Головна
Жорсткі диски
Як зламують iCloud. Розбираємось у системах резервного копіювання iPhone та iPad. Взламуємо резервні копії iPhone та iPad з Elcomsoft Вилучення інформації з iCloud без логіну та паролю

Як зламують iCloud. Розбираємось у системах резервного копіювання iPhone та iPad. Взламуємо резервні копії iPhone та iPad з Elcomsoft Вилучення інформації з iCloud без логіну та паролю

Жанр:Відновлення паролів
Розробник: Elcomsoft Co. Ltd.
Сайт розробника: http://www.elcomsoft.com

Мова інтерфейсу:Англійська
Платформа: Windows 98, XP, XP x64, 2003, Vista, Vista x64, 2008, 7, 7 x64
Системні вимоги:
About 6 MB free space on hard disk
Modern CPU з SSE2 instruction set support
manifest.plist file from iPhone/iPod/iPad backup d by iTunes (або complete backup to read keychain data)
Один або більше supported NVIDIA або ATI cards, або Tableau TACC1441 (recommended for hardware acceleration)
Опис: Elcomsoft Phone Password Breaker – дозволяє експертам правоохоронних органів отримати доступ до захищених паролем резервних копій для смартфонів та портативних пристроїв, заснованих на платформі RIM BlackBerry та Apple iOS. Утиліта підтримує всі смартфони Blackberry та всі портативні пристрої на платформі Apple iOS, включаючи iPhone, iPad та iPod Touchвсіх поколінь та версій, включаючи iPhone 4 та iOS 4.1.

Отримання доступу до захищених паролем резервних копій у пристроях Apple та BlackBerry

Утиліта дозволяє відновлювати паролі для резервних копій пристроїв Apple та BlackBerry. Резервні копії можуть містити адресні книги, журнали дзвінків, архіви SMS повідомлень, календарі, списки справ, фотографії, голосову пошту та налаштування облікових записів електронної пошти, сторонні програми, журнал відвідуваних веб-сторінок та вміст цих сторінок, збережений у кеш-пам'яті.

Натисніть, щоб закрити спойлер: Отримання доступу до захищених паролем резервних копій у пристроях Apple та BlackBerry


Прискорення за допомогою відеокарт

Щоб багаторазово збільшити швидкість перебору паролів для резервних копій, що зберігаються на пристроях Apple, утиліта використовує розроблену компанією технологію прискорення за допомогою графічних карток. Elcomsoft Phone Password Breaker є першою на ринку програмою такого роду для доступу до захищених резервних копій iPhone/iPod та єдиною утилітою, здатною зчитувати та розшифровувати вміст системного сховища (keychain), що містить ключі шифрування, паролі для облікових записів електронної пошти, веб сайтів та додатків. Ці операції можливі, якщо пароль відомий або відновлений.

Натисніть, щоб закрити спойлер: Прискорення за допомогою відеокарт


Апаратне прискорення

Elcomsoft Phone Password Breaker використовує технологію прискорення перебору паролів за допомогою графічних адаптерів ATI та NVIDIA. Застосування атаки за словником дозволяє відновити пароль значно швидше, ніж при звичайному прямому переборі. З технологією перебору паролів на графічних картах Ви отримуєте обчислювальну потужність суперкомп'ютера за ціною домашньої графічної карти.
Elcomsoft Phone Password Breaker – це перша програма на ринку, яка використовує обчислювальні потужності графічних адаптерів для відновлення паролів до резервних копій iPhone, iPad та iPod! При установці звичайних «домашніх» графічних карток ATI і NVIDIA Ви отримаєте обчислювальну потужність суперкомп'ютера: швидкість перебору паролів збільшується в десятки разів у порівнянні з перебором на центральному процесорі. На даний момент підтримується до 8 графічних адаптерів ATI та NVIDIA, включаючи NVIDIA GeForce 8, 9, 100, 200, 400 та GTX 580 серій та ATI RADEON 4800, 5000 та HD 6970 серії.

Натисніть, щоб закрити спойлер: Апаратне прискорення


Потужні атаки

Elcomsoft Phone Password Breaker підтримує потужні атаки за словником з використанням різних словникових мутацій та комбінацій. Згідно з багатьма проведеними дослідженнями, більшість користувачів створюють осмислені паролі із загальновживаних слів, які їм простіше запам'ятати. Elcomsoft Phone Password Breaker може швидко відновити такі паролі та їх варіації будь-якою мовою. Elcomsoft Phone Password Breaker підтримує безліч словникових мутацій і комбінацій, пробуючи сотні варіантів для кожного слова зі словника, щоб не пропустити можливість якнайшвидше підібрати потрібний пароль.

Натисніть, щоб закрити спойлер: Потужні атаки


Вилучення і розшифровування паролів, що зберігаються.

У пристроях Apple iPhone паролі до облікових записів електронної пошти, веб-сайтів і різних програм зберігаються в системному сховищі (keychain) в зашифрованому вигляді, причому апаратні ключі шифрування унікальні для кожного конкретного пристрою. До виходу операційної системи iOS 4 дані в сховищі завжди шифрувалися тільки в унікальних ключах пристрою, але з виходом Apple iOS4 з'явилася можливість створювати резервні копії, в яких вміст сховища буде зашифровано майстер-ключом, що залежить від пароля користувача. Elcomsoft Phone Password Breaker дозволяє миттєво зчитувати (і розшифрувати) усі дані з такого сховища, включаючи паролі, якщо майстер-пароль відомий або відновлений за допомогою згаданих вище атак.

Натисніть, щоб закрити спойлер: Вилучення та розшифровка паролів, що зберігаються.


Робота в режимі offline

Elcomsoft Phone Password Breaker не використовує у своїй роботі Apple iTunes або BlackBerry Desktop Software, тобто немає потреби встановлювати ці програми. Усі операції з підбору паролів виконуються як offline.

