Данные на ноутбуке, даже домашнем, желательно зашифровать, в крайнем случае пользователю требуется механизм устойчивой аутентификации со строгим паролем. До недавнего времени я, как и многие, считал, что мой домашний компьютер мало кому интересен. Да, на работе нужен устойчивый пароль, но что мне скрывать дома? И от кого? Однако мне пришлось изменить свое мнение. Что же произошло? Все просто. Я получил очередную версию программы Elcomsoft Phone Password Breaker. С помощью данного программного обеспечения можно скопировать содержимое резервной копии вашего устройства iPhone на любой компьютер, не зная пароль и Apple ID. Единственное, что радует – все это можно осуществить только в версии EPPB Forensic. Давайте рассмотрим возможности программы подробнее.

Взлом в iCloud: пароль больше не нужен!

Я уже рассказывал о загрузке данных iPhone (iPad) из iCloud (в статье, опубликованной в Windows IT Pro/RE №2 за 2014 год). В этой статье говорилось о том, что исследователь мог получить доступ к «облачным» резервным копиям. Однако на этот раз мы рассмотрим доступ к данным iCloud без всякого пароля. Замечу, что данная функция предназначена в первую очередь для правоохранительных органов, так как копирование данных без паролей в iCloud нуждается в двоичном маркере аутентификации, который необходимо получить из компьютера подозреваемого. На сегодня EPPB – единственный продукт, который умеет это делать. Вместе с тем стоит подчеркнуть, что для использования такого способа извлечения данных вам нужен физический доступ к компьютеру подозреваемого, на котором к тому же должна быть установлена панель управления iCloud.

Что такое панель управления iCloud

Для создания учетной записи iCloud вам необходимо иметь iPhone, iPad или iPod touch с операционной системой iOS 5 или более новой версии или компьютер Mac с ОС OS X Lion 10.7.5 или более новой версии. Для доступа к электронной почте, контактам и календарям требуется Microsoft Outlook 2007 или более новой версии или браузер новейшей версии. Для синхронизации закладок с браузером Firefox или Google Chrome необходимо расширение «Закладки iCloud».

Панель управления iCloud (см. экран 1) – неотъемлемая часть iTunes, однако она требует отдельной установки на компьютере под управлением Windows. На компьютере под управлением Mac OS данная программа уже установлена.

 

Панель управления iCloud
Экран 1. Панель управления iCloud

Получение маркера аутентификации iCloud

Для получения маркера аутентификации вам нужен компьютер подозреваемого (под управлением Windows или Mac OS), на котором установлена панель управления iCloud, на котором зарегистрирован подозреваемый, а также программа EPPB Forensic.

Большинство пользователей открывают панель управления iCloud, чтобы синхронизировать контакты, пароли (iCloud Keychain) и другие данные, и остаются подключенными к «облаку». Другими словами, у эксперта есть высокий шанс получения маркера аутентификации с данного компьютера. Далее вы должны задействовать инструменты командной строки, предоставленные Elcomsoft Phone Password Breaker, чтобы найти и извлечь маркеры аутентификации. Учтите, что вы сможете извлечь все маркеры, принадлежащие всем пользователям исследуемой системы, включая пользователей домена (если у вас есть их имя и пароль для регистрации в системе). После извлечения маркеров аутентификации сохраните их на флэш-карте USB, а затем запустите на своем компьютере Elcomsoft Phone Password Breaker и включите сбор данных с iCloud. При этом вместо ввода имени и пароля iCloud введите токен маркера аутентификации. Все! Имя и пароль для аутентификации вам больше не нужны.

Используемые инструменты для извлечения маркеров аутентификации – ATEX (Authentification Marker Extract): atex.exe (для Windows) или atex.dmg (для MacOS X). Файл может быть запущен в любой папке. В частности, я рекомендую запускать данный файл с USB-флэшки. В результате вы получите текстовый файл, содержащий маркер аутентификации.

В окне командной строки Windows вы можете ввести следующие параметры:

>atex.exe 
-h // Shows help message
-l // Shows system users with iCloud tokens
-t [username] [password] // Get auth token for specified user

Для извлечения токена подключенного к «облаку» пользователя в Windows вы можете запустить atex.exe без параметров. Вы получите результаты, как на экране 2.

