O'z ishlarida kompyuter sud-tibbiyot ekspertlari muntazam ravishda smartfonni tezda qulfdan chiqarish zarur bo'lgan holatlarga duch kelishadi. Masalan, o'smirning o'z joniga qasd qilish sabablarini tushunish uchun tergovga telefon ma'lumotlari kerak bo'ladi. Boshqa holatda, ular yuk mashinasi haydovchilariga hujum qilgan jinoiy guruhning iziga tushishga yordam beradi. Albatta, yoqimli hikoyalar bor - ota-onalar gadjet parolini unutib qo'yishgan va unda chaqaloqning birinchi qadamlari aks etgan video bor edi, ammo, afsuski, ulardan bir nechtasi bor. Lekin ular ham masalaga professional yondashuvni talab qiladi. Ushbu maqolada Igor Mixaylov, Group-IB kompyuter sud-tibbiyot laboratoriyasi mutaxassisi, sud-tibbiyot ekspertlariga smartfon qulfini chetlab o'tishga imkon beradigan usullar haqida gapiradi.
Muhim: Ushbu maqola mobil qurilmalar egalari tomonidan ishlatiladigan parollar va grafik naqshlarning xavfsizligini baholash uchun yozilgan. Agar siz ta'riflangan usullardan foydalangan holda mobil qurilmani qulfdan chiqarishga qaror qilsangiz, qurilmalarni qulfdan chiqarish uchun barcha harakatlarni o'zingizning xavf-xataringiz va xavfingiz ostida bajarishingizni unutmang. Mobil qurilmalarni manipulyatsiya qilishda siz qurilmani bloklashingiz, foydalanuvchi ma'lumotlarini o'chirib tashlashingiz yoki qurilmaning noto'g'ri ishlashiga olib kelishi mumkin. Shuningdek, foydalanuvchilarga o'z qurilmalarining himoya darajasini oshirish bo'yicha tavsiyalar berilgan.
Shunday qilib, qurilmadagi foydalanuvchi ma'lumotlariga kirishni cheklashning eng keng tarqalgan usuli bu mobil qurilma ekranini qulflashdir. Bunday qurilma sud-tibbiyot laboratoriyasiga kirganda, u bilan ishlash qiyin bo'lishi mumkin, chunki bunday qurilma uchun USB disk raskadrovka rejimini faollashtirish mumkin emas (Android qurilmalari uchun), imtihonchining kompyuteriga bu bilan o'zaro aloqada bo'lish uchun ruxsatni tasdiqlash mumkin emas. qurilma (Apple mobil qurilmalari uchun) va , natijada qurilma xotirasida saqlangan ma'lumotlarga kirish imkonsiz.
AQSh Federal qidiruv byurosi Kaliforniyaning San-Bernardino shahrida sodir etilgan terakt ishtirokchilaridan biri terrorchi Sayid Farukning iPhone smartfonini qulfdan chiqarish uchun katta summa to‘lagani mobil qurilmaning odatiy ekran qulfi mutaxassislarga qanchalik xalaqit berayotganini ko‘rsatadi. undan ma'lumotlarni olish [1].
Mobil qurilma ekranini blokdan chiqarish usullari
Qoida tariqasida, mobil qurilma ekranini blokirovka qilish uchun quyidagilar qo'llaniladi:
- Simvolik parol
- Grafik parol
Shuningdek, SmartBlock texnologiyasi usullaridan bir qator mobil qurilmalar ekranini ochish uchun foydalanish mumkin:
- Barmoq izi bilan qulfdan chiqarish
- Yuz bilan ochish (FaceID texnologiyasi)
- Irisni aniqlash orqali qurilmani qulfdan chiqaring
Mobil qurilmani qulfdan chiqarishning ijtimoiy usullari
Sof texnik usullarga qo'shimcha ravishda, ekran qulfining PIN-kodi yoki grafik kodini (naqshini) aniqlash yoki engishning boshqa usullari mavjud. Ba'zi hollarda ijtimoiy usullar texnik echimlarga qaraganda samaraliroq bo'lishi mumkin va mavjud texnik ishlanmalarga berilib ketgan qurilmalarni qulfdan chiqarishga yordam beradi.
Ushbu bo'limda texnik vositalardan foydalanishni talab qilmaydigan (yoki faqat cheklangan, qisman talab qiladigan) mobil qurilma ekranini qulfdan chiqarish usullari tasvirlanadi.