Натисніть, щоб закрити спойлер: Робота в режимі offline


Можливості програми

Доступ до інформації, що зберігається в захищених паролем резервних копіях iPhone, iPad та iPod Touch
Доступ до інформації, що зберігається у захищених паролем резервних копіях смартфонів BlackBerry

Відновлення паролів до резервних копій будь-яких смартфонів BlackBerry
Читання та розшифровка даних у системному сховищі (keychain) (паролі до облікових записів електронної пошти, паролі для доступу до мережам Wi-Fiта паролі для доступу до веб-сайтів та сторонніх додатків)
Прискорення за допомогою кількох встановлених у системі бюджетних графічних адаптерів ATI або NVIDIA*
Апаратне прискорення за допомогою Tableau TACC1441
Атаки за словником з використанням різних словникових мутацій та комбінацій
Робота програми ведеться повністю в режимі offline і не потребує встановлення Apple iTunes або BlackBerry Desktop Software
Відновлення паролів до резервних копій для оригінальних та «модифікованих» iPhone, iPhone 3G, iPhone 3GS, iPhone 4, iPad та iPod Touch (до 4 покоління включно)
Сумісність з усіма вресами iTunes (включаючи 10.0), операційної системи iOS (3 та 4, включаючи 4.1) та BlackBerry Desktop Software
Розшифровка резервних копій iPhone за відомим паролем
Використання вказівок AES-NI для прискорення перебору паролів до резервних копій BlackBerry
Підтримка AMD Radeon HD 6970 та NVIDIA GTX 580

Натисніть, щоб закрити спойлер: Можливості програми

Q: Чи буде ваш продукт jailbreak мій iPhone, не з'єднатися з carrier, remove passcode lock, або reset a SIM-карта PIN code?

A: Sorry, no way.

Q: So, what is it all about?

A: Phone Password Breaker дає змогу password-protected iPhone, iPod Touch і iPad backups.

Q: I don''s create backups of my iPhone and don't even know how to do that, why should I care?

A: In fact, iTunes створюють для того, щоб скористатися вашим комп'ютером. Тепер, це є впевненим, що так, що автоматично без вашого intervention є хороша ідея, але як вона або не, ви хочете, щоб backups на вашому комп'ютері. (Ви маєте здатність до створення backup manually at any time, of course).

Q: Where are these backups stored?

A: By default, backups є stored in the following folders:

  • Mac: ~/Library/Application Support/MobileSync/Backup/
  • Windows XP: Documents and Settings(username)Application DataApple ComputerMobileSyncBackup
  • Windows Vista and Windows 7: Users(username)AppDataRoamingApple ComputerMobileSyncBackup

Q: You're right, the backups є, but what's inside? Я може бачити, що several folders є, з довгими weird names, і тисячі файлів всередині з подібними наметами і .mdinfo або .mddata extensions. Лише три файли мають friendly names, і look like XML.

A: Для того, щоб задовольнити, backups contain everything from your iPhone (except iTunes library), і definitely all your private information. Згідно з матеріалом в Apple Knowledge Base, наведені відомості в особливій це:

  • Address Book and Address Book favorites
  • App Store Application data
  • Application settings, preferences, and data
  • Autofill for webpages
  • CalDAV and subscribed calendar accounts
  • Calendar accounts
  • Calendar events
  • Call history
  • Camera Roll
  • In-app purchases
  • Keychain
  • List of External Sync Sources (Mobile Me, Exchange ActiveSync)
  • Location service preferences for apps and websites вам буде дозволено використовувати ваше місце
  • Mail accounts
  • Managed Configurations/Profiles
  • Map bookmarks, останні пошуки, і поточний місцезнаходження displayed in Maps
  • Microsoft Exchange account configurations
  • Network settings (saved wifi spots, VPN settings, network preferences)
  • Nike + iPod saved workouts and settings
  • Notes
  • Offline web application cache/database
  • Paired Bluetooth devices (який може тільки бути використаний, якщо він зайняв той самий телефон, який заблокований)
  • Safari bookmarks, cookies, history, offline data, і поточно Open pages
  • Saved suggestion corrections (these are saved automatically as you reject suggested corrections)
  • SMS та MMS (pictures and video) messages
  • Trusted hosts that have certificates that cannot be verified
  • Voice memos
  • Voicemail token
  • Wallpapers
  • Web clips
  • YouTube bookmarks and history

Якщо все це означає, що розташований в окремих файлах міститься в одному архіві, і який є idea за допомогою файлів Name remains with Apple. Натисніть, файли літер є just hash sums of full paths to this file when stored inside the device, but we have not checked. Does that really matter?

Між тим, що файли не "виглядають, вони не надруковані. У дійсності, вони є just ordinary binaries в SQLite database format. it does not really matter. What is important, most of your private information is stored on your computer in plain, unprotected form.

Q: It seems to be a good idea to create iPhone backups, right?

Q: Якщо все, що інформація є можливим, може бути перенесено все на нову техніку, необов'язково відновити backup на нову техніку (інший/новий model)?

A: Yes, але деякі обмеження apply. Keep reading, you'll be surprised.

Q: What about backup passwords?

A: It's time to quote Apple again:

«У iTunes сумісний екран, виберіть "Encrypt iPhone backup", якщо ви хочете, щоб дізнатися, що інформація на вашому комп'ютері, коли iTunes makes a backup. Відображені backups є встановлені на піктограмі піктограми (як ідентифікує в пункті Backup section), і password is required to restore the information to iPhone. Ви можете отримати повідомлення про ваш backup and store it in afe place. Якщо ви використовуєте Mac, коли ви натиснете password, ви можете вибрати password в keychain. З iOS 4 і останнім, ви можете перенести ваш keychain backup на новий пристрій, якщо ви переглядаєте.

