Статьи

Начало 2020 года принесло в мир много неожиданных событий, но самым масштабным стало распространение вируса COVID-19, который без преуменьшения затронул весь мир, в том числе и нашу страну. Всеобщая самоизоляция заставила многих покинуть свои рабочие места и адаптироваться к новой реальности — работе из дома. Но даже удаленно мы продолжали активно совершенствовать программные продукты бренда «Мобильный Криминалист» и сегодня хотим подвести итоги прошедшего полугодия.

Предлагаем вместе с нами вспомнить самые значимые моменты.

Доступ к данным Apple-устройств

2020 год стал, действительно, знаменательным в области извлечения информации из iOS-устройств. Разработчики программных продуктов цифровой криминалистики по всему миру совершили настоящую революцию в получении доступа к данным на Apple-устройствах. Определяющим событием стало обнаружение уязвимости нулевого дня в чипсетах нескольких современных поколений, на которых они базируются.

На основании найденной уязвимости, а также разработанных впоследствии эксплойта checkm8 и Jailbreak chekra1n, в наших программных продуктах был создан абсолютно новый инструмент для извлечения информации из устройств от купертиновской компании «Расширенное извлечение iOS». 

Изначально реализованная утилита с одним предназначением извлечения данных из устройств с предустановленным Jailbreak за год претерпела очень сильное развитие и сегодня обладает уже целым рядом новых функций.

Во-первых, инструмент позволяет получать информацию из iOS-устройств без предустановленного Jailbreak. Поддерживаются следующие линейки моделей: iPhone 5S на iOS от 12.2 до 12.4.9, iPhone 6 и iPhone 6 Plus на iOS версий от 12.4.4 до 12.4.9; iPhone 6S, iPhone 6S Plus, iPhone SE первого поколения, iPad пятого поколения и iPad mini 4 на iOS версий от 12.3 до 14.2; iPhone 7, iPhone 7 Plus, iPhone 8, iPhone 8 Plus, iPhone X, iPad Pro первого и второго поколения, iPad шестого поколения на iOS версий от 13.0 до 14.2.

Программа обходит USB Restricted Mode, и, более того, обладает возможностью извлечения части информации даже из заблокированных гаджетов в режиме «До первой разблокировки». Результатом является получение полной или частичной файловой системы устройства, а также содержимого секретного хранилища Keychain.

Во-вторых, инструмент предоставляет уникальный функционал выборочного извлечения стандартных категорий данных Apple-устройств (например, сообщения, почта, контакты, календарь, Safari Browser, галерея, заметки, карты и др.), а также информации из отдельных приложений (доступен выбор приложений из списка топ-30: WhatsApp Messenger, Viber, Telegram, VK, Skype, TikTok, Discord и др.).

Конечно же, не перестает развиваться и изначально созданная опция получения данных из устройств с ранее установленным Jailbreak: в поддержку, по мере их появления,  добавляются новые Jailbreak. 

В дополнение к своей собственной разработке, за этот год мы интегрировали в «МК Эксперт» с расширением «Плюс» еще один инструмент по работе с iOS-устройствами от наших коллег по рынку 一 Elcomsoft Forensic Toolkit. Он создан также для извлечения информации из Apple-устройств без предустановки Jailbreak, но через программу-агента.

Расширенное извлечение iOS
Извлечение файловой системы
Выборочное извлечение данных приложений

Аппаратное шифрование на Android: что нового?

Сейчас редко какое современное устройство на платформе Android можно встретить без функции аппаратного шифрования данных. Как бренды-лидеры рынка мобильных гаджетов, так и бренды среднего и даже низшего ценовых сегментов внедряют данную функцию в производимые смартфоны/планшеты.

«Мобильный Криминалист» за 2020 год заметно усилил свой функционал в извлечении и расшифровке данных из подобных Android-устройств: интегрирована возможность получения данных и аппаратных ключей шифрования из устройств на одних из самых популярных уникальных чипсетах Kirin и Exynos, а также продолжается развитие методов извлечения данных из гаджетов на широко распространенных МТК и Spreadtrum. Обо всем по порядку. 

Поддержка Huawei-устройств на Kirin в программных продуктах «МК» на сегодняшний день является лучшей среди всего программного обеспечения в области цифровой криминалистики. Мы осуществляем извлечение физического образа и аппаратных ключей шифрования из устройств на широкой линейке чипсетов Kirin: 659, 710, 710F, 810, 960, 970, 980, 990 и 990 5G на Android 9 - 10 версии. Более того, если владелец гаджета установил пароль на блокировку экрана 一 в программе реализован его подбор.

