Dalam kerja mereka, pakar forensik komputer kerap menghadapi kes apabila perlu membuka kunci telefon pintar dengan cepat. Sebagai contoh, data dari telefon diperlukan oleh penyiasatan untuk memahami sebab-sebab bunuh diri seorang remaja. Dalam kes lain, mereka akan membantu menjejaki kumpulan penjenayah yang menyerang pemandu lori. Terdapat, sudah tentu, cerita comel - ibu bapa terlupa kata laluan untuk alat itu, dan terdapat video dengan langkah pertama bayi mereka di atasnya, tetapi, malangnya, terdapat hanya beberapa daripada mereka. Tetapi mereka juga memerlukan pendekatan profesional terhadap isu ini. Dalam artikel ini Igor Mikhailov, pakar Makmal Forensik Komputer Kumpulan-IB, bercakap tentang cara yang membolehkan pakar forensik memintas kunci telefon pintar.
Penting: Artikel ini ditulis untuk menilai keselamatan kata laluan dan corak grafik yang digunakan oleh pemilik peranti mudah alih. Jika anda memutuskan untuk membuka kunci peranti mudah alih menggunakan kaedah yang diterangkan, ingat bahawa anda melakukan semua tindakan untuk membuka kunci peranti atas risiko dan risiko anda sendiri. Apabila memanipulasi peranti mudah alih, anda boleh mengunci peranti, memadam data pengguna atau menyebabkan peranti tidak berfungsi. Pengesyoran juga diberikan kepada pengguna tentang cara meningkatkan tahap perlindungan peranti mereka.
Jadi, kaedah yang paling biasa untuk menyekat akses kepada maklumat pengguna yang terkandung dalam peranti adalah dengan mengunci skrin peranti mudah alih. Apabila peranti sedemikian memasuki makmal forensik, bekerja dengannya boleh menjadi sukar, kerana untuk peranti sedemikian adalah mustahil untuk mengaktifkan mod penyahpepijatan USB (untuk peranti Android), adalah mustahil untuk mengesahkan kebenaran untuk komputer pemeriksa untuk berinteraksi dengan ini. peranti (untuk peranti mudah alih Apple), dan , akibatnya, adalah mustahil untuk mengakses data yang disimpan dalam memori peranti.
Hakikat bahawa FBI AS membayar sejumlah besar untuk membuka kunci iPhone pengganas Syed Farouk, salah seorang peserta dalam serangan pengganas di bandar San Bernardino California, menunjukkan betapa kunci skrin biasa peranti mudah alih menghalang pakar daripada mengekstrak data daripadanya [1].
Kaedah Buka Kunci Skrin Peranti Mudah Alih
Sebagai peraturan, untuk mengunci skrin peranti mudah alih digunakan:
- Kata laluan simbolik
- Kata laluan grafik
Selain itu, kaedah teknologi SmartBlock boleh digunakan untuk membuka kunci skrin beberapa peranti mudah alih:
- Buka kunci cap jari
- Buka kunci muka (teknologi FaceID)
- Buka kunci peranti dengan pengecaman iris
Kaedah sosial membuka kunci peranti mudah alih
Sebagai tambahan kepada yang teknikal semata-mata, terdapat cara lain untuk mengetahui atau mengatasi kod PIN atau kod grafik (corak) kunci skrin. Dalam sesetengah kes, kaedah sosial boleh menjadi lebih berkesan daripada penyelesaian teknikal dan membantu membuka kunci peranti yang tunduk kepada perkembangan teknikal sedia ada.
Bahagian ini akan menerangkan kaedah untuk membuka kunci skrin peranti mudah alih yang tidak memerlukan (atau hanya memerlukan penggunaan terhad, separa) cara teknikal.
Untuk melakukan serangan sosial, adalah perlu untuk mengkaji psikologi pemilik peranti terkunci sedalam mungkin, untuk memahami prinsip yang dia menjana dan menyimpan kata laluan atau corak grafik. Juga, penyelidik akan memerlukan setitik tuah.
