Yn eu gwaith, mae arbenigwyr fforensig cyfrifiadurol yn dod ar draws achosion yn rheolaidd lle mae angen iddynt ddatgloi ffôn clyfar yn gyflym. Er enghraifft, mae ymchwilwyr angen data o ffôn i ddeall y rhesymau dros hunanladdiad person ifanc yn ei arddegau. Mewn achos arall, byddant yn helpu i fynd ar drywydd grŵp troseddol yn ymosod ar yrwyr tryciau. Mae yna, wrth gwrs, straeon ciwt - mae rhieni wedi anghofio'r cyfrinair ar gyfer y teclyn, ond roedd fideo o gamau cyntaf eu babi arno, ond, yn anffodus, dim ond ychydig o'r rhain sydd. Ond maent hefyd yn gofyn am agwedd broffesiynol at y mater. Yn yr erthygl hon Igor Mikhailov, arbenigwr yn Labordy Fforensig Cyfrifiadurol Group-IB, yn sôn am ffyrdd sy'n caniatáu i arbenigwyr fforensig osgoi cloi ffonau clyfar.
Pwysig: Ysgrifennwyd yr erthygl hon i werthuso diogelwch cyfrineiriau a phatrymau graffeg a ddefnyddir gan berchnogion dyfeisiau symudol. Os penderfynwch ddatgloi eich dyfais symudol gan ddefnyddio'r dulliau a ddisgrifir, cofiwch eich bod yn cyflawni'r holl gamau gweithredu i ddatgloi dyfeisiau ar eich perygl a'ch risg eich hun. Wrth drin dyfeisiau symudol, gallwch rwystro'r ddyfais, dileu data defnyddwyr, neu wneud y ddyfais mewn cyflwr diffygiol. Rhoddir argymhellion hefyd i ddefnyddwyr ar sut i gynyddu lefel amddiffyniad eu dyfeisiau.
Felly, y dull mwyaf cyffredin o gyfyngu ar fynediad at wybodaeth defnyddwyr a gynhwysir yn y ddyfais yw cloi sgrin y ddyfais symudol. Pan fydd dyfais o'r fath yn dod i ben mewn labordy fforensig, gall fod yn anodd gweithio gydag ef, gan ei bod yn amhosibl actifadu modd dadfygio USB ar gyfer dyfais o'r fath (ar gyfer dyfeisiau Android), mae'n amhosibl cadarnhau caniatâd i gyfrifiadur yr arbenigwr ryngweithio ag ef. y ddyfais hon (ar gyfer dyfeisiau symudol Apple), ac O ganlyniad, mae'n amhosibl cyrchu data sydd wedi'i leoli yng nghof y ddyfais.
Mae'r ffaith bod FBI yr Unol Daleithiau wedi talu swm mawr i ddatgloi iPhone y terfysgwr Syed Farooq, un o'r cyfranogwyr yn y terfysgwr, yn tystio i ba raddau y mae cloi sgrin dyfais symudol yn atal arbenigwyr rhag tynnu data ohoni. ymosodiad yn ninas San Bernardino yng Nghaliffornia [1] .
Dulliau ar gyfer datgloi sgrin dyfais symudol
Fel rheol, i gloi sgrin dyfais symudol rydych chi'n ei defnyddio:
- Cyfrinair cymeriad
- Cyfrinair graffeg
Gellir defnyddio dulliau technoleg SmartBlock hefyd i ddatgloi sgrin nifer o ddyfeisiau symudol:
- Datgloi olion bysedd
- Datgloi trwy adnabod wynebau (technoleg FaceID)
- Datgloi'ch dyfais gan ddefnyddio cydnabyddiaeth iris
Dulliau cymdeithasol o ddatgloi dyfais symudol
Yn ogystal â rhai technegol yn unig, mae yna ffyrdd eraill o ddarganfod neu oresgyn y cod PIN neu batrwm clo sgrin. Mewn rhai achosion, gall dulliau cymdeithasol fod yn fwy effeithiol nag atebion technegol a helpu i ddatgloi dyfeisiau sy'n ildio i ddatblygiadau technolegol presennol.
Bydd yr adran hon yn disgrifio dulliau ar gyfer datgloi sgrin dyfais symudol nad oes angen (neu sydd angen defnydd cyfyngedig, rhannol yn unig) o ddulliau technegol.
I gyflawni ymosodiadau cymdeithasol, mae angen i chi astudio mor ddwfn â phosibl seicoleg perchennog dyfais dan glo, i ddeall pa egwyddorion y mae'n eu cynhyrchu ac yn arbed cyfrineiriau neu batrymau graffig. Bydd angen ychydig o lwc ar yr ymchwilydd hefyd.
