Хабрахабр

Им было нечего скрывать

Мы не первый год работаем на рынке информационной безопасности. Основные наши клиенты – правоохранительные органы разных стран, спецслужбы, а также отделы IT безопасности в крупных компаниях. Иногда наши клиенты делятся с нами интересными историями; о некоторых из них можно прочитать и в средствах массовой информации. Сегодня я хочу рассказать несколько историй о людях, которым было «нечего скрывать» и у которых в результате возникли серьёзные проблемы буквально на ровном месте.

В чём проблема?

Я часто пишу статьи на тему информационной безопасности. Иногда получается понятно для неспециалиста, иногда, вероятно, не очень. «Что-то я вообще не понял посыла статьи […] в чем проблема?», «имхо, проблема с icloud, слегка притянута за уши», ну и бессмертное – «я не стал заморачиваться, мне нечего скрывать». Отлично, давайте посмотрим, стоит ли вам что-либо скрывать.

Celebgate: «проблема с iCloud слегка притянута за уши»

С момента выхода нашего первого продукта для извлечения данных из iCloud прошло более пяти лет. Ключ от продукта Elcomsoft Phone Password Breaker (сейчас у него другое название), который на тот момент мы продавали исключительно правоохранительным органам, был украден и попал в руки хакерской группировки.
«C 31 августа на 1 сентября 2014 года хакеры устроили масштабный слив интимных фотографий знаменитостей с сервиса iCloud. Это эпичное событие интернет пользователи ознаменовали как «Celebgate» и «The Fappening»», пишет в статье Годовщина The Fappening NSFW! Александр Слепченко. По ссылке выше можно ознакомиться и с самими фотографиями людей, которым было нечего скрывать.

Откуда их узнали? Для доступа к iCloud злоумышленники использовали наш продукт и реальные данные от учётных записей. Некоторым жертвам и вовсе звонили по телефону, помогая «обезопасить» аккаунт или «восстановить» к нему доступ после «попытки компрометации». По-разному: где-то были утечки, где-то пароль к iCloud удалось подобрать на основе паролей к другим учётным записям, но чаще всего использовался социальный инжиниринг: жертве приходило письмо, в котором под надуманным предлогом предлагалось зайти в свой аккаунт.

Однако даже эту полумеру Apple тогда применяли лишь частично, не распространив защиту на фотографии в iCloud. Что интересно, на момент события у Apple уже была внедрена полумера защиты – Two-Step Authentication (2SV), бледная предтеча современной двухфакторной аутентификации. Лишь с выходом iOS 9 и OS X El Capitan в марте 2016 у Apple появилась современная и надёжная система двухфакторной аутентификации.

О том, как именно действовали хакеры, какими программами пользовались и откуда узнали пароли жертв атаки можно почитать в англоязычной статье Forbes Stealing Nude Pics From iCloud Requires Zero Hacking Skills — Just Some YouTube Guides.

«У нас вообще свобода слова!»

Да, конечно. Свобода читать любую литературу и не подвергаться за это преследованиям. Старая добрая Англия, 2013 год. Помощник пионервожатого (хорошо, пусть – ассистент лидера скаутов) Джон Кокрофт имел при себе электронную книжку Kindle. Во время сворачивания лагеря вожатая обнаружила книжку. Включив её и вчитавшись в текст, вожатая с ужасом обнаружила описания откровенных сцен с несовершеннолетними. Попытки Джона аргументировать «это как Лолита» провалились, вожатая вызвала полицию.

Старого извращенца схватили, сделали обыск, изъяли компьютеры… далее – вопрос техники: после тщательного сканирования двух компьютеров Джона на оных были обнаружены картинки весьма сомнительного свойства – целых 12 штук.

В данном случае полиция так и не смогла взломать защиту, а Джон совершил ещё одно преступление, отказавшись сообщить пароли от этих файлов (по британским законам – вполне себе преступление). Этот случай привлёк наше внимание потому, что на компьютере Джона обнаружилось два зашифрованных файла (природа которых не разглашается), а наши продукты как раз и предназначены для максимально быстрого взлома паролей. Судимость будет снята лишь через пять лет. По совокупности преступлений Джона приговорили к трём годам общественных работ, трём годам посещения специальных курсов и трём годам наблюдения. Подробности этой истории можно прочитать здесь.