 

Окно командной строки
Экран 2. Окно командной строки

Откроем полученный текстовый файл в блокноте и увидим токен маркера авторизации, см. экран 3.

 

Токен маркера аутентификации
Экран 3. Токен маркера аутентификации

Для получения списка пользователей, которые на этом компьютере имеют токены аутентификации, запустите ATEX с параметром «-1». Если же вы хотите получить токен для другого пользователя Windows, вам необходимо знать его имя и пароль

Atex – t имя пароль

Вам необходимо иметь права администратора для получения токена другого пользователя данного компьютера.

MacOS X

В MacOS X ATEX имеет расширение. DMG с добавлением ‘atex’ (исполнимой программой Mac). Чтобы извлечь исполняемый файл (atex без расширения), просто дважды щелкните по файлу DMG, чтобы смонтировать его (на MacOS X). Вы можете скопировать исполняемый файл на карту флэш-памяти с интерфейсом USB. Или же вы можете запустить atex из любой папки на этом компьютере Mac.

Использование ATEX на системах Mac подобно использованию под Windows. Различия будут весьма тонкими. В Windows, если вы хотите извлечь маркер другого пользователя, вы будете задавать пароль в командной строке. На Mac пароль запрашивается системой в интерактивном режиме. Кроме того, в средах Mac вы будете вводить переключатель «-u» перед именем пользователя. Итоговое различие — в выходном формате. В Windows вы получаете простой текстовый файл, а на Mac получите файл. plist (XML).

Корректный способ запустить ATEX на Mac выглядит следующим образом. Запустите консоль, измените текущую папку (‘cd’) на ту, где сохранен ‘atex’, а затем запустите APEX.

Использование маркера аутентификации

Итак, мы получили маркер аутентификации. Как его использовать? Запускаем EPPB Forensic Edition, см. экран 4.

 

Главное окно EPPB
Экран 4. Главное окно EPPB

Выбираем из меню Tools, Apple пункт Download backup from iCloud. B строку Token вводим полученный ранее токен, см. экран 5. Дальнейший процесс ничем не отличается от загрузки резервной копии с помощью Apple ID и пароля. Вместе с тем нужно учесть следующее:

  1. Восстановить пароль по маркеру нельзя.
  2. Если из панели управления iCloud удален пароль, EPPB не сможет его восстановить.
  3. Новый маркер создается каждый раз, когда пользователь запускает панель управления iCloud со своим именем и паролем. Однако предыдущие маркеры аутентификации могут при этом использоваться для доступа к резервной копии iCloud.
  4. Если пользователь откроет панель управления iCloud на другом компьютере (но с помощью того же ID Apple), маркеры будут отличаться, но любой из них будет работать с EPPB.
  5. Вместе с тем маркеры имеют конечное «время жизни». Точное время на сегодня мне неизвестно.
  6. Если пользователь изменит пароль, то старые маркеры больше работать не будут.
  7. Вы можете использовать ATEX с карты флэш-памяти с интерфейсом USB без установки. Маркеры будут сохранены на ту же самую карту флэш-памяти.

 

Загрузка токена
Экран 5. Загрузка токена

В заключение хочу сказать, что, с одной стороны, я горжусь российскими разработчиками, с другой – понимаю, что эта программа открывает еще один ящик Пандоры. Почему? Да потому, что появляется еще один способ хищения информации с мобильных телефонов. А так как наше руководство привыкло к тому, что имиджевый смартфон – это смартфон от Apple, возникают дополнительные риски. Например, вы всегда доверяете службе поддержки? И всегда в состоянии контролировать сотрудника, который что-то делает на вашем компьютере? Запуск утилиты – дело нескольких секунд, а анализировать резервные копии можно и дома.

Смартфон хранит информации о вас не просто много, а очень много. И самая интересная, на мой взгляд, – пароли от почты, Skype, и многого другого. Что делать? Советы стандартные. Шифровать жесткий диск, ставить устойчивый пароль к учетной записи, вовремя его менять, не забывать блокировать компьютер. Да, все то же самое относится и к планшету! Ведь разницы никакой. Словом, учитесь защищать свою конфиденциальность. Хоть немного.