Wrth ddefnyddio dulliau dyfalu cyfrinair, cofiwch:
- Os cofnodir deg cyfrinair anghywir ar ddyfeisiau symudol Apple, efallai y bydd data defnyddwyr yn cael eu dileu. Mae hyn yn dibynnu ar y gosodiadau diogelwch y mae'r defnyddiwr wedi'u gosod;
- ar ddyfeisiau symudol sy'n rhedeg system weithredu Android, gellir defnyddio technoleg Root of Trust, a fydd yn arwain at y ffaith y bydd data defnyddwyr naill ai'n anhygyrch neu'n cael eu dileu ar ôl mynd i mewn i 30 o gyfrineiriau anghywir.
Dull 1: gofynnwch am gyfrinair
Gall hyn ymddangos yn rhyfedd, ond gallwch chi ddarganfod y cyfrinair datgloi trwy ofyn i berchennog y ddyfais. Mae ystadegau'n dangos bod tua 70% o berchnogion dyfeisiau symudol yn fodlon rhannu eu cyfrinair. Yn enwedig os yw hyn yn lleihau'r amser ymchwil ac, yn unol â hynny, mae'r perchennog yn cael ei ddyfais yn ôl yn gyflymach. Os nad yw'n bosibl gofyn i'r perchennog am y cyfrinair (er enghraifft, mae perchennog y ddyfais wedi marw) neu ei fod yn gwrthod ei ddatgelu, gallwch ddarganfod y cyfrinair gan ei berthnasau agos. Fel rheol, mae perthnasau yn gwybod y cyfrinair neu gallant awgrymu opsiynau posibl.
Argymhelliad amddiffyn: Mae eich cyfrinair ffôn yn allwedd gyffredinol i'r holl ddata, gan gynnwys data talu. Mae dweud, ei drosglwyddo, ei ysgrifennu mewn negeswyr sydyn yn syniad drwg.
Dull 2: edrychwch ar y cyfrinair
Gellir gweld y cyfrinair tra bod y perchennog yn defnyddio'r ddyfais. Hyd yn oed os ydych chi'n cofio'r cyfrinair (cymeriad neu graffig) yn rhannol yn unig, bydd hyn yn lleihau'n sylweddol nifer yr opsiynau posibl, a fydd yn caniatáu ichi ddyfalu'n gyflymach.
Amrywiad o'r dull hwn yw'r defnydd o recordiadau camera gwyliadwriaeth sy'n dal y perchennog yn datgloi'r ddyfais gan ddefnyddio cyfrinair llun [2]. Mae'r algorithm a ddisgrifir yn y gwaith “Cracio Cloi Patrwm Android mewn Pum Ymgais” [2], trwy ddadansoddi recordiadau fideo, yn caniatáu i rywun ddyfalu opsiynau ar gyfer cyfrinair graffeg a datgloi'r ddyfais mewn sawl ymgais (fel rheol, dim mwy na phum ymgais sydd eu hangen ar gyfer hyn). Yn ôl yr awduron, “po fwyaf cymhleth yw’r cyfrinair graffigol, yr hawsaf yw ei ddyfalu.”
Argymhelliad amddiffyn: Nid yw defnyddio patrwm yn syniad da. Mae'n anodd iawn sbïo ar gyfrinair alffaniwmerig.
Dull 3: Dewch o hyd i'r cyfrinair
Gellir dod o hyd i'r cyfrinair yng nghofnodion perchennog y ddyfais (ffeiliau ar y cyfrifiadur, mewn dyddiadur, ar ddarnau o bapur mewn dogfennau). Os yw person yn defnyddio sawl dyfais symudol wahanol a bod ganddo gyfrineiriau gwahanol, yna weithiau yn adran batri'r dyfeisiau hyn neu yn y gofod rhwng corff y ffôn clyfar a'r achos gallwch ddod o hyd i ddarnau o bapur gyda chyfrineiriau ysgrifenedig:
Argymhelliad amddiffyn: nid oes angen cadw llyfr nodiadau gyda chyfrineiriau. Mae hwn yn syniad gwael, oni bai bod yr holl gyfrineiriau hyn yn ffug yn fwriadol er mwyn lleihau nifer yr ymdrechion i ddatgloi.
