SlideShare a Scribd company logo

Iphone

Download as PPTX, PDF
Vlad Bezmaly
Vlad Bezmaly
1 of 80
Мобильная криминалистика. Анализ резервных копий Apple IPhone и Windows Phone БЕЗМАЛЫЙ В.Ф. MVP CONSUMER SECURITY MICROSOFT SECURITY TRUSTED ADVISOR CYBERCOP@OUTLOOK.COM HTTP://BEZMALY.WORDPRESS.COM
Аудитория  Данный доклад предназначен прежде всего для сотрудников, которые занимаются экспертизой мобильных устройств и расследованием компьютерных инцидентов. 2
Исследование мирового рынка смартфонов (компания Canalys)  В первом квартале 2014 года производители смартфонов отгрузили 279,4 млн устройств, что на 29% больше, чем годом ранее. Смартфоны занимают 65% на всем рынке мобильных телефонов. 3
Исследование мирового рынка смартфонов (компания Canalys)  Около 81% смартфонов, выпущенных в прошлой четверти, базировались на операционной системе Android. Доля iPhone в этой массе трубок составила 16%. Платформа Windows Phone довольствовалась 3-% показателем. 4
Рассматриваемое ПО  Elcomsoft Phone Password Breaker (Компания «Элкомсофт» (ElcomSoft Co. Ltd.) Москва)  «Мобильный криминалист» (ЗАО "Оксиджен Софтвер" , Москва) 5
Методы извлечения информации из смартфонов iOS WP8 BB10 Логический сбор Да(*) Нет Нет Расширенная логика Да Нет Нет Физический доступ Да/Нет (**) Нет Нет Chip-off Нет ? ? Локальный бекап Да Нет Нет Облачный бекап Да Да/Нет (***) Нет iCloud keychain Да N/A N/A Документы в облаке Да Да Нет Location service Да Да Нет 6 (*) Напрмер, локальный бекап (**) Для устройств версии 5+ только при наличии jailbreak (***) Не полный бекап, а только избранные категории
Apple iPhone 7
Методы сбора информации  Логический сбор  "Попросите", чтобы устройство произвело резервное копирование  Устройство должно быть разблокировано (*)  Устройство может произвести зашифрованное резервное копирование  Ограниченное количество информации (но больше чем Вы думаете),  *, Но есть обходное решение ;) 8
Методы сбора информации  Физический доступ При загрузке выполняется не подписанный код или jailbreak Блокировка устройства может быть взломана методом грубой силы Может получить всю информацию от устройства (включая удаленные данные) 9
Методы сбора информации  Усовершенствованный логический сбор  Прямым доступом к некоторым службам, работающим на iPhone  Устройство должно быть unlocked*  Ограниченное количество информации (некоторые как в локальном резервном копировании, но плюс что-то дополнительное)  Резервный пароль не релевантен  Может быть выполнен по Wi-Fi 10
Методы сбора информации  iCloud  Необходимо знать ID Apple и пароль (или аутентификационный маркер)  Может быть выполнен без устройства непосредственно  Почти та же самая информация как в локальном резервном копировании  Может получить документы и данные расположения 11
Понятие о резервной копии 12
Что такое iCloud  12 октября 2011 компания Apple запустила сервис iCloud.  iCloud — облачный сервис от Apple, позволяющий синхронизировать различного рода информацию между устройствами (PC, Mac, iPod Touch, iPhone, iPad). Для его работы требуются iOS 5, Windows Vista SP2/7, OS X 10.7.2. 13
Возможности iCloud  iTunes в облаке. Позволяет автоматически загрузить на любое ваше устройство купленную музыку, приложения или книги.  Фотопоток. Снимать фотографии на iPhone действительно проще, чем постоянно носить с собой фотоаппарат. А поскольку камера позволяет снимать фотографии хорошего качества, то множество людей именно на него и делают фотографии. После того, как сделан снимок, он автоматически загружается в Фотопоток и передается на другие устройства.  Документы в облаке. 14
Возможности iCloud  Резервные копии. Больше не надо каждый раз подключать телефон к iTunes для того, что бы сделать резервную копию и не потерять все данные. Благодаря iCloud резервные копии создаются автоматически при подключении к зарядке и включенном Wi-Fi соединении.  Что входит в резервную копию в iCloud: настройки устройства, расположение иконок на экране, сообщения (iMessage, SMS, MMS), данные приложений, фото и видео, снятые на камеру устройства, рингтоны, купленные музыка, программы, книги и ТВ-передачи. 15
Возможности iCloud  Почта, календари, напоминания, контакты, заметки, закладки. При создании аккаунта в iCloud Вы можете создать почтовый ящик вида name@me.com. В чем его прелесть? В том, что почтовые аккаунты iCloud — единственные, у которых есть моментальные пуш- уведомления о приходе сообщения на сервер. Синхронизация календарей, напоминаний, контактов, заметок и закладок позволит вам держать всю вашу информацию в актуальном виде на любом устройстве.  Найти друзей и Найти iPhone. Сервис «Найти друзей» позволяет видеть местоположение друзей на карте (если они это разрешили) и прокладывать маршрут от вашего местоположения к ним. А «Найти iPhone» — показывает на карте расположение iPhone/iPad/iPod Touch или Mac. При потере устройства его можно удаленно заблокировать или вывести сообщение на экран с просьбой связаться с Вами. 16
В чем преимущество для криминалиста при работе с iCloud?  Работает и когда само устройство недоступно, плюс -- незаметно для пользователя. Но минус -- конечно, надо знать ID и пароль (либо authentication token, сохранённый на компьютере). 17
Создание резервных копий iPhone 18
iTunes  Автоматически, во время синхронизации с iTunes (эта функция отключена, если используется резервное копирование iCloud);  При щелчке правой кнопки мыши (или левой при нажатой клавише Control) на названии устройства iOS в iTunes и выборе пункта Создать резервную копию.  Следует учесть, что формат бекапа одинаков при работе под Мас и Windows 19
Внимание!  В отличие от некоторых других систем (Windows Phone, Android), нельзя выбирать категории данных, подлежащие копированию. Всегда создаётся [почти] полная резервная копия.  «Почти»: В резервные копии не включается содержимое, которое синхронизируется с устройством, такое как фильмы, музыка, подкасты и программы.  Физически, резервная копия – не один файл/архив, а набор файлов, при этом не предоставляется никаких средств для работы с этими данными (кроме восстановления на устройство). 20
Внимание!  "Аппаратный" ключ не меняется на протяжении всей жизни устройства, даже после полного сброса к заводским настройкам и привязки к новому Apple ID и соответственно новому клаудному аккаунту.  Пароль на бэкап -- можно поставить только на локальный (но не облачный). iPhone покидают уже только зашифрованные данные (iCloud их просто "принимает" и пишет на диск). 21
Внимание!  Резервные копии разных типов устройств (iPhone, iPad, iPod Touch) имеют одинаковую структуру, но совместимы между собой лишь частично. Например, при восстановлении из резервной копии iPad на iPhone или iPod Touch (а также наоборот) фотографии не будут перенесены.  Для каждого устройства резервная копия может быть создана только одна (если только вы вручную не перенесёте текущую копию из папки, используемой по умолчанию, в какое-то другое место – перед тем как создавать новую). 22
Рекомендации для использования iTunes  Вы часто используете ПК, на котором установлен iTunes.  У вас отсутствует учетная запись iCloud или вы не хотите использовать резервное копирование в облако.  Вы хотите дополнить резервное копирование iCloud. 23
Рекомендации для использования iTunes  Вы хотите быть уверены, что ваши данные не станут доступны кому-либо ещё (разумеется, если обеспечить ограничение физического доступа к компьютеру).  Ваше устройство работает под управлением iOS 4 или ниже (при этом копирование в облако в принципе недоступно).  Общий объём данных на ваших устройствах не позволяет хранить копии в облаке. 24
iCloud  Подключено к Интернету через Wi-Fi;  Подключено к источнику питания;  Находится в режиме блокировки экрана 25 • Бесплатно предоставляется лишь 5 гигабайт для хранения данных (хотя за дополнительную плату можно расширить до 55 гигабайт); • Хранится три [последних] резервных копии для каждого из устройств, привязанного к учётной записи Apple.
iCloud оптимально если  Вы предпочитаете, чтобы резервные копии создавались автоматически, без вашего участия (в то время когда ваш смартфон подключен к Wi-Fi и источнику питания).  Вы хотите иметь возможность восстановить данные в любом месте где есть Wi-Fi 26
iCloud оптимально если У вас нет своего компьютера либо вы крайне редко к нему подключаетесь. Вы хотите на всякий случай иметь дополнительное решение (кроме iTunes). Вас не сильно беспокоит конфиденциальность ваших данных 27