Ijtimoiy hujumlarni amalga oshirish uchun qulflangan qurilma egasining psixologiyasini iloji boricha chuqurroq o'rganish, u parollar yoki grafik naqshlarni yaratish va saqlash tamoyillarini tushunish kerak. Bundan tashqari, tadqiqotchiga bir tomchi omad kerak bo'ladi.
Parolni taxmin qilish bilan bog'liq usullardan foydalanganda quyidagilarni yodda tutish kerak:
- Apple mobil qurilmalarida o'nta noto'g'ri parolni kiritish foydalanuvchi ma'lumotlarining o'chirilishiga olib kelishi mumkin. Bu foydalanuvchi o'rnatgan xavfsizlik sozlamalariga bog'liq;
- Android operatsion tizimida ishlaydigan mobil qurilmalarda Root of Trust texnologiyasidan foydalanish mumkin, bu 30 ta noto'g'ri parol kiritilgandan so'ng foydalanuvchi ma'lumotlariga kirish imkoni bo'lmaydi yoki o'chiriladi.
1-usul: parol so'rang
Bu g'alati tuyulishi mumkin, ammo qulfni ochish parolini shunchaki qurilma egasidan so'rash orqali bilib olishingiz mumkin. Statistika shuni ko'rsatadiki, mobil qurilmalar egalarining taxminan 70 foizi o'z parollarini baham ko'rishga tayyor. Ayniqsa, agar u tadqiqot vaqtini qisqartirsa va shunga mos ravishda egasi o'z qurilmasini tezroq qaytarib oladi. Agar egasidan parolni so'rashning iloji bo'lmasa (masalan, qurilma egasi vafot etgan bo'lsa) yoki uni oshkor qilishdan bosh tortsa, parolni uning yaqin qarindoshlaridan olish mumkin. Qoida tariqasida, qarindoshlar parolni bilishadi yoki mumkin bo'lgan variantlarni taklif qilishlari mumkin.
Himoya bo'yicha tavsiyalar: Telefoningiz paroli barcha maʼlumotlar, jumladan, toʻlov maʼlumotlari uchun universal kalitdir. Uni messenjerlarda gapirish, uzatish, yozish yomon fikr.
2-usul: parolni ko'ring
Parol egasi qurilmadan foydalanayotgan paytda ko'rib chiqilishi mumkin. Agar siz parolni (belgi yoki grafik) faqat qisman eslab qolsangiz ham, bu mumkin bo'lgan variantlar sonini sezilarli darajada kamaytiradi, bu sizni tezroq taxmin qilish imkonini beradi.
Ushbu usulning bir varianti - egasining qurilmani naqsh paroli yordamida qulfdan chiqarayotganini ko'rsatadigan CCTV tasvirlaridan foydalanishdir [2]. Video yozuvlarni tahlil qilish orqali "Android naqsh blokirovkasini beshta urinishda buzish" [2] asarida tasvirlangan algoritm sizga grafik parol variantlarini taxmin qilish va qurilmani bir necha urinishda qulfdan chiqarish imkonini beradi (qoida tariqasida, buning uchun boshqa kerak emas. beshta urinishdan ko'ra). Mualliflarning fikriga ko'ra, "grafik parol qanchalik murakkab bo'lsa, uni olish shunchalik oson bo'ladi".
Himoya bo'yicha tavsiyalar: Grafik kalitdan foydalanish eng yaxshi fikr emas. Alfanumerik parolni ko'rib chiqish juda qiyin.
3-usul: parolni toping
Parolni qurilma egasining yozuvlarida (kompyuterdagi fayllar, kundalikda, hujjatlarda yotgan qog'oz parchalarida) topish mumkin. Agar biror kishi bir nechta turli xil mobil qurilmalardan foydalansa va ular turli xil parollarga ega bo'lsa, ba'zida ushbu qurilmalarning batareya bo'linmasida yoki smartfon korpusi va korpusi orasidagi bo'shliqda siz parollar yozilgan qog'oz parchalarini topishingiz mumkin:
Himoya bo'yicha tavsiyalar: parollar bilan "daftar" saqlashga hojat yo'q. Agar qulfni ochishga urinishlar sonini kamaytirish uchun ushbu parollarning barchasi noto'g'ri ekanligi ma'lum bo'lmasa, bu yomon fikr.
