Q: Will your product jailbreak my iPhone, unlock it from the carrier, remove passcode lock, or reset a SIM card PIN code?

A: Sorry, no way.

Q: So, what is it all about?

A: Phone Password Breaker takes care of password-protected iPhone, iPod Touch and iPad backups.

Q: I don"t create backups of my iPhone and don"t even know how to do that, why should I care?

A: In fact, iTunes creates a backup every time you sync your device with a computer. Now, it is arguable whether doing that automatically without user intervention is a good idea, but like it or not, you end up having backups on your computer. (You still have the ability to create a backup manually at any time, of course).

Q: Where are these backups stored?

A: By default, backups are stored in the following folders:

• Mac : ~/Library/Application Support/MobileSync/Backup/
• Windows XP : Documents and Settings(username)Application DataApple ComputerMobileSyncBackup
• Windows Vista and Windows 7 : Users(username)AppDataRoamingApple ComputerMobileSyncBackup

Q: You"re right, the backups are there, but what"s inside? I can see several folders there, with long weird names, and thousands of files inside with similar names and .mdinfo or .mddata extensions. Only three files have friendly names, and look like XML.

A: To say the least, backups contain almost everything from your iPhone (except iTunes library), and definitely all your private information. According to the article in Apple Knowledge Base, the following information in particular is there:

• Address Book and Address Book favorites
• App Store Application data
• Application settings, preferences, and data
• Autofill for webpages
• CalDAV and subscribed calendar accounts
• Calendar accounts
• Calendar events
• Call history
• Camera Roll
• In-app purchases
• Keychain
• List of External Sync Sources (Mobile Me, Exchange ActiveSync)
• Location service preferences for apps and websites you have allowed to use your location
• Mail accounts
• Managed Configurations/Profiles
• Map bookmarks, recent searches, and the current location displayed in Maps
• Microsoft Exchange account configurations
• Network settings (saved wifi spots, VPN settings, network preferences)
• Nike + iPod saved workouts and settings
• Notes
• Offline web application cache/database
• Paired Bluetooth devices (which can only be used if restored to the same phone that did the backup)
• Safari bookmarks, cookies, history, offline data, and currently open pages
• Saved suggestion corrections (these are saved automatically as you reject suggested corrections)
• SMS and MMS (pictures and video) messages
• Trusted hosts that have certificates that cannot be verified
• Voice memos
• Voicemail token
• Wallpapers
• Web clips
• YouTube bookmarks and history

Why all that stuff is stored in separate files instead of the single archive, and what is the idea behind the file names remains with Apple. Our guess, the file names are just hash sums of full paths to this file when stored inside the device, but we have not checked. Does that really matter?

Although the files don"t look readable, they are not encrypted. In fact, they are just ordinary binaries in SQLite database format. If you don"t know what that is, never mind; it does not really matter. What is important, most of your private information is stored on your computer in plain, unprotected form.

Q: It seems to be a good idea to create iPhone backups, right?

Q: If all that information is already there, can I transfer it all to a new device by simply restoring the backup to a new device (other/newer model)?

A: Yes, but some restrictions apply. Keep reading, you"ll be surprised.

Q: What about backup passwords?

A: It"s time to quote Apple again:

«In the iTunes Summary screen, select "Encrypt iPhone backup" if you want to encrypt the information stored on your computer when iTunes makes a backup. Encrypted backups are indicated by a padlock icon (as visible below in the Deleting a Backup section), and a password is required to restore the information to iPhone. You may want to write down the password for your backup and store it in a safe place. If you use a Mac, when you set a password you can select to store the password in the keychain. With iOS 4 and later, you can transfer your keychain backup to a new device if you encrypt the backup.

Warning: If you encrypt an iPhone backup in iTunes and then forget your password, you will not be able to restore from backup and your data will be unrecoverable. If you forget the password you can continue to do backups and use the device, however you will not be able to restore the encrypted backup to any device without the password. You do not need to enter the password for your backup each time you back up or sync.

If you cannot remember the password and want to start again, you will have to do a full software restore and when prompted by iTunes to select the backup to restore from, choose Set up as a new device.»

Try reading the above text carefully until you get it. If you’re like most of us and just don’t get it after several tries, bear with us.

Q: If I ever decide to set a password and forget it later, should I be able to set another one rather easily? I mean, I don"t need old backups at all. Or can I just connect my iPhone to another computer and create another backup with my new password or without a password at all?

A: Sorry, no way. If you ever set an option to encrypt your backups with a password, your choice will be stored deep inside your iPhone. Moreover, the entire password verification is also performed by the iPhone, deep inside the iOS kernel and not by iTunes as you may guess.

Q: Really?

A: Yes, no kidding.

Q: Then, what am I going to do if I forget the password?

A: R.I.P. to your iPhone! :)

Seriously, there are only two realistic solutions. First, you can follow Apple"s recommendation to perform a complete reset of your phone, setting up your device as a new one and losing all iPhone content, from contacts to photos (see above). It’s like pulling a tooth: you lose it, but hey - it’s free!

Q: Back to iPhone backup, can I restore it onto a different device?

A: Yes you can. However, there’s one thing stored in the backup: "Keychain". There"s just something special about it.

Q: What is a keychain?

