Статьи по ключевому слову ‘einpb’

Приложения для обмена мгновенными сообщениями стали стандартом де-факто для переписки в реальном времени. Извлечение истории переписки из таких приложений и облачных сервисов может оказаться исключительно важным в ходе расследования. В этой статье мы сравниваем безопасность пяти самых распространённых приложений для обмена мгновенными сообщениями для iPhone в контексте их криминалистического анализа.

Способы извлечения данных

В контексте операционной системы iOS, под управлением которой работают смартфоны iPhone и планшеты iPad, есть несколько способов извлечения истории переписки из приложений для обмена мгновенными сообщениями. На платформе iOS практически исключены атаки класса MITM (перехват и расшифровка сообщений в процессе доставки); если исключения и встречаются, то нам о них не известно. Даже на устройствах Android для атаки MITM потребуется установить сторонний SSL-сертификат, и даже это может не сработать для некоторых мессенджеров.

Возможность получения историй переписки от владельца соответствующего приложения является (по крайней мере, в теории) отличным способом, который вполне официально доступен работникам правоохранительных органов. Политики производителей разнятся от почти мгновенной и практически полной выдачи информации до полного неразглашения. Эти особенности мы обсудим дополнительно.

Если производитель использует собственный облачный сервис для доставки и хранения сообщений, то данные можно попробовать извлечь из него. Наконец, историю переписки иногда получается извлечь из облака Apple iCloud, но только в том случае, если эти данные туда вообще попадают: и в этом смысле политики производителей мессенджеров сильно отличаются.

Историю переписки всегда можно извлечь из самого устройства iPhone, но уровень сложности различается для разных приложений. Для некоторых приложений достаточно логического извлечения (анализ резервных копий iTunes), в то время как некоторые другие мессенджеры запрещают хранение своих данных в локальных резервных копиях. Для полного доступа к истории переписки может потребоваться образ файловой системы (иногда — и Связка ключей).

Итак, рассмотрим различные варианты извлечения истории переписки для пяти распространённых приложений для обмена мгновенными сообщениями в iOS.

iMessage

iMessage — предустановленный сервис для обмена сообщениями, доступный на каждом устройстве iPhone и iPad «из коробки». Поскольку приложение предустановлено на каждом iPhone, предполагается, что большая часть пользователей iPhone так или иначе пользуется этим приложением. В какой-то мере это соответствует действительности: по умолчанию отправка сообщения через встроенное приложение «Сообщения» пошлёт SMS пользователю Android или кнопочного телефона, но отправит iMessage, если на другом конце — такой же пользователь iPhone. Компания Apple оценивает количество пользователей iMessage в 1.6 миллиарда; оценка основана на количестве активных iPhone. В 2016 году сервис пересылал порядка 200,000 сообщений iMessages в секунду.

  • Запрос от правоохранительных органов: Неоднозначно, но — нет. С одной стороны, Apple хранит сообщения на собственных серверах. С другой, по утверждениям компании, все сообщения зашифрованы сквозным шифрованием; код шифрования зависит от кода блокировки зарегистрированного устройства пользователя. Этот факт позволяет Apple утверждать, что компания не в состоянии расшифровать данные. Впрочем, Apple категорически отказывается расшифровать сообщения даже в том случае, если код блокировки известен — что фактически не представляет проблемы даже для сторонних сервисов. Так или иначе, Apple не возвращает сообщения iMessage по запросу от правоохранительных органов.
  • Собственный облачный сервис: Копии сообщений хранятся в iCloud, если пользователь включил функцию «Облачные сообщения». Данные зашифрованы, для их расшифровки необходим код блокировки экрана одного из зарегистрированных устройств пользователя. Для извлечения и расшифровки потребуется Apple ID, пароль, второй фактор аутентификации и код блокировки экрана.
  • Локальные резервные копии: История переписки iMessages всегда попадает в резервные копии, её можно извлечь и расшифровать посредством логического анализа.
  • Резервные копии в iCloud: Apple хранит сообщения iMessage в резервных копиях iCloud в том и только в том случае, если пользователь не включил функцию «Облачные сообщения». В противном случае см. предыдущие пункты.
  • iCloud Drive: нет.
  • Образ файловой системы: Сообщения iMessage хранятся в файловой системе устройства без дополнительной степени защиты. Соответственно, для их извлечения достаточно лишь образа файловой системы; расшифровка Связки ключей для этого не обязательна.

iMessage: выводы

Извлечь сообщения можно, но нужно хорошо понимать, что именно нужно делать. Сообщения доступны из нескольких источников; соответственно, получить к ним доступ можно несколькими разными способами. В целом мы оцениваем сложность извлечения iMessage как среднюю.

