Взламываем резервные копии iPhone и iPad с Elcomsoft

57

0 Forensics

В этой статье мне хотелось бы немного приподнять завесу загадочности, которая окутывает науку, которая называется форензикой (англ. forensics). Форензика занимается сбором цифровых улик и их анализом. Естественно, рассматривать мы это будем через призму Apple-вселенной, а точнее — применительно к iPhone. Начнем мы с интервью представителей компании, сделавшей себе имя на ПО для этого — Elcomsoft.

Для начала расскажу как вообще я решил сделать материал на эту тему.

Мало кто из русскоговорящих представителей IT-сообщества не знает ныне покойный журнал Computerra. Не буду тратить много времени на воспевание дифирамбов, так как на это не хватило бы одной статьи, тем более речь пойдет, пожалуй, про самого одиозного из колумнистов этого журнала — Сергея Михайловича Голубицкого. Именно его заметка на сайте покойного издания (он пишет туда регулярно) стала отправной точкой данной статьи. Рекомендую ее прочесть, чтобы было понятно о чем пойдет речь дальше.

Так как я явно попадаю в категорию, которую Сергей Михайлович любя называет «гоблинами», то, пожалуй, я подчеркну, что к его творчеству отношусь с уважением и во многом именно его считаю своим учителем и вдохновителем. Но что касается его заметки, упомянутой выше, я все же выберу позицию несогласия.

Не знаю, намеренно ли или по незнанию, но в заметке слишком уж сгущены краски над проблемами безопасности Apple. В свойственной ему манере хлесткого сарказма автор высмеивает «попытки Apple выйти на корпоративный рынок», намекая на то, что в их безопасности была найдена масса дыр, и недавно, о ужас, свежеоткрытой огромной бреши в безопасности, воспользоваться которой поможет продукт Elcomsoft под названием Phone Password Breaker. При этом, якобы в типичной для больших корпораций манере, Apple полностью игнорирует проблемы пользователей, что и называется хлестким словом «arrogance», вынесенным в заголовок статьи. Дополняется статья рассказами про другие успехи Elcomsoft (действительно крупнейших специалистов в деле восстановления паролей от чего угодно) и рассуждением о том, как любой желающий может с легкостью копаться в ваших данных.

В живописании ужасов дырявого iCloud меня смутило минимальное требование, которое состоит всего лишь… в необходимости знать логин и пароль от iCloud. Безусловно, огромная и критичная брешь в системе безопасности, которой подвержены 99 % онлайн-сервисов, и которая позволяет, зная логин и пароль, узнать все данные пользователя. Прям-таки испугавшись жути открывшихся перспектив, я решил обратиться к первоисточнику: компании Elcomsoft, представители которой оказались супер-любезны и не только рассказали нам все про Phone Password Breaker, но еще и позволили собственноручно его опробовать, чем мы и воспользовались.

Но начнем мы, конечно, с интервью.

Расскажите, пожалуйста, про Phone Password Breaker: кому эта программа нужна и что с ее помощью можно сделать?
Elcomsoft Phone Password Breaker позволяет экспертам правоохранительных органов получить доступ к защищенным паролем резервным копиям для смартфонов и портативных устройств, основанных на платформе RIM BlackBerry и Apple iOS. Утилита поддерживает все смартфоны марки Blackberry и все портативные устройства на платформе Apple iOS, включая iPhone, iPad и iPod Touch всех поколений и версий, включая iPhone 4S и iOS 4.x и iOS 5.x.
Программа предоставляет возможность восстановить доступ к резервным копиям устройств Apple и BlackBerry, в которых могут содержаться адресные книги, журналы звонков, архивы SMS-сообщений, календари, списки дел, фотоснимки, голосовую почту и настройки учетных записей электронной почты, сторонние приложения, журнал посещенных веб-страниц и содержимое этих страниц, сохраненное в кеш-памяти.

Кроме того, программа может использовать аппаратное ускорение перебора паролей при помощи видеокарт AMD и NVIDIA, что позволяет увеличить скорость расшифровки в 20-40 раз по сравнению с алгоритмами, использующими только центральный процессор компьютера. Технология перебора паролей на графических картах была разработана и запатентована ElcomSoft в США. На данный момент многие софтверные компании используют эту технологию, так как она позволяет получить вычислительную мощь суперкомпьютера по цене домашней графической карты.

