Piekļuves zona: 30 veidi, kā atbloķēt jebkuru viedtālruni. 1. daļa

Datortiesu eksperti savā darbā regulāri sastopas ar gadījumiem, kad nepieciešams ātri atbloķēt viedtālruni. Piemēram, dati no tālruņa nepieciešami izmeklēšanai, lai izprastu pusaudža pašnāvības iemeslus. Citā gadījumā viņi palīdzēs tikt uz pēdām noziedzīgam grupējumam, kas uzbrūk kravas automašīnu vadītājiem. Ir, protams, mīļi stāsti - vecāki aizmirsuši sīkrīka paroli, un tajā bija arī video ar mazuļa pirmajiem soļiem, bet diemžēl tādi ir tikai daži. Bet tiem ir nepieciešama arī profesionāla pieeja jautājumam. Šajā rakstā Igors Mihailovs, Group-IB Datoru kriminālistikas laboratorijas speciālists, runā par veidiem, kas ļauj tiesu medicīnas ekspertiem apiet viedtālruņa bloķēšanu.

Svarīgi! Šis raksts ir rakstīts, lai novērtētu mobilo ierīču īpašnieku izmantoto paroļu un grafisko modeļu drošību. Ja nolemjat atbloķēt mobilo ierīci, izmantojot aprakstītās metodes, atcerieties, ka veicat visas darbības, lai atbloķētu ierīces, riskējot un riskējot. Veicot manipulācijas ar mobilajām ierīcēm, varat to bloķēt, dzēst lietotāja datus vai izraisīt ierīces darbības traucējumus. Lietotājiem tiek sniegti arī ieteikumi, kā paaugstināt savu ierīču aizsardzības līmeni.

Tātad visizplatītākais veids, kā ierobežot piekļuvi ierīcē ietvertajai lietotāja informācijai, ir mobilās ierīces ekrāna bloķēšana. Kad šāda ierīce nonāk kriminālistikas laboratorijā, darbs ar to var būt sarežģīts, jo šādai ierīcei nav iespējams aktivizēt USB atkļūdošanas režīmu (Android ierīcēm), nav iespējams apstiprināt atļauju pārbaudītāja datoram mijiedarboties ar šo ierīci. ierīce (Apple mobilajām ierīcēm), un līdz ar to nav iespējams piekļūt ierīces atmiņā saglabātajiem datiem.

Fakts, ka ASV FIB samaksāja prāvu summu, lai atbloķētu terorista Sajeda Faruka, viena no Kalifornijas pilsētā Sanbernardino notikušā terorakta dalībniekiem, iPhone, liecina, cik ļoti ierastā mobilās ierīces ekrāna bloķēšana liedz speciālistiem datu iegūšana no tā [1].

Mobilās ierīces ekrāna atbloķēšanas metodes

Parasti mobilās ierīces ekrāna bloķēšanai tiek izmantots:

1. Simboliskā parole
2. Grafiskā parole

Arī SmartBlock tehnoloģijas metodes var izmantot, lai atbloķētu vairāku mobilo ierīču ekrānu:

1. Atbloķēšana ar pirkstu nospiedumu
2. Sejas atbloķēšana (FaceID tehnoloģija)
3. Atbloķējiet ierīci, izmantojot varavīksnenes atpazīšanu

Sociālās metodes mobilās ierīces atbloķēšanai

Papildus tīri tehniskiem, ir arī citi veidi, kā uzzināt vai pārvarēt ekrāna bloķēšanas PIN kodu vai grafisko kodu (rakstu). Dažos gadījumos sociālās metodes var būt efektīvākas nekā tehniskie risinājumi un palīdzēt atbloķēt ierīces, kas ir pakļautas esošajiem tehniskajiem uzlabojumiem.

Šajā sadaļā ir aprakstītas mobilās ierīces ekrāna atbloķēšanas metodes, kurām nav nepieciešama (vai ir nepieciešama tikai ierobežota, daļēja) tehnisko līdzekļu izmantošana.
Lai veiktu sociālos uzbrukumus, ir nepieciešams pēc iespējas dziļāk izpētīt bloķētas ierīces īpašnieka psiholoģiju, saprast, pēc kādiem principiem viņš ģenerē un saglabā paroles vai grafiskos modeļus. Arī pētniekam būs nepieciešams piliens veiksmes.

