Apple против ФБР: может ли компания выполнить решение суда

Экспертный центр электронного государства публикует статью Владимира Каталова, генерального директора российской софтверной компании Elcomsoft, специализирующейся на криптозащите данных. У Elcomsoft одна из лучших в мире криминалистическая экспертиза компьютеров и мобильных устройств (так, именно с помощью продуктов Elcomsoft, по всей видимости, злоумышленники, похитившие или подобравшие пароли, полтора года назад извлекли из iCloud фото знаменитостей). Эксперт объясняет, может ли Apple выполнить решение американского суда и взломать смартфон собственного производства, принадлежавший террористу.

Во вторник федеральный суд США вынес постановление, согласно которому Apple должна оказать содействие государственным органам в разблокировании iPhone 5C, принадлежащего одному из преступников, устроивших перестрелку в Сан-Бернардино (Калифорния). Apple отреагировала на постановление резко негативно, опубликовав на сайте компании открытое письмо от лица президента Тима Кука.

Что же требует ФБР, и почему Apple сопротивляется решению суда? Попробуем разобраться.

Чего хочет ФБР

Требования ФБР просты и конкретны: компания должна оказать содействие следственным органам, разблокировать iPhone 5C и извлечь из него информацию, которая необходима следствию. Аргументацию ФБР, несомненно, подкрепляет тот факт, что преступники убили 14 человек. Террористов на месте преступления застрелила полиция. По заявлению ФБР, в телефоне могут содержаться улики, способные навести на след исламистской террористической группировки.

Говоря более конкретно, ФБР требует от Apple: отключить в телефоне функцию уничтожения данных после десяти неправильно введенных паролей; отключить искусственную задержку между попытками ввода паролей; предоставить ФБР интерфейс (проводной или беспроводной) для автоматического перебора паролей.

И в чём проблема?

Требования ФБР логичны, решение суда – защищает интересы общества. В чём же проблема, и почему публикации на эту тему идут лавиной?

Как бы странно это ни звучало, основная проблема как раз в том, что требования ФБР с технической точки зрения вполне осуществимы. Представим, что Apple согласилась с решением суда и разработала программное обеспечение, позволяющее обойти механизмы защиты данных, встроенные в их устройства. Что дальше? В стране, где властвует прецедентное право, компанию будут регулярно обязывать снимать защиту с устройств, принадлежащих всем подозреваемым? Или же отдельным постановлением её заставят передать разработанное ПО непосредственно органам охраны правопорядка, запретив разглашать этот факт? Подобные прецеденты в США нередки. Apple активно сопротивляется.

А возможно ли это технически?

Последние несколько лет Apple усиленно продвигает идею о максимальной защищённости пользовательских данных в устройствах компании. С выходом восьмой версии iOS компания официально заявила, что даже производитель не может получить доступ к данным, не зная пароля пользователя. Так может ли компания сделать то, что ФБР требует от неё по суду?

Оказывается, может. iPhone 5C использует довольно старую платформу, в состав которой не входит выделенный модуль безопасности Secure Enclave, появившийся в следующем поколении iPhone. Все попытки перебора паролей контролируются только и исключительно программной частью телефона, а не отсутствующим в этой версии устройства чипом Secure Enclave. Разумеется, у Apple есть полный контроль над кодом собственной операционной системы, поэтому отключить как стирание данных после 10 неверных попыток ввести пароль, так и программную задержку между попытками – дело техники.

А если бы преступник использовал более современное устройство? Даже в этом случае мало что изменилось бы. Apple контролирует весь процесс разработки и производства своих устройств — от аппаратной начинки до микропрограмм всех её компонентов. Secure Enclave? Безусловно, это сильное решение с точки зрения противостояния внешним атакам. Но сама Apple имеет полный контроль над прошивками для этого чипа, что и было продемонстрировано в прошлом году, когда устройства, оборудованные Secure Enclave, получили обновление микрокода, который как раз и установил задержку между попытками ввода паролей. Соответственно, отключить эту возможность можно точно таким же обновлением микрокода. Снова ничего сверхъестественного.

Таким образом, чисто технически Apple вполне в состоянии выполнить требования государственных органов.

Но так ли это необходимо для следствия?

Альтернативы

Ни в одной публикации почему-то не говорится о других путях для следствия получить нужные данные. Существуют «облачные» резервные копии, которые по решению суда можно получить у Apple без каких-либо проблем. На эту тему есть сложившаяся судебная практика, против применения которой компания совершенно не возражает. Были ли рассмотрены альтернативы, и знает ли ФБР об их существовании – нам неизвестно.

iCloud: улики в «облаке»

Пользователям устройств на платформе iOS доступно несколько возможностей резервного копирования содержимого своих устройств. Можно создавать резервные копии информации и сохранять их локально на своем компьютере с помощью Apple iTunes, но это требует подключения устройства к компьютеру, возню с проводами – не каждый пользователь готов пойти на такие усилия.