A: Keychain is a "storage" that includes email account passwords, Wi-Fi passwords, and passwords you enter into websites and some other applications.

Q: So what?

A: Apple"s turn:

«If you encrypt the backup with iOS 4 and later, the keychain information is transferred to the new device. With an unencrypted backup, the keychain can only be restored to the same iPhone or iPod touch. If you are restoring to a new device with an unencrypted backup, you will need to enter these passwords again.»

Q: How the keychain is encrypted?

A: Presuming you know at least something about encryption, speaking of iOS 4+ only, here is the situation:

If a backup IS NOT password-protected, the keychain is encrypted using "hardware" keys stored in the iPhone and not accessible from the outside. You can safely restore such backups to the same iPhone; however, if you restore it to another iPhone, the keychain will be lost completely.

If a backup IS password-protected, the keychain is encrypted using software keys that are generated from the backup password. As a result, you can restore such backups to any device, and keychain information will be restored as well. In order to restore the backup, you will have to enter the original password, so you must know it. Or you can crack it with Phone Password Breaker.

Q: What is the reason behind this strange behaviour?

A: Officially, security. Or privacy. Or some other nice marketing word. We"d vote for usability though.

Q: Can I view the contents of the keychain?

A: Yes, that"s what we added to the latest version of Phone Password Breaker. Select "Keychain Explorer" from the "File" menu, choose a backup from the list of available (encrypted!) ones, enter your backup password when prompted, and see what happens.

Q: What if I only have a backup without the password set on it?

A: Create a new backup with the password. It"s easy!

Q: There are a lot of items in the keychain, but how do I understand them?

A: We tried giving "friendly" names to all fields; there is also an explanation that appears in the small window when you highlight a field. In most cases, logins are stored under the "Account" field, and passwords under the "Data" field. There is also information specific to some keychain items such as mail accounts, including server addresses, port numbers, protocols, etc.

Q: For some items, there is no password but some data that looks like encryption keys. What are they for?

A: Keychains are system-wide storage. They aren’t restricted to Apple software only. Any iOS compliant application can store any information in the keychain, thus only its developers know exactly how to interpret that data. We just can"t check all applications from AppStore to see what they store in the keychain.

Q: Can I extract other useful information from the backup such as date/time when I connected to a specific wireless access point?

Q: There"s a lot of interesting information in the keychain! I want to perform a thorough analysis; how do I do that?

A: Use Phone Password Breaker to export it into an XML or plain-text file. XML is a universal format that can be used in many ways. We did our job, now it’s your turn.

Q: Is all that legal?

A: Absolutely. If it’s your iPhone and your backups, or if you have a permission from the owner, or there’s a court order, or you know for sure the owner wouldn’t mind, or suspect the owner of cheating… ;-)

Данные на ноутбуке, даже домашнем, желательно зашифровать, в крайнем случае пользователю требуется механизм устойчивой аутентификации со строгим паролем. До недавнего времени я, как и многие, считал, что мой домашний компьютер мало кому интересен. Да, на работе нужен устойчивый пароль, но что мне скрывать дома? И от кого? Однако мне пришлось изменить свое мнение. Что же произошло? Все просто. Я получил очередную версию программы Elcomsoft Phone Password Breaker. С помощью данного программного обеспечения можно скопировать содержимое резервной копии вашего устройства iPhone на любой компьютер, не зная пароль и Apple ID. Единственное, что радует – все это можно осуществить только в версии EPPB Forensic. Давайте рассмотрим возможности программы подробнее.

Взлом в iCloud: пароль больше не нужен!

Я уже рассказывал о загрузке данных iPhone (iPad) из iCloud (в статье, опубликованной в Windows IT Pro/RE №2 за 2014 год). В этой статье говорилось о том, что исследователь мог получить доступ к «облачным» резервным копиям. Однако на этот раз мы рассмотрим доступ к данным iCloud без всякого пароля. Замечу, что данная функция предназначена в первую очередь для правоохранительных органов, так как копирование данных без паролей в iCloud нуждается в двоичном маркере аутентификации, который необходимо получить из компьютера подозреваемого. На сегодня EPPB – единственный продукт, который умеет это делать. Вместе с тем стоит подчеркнуть, что для использования такого способа извлечения данных вам нужен физический доступ к компьютеру подозреваемого, на котором к тому же должна быть установлена панель управления iCloud.

Что такое панель управления iCloud

Для создания учетной записи iCloud вам необходимо иметь iPhone, iPad или iPod touch с операционной системой iOS 5 или более новой версии или компьютер Mac с ОС OS X Lion 10.7.5 или более новой версии. Для доступа к электронной почте, контактам и календарям требуется Microsoft Outlook 2007 или более новой версии или браузер новейшей версии. Для синхронизации закладок с браузером Firefox или Google Chrome необходимо расширение «Закладки iCloud».

Панель управления iCloud (см. экран 1) – неотъемлемая часть iTunes, однако она требует отдельной установки на компьютере под управлением Windows. На компьютере под управлением Mac OS данная программа уже установлена.

Получение маркера аутентификации iCloud

Для получения маркера аутентификации вам нужен компьютер подозреваемого (под управлением Windows или Mac OS), на котором установлена панель управления iCloud, на котором зарегистрирован подозреваемый, а также программа EPPB Forensic.

