Расшифруй меня полностью: извлекаем данные из парольных хранилищ
Электронная почта, онлайн-банк, мессенджеры, социальные сети и десятки других приложений, без которых мы не представляем свой день… Современному пользователю для решения личных и рабочих задач приходится хранить под рукой множество паролей от своих учетных записей, и их количество только растет.
Специалисты по кибербезопасности рекомендуют использовать не менее 12 символов в пароле, естественно, не делая его при этом предсказуемым и легким для угадывания. Понятно, что запомнить подобные комбинации — практически невозможно. Большинство традиционных подходов к управлению паролями не отвечают требованиям надежности, и на смену эре бумажных стикеров, заметок в блокнотах и текстовых файлов приходят специальные менеджеры паролей.
Это сервисы, которые случайным образом генерируют уникальные или сохраняют пользовательские пароли, а также могут быть дополнены различными функциями, такими как автозаполнение, мониторинг по скомпрометированным базам данных и т.п. По утверждению создателей, хранилища шифруются и расшифровываются только на уровне устройства и данные хранятся в секрете даже от разработчиков.
Согласно данным опросов, каждый третий пользователь услуг современного цифрового мира хранит учетные данные в каком-либо менеджере паролей. Можно ожидать, что примерно треть устройств, попадающих в руки экспертов в ходе расследования инцидентов, будет содержать в себе данные парольных хранилищ.
На рынке существует множество различных предложений, как платных, так и бесплатных. Рассмотрим некоторые из них, данные из которых возможно извлечь и расшифровать при помощи продуктов линейки «Мобильный Криминалист».
Один из самых популярных сервисов хранения паролей, аудитория которого насчитывает более 33 млн пользователей и 100 тыс. компаний. Шифрование в облачном сервисе происходит по алгоритму AES-256 и соответствует стандарту SOC 2 Type II. Помимо сохраненных учетных записей и паролей, приложение предоставляет возможность хранить данные платежных карт, номера личных документов, таких как паспорт, водительские права и т.п.
Благодаря функционалу «Мобильного Криминалиста» специалист может извлечь данные из облачного хранилища LastPass. Для изучения доступны название папки, в которой сохранен пароль, ссылка на веб-страницу, от которой сохранен пароль, имя пользователя в учетных данных, пароль от учетных данных, заметка о пароле, добавленная владельцем учетной записи. Также можно узнать о необходимости введения мастер-пароля при запуске или редактировании документа, включен ли автоматический логин и автозаполнение из расширения LastPass для определенных сайтов, а также уникальный идентификатор пароля.
Помимо вышеперечисленного, в процессе исследования цифровых улик станет доступна информация о заметках и различных документах владельца учетной записи, данные о которых он вносил в LastPass.
Входящий в топ популярных менеджеров паролей, также использующий алгоритм шифрования AES-256, 1Password насчитывает более 15 млн пользователей и 100 тыс. компаний в числе клиентов. Приложение предлагает использование специального секретного ключа для доступа к учетной записи, который хранится на сервере компании в зашифрованном виде.
При помощи инструментов «Мобильного Криминалиста» возможно извлечь и изучить такие данные приложения, как полное имя владельца учетной записи, его адрес электронной почты, время создания учетной записи и последнего использования приложения, название группы владельца, тип аккаунта, и получить тот самый секретный ключ.
Apple-устройства оснащены функцией «Связка ключей» (iCloud Keychain), которая сохраняет пароли и другую информацию для синхронизации между различными устройствами и удобного входа в учетные записи. Секретное хранилище защищено при помощи сквозного шифрования, а также дополнительного ключа в связке с паролем, известным только владельцу учетной записи.
«Мобильный Криминалист» предлагает несколько способов получения информации из хранилища Keychain. Во-первых, при извлечении данных из облачного сервиса iCloud Keychain эксперт может получить информацию о владельце аккаунта, доверенных устройствах, имена пользователей, пароли, токены и другие данные, которые используются iOS, встроенными и сторонними приложениями.
Во-вторых, извлечение данных из хранилища Keychain возможно произвести при помощи инструмента «Мастер Извлечения Данных», а точнее методов «iOS-Агент», «iOS с использованием checkm8» и «iOS по SSH». В настоящее время поддерживается широкий ряд моделей и версий iOS Apple-устройств, и с каждым обновлением «МК» список расширяется.
Специализированное хранилище секретных данных Android-устройств содержит в себе ключи, которые необходимы для расшифровки данных приложений. Разработчики могут использовать криптографические ключи, хранящиеся в Keystore, например, для шифрования базы данных с историей общения владельца устройства. Keystore не хранит непосредственно пароли и токены, однако может быть необходимым для доступа к информации.
С помощью инструмента «Мастер Извлечения Данных» ПО «Мобильный Криминалист» извлечение и расшифровывание аппаратных ключей предусмотрено для многих моделей Android-устройств и чипсетов различных вендоров (Unisoc, Qualcomm и др.), что открывает доступ к зашифрованной информации из приложений Signal, Silent Phone и Proton Mail, включая текст переписок владельца учетной записи, сведения о звонках и другие данные.
Недавно в «МК» была добавлена возможность подбора пароля при использовании ключей из Android Keystore для приложения Briar, что позволит эксперту изучить информацию об учетной записи владельца аккаунта, его контакты, а также текст групповых и приватных переписок в мессенджере.
В декабре 2021 года была прекращена поддержка отдельного сервиса по хранению паролей Firefox Lockwise, и его функционал был интегрирован в браузер Firefox. Практически все браузеры на сегодняшний день предлагают пользователям функцию сохранения паролей, а также возможность автозаполнения форм авторизации. Для наших программных решений это не является препятствием, ведь продукты «Мобильного Криминалиста» поддерживают извлечение данных из самых популярных браузеров и в том числе раскрывают пароли учетных записей. Например, в ходе изучения зашифрованных данных цифровых улик можно получить из облака или мобильных версий для iOS- или Android-устройств браузера Firefox такую информацию, как имя хоста, от которого сохранен пароль, имя пользователя учетной записи, сам пароль, время его создания и изменения, ссылка для отправки учетных данных и уникальный идентификатор полученного пароля.
Помимо Firefox, ПО «Мобильный Криминалист» поддерживает извлечение паролей от учетных записей пользователей и других браузеров, например, Vivaldi (Android), Microsoft Edge (Android, iOS), Google Chrome (Android, iOS). При помощи метода «Android-Агент» также доступно извлечение сохраненных логинов и паролей для браузера Samsung при условии, если они были сохранены в Samsung Pass, и Yandex Browser.
Нарушения безопасности личной информации встречаются все чаще, что вынуждает разработчиков предлагать продукты, отвечающие возрастающим требованиям надежности. Менеджеры паролей действительно являются одним из наиболее верных решений для хранения учетных данных, но ПО линейки «Мобильный Криминалист» объединяет эффективные инструменты, с помощью которых может быть раскрыта даже информация, спрятанная «за семью замками».