоту сердечных сокращений, количество преодолённых лестничных пролётов и многое другое.

Многие пользователи постоянно носят разнообразные браслеты, часы и подобные устройства. Такие устройства могут сообщать (и, соответственно, сохранять в облаке) массу дополнительной информации. В частности, в дополнительные данные может попадать информация об уровне кислорода в крови пользователя, пульсе, точном количество шагов, а также дополнительные данные о местоположении с датчика GPS, встроенного в браслет. Анализ данных Google Fit может оказать неоценимую помощь в расследовании.

Данные о местоположении – первоочередная цель для правоохранительных органов и различных государственных организаций. Правоохранительные органы используют эти данные, чтобы определить круг подозреваемых либо установить местоположение конкретных лиц поблизости от места преступления в момент его совершения, а службы реагирования на чрезвычайные ситуации используют геолокацию для определения местоположения спасаемых. Ещё один способ использования данных о местоположении – помощь в отслеживании распространения эпидемий, идентификации и изоляции инфицированных граждан. Каким образом получаются данные о местоположении и как их можно извлечь?

Источники данных о местоположении

Данные о местоположении извлекаются из нескольких принципиально различных источников. Основной источник данных о местоположении – данные операторов сотовой связи, которые сообщаются в виде детализации Call Detail Record (CDR). Эти данные могут быть выданы правоохранительным органам по соответствующим образом оформленному запросу; массовая выдача подобных данных регулируется и ограничивается законодательно.

Данные о местоположении можно извлечь из смартфона пользователя; как правило, объём таких данных относительно невелик, а для извлечения информации необходим низкоуровневый доступ к файловой системе.

Наибольший интерес представляет дистанционный анализ данных о местоположении, доступ к которым осуществляется через облако. Особенно интересен «облачный» анализ устройств под управлением Android. В таких устройствах количество точек местоположения, хранящихся в самом телефоне, значительно уступает массиву информации, который собирает и систематизирует в облаке производитель Android – корпорация Google.

Важно отметить, что данные о местоположении могут храниться в не самых очевидных местах. К примеру, одним из важных источников данных о местоположении являются обычные фотографии, сделанные пользователем смартфона. Как сами фотографии, так и переданные пользователем сообщения с вложениями в виде фотографий содержат метаданные EXIF, в которых, в свою очередь, записаны координаты снимка.

Разнообразные приложения (например, приложения для отслеживания спортивных тренировок и фитнеса) также могут сохранять данные о местоположении, передавая эту информацию в собственное облако компании-разработчика приложения.

Огромные массивы данных о местоположении можно извлечь из таких приложений, как Google Fit или Strava. Координаты могут сохраняться даже в событиях из календаря. В наших продуктах есть возможность проанализировать данные, полученные из всех источников. За это отвечает функция агрегации данных о местоположении, которая появилась в Elcomsoft Phone Viewer 3.70 в 2018 году.

EPV 3.70 способен агрегировать данные из множества источников, часть которых доступна лишь в результате физического анализа устройства. В список источников входят:

  • Важные геопозиции (что это такое)*
  • Кеш геопозиций (3G/LTE/Wi-Fi connections)
  • Apple Maps
  • Google Maps
  • Метаданные EXIF, включая идентификатор устройства, на котором был сделан снимок
  • События календаря и ссылка на событие
  • Приложение UBER

* Компания Apple использует именно этот термин, «геопозиция». Также используются термины «геолокация» и «геопредупреждения».

Рассмотрим способы извлечения и анализа данных о местоположении из трёх облачных провайдеров: Apple (iCloud), Google и Microsoft.

Apple

В отличие от Google, Apple не сохраняет многолетнюю подробную историю местоположения пользователя. Соответственно, возможность извлечь эти данные из облака iCloud достаточно ограниченна. В то же время в iCloud всё же есть некоторые данные, которыми можно воспользоваться для извлечения геопозиций. Эти данные включают:

Фотографии в облаке iCloud Photos

Если пользователь активирует функцию «облачных» фотографий, все снимки, сделанные на устройствах пользователя, поступают в облако iCloud в виде синхронизированных данных.  Фотографии можно скачать из облака при помощи Elcomsoft Phone Breaker, после чего извлечь метки GPS из данных EXIF (либо воспользоваться функцией Elcomsoft Phone Viewer > Aggregated Locations).

Облачные сообщения iCloud Messages

Сами по себе сообщения (SMS и iMessage) не включают метки местоположения за двумя исключениями: сообщения с вложениями фотографий (теги EXIF) и специальные сообщения, в которых пользователи делятся своими координатами.