4-usul: barmoq izlari (qora hujumi)
Ushbu usul qurilma displeyidagi qo'llarning ter-yog'li izlarini aniqlash imkonini beradi. Siz ularni qurilma ekraniga engil barmoq izi kukuni bilan ishlov berish orqali ko'rishingiz mumkin (maxsus sud tibbiyot kukuni o'rniga siz chaqaloq kukuni yoki oq yoki och kulrang rangdagi boshqa kimyoviy faol bo'lmagan nozik kukunni ishlatishingiz mumkin) yoki ekranga qarab ko'rishingiz mumkin. oblik nur nurlaridagi qurilma. Qo'l izlarining o'zaro joylashishini tahlil qilib va qurilma egasi haqida qo'shimcha ma'lumotga ega bo'lsangiz (masalan, uning tug'ilgan yilini bilish) siz matn yoki grafik parolni taxmin qilishga harakat qilishingiz mumkin. Stillashtirilgan Z harfi ko'rinishidagi smartfon displeyida ter-yog 'qatlami shunday ko'rinadi:
Himoya bo'yicha tavsiyalar: Aytganimizdek, grafik parol yaxshi fikr emas, xuddi yomon oleofob qoplamali ko'zoynaklar kabi.
5-usul: sun'iy barmoq
Agar qurilmani barmoq izi bilan ochish mumkin bo‘lsa va tadqiqotchida qurilma egasining qo‘l izi namunalari bo‘lsa, u holda egasining barmoq izining 3D nusxasi 3D printerda tayyorlanishi va qurilma qulfini ochish uchun ishlatilishi mumkin [XNUMX]:
Tirik odamning barmog'ini to'liqroq taqlid qilish uchun - masalan, smartfonning barmoq izi sensori hali ham issiqlikni aniqlaganda - 3D model tirik odamning barmog'iga qo'yiladi (tayanadi).
Qurilma egasi, hatto ekran qulfi parolini unutgan taqdirda ham, barmoq izi yordamida qurilmani o‘zi qulfdan chiqarishi mumkin. Bu egasi parolni taqdim eta olmaydigan, ammo tadqiqotchiga o'z qurilmasini qulfdan chiqarishga yordam berishga tayyor bo'lgan ba'zi hollarda qo'llanilishi mumkin.
Tadqiqotchi mobil qurilmalarning turli modellarida ishlatiladigan sensorlarning avlodlarini yodda tutishi kerak. Datchiklarning eski modellari qurilmaning egasi emas, balki deyarli har qanday barmoq tomonidan ishga tushirilishi mumkin. Zamonaviy ultratovushli sensorlar, aksincha, juda chuqur va aniq skanerlashadi. Bundan tashqari, bir qator zamonaviy ekran ostidagi sensorlar oddiygina CMOS kameralari bo'lib, ular tasvirning chuqurligini skanerlay olmaydi, bu ularni aldashni ancha osonlashtiradi.
Himoya bo'yicha tavsiyalar: Agar barmoq bo'lsa, unda faqat ultratovush sensori. Ammo barmog'ingizni irodangga qarshi qo'yish yuzga qaraganda osonroq ekanligini unutmang.
6-usul: "jirk" (Krujka hujumi)
Bu usul Britaniya politsiyasi tomonidan tasvirlangan [4]. Bu gumonlanuvchini yashirin kuzatishdan iborat. Gumonlanuvchi telefonini qulfdan chiqarishi bilan fuqarolik kiyimidagi agent uni egasining qo‘lidan tortib oladi va mutaxassislarga topshirilgunga qadar qurilmaning yana qulflanishiga yo‘l qo‘ymaydi.
Himoya bo'yicha tavsiyalar: O'ylaymanki, agar sizga qarshi bunday choralar qo'llanilsa, unda ishlar yomon. Ammo bu erda siz tasodifiy blokirovkalash ushbu usulni qadrsizlantirishini tushunishingiz kerak. Va, masalan, iPhone-dagi qulflash tugmachasini qayta-qayta bosish SOS rejimini ishga tushiradi, bu esa hamma narsadan tashqari FaceID-ni o'chiradi va parolni talab qiladi.
7-usul: qurilmalarni boshqarish algoritmlaridagi xatolar
Ixtisoslashgan resurslarning yangiliklar tasmalarida siz ko'pincha qurilma bilan muayyan harakatlar uning ekranini qulfdan chiqarishi haqida xabarlarni topishingiz mumkin. Masalan, ba'zi qurilmalarning bloklangan ekrani kirish qo'ng'irog'i orqali ochilishi mumkin. Ushbu usulning nochorligi shundaki, aniqlangan zaifliklar, qoida tariqasida, ishlab chiqaruvchilar tomonidan tezda yo'q qilinadi.