Большинство пользователей открывают панель управления iCloud, чтобы синхронизировать контакты, пароли (iCloud Keychain) и другие данные, и остаются подключенными к «облаку». Другими словами, у эксперта есть высокий шанс получения маркера аутентификации с данного компьютера. Далее вы должны задействовать инструменты командной строки, предоставленные Elcomsoft Phone Password Breaker, чтобы найти и извлечь маркеры аутентификации. Учтите, что вы сможете извлечь все маркеры, принадлежащие всем пользователям исследуемой системы, включая пользователей домена (если у вас есть их имя и пароль для регистрации в системе). После извлечения маркеров аутентификации сохраните их на флэш-карте USB, а затем запустите на своем компьютере Elcomsoft Phone Password Breaker и включите сбор данных с iCloud. При этом вместо ввода имени и пароля iCloud введите токен маркера аутентификации. Все! Имя и пароль для аутентификации вам больше не нужны.

Используемые инструменты для извлечения маркеров аутентификации – ATEX (Authentification Marker Extract): atex.exe (для Windows) или atex.dmg (для MacOS X). Файл может быть запущен в любой папке. В частности, я рекомендую запускать данный файл с USB-флэшки. В результате вы получите текстовый файл, содержащий маркер аутентификации.

В окне командной строки Windows вы можете ввести следующие параметры:

Для извлечения токена подключенного к «облаку» пользователя в Windows вы можете запустить atex.exe без параметров. Вы получите результаты, как на экране 2.

Для получения списка пользователей, которые на этом компьютере имеют токены аутентификации, запустите ATEX с параметром «-1». Если же вы хотите получить токен для другого пользователя Windows, вам необходимо знать его имя и пароль

Atex – t имя пароль

Вам необходимо иметь права администратора для получения токена другого пользователя данного компьютера.

MacOS X

В MacOS X ATEX имеет расширение. DMG с добавлением ‘atex’ (исполнимой программой Mac). Чтобы извлечь исполняемый файл (atex без расширения), просто дважды щелкните по файлу DMG, чтобы смонтировать его (на MacOS X). Вы можете скопировать исполняемый файл на карту флэш-памяти с интерфейсом USB. Или же вы можете запустить atex из любой папки на этом компьютере Mac.

Использование ATEX на системах Mac подобно использованию под Windows. Различия будут весьма тонкими. В Windows, если вы хотите извлечь маркер другого пользователя, вы будете задавать пароль в командной строке. На Mac пароль запрашивается системой в интерактивном режиме. Кроме того, в средах Mac вы будете вводить переключатель «-u» перед именем пользователя. Итоговое различие - в выходном формате. В Windows вы получаете простой текстовый файл, а на Mac получите файл. plist (XML).

Корректный способ запустить ATEX на Mac выглядит следующим образом. Запустите консоль, измените текущую папку (‘cd’) на ту, где сохранен ‘atex’, а затем запустите APEX.

Использование маркера аутентификации

Итак, мы получили маркер аутентификации. Как его использовать? Запускаем EPPB Forensic Edition, см. экран 4.

Выбираем из меню Tools, Apple пункт Download backup from iCloud. B строку Token вводим полученный ранее токен, см. экран 5. Дальнейший процесс ничем не отличается от загрузки резервной копии с помощью Apple ID и пароля. Вместе с тем нужно учесть следующее:

1. Восстановить пароль по маркеру нельзя.
2. Если из панели управления iCloud удален пароль, EPPB не сможет его восстановить.
3. Новый маркер создается каждый раз, когда пользователь запускает панель управления iCloud со своим именем и паролем. Однако предыдущие маркеры аутентификации могут при этом использоваться для доступа к резервной копии iCloud.
4. Если пользователь откроет панель управления iCloud на другом компьютере (но с помощью того же ID Apple), маркеры будут отличаться, но любой из них будет работать с EPPB.
5. Вместе с тем маркеры имеют конечное «время жизни». Точное время на сегодня мне неизвестно.
6. Если пользователь изменит пароль, то старые маркеры больше работать не будут.
7. Вы можете использовать ATEX с карты флэш-памяти с интерфейсом USB без установки. Маркеры будут сохранены на ту же самую карту флэш-памяти.

В заключение хочу сказать, что, с одной стороны, я горжусь российскими разработчиками, с другой – понимаю, что эта программа открывает еще один ящик Пандоры. Почему? Да потому, что появляется еще один способ хищения информации с мобильных телефонов. А так как наше руководство привыкло к тому, что имиджевый смартфон – это смартфон от Apple, возникают дополнительные риски. Например, вы всегда доверяете службе поддержки? И всегда в состоянии контролировать сотрудника, который что-то делает на вашем компьютере? Запуск утилиты – дело нескольких секунд, а анализировать резервные копии можно и дома.

Смартфон хранит информации о вас не просто много, а очень много. И самая интересная, на мой взгляд, – пароли от почты, Skype, и многого другого. Что делать? Советы стандартные. Шифровать жесткий диск, ставить устойчивый пароль к учетной записи, вовремя его менять, не забывать блокировать компьютер. Да, все то же самое относится и к планшету! Ведь разницы никакой. Словом, учитесь защищать свою конфиденциальность. Хоть немного.

