Спецслужби проти хакерів
Зміст статті
Хакери, шахраї, працівники IT-безпеки, слідчі органи та спецслужби — всі вони за певних обставин можуть спробувати дістатися інформації, захищеної паролем. І якщо інструменти, якими користуються хакери та спецслужби, загалом практично збігаються, то підхід до завдання відрізняється кардинальним чином. За винятком поодиноких справ, на розкриття яких можуть бути кинуті величезні сили, експерт працює в рамках жорстких обмежень як за ресурсами, так і за часом, який може витратити на злом пароля. Які підходи використовують правоохоронні органи та чим вони відрізняються від роботи хакерів – тема сьогоднішнього матеріалу.
Описана в статті методика пошуку та підбору паролів не нова, але дійсно використовується рядом спецслужб під час упіймання злочинців.
Добрим словом та пістолетом
Так, ти не зобов'язаний свідчити проти себе і видавати свої паролі. Цей принцип наочно ілюструється ще однією нагодою. Підозрюваний у зберіганні дитячої порнографії сидить уже 16 місяців через те, що відмовляється повідомити паролі від зашифрованих дисків. Презумпція невинності? Ні, не чули.
Втім, такі заходи можна вживати не завжди і не до всіх. Дрібного шахрая, шлюбного афериста чи просто любителя накачати музики «про запас» без виразних доказів у в'язницю не запрешь, як і серйозного злочинця з грошима і адвокатами. Дані доводиться розшифровувати, а паролі розкривати. І якщо у справах, пов'язаних із тяжкими злочинами та загрозою національній безпеці (тероризм), руки в експертів розв'язані, а обмежень (фінансових та технічних) практично немає, тов інших 99,9% випадків експерт жорстко обмежений доступними обчислювальними можливостями лабораторії, так і тимчасовими рамками.
Що можна зробити за 45 хвилин? А за два дні?
Фільми не завжди брешуть. На одній із виставок до мене підійшла людина, в якій я відразу впізнав начальника поліцейської дільниці: велику, лису й чорношкіру. Інформація із жетону підтвердила перше враження. «У мене в ділянці штук двісті цих... айфонів, — одразу почав відвідувач. - Що ви можете зробити за 45 хвилин? З такою постановкою питання мені раніше стикатися не доводилося. Втім, на той момент (три роки тому) ще були популярні пристрої без сканера відбитків, Secure Enclave тільки-но з'явився, а з установкою jailbreak проблем, як правило, не виникало. Але питання скалкою засів у мене в голові. А що можна зробити за 45 хвилин? Прогрес іде, захист ускладнюється, а часу поліція більше не стає.
У більш серйозних випадках, коли конфіскується навіть комп'ютер підозрюваного, слідство може докласти й серйозніші зусилля. Знову ж таки, від країни, від тяжкості злочину, від важливості саме цифрових доказів залежатиме і кількість ресурсів, які можна витратити на злам.
У розмовах з поліцейськими різних країн найчастіше виникала цифра «два дні», при цьому малося на увазі, що завдання лягає на існуючий кластер із кількох десятків комп'ютерів. Два дні на відкриття паролів, якими захищені, наприклад, криптоконтейнери BitLocker або документи у форматі Office 2013, чи не надто мало? Виявляється, ні.
Як вони це роблять
Інструменти для злому паролів у поліції були спочатку, але повноцінно застосовувати їх навчилися нещодавно. Наприклад, поліцію завжди цікавили паролі, які можна отримати.з комп'ютера підозрюваного, але витягували їх спочатку вручну, потім за допомогою одиничних утиліт, які могли, наприклад, отримати тільки пароль від ICQ або тільки пароль до облікових записів в Outlook. Але останні кілька років у поліції прийшли до використання інструментів «все в одному», які сканують жорсткий диск і Registry пристрої і зберігають у файл всі знайдені паролі.
У багатьох випадках поліція користується послугами приватних криміналістичних лабораторій — це стосується як рутини, так і гучних справ (товстий натяк на процес у Сан-Бернардіно). А ось «приватники» готові скористатися «хакерськими» методами: якщо оригінальні дані не змінюються, а слідів втручання не залишається, то спосіб, яким був добутий потрібний пароль, значення не має, — в суді експерт може послатися на комерційну таємницю і відмовитися розкривати технічні деталі злому.
Реальні історії
Іноді діяти потрібно швидко: питання над ресурсами, питання у часі. Так, 2007 року до лабораторії надійшов запит: зник 16-річний підліток. Батьки звернулися до (тоді ще) міліції, яка й прийшла до лабораторії з ноутбуком зниклого. Ноутбук захищений паролем. Було зрозуміло, що кілька місяців на перебір паролів немає. Пішла робота з ланцюжка. Знято образ диска, паралельно запущено атаку на пароль у Windows. Запущено пошук паролів на диску. В результаті в Elcomsoft Internet Password Breaker було знайдено пароль до пошти. Більше нічого цікавого на комп'ютері не було. Нічого, що могло б допомогти в пошуках, у пошті не було, але через поштову скриньку вдалося скинути пароль до ICQ, а там виявилося листування з друзями, з якого стало зрозуміло, в яке місто і до кого «зник» підліток. Закінчилося благополучно.
Однак далеко не завжди в історіїгарний кінець. Декілька років тому до лабораторії звернувся французький приватний слідчий. Його попросила поліція: зник відомий спортсмен. Полетів у Монако, далі сліди губляться. У розпорядженні слідства опинився комп'ютер спортсмена. Проаналізувавши вміст диска, на комп'ютері виявили iTunes та панель керування iCloud. Стало зрозуміло, що спортсмен iPhone. Спробували отримати доступ до iCloud: пароль невідомий, але маркер аутентифікації (витягли з iCloud Control Panel) спрацював. На жаль, як це часто буває, у хмарній резервній копії не було жодних натяків на місцезнаходження «пропажі», а сама резервна копія була створена майже півтора місяці тому. Уважний аналіз вмісту дозволив виявити пароль від пошти - він був збережений у нотатках (той самий "жовтий стікер" з паролем, щоб не забути). Зайшли до пошти, знайшли броню готелю. Поліція підхопилася. На жаль, історія закінчилася погано: спортсмена знайшли мертвим.
Але повернемося до наших двох днів для злому. Що можна зробити за цей час?
Наскільки (без) корисні стійкі паролі
Не сумніваюся, ти багато разів чув поради, як вибирати "стійкий" пароль. Мінімальна довжина, літери та цифри, спеціальні символи… Чи так це важливо насправді? І чи допоможе довгий пароль захистити твої зашифровані томи та документи? Давай перевіримо!