The Four Ways to Deal with iPhone Backup Passwords

 

 

We have published multiple articles on iPhone backup passwords already, covering the different aspects of the backup protection. In this publication, we have collected the most important information about the things you can do under different circumstances, some software recommendations, and some other practical tips and tricks, in a brief and simple form.

The possible scenarios

There are two typical scenarios when you may be affected by iTunes backup passwords.

If you are a forensic expert, you may encounter the situation when the suspect’s iPhone is unlocked (the passcode is not set or is known), but the backup password is enabled, and your favorite forensic tool (whatever it is) prompts you for that password, offers you to crack it (do not do that just yet, until you’ve read the whole article), or warns that only a limited amount of data will be extracted.

If you are an iPhone user, you may need to transfer the data from one iPhone to another, e.g. when upgrading your device. And if you have set the password a long time ago and have successfully forgotten it, then you will not be able to restore from the backup. Your other option would be the cloud backup, but this option is not the best due to multiple reasons that are outside the scope of this article.

We recommend that you start reading from the About encrypted backups on your iPhone, iPad, or iPod touch article, and we can also recommend The Most Unusual Things about iPhone Backups with some deep inside information, but if you need a more practical manual, here we go.

Extract it

Nothing could be better than the original password, right? The good news are that if you are a Mac user (or working as an expert, have access not just to the iPhone but also to the Mac), there is a very good chance that backup password is stored in the macOS keychain. All you need is the password to that Mac, that’s it. Windows? No way, sorry.

Software required: Keychain Acccess (free; built-in macOS utility)

Break it

Password cracking is one the topics where we have a very good experience with, and sometimes the backup password can be broken. This was relatively simple to do in iOS 9 and below; in iOS 10.2 and above, however, the cracking is effective only if the password is very short or very simple, or if you know (remember) a part of the password or its pattern, or have a very good wordlist. Otherwise, it may take years to crack the password, even on a supercomputer.

Software required: hashcat (free) or Elcomsoft Phone Breaker

Reset it

iOS 11 introduced the ability to simply reset backup password. This option is still available in iOS 13 and the current betas of iOS 14, so it’s likely it is there to stay. The steps are quite simple (as described in Apple’s HT205220 mentioned above):

• On the iPhone, go to [Settings] | [General] | [Reset]
• Press [Reset All Settings];
• Follow the steps (you will be prompted for device passcode)

Some settings will be reset, and the backup password will be removed. You can now connect the device to the computer and create a new unencrypted backup, or (recommended) set a new password without entering the old one.

The devil is in the details. The main problem is that the device passcode is also removed, and that may be fatal, especially if you are working not with your own data but investigating an incident as a forensic expert. More information in iOS 11 Horror Story: the Rise and Fall of iOS Security and Protecting Your Data and Apple Account If They Know Your iPhone Passcode. In short, do not do it until it remains the only option and you are out of other solutions.

Software required: none

Ignore it

Yes, sometimes you do not actually need to recover, reset or break the backup password, as surprising as it may sound.

First, if you only need to get access to the media files (photos and videos) from the iPhone, then the backup password does not really matter. You can extract the pictures and videos whether the password is set or not. We often receive requests from home users (and even from friends) looking for help to extract just the family photos; quite often the photos (with geolocation data) are also all that is needed for forensic experts, especially when they are very short in time and will not bother with password reset or recovery.

Second, for selected iPhone models and iOS versions (currently, up to iOS 13.5 on iPhone Xr/Xs/11, and for all iOS versions on older models), you can get significantly more data than included in backups, and no backup password is required for that. The data is extracted as a file system image (not in the standard backup format), and it cannot be used to restore another device . But who cares if the data is all you are after? As the Russian proverb says, “do you need a license or a ride?”

Last but not least, sometimes (basically, at the same conditions as above, while there are some notable nuances) you can also extract the original backup password from the device itself (from its keychain), in addition to the file system image. It’s hard to say whether it adds some value to file system extraction (as it is more complete than a backup), but sometimes you can use this password to extract the data from an older backup that may contain some deleted files.

Software required: Elcomsoft iOS Forensic Toolkit

Conclusion

As you can see, several options exist, and it is very rare when none of them are available. However, you should carefully review the possibilities, understand their consequences, and weigh the risks to select the safest and most effective method for your particular case.

 

 

By Vladimir Katalov at 2020-07-30 19:17:56 Source ElcomSoft blog:

 

Live System Analysis: Discovering Encrypted Disk Volumes

 

 

The wide spread of full-disk encryption makes live system analysis during incident response a challenge, but also an opportunity. A timely detection of full-disk encryption or a mounted crypto container allows experts take extra steps to secure access to encrypted evidence before pulling the plug. What steps are required and how to tell if the system is using full-disk encryption? “We have a tool for that”.

The Challenge

Full-disk encryption is an ongoing challenge for forensic experts. Accessing evidence stored on encrypted disk volumes may not be possible without breaking the encryption first. The classic workflow had always involved pulling the plug, taking the disks out, write-blocked imaging and subsequent analysis of the image files.

The classic workflow is flawed. Not only does it lock experts out of evidence stored on encrypted volumes that have been mounted during the acquisition, but depending on the type of protector used to secure the volume the evidence may become completely inaccessible once the disk is removed from the original computer.

We are suggesting a way for securing access to evidence during incident response by analyzing the live system for signs of full-disk encryption. If one or more encrypted volumes are detected, or if there a signs that full-disk encryption might have been used on the system, additional steps must be taken to further investigate the live system in order to secure and preserve evidence that could be lost if the computer was powered off.

Detecting Full-Disk Encryption

In order to detect the presence of full-disk encryption, we suggest using Elcomsoft Encrypted Disk Hunter.

Elcomsoft Encrypted Disk Hunter is a free portable command-line tool to help experts quickly discover the presence of encrypted volumes when performing live system analysis. The tool can detect TrueCrypt/VeraCrypt, BitLocker, PGP WDE, FileVault2, and LUKS. While FIleVault2 and LUKS-encrypted disks that are connected to a Windows computer are rarely encountered in the wild, we have them covered just for those rare cases when you might need them. If the computer is normally running macOS or Linux, you may want to boot from a flash drive using Elcomsoft System Recovery.

Speaking of LUKS encryption, there are two versions: LUKS1 (the common one) and LUKS2 (newer but still rarely used). Elcomsoft Encrypted Disk Hunter only supports the first version for the time being; we are working on adding support for the second.

How does it work?

First and foremost, it requires administrative privileges on the system you are analyzing. Without administrative privileges there is no low-level access to the disks, the computer’s volatile memory and the driver chain.

Once you launch Elcomsoft Encrypted Disk Hunter (which you can do from a portable flash drive), the tool checks the system’s attached storage devices for TrueCrypt/VeraCrypt, BitLocker, PGP WDE, FileVault2, and LUKS1 encryption by looking for characteristic signatures in the drives’ MBR. If one or more encrypted volume is detected, the tool lists the encrypted disks.

After that, the tool checks if any of the encrypted volumes are currently mounted. If no obvious signs of disk encryption are found, Encrypted Disk Hunter checks the system driver chain for TrueCrypt, VeraCrypt and PGP WDE drivers. If a full-disk encryption driver is recognized (we’re looking for truecrypt.sys, veracrypt.sys, PGPdisk.SYS, Pgpwdefs.sys, and PGPwded.sys), the tool will report that an encrypted volume might have been used in the system, even if not currently mounted or attached. This might be your best bet, as certain tools (PGP WDE) routinely block access to disk volumes that are not currently mounted.

What Next?

Depending on the result and after performing the risk assessment, you may want to pursue one of the following routes.