Dull 4: Olion bysedd (ymosodiad smwtsh)
Mae'r dull hwn yn caniatáu ichi nodi marciau chwys llaw ar arddangosfa'r ddyfais. Gallwch eu gweld trwy drin sgrin y ddyfais gyda phowdr olion bysedd ysgafn (yn lle powdr fforensig arbennig, gallwch ddefnyddio powdr babi neu bowdr mân arall sy'n anweithgar yn gemegol o liw gwyn neu lwyd golau) neu trwy edrych ar sgrin y ddyfais mewn pelydrau golau lletraws. . Trwy ddadansoddi safle cymharol olion llaw a chael gwybodaeth ychwanegol am berchennog y ddyfais (er enghraifft, gwybod ei flwyddyn geni), gallwch geisio dod o hyd i destun neu gyfrinair graffig. Dyma sut olwg sydd ar haen o chwys ar sgrin ffôn clyfar ar ffurf llythyren arddullaidd Z:
Argymhelliad amddiffyn: Fel y dywedasom, nid yw cyfrinair patrwm yn syniad da, yn union fel gwydr gyda gorchudd oleoffobig gwael.
Dull 5: bys artiffisial
Os gellir datgloi dyfais gan ddefnyddio olion bysedd, a bod gan yr ymchwilydd samplau o olion bysedd perchennog y ddyfais, yna gellir gwneud copi tri dimensiwn o olion bysedd y perchennog ar argraffydd 3D a'i ddefnyddio i ddatgloi'r ddyfais [3]:
Er mwyn dynwared bys person byw yn llawnach - er enghraifft, pan fydd synhwyrydd olion bysedd y ffôn clyfar yn dal i ganfod gwres - mae'r model 3D yn cael ei roi ar fys person byw (yn pwyso yn erbyn).
Gall perchennog y ddyfais, hyd yn oed os yw wedi anghofio'r cyfrinair clo sgrin, ddatgloi'r ddyfais ei hun gan ddefnyddio ei olion bysedd. Gellir defnyddio hwn mewn rhai achosion lle nad yw'r perchennog yn gallu darparu'r cyfrinair ond serch hynny mae'n barod i helpu'r ymchwilydd i ddatgloi ei ddyfais.
Dylai'r ymchwilydd gofio'r cenedlaethau o synwyryddion a ddefnyddir mewn modelau amrywiol o ddyfeisiau symudol. Gall modelau synhwyrydd hŷn gael eu sbarduno gan gyffyrddiad unrhyw fys, nid o reidrwydd bys perchennog y ddyfais. Mae synwyryddion ultrasonic modern, i'r gwrthwyneb, yn sganio'n ddwfn ac yn glir iawn. Yn ogystal, mae nifer o synwyryddion mewn-arddangos modern yn ddim ond camerâu CMOS na allant sganio dyfnder delwedd, sy'n eu gwneud yn llawer haws eu twyllo.
Argymhelliad amddiffyn: Os yw'n bys, yna dim ond synhwyrydd ultrasonic. Ond peidiwch ag anghofio ei bod hi'n llawer haws rhoi'ch bys yn erbyn eich ewyllys na'ch wyneb.
Dull 6: Ymosodiad mwg
Disgrifir y dull hwn gan heddlu Prydain [4]. Mae'n cynnwys gwyliadwriaeth gudd o'r sawl a ddrwgdybir. Yr eiliad y mae'r sawl a ddrwgdybir yn datgloi ei ffôn, mae asiant dillad plaen yn ei gipio o ddwylo'r perchennog ac yn atal y ddyfais rhag cael ei chloi eto nes iddi gael ei throsglwyddo i arbenigwyr.
Argymhelliad amddiffyn: Rwy'n meddwl os ydyn nhw'n mynd i ddefnyddio mesurau o'r fath yn eich erbyn chi, yna mae pethau'n ddrwg. Ond yma mae angen i chi ddeall bod blocio ar hap yn dibrisio'r dull hwn. Ac, er enghraifft, mae pwyso'r botwm clo ar iPhone sawl gwaith yn lansio modd SOS, sydd hefyd yn diffodd FaceID ac yn gofyn am god pas.
Dull 7: gwallau mewn algorithmau rheoli dyfeisiau
Yn y ffrydiau newyddion o adnoddau arbenigol, gallwch chi ddod o hyd i negeseuon yn aml, pan fydd rhai gweithredoedd yn cael eu perfformio ar y ddyfais, mae ei sgrin wedi'i datgloi. Er enghraifft, gall sgrin glo rhai dyfeisiau ddatgloi pan fydd galwad yn dod i mewn. Anfantais y dull hwn yw bod gwendidau a nodwyd fel arfer yn cael eu pennu'n gyflym gan weithgynhyrchwyr.