Warning: Якщо ви збираєтеся на iPhone backup в iTunes і вони forget ваш password, ви не будете зайнятися з backup і ваші дані будуть невідновлені. Якщо ви збираєтесь повідомити, що ви можете натиснути на backups і використовувати ваше приладдя, якщо ви не можете скористатися навігаційним backup to any device without password. Ви не потребуєте ввести password для вашого backup кожного разу ви back up або sync.

Якщо ви не збираєтеся повідомити про повідомлення і почати запустити, ви будете до повного програмного забезпечення, і якщо ви налаштовуєте iTunes, щоб вибрати backup to restore from, choose Set up as a new device.»

Try reading the above text carefully until you get it. Якщо ви користуєтеся найбільшим використанням та достатньою мірою, коли ви отримуєте з several tries, bear with us.

Q: Якщо ви вирішили написати повідомлення та повідомити його про те, чи може бути вибрано ще одну одну згоду? I mean, I don't need old backups at all. Чи може я just connect my iPhone для будь-якого комп'ютера і створіть інший backup with my password or without a password at all?

A: Sorry, no way. Якщо ви маєте можливість отримати доступ до ваших backups with password, ваш вибір буде завантажений глибоко в своєму iPhone. Більше того, вказівник password verification is also performed by the iPhone, deep inside iOS kernel and not by iTunes as you may guess.

Q: Really?

A: Yes, no kidding.

Q: Then, what am I going to do if I forget the password?

A: R.I.P. to your iPhone! :)

Серйозно, є тільки дві реальні рішення. Вперше, ви можете повідомити Apple"s recomendation to perform a complete reset of your phone, setting up your device as a one and losing all iPhone content, from contacts to photos (see above). It's like pulling a tooth: you lose it , but hey - it's free!

Q: Back to iPhone backup, може бути, що він є для різних пристроїв?

A: Yes you can. However, є одна thing stored in the backup: "Keychain". There's just something special about it.

Q: What is a keychain?

A: Keychain is "storage", що включає електронну пошту passwords, Wi-Fi passwords, і passwords ви введете в веб-сайти і деякі інші applications.

Q: So what?

A: Apple"s turn:

«Якщо ви знайдете backup with iOS 4 і останній, keychain information is transferred to the new device. З unencrypted backup, keychain може тільки бути restored to same iPhone or iPod touch. Якщо ви будете займатися новою компанією з unencrypted backup, ви будете потребувати введення цих слів.

Q: How the keychain is encrypted?

A: Presuming you know at least something of encryption, speaking of iOS 4+ only, here is the situation:

Якщо backup IS NOT password-protected, keychain is encrypted using "hardware" keys stored in the iPhone and not accessible from the outside. Ви можете добряче повторити такі backups to same iPhone; however, if you restore it to another iPhone, keychain will be lost completely.

Якщо backup IS password-protected, keychain is encrypted using software keys that are generated from the backup password. Як результат, ви можете залишити такі backups до будь-якого пристрою, і keychain information буде залишатися як добре. У відповідь на те, щоб відновити, ви будете вводити оригінал, так що ви повинні знати. Або ви можете crack it with Phone Password Breaker.

Q: What is the reason behind this strange behaviour?

A: Officially, security. або privacy. або деякі інші гарне marketingове слово. We'd vote for usability though.

Q: Can I view the contents of the keychain?

A: Yes, that's what we added to the latest version of Phone Password Breaker. prompted, and see what happens.

Q: What if I only have backup without password set on it?

A: Створити новий backup with the password. It"s easy!

Q: Чи є багато елементів в keychain, але як ми будемо?

A: We tried giving "friendly" names to all fields; is also an explanation that appears in the small window when you highlight a field. У більшості випадків, logins є збережені під "Account" field, і passwords під "Data" field. Вони є також інформацією, специфічною для деяких keychain items such as mail accounts, including server address, port numbers, protocols, etc.

Q: Для деяких речей, там не є словом, але деякі дані, які дають змогу розблокувати клавіші. What are they for?

A: Keychains є system-wide storage. Вони є необмежені Apple software тільки. Any iOS compliant application can store any information in the keychain, thus only its developers know exactly how to interpret interpret that data. Ви можете скористатися всіма пристроями від AppStore, щоб дізнатися, що вони знаходяться в keychain.

Q: Чи може я отримувати інше використання інформації від backup such as date/time when I connected to a specific wireless access point?

iPhone / iPod Touch Backup Extractor (Mac OS X)
  • PhoneView (Mac OS X)

    • Q: The's a lot of interesting info in the keychain! I want to perform a thorough analysis; how do I do that?

    A: Використовуйте Phone Password Breaker для exportу його в XML або плагінний текст файлу. XML є універсальним форматом, який може бути використаний в багатьох випадках. We did our job, now it’s your turn.

    Q: Is all that legal?

    A: Absolutely. Якщо це ваш iPhone і ваші backups, або якщо ви збираєтеся від власника, або ви court order, або ви думаєте про власника, мабуть, або бачить власника cheating… ;-)

    КУПІВЛЯ ЛІЦЕНЗІЙ Пропонуємо розглянути % знижки!

    Надішліть запит на e-mail: [email protected]або просто зателефонуйте


    Отримання доступу до захищених паролем резервних копій у пристроях Apple та BlackBerry

    Утиліта дозволяє відновлювати паролі для резервних копій пристроїв Apple та BlackBerry. Резервні копії можуть містити адресні книги, журнали дзвінків, архіви SMS повідомлень, календарі, списки справ, фотографії, голосову пошту та налаштування облікових записів електронної пошти, сторонні програми, журнал відвідуваних веб-сторінок та вміст цих сторінок, збережений у кеш-пам'яті.

