Компьютерлік сот-медициналық сарапшылар өз жұмысында смартфонның құлпын тез ашу қажет болған жағдайларды жиі кездестіреді. Мәселен, жасөспірімнің өзіне-өзі қол жұмсау себептерін түсіну үшін тергеуге телефоннан алынған мәліметтер қажет. Басқа жағдайда жүк көлігі жүргізушілеріне шабуыл жасаған қылмыстық топтың ізіне түсуге көмектеседі. Әрине, сүйкімді әңгімелер бар - ата-аналар гаджеттің құпия сөзін ұмытып кетті, онда нәрестелерінің алғашқы қадамдары бар бейне болды, бірақ, өкінішке орай, олардың аз ғана. Бірақ олар да мәселеге кәсіби көзқарасты талап етеді. Бұл мақалада Игорь Михайлов, Group-IB компьютерлік сот сараптамасы зертханасының маманы, сот сарапшыларына смартфон құлпын айналып өтуге мүмкіндік беретін жолдар туралы айтады.
Маңызды: Бұл мақала мобильді құрылғы иелері пайдаланатын құпия сөздер мен графикалық үлгілердің қауіпсіздігін бағалау үшін жазылған. Сипатталған әдістерді пайдаланып мобильді құрылғының құлпын ашуды шешсеңіз, құрылғылардың құлпын ашу үшін барлық әрекеттерді өз қатеріңізге және тәуекеліңізге байланысты орындайтыныңызды есте сақтаңыз. Мобильді құрылғыларды басқару кезінде құрылғыны құлыптауға, пайдаланушы деректерін өшіруге немесе құрылғының дұрыс жұмыс істемеуіне себеп болуы мүмкін. Сондай-ақ пайдаланушыларға құрылғыларының қорғаныс деңгейін арттыру бойынша ұсыныстар беріледі.
Сонымен, құрылғыдағы пайдаланушы ақпаратына қол жеткізуді шектеудің ең кең таралған әдісі мобильді құрылғының экранын құлыптау болып табылады. Мұндай құрылғы сот-медициналық зертханаға кіргенде, онымен жұмыс істеу қиын болуы мүмкін, өйткені мұндай құрылғы үшін USB жөндеу режимін қосу мүмкін емес (Android құрылғылары үшін), емтихан алушының компьютерінің онымен өзара әрекеттесуге рұқсатын растау мүмкін емес. құрылғы (Apple мобильді құрылғылары үшін) және , нәтижесінде құрылғы жадында сақталған деректерге қол жеткізу мүмкін емес.
Калифорнияның Сан-Бернардино қаласындағы лаңкестік әрекетке қатысушылардың бірі лаңкес Сайед Фаруктың iPhone телефонының құлпын ашу үшін АҚШ Федералдық тергеу бюросының қомақты сома төлегені мобильді құрылғының әдеттегі экран құлпы мамандарға қаншалықты кедергі келтіретінін көрсетеді. одан мәліметтер алу [1].
Мобильді құрылғы экранының құлпын ашу әдістері
Әдетте, мобильді құрылғының экранын құлыптау үшін қолданылады:
- Символдық пароль
- Графикалық құпия сөз
Сондай-ақ, SmartBlock технологиясының әдістерін бірқатар мобильді құрылғылардың экран құлпын ашу үшін пайдалануға болады:
- Саусақ ізі құлпын ашу
- Face Unlock (FaceID технологиясы)
- Ирис тану арқылы құрылғының құлпын ашыңыз
Мобильді құрылғының құлпын ашудың әлеуметтік әдістері
Таза техникалық әдістерден басқа, PIN кодын немесе экран құлпын графикалық кодын (үлгісін) анықтаудың немесе жеңудің басқа жолдары бар. Кейбір жағдайларда әлеуметтік әдістер техникалық шешімдерге қарағанда тиімдірек болуы мүмкін және бар техникалық әзірлемелерге бағынған құрылғылардың құлпын ашуға көмектеседі.
Бұл бөлімде техникалық құралдарды пайдалануды қажет етпейтін (немесе тек шектеулі, ішінара ғана талап ететін) мобильді құрылғы экранының құлпын ашу әдістері сипатталады.