Apabila menggunakan kaedah yang berkaitan dengan tekaan kata laluan, perlu diingat bahawa:
- Memasukkan sepuluh kata laluan yang salah pada peranti mudah alih Apple boleh mengakibatkan data pengguna dipadamkan. Ini bergantung pada tetapan keselamatan yang telah ditetapkan oleh pengguna;
- pada peranti mudah alih yang menjalankan sistem pengendalian Android, teknologi Root of Trust boleh digunakan, yang akan membawa kepada fakta bahawa selepas memasukkan 30 kata laluan yang salah, data pengguna akan sama ada tidak boleh diakses atau dipadamkan.
Kaedah 1: minta kata laluan
Ia mungkin kelihatan pelik, tetapi anda boleh mengetahui kata laluan buka kunci dengan hanya bertanya kepada pemilik peranti. Statistik menunjukkan bahawa kira-kira 70% pemilik peranti mudah alih bersedia untuk berkongsi kata laluan mereka. Terutama jika ia akan memendekkan masa penyelidikan dan, dengan itu, pemilik akan mendapatkan semula perantinya dengan lebih cepat. Jika tidak mungkin untuk meminta kata laluan pemilik (contohnya, pemilik peranti telah meninggal dunia) atau dia enggan mendedahkannya, kata laluan itu boleh diperolehi daripada saudara terdekatnya. Sebagai peraturan, saudara-mara tahu kata laluan atau boleh mencadangkan pilihan yang mungkin.
Cadangan perlindungan: Kata laluan telefon anda ialah kunci universal kepada semua data, termasuk data pembayaran. Bercakap, menghantar, menulisnya dalam utusan segera adalah idea yang tidak baik.
Kaedah 2: lihat kata laluan
Kata laluan boleh diintip pada masa pemilik menggunakan peranti. Walaupun anda mengingati kata laluan (watak atau grafik) hanya sebahagiannya, ini akan mengurangkan dengan ketara bilangan pilihan yang mungkin, yang membolehkan anda meneka dengan lebih cepat.
Varian kaedah ini ialah penggunaan rakaman CCTV yang menunjukkan pemilik membuka kunci peranti menggunakan kata laluan corak [2]. Algoritma yang diterangkan dalam kerja "Memecahkan Kunci Corak Android dalam Lima Percubaan" [2], dengan menganalisis rakaman video, membolehkan anda meneka pilihan untuk kata laluan grafik dan membuka kunci peranti dalam beberapa percubaan (sebagai peraturan, ini tidak memerlukan lagi daripada lima percubaan). Menurut pengarang, "lebih kompleks kata laluan grafik, lebih mudah untuk mengambilnya."
Cadangan perlindungan: Menggunakan kunci grafik bukanlah idea terbaik. Kata laluan alfanumerik sangat sukar untuk diintip.
Kaedah 3: cari kata laluan
Kata laluan boleh didapati dalam rekod pemilik peranti (fail pada komputer, dalam diari, pada serpihan kertas yang terletak dalam dokumen). Jika seseorang menggunakan beberapa peranti mudah alih yang berbeza dan mereka mempunyai kata laluan yang berbeza, kadangkala dalam petak bateri peranti ini atau dalam ruang antara sarung telefon pintar dan sarung, anda boleh menemui sekeping kertas dengan kata laluan bertulis:
Cadangan perlindungan: tidak perlu menyimpan "buku nota" dengan kata laluan. Ini adalah idea yang tidak baik, melainkan semua kata laluan ini diketahui palsu untuk mengurangkan bilangan percubaan buka kunci.