2016 yilgacha chiqarilgan mobil qurilmalar uchun qulfni ochish yondashuviga misol batareyaning zaryadsizlanishi. Batareya quvvati kam bo'lsa, qurilma qulfdan chiqariladi va quvvat sozlamalarini o'zgartirishni taklif qiladi. Bunday holda, siz tezda xavfsizlik sozlamalari bilan sahifaga o'tishingiz va ekran qulfini o'chirib qo'yishingiz kerak [5].
Himoya bo'yicha tavsiyalar: qurilmangizning operatsion tizimini o'z vaqtida yangilashni unutmang va agar u endi qo'llab-quvvatlanmasa, smartfoningizni o'zgartiring.
8-usul: Uchinchi tomon dasturlaridagi zaifliklar
Qurilmada o'rnatilgan uchinchi tomon ilovalarida topilgan zaifliklar ham bloklangan qurilma ma'lumotlariga to'liq yoki qisman kirishni ta'minlashi mumkin.
Amazon’ning asosiy egasi Jeff Bezosning iPhone’dan ma’lumotlar o‘g‘irlanishi bunday zaiflikka misol bo‘la oladi. WhatsApp messenjerining noma'lum shaxslar tomonidan foydalanilgan zaifligi qurilma xotirasida saqlangan maxfiy ma'lumotlarning o'g'irlanishiga olib keldi [6].
Bunday zaifliklardan tadqiqotchilar o‘z maqsadlariga erishish uchun – bloklangan qurilmalardan ma’lumotlarni olish yoki ularni qulfdan chiqarish uchun foydalanishlari mumkin.
Himoya bo'yicha tavsiyalar: Siz nafaqat operatsion tizimni, balki foydalanadigan ilovalarni ham yangilashingiz kerak.
9-usul: korporativ telefon
Korporativ mobil qurilmalar kompaniya tizim ma'murlari tomonidan qulfdan chiqarilishi mumkin. Masalan, korporativ Windows Phone qurilmalari kompaniyaning Microsoft Exchange hisob qaydnomasi bilan bog'langan va kompaniya ma'murlari tomonidan qulfdan chiqarilishi mumkin. Korporativ Apple qurilmalari uchun Microsoft Exchange-ga o'xshash Mobil qurilmalarni boshqarish xizmati mavjud. Uning ma'murlari korporativ iOS qurilmasini ham qulfdan chiqarishi mumkin. Bundan tashqari, korporativ mobil qurilmalar faqat ma'mur tomonidan mobil qurilma sozlamalarida ko'rsatilgan ba'zi kompyuterlar bilan bog'lanishi mumkin. Shu sababli, kompaniyaning tizim ma'murlari bilan o'zaro aloqasisiz bunday qurilmani tadqiqotchining kompyuteriga (yoki sud-tibbiy ma'lumotlarni olish uchun dasturiy-apparat tizimiga) ulash mumkin emas.
Himoya bo'yicha tavsiyalar: MDM himoya nuqtai nazaridan ham yomon, ham yaxshi. MDM administratori har doim qurilmani masofadan turib tiklashi mumkin. Qanday bo'lmasin, siz shaxsiy ma'lumotlarni korporativ qurilmada saqlamasligingiz kerak.
10-usul: sensorlardan olingan ma'lumotlar
Qurilmaning sensorlaridan olingan ma'lumotlarni tahlil qilib, siz maxsus algoritm yordamida qurilmaga parolni taxmin qilishingiz mumkin. Adam J. Aviv smartfon akselerometridan olingan ma'lumotlardan foydalangan holda bunday hujumlarni amalga oshirish imkoniyatini ko'rsatdi. Tadqiqot davomida olim ramziy parolni 43% hollarda, grafik parolni esa 73% holatda toʻgʻri aniqlashga muvaffaq boʻldi [7].
Himoya bo'yicha tavsiyalar: Turli sensorlarni kuzatish uchun qaysi ilovalarga ruxsat berganingizga ehtiyot bo'ling.