Украденный iPhone и уволенная учительница

У вас украли iPhone. Кто виноват? Конечно же, вы! Вас уволят с работы и на вас заведут уголовное дело. И всё потому, что вы не установили код блокировки. Лютый бред? Если бы. Не так давно, в 2016 году, у преподавательницы старшей школы Ли Анны Артур из Южной Каролины был украден iPhone. У вора, которым оказался её 16-летний ученик, не возникло проблем с доступом к содержимому устройства: честной учительнице было нечего скрывать, и настройкой PIN-кода она не озаботилась. В телефоне ученик обнаружил селфи учительницы в неглиже, которые он с удовольствием распространил среди одноклассников, а также выложил в социальные сети.

Но работу Ли Анна Артур потеряла несмотря на петиции. В конечном итоге ученика всё-таки наказали. На тот момент Ли Анна Артур всё ещё была безработной. Год спустя стороны договорились во внесудебном порядке; ученик был исключён из школы.

Даже если вы считаете, что вам нечего скрывать, ваши коллеги, начальство или ученики могут иметь противоположное мнение. Вывод? Если же вы считаете, что «это в пуританской Америке, а вот у нас…» – то в России для увольнения учительницы достаточно даже не обнажёнки, а простых фото в купальнике (кстати, фраза в конце статьи о «приняли на прежнюю работу» не соответствует действительности – в этом легко убедиться, просто пройдя по ссылке). И если у вас украдут телефон, вы рискуете как минимум разрушенной карьерой. Вы всё ещё думаете, что вам нечего скрывать?

Просто шёл по улице

Вы идёте по улице, уставившись в телефон, и утыкаетесь в широкую грудь полицейского. Полицейский требует устройство, вы машинально передаёте его в руки представителя закона. Получаете обвинение в педофилии, выходите под залог, уничтожаете улики. Теперь вас обвиняют в противодействии правосудию, но, постращав хорошенько, всё-таки отпускают. Вы понимаете: если бы не замели следы – присели бы года на три…

Но вот – оно произошло и попало в газеты, и теперь этот случай стал моей любимой иллюстрацией во время тренингов, которые я провожу для полиции (в контексте: «не повторяйте ошибок полиции, храните изъятые телефоны в клетке Фарадея!») Честное слово, я не смог бы такое выдумать.

19-летний парень спокойно и не нарушая правил ехал в машине со своей подружкой. Итак, ситуация. Полицейскому приглянулся телефон, и парень, которому было «нечего скрывать», согласился с просьбой полицейского разблокировать устройство. Был остановлен полицией для рутинной проверки. (Удивительно, правда?) Подружка на снимках была не одета. (В скобках: а вы знаете, что совершенно не обязаны этого делать, а полицейский имеет право попросить, но не имеет права потребовать от вас разблокировать устройство?) В телефоне полицейский обнаружил фотографии той самой подружки, которая была пассажиркой в автомобиле. Уголовная статья: создание и распространение детской порнографии; присесть можно лет на десять. Подружке не исполнилось 18 лет.

Парень, не будь дураком, вышел под залог, после чего моментально инициировал уничтожение данных через функцию Find my iPhone.

Потеряв единственные доказательства страшного преступления, взбешённая полиция попыталась повесить на парня обвинение в противодействии правосудию; в конечном итоге обвинение развалилось, и парень отделался серьёзной нервотрёпкой. Спустя какое-то время полиция осознала, что телефон заблокирован; связавшись с обвиняемым и получив от него пароль, полиция с удивлением обнаружила, что содержимое телефона уничтожено.

Даже если вам нечего скрывать, не разблокируйте никакие устройства, передавая их полиции. Мораль? Кстати, саму эту историю работники правоохранительных органов воспринимают с юмором; я слышал много циничных комментариев по поводу действий полиции Морристауна, но ни одного в сторону обвиняемого.