Әлеуметтік шабуылдарды жүзеге асыру үшін құлыпталған құрылғы иесінің психологиясын мүмкіндігінше тереңірек зерттеу, оның құпия сөздерді немесе графикалық үлгілерді жасау және сақтау принциптерін түсіну қажет. Сондай-ақ, зерттеушіге сәттілік керек болады.
Құпия сөзді анықтауға қатысты әдістерді пайдаланған кезде мынаны есте ұстаған жөн:
- Apple мобильді құрылғыларында он қате құпия сөзді енгізу пайдаланушы деректерінің жойылуына әкелуі мүмкін. Бұл пайдаланушы орнатқан қауіпсіздік параметрлеріне байланысты;
- Android операциялық жүйесімен жұмыс істейтін мобильді құрылғыларда Root of Trust технологиясын қолдануға болады, бұл 30 қате құпия сөзді енгізгеннен кейін пайдаланушы деректеріне қол жетімсіз болады немесе жойылады.
1-әдіс: құпия сөзді сұраңыз
Бұл біртүрлі болып көрінуі мүмкін, бірақ құрылғының иесінен жай сұрау арқылы құлыпты ашу құпия сөзін білуге болады. Статистика көрсеткендей, мобильді құрылғы иелерінің шамамен 70% құпия сөзін бөлісуге дайын. Әсіресе, егер бұл зерттеу уақытын қысқартады және сәйкесінше, иесі өз құрылғысын тезірек қайтарады. Егер иесінен құпия сөзді сұрау мүмкін болмаса (мысалы, құрылғының иесі қайтыс болған) немесе ол оны жария етуден бас тартса, құпия сөзді оның жақын туыстарынан алуға болады. Әдетте, туыстар құпия сөзді біледі немесе ықтимал нұсқаларды ұсына алады.
Қорғау бойынша ұсыныс: Телефон құпия сөзі төлем деректерін қоса алғанда, барлық деректердің әмбебап кілті болып табылады. Сөйлесу, жіберу, оны жедел мессенджерлерде жазу - жаман идея.
2-әдіс: құпия сөзді қараңыз
Құпия сөзді иесі құрылғыны пайдаланған кезде қарауға болады. Құпия сөзді (таңба немесе графика) ішінара есте сақтасаңыз да, бұл ықтимал опциялардың санын айтарлықтай азайтады, бұл оны тезірек болжауға мүмкіндік береді.
Бұл әдістің нұсқасы - иесінің үлгі құпия сөзін пайдаланып құрылғы құлпын ашқанын көрсететін бейнебақылау камерасын пайдалану [2]. «Бес әрекетте Android үлгісін құлыптауды бұзу» [2] жұмысында сипатталған алгоритм бейнежазбаларды талдау арқылы графикалық құпия сөздің нұсқаларын табуға және бірнеше әрекетте құрылғының құлпын ашуға мүмкіндік береді (әдетте, бұл бұдан артық қажет емес. бес әрекеттен артық). Авторлардың айтуынша, «графикалық пароль неғұрлым күрделі болса, оны алу оңайырақ».
Қорғау бойынша ұсыныс: Графикалық кілтті пайдалану ең жақсы идея емес. Әріптік-сандық құпия сөзді көру өте қиын.
3-әдіс: құпия сөзді табыңыз
Құпия сөзді құрылғы иесінің жазбаларынан табуға болады (компьютердегі файлдар, күнделік, құжаттарда жатқан қағаз фрагменттері). Егер адам бірнеше түрлі мобильді құрылғыларды пайдаланса және олардың құпия сөздері әртүрлі болса, кейде осы құрылғылардың батарея бөлімінде немесе смартфонның корпусы мен корпусының арасындағы кеңістікте құпия сөздер жазылған қағаз қалдықтарын таба аласыз:
Қорғау бойынша ұсыныс: құпия сөздері бар «дәптерді» сақтаудың қажеті жоқ. Құлыпты ашу әрекеттерінің санын азайту үшін осы құпия сөздердің барлығы жалған екені белгілі болмаса, бұл жаман идея.