1. If no signs of full-disk encryption are found: optionally capture the memory dump; pull the plug and follow the classic routine.
   Image 1: No signs of full-disk encryption found
2. If signs of full-disk encryption are found: capture the memory dump; investigate live system further.
   Image 2: While no encrypted volumes are discovered, an active full-disk encryption process is detected. Further investigation required. Do not pull the plug!
3. If encrypted volumes are mounted: capture the memory dump; attempt to export recovery keys/escrow keys; time permitting, attempt to extract evidence from encrypted volumes.
   Image 3: A TrueCrypt/VeraCrypt volume is currently mounted. Further analysis mandatory. Do not pull the plug!
   Image 4: A BitLocker volume is detected. Further investigation required. Do not pull the plug!

If at least one encrypted disk partition is mounted, that means that you are either at risk, or you are lucky, depending on which side you are on: protecting your privacy or collecting critical evidence. In the first case, check out our article Introduction to BitLocker: Protecting Your System Disk to avoid common mistakes when protecting your data, and keep in mind that leaving encrypted disks mounted while leaving your computer unattended is a huge risk.

If you are an expert doing the extraction work, read the Unlocking BitLocker Volumes by Booting from a USB Drive article to find out why attacking the password might be fruitless in the case of full-disk encryption; learn about the different types of protectors and the different attack workflows. In any case, do get Elcomsoft Forensic Disk Decryptor, and capture the memory dump to secure access to encrypted evidence.

Why do you need the memory dump? You can use Elcomsoft Forensic Disk Decryptor to scan the memory dump for OTFE keys (on-the-fly encryption keys) that can be used to instantly mount or decrypt the volume without brute-forcing the password. OTFE extraction might be the only method available to unlock BitLocker volumes protected with certain type of protectors (e.g. TPM Only). More about breaking full-disk encryption with Elcomsoft Forensic Disk Decryptor in our blog: Unlocking BitLocker: Can You Break That Password?

If this does not help (or if some of the encrypted disks discovered had not been mounted), use Elcomsoft Distributed Password Recovery to attack the password. EDPR implements all possible optimizations while targeting the human factor, but prepare to wait as brute-forcing passwords to encrypted disks can be slow.

Download Elcomsoft Encrypted Disk Hunter

You can download Elcomsoft Encrypted Disk Hunter free of charge from our official Web site.

Download Elcomsoft Encrypted Disk Hunter

The tool is available as a ZIP archive with no installer. The portable command-line tool is digitally signed. Simply unpack the tool, store it on a flash drive and use on the target system with administrative privileges. We strongly recommend launching the tool directly from the flash drive.

 

 

By Oleg Afonin at 2020-07-28 08:55:54 Source ElcomSoft blog:

 

5 reasons why the government and other public sector agencies should care about WebAuthn

 

 

Federal, state and local governments and other public sector agencies have important responsibilities that support a functioning community – everything from national security to public transit, public education, public safety, state parks, financial services, energy and power grids, and many more services are all tax funded and managed by the public sector. While these are vital components to life as we know it, the sheer amount of personal and sensitive information required to uphold these critical operations puts agencies at constant risk of being compromised.

Government and other public sector run systems and data are accessed daily not only by employees and contractors, but also by partners and citizens, exponentially increasing the likelihood of security breaches related to account takeovers. In fact, remote hacks continue to occur at an alarming rate, while also growing more advanced. According to the 2020 Verizon Data Breach Report, organized criminal groups were behind 55% of breaches, and nation-state or state-affiliated actors were behind 38% of breaches. 

While CAC and PIV cards are de-facto authentication methods across various Federal agencies within the public sector, there are many cases where they’re not suitable, and passwords do not provide enough security to defend against the volume of sophisticated attacks. Fortunately, WebAuthn, a core component of the FIDO Alliance’s FIDO2 set of specifications, is a modern, phishing-resistant web authentication standard that is now supported across all computing platforms. WebAuthn makes it easy for websites, services, and applications to offer strong authentication with the option of removing the reliance on passwords entirely. This could include government hosted web-based applications and services – like the Department of Motor Vehicles –  that are both employee and customer facing. 

Here are 5 reasons why the Federal government and other public sector agencies should care about WebAuthn:

Standardized strong authentication 

For the first time, the standardization of strong authentication is possible. Imagine setting up simple multi-factor authentication (MFA) across digital public sector services and having a convenient, consistent, and secure login. WebAuthn enables just that across all major browsers and operating systems, empowering services and apps to make strong authentication available to end users.

Improved security 

The public sector has access to critical information and stores sensitive data, meaning a breach could impose on the safety and security of millions of constituents. With the help of public key cryptography, WebAuthn raises the bar for strong authentication and provides strong MFA security for users, including public sector employees, contractors, partners and citizens.

Seamless user experience 

Through a WebAuth API, strong authentication is accessible for web and mobile apps, eliminating the hassle of password resets and SMS codes, allowing users the convenience to sign in by tapping a security key. The WebAuthn API enables IT teams and developers to easily and quickly integrate WebAuthn into existing and new services, providing a consistent and seamless authentication experience for their users. 

WebAuthn also gives users a broad range of choices for authenticating, from biometrics to hardware security keys. 

Improved productivity 

Resetting passwords is no longer an issue with WebAuthn. With the possibility of passwordless login, it eliminates the time spent and frustrations that stem from managing passwords. This time saved extends to help desks and support centers – for both internal public sector employees and external users – who no longer have to devote resources to resetting and maintaining passwords.

Reduced costs 

Breaches, especially for government and other public sector entities, can be detrimental in many ways, including confidential data loss, lost productivity and financial burdens. WebAuthn helps reduce negative financial impacts associated with breaches and support costs, allowing government and other public sector services to repurpose budget that was previously designated to maintain and manage infrastructure and passwords. 

Interested in learning more about the benefits of WebAuthn in the public sector? Download the Yubico white paper series, WebAuthn for the Public Sector, here .  Additionally, you can view Yubico’s on-demand webinar on the topic here. 

 

By Jeff frederick at 2020-07-23 19:00:23 Source Yubico:

 

Downloading iOS 13 and iOS 14 iCloud Backups

 

 

The long-awaited update for Elcomsoft Phone Breaker has arrived. The update brought back the ability to download iCloud backups, which was sorely broken since recent server-side changes introduced by Apple. We are also excited to become the first forensic company to offer support for iCloud backups saved by iOS 14 beta devices, all while supporting the full spectrum of two-factor authentication methods. We are proud to provide the most comprehensive forensic support of Apple iCloud with unmatched performance, accelerating forensic investigations and providing access to critical evidence stored in the cloud.

The Synced Data

We’ll be back to iCloud backups shortly. The screen shot below is just to grab your attention:

In the previous update released over a month ago, we concentrated on synced data. The previous update was making it easier for you to get them altogether in just a few clicks. The price for this was the lost ability to selectively download albums from iCloud Photos; we hope you don’t mind as it usually does not take long downloading them all.

Downloading synchronized data from Apple iCloud is not as simple as we make it sound, especially when talking about “end to end encrypted” data, which includes the iCloud Keychain, Health, Messages and so on. Not only do you need the account credentials including the second authentication factor, but also the passcode (or password, speaking of a Mac) of one of the trusted devices. Our software pretends to be a trusted device, which is the only way to access what Apple calls end to end encrypted data. Note that we do not need the device itself, just its passcode.

Here is where the trouble starts. We were experimenting with a couple dozen different devices ranging from the Apple TV to the latest iPhones, and including legacy devices running outdated iOS versions. We used those with multiple iCloud accounts ranging from our daily drivers to disposable test accounts. The accounts have been registered in several different countries, as iCloud actually works differently depending on the territory. What we found was surprising: Microsoft clouds are just slightly less reliable and transparent than the rest of iCloud’s back end.