Необходимые программы: Elcomsoft iOS Forensic Toolkit (извлечение из образа файловой системы) или Elcomsoft Phone Breaker (извлечение из iCloud, резервных копий в iCloud, локальных резервных копий iTunes); Elcomsoft Phone Viewer (для просмотра и анализа).

Инструкции: Messages in iCloud: How to Extract Full Content Including Media Files, Locations and Documents, iMessage Security, Encryption and Attachments.

WhatsApp

Пользователей WhatsApp — более 2 миллиардов, что делает WhatsApp одним из самых популярных приложений для обмена сообщениями. Несмотря на то, что протокол обмена сообщениями WhatsApp основан на протоколе Signal, использующем сквозное шифрование, приложение WhatsApp ничуть не более безопасно в сравнении с другими мессенджерами. В приложении WhatsApp есть возможность создания резервных копий. Впрочем, история переписки WhatsApp не хранится на серверах компании за исключением недоставленных сообщений.

  • Запрос от правоохранительных органов: WhatsApp не сохраняет историю сообщений на собственных серверах. Исключение — недоставленные сообщения; только их и можно получить по запросу от правоохранительных органах.
  • Собственный облачный сервис: См. выше: доступны только недоставленные сообщения.
  • Локальные резервные копии: Как правило, резервные копии WhatsApp сохраняются как в локальных, так и в облачных резервных копиях iOS.
  • Резервные копии в iCloud: См. выше; как правило, данные WhatsApp можно извлечь из облачной резервной копии в iCloud.
  • iCloud Drive: WhatsApp предлагает пользователям возможность сохранения автономной резервной копии в облаке iCloud. Эти данные можно с лёгкостью извлечь из облака; проблема же в том, что они зашифрованы. Для расшифровки таких резервных копий необходимо зарегистрироваться в качестве нового клиента WhatsApp (например, при помощи Elcomsoft Explorer for WhatsApp).
  • Образ файловой системы: База данных WhatsApp доступна и в образе файловой системы. Никакой дополнительной защиты нет.

WhatsApp: выводы

Сложность извлечения истории переписки WhatsApp мы оцениваем как невысокую. Данные WhatsApp можно извлечь практически из любого источника (за исключением собственных серверов компании), в том числе из локальных и облачных резервных копий.

Необходимые программы: Elcomsoft iOS Forensic Toolkit и Elcomsoft Phone Viewer; либо специализированный продукт Elcomsoft Explorer for WhatsApp.

Инструкции: Extract and Decrypt WhatsApp Backups from iCloud.

Telegram

Telegram — одна из самых продвинутых программ для мгновенного обмена сообщениями. Благодаря приложениям, доступным для практически всех платформ, Telegram набрал порядка 200 миллионов пользователей (данные 2018 года). В день пересылается порядка 300 миллионов сообщений.

Telegram использует собственный облачный сервис как для доставки, так и для хранения сообщений (это и позволяет использовать несколько клиентов Telegram одновременно на разных устройствах). Доступен специальный режим «секретных чатов», в котором сообщения на сервере не хранятся.

  • Запрос от правоохранительных органов: Telegram хранит полную историю переписки пользователей на собственных серверах — за исключением секретных чатов. В зависимости от юрисдикции, историю переписки в Telegram можно получить по запросу от правоохранительных органов.
  • Собственный облачный сервис: Историю переписки в Telegram можно извлечь непосредственно из облака компании, зарегистрировавшись в качестве приложения-клиента.
  • Локальные резервные копии: Нет. Данные Telegram не попадают в локальные резервные копии.
  • Резервные копии в iCloud: Нет. Данные Telegram не сохраняются в облачных резервных копиях.
  • iCloud Drive: Нет.
  • Образ файловой системы: Telegram не использует никакой дополнительной защиты. Для доступа к данным достаточно образа файловой системы.