Kaedah 4: cap jari (Serangan comot)
Kaedah ini membolehkan anda mengenal pasti kesan peluh-lemak tangan pada paparan peranti. Anda boleh melihatnya dengan merawat skrin peranti dengan serbuk cap jari ringan (bukan serbuk forensik khas, anda boleh menggunakan bedak bayi atau serbuk halus lain yang tidak aktif secara kimia berwarna putih atau kelabu muda) atau dengan melihat skrin peranti dalam sinaran serong cahaya. Menganalisis kedudukan relatif cap tangan dan mempunyai maklumat tambahan tentang pemilik peranti (contohnya, mengetahui tahun kelahirannya), anda boleh cuba meneka teks atau kata laluan grafik. Beginilah rupa lapisan lemak peluh pada paparan telefon pintar dalam bentuk huruf Z yang digayakan:
Cadangan perlindungan: Seperti yang kami katakan, kata laluan grafik bukanlah idea yang baik, sama seperti cermin mata dengan salutan oleophobic yang lemah.
Kaedah 5: jari buatan
Jika peranti boleh dibuka kunci dengan cap jari, dan penyelidik mempunyai sampel cap tangan pemilik peranti, maka salinan 3D cap jari pemilik boleh dibuat pada pencetak 3D dan digunakan untuk membuka kunci peranti [XNUMX]:
Untuk tiruan yang lebih lengkap daripada jari orang yang masih hidup - contohnya, apabila penderia cap jari telefon pintar masih mengesan haba - model 3D diletakkan pada (bersandar) pada jari orang yang masih hidup.
Pemilik peranti, walaupun dia terlupa kata laluan kunci skrin, boleh membuka kunci peranti itu sendiri menggunakan cap jarinya. Ini boleh digunakan dalam kes tertentu di mana pemilik tidak dapat memberikan kata laluan tetapi bersedia membantu penyelidik membuka kunci peranti mereka.
Penyelidik harus mengingati generasi penderia yang digunakan dalam pelbagai model peranti mudah alih. Model penderia yang lebih lama boleh dicetuskan oleh hampir mana-mana jari, tidak semestinya pemilik peranti. Sensor ultrasonik moden, sebaliknya, mengimbas dengan sangat mendalam dan jelas. Di samping itu, beberapa penderia bawah skrin moden hanyalah kamera CMOS yang tidak dapat mengimbas kedalaman imej, yang menjadikannya lebih mudah untuk diperdaya.
Cadangan perlindungan: Jika jari, maka hanya sensor ultrasonik. Tetapi jangan lupa bahawa meletakkan jari bertentangan dengan kehendak anda adalah lebih mudah daripada muka.
Kaedah 6: "jerk" (Serangan cawan)
Kaedah ini diterangkan oleh polis British [4]. Ia terdiri daripada pengawasan rahsia terhadap suspek. Sebaik sahaja suspek membuka kunci telefonnya, ejen berpakaian preman itu merampasnya daripada tangan pemilik dan menghalang peranti itu daripada terkunci semula sehingga diserahkan kepada pakar.
Cadangan perlindungan: Saya fikir jika langkah sedemikian akan digunakan terhadap anda, maka keadaan adalah buruk. Tetapi di sini anda perlu memahami bahawa penyekatan rawak menurunkan nilai kaedah ini. Dan, sebagai contoh, berulang kali menekan butang kunci pada iPhone melancarkan mod SOS, yang sebagai tambahan kepada segala-galanya mematikan FaceID dan memerlukan kod laluan.
Kaedah 7: ralat dalam algoritma kawalan peranti
Dalam suapan berita sumber khusus, anda selalunya boleh menemui mesej yang menyatakan bahawa tindakan tertentu dengan peranti membuka kunci skrinnya. Contohnya, skrin kunci sesetengah peranti boleh dibuka kunci melalui panggilan masuk. Kelemahan kaedah ini ialah kelemahan yang dikenal pasti, sebagai peraturan, segera dihapuskan oleh pengeluar.
Contoh pendekatan membuka kunci untuk peranti mudah alih yang dikeluarkan sebelum 2016 ialah kehabisan bateri. Apabila bateri lemah, peranti akan membuka kunci dan menggesa anda untuk menukar tetapan kuasa. Dalam kes ini, anda perlu pergi ke halaman dengan tetapan keselamatan dengan cepat dan melumpuhkan kunci skrin [5].
