AppleInsider.ru
X
О проекте Реклама
Чат
с читателями Присоединяйтесь
в Телеграме

Мобильный криминалист от Oxygen — все грязное белье вашего смартфона

Павел Дмитриев

Мы продолжаем тему мобильной форензики, начатую нашей статьей про Elcomsoft Phone Password Breaker. В прошлый раз мы показали и рассказали, как легко и непринужденно можно получить все данные, которые хранятся в вашем телефоне из резервной копии или облака iCloud. Сейчас настала очередь узнать, что же из этих данных можно извлечь при использовании нужной программы. В роли подопытного устройства выступит мой собственный iPhone 4, в роли нужной программы — «Мобильный криминалист» от Oxygen. Пристегните ремни, сейчас мы вам покажем, что безопасность данных в мобильном — это почти миф!

Я отойду от традиционной схемы и для начала просто покажу, как работает «Мобильный криминалист» и что он позволяет извлечь из типичного iPhone, а потом мы передадим слово Олегу Федорову — человеку, который стоит во главе компании, создавшей эту программу.

Программа, естественно, только для Windows, поэтому Parallels Desktop и в данном случае будет нашим другом.

Установка стандартна для Windows-программ. После запуска и активации приложения, мы можем приступить к анализу телефона. Данные можно взять с живого устройства или извлечь из резервной копии. Независимо от выбора вариантов, процесс занимает меньше 10 минут. Достаточно задержаться в курилке, оставив телефон на столе, и, возможно, ваши данные станут достоянием «исследователя». Никакого специального оборудования для этого не надо: достаточно любого компьютера с Windows, iTunes и установленным «Мобильным криминалистом». Из оборудования нужен только стандартный кабель.

Вообще, лучше использовать получение данных с устройства, так как это позволяет расшифровать файл паролей, но в остальном оба метода идентичны. Извлечение данных осуществляется с помощью визарда, который выяснит у вас все данные. Поскольку программа предназначена для использования в первую очередь органами следствия — можно задать разную служебную информацию. Также стоит задать номер телефона владельца этого устройства, это позволяет Oxygen Forensic Suite сопоставлять данные нескольких дампов, отслеживая зависимости между их владельцами.

Немного ожидания, и телефон полностью выпотрошен, и тут уж Oxygen показывает максимум возможного. Я просто приведу несколько примеров. Вот обобщенная статистика по коммуникациям владельца телефона, включающая голосовые звонки, SMS и iMessage. Что меня тут особо удивило — это то, что программа добыла и удаленные сообщения.

Вот фактически тоже самое в виде удобной диаграммы с разбитием на первый и второй круг общения. Это позволяет четко определить наиболее близких знакомых владельца телефона.

«Мобильный криминалист» позволяет извлекать геоинформационные данные из фотографий и Wi-Fi сетей, к которым подключался телефон.

Кое-что о владельце может сказать содержимое словаря, которое также анализируется и показывается.

В программе есть много способов представления данных. Вот так, например, выглядит представление в виде временной шкалы. Вы можете сами убедиться, сколько информации о вас хранит телефон.

Тут есть группировка по видам данных, например, сетевые соединения.

В программу встроены просмотрщики PLIST и SQLite — форматов, в которых iPhone хранит данные. Что особенно интересно — в SQLite файлах можно посмотреть даже удаленные записи (вот он секрет извлечения удаленных сообщений).

На закуску самое интересное: полностью расшифрованный файл паролей, в котором хранятся все пароли «правильно» написанных iOS-приложений.

Правда, и «неправильно» написанные приложения для «Мобильного криминалиста» — тоже не помеха. Очень многие популярные приложения он «знает в лицо» и умеет доставать их данные.

В общем, как видите, безопасность мобильных устройств вещь очень хрупкая и эфемерная. Теперь со спокойной совестью можно переходить и к интервью.

