К сожалению, эта книга выпускалась ограниченным тиражом. Вряд ли сейчас существует возможность ее приобрести. Скорее всего, её можно найти только в библиотечных фондах.
А как вы будете решать элементарную для безопасника задачу: проверить смартфон HUAWEI на наличие spyware/malware/иных приложений осуществляющих мониторинг действий пользователя? Доступа к файловой системе у вас нет. Получение прав суперпользователя приведет к сбросу пользовательских данных и заодно уничтожит файлы установленных пользователем программ. Описанный же в статье метод позволяет безопасно извлечь достаточное количество информации не только для того, чтобы понять: установлены ли подобные приложения или нет, а также определить, как эти приложения на устройство попали.
Проблема заключается в том, что даже из незаблокированного топового Android-смартфона извлечь данные очень сложно. Еще, начиная с древней операционной системы Android 6, данные в памяти смартфона шифруются по умолчанию. Этот процесс прозрачен для пользователя и работает независимо от того, активировал пользователь шифрование на устройстве или нет (владелец устройства может не осознавать, что устройство шифрует его данные). Это делает практически неприменимым использование таких методов извлечения информации из смартфонов, как: Chip-off, JTAG, ICP (In-System Programming). Попытка же получить права суперпользователя на устройстве, как правило, приводит к удалению данных в разделе DATA (USERDATA).
В исторической перспективе, изначально, в резервные копии Android смартфонов попадало очень мало типов данных (в отличие от резервных копий iTunes). А сейчас попадает еще меньше. Все это, в совокупности, делает извлечение данных из топовых Android смартфонов нетривиальной задачей.
Поэтому использование фирменных утилит резервного копирования становится одним из возможных путей быстрого получения основных типов данных из мобильного устройства.
Отнюдь. Как могут заходить в чужие аккаунты — понятно. А вот, как перехватывают СМС, есть несколько гипотез: нелегальное использованием специальных технических средств, инсайд у операторов или новый вектор атаки на протоколы SS7 сотовой связи (на стандартную схему не похоже).
Не совсем так. СМИ ссылаются на релиз новости www.group-ib.ru/media/telegram-two-factor. А текстом на Хабре мы решили предупредить об угрозе читателей нашего блога.
Мы сейчас получаем много сообщений об аналогичных случаях. Рекомендуем вам:
на устройствах iOS и Android для Telegram необходимо перейти в настройки Telegram, выбрать вкладку «Конфиденциальность» и назначить «Облачный пароль\Двухшаговую проверку» или «Two step verification». Детальное описание по включению этой опции дано в инструкции на официальном сайте мессенджера: telegram.org/blog/sessions-and-2-step-verification
Это верно подмечено — проблема не только у Telegram, это вообще глобальная проблема доверия к СМС как к безопасному каналу связи. Мессенджеры оказались первыми под угрозой, поскольку там основная авторизация идет через СМС.
Закрепляться в системе или нет — это опция. Клиент может ее не выбрать. Тогда малвара закрепляться в системе не будет. А во-вторых, если антивирус не делает этого автоматически, то эта функция не принесет пользы, потому что датастиллер начинает кражу данных сразу, как только запустился.
Проблема специфическая, это правда.
Для обычного пользователя основная проблема — это краденые айфоны с поломанной системой активации, которые скоро заполонят доски объявлений.
Для необычного пользователя проблема в том, что, зная код-пароль, можно извлечь значительно больше данных, чем позволяет стандартная процедура iTunes backup.
Про перебор паролей: как и было отмечено, скорее всего, iPhone 4S и 5 позволят перебрать код-пароли полностью. Для новых, в которых есть security enclave, перебор будет ограничен (по некоторым данным, быстрый перебор порядка 600 000 значений, потом «медленный режим»). На данный момент это не реализовано, но, очевидно, не за горами.
Для параноиков — теперь возможна загрузка в недоверенную ОС, поэтому можно осуществить загрузку iPhone в некую левую OS (например, модифицированную iOS, но на самом деле загружаться можно во что угодно, ждем Android для iPhone), которая до перезагрузки будет отправлять данные пользователя куда угодно и следить как угодно. Для этого достаточно оставить устройства где угодно на несколько минут. При этом обход пароля не требуется — просто загрузка в недоверенную ОС, а пользователь потом сам разблокирует её своим код-паролем, расшифровав устройство.
Это какие-то старые скандалы. Они были обусловлены не невозможностью взлома подобных устройств в принципе, а в цене, которую компании просили за эту услугу.
В 2018 году было анонсировано аппаратное средство GrayKey, извлекающее данные из запароленных iPhone. После этого о «громких скандалах» мы не слышали. Сейчас на рынке появилось решение другой компании – Cellebrite UFED Premium, которое имеет даже больший функционал чем GrayKey.