Новая версия EPPB способна также дистанционно извлекать информацию из онлайнового хранилища Apple iCloud при наличии логина (Apple ID) и пароля пользователя. Доступ к самому устройству при этом не требуется.

EPPB использует перебор паролей? Или есть какие-то «дыры», позволяющие обойтись без этого?

Для резервных копий, созданных на компьютере (offline), программа использует перебор паролей, привлекая разные профессиональные хитрости типа перестановки или замены символов, так называемые атаки по маске, атаки по словарю, комбинированные или гибридные атаки, когда используются сразу несколько словарей. Полный список атак можно посмотреть у нас на сайте. К сожалению, (или к счастью, для кого как — прим. ред.), шифрование офлайновых бэкапов в системе iOS достаточно стойкое, поэтому на быстрое восстановление пароля может повлиять только графическое ускорение перебора и стойкость самого пароля, то есть чем проще пароль, тем быстрее он находится.

Что касается новой функции доступа через iCloud — я правильно понимаю, что все не так страшно, как рассказывают в Интернете? Ведь практически любой онлайн-сервис даст доступ, если известны логин-пароль к нему (тот же Gmail также небезопасен), а PPB просто упрощает доступ, или тут что-то глубже?

Все не так просто и не так страшно, как кажется на первый взгляд. Конечно, можно получить доступ к чему угодно, если иметь логин и пароль, но в случае с iCloud данные приходят зашифрованными. Кроме того, единственный «официальный» способ воспользоваться Apple ID и паролем для скачивания бэкапа из iCloud’а — это восстановить устройство (новое или после Firmware restore) из iCloud. Просто залогиниться на icloud.com и скачать бэкап не получится — Apple такой возможности не предоставляет.

И хотя шифрование в iCloud имеется, ключ шифрования приходит вместе с бэкапом, что значительно облегчает весь процесс расшифровки. Другими словами, те настройки шифрования бэкапов, который можно задавать в iTunes, распространяются только на традиционные офлайновые бэкапы и не распространяются на бэкапы в iCloud. В облако данные отсылаются в фактически незашифрованном виде, независимо от настроек шифрования (хотя канал передачи данных при этом защищен надежно). Когда мы обнаружили такую брешь в защите при изучении oнлайн-бэкапов, нас это, конечно, удивило, так как Apple всегда заботится о безопасности своих пользователей, но на то очевидно имеются свои технические причины.

Наша программа умеет скачивать бэкапы из онлайнового хранилища iCloud, расшифровывать эти бэкапы и конвертировать их в привычный формат iTunes, хотя можно воспользоваться и специальным софтом для анализа данных, так как сейчас предостаточно подобных средств на рынке.

Есть ли способы защититься от Phone Password Breaker? Или хотя бы усложнить задачу взлома?

В данном случае хорошей защитой может быть только надежный пароль к Apple ID, который нельзя быстро подобрать, изучив некоторую информацию о пользователе. В принципе, все требования политики безопасности паролей тут имеют значение. Кроме того, надо очень аккуратно использовать пароль, чтобы не оставлять мошенникам возможности найти его, скажем, в украденном и незащищенном тоже надежным паролем айфоне, или например, в оставленном с открытым доступом компьютере, ведь регистрационные данные могут банально сохраниться в веб-браузере, через который вы заходили на страницу iCloud. Вариантов утечки данных может быть много, именно поэтому всегда лучше ограничивать физический доступ ко всем устройствам, которые вы используете, что в случае с удаленным хранением данных в облаке немного усложняется. В случае использования iCloud нужно четко понимать, что ваш Apple ID пароль — это единственная преграда между злоумышленниками и всеми вашими данными, хранящимися онлайн. Как вариант, можно просто не хранить данные в iCloud вообще, а только локально на компьютере.

Есть ли версии ваших программ для OS X?

Версии Elcomsoft Phone Password Breaker для OS X у нас, к сожалению, нет, программа работает только под Windows. Но вот Elcomsoft iOS Forensic Toolkit работает как на PC, так и на Mac, более того, программа изначально писалась под Mac, что для нас не свойственно.