Izmantojot metodes, kas saistītas ar paroles uzminēšanu, jāpatur prātā, ka:

• Ievadot desmit nepareizas paroles Apple mobilajās ierīcēs, lietotāja dati var tikt dzēsti. Tas ir atkarīgs no lietotāja iestatītajiem drošības iestatījumiem;
• mobilajās ierīcēs, kurās darbojas Android operētājsistēma, var izmantot Root of Trust tehnoloģiju, kas novedīs pie tā, ka pēc 30 nepareizu paroļu ievadīšanas lietotāja dati būs vai nu nepieejami, vai arī tiks izdzēsti.

1. metode: pieprasiet paroli

Tas var šķist dīvaini, taču jūs varat uzzināt atbloķēšanas paroli, vienkārši pajautājot ierīces īpašniekam. Statistika liecina, ka aptuveni 70% mobilo ierīču īpašnieku ir gatavi dalīties ar savu paroli. It īpaši, ja tas saīsinās izpētes laiku un attiecīgi īpašnieks ātrāk atgūs savu ierīci. Ja īpašniekam nav iespējams palūgt paroli (piemēram, ierīces īpašnieks ir miris) vai viņš atsakās to izpaust, paroli var iegūt pie viņa tuviem radiniekiem. Parasti radinieki zina paroli vai var ieteikt iespējamās iespējas.

Aizsardzības ieteikums: Jūsu tālruņa parole ir universāla atslēga visiem datiem, tostarp maksājumu datiem. Runāt, pārraidīt, rakstīt to tūlītējos kurjeros ir slikta ideja.

2. metode: apskatiet paroli

Paroli var apskatīt brīdī, kad īpašnieks lieto ierīci. Pat ja paroli (rakstzīmi vai attēlu) atcerēsities tikai daļēji, tas ievērojami samazinās iespējamo opciju skaitu, kas ļaus to ātrāk uzminēt.

Šīs metodes variants ir videonovērošanas video izmantošana, kurā redzams, kā īpašnieks atbloķē ierīci, izmantojot paroli [2]. Darbā “Android modeļa bloķēšanas uzlaušana piecos mēģinājumos” [2] aprakstītais algoritms, analizējot videoierakstus, ļauj uzminēt grafiskās paroles iespējas un atbloķēt ierīci vairākos mēģinājumos (parasti tas neprasa vairāk nekā pieci mēģinājumi). Pēc autoru domām, "jo sarežģītāka ir modeļa parole, jo vieglāk to iegūt."

Aizsardzības ieteikums: Grafiskās atslēgas izmantošana nav labākā ideja. Burtciparu paroli ir ļoti grūti apskatīt.

3. metode: atrodiet paroli

Parole ir atrodama ierīces īpašnieka ierakstos (datnēs datorā, dienasgrāmatā, uz papīra fragmentiem, kas atrodas dokumentos). Ja cilvēks izmanto vairākas dažādas mobilās ierīces un tām ir dažādas paroles, tad dažkārt šo ierīču bateriju nodalījumā vai vietā starp viedtālruņa korpusu un korpusu var atrast papīra lūžņus ar rakstītām parolēm:

Aizsardzības ieteikums: nav jāglabā "piezīmju grāmatiņa" ar parolēm. Tā ir slikta ideja, ja vien nav zināms, ka visas šīs paroles ir nepatiesas, lai samazinātu atbloķēšanas mēģinājumu skaitu.

4. metode: pirkstu nospiedumi (traipu uzbrukums)

Šī metode ļauj ierīces displejā noteikt roku sviedru tauku pēdas. Tos var redzēt, apstrādājot ierīces ekrānu ar vieglu pirkstu nospiedumu pulveri (speciālā kriminālistikas pulvera vietā varat izmantot bērnu pulveri vai citu ķīmiski neaktīvu smalku pulveri baltā vai gaiši pelēkā krāsā) vai aplūkojot ierīces ekrānu. ierīce slīpos gaismas staros. Analizējot roku nospiedumu relatīvās pozīcijas un iegūstot papildu informāciju par ierīces īpašnieku (piemēram, zinot viņa dzimšanas gadu), varat mēģināt uzminēt teksta vai grafisku paroli. Šādi izskatās sviedru tauku slāņošana viedtālruņa displejā stilizēta burta Z formā:

Aizsardzības ieteikums: Kā jau teicām, grafiska parole nav laba ideja, tāpat kā brilles ar sliktu oleofobisku pārklājumu.

