Им было нечего скрывать

в 6:53, , рубрики: fappening, icloud, iOS Forensic Toolkit, iphone, Phone Breaker, блокировка, Восстановление данных, защита данных, извлечение данных, информационная безопасность, криптография, мобильная криминалистика, пароль, паскод, смартфон, смартфоны

Мы не первый год работаем на рынке информационной безопасности. Основные наши клиенты – правоохранительные органы разных стран, спецслужбы, а также отделы IT безопасности в крупных компаниях. Иногда наши клиенты делятся с нами интересными историями; о некоторых из них можно прочитать и в средствах массовой информации. Сегодня я хочу рассказать несколько историй о людях, которым было «нечего скрывать» и у которых в результате возникли серьёзные проблемы буквально на ровном месте.

В чём проблема?

Я часто пишу статьи на тему информационной безопасности. Иногда получается понятно для неспециалиста, иногда, вероятно, не очень. «Что-то я вообще не понял посыла статьи […] в чем проблема?», «имхо, проблема с icloud, слегка притянута за уши», ну и бессмертное – «я не стал заморачиваться, мне нечего скрывать». Отлично, давайте посмотрим, стоит ли вам что-либо скрывать.

Celebgate: «проблема с iCloud слегка притянута за уши»

С момента выхода нашего первого продукта для извлечения данных из iCloud прошло более пяти лет. Ключ от продукта Elcomsoft Phone Password Breaker (сейчас у него другое название), который на тот момент мы продавали исключительно правоохранительным органам, был украден и попал в руки хакерской группировки.

«C 31 августа на 1 сентября 2014 года хакеры устроили масштабный слив интимных фотографий знаменитостей с сервиса iCloud. Это эпичное событие интернет пользователи ознаменовали как «Celebgate» и «The Fappening»», пишет в статье Годовщина The Fappening NSFW! Александр Слепченко. По ссылке выше можно ознакомиться и с самими фотографиями людей, которым было нечего скрывать.

Для доступа к iCloud злоумышленники использовали наш продукт и реальные данные от учётных записей. Откуда их узнали? По-разному: где-то были утечки, где-то пароль к iCloud удалось подобрать на основе паролей к другим учётным записям, но чаще всего использовался социальный инжиниринг: жертве приходило письмо, в котором под надуманным предлогом предлагалось зайти в свой аккаунт. Некоторым жертвам и вовсе звонили по телефону, помогая «обезопасить» аккаунт или «восстановить» к нему доступ после «попытки компрометации».

Что интересно, на момент события у Apple уже была внедрена полумера защиты – Two-Step Authentication (2SV), бледная предтеча современной двухфакторной аутентификации. Однако даже эту полумеру Apple тогда применяли лишь частично, не распространив защиту на фотографии в iCloud. Лишь с выходом iOS 9 и OS X El Capitan в марте 2016 у Apple появилась современная и надёжная система двухфакторной аутентификации.

О том, как именно действовали хакеры, какими программами пользовались и откуда узнали пароли жертв атаки можно почитать в англоязычной статье Forbes Stealing Nude Pics From iCloud Requires Zero Hacking Skills — Just Some YouTube Guides.

«У нас вообще свобода слова!»

Да, конечно. Свобода читать любую литературу и не подвергаться за это преследованиям. Старая добрая Англия, 2013 год. Помощник пионервожатого (хорошо, пусть – ассистент лидера скаутов) Джон Кокрофт имел при себе электронную книжку Kindle. Во время сворачивания лагеря вожатая обнаружила книжку. Включив её и вчитавшись в текст, вожатая с ужасом обнаружила описания откровенных сцен с несовершеннолетними. Попытки Джона аргументировать «это как Лолита» провалились, вожатая вызвала полицию.

Старого извращенца схватили, сделали обыск, изъяли компьютеры… далее – вопрос техники: после тщательного сканирования двух компьютеров Джона на оных были обнаружены картинки весьма сомнительного свойства – целых 12 штук.