We always start our research without even looking at the low-level code or poking the protocols. Instead, we are using devices and accounts the way we normally do. While doing that, we observe how syncing works in the real life, what exactly is synced and how, what is the effect of changing the passcode on one of the trusted devices, for how long deleted data is stored (or remains accessible), and so on. We apply the same methodology when testing our products. Our Q&A team had spent an enormous amount of time trying to understand why certain features of our products do not work as expected (while they definitely should). The answer was simple. They did not work on real Apple devices either. Sometimes logging out and back it forced certain data to resume syncing, and sometimes not. We encountered that with the keychain, Health, Safari history etc.; it’s hard to name a category that always works properly.

We are doing our best, and our software has support of widest range of iCloud data (though something is still left out, such as everything about HomeKit).

The iCloud Backups

If pulling synchronized data from iCloud is just very complex, accessing iCloud backups is a nightmare. It was a nightmare from the very beginning since we first added support for iCloud backups some 7 years ago, remaining the only company doing that for a long time. Apple did not have 2FA at the time, can you believe that?

iCloud backups are stored in a very sophisticated way, and downloading them was always troublesome. Nearly every major iOS update brought surprises. Even worse, Apple are continuously introducing small changes to iCloud protocols, data storage formats, encryption etc.

Are they improvements? We don’t believe so, as many (if not most) of them have a sole purpose of stopping our tools (and the tools of our competitors) from working. Or, for example, locking the user’s iCloud account after the data has been already downloaded. Or force the user to change the password. Or… Well, this is definitely outside the scope of this article.

Locating and fixing these issues and implementing workarounds takes an enormous amount of time. We never give up, but I am curious how the law enforcement agencies are going to work if they cannot download the data from Apple servers. While it is possible to obtain the data directly from Apple, it is a long and complex procedure; while with the right software it may take just minutes. For my thoughts on the matter (as well as iCloud security tips), read the Apple vs Law Enforcement: Cloudy Times article.

How do backups and synced data compare? They don’t, as they mostly cover different and exclusive types of data. Try to get get both if you can. Some data is being synced only, while the other data is available only in backups. Examples? The most notable ones are media files, messages and health data. Depending on your iCloud settings, media files and messages are either synced or stored in iCloud backups, but not both. Health data is always synced only (also available in local iTunes backups, but only if you have a password set). Some data like call log is not available anymore in either cloud backups or synced data.

Troubleshooting

Please note that once you attempt downloading an iCloud backup with any version of Elcomsoft Phone Breaker older than the 9.61, the following two things will happen:

• Authentication fails with an error.
• The user’s iCloud account is temporarily locked for up to 48 hours. During that period, even attempts to restore the physical iOS device from the iCloud backup will fail. Downloading synced data will continue working.

Note that once the account is locked, even the latest version of Elcomsoft Phone Breaker will fail accessing iCloud backups until the lockout timer runs out. If you still experience a problem with the latest version (at this time, EPB 9.61) and you had not used an older version during the past 48 hours, here is what to do:

• Close the program.
• Delete or move to a different folder the following files from the program’s AppData (Windows) or Library (macOS) folder:
  • Credentials
  • EscrowCache2.0
  • Settings.xml
• Start the program and try again.

You will have to enter the Apple ID credentials again instead of using saved ones, and you will need to pass two-factor authentication once again. If you are accessing end-to-end encrypted data, you’ll have to re-enter the device passcode or system password of a trusted device; the latter does not apply to backups. You’ll have to specify the correct settings such as the output folder, log level etc. The tool does its best to “recover” from failed logins, and one of the reasons for authentication errors could be using outdated cached data. It does not always work, but removing the files mentioned above usually helps. If not, generate a maximum-level log file and send it over to our support team.

TL;DR

We can download iCloud backups again, and iOS 13 is now fully supported, as well as the older versions of iOS versions. There is no access to iCloud backup with authentication tokens; this is no longer possible, and haven’t been for a long time. We don’t expect token-based authentication to work anytime soon for the purpose of accessing iCloud backups. The good news? We have all available 2FA methods covered, including SMS codes, push messages, or offline codes generated on the device.

iOS 14 (beta) is supported, too, although treat it as preliminary due to the pre-release nature of the new OS. We compared cloud backups saved by iOS 13 and iOS 14 devices, and discovered only a few notable differences.

To tell the truth, I would call cloud backups for iOS 13 and below can “experimental”, too. At any time, Apple can roll out a server-side update with improvements, restrictions or protections. For the time being, downloading iOS 13 and 14 backups with our tool works perfectly.

To view backups downloaded from iCloud, use Elcomsoft Phone Viewer or a different tool of your choice. Please note that the current version of the tool does not support iOS 14 backups yet. This is not about iCloud but about iOS 14 itself (local iTunes backups are not supported by EPV either). We will keep you updated. We have an update for Elcomsoft Phone Viewer in the works, and it is currently being tested internally. We just need to take care of a few changes in a few system and user databases.

 

 

By Vladimir Katalov at 2020-07-21 09:55:08 Source ElcomSoft blog:

 

استخراج كلمات المرور من متصفح تينسنت ف ف

QQ Browser هي واحدة من أكثر متصفحات الويب شعبية في الصين. مع بعض 10 من السوق الصينية والعديد من المستخدمين الصينيين في الخارج، يستخدم متصفح QQ من قبل الملايين. مثل العديد من منافسيها، QQ متصفح يوفر القدرة على تخزين كلمات السر موقع على شبكة الإنترنت. يتم تشفير كلمات المرور بشكل آمن، ويمكن الوصول إليها فقط بمجرد أن يوقع المستخدم على حساب Windows الخاص به. تعلم ما عليك القيام به لاستخراج كلمات السر من متصفح تينسنت ف ف.

متصفح تينسنت ف ف

ويستند الإصدار الحالي من متصفح QQ على محرك الكروم. Jut مثل غيرها من المتصفحات القائمة على الكروم، يمكن QQ متصفح حفظ كلمات السر للمستخدمين.

يمكن الوصول إلى كلمات المرور عبر واجهة المستخدم. ومع ذلك، في حين يمكن للمستخدمين عرض كلمات السر الفردية، QQ متصفح لا توفر القدرة على تصدير قاعدة بيانات كلمة المرور بأكملها.

كيف يقوم متصفح QQ بتخزين كلمات المرور وحمايتها

QQ Browser يحتفظ بكلمات المرور في قاعدة بيانات واحدة من نوع SQLite3. يتم تخزين قاعدة البيانات كملف باسم “EncryptedStorage” المحفوظة في المسار التالي:

بيانات محليةتينسنتببروسيرسدير بياناتprofile_name

حيث profile_name هو اسم اسم ملف تعريف المستخدم في متصفح QQ.

يتم تشفير كلمات المرور عبر DPAPI، ويمكن فك تشفيرها مع Api CryptUnprotectData على الكمبيوتر حيث تم تثبيت مستعرض QQ. حماية DPAPI المستخدمة من قبل QQ Browser مشابه لنوع الحماية التي يستخدمها Microsoft Internet Explorer والإصدار القديم من Microsoft Edge (التطبيق UWP). تم تقديم واجهة برمجة تطبيقات حماية البيانات (DPAPI) من Microsoft في Windows 2000. تطبيق Windows 10 DPAPI يستخدم تشفير AES-256 آمن لحماية كلمات المرور.

استخدام ويندوز DPAPI له نقاط القوة والضعف. من ناحية، API حماية البيانات آمنة: يستند الحماية على بيانات اعتماد Windows للمستخدم و البيانات تماماً كما آمن كما كلمة مرور تسجيل دخول Windows للمستخدم. من ناحية أخرى، الأخرى القائمة على الكروم المتصفحات محدودة استخدامها من DPAPI بسبب الطبيعة عبر النظام الأساسي، تنفيذ تشفير AES 256 GCM من قاعدة بيانات كلمة المرور الرئيسية مع حماية المفتاح الرئيسي مع DPAPI. وبصرف النظر عن مشكلات التوافق عبر المنصات، فإن الحماية المستندة إلى DPAPI آمنة تمامًا مثل تشفير AES 256 GCM المستخدم في Google Chrome وMicrosoft Edge (كروميوم). وبالتالي، سيكون لديك لتكون قادرة على المصادقة في حساب المستخدم ويندوز من أجل استخراج كلمات المرور من متصفح QQ.