Расскажите, пожалуйста, про историю OxygenSoftware, как появилась идея создания «Мобильного криминалиста»?
Компания Oxygen Software была основана в 2000 году мной и моим другом Олегом Давыдовым. Мы сперва делали множество самых разных программных продуктов, но в результате остановились на направлении управления данными мобильных телефонов с ПК. Наш продукт Oxygen Phone Manager (OPM) до сих пор неплохо продаётся и ценится пользователями, как более удобная и мощная альтернатива Nokia PC Suite. Начиная с 2004 года мы стали получать просьбы сделать read-only версию OPM, первопричины которых я долго не понимал, а потому отказывал. Я рассуждал так: что мешает просто не нажимать кнопку записи и не изменять данные в телефоне? Так продолжалось, пока Британская Metropolitan Police нам не объяснила, что они используют OPM для forensic-целей (до сих пор не знаю, как правильно перевести это слово на русский язык), и что суд от них требует, чтобы в используемом для извлечения данных ПО принципиально не было возможности модификации данных. Тогда мы сделали OPM Forensic Edition и стали его раздавать бесплатно. Всё, что мы просили — это письменную благодарность на фирменном бланке от пользователей. И, кстати, таких благодарностей пришло к нам немало. А потом, в один прекрасный день, я увидел, что наши конкуренты по рынку альтернатив для PC Suite тоже сделали Forensic Edition своего продукта и продают его за $100 (в то время, как полнофункциональная read-write версия стоила $25). Ну мы и заменили ссылку «Download» на «Buy now» за $150 (мы же лучше!). Продажи пошли валом. А полностью сконцентрироваться на forensic-направлении нам помог кризис 2008 года. Продажи end-user утилит рухнули в ноль, и надо было как-то выживать. Тогда мы полностью закрыли направление OPM и выпустили уже не Edition, а полноценную программу, изначально ориентированную на рынок mobile forensics — Oxygen Forensic Suite. C которой до сих пор победно шагаем по миру. На сегодняшний день OFS — наиболее мощный инструмент для извлечения и анализа данных смартфонов среди доступных на рынке решений. Наши конкуренты поддерживают большее число моделей мобильников, но мы не гонимся за количеством — мы берём качеством плюс аналитическими инструментами.

Вопрос, который волнует многих: а насколько законны программы типа «Мобильного криминалиста»? Нужно ли особое разрешение для владения?
А почему OFS может быть незаконным? Ничьих копирайтов мы не нарушаем, наоборот — используем накопленные за более чем 12 лет работы в этой области свои знания в области протоколов взаимодействия между ПК и мобильными телефонами. Незаконным может быть доступ к данным чужого мобильного телефона (с помощью OFS или любой другой программы). А сама наша программа никаких законов не нарушает.

Кому (кроме спецслужб и МВД, разумеется) может быть полезна эта программа?
Всем law enforcement организациям плюс тем компаниям, которые обеспокоены сохранением коммерческой тайны. Частные компании часто используют OFS для контроля общения своих сотрудников, а также для поиска утечек информации, представляющей коммерческую тайну.

В чем преимущества «Мобильного криминалиста» по сравнению с конкурентами?
Если вкратце, то OFS намного лучше в работе со смартфонами и tablet-девайсами: Apple, Android, Blackberry, Symbian, Windows Mobile. Мы достаём и парсим гораздо больше данных, чем конкуренты. Современный смартфон может и вовсе не использоваться для звонков по сотовой сети или отправки SMS-сообщений. Есть масса приложений типа Skype, ICQ, Facebook, Twitter и прочих, которые могут использоваться для передачи информации. И мы находим данные таких программ, включая удалённые, лучше всех. Мы — первые, кто научился доставать абсолютно всю информацию, включая полный дамп физической памяти, из Android-устройств. Причём так, что после рестарта девайса, следов извлечения данных не остаётся. Мы — первые, кто помимо простого извлечения данных начал предоставлять удобные инструменты для их анализа. Ведь представьте себе: ну получили вы дамп с 64-гигового iPhone, ну и что дальше? Да вы погибнете над поиском в нём интересующей вас информации! Мы же в большинстве случаев сводим этот процесс к нескольким кликам мышкой. Помимо этого наши пользователи отмечают у OFS очень удобный и дружественный интерфейс, а также высокую скорость извлечения и обработки данных. Хохма: мы недавно смотрели программу одного из наших конкурентов из Израиля, который позиционирует себя как лидера рынка mobile forensics. Так эта программа на весьма неслабом компьютере грузила и парсила образ 32-гигового iPhone более 8-ми часов — так, что нам даже пришлось оставить процесс на ночь. Утром мы обнаружили, что эта программа помещает все найденные в телефоне картинки как элементы дерева (TreeView — аналогично дереву каталогов в Windows Explorer). Вы себе можете представить дерево c 40 тысячами (именно столько в телефоне было картинок) элементов в одном из узлов? В общем, наша цель — не только извлечь данные, но ещё и распарсить максимум из них, представить всё это в удобном для просмотра и анализа виде, да ещё и чтобы это всё было по возможности быстро.