Полностью автоматизированной альтернативой, не требующей вмешательства пользователя, является автоматическое резервирование данных в «облачном» хранилище Apple iCloud. Представленная в июне 2011 года, услуга iCloud позволяет пользователям хранить данные своих устройств на удаленных серверах и использовать их на нескольких устройствах. Кроме того, iCloud может быть использован для синхронизации электронной почты, контактов, событий, закладок, фотографий и другой информации. «Облако» — это прозрачно и удобно. Согласно данным от Apple, у сервиса iCloud уже более 750 миллионов клиентов. Вероятность того, что данные из рассматриваемого устройства были сохранены в «облако» iCloud (если использовалась iOS 8) или iCloud Drive (если на устройстве работает iOS 9), весьма высока. (Ко времени настоящей публикации выяснилось, что данные из смартфона террориста в облаке, действительно, есть, но старые – примерно полуторамесячной давности, когда террорист отключил функцию бэкапа в облако – В.К.).

Что же хранится в «облачных» резервных копиях? Практически всё то же самое, что доступно в самом устройстве – за редкими исключениями. Из «облачной» копии можно извлечь:

  • контакты;
  • сообщения и iMessages;
  • историю звонков;
  • данные приложений;
  • настройки устройства;
  • фотографии и видео;
  • покупки (музыка, книги, приложения и т.п.);
  • почтовые учётные записи;
  • сетевые настройки;
  • сведения об устройствах Bluetooth;
  • кэш приложений и баз данных;
  • закладки, куки, историю и данные браузера Safari;
  • историю перемещений пользователя (геоданные);
  • и многое другое.

Чего НЕ содержится в «облачных» копиях? В них нет сообщений email. Нет кэша приложений. Данные приложений могут сохраняться не в полном объёме. Геоданные довольно ограниченные. Наконец, возникают сложности с расшифровкой паролей из keychain (впрочем, и их можно расшифровать, использовав аппаратный ключ, извлечённый непосредственно из устройства – если загрузить его с помощью подписанного загрузочного образа).

Некоторые данные доступны без пароля

Ни в одной из множества публикаций мы не нашли упоминаний того факта, что из заблокированного устройства можно извлечь какую-то часть данных, даже не зная пароля. В ноябре прошлого года мы опубликовали исследование на данную тему.

В двух словах, доступны следующие данные:

  • недавняя история местоположения пользователя (весьма скудные сведения, базирующиеся на данных базовых станций сотовой связи);
  • входящие звонки (только номера) и текстовые сообщения (входящие сообщения хранятся незашифрованными ровно до тех пор, пока телефон не будет разблокирован корректным паролем. После разблокирования аппарата данные зашифровываются и переносятся в основную базу. Также имеет значение, был ли телефон разблокирован хотя бы раз после загрузки, или осуществляется «холодная» атака после полной перезагрузки устройства.);
  • логи приложений и системы;
  • некоторые данные о почтовых ящиках и недавняя активность (принятые и отправленные сообщения, контакты и т.п.);
  • временные файлы SQLite, включая WAL (Write-ahead logs).

Разумеется, для того, чтобы извлечь даже малую часть данных, требуется взлом телефона с использованием jailbreak. Производителю же эти ухищрения не нужны: достаточно загрузить телефон с помощью подписанного загрузочного образа. Никакой проблемы в этом нет: Elcomsoft iOS Forensic Toolkit делает именно это, но только для старых устройств (начиная с iPhone 4S Apple усилила проверку подписи загрузочного кода). После загрузки нужного образа можно перебирать пароли устройства, а зная пароль – извлечь и расшифровать все данные.

Может ли «Элкомсофт» взломать этот телефон?

Нас неоднократно об этом спрашивали. Отвечаем: да, может – если нам предоставят криптоключи, с помощью которых мы сможем подписать загрузочный код. Такие ключи есть только у самой Apple.

В гипотетической ситуации, если бы у «Элкомсофта» была бы возможность подписать загрузочный образ, мы могли бы загрузить устройство в специальный режим, из которого смогли бы инициировать перебор паролей (с помощью Elcomsoft iOS Forensic Toolkit). Для справки: время полного перебора четырехзначных цифровых паролей на iPhone 5C – всего полчаса. Шестизначные цифровые пароли требуют несколько дней работы. Буквенно-цифровые пароли можно перебирать несколько лет, и ускорить этот процесс невозможно: перебор осуществляется только встроенным в телефон процессором, перенести вычисления на более мощный компьютер невозможно.

Получив пароль, мы смогли бы использовать имеющийся метод извлечения данных для 32-разрядных устройств. В зависимости от объёма хранилища устройства полное извлечение и расшифровка всех данных заняло бы от 30 до 50 минут.

Таким образом, если бы у нас был доступ к цифровой подписи Apple, мы могли бы извлечь данные из этого аппарата в течение часа (если используется четырехзначный цифровой пароль), нескольких дней (если используется пароль из шести цифр) или нескольких лет (если используется пароль из шести и более букв и цифр).

Резюме

Таким образом, протесты Apple против решения суда вызваны не технической невозможностью сделать это, а иными причинами, анализ которых выходит за рамки нашей компетенции.

1 КОММЕНТАРИЙ

  1. Если нам предоставят криптоключи))) или гипотетически если бы была возможность подписать загрузочный образ ))) Элкомсофт не позорьтесь…

Comments are closed.