5. metode: mākslīgais pirksts

Ja ierīci var atbloķēt ar pirksta nospiedumu un pētniekam ir ierīces īpašnieka rokas nospiedumu paraugi, tad 3D printerī var izveidot īpašnieka pirksta nospieduma 3D kopiju un izmantot ierīces atbloķēšanai [XNUMX]:

Pilnīgākai dzīva cilvēka pirksta atdarināšanai – piemēram, viedtālruņa pirkstu nospiedumu sensoram vēl uztverot siltumu – 3D modelis tiek uzlikts uz dzīva cilvēka pirksta (atbalstās pret to).

Ierīces īpašnieks, pat ja viņš aizmirst ekrāna bloķēšanas paroli, pats var atbloķēt ierīci, izmantojot pirkstu nospiedumu. To var izmantot noteiktos gadījumos, kad īpašnieks nevar norādīt paroli, taču vēlas palīdzēt pētniekam atbloķēt ierīci.

Pētniekam jāpatur prātā sensoru paaudzes, kas tiek izmantotas dažādos mobilo ierīču modeļos. Vecākus sensoru modeļus var aktivizēt gandrīz jebkurš pirksts, ne vienmēr ierīces īpašnieks. Mūsdienu ultraskaņas sensori, gluži pretēji, skenē ļoti dziļi un skaidri. Turklāt vairāki mūsdienu zemekrāna sensori ir vienkārši CMOS kameras, kas nevar skenēt attēla dziļumu, kas padara tos daudz vieglāk apmānīt.

Aizsardzības ieteikums: Ja pirksts, tad tikai ultraskaņas sensors. Bet neaizmirstiet, ka pielikt pirkstu pret savu gribu ir daudz vieglāk nekā seju.

6. metode: "raustīšana" (uzbrukums krūzei)

Šo metodi apraksta Lielbritānijas policija [4]. To veido aizdomās turētā slēpta novērošana. Brīdī, kad aizdomās turamais atslēdz savu telefonu, civildrēbju aģents izrauj to no īpašnieka rokām un neļauj ierīcei atkal aizslēgties, līdz tā tiek nodota ekspertiem.

Aizsardzības ieteikums: Es domāju, ka, ja pret jums tiks izmantoti šādi pasākumi, tad viss ir slikti. Bet šeit jums jāsaprot, ka nejauša bloķēšana devalvē šo metodi. Un, piemēram, atkārtoti nospiežot iPhone bloķēšanas pogu, tiek palaists SOS režīms, kas papildus visam izslēdz FaceID un pieprasa piekļuves kodu.

7. metode: kļūdas ierīces vadības algoritmos

Specializēto resursu ziņu plūsmās bieži var atrast ziņojumus, ka noteiktas darbības ar ierīci atbloķē tās ekrānu. Piemēram, dažu ierīču bloķēšanas ekrānu var atbloķēt ienākošais zvans. Šīs metodes trūkums ir tāds, ka ražotāji, kā likums, nekavējoties novērš identificētās ievainojamības.

Atbloķēšanas pieejas piemērs mobilajām ierīcēm, kas izlaistas pirms 2016. gada, ir akumulatora izlāde. Kad akumulatora uzlādes līmenis ir zems, ierīce tiks atbloķēta un liks mainīt barošanas iestatījumus. Šajā gadījumā jums ātri jādodas uz lapu ar drošības iestatījumiem un jāatspējo ekrāna bloķēšana [5].

Aizsardzības ieteikums: neaizmirstiet savlaicīgi atjaunināt ierīces OS un, ja tā vairs netiek atbalstīta, nomainiet viedtālruni.

8. metode: ievainojamības trešo pušu programmās

Ievainojamības, kas atrastas ierīcē instalētajās trešo pušu lietojumprogrammās, var arī pilnībā vai daļēji nodrošināt piekļuvi bloķētas ierīces datiem.