Enghraifft o ddull o ddatgloi dyfeisiau symudol a ryddhawyd cyn 2016 yw draen batri. Pan fydd y batri yn isel, bydd y ddyfais yn datgloi ac yn eich annog i newid y gosodiadau pŵer. Yn yr achos hwn, mae angen i chi fynd yn gyflym i'r dudalen gyda gosodiadau diogelwch ac analluogi'r clo sgrin [5].
Argymhelliad amddiffyn: Peidiwch ag anghofio diweddaru OS eich dyfais mewn modd amserol, ac os na chaiff ei gefnogi mwyach, newidiwch eich ffôn clyfar.
Dull 8: Gwendidau mewn rhaglenni trydydd parti
Gall gwendidau a nodir mewn rhaglenni trydydd parti sydd wedi'u gosod ar ddyfais hefyd ddarparu mynediad llawn neu rannol i ddata ar ddyfais sydd wedi'i chloi.
Enghraifft o fregusrwydd o'r fath fyddai dwyn data o iPhone Jeff Bezos, prif berchennog Amazon. Arweiniodd bregusrwydd yn y negesydd WhatsApp, a ecsbloetiwyd gan bobl anhysbys, at ddwyn data cyfrinachol a oedd wedi'i leoli yng nghof y ddyfais [6].
Gall ymchwilwyr ddefnyddio gwendidau o'r fath i gyflawni eu nodau - tynnu data o ddyfeisiau wedi'u cloi neu eu datgloi.
Argymhelliad amddiffyn: Mae angen i chi ddiweddaru nid yn unig yr OS, ond hefyd y rhaglenni cais rydych chi'n eu defnyddio.
Dull 9: ffôn corfforaethol
Gall gweinyddwyr systemau cwmni ddatgloi dyfeisiau symudol corfforaethol. Er enghraifft, mae dyfeisiau corfforaethol Windows Phone wedi'u clymu i gyfrif Microsoft Exchange y cwmni a gall ei weinyddwyr eu datgloi. Ar gyfer dyfeisiau Apple corfforaethol, mae gwasanaeth Rheoli Dyfeisiau Symudol tebyg i Microsoft Exchange. Gall ei weinyddwyr hefyd ddatgloi dyfais iOS corfforaethol. Yn ogystal, dim ond i rai cyfrifiaduron a bennir gan y gweinyddwr yn y gosodiadau dyfais symudol y gellir cysylltu dyfeisiau symudol corfforaethol. Felly, heb ryngweithio â gweinyddwyr system y cwmni, ni ellir cysylltu dyfais o'r fath â chyfrifiadur yr ymchwilydd (neu system caledwedd a meddalwedd ar gyfer echdynnu data fforensig).
Argymhelliad amddiffyn: Mae MDM yn ddrwg ac yn dda o safbwynt diogelwch. Gall gweinyddwr MDM bob amser ailosod y ddyfais o bell. Mewn unrhyw achos, ni ddylech storio data personol sensitif ar ddyfais cwmni.
Dull 10: gwybodaeth o synwyryddion
Trwy ddadansoddi'r wybodaeth a dderbyniwyd gan synwyryddion y ddyfais, gallwch ddewis cyfrinair ar gyfer y ddyfais gan ddefnyddio algorithm arbennig. Dangosodd Adam J. Aviv y posibilrwydd o ymosodiadau o'r fath gan ddefnyddio data a gafwyd o gyflymromedr ffôn clyfar. Yn ystod yr ymchwil, llwyddodd y gwyddonydd i bennu'r cyfrinair symbolaidd yn gywir mewn 43% o achosion, a'r cyfrinair graffig mewn 73% [7].
Argymhelliad amddiffyn: Byddwch yn ofalus pa apiau rydych chi'n rhoi caniatâd i olrhain synwyryddion amrywiol.