В этой статье мне хотелось бы немного приподнять завесу загадочности, которая окутывает науку, которая называется форензикой (англ. forensics). Форензика занимается сбором цифровых улик и их анализом. Естественно, рассматривать мы это будем через призму Apple-вселенной, а точнее - применительно к iPhone. Начнем мы с интервью представителей компании, сделавшей себе имя на ПО для этого - Elcomsoft .

Для начала расскажу как вообще я решил сделать материал на эту тему.

Мало кто из русскоговорящих представителей IT-сообщества не знает ныне покойный журнал Computerra. Не буду тратить много времени на воспевание дифирамбов, так как на это не хватило бы одной статьи, тем более речь пойдет, пожалуй, про самого одиозного из колумнистов этого журнала - Сергея Михайловича Голубицкого . Именно его заметка на сайте покойного издания (он пишет туда регулярно) стала отправной точкой данной статьи. Рекомендую ее прочесть, чтобы было понятно о чем пойдет речь дальше.

Так как я явно попадаю в категорию, которую Сергей Михайлович любя называет «гоблинами», то, пожалуй, я подчеркну, что к его творчеству отношусь с уважением и во многом именно его считаю своим учителем и вдохновителем. Но что касается его заметки, упомянутой выше, я все же выберу позицию несогласия.

Не знаю, намеренно ли или по незнанию, но в заметке слишком уж сгущены краски над проблемами безопасности Apple. В свойственной ему манере хлесткого сарказма автор высмеивает «попытки Apple выйти на корпоративный рынок», намекая на то, что в их безопасности была найдена масса дыр, и недавно, о ужас, свежеоткрытой огромной бреши в безопасности, воспользоваться которой поможет продукт Elcomsoft под названием Phone Password Breaker . При этом, якобы в типичной для больших корпораций манере, Apple полностью игнорирует проблемы пользователей, что и называется хлестким словом «arrogance», вынесенным в заголовок статьи. Дополняется статья рассказами про другие успехи Elcomsoft (действительно крупнейших специалистов в деле восстановления паролей от чего угодно) и рассуждением о том, как любой желающий может с легкостью копаться в ваших данных.

В живописании ужасов дырявого iCloud меня смутило минимальное требование, которое состоит всего лишь… в необходимости знать логин и пароль от iCloud. Безусловно, огромная и критичная брешь в системе безопасности, которой подвержены 99 % онлайн-сервисов, и которая позволяет, зная логин и пароль, узнать все данные пользователя. Прям-таки испугавшись жути открывшихся перспектив, я решил обратиться к первоисточнику: компании Elcomsoft, представители которой оказались супер-любезны и не только рассказали нам все про Phone Password Breaker, но еще и позволили собственноручно его опробовать, чем мы и воспользовались.

Но начнем мы, конечно, с интервью.

Расскажите, пожалуйста, про Phone Password Breaker: кому эта программа нужна и что с ее помощью можно сделать?
Elcomsoft Phone Password Breaker позволяет экспертам правоохранительных органов получить доступ к защищенным паролем резервным копиям для смартфонов и портативных устройств, основанных на платформе RIM и Apple iOS. Утилита поддерживает все смартфоны марки Blackberry и все портативные устройства на платформе Apple iOS, включая iPhone, iPad и iPod Touch всех поколений и версий, включая iPhone 4S и iOS 4.x и iOS 5.x.
Программа предоставляет возможность восстановить доступ к резервным копиям устройств Apple и BlackBerry, в которых могут содержаться адресные книги, журналы звонков, архивы SMS-сообщений, календари, списки дел, фотоснимки, голосовую почту и настройки учетных записей электронной почты, сторонние приложения, журнал посещенных веб-страниц и содержимое этих страниц, сохраненное в кеш-памяти.

Кроме того, программа может использовать аппаратное ускорение перебора паролей при помощи видеокарт AMD и NVIDIA, что позволяет увеличить скорость расшифровки в 20-40 раз по сравнению с алгоритмами, использующими только центральный процессор компьютера. Технология перебора паролей на графических картах была разработана и запатентована ElcomSoft в США. На данный момент многие софтверные компании используют эту технологию, так как она позволяет получить вычислительную мощь суперкомпьютера по цене домашней графической карты.

Новая версия EPPB способна также дистанционно извлекать информацию из онлайнового хранилища Apple iCloud при наличии логина (Apple ID) и пароля пользователя. Доступ к самому устройству при этом не требуется.

EPPB использует перебор паролей? Или есть какие-то «дыры», позволяющие обойтись без этого?

Для резервных копий, созданных на компьютере (offline), программа использует перебор паролей, привлекая разные профессиональные хитрости типа перестановки или замены символов, так называемые атаки по маске, атаки по словарю, комбинированные или гибридные атаки, когда используются сразу несколько словарей. Полный список атак можно . К сожалению, (или к счастью, для кого как - прим. ред.), шифрование офлайновых бэкапов в системе iOS достаточно стойкое, поэтому на быстрое восстановление пароля может повлиять только графическое ускорение перебора и стойкость самого пароля, то есть чем проще пароль, тем быстрее он находится.

Что касается новой функции доступа через iCloud - я правильно понимаю, что все не так страшно, как рассказывают в Интернете? Ведь практически любой онлайн-сервис даст доступ, если известны логин-пароль к нему (тот же Gmail также небезопасен), а PPB просто упрощает доступ, или тут что-то глубже?