Здоровье — Тренировки

В рамках экосистемы Apple «тренировки» — пожалуй, единственный тип облачных данных, который стабильно содержит множество точных отметок местоположения. Данные поступают от устройств системы HealthKit, оборудованных датчиком GPS – например, от часов Apple Watch пользователя. Как только устройство обнаруживает начало тренировки, включается датчик позиционирования, и устройство начинает регистрировать такие данные, как частота сердечных сокращений и координаты пользователя. Точки местоположения, в свою очередь, поступают от датчика GPS, встроенного во все последние модели Apple Watch и доступного во множестве других совместимых с HealthKit устройств.

Данные о тренировках относятся к категории «Здоровье», которая, в свою очередь, хранится в облаке с использованием сквозного шифрования. Для доступа к зашифрованным таким образом данным с помощью Elcomsoft Phone Breaker вам понадобятся Apple ID и пароль пользователя, одноразовый код двухфакторной аутентификации, а также пароль блокировки экрана или системный пароль пользователя от одного из зарегистрированных в учётной записи устройств.

Данные можно проанализировать посредством Elcomsoft Phone Viewer.

Данные Find My

Сервис Find My обеспечивает точное определение текущих координат устройства – например, в случае его кражи или утери. У сервиса Find My есть две важных с точки зрения экспертов особенности. Во-первых, узнать текущее местоположение устройства можно без прохождения двухфакторной аутентификации (достаточно только логина и пароля пользователя). Во-вторых, пользователь получит уведомление о том, что была активирована служба Find My.

Резервные копии в iCloud

Некоторое количество данных местоположения можно извлечь из облачных резервных копий, которые создаются устройствами с iOS в iCloud. Координаты можно получить из метаданных фотографий. Если же пользователь включит синхронизацию фотографий посредством iCloud Photos, то для экономии места в облаке снимки перестанут сохраняться в резервных копиях.

Карты Apple Maps

В данных Apple Maps содержится на удивление мало точек определения координат. Несмотря на это, разработчики Apple решили защитить данные Apple Maps в облаке сквозным шифрованием, аналогично тому, как защищается Связка ключей или данные приложения «Здоровье». Соответственно, для доступа к этим данным понадобятся как логин и пароль от Apple ID, так и одноразовый код двухфакторной аутентификации и код блокировки экрана одного из устройств в учётной записи.

Данные о местоположении можно просмотреть посредством Elcomsoft Phone Viewer.

Google

Наконец, мы подошли к самому интересному провайдеру данных о местоположении – компании Google. В облаке Google хранятся десятки и сотни тысяч точек координат, позволяющих реконструировать полную историю перемещений и жизнедеятельности пользователя устройств с Android. Google собирает и хранит эти данные в течение многих лет, если пользователь не очистит историю местоположения вручную. Данные о местоположении можно извлечь из следующих источников:

  • История местоположений и хронология в Google Картах. Это – основные источники данных о местоположении пользователя.
  • Google Fit. В отличие от Apple Health, Google Fit оценивает данные о физической активности пользователя на основе периодического опроса встроенного датчика-шагомера и отслеживания местоположения. Точки местоположения затем сохраняются в учётной записи Google пользователя в категории Google Fit (отдельно от основной истории местоположений).
  • Фотографии. В настоящее время Google не возвращает теги геолокации в EXIF при использовании API Google Photos. В результате криминалистический анализ фотографий из Google Photos может не вернуть данные о местоположении. Однако при извлечении Google Фото по запросу о выдаче информации от правоохранительных органов будут получены оригинальные изображения с полными метаданными EXIF, включая теги геолокации.

В чём разница между «историей местоположений» и «хронологией в Google Картах» и как одно соотносится с другим?

История местоположений – массив координатных точек и времени. Данные вычисляются на основе показаний датчика GPS, триангуляцией сигнала сотовых вышек, определяются по идентификаторам точек доступа Wi-Fi BSSID и специализированным излучателям в помещениях (такие распространены в крупных многоэтажных торговых центрах). История местоположений – это просто координаты и время. Сама по себе история местоположений ничего не говорит о том, что пользователь делал в том или ином месте или как он туда попал (пешком, на машине или на велосипеде).

Хронология Google Карт – принципиально другой источник данных. Как пишет сам Google, с помощью Хронологии «…Вы можете посмотреть места, которые посетили, и расстояние, которое преодолели, а также способ передвижения (например, пешком, на велосипеде, на машине или общественным транспортом). Расстояния указываются в милях или километрах, в зависимости от страны.»

Хронология Карт – это взгляд Google на повседневную жизнедеятельность каждого пользователя Android. Здесь отмечаются заведения, которые посещает пользователь, и регистрируются способы передвижения (Google уверенно различает поездки на автомобиле, в общественном транспорте и на велосипеде, не говоря о пеших прогулках или пробежках).

Для извлечения и анализа данных о местоположении из учётных записей Google можно воспользоваться программой Elcomsoft Cloud Explorer.