Šādas ievainojamības piemērs ir datu zādzība no Amazon galvenā īpašnieka Džefa Bezosa iPhone. WhatsApp messenger ievainojamība, ko izmantoja nezināmi cilvēki, izraisīja ierīces atmiņā saglabāto konfidenciālo datu zādzību [6].

Šādas ievainojamības pētnieki var izmantot, lai sasniegtu savus mērķus - lai iegūtu datus no bloķētām ierīcēm vai atbloķētu tās.

Aizsardzības ieteikums: Jums ir jāatjaunina ne tikai OS, bet arī izmantotās lietojumprogrammas.

9. metode: uzņēmuma tālrunis

Korporatīvās mobilās ierīces var atbloķēt uzņēmuma sistēmu administratori. Piemēram, korporatīvās Windows Phone ierīces ir saistītas ar uzņēmuma Microsoft Exchange kontu, un uzņēmuma administratori var tās atbloķēt. Korporatīvajām Apple ierīcēm ir pieejams Microsoft Exchange līdzīgs mobilo ierīču pārvaldības pakalpojums. Tās administratori var arī atbloķēt korporatīvo iOS ierīci. Turklāt uzņēmuma mobilās ierīces var savienot pārī tikai ar noteiktiem datoriem, kurus administrators norādījis mobilās ierīces iestatījumos. Tāpēc bez mijiedarbības ar uzņēmuma sistēmu administratoriem šādu ierīci nevar savienot ar pētnieka datoru (vai programmatūras un aparatūras sistēmu kriminālistikas datu ieguvei).

Aizsardzības ieteikums: MDM ir gan ļauns, gan labs aizsardzības ziņā. MDM administrators vienmēr var attāli atiestatīt ierīci. Jebkurā gadījumā jums nevajadzētu glabāt sensitīvus personas datus uzņēmuma ierīcē.

10. metode: informācija no sensoriem

Analizējot informāciju, kas saņemta no ierīces sensoriem, varat uzminēt ierīces paroli, izmantojot īpašu algoritmu. Adam J. Aviv demonstrēja šādu uzbrukumu iespējamību, izmantojot datus, kas iegūti no viedtālruņa akselerometra. Pētījuma gaitā zinātniekam 43% gadījumu izdevās pareizi noteikt simbolisko paroli, bet 73% - grafisko paroli [7].

Aizsardzības ieteikums: Esiet piesardzīgs, kurām lietotnēm piešķirat atļauju izsekot dažādus sensorus.

11. metode: sejas atbloķēšana

Tāpat kā pirksta nospieduma gadījumā, ierīces atbloķēšanas veiksme, izmantojot FaceID tehnoloģiju, ir atkarīga no tā, kādi sensori un kāds matemātiskais aparāts tiek izmantots konkrētajā mobilajā ierīcē. Tādējādi darbā “Gezichtsherkenning op smartphone niet altijd veilig” [8] pētnieki parādīja, ka daži no pētītajiem viedtālruņiem tika atbloķēti, vienkārši parādot viedtālruņa kamerā īpašnieka fotoattēlu. Tas ir iespējams, ja atbloķēšanai tiek izmantota tikai viena priekšējā kamera, kurai nav iespēju skenēt attēla dziļuma datus. Samsung pēc vairākām augsta līmeņa publikācijām un videoklipiem vietnē YouTube bija spiests pievienot brīdinājumu savu viedtālruņu programmaparatūrai. Samsung sejas atbloķēšana:

Uzlabotākus viedtālruņu modeļus var atbloķēt, izmantojot masku vai ierīces pašmācību. Piemēram, iPhone X izmanto īpašu TrueDepth tehnoloģiju [9]: ierīces projektors, izmantojot divas kameras un infrasarkano staru izstarotāju, projicē uz īpašnieka seju režģi, kas sastāv no vairāk nekā 30 000 punktiem. Šādu ierīci var atbloķēt, izmantojot masku, kuras kontūras atdarina lietotāja sejas kontūras. iPhone atbloķēšanas maska ​​[10]:

Tā kā šāda sistēma ir ļoti sarežģīta un nedarbojas ideālos apstākļos (notiek dabiska saimnieka novecošana, sejas konfigurācijas izmaiņas emociju izpausmes dēļ, nogurums, veselības stāvoklis u.c.), tā ir spiesta nemitīgi pašmācīties. Līdz ar to, ja kāds cits cilvēks turēs sev priekšā atbloķēto ierīci, viņa seja paliks atmiņā kā ierīces īpašnieka seja un turpmāk viņš varēs atbloķēt viedtālruni, izmantojot FaceID tehnoloģiju.