Dull 11: Datgloi Wyneb
Yn yr un modd ag olion bysedd, mae llwyddiant datgloi dyfais gan ddefnyddio technoleg FaceID yn dibynnu ar ba synwyryddion a pha fathemateg a ddefnyddir mewn dyfais symudol benodol. Felly, yn y gwaith “Gezichtsherkenning op smartphone niet altijd veilig” [8], dangosodd ymchwilwyr fod modd datgloi rhai o’r ffonau clyfar a astudiwyd yn syml trwy ddangos llun y perchennog i gamera’r ffôn clyfar. Mae hyn yn bosibl pan mai dim ond un camera blaen a ddefnyddir ar gyfer datgloi, nad oes ganddo'r gallu i sganio data dyfnder delwedd. Gorfodwyd Samsung, ar ôl nifer o gyhoeddiadau a fideos proffil uchel ar YouTube, i ychwanegu rhybudd at gadarnwedd ei ffonau smart. Datgloi Wyneb Samsung:
Gellir datgloi modelau ffôn clyfar mwy datblygedig gan ddefnyddio mwgwd neu ddyfais yn hunan-ddysgu. Er enghraifft, mae'r iPhone X yn defnyddio technoleg TrueDepth arbennig [9]: mae taflunydd y ddyfais, gan ddefnyddio dau gamera ac allyrrydd isgoch, yn taflunio grid sy'n cynnwys mwy na 30 o ddotiau ar wyneb y perchennog. Gellir datgloi dyfais o'r fath gan ddefnyddio mwgwd, y mae ei gyfuchliniau yn efelychu cyfuchliniau wyneb y perchennog. mwgwd datgloi iPhone [000]:
Gan fod system o'r fath yn gymhleth iawn ac nad yw'n gweithio o dan amodau delfrydol (mae'r perchennog yn heneiddio'n naturiol, yn newid cyfluniad wyneb oherwydd mynegiant o emosiynau, blinder, iechyd, ac ati), mae'n cael ei orfodi i addysgu ei hun yn gyson. Felly, os yw person arall yn dal y ddyfais heb ei gloi o'i flaen, bydd ei wyneb yn cael ei gofio fel wyneb perchennog y ddyfais ac yn y dyfodol bydd yn gallu datgloi'r ffôn clyfar gan ddefnyddio technoleg FaceID.
Argymhelliad amddiffyn: Peidiwch â defnyddio datgloi lluniau - dim ond systemau gyda sganwyr wyneb llawn (FaceID ar gyfer Apple ac analogau ar gyfer dyfeisiau Android).
Y prif argymhelliad yw peidio ag edrych ar y camera, dim ond edrych i ffwrdd. Hyd yn oed os byddwch chi'n cau un llygad, mae'r siawns o'i ddatgloi yn gostwng yn fawr, yn union fel pe bai gennych chi'ch dwylo ar eich wyneb. Yn ogystal, i ddatgloi wyneb (FaceID), dim ond 5 ymgais a roddir, ac ar ôl hynny bydd angen i chi nodi cod cyfrinair.
Dull 12: Defnyddio Gollyngiadau
Mae cronfeydd data cyfrinair a ddatgelwyd yn ffordd wych o ddeall seicoleg perchennog y ddyfais (ar yr amod bod gan yr ymchwilydd wybodaeth am gyfeiriadau e-bost perchennog y ddyfais). Yn yr enghraifft uchod, dychwelodd chwiliad am y cyfeiriad e-bost ddau gyfrinair tebyg a ddefnyddiodd y perchennog. Gellir tybio y gellid defnyddio'r cyfrinair 21454162 neu ei ddeilliadau (er enghraifft, 2145 neu 4162) fel cod clo dyfais symudol. (Mae chwiliad o gyfeiriad e-bost y perchennog mewn cronfeydd data gollyngiadau yn dangos pa gyfrineiriau y gallai'r perchennog fod wedi'u defnyddio, gan gynnwys cloi ei ddyfais symudol.)
Argymhelliad amddiffyn: gweithredu'n rhagweithiol, monitro data ar ollyngiadau a newid cyfrineiriau a geir mewn gollyngiadau yn brydlon!
Dull 13: cyfrineiriau clo dyfais nodweddiadol
Fel rheol, nid yw un ddyfais symudol yn cael ei hatafaelu oddi wrth y perchennog, ond sawl un. Yn aml mae yna ddwsin o ddyfeisiau o'r fath. Yn yr achos hwn, gallwch ddod o hyd i gyfrinair ar gyfer dyfais sy'n agored i niwed a cheisio ei gymhwyso i ffonau smart a thabledi eraill a atafaelwyd gan yr un perchennog.
Wrth ddadansoddi data a dynnwyd o ddyfeisiau symudol, mae data o'r fath yn cael ei arddangos mewn rhaglenni fforensig (yn aml hyd yn oed wrth echdynnu data o ddyfeisiau wedi'u cloi gan ddefnyddio gwahanol fathau o wendidau).
Fel y gwelwch yn y sgrin o ran o ffenestr weithredol rhaglen Dadansoddwr Corfforol UFED, mae'r ddyfais wedi'i rhwystro gan god PIN eithaf anarferol fgkl.
Peidiwch ag esgeuluso dyfeisiau defnyddwyr eraill. Er enghraifft, trwy ddadansoddi cyfrineiriau sydd wedi'u storio yn storfa porwr gwe cyfrifiadur perchennog dyfais symudol, gall rhywun ddeall yr egwyddorion cynhyrchu cyfrinair a ddilynir gan y perchennog. Gallwch weld cyfrineiriau sydd wedi'u cadw ar eich cyfrifiadur gan ddefnyddio cyfleuster NirSoft [11].