Microsoft

Microsoft использует для синхронизации данных учётные записи Microsoft Account. Данные можно просмотреть в Privacy Dashboard либо скачать при помощи Elcomsoft Phone Breaker (см. статью Fetching Call Logs, Browsing History and Location Data from Microsoft Accounts). Данные о местоположении предоставляются компанией в формате JSON. Microsoft получает данные о местоположении пользователя из нескольких источников, включая запросы Cortana, историю браузера Microsoft Edge (как на компьютерах, так и мобильных приложениях), запросам к Bing (если пользователь вошёл в учётную запись Microsoft Account).

Microsoft – Apple и Google

Ещё один неочевидный источник данных о местоположении – хранилище OneDrive. Подписчики Office 365 получают 1 ТБ облачного хранилища. В то же время, без дополнительной оплаты Apple предоставляет своим пользователем всего 5 ГБ места в хранилище iCloud, что делает его использование для синхронизации хранения фотографий практически невозможным. В результате ряд пользователей iPhone хранит фотографии в облаке OneDrive с помощью соответствующего приложения для iOS.

Google бесплатно предоставляет неограниченное хранилище фотографий в рамках сервиса Google Photos. Тем не менее, бесплатное и неограниченное хранилище для экономии места в облаке заметно сжимает фотографии, что отрицательно влияет на разрешение и качество снимков. Соответственно, и пользователи Android часто используют для хранения именно OneDrive, в котором нет таких ограничений.

Теги EXIF фотографий из OneDrive – отличный источник данных местоположения.

Почему данным местоположений нельзя доверять

Данные о местоположении могут лгать. При анализе полученной из любых источников информации ни в коем случае нельзя слепо доверять полученным результатам, а тем более – основывать на таких результатах обвинительное заключение. Одной из распространённых ошибок является безоглядное использование данных EXIF, извлечённых из всех изображений, обнаруженных на устройстве или в облачной учётной записи пользователя. Многие фотографии, найденные в источнике, могут быть получены от других пользователей или вовсе скачаны из сети. Кеш местоположений, который является ещё одним источником данных, содержит приблизительные координаты ближайшей базовой станции, которая может находиться довольно далеко от устройства пользователя. Делать какие-либо выводы на основании точек доступа Wi-Fi и вовсе не стоит: координаты таких точек доступа получают из сторонних сервисов на основе идентификатора BSSID. Наконец, Хронология Google Карт может выглядеть чрезвычайно убедительно, но нужно понимать, что это всего лишь предположения, сделанные алгоритмом искусственного интеллекта с закрытым исходным кодом.

О том, насколько сильно могут ошибаться алгоритмы, можно судить по следующей истории. Рассмотрим скриншот из учётной записи Microsoft Account.

Обе точки показывают местоположение, в которых владелец учётной записи не был никогда (в частности, потому, что писал в этот момент данную статью, находясь при этом дома в совершенно другой части города). Более того, вторая точка появилась в учётной записи через несколько месяцев после того, как сообщившее координаты устройство было сброшено и продано (аналогичных случаев в сети можно найти предостаточно).

 

В прошлом месяце мы рассмотрели отличную реализацию резервного копирования данных на примере устройств Apple iOS. А как обстоят дела на других платформах? Сегодня мы рассмотрим главного антагониста iOS – платформу Google Android. Как сохранить данные с root-доступом и без? Каким образом восстановить данные из резервной копии, можно ли, а главное – нужно ли это делать?

Резервные копии: Google Android

Определимся с терминологией. В этой статье мы будем писать исключительно про ту разновидность Android, которая поставляется с сервисами Google. Открытый исходный код, AOSP, сторонние прошивки нас сейчас не интересуют: количество их пользователей минимально, при этом создавать и восстанавливать резервные копии данных при прошивке очередного «кастома» эти пользователи отлично умеют. Тема сегодняшней беседы касается остальных 99% пользователей, которые хотят открыть коробку, ввести логин и пароль от учётной записи и получить что-то работоспособное.

В данном исследовании мы использовали порядка десятка устройств от ASUS, Google Nexus и Pixel, LG, Motorola, Sony. Тестировалось как восстановление данных на то же устройство после сброса к заводским настройкам, так и миграция данных на другое устройство.

Итак, какие же механизмы резервного копирования доступны в Android? От пестроты доступных решений просто глаза разбегаются. Начнём, пожалуй, с приложений, которые поставляются производителями устройств. (далее…)

Android O ещё не вышел официально, но некоторые факты о новой версии мобильной операционной системы Google уже известны. Так, смартфоны Android O, наконец, получат возможность автоматического сохранения и восстановления SMS из «облака» Google. Сама по себе эта возможность не нова, и пользователи устройств Google Pixel и Pixel XL уже успели оценить её по достоинству. Оценила уникальную возможность и наша компания, выпустив инструмент для извлечения SMS из «облачных» резервных копий Google Pixel/Pixel XL, а также устройств под управлением Android O.

О том, как это работает и как именно скачать SMS из «облака» Google Account – в этой статье. (далее…)

НАШИ НОВОСТИ