Aizsardzības ieteikums: neizmantojiet atbloķēšanu ar “fotoattēlu” - tikai sistēmas ar pilnvērtīgiem sejas skeneriem (FaceID no Apple un analogi Android ierīcēs).

Galvenais ieteikums ir neskatīties kamerā, vienkārši skatīties prom. Pat aizverot vienu aci, iespēja atbloķēt ievērojami samazinās, tāpat kā tad, ja uz sejas ir rokas. Turklāt tiek doti tikai 5 mēģinājumi atbloķēt ar seju (FaceID), pēc tam jums būs jāievada piekļuves kods.

12. metode: noplūžu izmantošana

Nopludinātu paroļu datu bāzes ir lielisks veids, kā izprast ierīces īpašnieka psiholoģiju (pieņemot, ka pētniekam ir informācija par ierīces īpašnieka e-pasta adresēm). Iepriekš minētajā piemērā, meklējot e-pasta adresi, tika atrastas divas līdzīgas paroles, kuras izmantoja īpašnieks. Var pieņemt, ka paroli 21454162 vai tās atvasinājumus (piemēram, 2145 vai 4162) varētu izmantot kā mobilās ierīces bloķēšanas kodu. (Īpašnieka e-pasta adreses meklēšana noplūdes datubāzēs atklāj, kādas paroles īpašnieks varētu būt izmantojis, tostarp, lai bloķētu savu mobilo ierīci.)

Aizsardzības ieteikums: rīkojieties aktīvi, izsekojiet datus par noplūdēm un savlaicīgi mainiet noplūdēs pamanītās paroles!

13. metode: vispārīgas ierīču bloķēšanas paroles

Parasti īpašniekam tiek konfiscēta nevis viena mobilā ierīce, bet vairākas. Bieži vien šādu ierīču ir desmitiem. Šādā gadījumā varat uzminēt neaizsargātas ierīces paroli un mēģināt lietot to citiem viedtālruņiem un planšetdatoriem, kas konfiscēti no tā paša īpašnieka.

Analizējot datus, kas iegūti no mobilajām ierīcēm, šādi dati tiek parādīti kriminālistikas programmās (bieži pat tad, ja tiek iegūti dati no bloķētām ierīcēm, izmantojot dažāda veida ievainojamības).

Kā redzams UFED Physical Analyzer programmas darba loga daļas ekrānuzņēmumā, ierīce ir bloķēta ar diezgan neparastu fgkl PIN kodu.

Nepalaidiet uzmanību citām lietotāju ierīcēm. Piemēram, analizējot mobilās ierīces īpašnieka datora tīmekļa pārlūkprogrammas kešatmiņā saglabātās paroles, var saprast paroļu ģenerēšanas principus, kurus īpašnieks ievērojis. Varat skatīt saglabātās paroles savā datorā, izmantojot NirSoft utilītu [11].

Tāpat mobilās ierīces īpašnieka datorā (klēpjdatorā) var būt Lockdown faili, kas var palīdzēt piekļūt bloķētai Apple mobilajai ierīcei. Šī metode tiks apspriesta tālāk.

Aizsardzības ieteikums: visur izmantojiet dažādas, unikālas paroles.

14. metode: vispārīgie PIN

Kā minēts iepriekš, lietotāji bieži izmanto tipiskas paroles: tālruņu numurus, bankas kartes, PIN kodus. Šādu informāciju var izmantot, lai atbloķētu nodrošināto ierīci.