iTunes и/или iCloud?  Для копирования в iCloud не нужно подключать iPhone к компьютеру, всё делается автоматом (обычно, когда приходя домой, ставите iPhone на зарядку). И фактически ежедневно.  А в iTunes желательно делать локальное резервное копирование, ну, например, раз в месяц.  Не забывайте про объём данных, подлежащих копированию. Бесплатно даётся 5 гигабайт, максимальный доступный размер хранилища – 55 гигабайт. 28
Keychain: «ключи от квартиры, где деньги лежат»?  Связка ключей iCloud (англ: Keychain) — функция (другими словами — технология), с помощью которой, в одном месте в iOS, в защищённом виде, сохраняются личные данные пользователя (логины и пароли).  Эта функция хранит ваши имена и пароли на устройствах с iOS, защищает их надёжным 256-битным шифрованием AES и поддерживает их актуальность на каждом устройстве. Когда вам понадобится ввести их, «Связка ключей iCloud» сделает это.  Основное назначение функции состоит в том, чтобы автоматически вводить пароли за пользователя. 29
Keychain: «ключи от квартиры, где деньги лежат»? Различные сертификаты Токены (например, для Twitter, Facebook etc) Пароли, сохранённые в браузере 30
Keychain: «ключи от квартиры, где деньги лежат»?  пароли ко всем почтовым аккаунтам, настроенным на устройстве  пароли ко всем Wi-Fi сетям, к которым устройство подключалось хоть раз  пароли/сертификаты/ток ены, сохраняемые различными приложениями 31
Что наиболее интересного находится в keychain  Часто там лежит пароль к Apple ID  Никакие данные оттуда стереть нельзя (например, о старых Wi-Fi сетях к которым подключался)  В случае если на устройстве включен iCloud keychain, то он кэшируется в устройстве. Это значит, например, что туда попадут и номера кредитных карт (которые человек вводил на компьютере)  расшифровать кейчейн из облачного бэкапа теоретически можно -- если устройство один раз попадёт к вам в руки. "Аппаратный" ключ не меняется на протяжении всей жизни устройства, даже после полного сброса к заводским настройкам и привязки к новому Apple ID и соответственно новому клаудному аккаунту. 32
Шифрование keychain  Если вы делаете резервную копию без пароля, то keychain шифруется как бы "аппаратным" ключом (точнее, ключом, специфичным для данного устройства).  Этот ключ «намертво» привязан к устройству и не меняется в течение его жизни – даже после полного сброса.  С его помощью можно будет расшифровывать keychain и для всех будущих резервных копий, даже после полного сброса.  Если же вы делаете резервную копию с паролем, то keychain шифруется ключом, получаемым из пароля на резервную копию. 33
Формат хранения резервной копии в iCloud  все файлы разбиты на фрагменты (chunks)  chunks зашифрованы, но ключи шифрования лежат "рядом" с файлами  в качестве хранилища используются серверы Microsoft и Amazon, причём до конца, увы, неясно, или каждая резервная копия хранится в двух экземплярах (и тут и там), или часть на серверах Microsoft, часть на Amazon  резервные копии инкрементальные, то есть при каждом последующем соединении на сервер отправляются только изменения 34
Формат хранения резервной копии в iCloud  хранится три последних резервных копии  Двухэтапная аутентификация на резервные копии не распространяется  шифрование не завязано на Apple ID и пароль (по ним делается только аутентификация)  резервное копирование всегда проводится для всего устройства, то есть нельзя резервное копирование проводить только для определённых категорий, как в Windows Phone 35
Elcomsoft Phone Password Breaker  Elcomsoft Phone Password Breaker позволяет экспертам правохранительных органов получить доступ к защищенным паролем резервным копиям для смартфонов и портативных устройств, основанных на платформе RIM BlackBerry, Apple iOS, Windows Phone 8.  Утилита поддерживает все смартфоны Blackberry и все портативные устройства на платформе Apple iOS, включая iPhone, iPad и iPod Touch всех поколений и версий, включая iPhone 5-7. 36
Elcomsoft Phone Password Breaker  Предназначено для получения доступа к защищенным паролем резервным копиям: iPhone (до модели 5s включительно) iPad (включая Mini и Air) iPod Touch BlackBerry, но это уже выходит за рамки данного материала. 37
Внимание!  Если вы запускаете EPPB на компьютере, на котором установлено iTunes, то EPPB покажет список резервных копий всех iOS-устройств, доступных на этом компьютере – с названиями, версиями и даже номерами телефонов.  Если iTunes не установлен, то нужно вручную выбрать пусть к файлу manifest.plist из нужной резервной копии.  Для ускорения восстановления пароля могут использоваться графические карты AMD и NVIDIA. 38
Скорость перебора паролей 39
Извлечение резервных копий из «облака» (iCloud)  iCloud может быть использован для синхронизации электронной почты, контактов, событий, закладок, фотографий и другой информации.  Резервные копии в iCloud являются инкрементальными. Если устройство настроено для использования сервиса iCloud, аппарат автоматически создаёт резервную копию всякий раз, когда подключается к беспроводной сети и источнику питания. Всё, что нужно для доступа к онлайн-архивам, хранящимся в iCloud - это Apple ID и пароль пользователя.  Данные могут быть доступны без согласия пользователя, что делает Elcomsoft Phone Password Breaker идеальным решением для правоохранительных и разведывательных организаций.  Данная функция работает даже при активированной включенной двухфакторной аутентификации пользователя. 40
Выборочный доступ  Загрузка большого бэкапа, которая совершается в первый раз, потенциально может занять несколько часов. Если скорость скачивания имеет критическое значение, программа Elcomsoft Phone Password Breaker помогает быстро получить необходимую информацию и пропустить менее значимые данные, которые требуют наибольшего времени для загрузки (например, музыка или видео).  Сообщения, вложения, настройки телефона, журналы вызовов, адресные книги, заметки, календарь, настройки почтового аккаунта, фотографии, видео и другие данные могут быть заранее выбраны и скачены в считанные минуты, что обеспечивает криминалистических экспертов необходимой информацией практически в режиме реального времени. 41
Ускорение при помощи видеокарт  Чтобы многократно увеличить скорость перебора паролей для резервных копий, хранящихся на устройствах Apple, утилита использует разработанную компанией технологию ускорения при помощи графических карт.  Elcomsoft Phone Password Breaker является первой на рынке программой такого рода для доступа к защищенным резервным копиям iPhone/iPod/iPad и BlackBerry и единственной утилитой, способной считывать и расшифровывать содержимое системного хранилища (keychain), содержащее ключи шифрования, пароли для учетных записей электронной почты, веб сайтов и сторонних приложений. Эти операции возможны в случае, если пароль известен или восстановлен. 42
Возможности программы  Доступ к информации, хранимой в защищенных паролем резервных копиях iPhone, iPad и iPod Touch и BlackBerry  Расшифровка резенрвных копий к iPhone и BlackBerry с помощью известного пароля  Восстановление паролей к BlackBerry Password Keeper и Wallet приложениям  Восстановление пароля на устройство BlackBerry***  Чтение и расшифровка данных в системном хранилище (keychain) (пароли к учетным записям электронной почты, пароли для доступа к сетям Wi-Fi и пароли для доступа к веб сайтам и сторонним приложениям) 43
Возможности программы  Ускорение при помощи нескольких установленных в системе бюджетных графических адаптеров AMD или NVIDIA*  Атаки по словарю с использованием различных словарных мутаций и комбинаций  Работа программы ведется полностью в режиме offline и не требует установки Apple iTunes или BlackBerry Desktop Software  Восстановление паролей к резервным копиям для оригинальных и ‘модифицированных’ iPhone (все модели включая iPhone 5S), iPad (все поколения включая iPad Mini) и iPod Touch(все поколения)  Совместимость со всеми вресиями iTunes (включая 11.1), операционной системы iOS (включая 7.0.2) и BlackBerry Desktop Software  Поддержка AMD Radeon HD 7000 серии и NVIDIA GTX 600 44
Извлечение и расшифровка хранимых паролей  В устройствах Apple iPhone пароли к учетным записям электронной почты, веб сайтам и различным приложениям хранятся в системном хранилище (keychain) в зашифрованном виде, причем аппаратные ключи шифрования уникальны для каждого конкретного устройства.  До выхода операционной системы iOS 4 данные в хранилище всегда шифровались только уникальных ключах устройства, но с выходом Apple iOS 4 появилась возможность создавать резервные копии, в которых содержимое хранилища будет зашифровано мастер-ключом, зависящем от пароля пользователя.  Elcomsoft Phone Password Breaker позволяет мгновенно считывать (и расшифровавать) все данные из такого хранилища, включая пароли, если мастер-пароль известен или восстановлен. 45