Какие еще из программ Elcomsoft могут быть интересны пользователям экосистемы Apple?

У нас еще есть замечательный продукт Elcomsoft iOS Forensic Toolkit (EIFT) специально предназначенный для криминалистических исследований устройств iPhone, iPad, iPod Touch на основе Apple iOS. С помощью iOS Forensic Toolkit можно подобрать пароль к устройству (в случае, если паролем является 4-значный паскод, перебор длится не более получаса) и снять точный образ файловой системы и вообще всех данных, имеющихся на устройстве. Продукт обеспечивает целостность и неизменность исследуемых данных. С помощью iOS Forensic Toolkit специалисты могут получить доступ к расшифрованному образу файловой системы устройства, расшифровать коды, пароли и прочую защищённую информацию.

0 iCloud

Вот такой вот интересный и содержательный рассказ. Прежде чем сделать выводы, я продемонстрирую как выглядит этот самый Phone Password Breaker в работе. Так как программа доступна только для Windows, отдельно хотелось бы поблагодарить компанию Parallels — в 7-й версии Parallels Desktop Elcomsoft Phone Password Breaker работает вполне здорово (хотя, конечно, если вы собираетесь заниматься сбором данных на профессиональном уровне — явно стоит озаботиться установкой Windows).

Программа помимо восстановления паролей к резервной копии iOS-устройств также позволяет работать с Blackberry (и очень неплохо), и хоть это выходит за рамки нашей статьи, я не могу не отметить этот факт. Еще одно важное умение Elcomsoft Phone Password Breaker — возможность расшифровки Keychain, хранящегося в резервной копии с паролем (он шифруется отдельно от самой резервной копии, но я не буду вдаваться в детали сейчас).

Кстати, пригодиться Phone Password Breaker может не только сотрудникам внутренних органов или злоумышленникам. Дело в том, что если вы выберете опцию защиты резервной копии паролем и по неосторожности этот пароль забудете — выключить эту опцию без знания данного пароля будет нельзя, что сделает все резервные копии бесполезными. И сделать другую «беспарольную» копию уже не выйдет. В Apple в данном случае рекомендуют сделать полный сброс устройства и настроить его еще раз начисто с нуля. Если ваши данные для вас дороги — можно попробовать воспользоваться PPB, как альтернативным решением проблемы.

Устанавливается Elcomsoft Phone Password Breaker, как и большинство программ для Windows, простым визардом (в ходе установки я испытал мощнейший приступ ностальгии, давно не занимался подобным).

1 Setup

Интерфейс программы весьма прост. Выбираем файл резервной копии, настраиваем интересующие виды атаки (про это подробней рассказывается на сайте Elcomsoft) и запускаем перебор. Если повезет — взлом пароля не займет долго времени, особенно если пароль это слово из словаря, какие-то вариации на тему или если пароль короткий.

Мне интересней было попробовать восстановление из копии iCloud. Для этого надо ввести логин и пароль учетной записи (я, естественно, воспользовался собственными).

2 iCloud Login

Несколько секунд ожидания, и мы видим все устройства, которые делали резервные копии в iCloud. Выбираем нужные галочкой.

3 Select Device

После этого в заботе об удобстве пользователя, PPB предложит нам восстановить «понятные» имена файлов и разложить информацию по папкам. Естественно, это предложение лучше принять, если вы собираетесь разбирать «добычу» самостоятельно. Если же для анализа вы будете использовать дополнительное ПО — резервную копию надо оставить как есть.

4 Decrypt filenames

Сразу после этого запустится процесс выкачивания ваших данных из iCloud. У меня для двух устройств это заняло где-то 10 минут.

5 Download

Результатом станут сохраненные в указанной папке файлы, добытые из резервной копии вашего устройства, включая даже очень критичные.

6 Download results

Рекомендую сразу обзавестись хорошей программой для работы с базами данных SQLite: почти вся информация iOS хранится в них. Я воспользовался пробной версией замечательной утилиты Base. Вот, например, моя телефонная книга.

7 Address Book

Тут же лежат последние звонки.

8 Recent Calls

Без проблем находятся и СМС, и логины-пароли, и еще масса других ценных данных.