4-әдіс: саусақ іздері (даққа шабуыл)
Бұл әдіс құрылғы дисплейінде қолдың майлы терінің іздерін анықтауға мүмкіндік береді. Оларды құрылғының экранын жеңіл саусақ ізі ұнтағымен өңдеу арқылы (арнайы сот-медициналық ұнтақтың орнына нәресте ұнтағын немесе ақ немесе ашық сұр түсті басқа химиялық белсенді емес ұсақ ұнтақты қолдануға болады) немесе құрылғының экранына қарау арқылы көруге болады. қиғаш жарық сәулелеріндегі құрылғы. Қол іздерінің салыстырмалы орналасуын талдай отырып және құрылғының иесі туралы қосымша ақпаратқа ие бола отырып (мысалы, оның туған жылын білу) мәтіндік немесе графикалық құпия сөзді болжауға болады. Стильденген Z әрпі түріндегі смартфон дисплейінде тер-май қабаты осылай көрінеді:
Қорғау бойынша ұсыныс: Жоғарыда айтқанымыздай, графикалық құпия сөз олеофобты жабыны нашар көзілдірік сияқты жақсы идея емес.
5-әдіс: жасанды саусақ
Құрылғының құлпын саусақ ізімен ашуға болатын болса және зерттеушіде құрылғы иесінің қол ізінің үлгілері болса, онда иесінің саусақ ізінің 3D көшірмесін 3D принтерде жасап, құрылғының құлпын ашу үшін пайдалануға болады [XNUMX]:
Тірі адамның саусағын толықтай еліктеу үшін - мысалы, смартфонның саусақ ізі сенсоры әлі де жылуды анықтаған кезде - 3D моделі тірі адамның саусағына кигізіледі (жеңілдейді).
Құрылғы иесі, тіпті экранды құлыптау құпия сөзін ұмытып қалса да, саусақ ізі арқылы құрылғының құлпын өзі аша алады. Бұл иесі құпия сөзді бере алмайтын, бірақ зерттеушіге өз құрылғысының құлпын ашуға көмектесуге дайын болған кейбір жағдайларда қолданылуы мүмкін.
Зерттеуші мобильді құрылғылардың әртүрлі үлгілерінде қолданылатын сенсорлардың ұрпақтарын есте ұстауы керек. Датчиктердің ескі үлгілері құрылғының иесі міндетті түрде емес, кез келген дерлік саусақпен іске қосылуы мүмкін. Қазіргі ультрадыбыстық сенсорлар, керісінше, өте терең және анық сканерлейді. Сонымен қатар, қазіргі заманғы экран астындағы бірқатар сенсорлар жай ғана CMOS камералары болып табылады, олар кескіннің тереңдігін сканерлей алмайды, бұл оларды алдауды жеңілдетеді.
Қорғау бойынша ұсыныс: Егер саусақ болса, онда тек ультрадыбыстық сенсор. Бірақ саусақты өз еркіңізге қарсы қою бетке қарағанда әлдеқайда оңай екенін ұмытпаңыз.
6-әдіс: «еркін» (кружка шабуылы)
Бұл әдісті британдық полиция сипаттайды [4]. Ол күдіктіні жасырын қадағалаудан тұрады. Күдікті телефонының құлпын ашқан сәтте, азаматтық киім киген агент оны иесінің қолынан тартып алып, мамандарға тапсырғанша құрылғының қайта құлыпталуына жол бермейді.
Қорғау бойынша ұсыныс: Менің ойымша, егер сізге қарсы осындай шаралар қолданылса, онда жағдай нашар. Бірақ мұнда кездейсоқ блоктау бұл әдісті құнсыздандыратынын түсіну керек. Және, мысалы, iPhone-дағы құлыптау түймесін қайта-қайта басу SOS режимін іске қосады, ол барлығына қосымша FaceID өшіреді және рұқсат кодын талап етеді.
7-әдіс: құрылғыны басқару алгоритмдеріндегі қателер
Арнайы ресурстардың жаңалықтар арналарында құрылғының белгілі бір әрекеттері оның экранының құлпын ашатыны туралы хабарламаларды жиі таба аласыз. Мысалы, кейбір құрылғылардың құлыптау экранын кіріс қоңырау арқылы ашуға болады. Бұл әдістің кемшілігі - анықталған осалдықтарды, әдетте, өндірушілер тез арада жояды.
2016 жылға дейін шығарылған мобильді құрылғылардың құлпын ашу әдісінің мысалы - батареяның таусылуы. Батарея заряды аз болғанда, құрылғы құлпын ашады және қуат параметрлерін өзгертуді ұсынады. Бұл жағдайда қауіпсіздік параметрлері бар бетке жылдам өтіп, экран құлпын өшіру керек [5].