Новый инструмент «Samsung Exynos дамп» обеспечивает доступ к расшифрованной информации Samsung-устройств на чипсетах Exynos более 120 моделей! Поддерживаются устройства на Android 7 - 9 версии. После применения уязвимости, подбора пароля и считывания пользовательского раздела данных «МК» предоставляет для исследования полную расшифрованную информацию, а также восстанавливает исходное состояние системных разделов гаджета.

Обновленный «Spreadtrum Android дамп» получает физический образ и аппаратные ключи для подбора пароля и расшифровывания данных из устройств на базе SC9850, SC9863, SC7731E и SC9832E.

Без внимания мы не оставили и MediaTek-гаджеты, усовершенствовав ранее осуществляемый сценарий извлечения из них физического образа и аппаратных ключей шифрования. В дополнение к поддержке данным сценарием чипсета МТ6737, были добавлены гаджеты на МТ6580 и МТ6739. Как и для ранее перечисленных устройств, в данном случае также реализованы подбор пароля и расшифровывание данных.  

Стоит отметить, что во всех трех методах (работы с гаджетами на Exynos, Spreadtrum и MTK) программа переходит к подбору или вводу пароля, только если пользователь устройства активировал опцию «Безопасный запуск». В ином случае для шифрования используется пароль по умолчанию «default_password», «МК» автоматически его применяет и расшифровывает пользовательские данные (Spreadtrum Android дамп, Физический образ МТК) или вычитывает расшифрованные данные пользовательского раздела (Samsung Exynos дамп).

Huawei Kirin
Samsung Exynos
Spreadtrum
MediaTek

Права суперпользователя для получения данных из Android-устройства

Root-права приходят на помощь, когда иными методами извлечь физический образ гаджета по каким-либо причинам не удалось.

За 2020 год мы реализовали возможность применения в программе новых эксплойтов:

  • для Android-устройств с версией операционной системы 8 и выше, с обновлением системы безопасности до октября 2019 года включительно;
  • для Android-гаджетов с версией операционной системы 7 и ниже, с обновлением системы безопасности до июня 2018 года включительно;
  • для устройств на 64-битных процессорах МТК с обновлением безопасности до 1 марта 2020 года.

Более того, мы встроили совершенно новый сценарий использования root-прав. Так, было добавлено извлечение расшифрованных данных из пользовательского раздела устройств на операционной системе Android, в том числе 10 версии, оснащенных схемой пофайлового шифрования.

«МК Агент» 一 незаменимый инструмент в портфеле исследователя

Физический образ Android-устройства извлечь не удалось, не важно по какой причине (дело в модели гаджета, чипсете, сломанном USB-порте и пр.). Возвращать смартфон или планшет обратно? Ни в коем случае.

Если гаджет разблокирован, используйте нашу собственную разработку «МК Агент», которая в этом году претерпела заметное изменение интерфейса, а также приобрела 3 новых функции!

Во-первых, был реализован новый способ доступа к данным на устройстве 一 по Wi-Fi сети! Для извлечения логического образа, включающего в себя контакты, сообщения, звонки, галерею, данные о беспроводных подключениях и многое другое, достаточно подключить гаджет и ПК исследователя к одной Wi-Fi сети, отсканировать QR-код и установить Агента на устройство. Все остальное программа выполнит самостоятельно.

Во-вторых, Агент научился извлекать данные отдельных приложений. При работе с Агентом через карту памяти или USB-флешку, возможно получить доступ к информации из мессенджеров: 

  • WhatsApp (чаты, звонки, контакты, информация о группах и учетной записи);
  • WhatsApp Business (чаты, звонки, контакты, информация о группах и учетной записи, график работы и каталоги);
  • Signal (резервные копии, содержащие в себе: чаты и вложения, контакты, звонки, сведения об учетной записи, а также SMS и MMS, если мессенджер был приложением по умолчанию для их получения).

В-третьих, даже если приложение пока что не входит в вышеназванный список, усовершенствованный Агент поможет экспортировать из него информацию для анализа путем создания скриншотов в автоматическом или ручном режимах. После импорта скриншотов в «МК», они попадают в раздел «Снимки», где могут быть подробно изучены, а также из которого могут быть добавлены в отчет. Помимо этого, в ПО с расширением «Плюс» скриншоты возможно проанализировать интегрированными в программу нейросетями на наличие на них определенного текста или угроз, а результаты исследования также добавить в итоговый отчет по извлечению.