Конечно, анализ данных с помощью специализированного ПО — намного легче и удобней, но для «бытовых целей» и такого ручного просмотра будет более чем достаточно.

Изначально, меня немного смутила необходимость использования Windows, но благодаря Coherence Mode в Parallels Desktop — эта проблема отлично маскируется.

9 In OS X

Вот так все это работает, какие же можно сделать выводы? Главный вывод — никакой сенсационной дыры в безопасности iCloud нет, не надо покупаться на методы желтой журналистики. Если ваши логин и пароль в iCloud не скомпрометированы — доступа к данным в облаке не будет, а подобрать пароль к iCloud аккаунту дистанционно — задача нереальная. Если вы хотите защититься, используйте сложный пароль в iCloud, и не «светите» его в ненадежных сетях (в случае общественных Wi-Fi точек я очень рекомендую использовать VPN). Еще лучше — вообще не доверяйте важные данные Интернету, храните их только локально и с хорошим паролем (при его достаточной длине — его взлом будет задачей нетривиальной, даже для такого мощного инструмента как PPB). Еще лучше — просто не делайте ничего такого, что может привлечь к вам внимание специалистов по форензике, ведь принцип «неуловимого Джо» из анекдота в этом случае работает просто отлично.

В заключении хочу сказать, что форензика — интересная и обширная тема, поэтому если данная статья будет интересна читателям, мы постараемся глубже раскрыть ее и рассказать про различные ее аспекты, показать используемое ПО и может даже побеседовать со специалистами в этой области.

P.S. Если же тема форензики по тем или иным причинам интересует вас практически, могу порекомендовать неплохой (и фактически единственный на русском языке) бесплатный учебник Николая Николаевича Федотова, который будет одинаково полезен и юристам и IT-специалистам.

57 комментариев

  1. 0
    RodionoF

    Да. Читал статью про эту прогу. Даже поставил пробную версию. Правда — скачивает весь твой бэкап. Жаль лицензия дорогая — не дает поковыряться в бэкапе. А так, конешн, — подберут пароль и все твои данные могут вытащить.

  2. 0

    Ага, как в волосатом анекдоте.
    — А дофига это сколько?
    — Идешь по рельсам, и считаешь шпалы. Как надоест, так это меньше половины.

    Так же и брутосом вы будете нормальный пароль подбирать. До конца жизни.

  3. 0
    Сергей

    Обкудахтывать сейчас начнете пустую тему… Как я вас люблю!
    (отправлено из приложения AppleInsider.ru)

  4. 0

    для мак опирационки прога работает?

    • 0
      Павел Дмитриев

      egova, нет, только в эмулации. в статье про это четко написано

      для OS X есть iOS Forensics Toolkit, но он свободно не продается

  5. 0
    Илья Казаков

    Паш, я так и подозревал, что тот товарищ выкрикивал бестолковые вещи 🙂

  6. 0

    Так. Пароль у меня в 14 буквенно-числовых знаков с разными регистами букв.
    Энтропия первого символа равна 4 битам;
    Энтропия следующих семи символов по 2 бита каждый;
    От 9го до 20 символа 1.5 бита энтропии на символ;
    От 21 и дальше каждый символ несет в себе 1 бит энтропии;
    Если используется также верхний регистр букв и неалфавитные символы, то добавляется ещё 6 битов. (Wiki)
    Вывод: фуй взломаешь мой пароль

  7. 0

    Да, брутом подбирать пароли к бэкапам это нечто экзотическое, зная что ограничение на длину не стоит(или очень большое оно) 😀
    Ладно лет 5-7 назад было круто брутить пароли к аськам, но там то 8 символов пароль и не больше, сутки-другие(неделя-другая) и могла быть удача 🙂

    • 0
      Павел Дмитриев

      xmax, а много ли пользователей ставят надежные пароли?
      а простые пароли EPPB ломает тока в путь

      особенно если озаботиться правильным железом

    • 0
      ArsenBespalov

      xmax, Кто бы мою асю сломал, пароль просрался или кем-то поменялся, но так ничего и не поменяли, даже все данные остались моими, я уже все свои пароли возможные перебрал, но на 1000000% был уверен в одном пароле, который в один прекрасный момент не подошел… Брутом ничего не помогло…