ما مدى أمان كلمات مرور متصفح QQ؟ من حيث العادي، والأمن في العالم الحقيقي من جوجل كروم، مايكروسوفت الحافة (الكروم)، ومتصفح تينسنت ف ف هو نفسه تقريبا: إذا كان يمكن للمرء كسر كلمة مرور تسجيل الدخول ويندوز المستخدم، فإنها يمكن الوصول إلى هذا المستخدم كروم، حافة و ف ف المتصفح كلمات السر. يتم حماية كلمات مرور تسجيل الدخول لـ Windows بشكل ضعيف نسبيًا ، وبالتالي تكون سرعة الهجمات الغاشمة عالية جدًا.

باستخدام Elcomsoft الإنترنت قواطع كلمة المرور لاستخراج كلمات السر من متصفح QQ

Elcomsoft الإنترنت كلمة السر 3.20 يمكن استخراج كلمات السر المخزنة من متصفح QQ فضلا عن مجموعة من المتصفحات الشعبية الأخرى وعملاء البريد الإلكتروني. وهذا يشمل أحدث إصدارات جوجل كروم، موزيلا فايرفوكس، وكلاهما من مايكروسوفت إيدج (العالمية والقائمة على الكروم)، فضلا عن مايكروسوفت إنترنت إكسبلورر، أوبرا. عملاء البريد الإلكتروني شعبية مثل بريد ويندوز (ويندوز 10) ، و مايكروسوفت أوتلوك و Thunderbird هي أيضا معتمدة. أخيرا وليس آخرا، لقد أضفنا الدعم لمتصفح يانديكس، ثاني أكثر متصفح ويب المكتبية شعبية في روسيا.

من أجل استخراج كلمات السر من تينسنت ف ف متصفح، يجب أن تكون قادرة على المصادقة في حساب المستخدم ويندوز إما عن طريق تسجيل الدخول مع بيانات اعتماد مناسبة (مثل تسجيل الدخول وكلمة المرور، بيانات اعتماد حساب مايكروسوفت، رمز PIN أو ويندوز مرحبا) أو اختطاف جلسة عمل مصادقة بالفعل. تحليل صورة قرص الطب الشرعي دون معرفة كلمة مرور المستخدم لن توفر الوصول إلى أي كلمات السر المخزنة في متصفح QQ بسبب حماية DPAPI.

لاستخراج كلمات المرور من متصفح QQ، قم بما يلي.

1. إطلاق Elcomsoft إنترنت قواطع كلمة المرور.
2. حدد متصفحات الويب من القائمة واختر متصفح QQ.
3. في بضع ثوان، ستظهر قائمة كلمات مرور متصفح QQ.
4. بدلاً من ذلك، قد ترغب في إنشاء قاموس تمت تصفيته لاستخدامه مع إحدى أدوات استرداد كلمة المرور. يمكنك القيام بذلك بالنقر فوق الزر “تصدير”. في هذا الوضع، سيتم تصدير كافة كلمات المرور المخزنة في كافة برامج استعراض ويب المثبتة.

بواسطة أوليغ أفونين في 2020-07-07 09:55:31 المصدر ElcomSoft بلوق:

استخراج واستخدام كلمات المرور المخزنة من مستعرضات ويب

كسر كلمات السر يصبح أكثر صعوبة مع كل تحديث آخر من البرامج الشعبية. تقوم Microsoft بشكل روتيني بصدم عدد التكرارات التجزئة لجعل حماية مستندات Office متماسكة مع الأجهزة الحالية. تستخدم Apple حماية مفرطة من النسخ الاحتياطية لـ iTunes منذ iOS 10.1 ، مما يجعل هجمات القوة الغاشمة شيئًا من الماضي. فيراكربت وBitLocker كانت آمنة من الحصول على الذهاب. ومع ذلك، لا تضيع كل شيء إذا كنت تنظر في الطبيعة البشرية.

لقد كان 10 عاما حادة منذ أن أطلقنا أول إصدار من أداة استخراج كلمة السر لدينا، Elcomsoft الإنترنت قواطع كلمة المرور. الأداة (المسمى أصلاً متقدمة Internet Explorer استعادة كلمة المرور)تم تصميمها في الأصل للكشف عن بيانات اعتماد المصادقة المخزنة (تسجيلات الدخول وكلمات المرور) من Internet Explorer، ثم متصفح ويب المهيمن. في وقت لاحق، قمنا بإضافة Outlook و Outlook Express، وإن كان ذلك في أداة مختلفة. في 1 يوليو 2010، قمنا بدمج تلك الأدوات في ما يعرف اليوم باسم Elcomsoft الإنترنت قواطع كلمة المرور. خلال السنوات القليلة الماضية ، وزيادة الطلب من مختبرات الطب الشرعي جعلنا إضافة ميزة تسمح لبناء القاموس الكامل تصفية جميع كلمات السر للمستخدم أنها مخزنة في جميع متصفحات الويب التي قاموا بتثبيتها واستخدامها. هذه هي الحالة الوحيدة التي تمكنا فيها من تنفيذ حل “زر واحد” المثل ، حيث أن النقر على زر “تصدير” ينتج على الفور ملفًا نصيًا مع كلمات مرور يمكنك استخدامها على الفور في أداة استرداد كلمة المرور.

اليوم، Elcomsoft إنترنت كلمة السر 3.20 يمكن استخراج على الفور كلمات السر المخزنة من مجموعة من المتصفحات الشعبية وعملاء البريد الإلكتروني. وهذا يشمل أحدث إصدارات جوجل كروم، موزيلا فايرفوكس، وكلاهما من مايكروسوفت إيدج (العالمية والقائمة على الكروم)، فضلا عن مايكروسوفت إنترنت إكسبلورر، أوبرا. عملاء البريد الإلكتروني شعبية مثل بريد ويندوز (ويندوز 10) ، و مايكروسوفت أوتلوك و Thunderbird هي أيضا معتمدة. أخيرا وليس آخرا، لقد أضافنا الدعم ل Yandex تصفحص، روسيا ثاني الأكثر شعبية متصفح ويب سطح المكتب، واثنين منها الصينية: QQ متصفح وUC متصفح.

لماذا يحتاج المرء إلى قائمة كلمات المرور التي تم تجريدها من بيانات اعتماد تسجيل الدخول الأخرى؟

وتظهر دراسات مختلفة أن مستخدم الإنترنت المتوسط لديه أكثر من 30 حسابا على الانترنت. وهذا العدد يتزايد عاما بعد عام. حفظ عدة عشرات من كلمات السر القوية والفريدة (كما هو مطلوب من قبل كل سياسة كلمة المرور في كل موقع) يصبح على نحو متزايد من المتاعب. واقعيا، المستخدم لديه خيارين: إما إعادة استخدام كلمة المرور نفسها مرارا وتكرارا (كتبنا عن ذلك في كيفية كسر 70 من كلمات السر في دقائق)أو توظيف نوع من مدير كلمة المرور.

لا يوجد نقص في مديري كلمات المرور في السوق. LastPass ، 1Password ، Dashline ، Keepass ، Bitwarden وما إلى ذلك كان حولها لسنوات. بعض مديري كلمات المرور هذه لديهم نصيبهم من المشاكل، لذلك يثق العديد من المستخدمين بكلمات المرور الخاصة بهم إلى مستعرض ويب بدلاً من ذلك. متصفحات الويب مريحة، وغالبا ما تقدم مزامنة السحابية مريحة من كلمات المرور المخزنة عبر الأجهزة. وعلاوة على ذلك، لم نر بعد متصفح ويب يطلب من المستخدم إعداد كلمة مرور رئيسية من أي نوع.