Извлечение через Wi-Fi
Извлечение данных WhatsApp
Извлечение данных Signal
Создание скриншотов

Больше приложений — больше данных! 

Ежемесячно в мире появляется множество новых приложений для платформ iOS и Android, общее их количество растёт. Мы, при этом, с каждой последующей версией ПО расширяем линейку поддерживаемых сервисов. На настоящий момент «Мобильному Криминалисту» доступно извлечение информации из 576 уникальных приложений и их 18 800 версий! Подведем итоги —  что именно было добавлено в программу в уходящем году?

В связи с происходящими в мире событиями, такими как пандемия и массовый перевод сотрудников на удаленную работу, множество людей оказались вынужденно запертыми дома, и вся рабочая, учебная деятельность и общение перешли в режим онлайн. Тем не менее, как и в прошлые годы, наиболее актуальным являлся вопрос  извлечения данных из бизнес-приложений, мессенджеров, социальных сетей и веб-браузеров.

В 2020 году в «Мобильный Криминалист» были включены 5 новых Google-сервисов: Google Contacts (Android), Google Docs (Android и iOS), Files by Google (Android), Google Tasks (Android и iOS), Google (Android и iOS). Экосистемой корпорации пользуется огромное количество людей, поэтому вновь добавленные приложения могут включать в себе массив интересующей экспертов информации, содержащейся в контактах, чатах, звонках, заметках, файлах и учетной записи.

Google Contacts
Google Doc
Files by Google
Google Tasks
Google

Также было принято решение об осуществлении поддержки программой и других «помощников» человека в работе и бизнесе: весьма используемых в период пандемии клиентов для проведения видеоконференций Zoom Cloud Meetings (Android и iOS), клиентов удаленного рабочего стола Microsoft Remote Desktop (Android и iOS) и TeamViewer (iOS), приложения Yandex (Android и iOS), менеджера паролей Firefox Lockwise (iOS), программы  для защиты паролем личных фото и видео Gallery Vault (Android и iOS). 

Теперь о владельцах устройств можно узнать намного больше: в приложении Zoom Cloud Meetings реализован доступ к  данным о контактах, чатах, звонках и др.; в Microsoft Remote Desktop 一 к информации об истории использования приложения и удаленных рабочих столах, а в TeamViewer 一 к сведениям о сеансах, чатах и проч. Yandex хранит в себе данные о контактах, чатах, каналах и др. Из хранилища  Firefox Lockwise можно извлечь логины/пароли и данные учетной записи, а из Gallery Vault  —  информацию о  файлах, папках, загрузках и проч.

Zoom
Microsoft Remote Desktop
TeamViewer
Yandex
Firefox Lockwise
Gallery Vault

В категории «Мессенджеры» мы реализовали доступ к информации 9 новых приложений: ChatSecure (iOS), JioChat (Android и iOS), Signal (iOS), Textra SMS (Android), Wickr Me (iOS), TextNow (iOS), GroupMe (Android), Zalo (Android и iOS) и Wire (Android и iOS). Из них извлекаются контакты, сообщения, звонки, вложения, информация об учетной записи и др.

ChatSecure
Jiochat
Signal
Textra SMS
Wickr Me
TextNow
GroupMe
Zalo
Wire

Среди «Веб-браузеров» можно отметить 3 новых сервиса: браузеры DuckDuckGo (Android и iOS), Microsoft Edge (Android) и JioBrowser (Android). Для анализа доступна информация о закладках, открытых пользователем вкладках, паролях, загрузках, истории посещения и поиска.

В категорию «Социальные сети» мы включили видеоплатформу Zynn (Android и iOS) (аналог всем известных TikTok и Likee) и индийское интернет-сообщество Elyments (Android и iOS). Из приложений можно получить информацию о контактах, ленте новостей, изображениях, видео, аудио и др.

DuckDuckGo
Microsoft Edge
JioPages
Zynn
Elyments

Секция «Мультимедиа» пополнилась 3 приложениями: Imgur (Android и iOS) и Amazon Photos (Android и iOS) 一 «виртуальные альбомы», используемые для хранения и просмотра фотографий и SoundHound (Android и iOS), позволяющее распознавать и искать музыку. Программа успешно исследует из первых двух приложений данные о файлах, папках, чатах и постах, а из последнего —  информацию об истории поиска, избранном и учетной записи.

В группе «Путешествия» появилось 2 новых сервиса 一 Airbnb (Android и iOS), хранящее в себе данные о самих поездках, координатах перемещения, контактах, чатах и учетной записи; и Uber Russia (iOS), содержащее в себе сведения о заказах (в том числе адресах посадки и высадки пассажира) и учетной записи.