Ja nekas cits neizdodas, varat izmantot šādu informāciju: pētnieki veica analīzi un atrada populārākos PIN kodus (dotie PIN kodi aptver 26,83% no visām parolēm) [12]:

PIN
Biežums, %

1234
10,713

1111
6,016

0000
1,881

1212
1,197

7777
0,745

1004
0,616

2000
0,613

4444
0,526

2222
0,516

6969
0,512

9999
0,451

3333
0,419

5555
0,395

6666
0,391

1122
0,366

1313
0,304

8888
0,303

4321
0,293

2001
0,290

1010
0,285

Lietojot šo PIN kodu sarakstu bloķētai ierīcei, tā tiks atbloķēta ar ~26% varbūtību.

Aizsardzības ieteikums: pārbaudiet savu PIN saskaņā ar augstāk esošo tabulu un pat ja tas nesakrīt, mainiet to jebkurā gadījumā, jo 4 cipari ir pārāk mazs pēc 2020. gada standartiem.

15. metode: tipiskas attēla paroles

Kā aprakstīts iepriekš, ja ir dati no novērošanas kamerām, kurās ierīces īpašnieks mēģina to atbloķēt, jūs varat uzņemt atbloķēšanas modeli piecos mēģinājumos. Turklāt, tāpat kā ir vispārīgi PIN kodi, ir vispārīgi modeļi, ko var izmantot, lai atbloķētu bloķētas mobilās ierīces [13, 14].

Vienkārši modeļi [14]:

Vidējas sarežģītības modeļi [14]:

Sarežģīti modeļi [14]:

Pētnieka Džeremija Kirbija teiktā populārāko diagrammu modeļu saraksts [15].
3>2>5>8>7
1>4>5>6>9
1>4>7>8>9
3>2>1>4>5>6>9>8>7
1>4>7>8>9>6>3
1>2>3>5>7>8>9
3>5>6>8
1>5>4>2
2>6>5>3
4>8>7>5
5>9>8>6
7>4>1>2>3>5>9
1>4>7>5>3>6>9
1>2>3>5>7
3>2>1>4>7>8>9
3>2>1>4>7>8>9>6>5
3>2>1>5>9>8>7
1>4>7>5>9>6>3
7>4>1>5>9>6>3
3>6>9>5>1>4>7
7>4>1>5>3>6>9
5>6>3>2>1>4>7>8>9
5>8>9>6>3>2>1>4>7
7>4>1>2>3>6>9
1>4>8>6>3
1>5>4>6
2>4>1>5
7>4>1>2>3>6>5

Dažās mobilajās ierīcēs papildus grafiskajam kodam var tikt iestatīts papildu PIN kods. Šādā gadījumā, ja nav iespējams atrast grafisko kodu, pētnieks var noklikšķināt uz pogas Papildu PIN kods (sekundārais PIN) pēc nepareiza attēla koda ievadīšanas un mēģiniet atrast papildu PIN.

Aizsardzības ieteikums: Grafiskos taustiņus labāk neizmantot vispār.

16. metode: burtciparu paroles

Ja ierīcē var izmantot burtciparu paroli, īpašnieks kā bloķēšanas kodu var izmantot šādas populāras paroles [16]:

• 123456
• parole
• 123456789
• 12345678
• 12345
• 111111
• 1234567
• saules gaisma
• qwerty
• ILOVEYOU
• princese
• admin
• gaidīts
• 666666
• abc123
• futbols
• 123123
• pērtiķis
• 654321
• ! @ # $% ^ & *
• Charlie
• aa123456
• Donald
• password1
• qwerty123

Aizsardzības ieteikums: izmantojiet tikai sarežģītas, unikālas paroles ar īpašām rakstzīmēm un dažādiem gadījumiem. Pārbaudiet, vai izmantojat kādu no iepriekš minētajām parolēm. Ja lietojat - nomainiet uz uzticamāku.

17. metode: mākonis vai lokālā krātuve

Ja tehniski nav iespējams izņemt datus no bloķētas ierīces, kriminālisti var meklēt tās rezerves kopijas ierīces īpašnieka datoros vai atbilstošajās mākoņkrātuvēs.

Bieži vien Apple viedtālruņu īpašnieki, pieslēdzot tos saviem datoriem, neapzinās, ka šobrīd var tikt izveidota ierīces lokālā vai mākoņa rezerves kopija.

Google un Apple mākoņkrātuvē var saglabāt ne tikai datus no ierīcēm, bet arī ierīces saglabātās paroles. Šo paroļu iegūšana var palīdzēt uzminēt mobilās ierīces bloķēšanas kodu.