Мобильный Криминалист  Программное обеспечение для проведения судебно-технической экспертизы. Решение извлекает максимальное количество информации из мобильных устройств.  Специализация на смартфонах. Благодаря инновационным технологиям, программа Мобильный Криминалист получает максимум информации из мобильных устройств наиболее распространенных платформ: Android, Apple iOS, Blackberry, Symbian, Windows Phone, Windows Mobile 5/6 и т.д.  Поддержка 300+ приложений. Мобильный Криминалист извлекает пользовательские данные и пароли из более 300 популярных приложений и показывает готовые для анализа данные в удобном интерфейсе. 46
Восстановление данных из резервной копии iCloud ВИДЕО 47
Внимание!  Если в дальнейшем вы собираетесь анализировать загруженные данные с помощью ПО, которое умеет анализировать iTunes резервные копии, то снимите галочку с «Restore original file names» 48
49
Мобильный Криминалист  Восстановление удаленной информации. Мобильный Криминалист восстанавливает удаленную информацию из устройств с наиболее популярными ОС: Android, Apple iOS, Symbian и т.д. Возможно или автоматическое восстановление, или анализ баз данных вручную с помощью мощного инструмента – Просмотрщика баз данных SQLite.  Лидер в извлечении гео информации. Программа извлекает координаты из приложений, истории WiFi соединений и фотографий и показывает местоположения на карте как при активном Интернет соединении, так и оффлайн. Это позволяет отследить перемещение владельца устройства во времени. 50
Мобильный Криминалист  Просматривайте всю активность владельца устройства в одном списке, анализируйте контакты из разных источников, изучайте взаимосвязи между несколькими пользователями на диаграмме или графе. Нет необходимости переключаться из раздела в раздел, чтобы собрать нужную для анализа информацию.  Первый инструмент для разбора бекапов Blackberry 10. Мобильный Криминалист – первая программа, которая извлекает данные из бекапов Blackberry 10: контакты, сообщения, календарные события, заметки, задачи, приложения Facebook, WhatsApp, Viber, данные предустановленного веб браузера и т.д. 51
Мобильный Криминалист  Извлечение данных из облака My Windows Phone. Мобильный Криминалист – первая программа, которая извлекает данные из облака My Windows Phone: контакты и сообщения.  Безопасное получение рут-доступа к устройствам на ОС Android. Мобильный Криминалист предоставляет временные рут-права для доступа ко всей файловой системе устройств на ОС Android и их удаленным данным. Благодаря рут-доступу, возможно создание полного физического дампа всей памяти устройства. 52
Мобильный Криминалист  Поддержка более 8000 устройств. Помимо специализации на смартфонах, Мобильный Криминалист извлекает данные из китайских телефонов на чипсете MTK и дешевых телефонов без операционной системы внутри.  Импорт основных образов и бекапов устройств. Мобильный Криминалист импортирует и разбирает различные образы устройств на ОС Android и Apple iOS, созданные в других программах судебно- технической экспертизы, а также Android, iTunes и Blackberry бекапы, в том числе и защищенные паролем.  Создание отчетов и печать данных. Мобильный Криминалист позволяет создавать отчеты в различных форматах ( PDF, RTF, XLS, XML и так далее), а также сразу выводить данные на печать. 53
54
Физический доступе к устройству При физическом доступе к устройству для получения данных используется программное приложение Elcomsoft iOS Forensic Toolkit, рассмотрение которого не входит в наш сегодняшний семинар, так как ему я надеюсь посвятить отдельный вебинар. Использование ПО «Мобильный криминалист» 55
Получение данных с помощью ПО «Мобильный криминалист» (iPhone включен в USB-порт) ВИДЕО 56
57
Windows Phone 8 58
Анализ информации при подключении устройства к порту USB ВИДЕО 59
Восстановление информации с Windows Phone  Если исследуемы смартфон подключен кабелем к USB- порту вашего ПК, то для чтения доступен только протокол MTP (media transfer protocol). При использовании данного протокола досупны только минимальная общая информация и медиа-файлы (фотографии, видео, музыкальные файлы).  При подключении по Bluetooth есть возможность прочитать список контактов и лог звонков.  Если же удается получить доступ к резервной копии, то исследователю доступны СМС, контакты, заметки. 60
61
Резервное копирование Windows Phone 8 62
Резервное копирование в Windows Phone 8.0 Избранное Internet Explorer Список установленных приложений Настройки темы 63
Резервное копирование в Windows Phone 8.0 Настройки приложений (например, настройки электронной почты и экрана блокировки) Сообщения (SMS переписка) Фотографии 64
Настройка резервного копирования Управление резервным копированием приложений, SMS и медиа-файлов осуществляется в меню Настройки – Система- Резервное копирование 65
Приложения + настройки  Несмотря на то что список приложений сохраняется, сами приложения не сохраняются.  Вместе с тем каждое приложение можно восстановить, нажав на название в списке приложений.  Внимание! Вы можете удалить резервную копию, нажав Дополнительно – Удалить. 66
Текстовые сообщения  В Windows Phone 8 резервные копии СМС- сообщений создаются автоматически.  В то же время здесь существенно больше возможностей для управления резервным копированием.  Настройками можно управлять нажав пункт меню SMS. Появятся опции, которые можно включить либо выключить. 67
Фото + Видео  1. В списке приложений коснитесь пункта Настройки > Резервное копирование.  2. Коснитесь пункта Фотографии и выполните одно из следующих действий.  Коснитесь команды Не отправлять, чтобы отменить сохранение фото и видео в облаке.  Коснитесь пункта Высокое качество, чтобы сохранять фото и видео в экономичном по объему хранения в SkyDrive разрешении.  Коснитесь пункта Высшее качество, чтобы сохранять фото и видео в самом высоком разрешении. 68
Внимание!  Чтобы автоматически загружать видео и фотографии высокого качества, вам потребуется подключение к Wi-Fi.  Если выбрать параметр Максимальное качество, будут загружаться только фотографии с разрешением 10 мегапикселей или меньше.  Чтобы загружать с телефона более крупные фотографии, необходимо использовать проводник (если у вас ПК) или приложение Windows Phone для Mac (если у вас Mac). 69
Получение информации из резервной копии Windows Phone 8 с помощью EPPB ВИДЕО 70
71
Получение и анализ резервной копии Windows Phone 8 с помощью ПО «Мобильный криминалист» 72
Восстановление информации из резервной копии Windows Phone 8 73
74
Сравнение устройств Свойство Устройство Apple iOS Blackberry Windows Phone 8 Подключение по кабелю Да Да Да Подключение по Bluetooth Нет Нет Нет Общая информация телефона Да Да Да Телефонная книга Да Да Да Календарь Да Да Нет Задачи Нет Да Нет Заметки Да Да Нет Журнал звонков Да Да Нет Автоматическое восстановление удаленных звонков Да Нет Нет 75
Сравнение устройств Свойство Устройство Apple iOS Blackberry Windows Phone 8 Сообщения Да Да Да Автоматическое восстановление удаленных сообщений Да Нет Нет Файлы устройства Да Да Да Пароли Да Нет Нет Точки WiFi и БС Да Нет Нет Гео-данные (в приложениях и фотографиях) Да Да Да Словари Да Да Нет Обнаружение Spyware Да Нет Нет Приложения Да Да Нет 76
Сравнение устройств Свойство Устройство Apple iOS Blackberry Windows Phone 8 Социальные сети Facebook, Instagram, LinkedIn, Twitter, и т.д. Да Да Нет Мгновенные сообщения Facebook, Skype, WhatsApp, Viber,etc. Да Да Нет Приложения для работы Dropbox, Evernote, Gmail, Yahoo Mail, и т.д. Да Да Нет Веб-браузеры Chrome, Default browser, Firefox, и т.д. Да Да Нет Навигация Apple Maps, Google Maps, Yandex Maps, и т.д. Да Нет Нет Путешествия Booking.com, SkyScanner, TripIt, и тд. Да Нет Нет Фитнес Endomondo, RunKeeper, Runtastic, итд. Да Нет Нет Мультимедиа Hide It Pro, Youtube, итд. Да Нет Нет Журнал устройства Нет Да Нет 77
Сравнение устройств Свойство Устройство Apple iOS Blackberry Windows Phone 8 Географическое положение событий (Хронология событий) Нет Нет Нет Объединенные контакты Да Да Да Статистика и связи Да Да Да Граф связей Да Да Да Лента событий Да Дв Да Важные улики Да Да Да Загрузка файлов резервных копий устройств Да Да Нет Инструмент анализа баз данных SQLite Да Да Нет Восстановление удаленных данных в просмотрщике баз SQLite Да Да Нет 78
Сравнение устройств Свойство Устройство Apple iOS Blackberry Windows Phone 8 Инструмент анализа файлов Plist Да Да Нет Инструмент анализа файлов Blackberry IPD Нет Да Нет Отчеты по данным устройств Да Да Да Расширенный поиск в базе данных телефона Да Да Да Поддержка Unicode Да Да Да 79
Спасибо за внимание! Вопросы? БЕЗМАЛЫЙ В.Ф. MVP CONSUMER SECURITY MICROSOFT SECURITY TRUSTED ADVISOR CYBERCOP@OUTLOOK.COM HTTP://BEZMALY.WORDPRESS.COM