    Вилучення резервних копій з «хмари» (iCloud)

    У користувачів пристроїв на платформі iOS є кілька можливостей резервного копіюваннявмісту своїх пристроїв. Можна створювати резервні копії інформації, до якої входять контакти, фотографії, журнали дзвінків та інші дані, та зберігати її як локально на своєму комп'ютері (з допомогою Apple iTunes), так і у хмарному сховищі Apple iCLoud. Представлена ​​в червні 2011 року послуга iCloud дозволяє користувачам зберігати дані своїх пристроїв на віддалених серверах та використовувати їх на кількох пристроях. Крім того, iCloud може бути використаний для синхронізації електронної пошти, контактів, подій, закладок, фотографій та іншої інформації.

    Резервні копії в iCloud є інкрементальними. Якщо пристрій налаштований для використання iCloud, апарат автоматично створює резервну копію кожного разу, коли підключається до бездротової мережі та джерела живлення. Тепер ці копії можуть бути отримані без самого пристрою на руках; все, що потрібно для доступу до онлайн-архівів, що зберігаються в iCloud – це Apple ID та пароль користувача. Дані можуть бути доступні без згоди користувача, що робить Elcomsoft Phone Password Breaker ідеальним рішенням для правоохоронних та розвідувальних організацій.

    Ця функція НЕ працює при активованій увімкненій двофакторній автентифікації користувача. Крім того, власник облікового запису Apple ID отримує повідомлення, як тільки за допомогою програми запитується доступ до резервної копії, що зберігається в iCloud.

    Вибірковий доступ

    Завантаження великого бекапу, яке відбувається вперше, потенційно може тривати кілька годин. Наступні оновлення є додатковими і відбуваються набагато швидше. Якщо швидкість завантаження має критичне значення, програма Elcomsoft Phone Password Breaker допомагає швидко отримати необхідну інформацію та пропустити менш значущі дані, які потребують найбільшого часу для завантаження (наприклад, музика або відео). Повідомлення, вкладення, налаштування телефону, журнали викликів, адресні книги, нотатки, календар, налаштування поштового акаунта, фотографії, відео та інші дані можуть бути заздалегідь вибрані та завантажені за лічені хвилини, що забезпечує криміналістичних експертів необхідною інформацією практично в режимі реального часу.

    Можливості програми

    • Доступ до інформації, що зберігається в захищених паролем резервних копіях iPhone, iPad та iPod Touch та BlackBerry
    • Розшифровка резервних копій до iPhone та BlackBerry за допомогою відомого пароля
    • Відновлення паролів до BlackBerry Password Keeper та Wallet додатків
    • Відновлення пароля на пристрій BlackBerry***
    • Читання та розшифровка даних у системному сховищі (keychain) (паролі до облікових записів електронної пошти, паролі для доступу до мереж Wi-Fi та паролі для доступу до веб-сайтів та сторонніх додатків)
    • Прискорення за допомогою кількох встановлених у системі бюджетних графічних адаптерів AMD або NVIDIA*
    • Апаратне прискорення за допомогою Tableau TACC1441
    • Атаки за словником з використанням різних словникових мутацій та комбінацій
    • Робота програми ведеться повністю в режимі offline і не потребує встановлення Apple iTunes або BlackBerry Desktop Software
    • Відновлення паролів до резервних копій для оригінальних та «модифікованих» iPhone (всі моделі включаючи iPhone 5S), iPad (всі покоління, включаючи iPad Mini) та iPod Touch (всі покоління)
    • Сумісність з усіма вресами iTunes (включаючи 11.1), операційної системи iOS (включаючи 7.0.2) та BlackBerry Desktop Software
    • Використання вказівок AES-NI для прискорення перебору паролів до резервних копій BlackBerry
    • Підтримка AMD Radeon HD 7000 серії та NVIDIA GTX 600
    Вилучення і розшифровування паролів, що зберігаються.

    У пристрої Apple iPhone паролі до облікових записів електронної пошти, веб сайтів і різних програм зберігаються в системному сховищі (keychain) в зашифрованому вигляді, причому апаратні ключі шифрування унікальні для кожного конкретного пристрою. До виходу операційної системи iOS 4 дані в сховищі завжди шифрувалися тільки в унікальних ключах пристрою, але з виходом Apple iOS 4 з'явилася можливість створювати резервні копії, в яких вміст сховища буде зашифровано майстер-ключом, що залежить від пароля користувача. Elcomsoft Phone Password Breaker дозволяє миттєво зчитувати (і розшифрувати) усі дані з такого сховища, включаючи паролі, якщо майстер-пароль відомий або відновлений за допомогою згаданих вище атак.

    Робота в режимі offline

    Elcomsoft Phone Password Breaker не використовує у своїй роботі Apple iTunes або BlackBerry Desktop Software, тобто немає потреби встановлювати ці програми. Усі операції з підбору паролів виконуються як offline.

    Дані на ноутбуці, навіть домашньому, бажано зашифрувати, в крайньому випадку користувачеві потрібен механізм сталої аутентифікації із суворим паролем. Донедавна я, як і багато хто, вважав, що мій домашній комп'ютер мало кому цікавий. Так, на роботі потрібен стійкий пароль, але що мені приховувати вдома? І від кого? Однак мені довелося змінити свою думку. Що ж сталося? Все просто. Я одержав чергову версію програми Elcomsoft Phone Password Breaker. За допомогою цього програмного забезпечення можна скопіювати вміст резервної копії вашого пристрої iPhoneна будь-який комп'ютер, не знаючи пароль та Apple ID. Єдине, що тішить – все це можна зробити лише у версії EPPB Forensic. Давайте розглянемо можливості програми докладніше.

    Злом у iCloud: пароль більше не потрібний!

    Я вже розповідав про завантаження даних iPhone(iPad) із iCloud (у статті, опублікованій у Windows IT Pro/RE №2 за 2014 рік). У цій статті йшлося про те, що дослідник міг отримати доступ до «хмарних» резервних копій. Однак цього разу ми розглянемо доступ до даних iCloudбез жодного пароля. Зауважу, що дана функціяпризначена в першу чергу для правоохоронних органів, тому що копіювання даних без паролів у iCloud потребує двійкового маркеру аутентифікації, який необхідно отримати з комп'ютера підозрюваного. На сьогоднішній день EPPB – єдиний продукт, який вміє це робити. Разом з тим варто підкреслити, що для використання такого способу вилучення даних вам потрібен фізичний доступ до комп'ютера підозрюваного, на якому має бути встановлена ​​панель управління iCloud.