Telegram: выводы

Сложность извлечения данных Telegram средняя. Данные Telegram (в том числе секретные чаты) можно извлечь из образа файловой системы. Обычные чаты можно получить по запросу от правоохранительных органов (в зависимости от юрисдикции).

Необходимые программы: Elcomsoft iOS Forensic Toolkit (для извлечения из файловой системы); Elcomsoft Phone Viewer (для анализа данных).

Инструкции: Извлечение секретных чатов из Telegram для iPhone

Signal

Если судить исключительно по количеству пользователей (их порядка полумиллиона), Signal не входит в пятёрку (и даже в десятку) самых распространённых мессенджеров. В то же время, благодаря беспрецедентному вниманию к безопасности, Signal стал фактически стандартным инструментом для обмена сообщениями среди тех, кому есть что скрывать. Именно по этой причине Signal вызывает неослабеваемый интерес правоохранительных органов.

Разработчики Signal внедрили исключительно безопасный протокол обмена сообщениями, использующий сквозное шифрование. В отличие от WhatsApp, основанного на том же протоколе, Signal заметно более безопасен с других точек зрения. В частности, Signal не сохраняет резервных копий, а рабочая база данных зашифрована ключом с высшим классом защиты, что не позволяет открыть базу данных, просто вытащив файл из образа файловой системы.

  • Запрос от правоохранительных органов: Нет. Signal не хранит сообщения на сервере; соответственно, нечего и запрашивать.
  • Собственный облачный сервис: Нет. Signal не хранит историю переписки на своих серверах.
  • Локальные резервные копии: Нет. Данные Signal не попадают в резервные копии.
  • Резервные копии в iCloud: Нет. Данные Signal не сохраняются в облачных резервных копиях.
  • iCloud Drive: Нет. Signal не создаёт резервных копий, даже автономных.
  • Образ файловой системы: Да, но сложно. Signal шифрует рабочую базу данных, а ключ шифрования хранится в Связки ключей с максимальным классом защиты. Для расшифровки базы данных вам придётся извлечь как образ файловой системы, так и Связку ключей (Elcomsoft iOS Forensic Toolkit).

Signal: выводы

Signal — самый сложный мессенджер с точки зрения извлечения истории переписки. Для расшифровки его базы данных вам потребуется как образ файловой системы iPhone, так и расшифрованная Связка ключей.

Необходимые программы: Elcomsoft iOS Forensic Toolkit (извлечение образа файловой системы и расшифровка Связки ключей); Elcomsoft Phone Viewer (расшифровка базы данных Signal).

Инструкции: How to Extract and Decrypt Signal Conversation History from the iPhone

Skype

Skype — один из старейших мессенджеров. В настоящее время сервис принадлежит компании Microsoft. В марте 2020 года Skype использовался ста миллионами пользователей ежемесячно. Порядка 40 миллионов человек использует Skype ежедневно. Microsoft сохраняет историю общения пользователей Skype; данные доступны по запросу от правоохранительных органов.

  • Запрос от правоохранительных органов: Да; проще, чем в остальных случаях. Skype хранит полную историю переписки в облаке Microsoft; секретные чаты отсутствуют как возможность. Microsoft охотно сотрудничает с правоохранительными органами, выдавая полный набор данных по запросу от правоохранительных органов.
  • Собственный облачный сервис: Да. Microsoft хранит данные в собственном облаке, и их можно извлечь, авторизовавшись в учётной записи пользователя.
  • Локальные резервные копии: С некоторых пор Skype перестал сохранять историю переписки в локальных резервных копиях. Этот путь доступа к данным в настоящее время закрыт.
  • Резервные копии в iCloud: См. выше. В настоящее время извлечение из облачных резервных копий невозможно.
  • iCloud Drive: Нет.
  • Образ файловой системы: Skype не использует дополнительных мер по защите рабочей базы данных. Для доступа достаточно только образа файловой системы.

Skype: выводы

С нашей точки зрения, сложность извлечения данных Skype средняя. С одной стороны, Microsoft охотно сотрудничает с правоохранительными органами, выдавая историю переписки пользователя по запросу. С другой — данные Skype не попадают в резервные копии и не сохраняются в облаке iCloud. Соответственно, данные Skype можно извлечь либо из облака Microsoft, либо из образа файловой системы.

Необходимые программы: Elcomsoft Phone Breaker (для скачивания переписки из Microsoft Account); Elcomsoft Phone Viewer (для просмотра данных).