Hefyd, efallai y bydd ffeiliau Lockdown ar gyfrifiadur (gliniadur) perchennog y ddyfais symudol, a all helpu i gael mynediad at ddyfais symudol Apple sydd wedi'i chloi. Bydd y dull hwn yn cael ei drafod ymhellach isod.
Argymhelliad amddiffyn: Defnyddiwch gyfrineiriau gwahanol, unigryw ym mhobman.
Dull 14: Codau PIN nodweddiadol
Fel y nodwyd yn gynharach, mae defnyddwyr yn aml yn defnyddio cyfrineiriau safonol: rhifau ffôn, cardiau banc, codau PIN. Gellir defnyddio gwybodaeth o'r fath i ddatgloi'r ddyfais a ddarperir.
Os bydd popeth arall yn methu, gallwch ddefnyddio'r wybodaeth ganlynol: cynhaliodd yr ymchwilwyr ddadansoddiad a chanfod y codau PIN mwyaf poblogaidd (mae'r codau PIN a roddwyd yn cwmpasu 26,83% o'r holl gyfrineiriau) [12]:
PIN
Amlder, %
1234
10,713
1111
6,016
0000
1,881
1212
1,197
7777
0,745
1004
0,616
2000
0,613
4444
0,526
2222
0,516
6969
0,512
9999
0,451
3333
0,419
5555
0,395
6666
0,391
1122
0,366
1313
0,304
8888
0,303
4321
0,293
2001
0,290
1010
0,285
Bydd cymhwyso'r rhestr hon o godau PIN i ddyfais sydd wedi'i chloi yn caniatáu ichi ei datgloi gyda thebygolrwydd o ~26%.
Argymhelliad amddiffyn: gwiriwch eich cod PIN yn y tabl uchod a, hyd yn oed os nad yw’n cyfateb, newidiwch ef beth bynnag, oherwydd mae 4 digid yn rhy ychydig erbyn safonau 2020.
Dull 15: cyfrineiriau graffig nodweddiadol
Fel y disgrifir uchod, ar ôl cael data o gamerâu gwyliadwriaeth lle mae perchennog y ddyfais yn ceisio ei ddatgloi, gallwch ddewis patrwm datgloi mewn pum ymgais. Yn ogystal, yn union fel y ceir codau PIN generig, mae yna hefyd batrymau generig y gellir eu defnyddio i ddatgloi dyfeisiau symudol sydd wedi'u cloi [13, 14].
Patrymau syml [14]:
Patrymau o gymhlethdod canolig [14]:
Patrymau cymhleth [14]:
Rhestr o'r patrymau graffeg mwyaf poblogaidd yn ôl yr ymchwilydd Jeremy Kirby [15].
3>2>5>8>7
1>4>5>6>9
1>4>7>8>9
3>2>1>4>5>6>9>8>7
1>4>7>8>9>6>3
1>2>3>5>7>8>9
3>5>6>8
1>5>4>2
2>6>5>3
4>8>7>5
5>9>8>6
7>4>1>2>3>5>9
1>4>7>5>3>6>9
1>2>3>5>7
3>2>1>4>7>8>9
3>2>1>4>7>8>9>6>5
3>2>1>5>9>8>7
1>4>7>5>9>6>3
7>4>1>5>9>6>3
3>6>9>5>1>4>7
7>4>1>5>3>6>9
5>6>3>2>1>4>7>8>9
5>8>9>6>3>2>1>4>7
7>4>1>2>3>6>9
1>4>8>6>3
1>5>4>6
2>4>1>5
7>4>1>2>3>6>5
Ar rai dyfeisiau symudol, yn ogystal â'r cod graffeg, gellir gosod cod PIN ychwanegol. Yn yr achos hwn, os nad yw'n bosibl dod o hyd i god graffeg, gall yr ymchwilydd glicio ar y botwm Cod PIN ychwanegol (cod PIN ychwanegol) ar ôl mynd i mewn i'r cod graffeg anghywir a cheisiwch ddod o hyd i god PIN ychwanegol.
Argymhelliad amddiffyn: Mae'n well peidio â defnyddio allweddi graffeg o gwbl.