Recommended

IOS
IOSIOS
IOS
alkar-web
 
WebOS - iCloud
WebOS - iCloud WebOS - iCloud
WebOS - iCloud PutinTheJew
 
Hiragana vietnamese
Hiragana vietnameseHiragana vietnamese
Hiragana vietnamese
Thiên Lý Độc Hành
 
Thalassaemia
ThalassaemiaThalassaemia
Thalassaemia
Syed Nayyer Alvi
 
Hiragana vietnamese
Hiragana vietnameseHiragana vietnamese
Hiragana vietnameseThiên Lý Độc Hành
 
Chishinau
ChishinauChishinau
Chishinau
Vlad Bezmaly
 
Katakana vietnamese
Katakana vietnameseKatakana vietnamese
Katakana vietnameseThiên Lý Độc Hành
 
Semiotika yohan
Semiotika yohanSemiotika yohan
Semiotika yohanYohan Mahrum
 

Recommended

IOS
IOSIOS
IOS
alkar-web
 
WebOS - iCloud
WebOS - iCloud WebOS - iCloud
WebOS - iCloud PutinTheJew
 
Hiragana vietnamese
Hiragana vietnameseHiragana vietnamese
Hiragana vietnamese
Thiên Lý Độc Hành
 
Thalassaemia
ThalassaemiaThalassaemia
Thalassaemia
Syed Nayyer Alvi
 
Hiragana vietnamese
Hiragana vietnameseHiragana vietnamese
Hiragana vietnameseThiên Lý Độc Hành
 
Chishinau
ChishinauChishinau
Chishinau
Vlad Bezmaly
 
Katakana vietnamese
Katakana vietnameseKatakana vietnamese
Katakana vietnameseThiên Lý Độc Hành
 
Semiotika yohan
Semiotika yohanSemiotika yohan
Semiotika yohanYohan Mahrum
 
Acute dermal toxicity
Acute dermal toxicityAcute dermal toxicity
Acute dermal toxicity
Syed Nayyer Alvi
 
K+ channel modulators
K+ channel modulatorsK+ channel modulators
K+ channel modulators
Syed Nayyer Alvi
 
расследов..V 2
расследов..V 2расследов..V 2
расследов..V 2
Vlad Bezmaly
 
Diuretics
DiureticsDiuretics
DiureticsSyed Nayyer Alvi
 
Chronopharmacokinetics..
Chronopharmacokinetics..Chronopharmacokinetics..
Chronopharmacokinetics..
Syed Nayyer Alvi
 
transport sistem
transport sistemtransport sistem
transport sistemctfobak
 
Immunotoxicity
ImmunotoxicityImmunotoxicity
Immunotoxicity
Syed Nayyer Alvi
 
Aborti dhe llojet e tij
Aborti dhe llojet e tijAborti dhe llojet e tij
Aborti dhe llojet e tijLeonora Salihu
 
Vascular Biofabrication using 3D Bioprinting
Vascular Biofabrication using 3D BioprintingVascular Biofabrication using 3D Bioprinting
Vascular Biofabrication using 3D Bioprinting
Syed Nayyer Alvi
 
Christmas lesson
Christmas lessonChristmas lesson
Christmas lesson
laceeruss
 
3D Internet
3D Internet3D Internet
3D Internet
Prasad Patil
 
Understanding the Parkinson's disease
Understanding the Parkinson's diseaseUnderstanding the Parkinson's disease
Understanding the Parkinson's disease
Syed Nayyer Alvi
 
безопасность и защита на Iphone
безопасность и защита на Iphoneбезопасность и защита на Iphone
безопасность и защита на Iphonearina1000
 
безопасность и защита на Iphone
безопасность и защита на Iphoneбезопасность и защита на Iphone
безопасность и защита на Iphonearina1000
 
I Phone User Guide
I Phone User GuideI Phone User Guide
I Phone User Guidezzloy
 
Google I/O 2016
Google I/O 2016Google I/O 2016
Google I/O 2016
WOX APP
 
Самочувствие malware на iOS устройствах / Дмитрий Евдокимов (Didital Security)
Самочувствие malware на iOS устройствах / Дмитрий Евдокимов (Didital Security)Самочувствие malware на iOS устройствах / Дмитрий Евдокимов (Didital Security)
Самочувствие malware на iOS устройствах / Дмитрий Евдокимов (Didital Security)
Ontico
 
07.12 me you alla
07.12 me you alla07.12 me you alla
07.12 me you allaStepan Danilov
 
Mobile&Privacy
Mobile&PrivacyMobile&Privacy
Mobile&Privacy
Stfalcon Meetups
 
iPhone
iPhoneiPhone
iPhone
KING-2015
 
iOs Architecture
iOs ArchitectureiOs Architecture
iOs Architecture
Sergij Sobol
 
Как развивать направление интернет-вещей, гаджетов и чем может помочь Intel?
Как развивать направление интернет-вещей, гаджетов и чем может помочь Intel? Как развивать направление интернет-вещей, гаджетов и чем может помочь Intel?
Как развивать направление интернет-вещей, гаджетов и чем может помочь Intel?
Business incubator HSE
 

More Related Content

Viewers also liked

Acute dermal toxicity
Acute dermal toxicityAcute dermal toxicity
Acute dermal toxicity
Syed Nayyer Alvi
 
K+ channel modulators
K+ channel modulatorsK+ channel modulators
K+ channel modulators
Syed Nayyer Alvi
 
расследов..V 2
расследов..V 2расследов..V 2
расследов..V 2
Vlad Bezmaly
 
Chronopharmacokinetics..
Chronopharmacokinetics..Chronopharmacokinetics..
Chronopharmacokinetics..
Syed Nayyer Alvi
 
transport sistem
transport sistemtransport sistem
transport sistemctfobak
 
Immunotoxicity
ImmunotoxicityImmunotoxicity
Immunotoxicity
Syed Nayyer Alvi
 
Aborti dhe llojet e tij
Aborti dhe llojet e tijAborti dhe llojet e tij
Aborti dhe llojet e tijLeonora Salihu
 
Vascular Biofabrication using 3D Bioprinting
Vascular Biofabrication using 3D BioprintingVascular Biofabrication using 3D Bioprinting
Vascular Biofabrication using 3D Bioprinting
Syed Nayyer Alvi
 
Christmas lesson
Christmas lessonChristmas lesson
Christmas lesson
laceeruss
 
3D Internet
3D Internet3D Internet
3D Internet
Prasad Patil
 
Understanding the Parkinson's disease
Understanding the Parkinson's diseaseUnderstanding the Parkinson's disease
Understanding the Parkinson's disease
Syed Nayyer Alvi
 

Viewers also liked (12)

Acute dermal toxicity
Acute dermal toxicityAcute dermal toxicity
Acute dermal toxicity
 
K+ channel modulators
K+ channel modulatorsK+ channel modulators
K+ channel modulators
 
расследов..V 2
расследов..V 2расследов..V 2
расследов..V 2
 
Diuretics
DiureticsDiuretics
Diuretics
 
Chronopharmacokinetics..
Chronopharmacokinetics..Chronopharmacokinetics..
Chronopharmacokinetics..
 
transport sistem
transport sistemtransport sistem
transport sistem
 
Immunotoxicity
ImmunotoxicityImmunotoxicity
Immunotoxicity
 
Aborti dhe llojet e tij
Aborti dhe llojet e tijAborti dhe llojet e tij
Aborti dhe llojet e tij
 
Vascular Biofabrication using 3D Bioprinting
Vascular Biofabrication using 3D BioprintingVascular Biofabrication using 3D Bioprinting
Vascular Biofabrication using 3D Bioprinting
 