11-usul: yuz bilan ochish
Barmoq izi misolida bo'lgani kabi, FaceID texnologiyasidan foydalangan holda qurilmani blokdan chiqarish muvaffaqiyati ma'lum bir mobil qurilmada qaysi sensorlar va qaysi matematik apparatlardan foydalanilishiga bog'liq. Shunday qilib, “Gezichtsherkenning op smartphone niet altijd veilig” [8] asarida tadqiqotchilar o‘rganilgan smartfonlarning bir qismi smartfon kamerasiga egasining suratini ko‘rsatish orqali oddiygina qulfdan chiqarilganligini ko‘rsatdi. Bu qulfni ochish uchun faqat bitta old kameradan foydalanilganda mumkin, bu esa tasvir chuqurligi ma'lumotlarini skanerlash imkoniyatiga ega emas. Samsung kompaniyasi YouTube’dagi bir qator mashhur nashrlar va videolardan so‘ng o‘z smartfonlarining proshivkalariga ogohlantirish qo‘shishga majbur bo‘ldi. Yuz bilan ochish Samsung:
Ilg'or smartfonlar niqob yoki qurilmaning o'zini o'zi o'rganishi yordamida qulfdan chiqarilishi mumkin. Masalan, iPhone X maxsus TrueDepth texnologiyasidan [9] foydalanadi: qurilma proyektori ikkita kamera va infraqizil emitter yordamida egasining yuziga 30 000 dan ortiq nuqtadan iborat bo‘lgan to‘rni proyeksiyalaydi. Bunday qurilmani konturlari foydalanuvchi yuzining konturini taqlid qiladigan niqob yordamida ochish mumkin. iPhone qulfini ochish niqobi [10]:
Bunday tizim juda murakkab va ideal sharoitlarda ishlamaganligi sababli (egasining tabiiy qarishi sodir bo'ladi, his-tuyg'ularning ifodasi tufayli yuz konfiguratsiyasining o'zgarishi, charchoq, salomatlik holati va boshqalar), u doimo o'z-o'zini o'rganishga majbur bo'ladi. Shu bois, qulfdan chiqarilgan qurilmani boshqa shaxs oldida ushlab tursa, uning yuzi qurilma egasining yuzi sifatida yodda qoladi va kelajakda FaceID texnologiyasi yordamida smartfonni qulfdan chiqarishi mumkin bo‘ladi.
Himoya bo'yicha tavsiyalar: "fotosurat" orqali qulfni ochishdan foydalanmang - faqat to'liq huquqli yuz skanerlari bo'lgan tizimlar (Apple'dan FaceID va Android qurilmalaridagi analoglar).
Asosiy tavsiya - kameraga qaramaslik, faqat uzoqqa qarash. Agar siz bir ko'zingizni yumsangiz ham, yuzingizda qo'llarning mavjudligi kabi qulfni ochish imkoniyati sezilarli darajada kamayadi. Bundan tashqari, yuzma-yuz (FaceID) qulfni ochish uchun faqat 5 ta urinish beriladi, shundan so'ng siz parolni kiritishingiz kerak bo'ladi.
12-usul: Oqishlardan foydalanish
Parollar maʼlumotlar bazalari sizib chiqqan holda qurilma egasining psixologiyasini tushunishning ajoyib usuli hisoblanadi (agar tadqiqotchi qurilma egasining elektron pochta manzillari haqida maʼlumotga ega boʻlsa). Yuqoridagi misolda, elektron pochta manzilini qidirish egasi tomonidan ishlatilgan ikkita o'xshash parolni qaytardi. 21454162 paroli yoki uning hosilalari (masalan, 2145 yoki 4162) mobil qurilmani blokirovkalash kodi sifatida ishlatilishi mumkin deb taxmin qilish mumkin. (Oqish ma'lumotlar bazalarida egasining elektron pochta manzilini qidirish egasi qanday parollardan foydalanganligini, jumladan, mobil qurilmasini blokirovka qilish uchun ham foydalanganligini ko'rsatadi.)
Himoya bo'yicha tavsiyalar: faol harakat qiling, sizib chiqishlar haqidagi ma'lumotlarni kuzatib boring va sizib chiqishda aniqlangan parollarni o'z vaqtida o'zgartiring!
13-usul: Umumiy qurilma blokirovkasi parollari
Qoidaga ko'ra, egasidan bitta emas, balki bir nechta mobil qurilma musodara qilinadi. Ko'pincha o'nlab bunday qurilmalar mavjud. Bunday holda, siz zaif qurilma uchun parolni taxmin qilishingiz va uni xuddi shu egadan tortib olingan boshqa smartfon va planshetlarga qo'llashga harakat qilishingiz mumkin.
Mobil qurilmalardan olingan ma'lumotlarni tahlil qilishda bunday ma'lumotlar sud-tibbiyot dasturlarida ko'rsatiladi (ko'pincha turli xil zaifliklardan foydalangan holda qulflangan qurilmalardan ma'lumotlarni olishda ham).
UFED Physical Analyzer dasturining ishchi oynasining bir qismining skrinshotida ko'rib turganingizdek, qurilma juda noodatiy fgkl PIN-kodi bilan qulflangan.