Все не так просто и не так страшно, как кажется на первый взгляд. Конечно, можно получить доступ к чему угодно, если иметь логин и пароль, но в случае с iCloud данные приходят зашифрованными. Кроме того, единственный «официальный» способ воспользоваться Apple ID и паролем для скачивания бэкапа из iCloud’а - это восстановить устройство (новое или после Firmware restore) из iCloud. Просто залогиниться на icloud.com и скачать бэкап не получится - Apple такой возможности не предоставляет.

И хотя шифрование в iCloud имеется, ключ шифрования приходит вместе с бэкапом, что значительно облегчает весь процесс расшифровки. Другими словами, те настройки шифрования бэкапов, который можно задавать в iTunes, распространяются только на традиционные офлайновые бэкапы и не распространяются на бэкапы в iCloud. В облако данные отсылаются в фактически незашифрованном виде, независимо от настроек шифрования (хотя канал передачи данных при этом защищен надежно). Когда мы обнаружили такую брешь в защите при изучении oнлайн-бэкапов, нас это, конечно, удивило, так как Apple всегда заботится о безопасности своих пользователей, но на то очевидно имеются свои технические причины.

Наша программа умеет скачивать бэкапы из онлайнового хранилища iCloud, расшифровывать эти бэкапы и конвертировать их в привычный формат iTunes, хотя можно воспользоваться и специальным софтом для анализа данных, так как сейчас предостаточно подобных средств на рынке.

Есть ли способы защититься от Phone Password Breaker? Или хотя бы усложнить задачу взлома?

В данном случае хорошей защитой может быть только надежный пароль к Apple ID, который нельзя быстро подобрать, изучив некоторую информацию о пользователе. В принципе, все требования политики безопасности паролей тут имеют значение. Кроме того, надо очень аккуратно использовать пароль, чтобы не оставлять мошенникам возможности найти его, скажем, в украденном и незащищенном тоже надежным паролем айфоне, или например, в оставленном с открытым доступом компьютере, ведь регистрационные данные могут банально сохраниться в веб-браузере, через который вы заходили на страницу iCloud . Вариантов утечки данных может быть много, именно поэтому всегда лучше ограничивать физический доступ ко всем устройствам, которые вы используете, что в случае с удаленным хранением данных в облаке немного усложняется. В случае использования iCloud нужно четко понимать, что ваш Apple ID пароль - это единственная преграда между злоумышленниками и всеми вашими данными, хранящимися онлайн. Как вариант, можно просто не хранить данные в iCloud вообще, а только локально на компьютере.

Есть ли версии ваших программ для OS X?

Версии Elcomsoft Phone Password Breaker для OS X у нас, к сожалению, нет, программа работает только под Windows. Но вот Elcomsoft iOS Forensic Toolkit работает как на PC, так и на Mac, более того, программа изначально писалась под Mac, что для нас не свойственно.

Какие еще из программ Elcomsoft могут быть интересны пользователям экосистемы Apple?

У нас еще есть замечательный продукт Elcomsoft iOS Forensic Toolkit (EIFT) специально предназначенный для криминалистических исследований устройств iPhone, iPad, iPod Touch на основе Apple iOS. С помощью iOS Forensic Toolkit можно подобрать пароль к устройству (в случае, если паролем является 4-значный паскод, перебор длится не более получаса) и снять точный образ файловой системы и вообще всех данных, имеющихся на устройстве. Продукт обеспечивает целостность и неизменность исследуемых данных. С помощью iOS Forensic Toolkit специалисты могут получить доступ к расшифрованному образу файловой системы устройства, расшифровать коды, пароли и прочую защищённую информацию.

Вот такой вот интересный и содержательный рассказ. Прежде чем сделать выводы, я продемонстрирую как выглядит этот самый Phone Password Breaker в работе. Так как программа доступна только для Windows, отдельно хотелось бы поблагодарить компанию Parallels - в 7-й версии Parallels Desktop Elcomsoft Phone Password Breaker работает вполне здорово (хотя, конечно, если вы собираетесь заниматься сбором данных на профессиональном уровне - явно стоит озаботиться установкой Windows).

Программа помимо восстановления паролей к резервной копии iOS-устройств также позволяет работать с Blackberry (и очень неплохо), и хоть это выходит за рамки нашей статьи, я не могу не отметить этот факт. Еще одно важное умение Elcomsoft Phone Password Breaker - возможность расшифровки Keychain, хранящегося в резервной копии с паролем (он шифруется отдельно от самой резервной копии, но я не буду вдаваться в детали сейчас).

Кстати, пригодиться Phone Password Breaker может не только сотрудникам внутренних органов или злоумышленникам. Дело в том, что если вы выберете опцию защиты резервной копии паролем и по неосторожности этот пароль забудете - выключить эту опцию без знания данного пароля будет нельзя, что сделает все резервные копии бесполезными. И сделать другую «беспарольную» копию уже не выйдет. В Apple в данном случае рекомендуют сделать полный сброс устройства и настроить его еще раз начисто с нуля. Если ваши данные для вас дороги - можно попробовать воспользоваться PPB, как альтернативным решением проблемы.