Dull 16: Cyfrineiriau Alffaniwmerig
Os gellir defnyddio cyfrinair alffaniwmerig ar ddyfais, yna gallai'r perchennog ddefnyddio'r cyfrineiriau poblogaidd canlynol fel cod clo [16]:
- 123456
- cyfrinair
- 123456789
- 12345678
- 12345
- 111111
- 1234567
- heulwen
- qwerty
- Rwy'n dy garu di
- dywysoges
- admin
- croeso
- 666666
- abc123
- pêl-droed
- 123123
- mwnci
- 654321
- ! @ # $% ^ & *
- charlie
- Aa123456
- Donald
- password1
- qwerty123
Argymhelliad amddiffyn: Defnyddiwch gyfrineiriau cymhleth, unigryw yn unig gyda nodau arbennig ac achosion gwahanol. Gwiriwch i weld a ydych yn defnyddio un o'r cyfrineiriau uchod. Os ydych chi'n ei ddefnyddio, newidiwch ef i un mwy dibynadwy.
Dull 17: Storfa cwmwl neu leol
Os nad yw'n dechnegol bosibl tynnu data o ddyfais sydd wedi'i chloi, gall arbenigwyr fforensig edrych am ei gopïau wrth gefn ar gyfrifiaduron perchennog y ddyfais neu yn y storfeydd cwmwl priodol.
Yn aml, nid yw perchnogion ffonau smart Apple, wrth eu cysylltu â'u cyfrifiaduron, yn sylweddoli y gellir creu copi wrth gefn lleol neu gwmwl o'r ddyfais ar hyn o bryd.
Gall storfa cwmwl Google ac Apple storio nid yn unig data o ddyfeisiau, ond hefyd cyfrineiriau a arbedir gan y ddyfais. Gall adfer y cyfrineiriau hyn eich helpu i ddyfalu cod clo eich dyfais symudol.
O'r Keychain storio yn iCloud, gallwch echdynnu'r cyfrinair dyfais wrth gefn a osodwyd gan y perchennog, a fydd, gyda lefel uchel o debygolrwydd, yn cyd-fynd â PIN clo sgrin.
Os yw gorfodi'r gyfraith yn cysylltu â Google ac Apple, gall y cwmnïau drosglwyddo data presennol, a fydd yn debygol o leihau'r angen i ddatgloi'r ddyfais yn fawr, gan y bydd gan orfodi'r gyfraith y data eisoes.
Er enghraifft, ar ôl yr ymosodiad terfysgol yn Penscon, trosglwyddwyd copïau o ddata a storiwyd yn iCloud i'r FBI. O ddatganiad Apple:
“O fewn oriau i gais cychwynnol yr FBI ar Ragfyr 6, 2019, fe wnaethom ddarparu ystod eang o wybodaeth yn ymwneud â’r ymchwiliad. Rhwng Rhagfyr 7 a Rhagfyr 14, cawsom chwe chais cyfreithiol ychwanegol ac ymateb gyda gwybodaeth gan gynnwys copïau wrth gefn iCloud, gwybodaeth cyfrif, a gwybodaeth trafodion ar gyfer cyfrifon lluosog.
Fe wnaethom ymateb i bob cais yn brydlon, yn aml o fewn oriau, gan rannu gwybodaeth â swyddfeydd yr FBI yn Jacksonville, Pensacola ac Efrog Newydd. Ar gais yr ymchwiliad, derbyniwyd llawer o gigabeit o wybodaeth, y gwnaethom ei drosglwyddo i'r ymchwilwyr. ” [17, 18, 19]
Argymhelliad amddiffyn: gall unrhyw beth a anfonwch i'r cwmwl heb ei amgryptio gael ei ddefnyddio yn eich erbyn.
Dull 18: Cyfrif Google
Mae'r dull hwn yn addas ar gyfer dileu cyfrinair graffeg sy'n cloi sgrin dyfais symudol sy'n rhedeg system weithredu Android. I ddefnyddio'r dull hwn, mae angen i chi wybod yr enw defnyddiwr a chyfrinair ar gyfer cyfrif Google perchennog y ddyfais. Ail amod: rhaid cysylltu'r ddyfais â'r Rhyngrwyd.
Os rhowch gyfrinair llun anghywir sawl gwaith yn olynol, bydd y ddyfais yn eich annog i ailosod y cyfrinair. Ar ôl hyn, mae angen i chi fewngofnodi i'r cyfrif defnyddiwr, a fydd yn arwain at ddatgloi sgrin y ddyfais [5].
Oherwydd yr amrywiaeth o atebion caledwedd, systemau gweithredu Android a gosodiadau diogelwch ychwanegol, dim ond i nifer o ddyfeisiau y mae'r dull hwn yn berthnasol.
Os nad oes gan yr ymchwilydd y cyfrinair i gyfrif Google perchennog y ddyfais, gallant geisio ei adfer gan ddefnyddio dulliau safonol ar gyfer adennill cyfrineiriau o gyfrifon o'r fath.
