Разузнавателните служби срещу хакерите
Съдържанието на статията
Хакери, измамници, служители на ИТ сигурността, разследващи агенции и разузнавателни агенции - всички те при определени обстоятелства могат да се опитат да стигнат до информация, защитена с пароли. И ако инструментите, използвани от хакерите и разузнавателните служби, като цяло практически съвпадат, то подходът към задачата се различава коренно. С изключение на изолирани случаи, които могат да бъдат решени с огромни усилия, експертът работи в строги ограничения както по отношение на ресурсите, така и на времето, което може да отдели за разбиване на парола. Какви подходи използват правоприлагащите органи и как се различават от работата на хакерите е темата на днешния материал.
Методът за търсене и избор на пароли, описан в статията, не е нов, но всъщност се използва от редица специални служби при залавяне на престъпници.
С добра дума и пистолет
Да, не сте длъжни да свидетелствате срещу себе си и да разкривате паролите си. Този принцип е ясно илюстриран от друг случай. Заподозрян в детска порнография е в затвора 16 месеца за отказ да разкрие пароли за криптирани дискове. Презумпция за невинност? Не, не сме чували.
Подобни мерки обаче не могат да се прилагат винаги и не за всички. Не можете да забраните дребен измамник, брачен измамник или просто любител на помпането на музика "в резерв" без ясни доказателства в затвора, както и сериозен престъпник с пари и адвокати. Данните трябва да бъдат декриптирани и паролите трябва да бъдат отворени. И ако в случаите на тежки престъпления и заплаха за националната сигурност (тероризъм) ръцете на експертите са развързани и на практика няма ограничения (финансови и технически), тов останалите 99,9% от случаите експертът е силно ограничен както от наличните изчислителни възможности на лабораторията, така и от времевата рамка.
Какво може да се направи за 45 минути? И след два дни?
Филмите не винаги лъжат. На една от изложбите към мен се приближи мъж, в който веднага разпознах началника на полицията: едър, плешив и черен. Информацията от токена потвърди първото впечатление. „Имам двеста от тези... iPhone в моята станция“, започна посетителят в движение. Какво можете да направите за 45 минути? Никога преди не бях срещал такъв въпрос. Въпреки това по това време (преди три години) устройствата без скенер за пръстови отпечатъци все още бяха популярни, Secure Enclave току-що се появи и като правило нямаше проблеми с инсталирането на джейлбрейк. Но въпросът се заби в главата ми. Наистина, какво може да се направи за 45 минути? Има напредък, защитата става все по-сложна, а времето на полицията не достига.
При по-сериозни случаи, когато е конфискуван и компютърът на заподозрения, разследването може да положи по-сериозни усилия. Отново количеството ресурси, които могат да бъдат изразходвани за хакване, ще зависи от страната, от тежестта на престъплението, от важността на цифровите доказателства.
В разговори с полицейски служители от различни страни най-често се появява цифрата „два дни“, докато се разбира, че задачата пада върху съществуващ клъстер от няколко дузини компютри. Два дни за разбиване на пароли, които защитават например криптоконтейнери на BitLocker или документи във формат Office 2013 – не е ли малко? Оказва се, че не.
Как го правят
Полицията първоначално имаше инструменти за разбиване на пароли, но не толкова отдавна се научи как да ги използва напълно. Например полицията винаги се е интересувала от пароли, които могат да бъдат извлечениот компютъра на заподозрения, но те са извлечени първо ръчно, след това с помощта на отделни помощни програми, които могат например да получат само паролата от ICQ или само паролата за акаунти в Outlook. Но през последните няколко години полицията започна да използва инструменти "всичко в едно", които сканират твърдия диск на устройството и регистъра и записват всички открити пароли във файл.
В много случаи полицията използва услугите на частни криминални лаборатории - това се отнася както за рутинни, така и за нашумели случаи (дебела препратка към процеса Сан Бернардино). Но „частните търговци“ са готови да използват най-„хакерските“ методи: ако оригиналните данни не се променят и няма следи от намеса, тогава методът, по който е получена желаната парола, няма значение - в съда експертът може да се позове на търговска тайна и да откаже да разкрие техническите подробности за хакването.
Истински истории
Понякога трябва да действате бързо: не става дума за ресурси, а за време. Така през 2007 г. лабораторията получи искане: 16-годишен тийнейджър изчезна. Родителите се обърнали към (тогавашната) полиция, която дошла в лабораторията с лаптопа на изчезналия. Лаптопът е защитен с парола. Ясно беше, че няма няколко месеца за търсене на пароли. Работата вървеше верижно. Направен е образ на диска, паралелно е стартирана атака с парола в Windows. Стартира търсенето на пароли в диска. В резултат на това имейл паролата беше открита в Elcomsoft Internet Password Breaker. Нямаше нищо друго интересно на компютъра. В пощата нямаше нищо, което да помогне в търсенето, но чрез пощенската кутия успяхме да възстановим паролата на ICQ и там намерихме кореспонденция с приятели, от която стана ясно в кой град и на кого е „изчезнал“ тийнейджърът. Свърши добре.
Историите обаче не винаги сащастлив край. Преди няколко години френски частен детектив се обърна към лабораторията. Полицията поиска помощ от него: известен спортист изчезна. Отлетя за Монако, следите се губят. На разположение на следствието е компютърът на спортиста. След анализ на съдържанието на диска iTunes и контролният панел на iCloud бяха открити на компютъра. Стана ясно, че спортистът има iPhone. Опит за достъп до iCloud: неизвестна парола, но маркерът за удостоверяване (изтеглен от контролния панел на iCloud) работи. Уви, както често се случва, резервното копие в облака не съдържа никакви намеци за местоположението на „изгубения“, а самият архив е създаден преди почти месец и половина. Внимателният анализ на съдържанието разкри паролата от пощата - тя беше запазена в бележките (същият „жълт стикер“ с паролата, за да не се забрави). Отидохме до пощата, намерихме хотелска резервация. Полицията вдигна ... Уви, историята завърши зле: спортистът беше намерен мъртъв.
Но да се върнем към нашите два дни за хакване. Какво може да се направи през това време?
Колко (не)полезни са силните пароли
Сигурен съм, че много пъти сте чували съвети как да изберете „силна“ парола. Минимална дължина, букви и цифри, специални знаци... Наистина ли има значение? И ще помогне ли дългата парола да защити вашите криптирани томове и документи? Да проверим!