Cadangan perlindungan: jangan lupa untuk mengemas kini OS peranti anda tepat pada masanya, dan jika ia tidak lagi disokong, tukar telefon pintar anda.
Kaedah 8: Kerentanan dalam program pihak ketiga
Kerentanan yang ditemui dalam aplikasi pihak ketiga yang dipasang pada peranti mungkin juga menyediakan sepenuhnya atau sebahagiannya akses kepada data peranti yang dikunci.
Contoh kelemahan sedemikian ialah kecurian data daripada iPhone Jeff Bezos, pemilik utama Amazon. Kerentanan dalam messenger WhatsApp, yang dieksploitasi oleh orang yang tidak dikenali, membawa kepada kecurian data sulit yang disimpan dalam memori peranti [6].
Kerentanan sedemikian boleh digunakan oleh penyelidik untuk mencapai matlamat mereka - untuk mengekstrak data daripada peranti terkunci atau untuk membuka kuncinya.
Cadangan perlindungan: Anda perlu mengemas kini bukan sahaja OS, tetapi juga aplikasi yang anda gunakan.
Kaedah 9: telefon korporat
Peranti mudah alih korporat boleh dibuka kunci oleh pentadbir sistem syarikat. Contohnya, peranti Windows Phone korporat dipautkan ke akaun Microsoft Exchange syarikat dan boleh dibuka kunci oleh pentadbir syarikat. Untuk peranti Apple korporat, terdapat perkhidmatan Pengurusan Peranti Mudah Alih yang serupa dengan Microsoft Exchange. Pentadbirnya juga boleh membuka kunci peranti iOS korporat. Selain itu, peranti mudah alih korporat hanya boleh digandingkan dengan komputer tertentu yang ditentukan oleh pentadbir dalam tetapan peranti mudah alih. Oleh itu, tanpa interaksi dengan pentadbir sistem syarikat, peranti sedemikian tidak boleh disambungkan ke komputer penyelidik (atau sistem perisian dan perkakasan untuk pengekstrakan data forensik).
Cadangan perlindungan: MDM adalah jahat dan baik dari segi perlindungan. Pentadbir MDM sentiasa boleh menetapkan semula peranti dari jauh. Walau apa pun, anda tidak seharusnya menyimpan data peribadi yang sensitif pada peranti korporat.
Kaedah 10: maklumat daripada penderia
Menganalisis maklumat yang diterima daripada penderia peranti, anda boleh meneka kata laluan ke peranti menggunakan algoritma khas. Adam J. Aviv menunjukkan kebolehlaksanaan serangan sedemikian menggunakan data yang diperoleh daripada pecutan telefon pintar. Dalam perjalanan penyelidikan, saintis berjaya menentukan kata laluan simbolik dengan betul dalam 43% kes, dan kata laluan grafik - dalam 73% [7].
Cadangan perlindungan: Berhati-hati apl yang anda berikan kebenaran untuk menjejaki penderia yang berbeza.