Christmas lesson
Christmas lessonChristmas lesson
Christmas lesson
 
3D Internet
3D Internet3D Internet
3D Internet
 
Understanding the Parkinson's disease
Understanding the Parkinson's diseaseUnderstanding the Parkinson's disease
Understanding the Parkinson's disease
 

Similar to Iphone

безопасность и защита на Iphone
безопасность и защита на Iphoneбезопасность и защита на Iphone
безопасность и защита на Iphonearina1000
 
безопасность и защита на Iphone
безопасность и защита на Iphoneбезопасность и защита на Iphone
безопасность и защита на Iphonearina1000
 
I Phone User Guide
I Phone User GuideI Phone User Guide
I Phone User Guidezzloy
 
Google I/O 2016
Google I/O 2016Google I/O 2016
Google I/O 2016
WOX APP
 
Самочувствие malware на iOS устройствах / Дмитрий Евдокимов (Didital Security)
Самочувствие malware на iOS устройствах / Дмитрий Евдокимов (Didital Security)Самочувствие malware на iOS устройствах / Дмитрий Евдокимов (Didital Security)
Самочувствие malware на iOS устройствах / Дмитрий Евдокимов (Didital Security)
Ontico
 
Mobile&Privacy
Mobile&PrivacyMobile&Privacy
Mobile&Privacy
Stfalcon Meetups
 
iPhone
iPhoneiPhone
iPhone
KING-2015
 
iOs Architecture
iOs ArchitectureiOs Architecture
iOs Architecture
Sergij Sobol
 
Как развивать направление интернет-вещей, гаджетов и чем может помочь Intel?
Как развивать направление интернет-вещей, гаджетов и чем может помочь Intel? Как развивать направление интернет-вещей, гаджетов и чем может помочь Intel?
Как развивать направление интернет-вещей, гаджетов и чем может помочь Intel?
Business incubator HSE
 
Можно ли было предсказать iPad!!??
Можно ли было предсказать iPad!!??Можно ли было предсказать iPad!!??
Можно ли было предсказать iPad!!??Dmitry Tseitlin
 
Bitdefender io t_pta_2017
Bitdefender io t_pta_2017Bitdefender io t_pta_2017
Bitdefender io t_pta_2017
Пиняев Андрей
 
IOS security and hacking
IOS security and hackingIOS security and hacking
IOS security and hackingJulia Lyakhova
 
Лекция "Безопасность мобильных устройств" для сотрудников
Лекция "Безопасность мобильных устройств" для сотрудниковЛекция "Безопасность мобильных устройств" для сотрудников
Лекция "Безопасность мобильных устройств" для сотрудников
Denis Gorchakov
 
Обзор трендов на краудплатформах.
Обзор трендов на краудплатформах.Обзор трендов на краудплатформах.
Обзор трендов на краудплатформах.
rusbase.vc
 
Xkr072015-myjurnal.ru
Xkr072015-myjurnal.ruXkr072015-myjurnal.ru
Xkr072015-myjurnal.ru
Vasya Pupkin
 
2014.12.06 06 Алёна Паньшина — Простой обмен данными с пользователями на прим...
2014.12.06 06 Алёна Паньшина — Простой обмен данными с пользователями на прим...2014.12.06 06 Алёна Паньшина — Простой обмен данными с пользователями на прим...
2014.12.06 06 Алёна Паньшина — Простой обмен данными с пользователями на прим...
HappyDev
 
Bitdefender интернет вещей_2017
Bitdefender интернет вещей_2017Bitdefender интернет вещей_2017
Bitdefender интернет вещей_2017
Denis Eliseev
 
бешков андрей. сравнение безопасности мобильных платформ
бешков андрей. сравнение безопасности мобильных платформбешков андрей. сравнение безопасности мобильных платформ
бешков андрей. сравнение безопасности мобильных платформ
elenae00
 

Similar to Iphone (20)

безопасность и защита на Iphone
безопасность и защита на Iphoneбезопасность и защита на Iphone
безопасность и защита на Iphone
 
безопасность и защита на Iphone
безопасность и защита на Iphoneбезопасность и защита на Iphone
безопасность и защита на Iphone
 
I Phone User Guide
I Phone User GuideI Phone User Guide
I Phone User Guide
 
Google I/O 2016
Google I/O 2016Google I/O 2016
Google I/O 2016
 
Самочувствие malware на iOS устройствах / Дмитрий Евдокимов (Didital Security)
Самочувствие malware на iOS устройствах / Дмитрий Евдокимов (Didital Security)Самочувствие malware на iOS устройствах / Дмитрий Евдокимов (Didital Security)
Самочувствие malware на iOS устройствах / Дмитрий Евдокимов (Didital Security)
 
07.12 me you alla
07.12 me you alla07.12 me you alla
07.12 me you alla
 
Mobile&Privacy
Mobile&PrivacyMobile&Privacy
Mobile&Privacy
 
iPhone
iPhoneiPhone
iPhone
 
iOs Architecture
iOs ArchitectureiOs Architecture
iOs Architecture
 
Как развивать направление интернет-вещей, гаджетов и чем может помочь Intel?
Как развивать направление интернет-вещей, гаджетов и чем может помочь Intel? Как развивать направление интернет-вещей, гаджетов и чем может помочь Intel?
Как развивать направление интернет-вещей, гаджетов и чем может помочь Intel?
 
Bezopasnost
BezopasnostBezopasnost
Bezopasnost
 
Можно ли было предсказать iPad!!??
Можно ли было предсказать iPad!!??Можно ли было предсказать iPad!!??
Можно ли было предсказать iPad!!??
 
Bitdefender io t_pta_2017
Bitdefender io t_pta_2017Bitdefender io t_pta_2017
Bitdefender io t_pta_2017
 
IOS security and hacking
IOS security and hackingIOS security and hacking
IOS security and hacking
 
Лекция "Безопасность мобильных устройств" для сотрудников
Лекция "Безопасность мобильных устройств" для сотрудниковЛекция "Безопасность мобильных устройств" для сотрудников
Лекция "Безопасность мобильных устройств" для сотрудников
 
Обзор трендов на краудплатформах.
Обзор трендов на краудплатформах.Обзор трендов на краудплатформах.
Обзор трендов на краудплатформах.
 
Xkr072015-myjurnal.ru
Xkr072015-myjurnal.ruXkr072015-myjurnal.ru
Xkr072015-myjurnal.ru
 
2014.12.06 06 Алёна Паньшина — Простой обмен данными с пользователями на прим...
2014.12.06 06 Алёна Паньшина — Простой обмен данными с пользователями на прим...2014.12.06 06 Алёна Паньшина — Простой обмен данными с пользователями на прим...
2014.12.06 06 Алёна Паньшина — Простой обмен данными с пользователями на прим...
 
Bitdefender интернет вещей_2017
Bitdefender интернет вещей_2017Bitdefender интернет вещей_2017
Bitdefender интернет вещей_2017
 
бешков андрей. сравнение безопасности мобильных платформ
бешков андрей. сравнение безопасности мобильных платформбешков андрей. сравнение безопасности мобильных платформ
бешков андрей. сравнение безопасности мобильных платформ
 

