У цій статті мені хотілося б трохи підняти завісу загадковості, яка огортає науку, яка називається Форензік (англ. Forensics). Форензік займається збором цифрових доказів і їх аналізом. Природно, розглядати ми це будемо через призму Apple-всесвіту, а точніше - стосовно iPhone. Почнемо ми з інтерв'ю представників компанії, що зробила собі ім'я на ПО для цього - Elcomsoft .

Для початку розповім як взагалі я вирішив зробити матеріал на цю тему.

Мало хто з російськомовних представників IT-спільноти не знає нині покійний журнал Computerra. Не буду витрачати багато часу на оспівування дифірамбів, так як на це не вистачило б однієї статті, тим більше мова піде, мабуть, про самого одіозного з колумністів цього журналу -. Саме на сайті покійного видання (він пише туди регулярно) стала відправною точкою даної статті. Рекомендую її прочитати, щоб було зрозуміло про що піде мова далі.

Так як я явно потрапляю в категорію, яку Сергій Михайлович люблячи називає «гоблінами», то, мабуть, я підкреслю, що до його творчості ставлюся з повагою і багато в чому саме його вважаю своїм учителем і натхненником. Але що стосується його замітки, згаданої вище, я все ж виберу позицію незгоди.

Не знаю, чи навмисно або через незнання, але в замітці надто вже згущені фарби над проблемами безпеки Apple. У властивій йому манері хльосткого сарказму автор висміює «спроби Apple вийти на корпоративний ринок», натякаючи на те, що в їх безпеки була знайдена маса дірок, і недавно, о жах, щойновідкрита величезної проломи в безпеці, скористатися якою допоможе продукт Elcomsoft під назвою. При цьому, нібито в типовій для великих корпорацій манері, Apple повністю ігнорує проблеми користувачів, що і називається хльостким словом «arrogance», винесеним в заголовок статті. Доповнюється стаття розповідями про інші успіхи Elcomsoft (дійсно найбільших фахівців в справі відновлення паролів від чого завгодно) і міркуванням про те, як будь-який бажаючий може з легкістю копатися в ваших даних.

У живописання жахів дірявого iCloud мене збентежило мінімальна вимога, яке складається всього лише ... в необхідності знати логін і пароль від iCloud. Безумовно, величезна і критична пролом в системі безпеки, до якої схильні 99% онлайн-сервісів, і яка дозволяє, знаючи логін і пароль, дізнатися всі дані користувача. Прям-таки злякавшись остраху відкрилися перспектив, я вирішив звернутися до першоджерела: компанії Elcomsoft, представники якої виявилися супер-люб'язні і не тільки розповіли нам все про Phone Password Breaker, але ще і дозволили власноруч його випробувати, ніж ми і скористалися.

Але почнемо ми, звичайно, з інтерв'ю.

Розкажіть, будь ласка, про Phone Password Breaker: кому ця програма потрібна і що з її допомогою можна зробити?
Elcomsoft Phone Password Breaker дозволяє експертам правоохоронних органів отримати доступ до захищених паролем резервних копій для смартфонів і портативних пристроїв, заснованих на платформі RIM BlackBerry і Apple iOS. Утиліта підтримує всі смартфони марки Blackberry і всі портативні пристрої на платформі Apple iOS, включаючи iPhone, iPad і iPod Touch усіх поколінь і версій, включаючи iPhone 4S і iOS 4.x і iOS 5.x.
Програма надає можливість відновити доступ до резервних копій пристроїв Apple і BlackBerry, в яких можуть міститися адресні книги, журнали дзвінків, архіви SMS-повідомлень, календарі, списки справ, фотознімки, голосову пошту і налаштування облікових записів електронної пошти, сторонні додатки, журнал відвіданих веб -сторінок і вміст цих сторінок, збережене в кеш-пам'яті.

Крім того, програма може використовувати апаратне прискорення перебору паролів за допомогою відеокарт AMD і NVIDIA, що дозволяє збільшити швидкість розшифровки в 20-40 разів у порівнянні з алгоритмами, що використовують тільки центральний процесор комп'ютера. Технологія перебору паролів на графічних картах була розроблена і запатентована ElcomSoft в США. На даний момент багато софтверні компанії використовують цю технологію, так як вона дозволяє отримати обчислювальну потужність суперкомп'ютера за ціною домашньої графічної карти.

Нова версія EPPB здатна також дистанційно отримувати інформацію з онлайнового сховища Apple iCloud при наявності логіна (Apple ID) і пароля користувача. Доступ до самого пристрою при цьому не потрібно.

EPPB використовує перебір паролів? Або є якісь «діри», що дозволяють обійтися без цього?