Kaedah 11: buka kunci muka
Seperti dalam kes cap jari, kejayaan membuka kunci peranti menggunakan teknologi FaceID bergantung pada penderia dan radas matematik yang digunakan dalam peranti mudah alih tertentu. Oleh itu, dalam karya "Gezichtsherkenning op smartphone niet altijd veilig" [8], para penyelidik menunjukkan bahawa beberapa telefon pintar yang dikaji telah dibuka kuncinya hanya dengan menunjukkan foto pemilik kepada kamera telefon pintar. Ini boleh dilakukan apabila hanya satu kamera hadapan digunakan untuk membuka kunci, yang tidak mempunyai keupayaan untuk mengimbas data kedalaman imej. Samsung, selepas beberapa siri penerbitan dan video berprofil tinggi di YouTube, terpaksa menambah amaran kepada perisian tegar telefon pintarnya. Buka Kunci Muka Samsung:
Model telefon pintar yang lebih maju boleh dibuka kunci menggunakan topeng atau pembelajaran kendiri peranti. Contohnya, iPhone X menggunakan teknologi TrueDepth khas [9]: projektor peranti, menggunakan dua kamera dan pemancar inframerah, menayangkan grid yang terdiri daripada lebih daripada 30 mata ke muka pemilik. Peranti sedemikian boleh dibuka kunci menggunakan topeng yang konturnya meniru kontur muka pemakai. Topeng buka kunci iPhone [000]:
Oleh kerana sistem sedemikian adalah sangat kompleks dan tidak berfungsi di bawah keadaan yang ideal (penuaan semula jadi pemilik berlaku, perubahan dalam konfigurasi muka akibat ekspresi emosi, keletihan, status kesihatan, dll.), Ia terpaksa sentiasa belajar sendiri. Oleh itu, jika orang lain memegang peranti yang tidak berkunci di hadapannya, wajahnya akan diingati sebagai wajah pemilik peranti itu dan pada masa hadapan dia akan dapat membuka kunci telefon pintar menggunakan teknologi FaceID.
Cadangan perlindungan: jangan gunakan buka kunci dengan "foto" - hanya sistem dengan pengimbas muka sepenuhnya (FaceID daripada Apple dan analog pada peranti Android).
Cadangan utama adalah untuk tidak melihat kamera, hanya memandang jauh. Walaupun anda menutup sebelah mata, peluang untuk membuka kunci semakin berkurangan, seperti kehadiran tangan di muka. Di samping itu, hanya 5 percubaan diberikan untuk membuka kunci melalui muka (FaceID), selepas itu anda perlu memasukkan kod laluan.
Kaedah 12: Menggunakan Kebocoran
Pangkalan data kata laluan yang bocor ialah cara terbaik untuk memahami psikologi pemilik peranti (dengan andaian penyelidik mempunyai maklumat tentang alamat e-mel pemilik peranti). Dalam contoh di atas, carian untuk alamat e-mel mengembalikan dua kata laluan serupa yang digunakan oleh pemilik. Ia boleh diandaikan bahawa kata laluan 21454162 atau terbitannya (contohnya, 2145 atau 4162) boleh digunakan sebagai kod kunci peranti mudah alih. (Mencari alamat e-mel pemilik dalam pangkalan data kebocoran mendedahkan kata laluan yang mungkin digunakan oleh pemilik, termasuk untuk mengunci peranti mudah alihnya.)
Cadangan perlindungan: bertindak secara proaktif, jejak data tentang kebocoran dan tukar kata laluan yang diperhatikan dalam kebocoran tepat pada masanya!
Kaedah 13: Kata laluan kunci peranti generik
Sebagai peraturan, bukan satu peranti mudah alih dirampas daripada pemilik, tetapi beberapa. Selalunya terdapat berpuluh-puluh peranti sedemikian. Dalam kes ini, anda boleh meneka kata laluan untuk peranti yang terdedah dan cuba gunakannya pada telefon pintar dan tablet lain yang dirampas daripada pemilik yang sama.
Apabila menganalisis data yang diekstrak daripada peranti mudah alih, data tersebut dipaparkan dalam program forensik (selalunya walaupun semasa mengekstrak data daripada peranti berkunci menggunakan pelbagai jenis kelemahan).
Seperti yang anda boleh lihat dalam tangkapan skrin sebahagian daripada tetingkap kerja program Penganalisis Fizikal UFED, peranti dikunci dengan kod PIN fgkl yang agak luar biasa.
Jangan abaikan peranti pengguna lain. Contohnya, dengan menganalisis kata laluan yang disimpan dalam cache pelayar web komputer pemilik peranti mudah alih, seseorang boleh memahami prinsip penjanaan kata laluan yang dipatuhi oleh pemilik. Anda boleh melihat kata laluan yang disimpan pada komputer anda menggunakan utiliti NirSoft [11].