Қорғау бойынша ұсыныс: Құрылғының операциялық жүйесін уақтылы жаңартуды ұмытпаңыз, ал егер оған қолдау көрсетілмесе, смартфонды өзгертіңіз.
8-әдіс: Үшінші тарап бағдарламаларындағы осалдықтар
Құрылғыда орнатылған үшінші тарап қолданбаларында табылған осалдықтар құлыпталған құрылғы деректеріне толық немесе ішінара қатынасты қамтамасыз етуі мүмкін.
Мұндай осалдықтың мысалы ретінде Amazon-тың негізгі иесі Джефф Безостың iPhone телефонындағы деректердің ұрлануы болып табылады. Белгісіз адамдар пайдаланған WhatsApp мессенджеріндегі осалдық құрылғының жадында сақталған құпия деректердің ұрлануына әкелді [6].
Мұндай осалдықтарды зерттеушілер өз мақсаттарына жету үшін – құлыпталған құрылғылардан деректерді алу немесе олардың құлпын ашу үшін пайдалана алады.
Қорғау бойынша ұсыныс: Сіз тек ОЖ-ны ғана емес, сонымен қатар сіз қолданатын қолданбаларды да жаңартуыңыз керек.
9-әдіс: корпоративтік телефон
Корпоративтік мобильді құрылғыларды компанияның жүйелік әкімшілері ашуы мүмкін. Мысалы, корпоративтік Windows Phone құрылғылары компанияның Microsoft Exchange тіркелгісімен байланыстырылған және оларды компания әкімшілері ашуы мүмкін. Корпоративтік Apple құрылғылары үшін Microsoft Exchange сияқты мобильді құрылғыларды басқару қызметі бар. Оның әкімшілері корпоративтік iOS құрылғысының құлпын аша алады. Бұған қоса, корпоративтік мобильді құрылғыларды мобильді құрылғы параметрлерінде әкімші көрсеткен белгілі бір компьютерлермен ғана жұптастыруға болады. Сондықтан, компанияның жүйелік әкімшілерімен өзара әрекеттеспей, мұндай құрылғыны зерттеушінің компьютеріне (немесе сот-сараптама деректерін алудың бағдарламалық-аппараттық жүйесіне) қосу мүмкін емес.
Қорғау бойынша ұсыныс: МДМ қорғаныс тұрғысынан бірде жаман, әрі жақсы. MDM әкімшісі әрқашан құрылғыны қашықтан қалпына келтіре алады. Ешбір жағдайда құпия жеке деректерді корпоративтік құрылғыда сақтамау керек.
10-әдіс: сенсорлардан алынған ақпарат
Құрылғының сенсорларынан алынған ақпаратты талдай отырып, арнайы алгоритм арқылы құрылғының құпия сөзін болжауға болады. Адам Дж. Авив смартфонның акселерометрінен алынған деректерді пайдалана отырып, мұндай шабуылдардың орындылығын көрсетті. Зерттеу барысында ғалым символдық парольді 43% жағдайда, ал графикалық парольді 73% жағдайда дұрыс анықтай алды [7].
Қорғау бойынша ұсыныс: Қандай қолданбаларға әртүрлі сенсорларды бақылауға рұқсат бергеніңізге абай болыңыз.