Iphone

  • 1. Мобильная криминалистика. Анализ резервных копий Apple IPhone и Windows Phone БЕЗМАЛЫЙ В.Ф. MVP CONSUMER SECURITY MICROSOFT SECURITY TRUSTED ADVISOR CYBERCOP@OUTLOOK.COM HTTP://BEZMALY.WORDPRESS.COM
  • 2. Аудитория  Данный доклад предназначен прежде всего для сотрудников, которые занимаются экспертизой мобильных устройств и расследованием компьютерных инцидентов. 2
  • 3. Исследование мирового рынка смартфонов (компания Canalys)  В первом квартале 2014 года производители смартфонов отгрузили 279,4 млн устройств, что на 29% больше, чем годом ранее. Смартфоны занимают 65% на всем рынке мобильных телефонов. 3
  • 4. Исследование мирового рынка смартфонов (компания Canalys)  Около 81% смартфонов, выпущенных в прошлой четверти, базировались на операционной системе Android. Доля iPhone в этой массе трубок составила 16%. Платформа Windows Phone довольствовалась 3-% показателем. 4
  • 5. Рассматриваемое ПО  Elcomsoft Phone Password Breaker (Компания «Элкомсофт» (ElcomSoft Co. Ltd.) Москва)  «Мобильный криминалист» (ЗАО "Оксиджен Софтвер" , Москва) 5
  • 6. Методы извлечения информации из смартфонов iOS WP8 BB10 Логический сбор Да(*) Нет Нет Расширенная логика Да Нет Нет Физический доступ Да/Нет (**) Нет Нет Chip-off Нет ? ? Локальный бекап Да Нет Нет Облачный бекап Да Да/Нет (***) Нет iCloud keychain Да N/A N/A Документы в облаке Да Да Нет Location service Да Да Нет 6 (*) Напрмер, локальный бекап (**) Для устройств версии 5+ только при наличии jailbreak (***) Не полный бекап, а только избранные категории
  • 8. Методы сбора информации  Логический сбор  "Попросите", чтобы устройство произвело резервное копирование  Устройство должно быть разблокировано (*)  Устройство может произвести зашифрованное резервное копирование  Ограниченное количество информации (но больше чем Вы думаете),  *, Но есть обходное решение ;) 8
  • 9. Методы сбора информации  Физический доступ При загрузке выполняется не подписанный код или jailbreak Блокировка устройства может быть взломана методом грубой силы Может получить всю информацию от устройства (включая удаленные данные) 9
  • 10. Методы сбора информации  Усовершенствованный логический сбор  Прямым доступом к некоторым службам, работающим на iPhone  Устройство должно быть unlocked*  Ограниченное количество информации (некоторые как в локальном резервном копировании, но плюс что-то дополнительное)  Резервный пароль не релевантен  Может быть выполнен по Wi-Fi 10
  • 11. Методы сбора информации  iCloud  Необходимо знать ID Apple и пароль (или аутентификационный маркер)  Может быть выполнен без устройства непосредственно  Почти та же самая информация как в локальном резервном копировании  Может получить документы и данные расположения 11
  • 13. Что такое iCloud  12 октября 2011 компания Apple запустила сервис iCloud.  iCloud — облачный сервис от Apple, позволяющий синхронизировать различного рода информацию между устройствами (PC, Mac, iPod Touch, iPhone, iPad). Для его работы требуются iOS 5, Windows Vista SP2/7, OS X 10.7.2. 13
  • 14. Возможности iCloud  iTunes в облаке. Позволяет автоматически загрузить на любое ваше устройство купленную музыку, приложения или книги.  Фотопоток. Снимать фотографии на iPhone действительно проще, чем постоянно носить с собой фотоаппарат. А поскольку камера позволяет снимать фотографии хорошего качества, то множество людей именно на него и делают фотографии. После того, как сделан снимок, он автоматически загружается в Фотопоток и передается на другие устройства.  Документы в облаке. 14
  • 15. Возможности iCloud  Резервные копии. Больше не надо каждый раз подключать телефон к iTunes для того, что бы сделать резервную копию и не потерять все данные. Благодаря iCloud резервные копии создаются автоматически при подключении к зарядке и включенном Wi-Fi соединении.  Что входит в резервную копию в iCloud: настройки устройства, расположение иконок на экране, сообщения (iMessage, SMS, MMS), данные приложений, фото и видео, снятые на камеру устройства, рингтоны, купленные музыка, программы, книги и ТВ-передачи. 15
  • 16. Возможности iCloud  Почта, календари, напоминания, контакты, заметки, закладки. При создании аккаунта в iCloud Вы можете создать почтовый ящик вида name@me.com. В чем его прелесть? В том, что почтовые аккаунты iCloud — единственные, у которых есть моментальные пуш- уведомления о приходе сообщения на сервер. Синхронизация календарей, напоминаний, контактов, заметок и закладок позволит вам держать всю вашу информацию в актуальном виде на любом устройстве.  Найти друзей и Найти iPhone. Сервис «Найти друзей» позволяет видеть местоположение друзей на карте (если они это разрешили) и прокладывать маршрут от вашего местоположения к ним. А «Найти iPhone» — показывает на карте расположение iPhone/iPad/iPod Touch или Mac. При потере устройства его можно удаленно заблокировать или вывести сообщение на экран с просьбой связаться с Вами. 16
  • 17. В чем преимущество для криминалиста при работе с iCloud?  Работает и когда само устройство недоступно, плюс -- незаметно для пользователя. Но минус -- конечно, надо знать ID и пароль (либо authentication token, сохранённый на компьютере). 17
  • 19. iTunes  Автоматически, во время синхронизации с iTunes (эта функция отключена, если используется резервное копирование iCloud);  При щелчке правой кнопки мыши (или левой при нажатой клавише Control) на названии устройства iOS в iTunes и выборе пункта Создать резервную копию.  Следует учесть, что формат бекапа одинаков при работе под Мас и Windows 19
  • 20. Внимание!  В отличие от некоторых других систем (Windows Phone, Android), нельзя выбирать категории данных, подлежащие копированию. Всегда создаётся [почти] полная резервная копия.  «Почти»: В резервные копии не включается содержимое, которое синхронизируется с устройством, такое как фильмы, музыка, подкасты и программы.  Физически, резервная копия – не один файл/архив, а набор файлов, при этом не предоставляется никаких средств для работы с этими данными (кроме восстановления на устройство). 20
  • 21. Внимание!  "Аппаратный" ключ не меняется на протяжении всей жизни устройства, даже после полного сброса к заводским настройкам и привязки к новому Apple ID и соответственно новому клаудному аккаунту.  Пароль на бэкап -- можно поставить только на локальный (но не облачный). iPhone покидают уже только зашифрованные данные (iCloud их просто "принимает" и пишет на диск). 21
  • 22. Внимание!  Резервные копии разных типов устройств (iPhone, iPad, iPod Touch) имеют одинаковую структуру, но совместимы между собой лишь частично. Например, при восстановлении из резервной копии iPad на iPhone или iPod Touch (а также наоборот) фотографии не будут перенесены.  Для каждого устройства резервная копия может быть создана только одна (если только вы вручную не перенесёте текущую копию из папки, используемой по умолчанию, в какое-то другое место – перед тем как создавать новую). 22
  • 23. Рекомендации для использования iTunes  Вы часто используете ПК, на котором установлен iTunes.  У вас отсутствует учетная запись iCloud или вы не хотите использовать резервное копирование в облако.  Вы хотите дополнить резервное копирование iCloud. 23
  • 24. Рекомендации для использования iTunes  Вы хотите быть уверены, что ваши данные не станут доступны кому-либо ещё (разумеется, если обеспечить ограничение физического доступа к компьютеру).  Ваше устройство работает под управлением iOS 4 или ниже (при этом копирование в облако в принципе недоступно).  Общий объём данных на ваших устройствах не позволяет хранить копии в облаке. 24
  • 25. iCloud  Подключено к Интернету через Wi-Fi;  Подключено к источнику питания;  Находится в режиме блокировки экрана 25 • Бесплатно предоставляется лишь 5 гигабайт для хранения данных (хотя за дополнительную плату можно расширить до 55 гигабайт); • Хранится три [последних] резервных копии для каждого из устройств, привязанного к учётной записи Apple.
  • 26. iCloud оптимально если  Вы предпочитаете, чтобы резервные копии создавались автоматически, без вашего участия (в то время когда ваш смартфон подключен к Wi-Fi и источнику питания).  Вы хотите иметь возможность восстановить данные в любом месте где есть Wi-Fi 26
  • 27. iCloud оптимально если У вас нет своего компьютера либо вы крайне редко к нему подключаетесь. Вы хотите на всякий случай иметь дополнительное решение (кроме iTunes). Вас не сильно беспокоит конфиденциальность ваших данных 27
  • 28. iTunes и/или iCloud?  Для копирования в iCloud не нужно подключать iPhone к компьютеру, всё делается автоматом (обычно, когда приходя домой, ставите iPhone на зарядку). И фактически ежедневно.  А в iTunes желательно делать локальное резервное копирование, ну, например, раз в месяц.  Не забывайте про объём данных, подлежащих копированию. Бесплатно даётся 5 гигабайт, максимальный доступный размер хранилища – 55 гигабайт. 28