    Що таке панель керування iCloud

    Для створення облікового запису iCloud вам необхідно мати iPhone, iPad або iPod touch з операційною системою iOS 5 або новішої версії або комп'ютер Mac з ОС OS X Lion 10.7.5 або новішої версії. Для доступу до електронної пошти, контактів та календарів потрібні Microsoft Outlook 2007 або новіші версії або браузер новітньої версії. Для синхронізації закладок з браузером Firefoxабо Google Chrome потрібне розширення «Закладки iCloud».

    Панель керування iCloud (див. екран 1) – невід'ємна частина iTunes, однак вона потребує окремої установки на комп'ютері під керуванням Windows. На комп'ютері під керуванням Mac OS ця програма вже встановлена.

    Отримання маркера аутентифікації iCloud

    Для отримання маркера автентифікації вам потрібен комп'ютер підозрюваного (під керуванням Windows або Mac OS), на якому інстальовано панель керування iCloud, на якому зареєстровано підозрюваного, а також програму EPPB Forensic.

    Більшість користувачів відкривають панель керування iCloud, щоб синхронізувати контакти, паролі (iCloud Keychain) та інші дані, і залишаються підключеними до «хмари». Іншими словами, експерт має високий шанс отримання маркера аутентифікації з даного комп'ютера. Далі ви повинні використовувати інструменти командного рядка, надані Elcomsoft Phone Password Breaker, щоб знайти і витягти маркери аутентифікації. Врахуйте, що ви зможете витягти всі маркери, що належать всім користувачам досліджуваної системи, включаючи користувачів домену (якщо у вас є їхнє ім'я та пароль для реєстрації в системі). Після видалення маркерів автентифікації збережіть їх на флеш-карті USB, а потім запустіть на своєму комп'ютері Elcomsoft Phone Password Breaker та увімкніть збір даних із iCloud. При цьому замість введення імені та пароля iCloud введіть токен маркера автентифікації. Усе! Ім'я та пароль для автентифікації вам не потрібні.

    Використовувані інструменти для отримання маркерів автентифікації – ATEX (Authentification Marker Extract): atex.exe (для Windows) або atex.dmg (для MacOS X). Файл може бути запущений у будь-якій папці. Зокрема, я рекомендую запускати даний файлз USB-флешки. В результаті ви отримаєте текстовий файл, що містить маркер аутентифікації.

    У командному рядку Windows можна ввести такі параметри:

    >atex.exe -h // Shows help message -l // Shows system users with iCloud tokens -t // Get auth token for specified user

    Для вилучення токена підключеного до «хмари» користувача Windows ви можете запустити atex.exe без параметрів. Ви отримаєте результати як на екрані 2.

    Для отримання списку користувачів, які мають на цьому комп'ютері токени автентифікації, запустіть ATEX з параметром «-1». Якщо ж ви хочете отримати токен для іншого користувача Windows, вам необхідно знати його ім'я та пароль

    Atex – t ім'я пароль

    Вам потрібно мати права адміністратора для отримання токена іншого користувача даного комп'ютера.

    MacOS X

    MacOS X ATEX має розширення. DMG з додаванням ‘atex’ (здійсненної програмою Mac). Щоб вийняти файл (atex без розширення), просто двічі клацніть по файлу DMG, щоб змонтувати його (на MacOS X). Ви можете скопіювати файл на картку флеш-пам'яті з інтерфейсом USB. Або ви можете запустити atex з будь-якої папки на цьому комп'ютері Mac.

    Використання ATEX на системах Macподібно до використання під Windows. Відмінності будуть дуже тонкими. У Windows, якщо ви хочете витягти маркер іншого користувача, ви будете задавати пароль у командному рядку. На Mac пароль запитується системою в інтерактивному режимі. Крім того, в середовищі Mac ви вводите перемикач «-u» перед ім'ям користувача. Підсумкова відмінність – у вихідному форматі. У Windows ви отримуєте простий текстовий файл, а на Mac отримаєте файл. plist(XML).

    Коректний спосіб запустити ATEX на Mac виглядає так. Запустіть консоль, змініть поточну папку ('cd') на ту, де збережено 'atex', а потім запустіть APEX.

    Використання маркера автентифікації

    Отже, ми отримали маркер автентифікації. Як його використати? Запуск EPPB Forensic Edition, див. екран 4.

    Вибираємо з меню Tools, Apple пункт Download backup from iCloud. B рядок Token вводимо отриманий раніше токен, див. екран 5. Подальший процес нічим не відрізняється від завантаження резервної копії за допомогою Apple ID та пароля. Водночас слід врахувати таке:

    1. Не можна відновити пароль за маркером.
    2. Якщо з панелі керування iCloud видалено пароль, EPPB не зможе його відновити.
    3. Новий маркер створюється щоразу, коли користувач запускає панель керування iCloud зі своїм ім'ям та паролем. Однак попередні маркери автентифікації можуть використовуватися для доступу до резервної копії iCloud.
    4. Якщо користувач відкриє панель керування iCloud на іншому комп'ютері (але за допомогою того ж ID Apple), маркери будуть відрізнятися, але будь-який з них працюватиме з EPPB.
    5. Натомість маркери мають кінцевий «час життя». Точний час на сьогодні мені невідомий.
    6. Якщо користувач змінить пароль, старі маркери більше не працюватимуть.
    7. Ви можете використовувати ATEX з флеш-пам'яті з інтерфейсом USB без установки. Маркери будуть збережені на ту ж картку флеш-пам'яті.