Для резервних копій, створених на комп'ютері (offline), програма використовує перебір паролів, залучаючи різні професійні хитрощі типу перестановки або заміни символів, так звані атаки по масці, атаки по словнику, комбіновані або гібридні атаки, коли використовуються відразу декілька словників. Повний список атак можна. На жаль, (чи на щастя, для кого як - прим. Ред.), Шифрування офлайнових бекапов в системі iOS досить стійке, тому на швидке відновлення пароля може вплинути тільки графічне прискорення перебору і стійкість самого пароля, тобто чим простіше пароль, тим швидше він знаходиться.

Що стосується нової функції доступу через iCloud - я правильно розумію, що все не так страшно, як розповідають в Інтернеті? Адже практично будь-який онлайн-сервіс дасть доступ, якщо відомі логін-пароль до нього (той же Gmail також небезпечний), а PPB просто спрощує доступ, або тут щось глибше?

Все не так просто і не так страшно, як здається на перший погляд. Звичайно, можна отримати доступ до будь-чого, якщо мати логін і пароль, але у випадку з iCloud дані приходять зашифрованими. Крім того, єдиний «офіційний» спосіб скористатися Apple ID і паролем для скачування бекапа з iCloud'а - це відновити пристрій (нове або після Firmware restore) з iCloud. Просто залогінитися на icloud.com і завантажити бекап не вийде - Apple такої можливості не надає.

І хоча шифрування в iCloud є, ключ шифрування приходить разом з резервних копій, що значно полегшує весь процес розшифровки. Іншими словами, ті настройки шифрування резервних копій, який можна задавати в iTunes, поширюються тільки на традиційні офлайнові бекапи і не поширюються на бекапи в iCloud. У хмара дані відсилаються в фактично незашифрованому вигляді, незалежно від налаштувань шифрування (хоча канал передачі даних при цьому захищений надійно). Коли ми виявили таку пролом у захисті при вивченні oнлайн-бекапов, нас це, звичайно, здивувало, так як Apple завжди дбає про безпеку своїх користувачів, але на то очевидно є свої технічні причини.

Наша програма вміє завантажувати бекапи з онлайнового сховища iCloud, розшифровувати ці бекапи і конвертувати їх в звичний формат iTunes, хоча можна скористатися і спеціальним софтом для аналізу даних, так як зараз предостатньо подібних засобів на ринку.

Чи є способи захиститися від Phone Password Breaker? Або хоча б ускладнити завдання злому?

В даному випадку хорошим захистом може бути тільки надійний пароль до Apple ID, який не можна швидко підібрати, вивчивши деяку інформацію про користувача. В принципі, всі вимоги політики безпеки паролів тут мають значення. Крім того, треба дуже акуратно використовувати пароль, щоб не залишати шахраям можливості знайти його, скажімо, у вкраденому і незахищеному теж надійним паролем айфоне, або наприклад, в залишеному з відкритим доступом комп'ютері, адже реєстраційні дані можуть банально зберегтися в веб-браузері, через який ви заходили на сторінку. Варіантів витоку даних може бути багато, саме тому завжди краще обмежувати фізичний доступ до всіх пристроїв, які ви використовуєте, що у випадку з віддаленим зберіганням даних в хмарі трохи ускладнюється. У разі використання iCloud потрібно чітко розуміти, що ваш Apple ID пароль - це єдина перешкода між зловмисниками і всіма вашими даними, що зберігаються онлайн. Як варіант, можна просто не зберігати дані в iCloud взагалі, а тільки локально на комп'ютері.

Чи є версії ваших програм для OS X?

Версії Elcomsoft Phone Password Breaker для OS X у нас, на жаль, немає, програма працює тільки під Windows. Але ось Elcomsoft iOS Forensic Toolkit працює як на PC, так і на Mac, більш того, програма спочатку писалася під Mac, що для нас не властиво.

Які ще з програм Elcomsoft можуть бути цікаві користувачам екосистеми Apple?

У нас ще є чудовий продукт спеціально призначений для криміналістичних досліджень пристроїв iPhone, iPad, iPod Touch на основі Apple iOS. За допомогою iOS Forensic Toolkit можна підібрати пароль до пристрою (в разі, якщо паролем є 4-значний паскод, перебір триває не більше півгодини) і зняти точний образ файлової системи і взагалі всіх даних, наявних на пристрої. Продукт забезпечує цілісність і незмінність досліджуваних даних. За допомогою iOS Forensic Toolkit фахівці можуть отримати доступ до розшифрувати образу файлової системи пристрою, розшифрувати коди, паролі та іншу захищену інформацію.

Ось такий от цікавий і змістовну розповідь. Перш ніж зробити висновки, я продемонструю як виглядає цей самий Phone Password Breaker в роботі. Так як програма доступна тільки для Windows, окремо хотілося б подякувати компанії Parallels - в 7-й версії Elcomsoft Phone Password Breaker працює цілком здорово (хоча, звичайно, якщо ви збираєтеся займатися збором даних на професійному рівні - явно варто потурбуватися установкою Windows).