  • 29. Keychain: «ключи от квартиры, где деньги лежат»?  Связка ключей iCloud (англ: Keychain) — функция (другими словами — технология), с помощью которой, в одном месте в iOS, в защищённом виде, сохраняются личные данные пользователя (логины и пароли).  Эта функция хранит ваши имена и пароли на устройствах с iOS, защищает их надёжным 256-битным шифрованием AES и поддерживает их актуальность на каждом устройстве. Когда вам понадобится ввести их, «Связка ключей iCloud» сделает это.  Основное назначение функции состоит в том, чтобы автоматически вводить пароли за пользователя. 29
  • 30. Keychain: «ключи от квартиры, где деньги лежат»? Различные сертификаты Токены (например, для Twitter, Facebook etc) Пароли, сохранённые в браузере 30
  • 31. Keychain: «ключи от квартиры, где деньги лежат»?  пароли ко всем почтовым аккаунтам, настроенным на устройстве  пароли ко всем Wi-Fi сетям, к которым устройство подключалось хоть раз  пароли/сертификаты/ток ены, сохраняемые различными приложениями 31
  • 32. Что наиболее интересного находится в keychain  Часто там лежит пароль к Apple ID  Никакие данные оттуда стереть нельзя (например, о старых Wi-Fi сетях к которым подключался)  В случае если на устройстве включен iCloud keychain, то он кэшируется в устройстве. Это значит, например, что туда попадут и номера кредитных карт (которые человек вводил на компьютере)  расшифровать кейчейн из облачного бэкапа теоретически можно -- если устройство один раз попадёт к вам в руки. "Аппаратный" ключ не меняется на протяжении всей жизни устройства, даже после полного сброса к заводским настройкам и привязки к новому Apple ID и соответственно новому клаудному аккаунту. 32
  • 33. Шифрование keychain  Если вы делаете резервную копию без пароля, то keychain шифруется как бы "аппаратным" ключом (точнее, ключом, специфичным для данного устройства).  Этот ключ «намертво» привязан к устройству и не меняется в течение его жизни – даже после полного сброса.  С его помощью можно будет расшифровывать keychain и для всех будущих резервных копий, даже после полного сброса.  Если же вы делаете резервную копию с паролем, то keychain шифруется ключом, получаемым из пароля на резервную копию. 33
  • 34. Формат хранения резервной копии в iCloud  все файлы разбиты на фрагменты (chunks)  chunks зашифрованы, но ключи шифрования лежат "рядом" с файлами  в качестве хранилища используются серверы Microsoft и Amazon, причём до конца, увы, неясно, или каждая резервная копия хранится в двух экземплярах (и тут и там), или часть на серверах Microsoft, часть на Amazon  резервные копии инкрементальные, то есть при каждом последующем соединении на сервер отправляются только изменения 34
  • 35. Формат хранения резервной копии в iCloud  хранится три последних резервных копии  Двухэтапная аутентификация на резервные копии не распространяется  шифрование не завязано на Apple ID и пароль (по ним делается только аутентификация)  резервное копирование всегда проводится для всего устройства, то есть нельзя резервное копирование проводить только для определённых категорий, как в Windows Phone 35
  • 36. Elcomsoft Phone Password Breaker  Elcomsoft Phone Password Breaker позволяет экспертам правохранительных органов получить доступ к защищенным паролем резервным копиям для смартфонов и портативных устройств, основанных на платформе RIM BlackBerry, Apple iOS, Windows Phone 8.  Утилита поддерживает все смартфоны Blackberry и все портативные устройства на платформе Apple iOS, включая iPhone, iPad и iPod Touch всех поколений и версий, включая iPhone 5-7. 36
  • 37. Elcomsoft Phone Password Breaker  Предназначено для получения доступа к защищенным паролем резервным копиям: iPhone (до модели 5s включительно) iPad (включая Mini и Air) iPod Touch BlackBerry, но это уже выходит за рамки данного материала. 37
  • 38. Внимание!  Если вы запускаете EPPB на компьютере, на котором установлено iTunes, то EPPB покажет список резервных копий всех iOS-устройств, доступных на этом компьютере – с названиями, версиями и даже номерами телефонов.  Если iTunes не установлен, то нужно вручную выбрать пусть к файлу manifest.plist из нужной резервной копии.  Для ускорения восстановления пароля могут использоваться графические карты AMD и NVIDIA. 38
  • 40. Извлечение резервных копий из «облака» (iCloud)  iCloud может быть использован для синхронизации электронной почты, контактов, событий, закладок, фотографий и другой информации.  Резервные копии в iCloud являются инкрементальными. Если устройство настроено для использования сервиса iCloud, аппарат автоматически создаёт резервную копию всякий раз, когда подключается к беспроводной сети и источнику питания. Всё, что нужно для доступа к онлайн-архивам, хранящимся в iCloud - это Apple ID и пароль пользователя.  Данные могут быть доступны без согласия пользователя, что делает Elcomsoft Phone Password Breaker идеальным решением для правоохранительных и разведывательных организаций.  Данная функция работает даже при активированной включенной двухфакторной аутентификации пользователя. 40
  • 41. Выборочный доступ  Загрузка большого бэкапа, которая совершается в первый раз, потенциально может занять несколько часов. Если скорость скачивания имеет критическое значение, программа Elcomsoft Phone Password Breaker помогает быстро получить необходимую информацию и пропустить менее значимые данные, которые требуют наибольшего времени для загрузки (например, музыка или видео).  Сообщения, вложения, настройки телефона, журналы вызовов, адресные книги, заметки, календарь, настройки почтового аккаунта, фотографии, видео и другие данные могут быть заранее выбраны и скачены в считанные минуты, что обеспечивает криминалистических экспертов необходимой информацией практически в режиме реального времени. 41
  • 42. Ускорение при помощи видеокарт  Чтобы многократно увеличить скорость перебора паролей для резервных копий, хранящихся на устройствах Apple, утилита использует разработанную компанией технологию ускорения при помощи графических карт.  Elcomsoft Phone Password Breaker является первой на рынке программой такого рода для доступа к защищенным резервным копиям iPhone/iPod/iPad и BlackBerry и единственной утилитой, способной считывать и расшифровывать содержимое системного хранилища (keychain), содержащее ключи шифрования, пароли для учетных записей электронной почты, веб сайтов и сторонних приложений. Эти операции возможны в случае, если пароль известен или восстановлен. 42
  • 43. Возможности программы  Доступ к информации, хранимой в защищенных паролем резервных копиях iPhone, iPad и iPod Touch и BlackBerry  Расшифровка резенрвных копий к iPhone и BlackBerry с помощью известного пароля  Восстановление паролей к BlackBerry Password Keeper и Wallet приложениям  Восстановление пароля на устройство BlackBerry***  Чтение и расшифровка данных в системном хранилище (keychain) (пароли к учетным записям электронной почты, пароли для доступа к сетям Wi-Fi и пароли для доступа к веб сайтам и сторонним приложениям) 43
  • 44. Возможности программы  Ускорение при помощи нескольких установленных в системе бюджетных графических адаптеров AMD или NVIDIA*  Атаки по словарю с использованием различных словарных мутаций и комбинаций  Работа программы ведется полностью в режиме offline и не требует установки Apple iTunes или BlackBerry Desktop Software  Восстановление паролей к резервным копиям для оригинальных и ‘модифицированных’ iPhone (все модели включая iPhone 5S), iPad (все поколения включая iPad Mini) и iPod Touch(все поколения)  Совместимость со всеми вресиями iTunes (включая 11.1), операционной системы iOS (включая 7.0.2) и BlackBerry Desktop Software  Поддержка AMD Radeon HD 7000 серии и NVIDIA GTX 600 44
  • 45. Извлечение и расшифровка хранимых паролей  В устройствах Apple iPhone пароли к учетным записям электронной почты, веб сайтам и различным приложениям хранятся в системном хранилище (keychain) в зашифрованном виде, причем аппаратные ключи шифрования уникальны для каждого конкретного устройства.  До выхода операционной системы iOS 4 данные в хранилище всегда шифровались только уникальных ключах устройства, но с выходом Apple iOS 4 появилась возможность создавать резервные копии, в которых содержимое хранилища будет зашифровано мастер-ключом, зависящем от пароля пользователя.  Elcomsoft Phone Password Breaker позволяет мгновенно считывать (и расшифровавать) все данные из такого хранилища, включая пароли, если мастер-пароль известен или восстановлен. 45