    Насамкінець хочу сказати, що, з одного боку, я пишаюся російськими розробниками, з іншого – розумію, що ця програма відкриває ще одну скриньку Пандори. Чому? Тому що з'являється ще один спосіб розкрадання інформації з мобільних телефонів. А оскільки наше керівництво звикло до того, що іміджевий смартфон – це смартфон від Apple, виникають додаткові ризики. Наприклад, ви завжди довіряєте службі підтримки? І завжди може контролювати співробітника, який щось робить на вашому комп'ютері? Запуск утиліти – справа кількох секунд, а аналізувати резервні копії можна і вдома.

    Смартфон зберігає інформації про вас не просто багато, а багато. І найцікавіша, на мій погляд, – паролі від пошти, Skype, та багато іншого. Що робити? Поради стандартні. Шифрувати жорсткий диск, ставити стійкий пароль до облікового запису, вчасно міняти його, не забувати блокувати комп'ютер. Так, все те саме стосується і планшета! Адже різниці жодної. Словом, навчайтеся захищати свою конфіденційність. Хоч трішки.

    Вилучення чатів та файлів Skype, включаючи метадані про видалені файли

    У версії 9.40 з'явилася можливість завантажувати історії листування користувачів у Skype. З облікової записи Microsoft Account користувача завантажуються чати, повідомлення SMS, списки контактів користувача, а також надіслані та отримані файли. Вилучаються як індивідуальні, і групові чати, окремі повідомлення та вкладення. Крім того, Elcomsoft Phone Breaker витягує і метадані про чати та повідомлення, віддалені менше 30 днів тому. Вилучення та відображення метаданих доступне також для файлів, які були видалені більше 30 днів тому.

    До таких метаданих входять дата та час видалення чату, дата та час відправлення останнього повідомлення, кількість учасників та їх ідентифікатори Skype. Дослідження даних про віддалені чати здатне надати експертам неоціненну допомогу у розслідуваннях.

    Новий механізм для роботи з iCloud, низькорівневий доступ до iCloud Drive

    Новий механізм доступу до хмари iCloud працює швидше та надійніше, дозволяючи завантажувати резервні копії, створені пристроями під керуванням iOS аж до версії iOS 13.2.

    Для доступу до даних, що зберігаються в iCloud Drive, наведено новий механізм низькорівневого.
    доступу. Нова можливість актуальна при завантаженні файлів із хмарного сховища iCloud Drive у випадках, коли до облікового запису прив'язано кілька пристроїв, що працюють під керуванням як актуальних, так і застарілих версій ОС. Використання низькорівневого доступу дозволяє отримати з iCloud Drive дані, які недоступні через офіційні API.

    Вилучення даних із локальних та «хмарних» резервних копій мобільних пристроїв Apple

    Elcomsoft Phone Breaker – універсальний інструмент для вилучення даних із резервних копій та «хмарного» сховища iCloud мобільних пристроївпід керуванням усіх версій iOS. Інструмент дозволяє експертам правоохоронних органів отримати доступ до захищених паролем резервних копій або завантажити дані з iCloud. Утиліта підтримує всі портативні пристрої на платформі Apple iOS, включаючи iPhone, iPad та iPod Touch всіх поколінь.

    Утиліта дозволяє відновлювати паролі для резервних копій пристроїв Apple з використанням просунутих атак та апаратного прискоренняза допомогою відеокарт AMD та NVIDIA. Резервні копії можуть містити адресні книги, журнали дзвінків, архіви SMS повідомлень, календарі, списки справ, фотографії, голосову пошту та налаштування облікових записів електронної пошти, сторонні програми, журнал відвідуваних веб-сторінок та вміст цих сторінок, збережений у кеш-пам'яті.

    Вилучення даних із «хмари» iCloud

    Користувачам пристроїв на платформі iOS є кілька можливостей резервного копіювання вмісту своїх пристроїв. Можна створювати резервні копії інформації та зберігати їх локально на своєму комп'ютері за допомогою Apple iTunes. Альтернативою є автоматичне резервування даних у «хмарному» сховищі Apple iCloud. Представлена ​​в червні 2011 року послуга iCloud дозволяє користувачам зберігати дані своїх пристроїв на віддалених серверах та використовувати їх на кількох пристроях. Крім того, iCloud може бути використаний для синхронізації електронної пошти, контактів, подій, закладок, фотографій та іншої інформації.

    Резервні копії в iCloud є інкрементальними. Якщо пристрій налаштований для використання iCloud, апарат автоматично створює резервну копію кожного разу, коли підключається до бездротової мережі та джерела живлення.

    За допомогою Elcomsoft Phone Breaker можна витягти безпосередньо з «хмари», навіть не маючи самого пристрою на руках. Все, що потрібно для доступу до онлайн-архівів iCloud – це Apple ID та пароль користувача або двійковий маркер автентифікації (authentication token), вилучений із комп'ютера користувача. Дані можуть бути доступні без згоди користувача, що робить Elcomsoft Phone Breaker ідеальним рішенням для правоохоронних та розвідувальних організацій.

    З «хмарного» сховища виймаються резервні копії даних пристроїв під керуванням iOS, так і інші файли, що зберігаються в iCloud:

    • документи iWork (Pages, Numbers, Keynote) – якщо настроєно збереження в «хмару»
    • документи сторонніх програм (збереження ігор, бази паролів, копії листування WhatsApp і т.д.)
    • деякі системні файли, включаючи словники користувача
    • iCloud Keychain
    • Повідомлення SMS та iMessage, включаючи додатки

    З «хмарного» сховища виймаються як резервні копії даних пристроїв під керуванням iOS, так і інші файли, що зберігаються в iCloud або iCloud Drive.