Boshqa foydalanuvchi qurilmalarini e'tiborsiz qoldirmang. Masalan, mobil qurilma egasi kompyuterining veb-brauzer keshida saqlangan parollarni tahlil qilib, egasi rioya qilgan parolni yaratish tamoyillarini tushunish mumkin. NirSoft yordam dasturi [11] yordamida kompyuteringizda saqlangan parollarni ko'rishingiz mumkin.
Shuningdek, mobil qurilma egasining kompyuterida (noutbukda) qulflangan Apple mobil qurilmasiga kirishga yordam beradigan Lockdown fayllari bo'lishi mumkin. Bu usul keyingi muhokama qilinadi.
Himoya bo'yicha tavsiyalar: hamma joyda turli, noyob parollardan foydalaning.
14-usul: Umumiy PIN-kodlar
Yuqorida aytib o'tilganidek, foydalanuvchilar odatda odatiy parollardan foydalanadilar: telefon raqamlari, bank kartalari, PIN kodlar. Bunday ma'lumotlar taqdim etilgan qurilmani qulfdan chiqarish uchun ishlatilishi mumkin.
Agar barchasi bajarilmasa, siz quyidagi ma'lumotlardan foydalanishingiz mumkin: tadqiqotchilar tahlil o'tkazdilar va eng mashhur PIN kodlarni topdilar (berilgan PIN kodlar barcha parollarning 26,83 foizini qamrab oladi) [12]:
PIN
Chastotasi, %
1234
10,713
1111
6,016
0000
1,881
1212
1,197
7777
0,745
1004
0,616
2000
0,613
4444
0,526
2222
0,516
6969
0,512
9999
0,451
3333
0,419
5555
0,395
6666
0,391
1122
0,366
1313
0,304
8888
0,303
4321
0,293
2001
0,290
1010
0,285
Ushbu PIN kodlar roʻyxatini qulflangan qurilmaga qoʻllash uni ~26% ehtimol bilan qulfdan chiqaradi.
Himoya bo'yicha tavsiyalar: PIN kodingizni yuqoridagi jadvalga muvofiq tekshiring va agar u mos kelmasa ham, uni o'zgartiring, chunki 4 yil standartlari bo'yicha 2020 ta raqam juda kichik.
15-usul: Oddiy rasm parollari
Yuqorida aytib o'tilganidek, qurilma egasi uni qulfdan chiqarishga harakat qilayotgan kuzatuv kameralari ma'lumotlariga ega bo'lsangiz, siz beshta urinishda qulfni ochish naqshini olishingiz mumkin. Bundan tashqari, umumiy PIN kodlar mavjud bo'lgani kabi, qulflangan mobil qurilmalarni qulfdan chiqarish uchun ham foydalanish mumkin bo'lgan umumiy naqshlar mavjud [13, 14].
Oddiy naqshlar [14]:
O'rtacha murakkablikdagi naqshlar [14]:
Murakkab naqshlar [14]:
Tadqiqotchi Jeremi Kirbi [15] bo'yicha eng mashhur diagrammalar ro'yxati.
3>2>5>8>7
1>4>5>6>9
1>4>7>8>9
3>2>1>4>5>6>9>8>7
1>4>7>8>9>6>3
1>2>3>5>7>8>9
3>5>6>8
1>5>4>2
2>6>5>3
4>8>7>5
5>9>8>6
7>4>1>2>3>5>9
1>4>7>5>3>6>9
1>2>3>5>7
3>2>1>4>7>8>9
3>2>1>4>7>8>9>6>5
3>2>1>5>9>8>7
1>4>7>5>9>6>3
7>4>1>5>9>6>3
3>6>9>5>1>4>7
7>4>1>5>3>6>9
5>6>3>2>1>4>7>8>9
5>8>9>6>3>2>1>4>7
7>4>1>2>3>6>9
1>4>8>6>3
1>5>4>6
2>4>1>5
7>4>1>2>3>6>5
Ba'zi mobil qurilmalarda grafik kodga qo'shimcha ravishda qo'shimcha PIN kod o'rnatilishi mumkin. Bunday holda, agar grafik kodni topishning iloji bo'lmasa, tadqiqotchi tugmani bosishi mumkin Qo'shimcha PIN kod (ikkinchi darajali PIN) rasm kodini noto'g'ri kiritgandan so'ng va qo'shimcha PIN-kodni topishga harakat qiling.
Himoya bo'yicha tavsiyalar: Grafik kalitlardan umuman foydalanmaslik yaxshiroqdir.