Технически, извлечение данных из заблокированного iPhone и восстановление PIN-кода, это две разных не связанных друг с другом задачи. Т.е., успех извлечения данных из заблокированного iPhone не связан с тем, будет ли восстановлен PIN-код.
Экспертная деятельность в России регламентируется федеральным законом «О государственной судебно-экспертной деятельности в Российской Федерации», часть положений которого распространяется на негосударственных экспертов.
Live CD сейчас используются очень редко по причине отсутствия CD/DVD-приводов в исследуемых устройствах. Обычно, используется загрузочная флешка. Контрольную сумму можно посчитать, например, использовав соответствующую команду Linux. Криминалистические утилиты, как правило, делают это автоматически при клонировании накопителя.
Если мы говорим о проведении неких процессуальных действий (а откуда иначе возьмутся понятые), то еще в конце 90-х годов прошлого века, существовали методические рекомендации, в которых было написано, что привлекать к подобным действиям надо граждан, которые имеют профильное образование (программисты, системные администраторы, иные IT-специалисты) и понимают, что происходит.
Достоверность создания криминалистической копии и отсутствие модификации данных при копировании подтверждается предварительным тестированием аппаратных и программных средств, используемых для осуществления подобной процедуры. Отчеты о тестировании открыты для всех желающих. Вы можете их найти, например, на сайте NIST (National Institute of Standards and Technology), в разделе ‘Disk Imaging’. Там находится огромное количество отчетов с результатами тестов.
Частично, ответ на этот вопрос будет дан в последующий статьях. Следите за нашими публикациями. Если же вас интересует конкретная ситуация, напишите об этом (с указанием производителя устройства, модели, версии ОС и т.д.).
В исторической перспективе, изначально, в резервные копии Android смартфонов попадало очень мало типов данных (в отличие от резервных копий iTunes). А сейчас попадает еще меньше. Все это, в совокупности, делает извлечение данных из топовых Android смартфонов нетривиальной задачей.
Поэтому использование фирменных утилит резервного копирования становится одним из возможных путей быстрого получения основных типов данных из мобильного устройства.
на устройствах iOS и Android для Telegram необходимо перейти в настройки Telegram, выбрать вкладку «Конфиденциальность» и назначить «Облачный пароль\Двухшаговую проверку» или «Two step verification». Детальное описание по включению этой опции дано в инструкции на официальном сайте мессенджера: telegram.org/blog/sessions-and-2-step-verification
Для обычного пользователя основная проблема — это краденые айфоны с поломанной системой активации, которые скоро заполонят доски объявлений.
Для необычного пользователя проблема в том, что, зная код-пароль, можно извлечь значительно больше данных, чем позволяет стандартная процедура iTunes backup.
Про перебор паролей: как и было отмечено, скорее всего, iPhone 4S и 5 позволят перебрать код-пароли полностью. Для новых, в которых есть security enclave, перебор будет ограничен (по некоторым данным, быстрый перебор порядка 600 000 значений, потом «медленный режим»). На данный момент это не реализовано, но, очевидно, не за горами.
Для параноиков — теперь возможна загрузка в недоверенную ОС, поэтому можно осуществить загрузку iPhone в некую левую OS (например, модифицированную iOS, но на самом деле загружаться можно во что угодно, ждем Android для iPhone), которая до перезагрузки будет отправлять данные пользователя куда угодно и следить как угодно. Для этого достаточно оставить устройства где угодно на несколько минут. При этом обход пароля не требуется — просто загрузка в недоверенную ОС, а пользователь потом сам разблокирует её своим код-паролем, расшифровав устройство.
В 2018 году было анонсировано аппаратное средство GrayKey, извлекающее данные из запароленных iPhone. После этого о «громких скандалах» мы не слышали. Сейчас на рынке появилось решение другой компании – Cellebrite UFED Premium, которое имеет даже больший функционал чем GrayKey.
Технически, извлечение данных из заблокированного iPhone и восстановление PIN-кода, это две разных не связанных друг с другом задачи. Т.е., успех извлечения данных из заблокированного iPhone не связан с тем, будет ли восстановлен PIN-код.
Если мы говорим о проведении неких процессуальных действий (а откуда иначе возьмутся понятые), то еще в конце 90-х годов прошлого века, существовали методические рекомендации, в которых было написано, что привлекать к подобным действиям надо граждан, которые имеют профильное образование (программисты, системные администраторы, иные IT-специалисты) и понимают, что происходит.
Достоверность создания криминалистической копии и отсутствие модификации данных при копировании подтверждается предварительным тестированием аппаратных и программных средств, используемых для осуществления подобной процедуры. Отчеты о тестировании открыты для всех желающих. Вы можете их найти, например, на сайте NIST (National Institute of Standards and Technology), в разделе ‘Disk Imaging’. Там находится огромное количество отчетов с результатами тестов.