هل يعني ذلك أن كلمات المرور المخزنة في مستعرضات ويب غير محمية، أو أنها محمية بشكل سيئ؟ قراءة استخراج كلمات المرور من Microsoft Edge Chromium للتعرف على آليات الحماية التي تستخدمها الشركات المصنعة لتأمين كلمات المرور. في كلمة، يتم حماية كلمات مرور المستخدم مع تشفير AES، بينما يتم تأمين مفتاح التشفير من قبل واجهة برمجة تطبيقات حماية البيانات لـ Windows (DPAPI)، والتي تتطلب بدورها بيانات اعتماد تسجيل الدخول للمستخدم لإلغاء تأمين وفك تشفير القبو المحمي.

ومع ذلك، يمكن استخراج كلمات المرور حتى المؤمنة DPAPI واستخدامها لمهاجمة ملفات المستخدم، والوثائق والحسابات الأخرى عبر الإنترنت.

بالمناسبة، جوجل مزامنة كلمات السر كروم مع سحابة. يمكنك استخراج كلمات المرور كروم من خدمات سحابة جوجل باستخدام Elcomsoft سحابة مستكشف.

أبل أيضا مزامنة كلمات المرور مع سحابة. يمكنك استخراج كلمات السر سفاري من محرك ايكلوود مع Elcomsoft الهاتف مكسر.

باستخدام Elcomsoft إنترنت قواطع كلمة المرور لاستخراج كلمات المرور

من أجل استخراج كلمات المرور من متصفحات الويب مثل جوجل كروم، مايكروسوفت الحافة أو أوبرا، يجب أن تكون قادرا على مصادقة في حساب المستخدم ويندوز (مع تسجيل الدخول وكلمة المرور الخاصة بهم، وبيانات اعتماد حساب مايكروسوفت، رمز PIN أو ويندوز مرحبا) أو خطف جلسة عمل مصادقة بالفعل. أثناء تحليل صورة قرص الطب الشرعي دون معرفة كلمة مرور المستخدم لن توفر الوصول إلى كلمات المرور المخزنة مؤقتا كروم / الحافة / أوبرا بسبب حماية DPAPI ، موزيلا فايرفوكس لا يستفيد من نفس النوع من الحماية. ونتيجة لذلك، يمكن استخراج كلمات المرور فايرفوكس من صورة محمولة دون معرفة بيانات اعتماد تسجيل الدخول ويندوز المستخدم.

هذا هو الذهاب الى ان تصبح أقصر وأبسط تجول لقد نشرت في سنوات. لاستخراج كلمات المرور من مستعرضات ويب، قم بتنفيذ الخطوات التالية.

1. إطلاق Elcomsoft إنترنت قواطع كلمة المرور.
2. لإنشاء قاموس تمت تصفيته لاستخدامه مع إحدى أدوات استرداد كلمات المرور، انقر فوق الزر “تصدير كلمات المرور” وحدد المكان الذي تريد أن تقوم الأداة بحفظ الملف النصي إليه.

بواسطة أوليغ أفونين في 2020-07-07 09:56:03 المصدر ElcomSoft بلوق:

مواقع هامة، iOS 14 و iCloud

بيانات الموقع هي واحدة من أكثر المعلومات الشخصية حساسية. في عالم اليوم، بيانات الموقع المجمعة حساسة وقيمة مثل كلمات مرور المستخدم. بمجرد إرسال هذه البيانات إلى خدمة سحابة الشركة المصنعة لنظام التشغيل أو أي من البائعين من طرف ثالث، يحق للمستخدم أن يعرف بالضبط ما هي المعلومات التي يتم جمعها؛ الذي، متى، وكيف لديه الوصول إليها. في مقال اليوم ، سنتحدث عن واحدة من ميزات iOS الأقل شهرة التي تسمى “مواقع هامة”.

مواقع هامة

الافراج عن دائرة الرقابة الداخلية 8 جلبت لنا “المواقع المتكررة” ، وهي ميزة مخبأة جيدا في إعدادات دائرة الرقابة الداخلية [Privacy] (| [Location Services] | [System Services] [Frequent مواقع] ). لا تصف Apple بالتفصيل كيفية جمع بيانات الموقع وتحليلها ، وما يعتبر بالضبط موقعًا “متكررًا”.

من iOS 10 لأعلى ، والذي يتضمن iOS 14 beta ، تسمى الميزة “مواقع هامة”. لا يزال يمكن الوصول إليه من نفس عنصر القائمة.

كما ترون ، فإن الميزة لا تعرض فقط الطوابع الزمنية الدقيقة ، ولكن أيضًا وسائل النقل التي جلبتك إلى هناك (حاليًا إما “محرك الأقراص” أو “المشي” ، ولم تر أي شيء آخر) ، ومدة ذلك محرك الأقراص أو المشي.

البيانات التي تم جمعها تستخدم للبقاء دائمًا في جهازك فقط. لم تتم مزامنتها أو تضمينها في النسخ الاحتياطية iTunes أو iCloud ، لذلك يمكنك فقط استخراجها مع امتلاك نظام الملفات الكامل (على سبيل المثال باستخدام Elcomsoft iOS مجموعة أدوات الطب الشرعي). بمجرد استعادة الجهاز من نسخة احتياطية، يتم فقدان هذه البيانات. على الأقل هذا هو كيف ينبغي أن يكون، حسب التصميم.

ومع ذلك ، قبل عامين اكتشفنا أن بعض بيانات الموقع قد تتم مزامنتها في السحابة ، انظر Apple ربما يعرف ما فعلته في الصيف الماضي. على ما يبدو، كان هذا تسرب التي تم توصيلها من قبل أبل؛ لم نر هذه البيانات المزامنة منذ ذلك الحين. النسخة التجريبية من دائرة الرقابة الداخلية 14 (أو كان أن دائرة الرقابة الداخلية 13 ولكن نحن فقط غاب؟) جلبت بعض التطور الجديد.

قضايا الخصوصية وتشفير “نهاية إلى نهاية”

لنبدأ بخدمات الموقع والخصوصية:

من خلال تمكين خدمات الموقع، سيتم تمكين خدمات النظام المستندة إلى الموقع مثل هذه أيضًا:

• المواقع الهامة: ستتتبع أجهزة iPhone و iCloud المتصلة الأماكن التي كنت فيها مؤخرًا، وكذلك عدد المرات التي قمت بزيارتها ومتى قمت بزيارتها، من أجل تعلم الأماكن المهمة لك. هذه البيانات مشفرة من طرف إلى طرف ولا يمكن قراءتها من قبل Apple. يتم استخدامه لتزويدك بخدمات مخصصة، مثل توجيه حركة المرور التنبؤية، ولبناء ذكريات أفضل في الصور.

هل أنت على دراية بـ “تشفير نهاية إلى طرف”؟ كتبنا عن ذلك مؤخرا، انظر النسخ الاحتياطية [ايكلوود] والبيانات المتزامنة وتشفير نهاية إلى نهاية. ومع ذلك، انظر إلى نظرة عامة على أمان iCloud التي تحتوي على قائمة شاملة بالبيانات “المنقولة والمخزنة في iCloud باستخدام التشفير من طرف إلى طرف”:

• معاملات بطاقة Apple (تتطلب iOS 12.4 أو أحدث)
• بيانات المنزل
• البيانات الصحية (تتطلب iOS 12 أو أحدث)
• سلسلة مفاتيح iCloud (تتضمن جميع الحسابات وكلمات المرور المحفوظة)
• خرائط المفضلة، والمجموعات ومحفوظات البحث (يتطلب دائرة الرقابة الداخلية 13 أو أحدث)
• Memoji (يتطلب iOS 12.1 أو أحدث)
• معلومات الدفع
• المفردات المستفادة من QuickType Keyboard (تتطلب iOS 11 أو أحدث)
• سجل سفاري وعلامات التبويب [ايكلوود] (يتطلب دائرة الرقابة الداخلية 13 أو أحدث)
• وقت الشاشة
• معلومات سيري
• كلمات مرور Wi-Fi
• مفاتيح Bluetooth W1 و H1 (تتطلب iOS 13 أو أحدث)

تستخدم الرسائل في iCloud أيضًا التشفير من طرف إلى طرف.