11-әдіс: бет тану
Саусақ ізі жағдайындағы сияқты, FaceID технологиясы арқылы құрылғының құлпын ашудың сәттілігі нақты мобильді құрылғыда қандай сенсорлар мен қандай математикалық аппарат пайдаланылғанына байланысты. Осылайша, «Gezichtsherkenning op smartphone niet altijd veilig» [8] жұмысында зерттеушілер зерттелген смартфондардың кейбірінің құлпы смартфонның камерасына иесінің фотосын көрсету арқылы ғана ашылғанын көрсетті. Бұл құлыпты ашу үшін кескін тереңдігі деректерін сканерлеу мүмкіндігі жоқ бір ғана алдыңғы камера пайдаланылғанда мүмкін болады. Samsung YouTube желісіндегі танымал жарияланымдар мен бейнелер сериясынан кейін смартфондарының микробағдарламасына ескерту қосуға мәжбүр болды. Face Unlock Samsung:
Неғұрлым жетілдірілген смартфондардың құлпын маска немесе құрылғының өздігінен үйренуі арқылы ашуға болады. Мысалы, iPhone X арнайы TrueDepth технологиясын пайдаланады [9]: құрылғының проекторы екі камера мен инфрақызыл эмитент арқылы иесінің бетіне 30 000-нан астам нүктеден тұратын торды проекциялайды. Мұндай құрылғының құлпын контуры пайдаланушы бетінің контурына ұқсайтын маска арқылы ашуға болады. iPhone құлпын ашу маскасы [10]:
Мұндай жүйе өте күрделі және идеалды жағдайларда жұмыс істемейтіндіктен (иенің табиғи қартаюы, эмоциялардың көрінісіне байланысты бет конфигурациясының өзгеруі, шаршау, денсаулық жағдайы және т.б.), ол үнемі өздігінен білім алуға мәжбүр. Сондықтан, егер басқа адам құлпы ашылған құрылғыны алдында ұстаса, оның беті құрылғы иесінің бет-бейнесі ретінде есте қалады және болашақта FaceID технологиясы арқылы смартфонның құлпын аша алады.
Қорғау бойынша ұсыныс: «фото» арқылы құлыпты ашуды пайдаланбаңыз - тек толыққанды бет сканерлері бар жүйелер (Apple FaceID және Android құрылғыларындағы аналогтары).
Негізгі ұсыныс - камераға қарамаңыз, жай ғана басқа жаққа қараңыз. Егер сіз бір көзді жұмысаңыз да, құлыпты ашу мүмкіндігі беттегі қолдар сияқты айтарлықтай төмендейді. Бұған қоса, құлыпты бетке (FaceID) ашуға тек 5 әрекет беріледі, содан кейін рұқсат кодын енгізу қажет болады.
12-әдіс: ағып кетуді пайдалану
Құпия сөздің ағып кеткен дерекқорлары құрылғы иесінің психологиясын түсінудің тамаша тәсілі болып табылады (зерттеушіде құрылғы иесінің электрондық пошта мекенжайлары туралы ақпарат болса). Жоғарыдағы мысалда электрондық пошта мекенжайын іздеу иесі пайдаланған екі ұқсас құпия сөзді қайтарды. Мобильді құрылғыны құлыптау коды ретінде 21454162 құпия сөзі немесе оның туындылары (мысалы, 2145 немесе 4162) пайдаланылуы мүмкін деп болжауға болады. (Ағып кеткен дерекқорлардан иесінің электрондық пошта мекенжайын іздеу иесінің қандай құпия сөздерді, соның ішінде мобильді құрылғысын құлыптау үшін пайдаланғанын көрсетеді.)
Қорғау бойынша ұсыныс: белсенді әрекет етіңіз, ағып кету туралы деректерді қадағалаңыз және ағып кету кезінде байқалған құпия сөздерді дер кезінде өзгертіңіз!
13-әдіс: Жалпы құрылғыны құлыптау құпия сөздері
Әдетте, иесінен бір мобильді құрылғы емес, бірнеше құрылғы тәркіленеді. Көбінесе мұндай құрылғылар ондаған. Бұл ретте осал құрылғының құпия сөзін болжауға және оны сол иесінен алынған басқа смартфондар мен планшеттерге қолдануға тырысуға болады.
Мобильді құрылғылардан алынған деректерді талдау кезінде мұндай деректер криминалистикалық бағдарламаларда көрсетіледі (көбінесе осалдықтардың әртүрлі түрлерін пайдаланып құлыпталған құрылғылардан деректерді алу кезінде де).
UFED Physical Analyzer бағдарламасының жұмыс терезесінің бір бөлігінің скриншотында көріп отырғаныңыздай, құрылғы әдеттен тыс fgkl PIN кодымен құлыпталған.
Басқа пайдаланушы құрылғыларын елемеңіз. Мысалы, мобильді құрылғы иесінің компьютерінің веб-шолғышының кэшінде сақталған құпия сөздерді талдау арқылы иесі ұстанатын құпия сөзді жасау принциптерін түсінуге болады. NirSoft утилитасының [11] көмегімен компьютерде сақталған құпия сөздерді көруге болады.