    Будь ласка, врахуйте, що Elcomsoft Phone Breaker НЕ МОЖЕ розблокувати iPhone будь-яким чином, обійти Activation Lock, модифікувати iPhone або видаляти/змінювати PIN-код для SIM картки. Програма призначена лише для відновлення паролів до резервних копій та для доступу до даних та резервних копій у iCloud. Для отримання докладної інформації зверніться до довідкового посібника або Часті питання з Phone Password Breaker (англійською мовою).

      При завантаженні резервних копій iOS 11.2 і більше нових облікових записів iCloud з двофакторною автентифікацією можливе тимчасове блокування облікового запису, що вимагає скидання пароля.








    Основні переваги продукту

    За допомогою Elcomsoft Phone Breaker можливе дистанційне вилучення збережених паролів, даних кредитних карток та іншої захищеної інформації з «хмарного» сервісу Apple для зберігання та синхронізації паролів iCloud Keychain («Зв'язування ключів iCloud»). Elcomsoft Phone Breaker – єдиний продукт на ринку, що надає доступ до Зв'язування ключів iCloud.

    Останні версії iOS синхронізують дані здоров'я користувача (Apple Health), повідомлення SMS та iMessage з "хмарним" сервісом iCloud. Elcomsoft Phone Breaker дозволяє вилучати синхронізовані дані Apple Health, повідомлення та вкладення до них з "хмари", включаючи медіа-файли та документи. Для доступу до даних, крім логіна, пароля та вторинного фактора автентифікації, потрібно вказати пароль або PIN від одного із зареєстрованих пристроїв.

    Завантаження великої кількості даних, що відбувається вперше, може тривати кілька годин. Наступні оновлення відбуваються набагато швидше, т.к. використовується інкрементна система зберігання оновлень. Якщо швидкість скачування важливіша за повноту даних, за допомогою Elcomsoft Phone Breaker можна швидко отримати необхідну інформацію та пропустити менш значущі дані, які вимагають найбільшого часу для завантаження (наприклад, музика або відео). Повідомлення, вкладення, налаштування телефону, журнали дзвінків, адресні книги, нотатки та вкладення, календар, налаштування поштового акаунта, фотографії, відео та інші дані можуть бути заздалегідь вибрані та завантажені за лічені хвилини, що забезпечує доступ до важливої ​​інформаціїв режимі реального часу.

    Починаючи з iOS 9, iPhone автоматично синхронізує деякі типи даних із «хмарою». Дані потрапляють до iCloud незалежно від основних резервних копій і можуть бути вилучені навіть тоді, коли створення резервних копій в iCloud відключено. На відміну від резервних копій, що створюються раз на добу, ці дані синхронізуються з обліковим записом користувача автоматично, і потрапляють до «хмар» з мінімальною затримкою.

    За допомогою Elcomsoft Phone Breaker вилучаються як синхронізовані журнали дзвінків, так і інша інформація: контакти, календарі, нотатки та вкладення (у тому числі віддалені) та історія дій користувача у браузері Safari (включаючи видалені записи). Повний списоксинхронізованих даних, що витягуються, включає:

    • Браузер Safari (історія, закладки, відкриті вкладки)
    • Календарі, нотатки, контакти, записи програми Диктофон
    • Паролі з хмарної Зв'язки ключів та паролі Екранного часу
    • Детальна історія дзвінків
    • Карти Apple Maps (маршрути, пошукові запити, зазначені об'єкти)
    • Wi-Fi (інформація про точки доступу, MAC-адреси, дата та пристрій, з якого були додані)
    • Гаманець Wallet (крім платіжних карток)
    • Інформація про користувача (адресу, телефони, ім'я) та його пристрої (включаючи серійні номери та версію ОС)
    • iBooks (документи та файли PDF, додані користувачем)

    У нових версіях iOS і Mac OS X з'явилася можливість зберігати фотографії окремо від резервних копій сервісі iCloud Photo Library. В iCloud Photo Library використовується новий API для доступу до файлів, а самі фотографії більше не зберігаються в «хмарних» резервних копіях пристроїв.

    Elcomsoft Phone Breaker витягує файли з iCloud Photo Library, включаючи фотографії, видалені користувачем. За допомогою Elcomsoft Phone Breaker можна отримати фотографії, які були видалені протягом останніх 30 днів. Доступний вибірковий доступ до альбомів користувача.

    У нових версіях Mac OS X використовується вбудований механізм шифрування даних, криптоконтейнер FileVault 2. Elcomsoft Phone Breaker отримує депоновані ключі шифрування до зашифрованих томів з облікового запису Apple ID і розшифровує томи FileVault 2 без застосування "лобової" атаки.

    Доступно користувачам редакції Forensic. Томи з файловою системою APFS на даний момент не підтримуються.

    Останнім часом Apple веде постійну роботу над посиленням безпеки мобільної платформи. Все більше користувачів мобільних пристроїв Apple захищає доступ до інформації за допомогою двофакторної автентифікації. Тепер для доступу до даних із «хмари» з нового пристрою потрібно пройти додатковий крок автентифікації: отримати код доступу на довірений пристрій або ввести особливий ключ резервного доступу.

    Elcomsoft Phone Breaker підтримує всі релевантні методи двофакторної автентифікації, що дозволить експертам працювати із захищеними таким чином «хмарними» даними. Для отримання даних з облікового запису, в якому використовується двофакторна автентифікація, експерту необхідно буде використовувати авторизований пристрій для отримання одноразового коду доступу або ввести спеціальний ключ.

    При роботі з двофакторною автентифікацією в Elcomsoft Phone Breaker одноразовий код доступу або спеціальний ключ потрібно буде ввести лише один раз. Наступні запити як у поточній, так і наступних сесіях будуть оброблятися без додаткових перевірок.

    Доступно користувачам редакціях Professional та Forensic

    Можливість доступу до даних із iCloud без використання логіну та паролю – унікальна можливість Elcomsoft Phone Breaker. Якщо пароль від облікового запису користувача невідомий, для доступу до «хмарних» даних можна використовувати спеціальний маркер автентифікації, який виймається з комп'ютера користувача. Використання двійкового маркера не вимагає ні логіну з паролем, ні вторинної автентифікації.