كما تعلمون على الأرجح، يمكننا الوصول إلى بعض هذه البيانات بما في ذلك سلسلة مفاتيح iCloud، الصحة، الخرائط، الرسائل، سفاري التاريخ، وقت الشاشة (غير كاملة) وكلمات السر واي فاي، مع Elcomsoft الهاتف قواطع. يتم توسيع هذه القائمة باستمرار (على سبيل المثال، سوف نقوم قريبا استخراج البيانات الرئيسية كذلك).

ومع ذلك، هناك أسئلة أكثر من الأجوبة هناك.

• ماذا يعني “المخزنة في iCloud”؟ ما هو الغرض من ذلك؟ قد يكون أحد الأسباب الواضحة لمزامنة البيانات عبر الأجهزة. ولكن هل رأيت، على سبيل المثال، أي معاملات بطاقة Apple تمت مزامنتها أو استعادتها من iCloud؟
• إذا تمت مزامنة البيانات عبر كافة الأجهزة المتصلة بالحساب، فإن “التشفير من طرف إلى طرف” ليس المصطلح الصحيح. الحقيقي “نهاية إلى طرف” يعني أن بعض البيانات المحددة يمكن فك تشفيرها فقط عن طريق جهاز معين أو نظام.
• ما هي، على سبيل المثال، “معلومات سيري”؟ لا تصف Apple المعلومات التي يجمعها Siri. ونحن نعلم أن الأمازون اليكسا ومساعد جوجل جمع جميع الطلبات (التسجيلات الصوتية الأصلية بالإضافة إلى النصوص المعترف بها)، ولكن ما هو واقع سيري؟
• ما هي “W1 و H1 مفاتيح البلوتوث” المخزنة ل، وماذا يمكن القيام به معهم إذا كان شخص الخبيثة مكاسب الوصول إليها؟
• بيانات ScreenTime: إذا كنت تستخدم خيار “مشاركة عبر الأجهزة”، فقد تلاحظ أن إحصاءات استخدام التطبيق التي تم جمعها تبدو مختلفة على الأجهزة الأخرى. هنا لا يعمل المزامنة بشكل صحيح. نعم ، أستطيع أن أرى بلدي MacMook احصائيات الحق من اي فون بلدي ، والعكس بالعكس ؛ هناك حتى آثار استخدام Apple Watch (فقط لا Apple TV لسبب ما). ومع ذلك، تتوفر البيانات الأكثر دقة فقط على الجهاز الأصلي.

لدي شعور بأن أبل لديها “حقيقية” آلية التشفير من طرف إلى طرف، ولكن مخفية جيدا في الشقوق. لقد جربنا الكثير مع بيانات ScreenTime ، ووجدنا أنه يتم تخزين كمية محدودة جدًا من البيانات (على وجه الخصوص ، الإعدادات والقيود ، بالإضافة إلى رمز مرور ScreenTime ، بشكل مفاجئ) في iCloud ، في حين تتم مزامنة الإحصائيات الحقيقية مباشرة عبر الأجهزة. قد ينطبق ذلك على بعض الفئات الأخرى أيضًا ، بما في ذلك المواقع الهامة. أو لا.

iOS 14 قضايا

في مختبرنا، لدينا حوالي 50 جهاز اختبار. معظم هذه الأجهزة هي أجهزة iPhone و iPad التي تعمل على جميع إصدارات iOS من iOS 3 إلى 13.6 بيتا. في الآونة الأخيرة كنت ألعب مع دائرة الرقابة الداخلية 14 بيتا قليلا، لمعرفة ما تم تغييره من وجهة نظر الطب الشرعي.

أول شيء لاحظته هو “الموقع التقريبي”:

هنا هو تفسيرات فنية جيدة جدا من WWDC على كيفية عملها ، وربما كان أكثر إثارة للاهتمام ثم شاهد الجميع الرئيسي : ما هو الجديد في الموقع.

ومع ذلك، يجب أن لا تؤثر على المواقع الهامة التي تم جمعها، ولكن مرة أخرى، هذه الميزة غير موثقة من قبل أبل على الإطلاق.

كانت تلك لا تزال مفاجأة سيئة. لقد أنشأت نسخة احتياطية [ايكلوود] من جهاز اختبار تشغيل دائرة الرقابة الداخلية 14 بيتا, ثم إعادة تعيين الجهاز واستعادته من النسخة الاحتياطية. و… مواقع هامة سحرية إعادة ظهر! وكان هذا الجهاز * * غادر مختبر ، وقد استخدمت في مكان واحد فقط. ولكن البيانات موجودة:

ثم قارنته مع البيانات التي تم جمعها على الجهاز الرئيسي (اي فون 11 برو ماكس):

سجل واحد (آخر) آخر مفقود فقط. جميع البيانات الأخرى (مواقع أخرى ، بما في ذلك بيتي ومكتبي) مباراة أيضا ، فضلا عن العديد من الأماكن الأخرى.

قمنا بتحليل النسخ الاحتياطي المحلي (iTunes) بعناية أولاً ، ولكن لم يتم العثور على مواقع كبيرة هناك. كما كتبت أعلاه ، لا يتم تضمين قواعد البيانات في النسخ الاحتياطية ، وتتوفر مع الحصول على نظام الملفات الكاملة فقط (على الأقل عملت دائما بهذه الطريقة). أنا الآن تحميل النسخ الاحتياطي [ايكلوود] من نفس جهاز iOS 14, ولكن وفقا لخبرتنا, النسخ الاحتياطية [ايكلوود] عادة ما تحتوي على بيانات أقل ثم المحلي منها.

لذلك يبدو أن مواقع كبيرة لم يتم استعادتها ولكن متزامنة. لم نر هذا السلوك من قبل. من المحتمل أن يكون لدينا لتحرير V2 من لدينا غائم تايمز: استخراج وتحليل الأدلة الموقع من سحابة الخدمات المادة، حتى لو أننا لن تكون قادرة على استخراج هذه البيانات (في حال كان يستخدم تشفير حقيقي نهاية إلى نهاية).

تحليل الموقع الهام

قاعدة البيانات الرئيسية لاستكشاف الآن سحابة V2.sqlite (كان Cloud.sqlite قبل دائرة الرقابة الداخلية 13)، وتقع في مجلد المحمول / مكتبة / المخابئ / com.apple.routined. هناك اثنين آخرين(Cache.sqlite و Local.sqlite)،ولكن نحن نتحدث الآن عن البيانات التي من المحتمل أن تتم مزامنتها عبر [ايكلوود].

يمكنك استخدام Elcomsoft عارض الهاتف لاستكشاف نظام الملفات الكاملة المكتسبة من الجهاز (بما في ذلك بيانات الموقع)، ولكن أوصي أن ننظر أعمق في قاعدة البيانات يدويا كما هو مثير للاهتمام حقا.

أولاً، جدول ZRTLEARNEDVISITMO. الألغام لديها أكثر من 300 السجلات:

تاريخ الإنشاء وتاريخ الدخول وتاريخ الخروج وبيانات انتهاء الصلاحية (؟) وخط العرض وخط الطول. إيلاء اهتمام خاص لZCONFIDENCE و LOCATIONUNCERTAINTY، فقط أبل يعرف ما هو عليه.

بعد ذلك، ZRTMAPITEMMO؛ إنه يتعلق بالأماكن، وليس الزيارات:

أي شيء آخر؟ بالتأكيد، على سبيل المثال ZRTL حصلفيسي تومو:

ZRTADDRESSMO أيضا تبدو مثيرة للاهتمام، وخاصة حقول ZINLANDWATER وZOCEAN.