Сондай-ақ, мобильді құрылғы иесінің компьютерінде (ноутбугында) құлыпталған Apple мобильді құрылғысына қол жеткізуге көмектесетін Lockdown файлдары болуы мүмкін. Бұл әдіс келесіде талқыланады.
Қорғау бойынша ұсыныс: әр жерде әртүрлі, бірегей құпия сөздерді пайдаланыңыз.
14-әдіс: Жалпы PIN кодтары
Бұрын айтылғандай, пайдаланушылар әдеттегі парольдерді жиі пайдаланады: телефон нөмірлері, банк карталары, PIN кодтары. Мұндай ақпаратты берілген құрылғының құлпын ашу үшін пайдалануға болады.
Егер бәрі сәтсіз болса, сіз келесі ақпаратты пайдалана аласыз: зерттеушілер талдау жүргізіп, ең танымал PIN кодтарды тапты (берілген PIN кодтар барлық құпия сөздердің 26,83% қамтиды) [12]:
PIN
Жиілік, %
1234
10,713
1111
6,016
0000
1,881
1212
1,197
7777
0,745
1004
0,616
2000
0,613
4444
0,526
2222
0,516
6969
0,512
9999
0,451
3333
0,419
5555
0,395
6666
0,391
1122
0,366
1313
0,304
8888
0,303
4321
0,293
2001
0,290
1010
0,285
Бұл PIN кодтар тізімін құлыпталған құрылғыға қолдану ~26% ықтималдықпен оның құлпын ашады.
Қорғау бойынша ұсыныс: жоғарыдағы кестеге сәйкес PIN кодын тексеріңіз және ол сәйкес келмесе де, оны бәрібір өзгертіңіз, өйткені 4 стандарты бойынша 2020 сан тым аз.
15-әдіс: Әдеттегі сурет құпия сөздері
Жоғарыда сипатталғандай, құрылғының иесі оның құлпын ашуға тырысатын бақылау камераларының деректеріне ие болсаңыз, бес әрекетте құлыпты ашу үлгісін алуға болады. Бұған қоса, жалпы PIN кодтары бар сияқты, құлыпталған мобильді құрылғылардың құлпын ашу үшін пайдалануға болатын жалпы үлгілер бар [13, 14].
Қарапайым үлгілер [14]:
Күрделілігі орташа үлгілер [14]:
Күрделі үлгілер [14]:
Зерттеуші Джереми Кирби [15] бойынша ең танымал диаграмма үлгілерінің тізімі.
3>2>5>8>7
1>4>5>6>9
1>4>7>8>9
3>2>1>4>5>6>9>8>7
1>4>7>8>9>6>3
1>2>3>5>7>8>9
3>5>6>8
1>5>4>2
2>6>5>3
4>8>7>5
5>9>8>6
7>4>1>2>3>5>9
1>4>7>5>3>6>9
1>2>3>5>7
3>2>1>4>7>8>9
3>2>1>4>7>8>9>6>5
3>2>1>5>9>8>7
1>4>7>5>9>6>3
7>4>1>5>9>6>3
3>6>9>5>1>4>7
7>4>1>5>3>6>9
5>6>3>2>1>4>7>8>9
5>8>9>6>3>2>1>4>7
7>4>1>2>3>6>9
1>4>8>6>3
1>5>4>6
2>4>1>5
7>4>1>2>3>6>5
Кейбір мобильді құрылғыларда графикалық кодқа қоса, қосымша PIN коды орнатылуы мүмкін. Бұл жағдайда графикалық кодты табу мүмкін болмаса, зерттеуші түймені баса алады Қосымша PIN коды (екінші PIN) сурет кодын қате енгізгеннен кейін және қосымша PIN кодын табуға тырысыңыз.
Қорғау бойынша ұсыныс: Графикалық кілттерді мүлде қолданбаған дұрыс.
16-әдіс: әріптік-сандық құпия сөздер
Құрылғыда әріптік-сандық құпия сөзді пайдалану мүмкін болса, иесі құлыптау коды ретінде келесі танымал құпия сөздерді пайдалана алады [16]:
- 123456
- пароль
- 123456789
- 12345678
- 12345
- 111111
- 1234567
- күн сәулесі
- qwerty
- мен сені жақсы көремін
- Ханшайым
- Admin
- Қош келдіңіздер
- 666666
- Abc123
- футбол
- 123123
- Маймыл
- 654321
- ! @ # $% ^ & *
- Чарли
- Aa123456
- Дональд
- password1
- Qwerty123
Қорғау бойынша ұсыныс: арнайы таңбалары мен әртүрлі регистрлері бар күрделі, бірегей құпия сөздерді ғана пайдаланыңыз. Жоғарыдағы құпия сөздердің бірін пайдаланып жатқаныңызды тексеріңіз. Егер сіз пайдалансаңыз - оны сенімдірек етіп өзгертіңіз.