Инструкции: Extracting Skype Histories and Deleted Files Metadata from Microsoft Account

Заключение

Данная статья не претендует на полноту. Line, Viber, QQ, WeChat, Facebook Messenger и множество других приложений, в том числе от Yandex и Mail.ru, используется огромным количеством пользователей. Мы продолжаем исследования, постепенно добавляя поддержку самых распространённых мессенджеров.

В начале апреля новый браузер Microsoft Edge, основанный на исходных кодах проекта Chromium, занял второе место по популярности, обойдя FireFox. В новой версии Edge разработчики Microsoft не просто проделали работу над ошибками, но использовали совершенно другую основу. Изменилось всё: возможности настройки и кастомизации, совместимость с операционными системами и способ отображения веб-страниц. Особый интерес для экспертов-криминалистов представляет новый способ хранения и защиты паролей, которые сохраняют в браузере пользователи.

Microsoft Edge Chromium

Официальная дата выхода Microsoft Edge Chromium — 15 января 2020 года. Новая версия Microsoft Edge основана на проекте браузера с открытым исходным кодом Chromium, который поддерживается как независимыми разработчиками, так и такими компаниями, как Google. В отличие от классического браузера Edge, представленного в Windows 10 и основанного на универсальной платформе Windows UWP, новый Microsoft Edge Chromium совместим со всеми актуальными версиями Windows и macOS. Старый Edge переименован в Edge Legacy; установка нового Edge Chromium на ПК с Windows 10 автоматически блокирует старый Edge.

Edge Chromium стремительно набрал популярность. Уже в апреле 2020 новый Edge занял второе место среди браузеров для настольных компьютеров, опередив Mozilla Firefox и Opera. С учётом того, что и Edge, и Google Chrome основаны на одном и том же проекте Chromium, можно сказать, что Chromium лидирует с большим отрывом.

Использование проекта Chromium позволило Microsoft предложить пользователям простой и лёгкий способ перехода с браузера Chrome на новый Edge. Буквально несколько нажатий, и все данные из браузера Chrome переносятся в браузер от Microsoft. Сюда входят закладки, история посещений и даже открытые вкладки и окна. Разумеется, не обошли стороной и пароли, которые также переносятся из Chrome.

Chromium Edge и Windows Data Protection API (DPAPI)

Для хранения ключей и паролей браузеры Microsoft Internet Explorer и «старый» Edge, переименованный в Edge Legacy, используют механизм Windows Credential Manager. Windows Credential Manager, в свою очередь, защищает данные посредством Microsoft Data Protection API (DPAPI), появившимся ещё в Windows 2000. В настоящее время в Windows 10 используется шифрование алгоритмом AES-256. Сохранённые в «классическом» Edge Legacy пароли можно просмотреть (и удалить) в апплете Web Credentials даже после того, как сам браузер был удалён из системы.

С переходом браузера на исходный код Chromium, Microsoft решила использовать стандартный для Chromium менеджер паролей вместо использования Windows Credential Manager. Соответственно, новый Edge Chromium больше не использует Microsoft DPAPI для защиты сохранённых паролей. Вместо этого пароли защищены стандартным алгоритмом AES-256 GCM, в то время как DPAPI используется только для защиты ключа шифрования от встроенного хранилища. Интересно, что другие веб-браузеры, основанные на проекте Chromium (сюда входят Google Chrome и Opera), используют аналогичную схему шифрования. Это включает в себя последние версии браузеров.

By default, Edge Chromium does not protect the encrypted password database with a master password. Instead, Microsoft uses the Data Protection API (DPAPI) to protect the encryption key with the user’s Windows credentials. In turn, DPAPI uses AES-256 to encrypt the encryption key.

 

Edge Chromium не использует концепцию мастер-пароля для защиты хранилища паролей. Вместо этого Microsoft использует API защиты данных (DPAPI) для защиты ключа шифрования посредством учётных данных пользователя Windows. В свою очередь, DPAPI использует AES-256 для шифрования ключа шифрования. Таким образом, для извлечения всех паролей пользователя достаточно узнать логин и пароль пользователя или использовать текущую авторизованную сессию. Именно такой способ мы реализовали в Elcomsoft Internet Password Breaker, и именно им воспользовались разработчики браузера Edge Chromium для того, чтобы мгновенно импортировать сохранённые пароли из браузера Google Chrome.