وأخيرا، فإن الجدول ZRTDEVICEMO الذي يحتوي على قائمة الأجهزة التي يتم جمع بيانات الموقع من، والذي يتضمن العديد من فون، ماك بوك وحتى ساعة أبل:

الطوابع الزمنية هي في تنسيق بيانات النفط الكاكاو الأساسية، وعدد نانو ثانية منذ منتصف الليل، 1 يناير 2001، بتوقيت جرينتش.

الختام

تحتاج Apple بالتأكيد إلى مزيد من الشفافية حول كيفية تعاملها مع البيانات الشخصية بما في ذلك المواقع. نحن بحاجة إلى كشف واضح عما يتم جمعه ومعالجته ومشاركته ومزامنته. وكيف تتم حمايته

بواسطة فلاديمير كاتالوف في 2020-07-09 13:36:34 المصدر ElcomSoft بلوق:

أسطورة استعادة البيانات فون: ما يمكنك وما لا يمكن استرداد

ليس هناك نقص في الأدوات التي تدعي القدرة على استرداد المعلومات المفقودة أو المحذوفة من iPhone. وتتراوح مطالبات هذه الأدوات من “استعادة البيانات المفقودة بسبب المياه التالفة، وكسر، والحذف، وفقدان الجهاز، الخ” إلى أكثر تحفظا بكثير “يستعيد بيانات فون بشكل انتقائي من الذاكرة الداخلية، ايكلوود، و iTunes”. هل يعمل أي من هذه الأدوات في الواقع ، وأنها لا ترقى إلى مستوى توقعات المستخدم؟ الجواب معقد ، ومن هنا جاءت هذه المقالة. دعونا نضع المطالبات من خلال التدقيق المعتاد لدينا.

“المياه التالفة” اي فون

عند البحث في مختلف أدوات استعادة البيانات iOS ، شعرت بالحيرة من المطالبة الطموحة للغاية التي قدمتها شركة واحدة لاسترداد البيانات (ستجدها بسهولة إذا نظرت). الشركة يدلي ببيان جريء، مدعيا أن أداتها يمكن “استعادة البيانات المفقودة بسبب المياه التالفة، مكسورة، الحذف، فقدان الجهاز، الخ.” (الإملاء الأصلي محفوظ). دعونا أول التعامل مع “المياه التالفة” المطالبة، كما هو الحال في “الجهاز لا السلطة على”.

توقعات المستخدم: المطالبة جريئة يجعلني أعتقد أن الأداة يمكن بطريقة أو بأخرى سحرية استخراج المعلومات من جهاز غرقت التي لا يمكن أن تعمل بالطاقة على.

الواقع: هذا لن يحدث. في حين أن مختبر استعادة البيانات المتخصصة يمكن أن تحاول مؤقتا إحياء اي فون المياه التالفة للوقت التي يحتاجونها لنسخ البيانات الخاصة بك قبالة الجهاز (وشحن لكم ذراع وساق لمجرد المحاولة) ، لا يمكن لأي برنامج المستخدم النهائي (وبالتأكيد لا البرمجيات الحرة) أن تفعل ذلك.

ما تفعله الأداة: من المثير للاهتمام ، أن الادعاء ليس بالضرورة كذبة. إنه تسويق يمكن أن تحاول أداة استعادة البيانات تنزيل المعلومات (وبالتالي “استرداد”) من حساب iCloud الخاص بك. قد يشمل ذلك النسخ الاحتياطية (على الرغم من أننا لم نر بعد أداة يمكنها القيام بذلك بشكل موثوق، ناهيك عن مجانية) وبعض البيانات المتزامنة (التي قد تتضمن صورك إذا قمت بتمكين إعداد صور iCloud في iPhone). لم نر أي أداة من الدرجة الاستهلاكية التي يمكن تحميل كلمات السر الخاصة بك أو الرسائل (SMS وتاريخ iMessage) بسبب التشفير من طرف إلى طرف.

القيود: “تحميل النسخ الاحتياطية على iCloud والصور” يبدو جيدا بما فيه الكفاية. لنفعل ذلك في حين أن هذا قد يكون ممكنا (كما هو الحال في “قد تكون قادرة على العثور على أداة تعمل فعلا”) ، والمشكلة هي ما إذا كان لديك تلك النسخ الاحتياطية على الإطلاق. وقد علمتني سنوات عديدة من الخبرة أنه كلما كان المستخدم لديه بيانات أكثر قيمة وفريدة من نوعها ، كلما قل احتمال الحصول على نسخة احتياطية من تلك البيانات. إذا كنت تقرأ هذه المقالة، تحقق من وجود نسخة احتياطية من iCloud مؤخرًا لجهازك، وإذا كان لديك “صور iCloud” ممكّنة.

منذ أبل فقط يقدم 5GB من مساحة iCloud مجانا، على الأرجح لا النسخ الاحتياطية أو الصور سوف تناسب، لذلك على الأرجح سوف ينتهي بك الأمر مع بعض النسخ الاحتياطية القديمة جدا وعدد قليل، إن وجدت، والصور. دفع ثمن مساحة إضافية في [ايكلوود] هو أحد الطرق لضمان نسخ الصور الخاصة بك احتياطيًا. ويستخدم آخر موفر سحابة خارجي (على سبيل المثال، صور Google أو Microsoft OneDrive) لدعم صورك.

الطريق الصحيح: إذا كان كل ما تحتاجه هو صورك، وكنت قد تم تمكين “صور iCloud”، يمكنك تحميلها بسهولة إلى جهاز الكمبيوتر الخاص بك دون أي أدوات طرف ثالث على الإطلاق. بالنسبة لنظام macOS، ما عليك سوى توصيل حساب Apple الخاص بك واستخدام تطبيق “الصور”. في Windows، قم بإعداد صور iCloud واستخدامها على جهاز الكمبيوتر الخاص بك على جهاز الكمبيوتر الخاص بك ويندوز.

اي فون “مكسورة”

كيف “كسر” اي فون يختلف عن “المياه التالفة”؟ إذا تعذر تشغيل الجهاز، فلا يوجد فرق من نقطة استرداد البيانات. ومع ذلك ، قد يكون iPhone “المكسور” قد تحطم جهاز العرض ووظائف اللمس لا تعمل. إذا كانت هذه هي الحالة، فقد لا تتمكن من إلغاء قفل الجهاز لأنك لن تتمكن من إدخال رمز المرور. ومن المثير للاهتمام، في بعض الحالات يمكن استرداد البيانات من هذه الأجهزة.

توقعات المستخدم: أنا توصيل الهاتف إلى الكمبيوتر، وأداة يربط من خلال أي بروتوكول السحر ويسحب البيانات.

الواقع: قد يحدث هذا إذا كنت تستطيع فتح اي فون الخاص بك (على سبيل المثال مع معرف اللمس / معرف الوجه) وكان الهاتف سابقا “موثوق” على جهاز الكمبيوتر الخاص بك (ملف تأمين / سجل الاقتران اي تيونز موجود). وإلا، سيكون عليك إدخال رمز المرور على الجهاز لإقامة علاقة ثقة بين الكمبيوتر والهاتف. على افتراض أن الشاشة التي تعمل باللمس مكسورة، كنت من الحظ. قد يكون استبدال الشاشة أفضل ملاذ لك.

ما تفعله الأداة: ستحاول الأداة إجراء نسخة احتياطية و / أو سحب صورك (وهذا هو بروتوكول مختلف يعمل حتى لو كانت النسخ الاحتياطية الخاصة بك محمية بكلمة مرور). هذا هو مماثل لعملية اكتساب منطقية متقدمة نقوم به في Elcomsoft دائرة الرقابة الداخلية مجموعة أدوات الطب الشرعي. بعض أدوات استعادة البيانات أكثر تقدما قد تستفيد من الاقتران القائمة السجلات / تأمين الملفات ، في حين أن البعض الآخر لن.