  • 46. Мобильный Криминалист  Программное обеспечение для проведения судебно-технической экспертизы. Решение извлекает максимальное количество информации из мобильных устройств.  Специализация на смартфонах. Благодаря инновационным технологиям, программа Мобильный Криминалист получает максимум информации из мобильных устройств наиболее распространенных платформ: Android, Apple iOS, Blackberry, Symbian, Windows Phone, Windows Mobile 5/6 и т.д.  Поддержка 300+ приложений. Мобильный Криминалист извлекает пользовательские данные и пароли из более 300 популярных приложений и показывает готовые для анализа данные в удобном интерфейсе. 46
  • 48. Внимание!  Если в дальнейшем вы собираетесь анализировать загруженные данные с помощью ПО, которое умеет анализировать iTunes резервные копии, то снимите галочку с «Restore original file names» 48
  • 49. 49
  • 50. Мобильный Криминалист  Восстановление удаленной информации. Мобильный Криминалист восстанавливает удаленную информацию из устройств с наиболее популярными ОС: Android, Apple iOS, Symbian и т.д. Возможно или автоматическое восстановление, или анализ баз данных вручную с помощью мощного инструмента – Просмотрщика баз данных SQLite.  Лидер в извлечении гео информации. Программа извлекает координаты из приложений, истории WiFi соединений и фотографий и показывает местоположения на карте как при активном Интернет соединении, так и оффлайн. Это позволяет отследить перемещение владельца устройства во времени. 50
  • 51. Мобильный Криминалист  Просматривайте всю активность владельца устройства в одном списке, анализируйте контакты из разных источников, изучайте взаимосвязи между несколькими пользователями на диаграмме или графе. Нет необходимости переключаться из раздела в раздел, чтобы собрать нужную для анализа информацию.  Первый инструмент для разбора бекапов Blackberry 10. Мобильный Криминалист – первая программа, которая извлекает данные из бекапов Blackberry 10: контакты, сообщения, календарные события, заметки, задачи, приложения Facebook, WhatsApp, Viber, данные предустановленного веб браузера и т.д. 51
  • 52. Мобильный Криминалист  Извлечение данных из облака My Windows Phone. Мобильный Криминалист – первая программа, которая извлекает данные из облака My Windows Phone: контакты и сообщения.  Безопасное получение рут-доступа к устройствам на ОС Android. Мобильный Криминалист предоставляет временные рут-права для доступа ко всей файловой системе устройств на ОС Android и их удаленным данным. Благодаря рут-доступу, возможно создание полного физического дампа всей памяти устройства. 52
  • 53. Мобильный Криминалист  Поддержка более 8000 устройств. Помимо специализации на смартфонах, Мобильный Криминалист извлекает данные из китайских телефонов на чипсете MTK и дешевых телефонов без операционной системы внутри.  Импорт основных образов и бекапов устройств. Мобильный Криминалист импортирует и разбирает различные образы устройств на ОС Android и Apple iOS, созданные в других программах судебно- технической экспертизы, а также Android, iTunes и Blackberry бекапы, в том числе и защищенные паролем.  Создание отчетов и печать данных. Мобильный Криминалист позволяет создавать отчеты в различных форматах ( PDF, RTF, XLS, XML и так далее), а также сразу выводить данные на печать. 53
  • 54. 54
  • 55. Физический доступе к устройству При физическом доступе к устройству для получения данных используется программное приложение Elcomsoft iOS Forensic Toolkit, рассмотрение которого не входит в наш сегодняшний семинар, так как ему я надеюсь посвятить отдельный вебинар. Использование ПО «Мобильный криминалист» 55
  • 56. Получение данных с помощью ПО «Мобильный криминалист» (iPhone включен в USB-порт) ВИДЕО 56
  • 57. 57
  • 59. Анализ информации при подключении устройства к порту USB ВИДЕО 59
  • 60. Восстановление информации с Windows Phone  Если исследуемы смартфон подключен кабелем к USB- порту вашего ПК, то для чтения доступен только протокол MTP (media transfer protocol). При использовании данного протокола досупны только минимальная общая информация и медиа-файлы (фотографии, видео, музыкальные файлы).  При подключении по Bluetooth есть возможность прочитать список контактов и лог звонков.  Если же удается получить доступ к резервной копии, то исследователю доступны СМС, контакты, заметки. 60
  • 61. 61
  • 63. Резервное копирование в Windows Phone 8.0 Избранное Internet Explorer Список установленных приложений Настройки темы 63
  • 64. Резервное копирование в Windows Phone 8.0 Настройки приложений (например, настройки электронной почты и экрана блокировки) Сообщения (SMS переписка) Фотографии 64
  • 65. Настройка резервного копирования Управление резервным копированием приложений, SMS и медиа-файлов осуществляется в меню Настройки – Система- Резервное копирование 65
  • 66. Приложения + настройки  Несмотря на то что список приложений сохраняется, сами приложения не сохраняются.  Вместе с тем каждое приложение можно восстановить, нажав на название в списке приложений.  Внимание! Вы можете удалить резервную копию, нажав Дополнительно – Удалить. 66
  • 67. Текстовые сообщения  В Windows Phone 8 резервные копии СМС- сообщений создаются автоматически.  В то же время здесь существенно больше возможностей для управления резервным копированием.  Настройками можно управлять нажав пункт меню SMS. Появятся опции, которые можно включить либо выключить. 67
  • 68. Фото + Видео  1. В списке приложений коснитесь пункта Настройки > Резервное копирование.  2. Коснитесь пункта Фотографии и выполните одно из следующих действий.  Коснитесь команды Не отправлять, чтобы отменить сохранение фото и видео в облаке.  Коснитесь пункта Высокое качество, чтобы сохранять фото и видео в экономичном по объему хранения в SkyDrive разрешении.  Коснитесь пункта Высшее качество, чтобы сохранять фото и видео в самом высоком разрешении. 68
  • 69. Внимание!  Чтобы автоматически загружать видео и фотографии высокого качества, вам потребуется подключение к Wi-Fi.  Если выбрать параметр Максимальное качество, будут загружаться только фотографии с разрешением 10 мегапикселей или меньше.  Чтобы загружать с телефона более крупные фотографии, необходимо использовать проводник (если у вас ПК) или приложение Windows Phone для Mac (если у вас Mac). 69
  • 70. Получение информации из резервной копии Windows Phone 8 с помощью EPPB ВИДЕО 70
  • 71. 71
  • 72. Получение и анализ резервной копии Windows Phone 8 с помощью ПО «Мобильный криминалист» 72
  • 74. 74
  • 75. Сравнение устройств Свойство Устройство Apple iOS Blackberry Windows Phone 8 Подключение по кабелю Да Да Да Подключение по Bluetooth Нет Нет Нет Общая информация телефона Да Да Да Телефонная книга Да Да Да Календарь Да Да Нет Задачи Нет Да Нет Заметки Да Да Нет Журнал звонков Да Да Нет Автоматическое восстановление удаленных звонков Да Нет Нет 75
  • 76. Сравнение устройств Свойство Устройство Apple iOS Blackberry Windows Phone 8 Сообщения Да Да Да Автоматическое восстановление удаленных сообщений Да Нет Нет Файлы устройства Да Да Да Пароли Да Нет Нет Точки WiFi и БС Да Нет Нет Гео-данные (в приложениях и фотографиях) Да Да Да Словари Да Да Нет Обнаружение Spyware Да Нет Нет Приложения Да Да Нет 76
  • 77. Сравнение устройств Свойство Устройство Apple iOS Blackberry Windows Phone 8 Социальные сети Facebook, Instagram, LinkedIn, Twitter, и т.д. Да Да Нет Мгновенные сообщения Facebook, Skype, WhatsApp, Viber,etc. Да Да Нет Приложения для работы Dropbox, Evernote, Gmail, Yahoo Mail, и т.д. Да Да Нет Веб-браузеры Chrome, Default browser, Firefox, и т.д. Да Да Нет Навигация Apple Maps, Google Maps, Yandex Maps, и т.д. Да Нет Нет Путешествия Booking.com, SkyScanner, TripIt, и тд. Да Нет Нет Фитнес Endomondo, RunKeeper, Runtastic, итд. Да Нет Нет Мультимедиа Hide It Pro, Youtube, итд. Да Нет Нет Журнал устройства Нет Да Нет 77
  • 78. Сравнение устройств Свойство Устройство Apple iOS Blackberry Windows Phone 8 Географическое положение событий (Хронология событий) Нет Нет Нет Объединенные контакты Да Да Да Статистика и связи Да Да Да Граф связей Да Да Да Лента событий Да Дв Да Важные улики Да Да Да Загрузка файлов резервных копий устройств Да Да Нет Инструмент анализа баз данных SQLite Да Да Нет Восстановление удаленных данных в просмотрщике баз SQLite Да Да Нет 78
  • 79. Сравнение устройств Свойство Устройство Apple iOS Blackberry Windows Phone 8 Инструмент анализа файлов Plist Да Да Нет Инструмент анализа файлов Blackberry IPD Нет Да Нет Отчеты по данным устройств Да Да Да Расширенный поиск в базе данных телефона Да Да Да Поддержка Unicode Да Да Да 79
  • 80. Спасибо за внимание! Вопросы? БЕЗМАЛЫЙ В.Ф. MVP CONSUMER SECURITY MICROSOFT SECURITY TRUSTED ADVISOR CYBERCOP@OUTLOOK.COM HTTP://BEZMALY.WORDPRESS.COM