Этот случай привлёк наше внимание потому, что на компьютере Джона обнаружилось два зашифрованных файла (природа которых не разглашается), а наши продукты как раз и предназначены для максимально быстрого взлома паролей. В данном случае полиция так и не смогла взломать защиту, а Джон совершил ещё одно преступление, отказавшись сообщить пароли от этих файлов (по британским законам – вполне себе преступление). По совокупности преступлений Джона приговорили к трём годам общественных работ, трём годам посещения специальных курсов и трём годам наблюдения. Судимость будет снята лишь через пять лет. Подробности этой истории можно прочитать здесь.

Украденный iPhone и уволенная учительница

У вас украли iPhone. Кто виноват? Конечно же, вы! Вас уволят с работы и на вас заведут уголовное дело. И всё потому, что вы не установили код блокировки. Лютый бред? Если бы. Не так давно, в 2016 году, у преподавательницы старшей школы Ли Анны Артур из Южной Каролины был украден iPhone. У вора, которым оказался её 16-летний ученик, не возникло проблем с доступом к содержимому устройства: честной учительнице было нечего скрывать, и настройкой PIN-кода она не озаботилась. В телефоне ученик обнаружил селфи учительницы в неглиже, которые он с удовольствием распространил среди одноклассников, а также выложил в социальные сети.

В конечном итоге ученика всё-таки наказали. Но работу Ли Анна Артур потеряла несмотря на петиции. Год спустя стороны договорились во внесудебном порядке; ученик был исключён из школы. На тот момент Ли Анна Артур всё ещё была безработной.

Вывод? Даже если вы считаете, что вам нечего скрывать, ваши коллеги, начальство или ученики могут иметь противоположное мнение. И если у вас украдут телефон, вы рискуете как минимум разрушенной карьерой. Если же вы считаете, что «это в пуританской Америке, а вот у нас…» – то в России для увольнения учительницы достаточно даже не обнажёнки, а простых фото в купальнике (кстати, фраза в конце статьи о «приняли на прежнюю работу» не соответствует действительности – в этом легко убедиться, просто пройдя по ссылке). Вы всё ещё думаете, что вам нечего скрывать?

Просто шёл по улице

Вы идёте по улице, уставившись в телефон, и утыкаетесь в широкую грудь полицейского. Полицейский требует устройство, вы машинально передаёте его в руки представителя закона. Получаете обвинение в педофилии, выходите под залог, уничтожаете улики. Теперь вас обвиняют в противодействии правосудию, но, постращав хорошенько, всё-таки отпускают. Вы понимаете: если бы не замели следы – присели бы года на три…

Честное слово, я не смог бы такое выдумать. Но вот – оно произошло и попало в газеты, и теперь этот случай стал моей любимой иллюстрацией во время тренингов, которые я провожу для полиции (в контексте: «не повторяйте ошибок полиции, храните изъятые телефоны в клетке Фарадея!»)

Итак, ситуация. 19-летний парень спокойно и не нарушая правил ехал в машине со своей подружкой. Был остановлен полицией для рутинной проверки. Полицейскому приглянулся телефон, и парень, которому было «нечего скрывать», согласился с просьбой полицейского разблокировать устройство. (В скобках: а вы знаете, что совершенно не обязаны этого делать, а полицейский имеет право попросить, но не имеет права потребовать от вас разблокировать устройство?) В телефоне полицейский обнаружил фотографии той самой подружки, которая была пассажиркой в автомобиле. (Удивительно, правда?) Подружка на снимках была не одета. Подружке не исполнилось 18 лет. Уголовная статья: создание и распространение детской порнографии; присесть можно лет на десять.

Парень, не будь дураком, вышел под залог, после чего моментально инициировал уничтожение данных через функцию Find my iPhone.

Спустя какое-то время полиция осознала, что телефон заблокирован; связавшись с обвиняемым и получив от него пароль, полиция с удивлением обнаружила, что содержимое телефона уничтожено. Потеряв единственные доказательства страшного преступления, взбешённая полиция попыталась повесить на парня обвинение в противодействии правосудию; в конечном итоге обвинение развалилось, и парень отделался серьёзной нервотрёпкой.

Мораль? Даже если вам нечего скрывать, не разблокируйте никакие устройства, передавая их полиции. Кстати, саму эту историю работники правоохранительных органов воспринимают с юмором; я слышал много циничных комментариев по поводу действий полиции Морристауна, но ни одного в сторону обвиняемого.