16-usul: Alfanumerik parollar
Agar qurilmada alfanumerik paroldan foydalanish mumkin bo'lsa, egasi quyidagi mashhur parollardan qulflash kodi sifatida foydalanishi mumkin [16]:
- 123456
- parol
- 123456789
- 12345678
- 12345
- 111111
- 1234567
- quyoshli
- qwerty
- ıloveyou
- malika
- admin
- xush kelibsiz
- 666666
- abc123
- futbol
- 123123
- maymun
- 654321
- ! @ # $% ^ & *
- Charli
- aa123456
- Donald
- password1
- Qwerty123
Himoya bo'yicha tavsiyalar: faqat maxsus belgilar va turli holatlarga ega murakkab, noyob parollardan foydalaning. Yuqoridagi parollardan birini ishlatayotganingizni tekshiring. Agar foydalansangiz - uni ishonchliroq qilib o'zgartiring.
17-usul: bulutli yoki mahalliy saqlash
Agar qulflangan qurilmadan ma'lumotlarni olib tashlashning texnik imkoni bo'lmasa, kriminalistlar uning zaxira nusxalarini qurilma egasining kompyuterlarida yoki tegishli bulutli omborlarda qidirishlari mumkin.
Ko'pincha, Apple smartfonlari egalari, ularni o'z kompyuterlariga ulashda, qurilmaning mahalliy yoki bulutli zaxira nusxasini hozirda yaratish mumkinligini tushunishmaydi.
Google va Apple bulutli xotirasi nafaqat qurilmalardan olingan ma'lumotlarni, balki qurilma tomonidan saqlangan parollarni ham saqlashi mumkin. Ushbu parollarni chiqarib olish mobil qurilmaning blokirovka kodini aniqlashga yordam beradi.
ICloud-da saqlangan Keychain-dan siz qurilmaning egasi tomonidan o'rnatilgan zahira parolini chiqarib olishingiz mumkin, bu katta ehtimol bilan ekran qulfi PIN-kodiga mos keladi.
Agar huquq-tartibot idoralari Google va Apple’ga murojaat qilsa, kompaniyalar mavjud ma’lumotlarni uzatishi mumkin, bu esa qurilmani qulfdan chiqarish zaruratini sezilarli darajada kamaytiradi, chunki huquqni muhofaza qilish organlari allaqachon ma’lumotlarga ega bo‘ladi.
Misol uchun, Pensokondagi teraktdan so'ng, iCloud-da saqlangan ma'lumotlarning nusxalari FQBga topshirildi. Apple bayonotidan:
“FQBning birinchi soʻrovidan bir necha soat oʻtgach, 6-yil 2019-dekabrda biz tergov bilan bogʻliq keng doiradagi maʼlumotlarni taqdim etdik. 7-dekabrdan 14-dekabrgacha biz oltita qo‘shimcha huquqiy so‘rov oldik va javob sifatida ma’lumotlarni taqdim etdik, jumladan, iCloud zaxira nusxalari, hisob ma’lumotlari va bir nechta hisoblar uchun tranzaksiyalar.
Biz har bir so'rovga zudlik bilan javob berdik, ko'pincha bir necha soat ichida FBIning Jeksonvil, Pensakola va Nyu-Yorkdagi idoralari bilan ma'lumot almashdik. Tergov iltimosiga ko‘ra ko‘p gigabaytlik ma’lumotlar olindi, biz ularni tergovchilarga topshirdik”. [17, 18, 19]
Himoya bo'yicha tavsiyalar: bulutga shifrlanmagan yuborgan har qanday narsa sizga qarshi ishlatilishi mumkin va foydalaniladi.
18-usul: Google hisobi
Ushbu usul Android operatsion tizimida ishlaydigan mobil qurilma ekranini qulflaydigan grafik parolni olib tashlash uchun javob beradi. Ushbu usuldan foydalanish uchun siz qurilma egasining Google hisobining foydalanuvchi nomi va parolini bilishingiz kerak. Ikkinchi shart: qurilma Internetga ulangan bo'lishi kerak.
Agar siz ketma-ket bir necha marta noto'g'ri rasm parolini kiritsangiz, qurilma parolni tiklashni taklif qiladi. Shundan so'ng siz qurilma ekranini qulfdan chiqaradigan foydalanuvchi hisobiga kirishingiz kerak [5].
Turli xil apparat echimlari, Android operatsion tizimlari va qo'shimcha xavfsizlik sozlamalari tufayli bu usul faqat bir qator qurilmalar uchun amal qiladi.
Agar tadqiqotchi qurilma egasining Google hisobi uchun parolga ega bo'lmasa, ular bunday hisoblar uchun standart parolni tiklash usullaridan foydalangan holda uni tiklashga harakat qilishlari mumkin.