    Маркери аутентифікації створюються програмою iTunes та зберігаються на жорсткому диску комп'ютера, з якого здійснюється доступ до iCloud. За допомогою маркерів автентифікації можна отримати доступ до даних з iCloud, навіть не маючи інформації про логіну та пароль користувача. Вийняти маркер аутентифікації можна безпосередньо з комп'ютера користувача, так і з жорсткого диска або його двійкового образу, що особливо важливо при використанні продукту в криміналістичних лабораторіях і в умовах, коли доступний тільки жорсткий диск або його образ, витягнутий з досліджуваного комп'ютера. Для вилучення маркерів до складу Elcomsoft Phone Breaker інтегрований функціонал для пошуку та вилучення маркерів автентифікації із жорсткого диска комп'ютера або його образу.

    Набір даних, доступний за допомогою маркера автентифікації, залежить від багатьох факторів: версії iOS та панелі iCloud на комп'ютері користувача, наявності або відсутності в обліковому записі двофакторної автентифікації та інших.

    Крім резервних копій, з «хмари» iCloud можна витягти такі файли, як документи та таблиці, дані програм, резервні копії WhatsApp, дані Passbook і багато іншого. В той час як деякі типи даних (в основному документи) можуть бути вилучені за допомогою iCloud для Windows/macOS, доступ до основного масиву даних можливий лише за допомогою Elcomsoft Phone Breaker. Важливий момент – відсутність повідомлення користувача електронною поштою при завантаженні файлів з «хмари». Підтримуються облікові записи класичного iCloud та нового iCloud Drive.

    Доступно користувачам редакції Forensic

    Резервні копії даних пристроїв під керуванням Windows Phone 8/8.1 і Windows 10 Mobile створюються і підтримуються виключно в "хмарі", для чого компанія Microsoft виділяє простір у власному "хмарному" сховищі OneDrive.

    Elcomsoft Phone Breaker надає можливість дистанційного доступу до даних із «хмарного» сервісу Microsoft, в якому містяться резервні копії даних із пристроїв під керуванням Windows Phone 8. Вилучення даних із сервісу Microsoft істотно розширює можливості, доступні криміналістам при дослідженні мобільних пристроїв. Щоб отримати доступ, потрібно вказати логін та пароль від облікового запису користувача Microsoft Account.

    Історично, Elcomsoft Phone Breaker був розроблений як продукт для вилучення даних з захищених паролями резервних копій пристроїв під керуванням iOS. Elcomsoft Phone Breaker є першою на ринку програмою такого роду для доступу до захищених резервних копій iPhone, iPod та iPad і єдиною утилітою, здатною зчитувати та розшифровувати вміст системного сховища (keychain), що містить ключі шифрування, паролі для облікових записів електронної пошти, веб- та сторонніх додатків. Ці операції можливі, якщо пароль відомий або відновлений.

    Щоб розшифрувати дані, що зберігаються в резервній копії, необхідно відновити оригінальний текстовий пароль. Для максимально швидкого зламування пароля програмістами ElcomSoft було розроблено низку технологій, що виділяють продукт серед конкурентів.

    Щоб багаторазово збільшити швидкість перебору, продукт використовується розроблена компанією технологія прискорення за допомогою графічних карт. Використання апаратного прискорення перебору паролів за допомогою ігрових відеокарт AMD і NVIDIA дозволяє збільшити швидкість розшифровки в 20-40 разів у порівнянні з алгоритмами, що мають обчислювальні ресурси тільки центрального процесора. Технологія перебору паролів на графічних картах дозволяє отримати обчислювальну потужність суперкомп'ютера за ціною середньої графічної карти.

    Elcomsoft Phone Breaker здатний одночасно використовувати необмежену кількість встановлених у комп'ютер відеокарт, навіть якщо пристрої належать до різних поколінь, використовують різні архітектури та випущені різними виробниками. Завдяки цій особливості, користувачам Elcomsoft Phone Breaker не обов'язково позбавлятися старих пристроїв при оновленні системи. Якщо замість заміни відеокарти просто додати новий адаптер до комп'ютера, Elcomsoft Phone Breaker зможе використовувати обчислювальні ресурси всіх встановлених у системі пристроїв для досягнення максимальної швидкості перебору паролів.

    Застосування «розумних» атак та проведення атаки за словником дозволяють відновити пароль значно швидше. Elcomsoft Phone Breaker підтримує потужні атаки за словником з використанням різних словникових мутацій та комбінацій. Згідно з багатьма проведеними дослідженнями, більшість користувачів створюють осмислені паролі із загальновживаних слів, які їм простіше запам'ятати. Elcomsoft Phone Breaker може швидко відновити такі паролі та їх варіації будь-якою мовою. Продукт підтримує безліч словникових мутацій і комбінацій, пробуючи сотні варіантів для кожного слова зі словника, щоб не пропустити можливість якнайшвидше підібрати потрібний пароль.

    У пристроях Apple iPhone паролі до облікових записів електронної пошти, веб-сайтів і різних програм зберігаються в системному сховищі (keychain) у зашифрованому вигляді, причому апаратні ключі шифрування унікальні для кожного конкретного пристрою. До виходу операційної системи iOS 4 дані в сховищі завжди шифрувалися тільки за допомогою унікальних ключів пристрою, але з виходом Apple iOS 4 з'явилася можливість створювати резервні копії, в яких вміст сховища буде зашифрований майстер-ключом, що залежить від пароля користувача. Elcomsoft Phone Breaker дозволяє миттєво зчитувати (і розшифровувати) усі дані з такого сховища, включаючи паролі, якщо майстер-пароль відомий або відновлений за допомогою згаданих вище атак.

    Відео про продукт

    Жорсткі диски

    Вам також може сподобатися