    • 0

      xmax, не подбирали к аське пароли никогда.. глупое занятие… проще снифер + фкз кидалку, и вся сеть твоего провайдера естественно тебе «отдает» аськовские пароли ( они кстати не шируются и идут открытым текстом. Я ради любопытсва за 10 минут (году этак в 2002) наловил 8 паролей…

  8. 0
    kamneed

    Интересно!
    (отправлено из приложения AppleInsider.ru)

  9. 0
    Владимир

    Народ! А вот подскажите не продвинутому пользователю! Есть девушка, пароль и логин знаю, можно ли как-то вытянуть инфу про смс, меседж, аська, гугл талк? С учетом того, что сообщения стираются.
    (отправлено из приложения AppleInsider.ru)

    • 0
      ArsenBespalov

      Владимир, Можно, Шерлок, можно… В статье как раз это писали, просто если она телефон заряжает от розетки, а не от компа, где стоит iTunes, который при подключении делает бекап или же, может быть бекап делается в iCloud, то ты все сможешь вытащить, только все бекапы нужно прошерстить, но опять же она ведь могла удалить все до момента резервного копирования, а это уже проблема… Вообщем целая проблема, видимо тебе придется пытать девушку… ;)))

  10. 0
    Фёдор

    У Голубицкого есть очень много отличных идей о современной экономике и её истории. Но он типичный графоман, который чрезмерным украшением текста заменяет его ценность. Оттого, начитавшись его, желание продолжать со временем пропадает, какими бы интересными ни были идеи.

    А что касается Элкомсофта, то они могут добыть данные как правило только из предпоследней версии ОС. Пятую ось они научились взламывать тк тому времени, как вышла 5.1. Тоже самое было с прежними версиями.

    • 0
      Ольга

      Фёдор, От имени Элкомсофта уточню только насчет «предпоследних версий» 🙂 Как правило, мы добавляем поддержку свежей i-оси в EIFT (если о нем речь) как только выходит jailbreak, так как он необходим при загрузке софта на устройство. C последующей осью это в принципе не связано.

  11. 0

    народ. а подскажите, где взять утилиту Base?

  12. 0
    Алекс

    Смски и адресная книга действительно видны.
    А вот где лежат пароли непонятно.

    • 0
      Ольга

      Алекс, СМСки, адресная книга, фотографии и почти все остальное хранится в (незашифрованном) бэкапе без какого-либо шифрования, в открытом виде. В зашифрованных бэкапах эти же данные зашифрованы, и после расшифрования бэкапа с помощью EPPB (если пароль известен, либо найден) эти же данные снова становятся доступными.

      Пароли же хранятся и шифруются иначе. Даже в незашифрованном бэкапе пароли из системного хранилища (keychain) зашифрованы, и поэтому просто открыть файл и прочитать их не получится. Хранятся они в файле keychain-backup.plist (в резервной копии он называется 51a4616e576dd33cd2abadfea874eb8ff246bf0e).

      • 0
        Алекс

        Ольга, А почтовые сообщения в открытом виде хранятся? Если да, то не подскажите в каком файле?

      • 0

        Ольга, Здравствуйте, Вы пишите, что, просто открыть файл и прочитать пороли не получится. Хранятся они в файле keychain-backup.plist (в резервной копии он называется 51a4616e576dd33cd2abadfea874eb8ff246bf0e).
        как получить пароль на резервное копирование?

      • 0
        Александр

        Ольга, А как расшифровать содержимое keychain-backup.plist ???

  13. 0

    Пароль на резервную копию можно восстановить с помощью программы EPPB http://www.elcomsoft.com/eppb.html

  14. 0
    красотка

    помогите пожалуйста, у меня вопрос такой: удалила переписку с айфона. скачала с айфона смс, там светятся в том числе и удаленные, но они почему не показываются если их открываешь в Sqlitemanager и через такую программу как mobilesyncbrowser. светятся только при открытии в worde. и все, нигде в других местах не видно. но в wordе пишется и номер и текст, но не видно даты и времени смс, а именно это мне и нужно. подскажите, как посмотреть? заранее спасибо

  15. 0

    подскажите пожалуйста на вин 7
    как работать с бэкапом!?
    если есть что то вроде инструкции…
    нужно вытащить смс фото видео и тел книгу с бэкапа
    телефон украли

  16. 0

    а почему у меня в триале не получается ничего??