Agar o'rganish vaqtida qurilma Internetga ulanmagan bo'lsa (masalan, SIM-karta bloklangan yoki undagi pul etarli bo'lmasa), bunday qurilma quyidagi ko'rsatmalar yordamida Wi-Fi-ga ulanishi mumkin:
- "Favqulodda qo'ng'iroq" belgisini bosing
- *#*#7378423#*#* tering
- Xizmat testi - Wlan-ni tanlang
- mavjud Wi-Fi tarmog'iga ulanish [5]
Himoya bo'yicha tavsiyalar: iloji bo'lsa, ikki faktorli autentifikatsiyadan foydalanishni unutmang va bu holda SMS orqali kodga emas, balki ilovaga havola qilish yaxshiroqdir.
19-usul: mehmon hisobi
Android 5 va undan yuqori versiyalarda ishlaydigan mobil qurilmalar bir nechta hisoblarga ega bo'lishi mumkin. Qo'shimcha hisob ma'lumotlari PIN yoki naqsh bilan bloklanmasligi mumkin. O'tish uchun yuqori o'ng burchakdagi hisob belgisini bosishingiz va boshqa hisobni tanlashingiz kerak:
Qo'shimcha hisob uchun ba'zi ma'lumotlar yoki ilovalarga kirish cheklangan bo'lishi mumkin.
Himoya bo'yicha tavsiyalar: OSni yangilash muhim. Android-ning zamonaviy versiyalarida (9 va 2020-yil iyulgacha xavfsizlik yamoqlari) mehmon hisobi odatda hech qanday imkoniyatni taqdim etmaydi.
20-usul: ixtisoslashtirilgan xizmatlar
Ixtisoslashgan sud ekspertizasi dasturlarini ishlab chiquvchi kompaniyalar mobil qurilmalarni blokdan chiqarish va ulardan ma'lumotlarni olish xizmatlarini taklif qiladilar [20, 21]. Bunday xizmatlarning imkoniyatlari shunchaki ajoyib. Ular Android va iOS qurilmalarining top modellarini, shuningdek, tiklash rejimida bo'lgan qurilmalarni (qurilma parolni noto'g'ri kiritish urinishlari sonidan oshib ketganidan keyin kiradi) qulfini ochish uchun ishlatilishi mumkin. Ushbu usulning kamchiliklari yuqori narx hisoblanadi.
Cellebrite veb-saytidagi veb-sahifadan olingan parcha, ular qaysi qurilmalardan ma'lumotlarni olishlari mumkinligini tasvirlaydi. Qurilmani ishlab chiqaruvchining laboratoriyasida (Cellebrite Advanced Service (CAS)) qulfdan chiqarish mumkin [20]:
Bunday xizmat uchun qurilma kompaniyaning hududiy (yoki bosh) ofisiga taqdim etilishi kerak. Mutaxassisning mijozga ketishi mumkin. Qoidaga ko'ra, ekranni qulflash kodini buzish bir kun davom etadi.
Himoya bo'yicha tavsiyalar: kuchli alfanumerik paroldan foydalanish va qurilmalarning yillik o'zgarishi bundan mustasno, o'zingizni himoya qilish deyarli mumkin emas.
PS Group-IB Laboratoriyasi mutaxassislari ushbu holatlar, asboblar va boshqa ko'plab foydali xususiyatlar haqida kompyuter sud-tibbiyot eksperti ishida o'quv kursi doirasida gapiradilar. . Bitiruvchilar 5 kunlik yoki kengaytirilgan 7 kunlik kursni tugatgandan so‘ng, o‘z tashkilotlarida sud-tibbiy tadqiqotlarni yanada samarali olib borish va kiber hodisalarning oldini olish imkoniyatiga ega bo‘ladilar.
PPS harakati axborot xavfsizligi, xakerlar, APT, kiberhujumlar, firibgarlar va qaroqchilar haqida. Bosqichma-bosqich tekshiruvlar, Group-IB texnologiyalaridan foydalangan holda amaliy holatlar va qurbon bo'lmaslik bo'yicha tavsiyalar. Ulanmoq!
Axborot manbalari
- Guixin Yey, Zhanyong Tang, Dingyi Fangy, Xiaojiang Cheny, Kwang Kimz, Ben Taylorx, Zheng Vang.
- Dominik Kasciani, Gaetan portali.
- Anatoliy Alizar.
- Mariya Nefedova.
- Anton Makarov. Android qurilmalarida naqsh parolini chetlab o'tish
- Jeremi Kirbi.
- Andrey Smirnov.
- Mariya Nefedova.
Manba: www.habr.com