Отличаются ли разные мобильные платформы в бережности отношения к пользовательским данным? Кто лучше в этом, кто хуже?
Конечно отличаются. Лучше всех пока дела обстоят у Windows Phone 7 и Blackberry. В Blackberry вообще такие богатые настройки security, что при правильном их использовании шансов извлечь что-то из аппарата нет. Хуже всех с приватностью дела у Android и Symbian. Apple где-то посередине: они стараются закрывать всё по максимуму, но благодаря популярности платформы, хакеры находят всё новые дыры, позволяющие обойти систему безопасности.

Как по-вашему, насколько аккуратно Apple подходит к конфиденциальности пользователей?
Apple делает всё возможное. Но тут дело не только в Apple, а ещё и в авторах 3rd party applications. Мы на тренингах показываем — какие данные хранят и, мало того, помещают в iTunes Backup некоторые приложения. Доходит до хранения логинов и паролей в открытом текстовом виде. Очень смешно.

Я опробовал «Мобильный криминалист» на своем собственном бекапе iPhone и был удивлен тем, что были найдены даже удаленные сообщения. Как это удается? (если, конечно, это не какое-то ноу-хау)
Насчёт удалённых данных для iOS никакого know how (за исключением алгоритма их восстановления) нет. iOS, равно как и Android, использует для хранения баз (сообщения, звонки, контакты, заметки, календарь, да и все остальные тоже) движок SQLite, у которого есть одна важная для форензиков особенность: при удалении данные не удаляются физически и немедленно из файла, они перемещаются в так называемые free pages — некий кэш внутри того же самого файла. Хоть у них и удаляется описательная часть (разметка между записями и полями), но мы очень долго оттачивали алгоритм восстановления и, как видите, добились некоторых успехов. К слову, наш SQLite Viewer может показать удалённые данные из любой базы формата SQLite — неважно откуда взятой. И что важно, все профессионально написанные программы под iOS и Android используют именно SQLite для хранения своих данных.

Можно ли как-то защититься от исследования телефона? Есть ли какие-то общие советы?
Полностью себя обезопасить — нет, нельзя. Меня приглашали в Metropolitan Police (самое крупное полицеское управления Великобритании) и демонстрировали устройство наподобие эдакого станка, которое умеет снимать данные напрямую с чипов памяти мобильных устройств, даже частично повреждённых. Так что тут всё зависит от важности данных, которые люди хранят у себя в мобильнике. Кому-то и разбивание/утопление телефона не поможет, а кому-то достаточно будет простого пароля.

Нет ли у вас в планах OS X версии «Мобильного криминалиста»?
Нет, версию для Mac OS мы не планируем. Для тех, кто использует «Мобильный криминалист» вопрос операционной системы роли не играет, поэтому в такой разработке нет целесообразности.

Были ли какие-нибудь курьезные случаи, связанные с «Мобильным криминалистом»?
Наши пользователи об этом предпочитают умалчивать. У нас же главная проблема в том, что каждая новая версия OFS постоянно находит в наших демонстрационных телефонах какие-то новые личные данные, которые нам приходится подчищать, дабы, например, не светить на весь мир свои логин и пароль в «Твиттере» или переписку в Skype (да уж, я замахался замазывать скриншоты для этой статьи — прим. авт.)

Спасибо за интервью!

Подводя итог, хочу еще раз призвать читателей задуматься: какие данные вы доверяете телефону и насколько они ценны. Потому что, если ценность данных превысит стоимость их извлечения, можете считать, что желающий эти данные добыть обязательно найдется.

Новости по теме
Apple случайно намекнула на выход AirPods Pro 3, обновив базу с кодами своих устройств
Как сразу скопировать скриншот на компьютере Mac, не сохраняя его на рабочий стол
Почему с выходом iPadOS 26 нам точно будет нужен 15-дюймовый iPad

Лонгриды для вас

Apple обвели вокруг пальца: хакеры украли геоданные с миллионов iPhone через рекламу в приложениях

Крупнейшая утечка данных затронула миллионы пользователей iPhone. Хакеры получили доступ к геолокации через популярные приложения из App Store. Разбираемся в деталях инцидента и рассказываем, как защитить свои данные.

Читать далее ...
Новости партнеров
Sotheby’s выставляет на продажу крупнейший марсианский метеорит. Оплата принимается в Биткоине
Sotheby’s выставляет на продажу крупнейший марсианский метеорит. Оплата принимается в Биткоине
Наносите духи на шею? Вот как это может навредить здоровью
Наносите духи на шею? Вот как это может навредить здоровью
Три способа сэкономить на связи за границей
Три способа сэкономить на связи за границей