Selain itu, pada komputer (komputer riba) pemilik peranti mudah alih itu, mungkin terdapat fail Lockdown yang boleh membantu mendapatkan akses kepada peranti mudah alih Apple yang terkunci. Kaedah ini akan dibincangkan seterusnya.
Cadangan perlindungan: gunakan kata laluan yang berbeza dan unik di mana-mana sahaja.
Kaedah 14: PIN Generik
Seperti yang dinyatakan sebelum ini, pengguna sering menggunakan kata laluan biasa: nombor telefon, kad bank, kod PIN. Maklumat sedemikian boleh digunakan untuk membuka kunci peranti yang disediakan.
Jika semuanya gagal, anda boleh menggunakan maklumat berikut: penyelidik menjalankan analisis dan menemui kod PIN yang paling popular (kod PIN yang diberikan meliputi 26,83% daripada semua kata laluan) [12]:
PIN
Kekerapan, %
1234
10,713
1111
6,016
0000
1,881
1212
1,197
7777
0,745
1004
0,616
2000
0,613
4444
0,526
2222
0,516
6969
0,512
9999
0,451
3333
0,419
5555
0,395
6666
0,391
1122
0,366
1313
0,304
8888
0,303
4321
0,293
2001
0,290
1010
0,285
Menggunakan senarai kod PIN ini pada peranti yang dikunci akan membuka kuncinya dengan kebarangkalian ~26%.
Cadangan perlindungan: semak PIN anda mengikut jadual di atas dan walaupun tidak sepadan, ubah juga, kerana 4 digit adalah terlalu kecil mengikut piawaian 2020.
Kaedah 15: Kata laluan gambar biasa
Seperti yang diterangkan di atas, mempunyai data daripada kamera pengawasan yang mana pemilik peranti cuba membuka kuncinya, anda boleh mengambil corak buka kunci dalam lima percubaan. Di samping itu, sama seperti terdapat kod PIN generik, terdapat corak generik yang boleh digunakan untuk membuka kunci peranti mudah alih yang terkunci [13, 14].
Corak mudah [14]:
Corak kerumitan sederhana [14]:
Corak kompleks [14]:
Senarai corak carta paling popular menurut penyelidik Jeremy Kirby [15].
3>2>5>8>7
1>4>5>6>9
1>4>7>8>9
3>2>1>4>5>6>9>8>7
1>4>7>8>9>6>3
1>2>3>5>7>8>9
3>5>6>8
1>5>4>2
2>6>5>3
4>8>7>5
5>9>8>6
7>4>1>2>3>5>9
1>4>7>5>3>6>9
1>2>3>5>7
3>2>1>4>7>8>9
3>2>1>4>7>8>9>6>5
3>2>1>5>9>8>7
1>4>7>5>9>6>3
7>4>1>5>9>6>3
3>6>9>5>1>4>7
7>4>1>5>3>6>9
5>6>3>2>1>4>7>8>9
5>8>9>6>3>2>1>4>7
7>4>1>2>3>6>9
1>4>8>6>3
1>5>4>6
2>4>1>5
7>4>1>2>3>6>5
Pada sesetengah peranti mudah alih, sebagai tambahan kepada kod grafik, kod PIN tambahan mungkin ditetapkan. Dalam kes ini, jika tidak mungkin untuk mencari kod grafik, penyelidik boleh mengklik pada butang Kod PIN tambahan (PIN kedua) selepas memasukkan kod gambar yang salah dan cuba mencari PIN tambahan.
Cadangan perlindungan: Adalah lebih baik untuk tidak menggunakan kekunci grafik sama sekali.