Устанавливается Elcomsoft Phone Password Breaker, как и большинство программ для Windows, простым визардом (в ходе установки я испытал мощнейший приступ ностальгии, давно не занимался подобным).

Интерфейс программы весьма прост. Выбираем файл резервной копии, настраиваем интересующие виды атаки (про это подробней рассказывается на сайте Elcomsoft) и запускаем перебор. Если повезет - взлом пароля не займет долго времени, особенно если пароль это слово из словаря, какие-то вариации на тему или если пароль короткий.

Мне интересней было попробовать восстановление из копии iCloud. Для этого надо ввести логин и пароль учетной записи (я, естественно, воспользовался собственными).

Несколько секунд ожидания, и мы видим все устройства, которые делали резервные копии в iCloud. Выбираем нужные галочкой.

После этого в заботе об удобстве пользователя, PPB предложит нам восстановить «понятные» имена файлов и разложить информацию по папкам. Естественно, это предложение лучше принять, если вы собираетесь разбирать «добычу» самостоятельно. Если же для анализа вы будете использовать дополнительное ПО - резервную копию надо оставить как есть.

Сразу после этого запустится процесс выкачивания ваших данных из iCloud. У меня для двух устройств это заняло где-то 10 минут.

Результатом станут сохраненные в указанной папке файлы, добытые из резервной копии вашего устройства, включая даже очень критичные.

Без проблем находятся и СМС, и логины-пароли, и еще масса других ценных данных.

Конечно, анализ данных с помощью специализированного ПО - намного легче и удобней, но для «бытовых целей» и такого ручного просмотра будет более чем достаточно.

Изначально, меня немного смутила необходимость использования Windows, но благодаря - эта проблема отлично маскируется.

Вот так все это работает, какие же можно сделать выводы? Главный вывод - никакой сенсационной дыры в безопасности iCloud нет, не надо покупаться на методы желтой журналистики. Если ваши логин и пароль в iCloud не скомпрометированы - доступа к данным в облаке не будет, а подобрать пароль к iCloud аккаунту дистанционно - задача нереальная. Если вы хотите защититься, используйте сложный пароль в iCloud, и не «светите» его в ненадежных сетях (в случае общественных Wi-Fi точек я очень рекомендую использовать VPN). Еще лучше - вообще не доверяйте важные данные Интернету, храните их только локально и с хорошим паролем (при его достаточной длине - его взлом будет задачей нетривиальной, даже для такого мощного инструмента как PPB). Еще лучше - просто не делайте ничего такого, что может привлечь к вам внимание специалистов по форензике, ведь принцип «неуловимого Джо» из анекдота в этом случае работает просто отлично.

В заключении хочу сказать, что форензика - интересная и обширная тема, поэтому если данная статья будет интересна читателям, мы постараемся глубже раскрыть ее и рассказать про различные ее аспекты, показать используемое ПО и может даже побеседовать со специалистами в этой области.

P.S. Если же тема форензики по тем или иным причинам интересует вас практически, могу порекомендовать неплохой (и фактически единственный на русском языке) бесплатный учебник Николая Николаевича Федотова , который будет одинаково полезен и юристам и IT-специалистам.

О резервном копировании не говорит только ленивый, но мало кто следует рекомендациям специалистов. С резервным копированием данных с компьютера все более-менее понятно. А как с этим обстоят дела на мобильном фронте? Как с этой задачей справляются смартфоны, планшеты и прочие, более экзотические устройства под управлением Apple iOS, Google (и не Google) Android, мобильных и стационарных сборок Microsoft Windows и BlackBerry 10? В новом цикле публикаций мы расскажем, как вытащить данные, куда сохранить, как восстановить, как обеспечить безопасность и как взломать.

Сегодняшняя «серия» будет посвящена резервным копиям iOS, в следующей мы посмотрим, а на закуску оставим Windows Phone и BlackBerry 10. Сразу предупредим, что статья разбита на две части: в первой мы попробуем выяснить, так ли безопасны бэкапы iOS и стоит ли им доверять, вторая же посвящена изучению внутреннего устройства бэкапа iCloud и извлечению данных из него, что называется, голыми руками, без помощи специальных инструментов.

Apple iOS

Начиная с iOS 5 пользователи яблочных устройств получили возможность автоматического сохранения данных устройства в облако. В старых версиях iOS эту возможность нужно было активировать вручную, но в последних она стала предлагаться в качестве опции по умолчанию. В iOS 9 облачные копии хранятся уже не в iCloud, а в более универсальном iCloud Drive.

К слову, бесплатно в iCloud доступно всего 5 Гбайт, которых, однако, хватает для хранения данных приложений и настроек даже устройств с 64 Гбайт на борту. Для тех пользователей, которые хотят сохранять в облаке много фотографий и видеороликов, Apple предлагает варианты платной подписки. Включить облачное резервное копирование можно при активации аппарата или в любое время в настройках устройства (Settings -> iCloud -> Backup).

После активации настройки резервного копирования в облако происходит следующее. Ты возвращаешься домой (или в любое другое место, где есть известная телефону сеть Wi-Fi) и ставишь устройство на зарядку. В это время телефон (или планшет, или iPad) автоматически соединяется с облаком и сливает в него накопленные за день инкрементные изменения. Разумеется, если копирование делается впервые, то в облако закачиваются все данные - процесс небыстрый и потребляющий заметное количество трафика. Резервное копирование запускается не чаще, чем раз в сутки. При необходимости его можно выполнить и вручную (командой Back Up Now).