Использование Elcomsoft Internet Password Breaker для извлечения паролей из Edge Chromium

Механизм доступа к паролям в Edge Chromium похож на тот, который используется в последних версиях Google Chrome. Соответственно, для извлечения паролей из нового Edge необходимо пройти аутентификацию в учётной записи Windows пользователя (с помощью имени пользователя и пароля, данных учётной записи Microsoft, PIN-кода или подсистемы Windows Hello). Разумеется, можно использовать и уже аутентифицированную сессию. А вот просто извлечь диск из компьютера или снять образ файловой системы недостаточно: хранилище будет зашифровано, и расшифровать его без знания пароля пользователя от учётной записи Windows не представляется возможным.

 

Для извлечения паролей из Edge Chromium проделайте следующие шаги.

 

  1. Запустите Elcomsoft Internet Password Breaker.
  2. Выберитепунктменю Web Browsers – Edge Chromium.
  3. Через несколько секунд будет выведен список паролей.

Кроме того, вы можете воспользоваться режимом экспорта паролей в файл (кнопка Export), который создаст создать отфильтрованный список всех паролей пользователя. Список паролей в дальнейшем можно использовать в качестве словаря для создания интеллектуальных атак в Elcomsoft Distributed Password Recovery.

Заключение

Браузер Edge Chromium – не эволюция «старого» Edge, а совершенно новый браузер. Новый механизм защиты сохраняемых пользователем паролей, сильно отличается от привычного по «старому» Edge и Internet Explorer хранилища DPAPI и диспетчера учётных данных Windows. Новое хранилище паролей предлагает пользователям тот же уровень защиты, что и старый Edge. В то же время извлечь пароли из нового хранилища проще, чем из диспетчера учётных данных Windows благодаря наличию хорошо документированных исходных кодов Chromium – впрочем, лишь в том случае, если у эксперта есть доступ к активной сессии пользователя или его логин и пароль. Извлечь пароли из образа файловой системы или с жёсткого диска, извлечённого из компьютера, не представляется возможным.

LastPass, как и другие подобные продукты, спроектирован в первую очередь для безопасного хранения паролей. Пароли хранятся в зашифрованных базах данных, защищённых мастер-паролем. Используя шифрование и десятки и сотни тысяч хеш-итераций, реализация защиты в менеджерах паролей искусственно замедляет доступ к зашифрованному хранилищу, снижая эффективность и привлекательность атак методом прямого перебора. В этой статье описан способ мгновенно разблокировать хранилище LastPass без использования перебора.

LastPass

LastPass был представлен в 2008 году компанией Marvasol Inc (в настоящее время — LogMeIn). На сегодняшний день LastPass входит в четвёрку самых популярных менеджеров паролей. Как и другие подобные продукты, LastPass предназначен для хранения, управления и синхронизации паролей, что помогает пользователям избежать повторного использования паролей. Благодаря автоматическому хранению и синхронизации паролей, а также генерации паролей с высокой энтропией, пользователи получают возможность использовать сложные, уникальные пароли для разных учётных записей без необходимости запоминать их все.

В семейство продуктов LastPass входят приложения для настольных операционных систем Windows и macOS, а также мобильные приложения для iOS и Android. Особый интерес представляют так называемые расширения, позволяющие устанавливать LastPass на разных платформах в виде расширения для браузера.

В рамках приложения LastPass пароли сохраняются в локальной базе данных, которая может быть зашифрована с помощью мастер-пароля, обладающего высокой энтропией и уникальностью. Используемый LastPass алгоритм шифрования вполне надёжен; для замедления потенциальных атак на мастер-пароль используются многочисленные итерации хеширования.

В то же время стойкость защиты баз данных LastPass различается на разных платформах. Так, на компьютерах под управлением Windows и macOS используется максимальное (порядка сотни тысяч) количество итераций хеширования, а на устройствах с Android используется защита с минимальным числом итераций.

С технической точки зрения пароли хранятся в базе данных в формате SQLite. Для защиты базы данных используется пароль, на основе которого вычисляется ключ шифрования. Для вычисления ключа шифрования производится (в зависимости от платформы) от 5,000 до порядка 100,000 итераций хеширования.