Мы сохранили описание инцидента: Подробности были опубликованы в статье WATE, которая впоследствии была удалена (но сохранилась в кэше Google).

“A Morristown man was arrested after police say he allegedly remotely wiped nude photographs of his underage girlfriend from his iPhone.”

Police say the phone was confiscated during a traffic stop on February 23. “Darvel Walker, 19, is charged with tampering with evidence. They say Walker gave officers permission to search his phone, and they found what they said were several nude images of the underage girl, who was a passenger in the vehicle.”

“Once detectives learned the phone was password protected, they contacted Walker to get the passcode, but then discovered the photos were gone.”

“Walker was held on $25,000 bond.”

Случаи из жизни

Далеко не все истории попадают в газеты. Три случая произошли и с нами (на самом деле, гораздо больше, но не о всех можем рассказать).

Планшет в автопрокате

В арендованной машине в качестве системы навигации был установлен обычный iPad; разумеется, никакого кода блокировки на нём не было. В первом из них участвовала компания по прокату автомобилей. С первой попытки извлечь данные не удалось: на планшете был установлен MDM-профиль, запрещающий создание резервных копий. Меня разобрало любопытство, и я подключился к планшету нашей программой iOS Forensic Toolkit. А вот хоть как-нибудь защитить устройство от удаления MDM-профиля отдел IT безопасности не озаботился (для этого нужно поставить лишнюю галочку, о существовании которой специалисты компании, похоже, просто не знали).

(В двух словах: джейлбрейк не нужен; EIFT устанавливает пароль на резервную копию и скачивает её из устройства, что даёт доступ к большей части информации, включая пароли). После удаления MDM-профиля полная копия данных с планшета оказалась в моём распоряжении буквально за пару минут. Развития история не получила: заходить в учётные записи я не стал. В результате я узнал пароль от закрытой сети Wi-Fi автопроката, а также пароли от нескольких учётных записей сотрудников. Кстати, сама резервная копия до сих пор лежит в свалке подобных трофеев.

Детский телефон

Когда нам нужен был тестовый телефон iPhone 5C, мне отдал устройство давний друг. Ещё одна история касается «детских» телефонов, которые передаются от родителей к ребёнку или дарятся за пределы семьи. Телефон мне друг отдал, но не сбросил, и от iCloud не отвязал; фактически, почистил только контакты и заметки и удалил приложения. Телефоном пользовался его сын. Случайно увидел пароли от Wi-Fi, почты и нескольких социальных сетей. Я установил пароль на резервную копию, скачал Связку ключей, узнал пароль от Apple ID и отвязал телефон от iCloud, отключив Find my iPhone. Разумеется, я сбросил телефон, а другу позвонил и провёл ликбез по безопасности. На телефоне был включён Find Friends, который успешно показывал местоположение родителей ребёнка (то есть, моего друга и его жены) в реальном времени.

Смышлёные девочки

Так, семилетний ребёнок сумел обойти ограничения «Экранного времени», установленные родителями. Иногда забавно читать новости, в которых малолетние дети оказываются куда лучше подкованными в вопросах безопасности, чем их родители. Другой ребёнок обошёл ограничения на просмотр YouTube, отправляя себе ссылки на видео в сообщениях iMessage: это приложение родители заблокировать не догадались.

Передам ей слово. Показательный в этом контексте случай произошёл на днях с нашей сотрудницей. От них бабушка спрятала телефон, чтобы они долго в нём не сидели, а им сказала, что его украли. «Сейчас ехала в такси с водителем, который говорил по телефону с дочками (8 и 10 лет). Сказала водителю, что я как раз работаю в компании, которая восстанавливает данные из телефонов. Они жаловались папе по телефону, объясняли, что там был установлен длинный пароль на русском языке, и потом финально хором завопили: «Зачем кому-то нужен телефон С ПАРОЛЕМ!?» Такие смышлёные были девчонки. На что водитель меня спросил, правда ли, что пароль на iPhone сломать нельзя, я его успокоила.»

Теги
Показать больше

Похожие статьи

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Кнопка «Наверх»
Закрыть