17-әдіс: бұлтты немесе жергілікті сақтау
Құлыпталған құрылғыдан деректерді жою техникалық мүмкін болмаса, криминалистер оның сақтық көшірмелерін құрылғы иесінің компьютерлерінен немесе сәйкес бұлттық қоймалардан іздей алады.
Көбінесе Apple смартфондарының иелері оларды компьютерлеріне қосқанда, құрылғының жергілікті немесе бұлтты сақтық көшірмесін осы уақытта жасауға болатынын түсінбейді.
Google және Apple бұлтты қоймасы тек құрылғылардағы деректерді ғана емес, сонымен қатар құрылғыда сақталған құпия сөздерді де сақтай алады. Бұл құпия сөздерді шығарып алу мобильді құрылғының құлыптау кодын анықтауға көмектеседі.
ICloud жүйесінде сақталған кілттер тізбегінен иесі орнатқан құрылғының сақтық көшірме құпия сөзін шығаруға болады, ол экранды құлыптау PIN кодымен сәйкес келеді.
Құқық қорғау органдары Google мен Apple-ге жүгінсе, компаниялар бар деректерді тасымалдай алады, бұл құрылғының құлпын ашу қажеттілігін айтарлықтай азайтады, өйткені құқық қорғау органдарында деректер бұрыннан болады.
Мысалы, Пенсокондағы терактіден кейін iCloud-та сақталған деректердің көшірмелері ФБР-ға берілді. Apple мәлімдемесінен:
«ФБР бірінші сұрауынан кейін бірнеше сағат ішінде, 6 жылдың 2019 желтоқсанында біз тергеуге қатысты кең ауқымды ақпарат бердік. 7 желтоқсан мен 14 желтоқсан аралығында біз алты қосымша заңды сұрау алдық және жауап ретінде ақпаратты, соның ішінде iCloud сақтық көшірмелерін, тіркелгі ақпаратын және бірнеше тіркелгілер үшін транзакцияларды ұсындық.
Біз Джексонвиллдегі, Пенсаколадағы және Нью-Йорктегі ФБР кеңселерімен ақпарат алмасып, әрбір сұрауға дереу жауап бердік, көбінесе бірнеше сағат ішінде. Тергеу талабы бойынша көптеген гигабайт ақпарат алынды, біз оны тергеушілерге тапсырдық». [17, 18, 19]
Қорғау бойынша ұсыныс: бұлтқа шифрсыз жіберген кез келген нәрсе сізге қарсы қолданылуы мүмкін және пайдаланылады.
18-әдіс: Google тіркелгісі
Бұл әдіс Android операциялық жүйесімен жұмыс істейтін мобильді құрылғының экранын құлыптайтын графикалық құпия сөзді жою үшін қолайлы. Бұл әдісті пайдалану үшін құрылғы иесінің Google есептік жазбасының пайдаланушы аты мен құпия сөзін білуіңіз керек. Екінші шарт: құрылғы интернетке қосылған болуы керек.
Суреттің құпия сөзін қатарынан бірнеше рет қате енгізсеңіз, құрылғы құпия сөзді қалпына келтіруді ұсынады. Осыдан кейін құрылғы экранының құлпын ашатын пайдаланушы тіркелгісіне кіру керек [5].
Аппараттық шешімдердің, Android операциялық жүйелерінің және қосымша қауіпсіздік параметрлерінің әртүрлілігіне байланысты бұл әдіс тек бірқатар құрылғыларға қолданылады.
Егер зерттеушінің құрылғы иесінің Google тіркелгісі үшін құпия сөзі болмаса, олар мұндай тіркелгілер үшін стандартты құпия сөзді қалпына келтіру әдістерін пайдаланып оны қалпына келтіруге әрекет жасай алады.