Извлечь базу данных LastPass проще всего с компьютера пользователя. Соответственно, для её защиты LastPass использует 100,100 итераций хеш-функции мастер-пароля. Атака методом прямого перебора демонстрирует следующую скорость работы:

Скорость перебора в 15,500 паролей в секунду с использованием аппаратного ускорителя NVIDIA GeForce 2070 достаточно типична, обеспечивая адекватный уровень защиты при условии использования достаточно стойкого мастер-пароля.

Ситуация на мобильных платформах заметно отличается. Во-первых, стойкость мастер-пароля ограничивается естественным нежеланием пользователей вводить длинные и сложные комбинации символов с экранной клавиатуры, которая усиливается фактором отсутствия для подобного рода устройств ввода моторной памяти. Во-вторых, LastPass использует меньшее количество итераций для преобразования мастер-пароля в ключ шифрования. На слабых устройствах с Android используется всего 5,000 итераций хеширования, что заметно ускоряет атаку. В результате базу данных LastPass, извлечённую из абстрактного смартфона с Android, взломать будет, скорее всего, значительно проще, чем аналогичную базу данных, полученную с жёсткого диска компьютера.

Скорость перебора мастер-пароля LastPass для устройств с Android может достигать 309,000 комбинаций в секунду на ускорителе NVIDIA GeForce 2070. Такая скорость перебора считается высокой, позволяя восстанавливать достаточно сложные пароли в разумные сроки. Так, семизначный мастер-пароль, составленный из случайной комбинации цифр и букв в обоих регистрах, но без использования спецсимволов, может быть восстановлен в течение трёх месяцев. Шестизначный же пароль, составленный из того же набора символов, получится вскрыть в течение трёх дней.

Однако наибольший интерес представляет особый случай, позволяющий мгновенно восстановить оригинальный мастер-пароль без перебора.

Расширение для браузера Chrome и Microsoft Edge Chromium

В наборе продуктов LastPass есть расширения для нескольких популярных браузеров. Расширение, предназначенное для браузера Google Chrome, также работает и в браузере Microsoft Edge Chromium.

Расширение для браузера – пожалуй, один из самых удобных способов управления паролями. Уверенное определение полей для автозаполнения, управление паролями непосредственно из браузера предоставляют пользователю весьма удобный инструмент.

Компания-разработчик LastPass утверждает, что расширение для Chrome обеспечивает тот же уровень безопасности, что и отдельное приложение:

Only you know your master password, and only you can access your vault. Your master password is never shared with LastPass. That’s why millions of people and businesses trust LastPass to keep their information safe. We protect your data at every step.

Source

Мы выяснили, что в реальности дела обстоят иначе. В частности, если пользователь выбирает опцию «Запоминать пароль» для автоматического разблокирования защищённого хранилища, расширение LastPass для Chrome не обеспечивает должного уровня безопасности. Фактически, ни о какой безопасности в данном случае не может идти и речи.

В чём смысл использования опции «Запоминать пароль»? Так же, как и другие менеджеры паролей, LastPass автоматически блокирует доступ к защищённому хранилищу при закрытии сессии. Многие пользователи предпочитают не вводить пароль постоянно, доверяя хранение своего мастер-пароля расширению LastPass. В то же время, расширение LastPass сохраняет мастер-пароль небезопасным образом:

«Уязвимость (под названием LastPass-Vul-1) заключается в небезопасной архитектуре механизма запоминания мастер-паролей в LastPass. Как показано на рисунке 2, LastPass может запомнить мастер-пароль пользователя (с именем пользователя BCPM) в локальной базе данных SQLite [40] tableLastPassSavedLogins2, позволяя пользователю автоматически проходить аутентификацию при каждом последующем использовании LastPass».

Источник

Описанная выше уязвимость присутствует во всех известных нам версиях расширения LastPass для Chrome (на момент написания — LastPass 4.44.0 и Google Chrome 80.0.3987.146 для Windows 10 x64). Соответственно, эксперт может извлечь и расшифровать мастер-пароль пользователя и получить таким образом доступ ко всему содержимому хранилища LastPass. Способ работает при условии использования пользователем опции «Запоминать пароль».

Казалось бы, если пароль уже сохраняется в базе данных, то естественно было бы ожидать, что его можно оттуда извлечь. Тем не менее, это не так; другие продукты используют гораздо более безопасные способы, делающие подобную атаку невозможной. Рассмотрим эти способы.