А как обстоят дела с восстановлением данных? Это тоже просто. Непосредственно при активации нового (или старого, после сброса настроек) устройства можно выбрать, из какой резервной копии восстанавливать данные. Причем ни модель, ни версия операционной системы большой роли не играют: на новый iPad можно восстановить данные из старого iPhone, и наоборот. Работает это все действительно очень удобно. Поехал ты, скажем, в отпуск и потерял телефон. Завернул в ближайший Apple Store, активировал новый iPhone, и все настройки, приложения, контакты, журналы звонков, фотографии и даже обои и расположение иконок - все восстановится само по себе «по воздуху».

Облачные бэкапы - это безопасно?

Обрати внимание на знак в конце заголовка. Безопасность облачных резервных копий iOS под большим вопросом, ответ на который, впрочем, хорошо известен.

Итак, первое и главное: облачные резервные копии шифруются. Второе и не менее главное: ключ шифрования хранится рядом с зашифрованными данными, и достать его не составляет никакого труда. Шифрование, таким образом, защищает данные только в момент их передачи между устройством и сервером, а вот дальше... дальше ни у Apple, ни у спецслужб не возникает ни малейших проблем с доступом к твоим данным.

А что насчет злоумышленников? Тут несколько сложнее, ведь для доступа к облачной копии потребуется как минимум узнать Apple ID и пароль пользователя. Впрочем, небольшой фишинг или социальный инжиниринг - и пароль от Apple ID у нас в кармане. Дальше дело техники: ставим Elcomsoft Phone Breaker, вводим ID и пароль - и вуаля! Данные пользователя у нас в кармане.

Именно этот способ был использован для воровства фотографий знаменитостей . Нет, так не годится!

И действительно, никуда не годится. В результате в Apple в спешном порядке разработали механизм двухфакторной аутентификации (на тот момент - two-step verification), который существенно затруднял дело злоумышленникам, получившим пароль от учетной записи Apple ID. При активации этого механизма для доступа к резервной копии iCloud требовалось ввести не только логин и пароль, но и одноразовый код, который можно было получить на доверенное устройство через push или в виде СМС на доверенный телефонный номер.

Введение дополнительного шага аутентификации заметно усложнило жизнь злоумышленникам, в частности социальный инжиниринг: теперь требовалось не только узнать у жертвы собственно пароль, но и каким-то образом заставить ее сообщить одноразовый код. Впрочем, злоумышленники справились и с этим, в качестве инструмента использовав взломанную версию Elcomsoft Phone Breaker:

Если же злоумышленник получал доступ к компьютеру пользователя, то у него появлялся шанс и вовсе пройти мимо всей и всякой защиты - логинов, паролей и кодов. Достаточно было всего лишь извлечь двоичный маркер аутентификации с компьютера, на котором была установлена (и активирована) программа iCloud for Windows. Дальнейшее - дело техники: маркер вводится в Elcomsoft Phone Breaker, резервные копии скачиваются, а логин, пароль и одноразовый код не нужны.

Как на это отреагировали в Apple? Довольно оперативно: срок жизни маркера аутентификации iCloud уменьшили с нескольких месяцев до считаных часов. Правда, есть тонкость: в iOS 9, как мы уже писали, резервные копии сохраняются не в iCloud, а в iCloud Drive, для которого маркеры аутентификации и поныне действуют очень и очень долго.

А как обстоят дела с паролями сайтов, социальных сетей и учетных записей? Тут все не так однозначно. Если восстанавливаешься из облачной копии на то же самое устройство, то все будет в порядке: устройство восстановится и заработает как ни в чем не бывало. Если же восстанавливается другое устройство, то ситуация будет в точности такая, как с локальным бэкапом без пароля: все пароли из keychain (включая пароли от Wi-Fi, почты, социальных сетей) восстановлены не будут. И не только они. Многие приложения хранят данные в keychain с опцией this device only - «только на этом устройстве». В первую очередь это относится к утилитам хранения паролей, различным программам для хранения документов и подобным.

Как ФБР могло бы получить данные с iPhone стрелка из Сан-Бернардино

Изначально извлечение данных из iPhone 5c стрелка из Сан-Бернардино осложнялось тремя факторами:

1. Смартфон был зашифрован с использованием неизвестного пароля,
2. Последний iCloud-бэкап сделан более месяца назад,
3. Работодатель подозреваемого (департамент здравоохранения), владеющий смартфоном, зачем-то сбросил пароль iCloud.

А что, если бы последний пункт не был выполнен? На этот случай есть стандартная полицейская процедура. Телефон подозреваемого изолируется от радиочастот - помещается в специальный защитный пакет Faraday bag, после чего подключается к зарядному устройству. Поднимается точка доступа с такими же SSID и паролем, как у подозреваемого. Антенна вводится внутрь изолированного пакета, в котором лежит устройство, и готово: телефон самостоятельно создает свежую копию данных, которая без проблем извлекается с серверов Apple. Обрати внимание, разблокировать аппарат при этом нет никакой необходимости - не нужен ни пин-код, ни отпечаток пальца. (В скобках еще раз заметим, что для того, чтобы данная схема сработала, телефон должен быть разблокирован хотя бы один раз после «холодного» старта, иначе пароль от Wi-Fi останется зашифрованным и телефон не сделает попытки соединиться с сетью.)