Зерттеу кезінде құрылғы интернетке қосылмаған болса (мысалы, SIM картасы бұғатталған немесе оған ақша жеткіліксіз болса), онда мұндай құрылғыны Wi-Fi желісіне келесі нұсқауларды қолдана отырып қосуға болады:
- «Жедел қоңырау» белгішесін басыңыз
- *#*#7378423#*#* теріңіз
- Service Test - Wlan таңдаңыз
- қол жетімді Wi-Fi желісіне қосылу [5]
Қорғау бойынша ұсыныс: мүмкіндігінше екі факторлы аутентификацияны пайдалануды ұмытпаңыз, бұл жағдайда SMS арқылы код емес, қолданбаға сілтеме болған дұрыс.
19-әдіс: қонақ тіркелгісі
Android 5 және одан жоғары нұсқалары бар мобильді құрылғыларда бірнеше есептік жазба болуы мүмкін. Қосымша тіркелгі ақпараты PIN кодымен немесе үлгімен құлыпталмаған болуы мүмкін. Ауыстыру үшін жоғарғы оң жақ бұрыштағы тіркелгі белгішесін басып, басқа тіркелгіні таңдау керек:
Қосымша тіркелгі үшін кейбір деректерге немесе қолданбаларға кіру шектелуі мүмкін.
Қорғау бойынша ұсыныс: ОЖ-ны жаңарту маңызды. Android жүйесінің заманауи нұсқаларында (9 және 2020 жылдың шілдесіндегі қауіпсіздік патчтары) қонақ тіркелгісі әдетте ешқандай опцияны қамтамасыз етпейді.
20-әдіс: мамандандырылған қызметтер
Мамандандырылған криминалистикалық бағдарламаларды әзірлейтін компаниялар, басқалармен қатар, мобильді құрылғылардың құлпын ашу және олардан деректерді алу қызметтерін ұсынады [20, 21]. Мұндай қызметтердің мүмкіндіктері керемет. Оларды Android және iOS құрылғыларының үздік үлгілерінің, сондай-ақ қалпына келтіру режиміндегі құрылғылардың (құпия сөзді қате енгізу әрекеттерінің санынан асып кеткеннен кейін құрылғы кіреді) құлпын ашу үшін пайдалануға болады. Бұл әдістің кемшілігі - жоғары құны.
Cellebrite веб-сайтындағы веб-беттен алынған үзінді, олар деректерді қай құрылғылардан алуға болатынын сипаттайды. Құрылғының құлпын әзірлеушінің зертханасында (Cellebrite Advanced Service (CAS)) ашуға болады [20]:
Мұндай қызмет көрсету үшін құрылғы компанияның аймақтық (немесе бас) кеңсесіне берілуі керек. Сарапшының тапсырыс берушіге кетуі мүмкін. Әдетте, экранды құлыптау кодын бұзу бір күнді алады.
Қорғау бойынша ұсыныс: күшті әріптік-цифрлық құпия сөзді пайдалануды және құрылғыларды жыл сайын өзгертуді қоспағанда, өзіңізді қорғау мүмкін емес.
PS Group-IB зертханасының сарапшылары оқу курсының бөлігі ретінде компьютерлік сот сарапшысының жұмысындағы осы жағдайлар, құралдар және басқа да көптеген пайдалы мүмкіндіктер туралы айтады. . 5 күндік немесе ұзартылған 7 күндік курсты аяқтағаннан кейін түлектер өз ұйымдарында криминалистикалық зерттеулерді тиімдірек жүргізіп, кибер инциденттерді болдырмайды.
PPS әрекеті ақпараттық қауіпсіздік, хакерлер, APT, кибершабуылдар, алаяқтар мен қарақшылар туралы. Қадамдық тергеулер, Group-IB технологияларын қолданатын практикалық істер және құрбан болмау туралы ұсыныстар. Қосылыңыз!
Ақпарат көздері
- Гуйсин Йей, Чжанёнг Тан, Динжи Фанги, Сяоцзян Чени, Кван Кимц, Бен Тейлоркс, Чжэн Ван.
- Доминик Кассиани, Гаэтан порталы.
- Анатолий Ализар.
- Мария Нефедова.
- Антон Макаров. Android құрылғыларында үлгі құпия сөзін айналып өту
- Джереми Кирби.
- Андрей Смирнов.
- Мария Нефедова.
Ақпарат көзі: www.habr.com