No iCloud saglabātā Keychain varat iegūt īpašnieka iestatīto ierīces rezerves paroli, kas, visticamāk, atbildīs ekrāna bloķēšanas PIN.

Ja tiesībaizsardzības iestādes vēršas pie Google un Apple, uzņēmumi var pārsūtīt esošos datus, kas, visticamāk, ievērojami samazinās vajadzību atbloķēt ierīci, jo tiesībaizsardzības iestādēm šie dati jau būs.

Piemēram, pēc terorakta Pensokonā iCloud glabāto datu kopijas tika nodotas FIB. No Apple paziņojuma:

“Dažu stundu laikā pēc FIB pirmā pieprasījuma, 6. gada 2019. decembrī, mēs sniedzām plašu ar izmeklēšanu saistītas informācijas klāstu. No 7. decembra līdz 14. decembrim mēs saņēmām sešus papildu juridiskus pieprasījumus un sniedzām informāciju, tostarp iCloud dublējumkopijas, konta informāciju un darījumus vairākiem kontiem.

Mēs atbildējām uz katru pieprasījumu nekavējoties, bieži vien dažu stundu laikā, apmainoties ar informāciju ar FIB birojiem Džeksonvilā, Pensakolā un Ņujorkā. Pēc izmeklēšanas pieprasījuma tika iegūti daudzi gigabaiti informācijas, ko nodevām izmeklētājiem.” [17, 18, 19]

Aizsardzības ieteikums: viss, ko nešifrētu nosūtāt uz mākoni, var un tiks izmantots pret jums.

18. metode: Google konts

Šī metode ir piemērota, lai noņemtu grafisko paroli, kas bloķē mobilās ierīces ekrānu, kurā darbojas operētājsistēma Android. Lai izmantotu šo metodi, jums jāzina ierīces īpašnieka Google konta lietotājvārds un parole. Otrais nosacījums: ierīcei jābūt savienotai ar internetu.

Ja vairākas reizes pēc kārtas ievadāt nepareizu attēla paroli, ierīce piedāvās atiestatīt paroli. Pēc tam jums ir jāpiesakās lietotāja kontā, kas atbloķēs ierīces ekrānu [5].

Aparatūras risinājumu, Android operētājsistēmu un papildu drošības iestatījumu dažādības dēļ šī metode ir piemērojama tikai vairākām ierīcēm.

Ja pētniekam nav ierīces īpašnieka Google konta paroles, viņš var mēģināt to atgūt, izmantojot standarta paroles atkopšanas metodes šādiem kontiem.

Ja ierīce pētījuma laikā nav savienota ar internetu (piemēram, SIM karte ir bloķēta vai tajā nav pietiekami daudz naudas), tad šādu ierīci var savienot ar Wi-Fi, izmantojot šādus norādījumus:

• nospiediet ikonu "Ārkārtas zvans"
• sastādiet *#*#7378423#*#*
• atlasiet Pakalpojuma pārbaude — Wlan
• izveidot savienojumu ar pieejamu Wi-Fi tīklu [5]

Aizsardzības ieteikums: neaizmirstiet, kur vien iespējams, izmantot divu faktoru autentifikāciju, un šajā gadījumā labāk ir izmantot saiti uz lietojumprogrammu, nevis kodu, izmantojot SMS.

19. metode: viesa konts

Mobilajām ierīcēm, kurās darbojas operētājsistēma Android 5 un jaunāka versija, var būt vairāki konti. Papildu konta informāciju nevar bloķēt ar PIN vai kombināciju. Lai pārslēgtos, augšējā labajā stūrī noklikšķiniet uz konta ikonas un atlasiet citu kontu:

Papildu kontam piekļuve dažiem datiem vai lietojumprogrammām var būt ierobežota.

Aizsardzības ieteikums: ir svarīgi atjaunināt OS. Mūsdienu Android versijās (9 un jaunākas versijas ar 2020. gada jūlija drošības ielāpiem) viesa konts parasti nenodrošina nekādas opcijas.