Подробности были опубликованы в статье WATE, которая впоследствии была удалена (но сохранилась в кэше Google). Мы сохранили описание инцидента:

“A Morristown man was arrested after police say he allegedly remotely wiped nude photographs of his underage girlfriend from his iPhone.”

“Darvel Walker, 19, is charged with tampering with evidence. Police say the phone was confiscated during a traffic stop on February 23. They say Walker gave officers permission to search his phone, and they found what they said were several nude images of the underage girl, who was a passenger in the vehicle.”

“Once detectives learned the phone was password protected, they contacted Walker to get the passcode, but then discovered the photos were gone.”

“Walker was held on $25,000 bond.”

Случаи из жизни

Далеко не все истории попадают в газеты. Три случая произошли и с нами (на самом деле, гораздо больше, но не о всех можем рассказать).

Планшет в автопрокате

В первом из них участвовала компания по прокату автомобилей. В арендованной машине в качестве системы навигации был установлен обычный iPad; разумеется, никакого кода блокировки на нём не было. Меня разобрало любопытство, и я подключился к планшету нашей программой iOS Forensic Toolkit. С первой попытки извлечь данные не удалось: на планшете был установлен MDM-профиль, запрещающий создание резервных копий. А вот хоть как-нибудь защитить устройство от удаления MDM-профиля отдел IT безопасности не озаботился (для этого нужно поставить лишнюю галочку, о существовании которой специалисты компании, похоже, просто не знали).

После удаления MDM-профиля полная копия данных с планшета оказалась в моём распоряжении буквально за пару минут. (В двух словах: джейлбрейк не нужен; EIFT устанавливает пароль на резервную копию и скачивает её из устройства, что даёт доступ к большей части информации, включая пароли). В результате я узнал пароль от закрытой сети Wi-Fi автопроката, а также пароли от нескольких учётных записей сотрудников. Развития история не получила: заходить в учётные записи я не стал. Кстати, сама резервная копия до сих пор лежит в свалке подобных трофеев.

Детский телефон

Ещё одна история касается «детских» телефонов, которые передаются от родителей к ребёнку или дарятся за пределы семьи. Когда нам нужен был тестовый телефон iPhone 5C, мне отдал устройство давний друг. Телефоном пользовался его сын. Телефон мне друг отдал, но не сбросил, и от iCloud не отвязал; фактически, почистил только контакты и заметки и удалил приложения. Я установил пароль на резервную копию, скачал Связку ключей, узнал пароль от Apple ID и отвязал телефон от iCloud, отключив Find my iPhone. Случайно увидел пароли от Wi-Fi, почты и нескольких социальных сетей. На телефоне был включён Find Friends, который успешно показывал местоположение родителей ребёнка (то есть, моего друга и его жены) в реальном времени. Разумеется, я сбросил телефон, а другу позвонил и провёл ликбез по безопасности.

Смышлёные девочки

Иногда забавно читать новости, в которых малолетние дети оказываются куда лучше подкованными в вопросах безопасности, чем их родители. Так, семилетний ребёнок сумел обойти ограничения «Экранного времени», установленные родителями. Другой ребёнок обошёл ограничения на просмотр YouTube, отправляя себе ссылки на видео в сообщениях iMessage: это приложение родители заблокировать не догадались.

Показательный в этом контексте случай произошёл на днях с нашей сотрудницей. Передам ей слово. «Сейчас ехала в такси с водителем, который говорил по телефону с дочками (8 и 10 лет). От них бабушка спрятала телефон, чтобы они долго в нём не сидели, а им сказала, что его украли. Они жаловались папе по телефону, объясняли, что там был установлен длинный пароль на русском языке, и потом финально хором завопили: «Зачем кому-то нужен телефон С ПАРОЛЕМ!?» Такие смышлёные были девчонки. Сказала водителю, что я как раз работаю в компании, которая восстанавливает данные из телефонов. На что водитель меня спросил, правда ли, что пароль на iPhone сломать нельзя, я его успокоила.»

Автор: v_katalov

Источник

* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js