Imgur
Amazon Photos
SoundHound
Airbnb
Uber Russia

Про «облака»

Данные на мобильном устройстве представляют своего рода цифровой дневник и хранят в себе массу сведений о его владельце. Однако иногда хозяин смартфона намеренно старается не оставлять на нем любую обличающую информацию. Что делать в таком случае? 

Данные можно получить для исследования даже при таком развитии событий. Модуль «Облачные сервисы» позволяет экспортировать из «облака» приложения почти всю ту же информацию, что хранилась бы на устройстве. Именно поэтому возможность ее извлечения из облачных сервисов приложений так высоко ценится экспертами. Мы постоянно работаем над качеством наших решений и увеличиваем их количество. В этом году, аналогично прошлому, мы сохранили лидирующие позиции в сегменте облачной криминалистики. За этот период в поддержке появилось 10 новых сервисов, а их общее количество составляет 87!

Первые обновления в модуле произошли уже в конце февраля 2020 года с появлением версии «Мобильный Криминалист Эксперт» 1.3. Тогда в поддержку было добавлено сразу 2 облачных сервиса:  всемирно известная онлайн-площадка для поиска жилья по всему миру — Airbnb и мессенджер imo, из которого можно достать информацию о чатах, группах и их участниках, историях и учетной записи. А из «облака» всемирно известного поискового агрегатора частного жилья возможно извлечь данные о местах проживания, сообщениях, контактах, поездках, и сохраненных локациях. Но в марте этого года международные поездки пришлось отложить на неопределенный срок из-за всемирной пандемии. 

Мы довольно быстро подстроились под новые мировые реалии и добавили в поддержку самые актуальные приложения того времени. За последний год в ПО была реализована возможность не только извлечь, но и проанализировать сведения из облачных хранилищ популярных приложений для удаленной работы 2020 года: Slack, Skype и Zoom. Результатом исследования станет информация о контактах, звонках, а также групповых и приватных чатах и многое другое. 

Airbnb
imo
Slack
Skype
Zoom

Каждый проводил свой досуг в это время совершенно разными способами. Кто-то сидел в социальных сетях или просто исследовал безграничные просторы интернет-пространства, а кто-то искал более «интересные» способы для времяпрепровождения и заработка. 

В программном обеспечении «Мобильный Криминалист» найдутся решения для исследования приложений, которые использовались в различных сценариях. Теперь мы поддерживаем одну из самых популярных в России социальных сетей — Одноклассники, из облака которой можно получить контакты, приватные и групповые звонки, альбомы, загруженные и понравившиеся видео, ленту, обсуждения, информацию о группах и сообществах. А также Firefox Browser — один из самых известных браузеров в мире. Из него извлекаются хранимые логины и пароли, история посещения веб-страниц, закладки, открытые вкладки, установленные дополнения  и информация о клиентах и учетной записи. Более того,  из облачного сервиса менеджера паролей Firefox Lockwise тоже возможно получить информацию. Для исследования будут доступны сведения об учетной записи, а также хранимые в нём логины и пароли. 

Также, начиная с версии «Мобильный Криминалист» 2.1, программа позволяет извлекать информацию из наиболее часто применяемого почтового клиента в сегменте теневого интернета — SecMail. Мы первые в отрасли реализовали возможность получить из него такие сведения, как: письма, вложения, контакты, и информация об учетной записи.  

Одноклассники
Firefox Browser
Firefox Lockwise
SecMail
Huawei Android Backup

Помимо этого, «МК» делает возможным получение резервных копий Apple-устройств на iOS версий от 13 до 14.2  включительно из облачного хранилища iCloud Backup. 

Резервные копии мобильных гаджетов извлекаются и из облачного хранилища Huawei Cloud Backup. На сегодняшний день мы являемся единственным вендором в области цифровой криминалистики, обеспечивающим всестороннюю поддержку устройств и облачных сервисов бренда Huawei. 

Помимо этого, программное обеспечение с этого года позволяет авторизоваться в облачных сервисах приложений по QR-коду не только в WhatsApp, Viber и Line, но и в Telegram и Huawei Cloud Data.  

Также была обновлена поддержка, и добавлены новые методы прохождения двухфакторной аутентификации в Firefox Lockwise, Facebook, VK, Slack и в облачных сервисах Samsung, Google, Apple, Mi Cloud, Microsoft. 

Но это далеко не все, что еще изменилось за этот год расскажем совсем скоро!

Читать продолжение