20. metode: specializētie pakalpojumi

Uzņēmumi, kas izstrādā specializētas kriminālistikas programmas, cita starpā piedāvā pakalpojumus mobilo ierīču atbloķēšanai un datu iegūšanai no tām [20, 21]. Šādu pakalpojumu iespējas ir vienkārši fantastiskas. Tos var izmantot, lai atbloķētu Android un iOS ierīču populārākos modeļus, kā arī ierīces, kas atrodas atkopšanas režīmā (kuru ierīce ievada pēc nepareizas paroles ievadīšanas mēģinājumu skaita pārsniegšanas). Šīs metodes trūkums ir augstās izmaksas.

Izvilkums no Cellebrite vietnes tīmekļa lapas, kurā aprakstīts, no kurām ierīcēm viņi var izgūt datus. Ierīci var atbloķēt izstrādātāja laboratorijā (Cellebrite Advanced Service (CAS)) [20]:

Šāda pakalpojuma sniegšanai ierīce ir jānogādā uzņēmuma reģionālajā (vai galvenajā) birojā. Iespējama eksperta aizbraukšana pie klienta. Parasti ekrāna bloķēšanas koda uzlaušana aizņem vienu dienu.

Aizsardzības ieteikums: ir gandrīz neiespējami sevi aizsargāt, izņemot spēcīgas burtciparu paroles izmantošanu un ikgadēju ierīču maiņu.

Par šiem gadījumiem, rīkiem un daudzām citām noderīgām iespējām datortiesu medicīnas speciālista darbā apmācību kursa ietvaros stāsta PS Group-IB laboratorijas eksperti. Digitālās kriminālistikas analītiķis. Pēc 5 dienu vai pagarinātā 7 dienu kursa pabeigšanas absolventi varēs efektīvāk veikt kriminālistikas izpēti un novērst kiberincidentus savās organizācijās.

PPS darbība IB grupas telegrammas kanāls par informācijas drošību, hakeriem, APT, kiberuzbrukumiem, krāpniekiem un pirātiem. Soli pa solim izmeklēšana, praktiski gadījumi, izmantojot Group-IB tehnoloģijas un ieteikumi, kā nekļūt par upuri. Pievienojieties!

avoti

1. FIB atrada hakeri, kurš ir gatavs uzlauzt iPhone bez Apple palīdzības
2. Guixin Yey, Zhanyong Tang, Dingyi Fangy, Xiaojiang Cheny, Kwang Kimz, Ben Taylorx, Zheng Wang. Android Pattern Lock uzlaušana piecos mēģinājumos
3. Samsung Galaxy S10 pirkstu nospiedumu sensors, kas pievilināts ar 3D drukātu pirkstu nospiedumu
4. Dominiks Kasciani, Gaetan portāls. Tālruņa šifrēšana: policijai ir aizdomas, ka tā iegūst datus
5. Kā atbloķēt tālruni: 5 darbības veidi
6. Durovs viedtālruņa uzlaušanas iemeslu Džefa Bezosa nosauca par ievainojamību vietnē WhatsApp
7. Sensori un mūsdienu mobilo ierīču sensori
8. Gezichtsherkenning op viedtālrunis niet altijd veilig
9. TrueDepth iPhone X — kas tas ir, kā tas darbojas
10. Sejas ID iPhone X tālrunī viltots ar 3D drukātu masku
11. NirLauncher pakotne
12. Anatolijs Alizārs. Populāri un reti PIN: statistiskā analīze
13. Marija Ņefedova. Raksti ir tikpat paredzami kā paroles "1234567" un "parole"
14. Antons Makarovs. Apiet modeļa paroli Android ierīcēs www.anti-malware.ru/analytics/Threats_Analysis/bypass-picture-password-Android-devices
15. Džeremijs Kērbijs. Atbloķējiet mobilās ierīces, izmantojot šos populāros kodus
16. Andrejs Smirnovs. 25 populārākās paroles 2019. gadā
17. Marija Ņefedova. Konflikts starp ASV varas iestādēm un Apple par noziedznieka iPhone uzlaušanu ir saasinājies
18. Apple atbild uz AG Barr par Pensacola šāvēja tālruņa atbloķēšanu: "Nē."
19. Tiesībaizsardzības atbalsta programma
20. Celebrite atbalstītās ierīces (CAS)

Avots: www.habr.com