  17. 0

    помогите же пожалуйста!очень нужно!вы могли просматривать и скачивать в триал версии?

    • 0

      mari, Mari, в триальной версии есть ограничения: пароли к бэкапам (резервным копиям) восстанавливаются, но показывается только первые две буквы, программа не позволяет проводить специальные атаки, кроме простого перебора, и не показывает пароли из keychain.

      Свежий триал можно скачать с сайта компании: http://www.elcomsoft.com/download/eppb_setup_en.msi

  18. 0

    а мне кто нибудь поможет?
    я выкачал бэкап из icloud.
    почему я не могу установить его на айфон? айтьюнс не видит бэкапа, да по содержимому он не похож совсем

  19. 0

    Привет!а как открыть фото и сообщения на компьютере зная Id и пароль …?и не приходит ли оповещение о том что читается переписка?!)

  20. 0

    я скачала Elcomsoft Phone Password Breaker и при этом у меня имеется данные apple id, только когда я их ввожу, выскакивает табличка ‘Select backups’ и данные — имя пользователя, email; но ниже, где должны быть видны все устройства, которые делали резервные копии в iCloud, ни одного нет. Почему?

  21. 0

    Олеся, дайте пожалуйста ссылочку, по которой вы скачивали продукт.

  22. 0

    Добрый день, при открытии базы данных просит пароль или ключ …Где его взять этот ключ?

  23. 0

    я забыл парол в icloudeи как мне её найти (отправлено из приложения AppleInsider.ru)

  24. 0

    подскажите,кто нибудь в Москве может помочь за деньги в разблокировке резервной копии в Айтюнс?если есть координаты,то скиньте

  25. 0

    Конечно 🙂 У нас есть замечательная программа Elcomsoft Phone Breaker http://www.elcomsoft.ru/eppb.html которая как раз находит пароль к резервной копии в iTunes. Для вашей цели вам достаточно самой простой Home версии. Если будут какие-либо вопросы, задавайте прямо сюда.

    • 0

      Elcomsoft, взломает любой пароль?дело в том что я не помню чтобы ставил пароль…если на ноуте чипсетная карта памяти-поможет?как происходит оплата и получение вашего продукта?

      • 0

        Bori, 1. Пароль на iTunes-бэкапы иногда (очень редко) ставится «сам собой». Либо Вы всё-таки сами поставили (очень давно) и забыли. Либо аппарат (если у Вас б/у) изначально был с установленным паролем на бэкап — надо понимать, что этот пароль является свойством самого устройства, а не конкретного бэкапа (то есть если Вы подключите аппарат к другому компьютеру и сделаете бэкап там, он получиться с тем же паролем и снять/поменять его, не зная старого, нельзя).

        2. Нет, чипсетная карта не подойдёт, нужна дискретная (AMD или NVIDIA). Собственно, и без неё можно пытаться найти пароль, просто на CPU будет медленнее.

        3. Оплата по кредитке, ключик по email. Но сначала попробуйте триал версию https://www.elcomsoft.com/download/eppb_setup_en.msi (для Windows) и https://www.elcomsoft.com/download/eppb_setup_en.dmg (для Mac OS)

  26. 0

    Народ эту прогу взломает icloud у меня есть iphone 6 с ios 8 требует пароль

  27. 0

    УМОЛЯЮ РАДИ БОГА ПОМОГИТЕ, Я СЛУЧАЙНО ЗАБЛОЧИЛ СВОЙ АЙФОН, И МНЕ ПРОСИТ ВВЕСТИ ЭПЛ АЙДИ Я ПАРОЛЬ ПОМНЮ А МАИЛ НЕТ, В ПОДДЕРЖКЕ СКАЗАЛИ БЕЗ МАИЛА НЕЧЕГО ДЕЛАТЬ
    нО У МЕНЯ ЕСТЬ РЕЗЕВРНЫЕ КОПИИ ОНИ КАК ТО МОГУТ ПОМОЧЬ?

Авторизуйтесь Чтобы оставить комментарий