Програма крім відновлення паролів до резервної копії iOS-пристроїв також дозволяє працювати з Blackberry (і дуже непогано), і хоч це виходить за рамки нашої статті, я не можу не відзначити цей факт. Ще одне важливе вміння Elcomsoft Phone Password Breaker - можливість розшифровки Keychain, що зберігається в резервної копії з паролем (він шифрується окремо від самої резервної копії, але я не буду вдаватися в деталі зараз).

До речі, в нагоді Phone Password Breaker може не тільки співробітникам внутрішніх органів або зловмисникам. Справа в тому, що якщо ви виберете опцію захисту резервної копії паролем і з необережності цей пароль забудете - вимкнути цю опцію без знання даного пароля буде не можна, що зробить все резервні копії марними. І зробити іншу «беспарольному» копію вже не вийде. В Apple в даному випадку рекомендують зробити повне скидання пристрою і налаштувати його ще раз начисто з нуля. Якщо ваші дані для вас дороги - можна спробувати скористатися PPB, як альтернативним рішенням проблеми.

Встановлюється Elcomsoft Phone Password Breaker, як і більшість програм для Windows, простим Візард (в ході установки я випробував найпотужніший напад ностальгії, давно не займався подібним).

Інтерфейс програми дуже простий. Вибираємо файл резервної копії, налаштовуємо цікавлять види атаки (про це детальніше) і запускаємо перебір. Якщо пощастить - злом пароля не займе довго часу, особливо якщо пароль це слово зі словника, якісь варіації на тему або якщо Ви короткий.

Мені цікавіше було спробувати відновлення з копії iCloud. Для цього треба ввести логін і пароль облікового запису (я, природно, скористався власними).

Кілька секунд очікування, і ми бачимо всі пристрої, які робили резервні копії в iCloud. Вибираємо потрібні галочкою.

Після цього в турботі про зручність користувача, PPB запропонує нам відновити «зрозумілі» імена файлів і розкласти інформацію по папках. Природно, ця пропозиція краще прийняти, якщо ви збираєтеся розбирати «здобич» самостійно. Якщо ж для аналізу ви будете використовувати додаткове ПО - резервну копію треба залишити як є.

Відразу після цього запуститься процес викачування ваших даних з iCloud. У мене для двох пристроїв це зайняло десь 10 хвилин.

Результатом стануть збережені в зазначеній папці файли, здобуті з резервної копії вашого пристрою, включаючи навіть дуже критичні.

Рекомендую відразу обзавестися гарною програмою для роботи з базами даних SQLite: майже вся інформація iOS зберігається в них. Я скористався пробною версією чудовою утиліти Base. Ось, наприклад, моя телефонна книга.

Тут же лежать останні дзвінки.

Без проблем знаходяться і СМС, і логіни-паролі, і ще маса інших цінних даних.

Звичайно, аналіз даних за допомогою спеціалізованого ПЗ - набагато легше і зручніше, але для «побутових цілей» і такого ручного перегляду буде більш ніж достатньо.

Спочатку, мене трохи збентежила необхідність використання Windows, але завдяки Coherence Mode в Parallels Desktop - ця проблема відмінно маскується.

Ось так все це працює, які ж можна зробити висновки? Головний висновок - ніякої сенсаційної діри в безпеці iCloud ні, не треба купуватися на методи жовтої журналістики. Якщо ваші логін і пароль в iCloud не скомпрометувала - доступу до даних в хмарі не буде, а підібрати пароль до iCloud аккаунту дистанційно - завдання нереальне. Якщо ви хочете захиститися, використовуйте складний пароль в iCloud, і не «світите» його в ненадійних мережах (в разі громадських Wi-Fi точок я дуже рекомендую використовувати VPN). Ще краще - взагалі не довіряйте важливі дані Інтернету, зберігайте їх тільки локально і з хорошим паролем (при його достатній довжині - його злом буде завданням нетривіальною, навіть для такого потужного інструменту як PPB). Ще краще - просто не робіть нічого такого, що може привернути до вас увагу фахівців з Форензік, адже принцип «невловимого Джо» з анекдоту в цьому випадку працює просто відмінно.

У висновку хочу сказати, що Форензік - цікава і обширна тема, тому якщо дана стаття буде цікава читачам, ми постараємося глибше розкрити її і розповісти про різні її аспекти, показати використовуване ПЗ і може навіть поговорити з фахівцями в цій галузі.

PS Якщо ж тема Форензік з тих чи інших причин цікавить вас практично, можу порекомендувати непоганий (і фактично єдиний російською мовою), який буде однаково корисний і юристам і IT-фахівцям.