Естественно, такой способ мог быть успешным только в том случае, если облачный бэкап включен. ФБР настаивает, что бэкап не был активирован, однако верить им нет никаких оснований.

Безопасность - это удобно?

Представим ситуацию. Ты активировал двухфакторную аутентификацию. Поехал в отпуск. Старый iPhone (он же доверенное устройство, он же носитель SIM-карты с доверенным телефонным номером, на который можно получить СМС c кодом) пропал. Ты приходишь в Apple Store, покупаешь новый iPhone и пытаешься его активировать. Вводишь Apple ID, потом пароль... а потом с тебя требуют одноразовый код, получить который тебе некуда и не на что.

Продолжение доступно только участникам

Вариант 1. Присоединись к сообществу «сайт», чтобы читать все материалы на сайте

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», увеличит личную накопительную скидку и позволит накапливать профессиональный рейтинг Xakep Score!

ПОКУПКА ЛИЦЕНЗИЙ Предлагаем рассмотреть % скидки!!!

Отправьте запрос на e-mail: [email protected] или просто позвоните

Извлечение резервных копий из «облака» (iCloud)

У пользователей устройств на платформе iOS есть несколько возможностей резервного копирования содержимого своих устройств. Можно создавать резервные копии информации, в которую входят контакты, фотографии, журналы вызовов и другие данные, и сохранять её как локально на своем компьютере (с помощью Apple iTunes), так и в облачном хранилище Apple iCLoud. Представленная в июне 2011 года, услуга iCloud позволяет пользователям хранить данные своих устройств на удаленных серверах и использовать их на нескольких устройствах. Кроме того, iCloud может быть использован для синхронизации электронной почты, контактов, событий, закладок, фотографий и другой информации.

Резервные копии в iCloud являются инкрементальными. Если устройство настроено для использования сервиса iCloud, аппарат автоматически создаёт резервную копию всякий раз, когда подключается к беспроводной сети и источнику питания. Теперь эти копии могут быть получены и без самого устройства на руках; всё, что нужно для доступа к онлайн-архивам, хранящимся в iCloud - это Apple ID и пароль пользователя. Данные могут быть доступны без согласия пользователя, что делает Elcomsoft Phone Password Breaker идеальным решением для правоохранительных и разведывательных организаций.

Данная функция НЕ работает при активированной включенной двухфакторной аутентификации пользователя. Кроме того, владелец аккаунта Apple ID получает уведомление, как только с помощью программы запрашивается доступ к резервной копии, хранящейся в iCloud.

Выборочный доступ

Загрузка большого бэкапа, которая совершается в первый раз, потенциально может занять несколько часов. Последующие обновления являются дополнительными и происходят гораздо быстрее. Если скорость скачивания имеет критическое значение, программа Elcomsoft Phone Password Breaker помогает быстро получить необходимую информацию и пропустить менее значимые данные, которые требуют наибольшего времени для загрузки (например, музыка или видео). Сообщения, вложения, настройки телефона, журналы вызовов, адресные книги, заметки, календарь, настройки почтового аккаунта, фотографии, видео и другие данные могут быть заранее выбраны и скачены в считанные минуты, что обеспечивает криминалистических экспертов необходимой информацией практически в режиме реального времени.

Возможности программы

• Доступ к информации, хранимой в защищенных паролем резервных копиях iPhone, iPad и iPod Touch и BlackBerry
• Расшифровка резенрвных копий к iPhone и BlackBerry с помощью известного пароля
• Восстановление паролей к BlackBerry Password Keeper и Wallet приложениям
• Восстановление пароля на устройство BlackBerry***
• Чтение и расшифровка данных в системном хранилище (keychain) (пароли к учетным записям электронной почты, пароли для доступа к сетям Wi-Fi и пароли для доступа к веб сайтам и сторонним приложениям)
• Ускорение при помощи нескольких установленных в системе бюджетных графических адаптеров AMD или NVIDIA*
• Аппаратное ускорение с использованием Tableau TACC1441
• Атаки по словарю с использованием различных словарных мутаций и комбинаций
• Работа программы ведется полностью в режиме offline и не требует установки Apple iTunes или BlackBerry Desktop Software
• Восстановление паролей к резервным копиям для оригинальных и ‘модифицированных’ iPhone (все модели включая iPhone 5S), iPad (все поколения включая iPad Mini) и iPod Touch(все поколения)
• Совместимость со всеми вресиями iTunes (включая 11.1), операционной системы iOS (включая 7.0.2) и BlackBerry Desktop Software
• Использование инструкций AES-NI для ускорения перебора паролей к резервным копиям BlackBerry
• Поддержка AMD Radeon HD 7000 серии и NVIDIA GTX 600

Работа в режиме offline

Elcomsoft Phone Password Breaker не использует в своей работе Apple iTunes или BlackBerry Desktop Software, то есть нет никакой необходимости устанавливать эти программы. Все операции по подбору паролей производятся в режиме offline.