Kaedah 16: Kata Laluan Abjad Angka
Jika kata laluan abjad angka boleh digunakan pada peranti, maka pemilik boleh menggunakan kata laluan popular berikut sebagai kod kunci [16]:
- 123456
- kata laluan
- 123456789
- 12345678
- 12345
- 111111
- 1234567
- cahaya matahari
- qwerty
- saya sayang awak
- puteri
- admin
- dialu-alukan
- 666666
- Abc123
- bola sepak
- 123123
- monyet
- 654321
- ! @ # $% ^ & *
- charlie
- Aa123456
- donald
- password1
- qwerty123
Cadangan perlindungan: gunakan hanya kata laluan yang kompleks dan unik dengan aksara khas dan kes yang berbeza. Semak sama ada anda menggunakan salah satu kata laluan di atas. Jika anda menggunakan - tukar kepada yang lebih dipercayai.
Kaedah 17: awan atau storan tempatan
Jika secara teknikal tidak mungkin untuk mengalih keluar data daripada peranti yang dikunci, penjenayah boleh mencari salinan sandarannya pada komputer pemilik peranti atau dalam storan awan yang sepadan.
Selalunya, pemilik telefon pintar Apple, apabila menyambungkannya ke komputer mereka, tidak menyedari bahawa salinan sandaran tempatan atau awan peranti itu boleh dibuat pada masa ini.
Storan awan Google dan Apple boleh menyimpan bukan sahaja data daripada peranti, tetapi juga kata laluan yang disimpan oleh peranti. Mengekstrak kata laluan ini boleh membantu dalam meneka kod kunci peranti mudah alih.
Daripada Rantai Kunci yang disimpan dalam iCloud, anda boleh mengekstrak kata laluan sandaran peranti yang ditetapkan oleh pemilik, yang kemungkinan besar akan sepadan dengan PIN kunci skrin.
Jika penguatkuasaan undang-undang beralih kepada Google dan Apple, syarikat boleh memindahkan data sedia ada, yang berkemungkinan besar mengurangkan keperluan untuk membuka kunci peranti, kerana penguatkuasaan undang-undang sudah mempunyai data tersebut.
Contohnya, selepas serangan pengganas di Pensocon, salinan data yang disimpan dalam iCloud telah diserahkan kepada FBI. Daripada kenyataan Apple:
βDalam beberapa jam selepas permintaan pertama FBI, pada 6 Disember 2019, kami menyediakan pelbagai maklumat berkaitan penyiasatan. Dari 7 Disember hingga 14 Disember, kami menerima enam permintaan undang-undang tambahan dan memberikan maklumat sebagai tindak balas, termasuk sandaran iCloud, maklumat akaun dan transaksi untuk berbilang akaun.
Kami membalas setiap permintaan dengan segera, selalunya dalam masa beberapa jam, bertukar maklumat dengan pejabat FBI di Jacksonville, Pensacola dan New York. Atas permintaan siasatan, banyak gigabait maklumat diperoleh, yang kami serahkan kepada penyiasat.β [17, 18, 19]
Cadangan perlindungan: apa sahaja yang anda hantar tanpa disulitkan ke awan boleh dan akan digunakan terhadap anda.
Kaedah 18: Akaun Google
Kaedah ini sesuai untuk mengalih keluar kata laluan grafik yang mengunci skrin peranti mudah alih yang menjalankan sistem pengendalian Android. Untuk menggunakan kaedah ini, anda perlu mengetahui nama pengguna dan kata laluan akaun Google pemilik peranti. Syarat kedua: peranti mesti disambungkan ke Internet.
Jika anda memasukkan kata laluan gambar yang salah secara berturut-turut beberapa kali berturut-turut, peranti akan menawarkan untuk menetapkan semula kata laluan. Selepas itu, anda perlu log masuk ke akaun pengguna, yang akan membuka kunci skrin peranti [5].
Disebabkan kepelbagaian penyelesaian perkakasan, sistem pengendalian Android dan tetapan keselamatan tambahan, kaedah ini hanya terpakai pada beberapa peranti.
Jika penyelidik tidak mempunyai kata laluan untuk akaun Google pemilik peranti, mereka boleh cuba memulihkannya menggunakan kaedah pemulihan kata laluan standard untuk akaun tersebut.