Windows Data Protection API

Начнём издалека. Воспользовавшись приложением Elcomsoft Internet Password Breaker, можно моментально извлечь пароли, которые хранятся в браузере Chrome и Microsoft Edge Chromium. Казалось бы, в чём разница?

 

 

Разница в том, что извлечь пароли из Google Chrome или Edge Chromium можно лишь в том случае, если известны логин и пароль пользователя Windows или есть доступ к авторизованной сессии (разблокированному именно данным пользователем компьютеру). Если компьютер выключен, а у эксперта есть исключительно жёсткий диск или его образ (при этом пароль пользователя Windows неизвестен), то и расшифровать пароли из Chrome или Edge Chromium не удастся.

Почему не удастся?

Дело в том, как именно Chrome (и Edge Chromium; в дальнейшем это уточнение можно опускать) защищают базу данных, в которой хранятся пароли пользователя. Сама по себе база данных шифруется алгоритмом AES-256; при этом пароль шифрования (мастер-пароль) по умолчанию не используется. (Здесь, пожалуй, кроется единственное отличие механизмов защиты Chrome и Edge Chromium: если в Chrome задать пароль для синхронизации паролей пользователь сможет, то в Edge Chromium подобный функционал не предусмотрен).

Ключ шифрования базы данных с паролями хранится на том же компьютере, что и сама база данных. При этом ключ шифрования защищён при помощи Windows

Data Protection API (DPAPI), который появился ещё во времена Windows 2000. DPAPI использует AES-256 в качестве алгоритма шифрования. Для доступа к паролям из Chrome пользователь должен войти в учётную запись Windows с использованием пароля, PIN-кода или подсистемы Windows Hello. Только после этого хранилище, защищённое DPAPI, будет расшифровано.

Похожим образом дела обстоят и в системе macOS. В этой ОС используется системное защищённое хранилище, «Связка ключей». Именно в ней Chrome сохраняет ключ шифрования от базы данных с паролями пользователей. Таким образом, безопасность подсистемы хранения паролей Chrome в macOS соответствует уровню безопасности Связки ключей, который признан достаточно высоким.

Подытожим изложенное. Для доступа к паролям Google Chrome и Microsoft Edge Chromium потребуется не только образ диска или файл базы данных, но и логин и пароль пользователя системы (либо доступ к аутентифицированной сессии). «Холодная» атака, таким образом, невозможна.

Именно возможность «холодной» атаки (извлечение мастер-пароля из образа диска или просто из файла базы данных) и является отличительной чертой расширения LastPass для Chrome. Всё, что потребуется для доступа к защищённому хранилищу – это сам файл базы данных и активированная пользователем опция «Запоминать пароль».

Извлечение мастер-пароля LastPass

Для извлечения пароля воспользуемся продуктом Elcomsoft Distributed Password Recovery.

  1. Расширение LastPass для Chrome сохраняет защищённую базу данных по следующему пути (Windows 10):
     %UserProfile%\AppData\Local\Google\Chrome\User Data\Default\databases\chrome-extension_hdokiejnpimakedhajhdlcegeplioahd_0
  2. Запустите Elcomsoft Hash Extractor (входит в состав Elcomsoft Distributed Password Recovery) и откройте указанный выше файл. Важно: файл можно извлечь как из уже авторизованной сессии, так и скопировать с диска или извлечь из образа.
  3. Hash Extractor автоматически извлекает заголовок. Сохраните его в файл с и откройте в Elcomsoft Distributed Password Recovery.
  4. Выберите учётную запись.
  5. Запустите атаку.
  6. Elcomsoft Distributed Password Recovery отобразит найденный мастер-пароль в течение нескольких секунд.

Microsoft усиленно продвигает собственную реализацию single sign-on через Microsoft Account. С помощью Microsoft Account предлагается заходить в OneDrive, Skype, почтовые сервисы Live.com, Outlook.com и Hotmail.com. Начиная с Windows 8, Microsoft Account предлагается использовать и для входа в систему. Пользователю при этом обещают синхронизацию паролей с «облаком», автоматическое сохранение фотографий, автоматический доступ к документам и автоматическое же резервное копирование настроек системы в «облаке». Однако у такого варианта использования Microsoft Account есть свои подводные камни. О них – наша сегодняшняя статья. (далее…)

НАШИ НОВОСТИ