Os nad yw'r ddyfais wedi'i chysylltu â'r Rhyngrwyd ar adeg yr astudiaeth (er enghraifft, mae'r cerdyn SIM wedi'i rwystro neu os nad oes digon o arian arno), yna gellir cysylltu dyfais o'r fath â Wi-Fi gan ddefnyddio'r cyfarwyddiadau canlynol:
- pwyswch yr eicon “Galwad Argyfwng”.
- deialwch *#*#7378423#*#*
- dewiswch Prawf Gwasanaeth - Wlan
- cysylltu â rhwydwaith Wi-Fi sydd ar gael [5]
Argymhelliad amddiffyn: Peidiwch ag anghofio defnyddio dilysiad dau ffactor lle bynnag y bo modd, ac yn yr achos hwn, mae'n well ei gysylltu â chymhwysiad yn hytrach na chod trwy SMS.
Dull 19: Cyfrif Gwestai
Gall dyfeisiau symudol sy'n rhedeg Android 5 a systemau gweithredu uwch gael cyfrifon lluosog. Mae'n bosibl na fydd cod PIN neu god patrwm yn rhwystro mynediad at ddata cyfrif ychwanegol. I newid, mae angen i chi glicio ar yr eicon cyfrif yn y gornel dde uchaf a dewis cyfrif arall:
Ar gyfer cyfrif eilaidd, gall mynediad i rai data neu gymwysiadau fod yn gyfyngedig.
Argymhelliad amddiffyn: Mae'n bwysig diweddaru'r OS yma. Mewn fersiynau modern o Android (9 ac uwch gyda chlytiau diogelwch o fis Gorffennaf 2020), nid yw'r cyfrif gwestai, fel rheol, yn darparu unrhyw alluoedd.
Dull 20: gwasanaethau arbenigol
Mae cwmnïau sy'n ymwneud â datblygu rhaglenni fforensig arbenigol hefyd yn cynnig gwasanaethau ar gyfer datgloi dyfeisiau symudol a thynnu data oddi wrthynt [20, 21]. Mae posibiliadau gwasanaethau o'r fath yn wych. Gan eu defnyddio, gallwch ddatgloi modelau uchaf o ddyfeisiau Android ac iOS, yn ogystal â dyfeisiau sydd yn y modd adfer (y mae'r ddyfais yn mynd i mewn iddynt ar ôl rhagori ar nifer yr ymdrechion cyfrinair anghywir). Anfantais y dull hwn yw ei gost uchel.
Darn o dudalen we o wefan Cellebrite yn disgrifio pa ddyfeisiau y gallant dynnu data ohonynt. Gellir datgloi'r ddyfais yn labordy'r datblygwr (Cellebrite Advanced Service (CAS)) [20]:
Ar gyfer gwasanaeth o'r fath, rhaid darparu'r ddyfais i swyddfa ranbarthol (neu brif swyddfa) y cwmni. Mae'n bosibl i arbenigwr ymweld â'r cwsmer. Yn nodweddiadol, mae cracio cod clo sgrin yn cymryd un diwrnod.
Argymhelliad amddiffyn: Mae bron yn amhosibl amddiffyn eich hun heblaw defnyddio cyfrinair alffaniwmerig cryf a newid dyfeisiau bob blwyddyn.
Arbenigwyr Labordy PS Group-IB yn siarad am yr achosion hyn, offer a llawer o nodweddion defnyddiol eraill yng ngwaith arbenigwr fforensig cyfrifiadurol fel rhan o gwrs hyfforddi . Ar ôl cwblhau'r cwrs 5 diwrnod neu'r cwrs 7 diwrnod estynedig, bydd graddedigion yn gallu cynnal ymchwiliadau fforensig yn fwy effeithiol ac atal digwyddiadau seiber yn eu sefydliadau.
PPS llawn gweithgareddau am ddiogelwch gwybodaeth, hacwyr, APTs, ymosodiadau seiber, sgamwyr a môr-ladron. Ymchwiliadau cam wrth gam, achosion ymarferol gan ddefnyddio technolegau Group-IB ac argymhellion ar sut i osgoi dod yn ddioddefwr. Cyswllt!
Ffynonellau
- Guixin Yey, Zhanyong Tang, Dingyi Fangy, Xiaojiang Cheny, Kwang Kimz, Ben Taylorx, Zheng Wang.
- Dominic Casciani, Porth Gaetan.
- Anatoly Alizar.
- Maria Nefedova.
- Anton Makarov. Ffordd osgoi cyfrinair llun ar ddyfeisiau Android
- Jeremy Kirby.
- Andrey Smirnov.
- Maria Nefedova.
Ffynhonnell: hab.com