Jika peranti tidak disambungkan ke Internet pada masa kajian (contohnya, kad SIM disekat atau wang tidak mencukupi padanya), maka peranti sedemikian boleh disambungkan ke Wi-Fi menggunakan arahan berikut:
- tekan ikon "Panggilan kecemasan"
- dail *#*#7378423#*#*
- pilih Ujian Perkhidmatan - Wlan
- sambung ke rangkaian Wi-Fi yang tersedia [5]
Cadangan perlindungan: jangan lupa untuk menggunakan pengesahan dua faktor di mana mungkin, dan dalam kes ini, adalah lebih baik untuk memaut ke aplikasi, dan bukan ke kod melalui SMS.
Kaedah 19: akaun tetamu
Peranti mudah alih yang menjalankan Android 5 dan ke atas boleh mempunyai berbilang akaun. Maklumat akaun tambahan mungkin tidak dikunci dengan PIN atau corak. Untuk menukar, anda perlu mengklik ikon akaun di penjuru kanan sebelah atas dan pilih akaun lain:
Untuk akaun tambahan, akses kepada beberapa data atau aplikasi mungkin dihadkan.
Cadangan perlindungan: adalah penting untuk mengemas kini OS. Dalam versi moden Android (9 dan ke atas dengan tampung keselamatan Julai 2020), akaun tetamu biasanya tidak menyediakan sebarang pilihan.
Kaedah 20: perkhidmatan khusus
Syarikat yang membangunkan program forensik khusus, antara lain, menawarkan perkhidmatan untuk membuka kunci peranti mudah alih dan mengekstrak data daripadanya [20, 21]. Kemungkinan perkhidmatan sedemikian sangat hebat. Ia boleh digunakan untuk membuka kunci model teratas peranti Android dan iOS, serta peranti yang berada dalam mod pemulihan (yang dimasukkan peranti selepas melebihi bilangan percubaan memasukkan kata laluan yang salah). Kelemahan kaedah ini adalah kos yang tinggi.
Petikan daripada halaman web di tapak web Cellebrite yang menerangkan peranti mana mereka boleh mendapatkan data daripadanya. Peranti boleh dibuka kunci di makmal pembangun (Cellebrite Advanced Service (CAS)) [20]:
Untuk perkhidmatan sedemikian, peranti mesti disediakan kepada pejabat serantau (atau ketua) syarikat. Perlepasan pakar kepada pelanggan adalah mungkin. Sebagai peraturan, memecahkan kod kunci skrin mengambil masa satu hari.
Cadangan perlindungan: hampir mustahil untuk melindungi diri anda, kecuali untuk penggunaan kata laluan abjad angka yang kuat dan perubahan tahunan peranti.
Pakar Makmal Kumpulan PS-IB bercakap tentang kes ini, alatan dan banyak lagi ciri berguna dalam kerja pakar forensik komputer sebagai sebahagian daripada kursus latihan . Selepas menamatkan kursus 5 hari atau lanjutan 7 hari, graduan akan dapat menjalankan penyelidikan forensik dengan lebih berkesan dan mencegah insiden siber dalam organisasi mereka.
Tindakan PPS tentang keselamatan maklumat, penggodam, APT, serangan siber, penipu dan lanun. Siasatan langkah demi langkah, kes praktikal menggunakan teknologi Kumpulan-IB dan cadangan tentang cara untuk tidak menjadi mangsa. Sambung!
sumber
- Guixin Yey, Zhanyong Tang, Dingyi Fangy, Xiaojiang Cheny, Kwang Kimz, Ben Taylorx, Zheng Wang.
- Dominic Casciani, Portal Gaetan.
- Anatoly Alizar.
- Maria Nefedova.
- Anton Makarov. Pintas kata laluan corak pada peranti Android
- Jeremy Kirby.
- Andrey Smirnov.
- Maria Nefedova.
Sumber: www.habr.com