القيود:يجب أن تكون قد أنشأت علاقة موثوق بها بين جهاز iPhone والكمبيوتر قبل أن يتم قطعه. إذا لم تكن هناك ثقة، فسيتضطر إلى كتابة رمز قفل الشاشة على جهاز iPhone لإنشاء رمز، وهو ما قد لا يكون ممكنًا إذا تم كسر الشاشة التي تعمل باللمس.

الطريق الصحيح: إذا كان كل ما تحتاجه هو صورك، وإذا كنت قد قمت بإقران جهاز iPhone الخاص بك مع جهاز الكمبيوتر الخاص بك، يمكنك استيرادها إلى جهاز الكمبيوتر الخاص بك دون أدوات طرف ثالث باتباع الإرشادات. تعرف على كيفية استيراد الصور ومقاطع الفيديو من الهاتف إلى الكمبيوتر. ومع ذلك ، إذا كنت ترغب في مراجعة الرسائل النصية الخاصة بك / iMessages ، أو إذا كنت بحاجة إلى بعض المعلومات الأخرى ، فستحتاج إلى إنشاء تنسيق iTunes أولاً ، وأداة لتحليل تلك النسخة الاحتياطية. لا تقوم Apple بعمل أدوات لتحليل النسخ الاحتياطية لـ iTunes (مما يسمح لك فقط باستعادة البيانات إلى iPhone جديد) ، لذلك يمكن لأداة خارجية مساعدتك. نحن نقدم Elcomsoft عارض الهاتف فقط لهذا الغرض.

“البيانات المحذوفة”

المطالبة “حذف استرداد البيانات” هو الأكثر غموضا. بينما يتوقع المستخدمون القدرة على استرداد الملفات المحذوفة من أي نوع، هذا ليس هو الحال. في iPhone ، يتم تخزين كل ملف مستخدم مشفر تقريبًا. يستخدم نظام الملفات تشفيرًا يستند إلى الملفات مع مفاتيح تشفير منفصلة وفريدة لكل ملف. بمجرد حذف ملف، يتم تدمير مفتاح التشفير للحظات، مما يجعل من المستحيل “الحذف” أو استرداد هذا الملف حتى لو كان أحد الوصول إلى قسم البيانات منخفضة المستوى (والتي، بالمناسبة، غير ممكن دون الهروب من السجن أو استغلال).

ومع ذلك، لا يزال من الممكن استرداد أنواع معينة من البيانات – ببساطة لأنها إما ليست ملفات أو لا يتم حذفها بالفعل. وتشمل هذه الأنواع من البيانات ما يلي:

الصور و الفيديوهات. بمجرد حذف صورة على اي فون، فإن النظام لا يحذف الملف بالفعل. بدلاً من ذلك، يتم نقل الصورة إلى ألبوم خاص (المجلد “حذف مؤخراً”). يتم الاحتفاظ بالصور في الألبوم الذي تم حذفه مؤخرًا لمدة 30 يومًا على الأقل. خلال تلك الفترة، يمكن للمستخدمين استعادة الصور المحذوفة بسهولة.

الرسائل. يتم تخزين الرسائل النصية و iMessages في قاعدة بيانات بتنسيق SQLite. بشكل افتراضي، لا تقوم SQLite بالكتابة فوق السجلات فور حذفها. بدلاً من ذلك، يضع SQLite عليها علامة “محذوف”. تصبح الصفحات المحذوفة غير مستخدمة، ويتم تخزينها على ما يسمى “قائمة حرة”. إذا كنت تحصل على ملفات قاعدة البيانات (عن طريق إجراء نسخة احتياطية) ، يمكن استرداد هذه السجلات حتى اللحظة قاعدة البيانات هو فراغ بالكامل وتجزئة (إذا كان، يصبح الحذف دائمة). كان هذا هو الحال في iOS 8 من خلال iOS 11. بدءا من دائرة الرقابة الداخلية 12، أبل على ما يبدو انتقلت إلى تنفيذ غير قياسي، مسح السجلات جسديا على الفور تقريبا بعد حذفها. ونتيجة لذلك، لا يمكن استرداد الرسائل النصية المحذوفة و iMessages في iOS 12 و13 و أحدث.

الإشارات المرجعية. يتم تخزين الإشارات المرجعية سفاري المحذوفة في قاعدة البيانات HomeDomain / مكتبة / سفاري / Bookmarks.db في شكل SQLite. يمكن استرداد الإشارات المرجعية المحذوفة من قاعدة بيانات SQLite حتى بما في ذلك iOS 12. بدءًا من iOS 13، لم يعد بالإمكان استرداد الإشارات المرجعية المحذوفة.

التاريخ. يتم تخزين تاريخ تصفح رحلات السفاري في AppDomain-com.apple.mobilesafari/ مكتبة / سفاري / History.db SQLite قاعدة البيانات. بدءًا من iOS 12، لم يعد بالإمكان استرداد سجل Safari المحذوف.

علامات التبويب. بدءا من دائرة الرقابة الداخلية 10، يتم تخزين علامات التبويب المفتوحة سفاري في AppDomain-com.apple.mobilesafari/ مكتبة/ سفاري / BrowserState.db SQLite قاعدة البيانات. في iOS 10 و 11، سيتم تخزين علامات التبويب المفتوحة إلى أجل غير مسمى حتى يتم إغلاقها، بما في ذلك علامات التبويب المفتوحة في جلسات التصفح الخاصة. ومع ذلك، حتى بعد إغلاق علامات التبويب، يمكن استردادها. بدءًا من iOS 12 ، لم يعد هذا هو الحال. يتيح نظام التشغيل iOS 13 آلية حماية إضافية، مما يسمح للمستخدمين بتحديد الحد الأقصى للفترة الزمنية التي يمكن أن تظل فيها علامة التبويب مفتوحة، وإغلاق علامة التبويب تلقائيًا ومسح السجل المقابل بعد تلك الفترة الزمنية. في iOS 12 و 13، لم يعد بالإمكان استرداد المعلومات حول علامات تبويب Safari المغلقة.

قائمة القراءة بتخزين الإشارات المرجعية مع com.apple.ReadingList كوالد. لم يعد بالإمكان استرداد العناصر المحذوفة من قائمة القراءة منذ iOS 13.

جهات الاتصال والتقويمات والملاحظات ومحفوظات المكالمات. يتم تخزين كل هذه أيضا في قواعد البيانات الخاصة بهم SQLite المقابلة. يمكن استرداد السجلات المحذوفة عن طريق سحب ومسح ملفات قاعدة البيانات ما لم يتم تفريغ قاعدة البيانات وإلغاء تجزئة.

الملفات في تطبيق الملفات. يتم نقل الملفات التي تقوم بتخزينها على جهازك في تطبيق “الملفات” إلى المجلد “محذوف مؤخرًا” بمجرد حذفها. يمكنك العثور على هذه الملفات واستعادتها عن طريق فتح المجلد “المواقع” > تم حذفها مؤخراً.

الملفات في iCloud Drive. تمامًا مثل الصور ومقاطع الفيديو، لا يتم حذف الملفات التي تخزنها في iCloud Drive على الفور. وفقا لشركة آبل، “عند حذف ملف من iCloud Drive، فإنه ينتقل إلى المجلد “محذوف مؤخرًا”. إذا غيرت رأيك أو حذفت ملفًا عن طريق الخطأ، سيكون لديك 30 يومًا لاستعادة الملف. انتقل إلى المواقع > تم حذفها مؤخراً. حدد الملف الذي تريد الاحتفاظ به وانقر فوق استرداد. بعد 30 يوماً، تتم إزالة الملفات من “تم حذفها مؤخرًا”.

كما ترون ، يمكن أن تكون معظم البيانات فقط “استرداد” (سيكون مصطلح مناسب “استعادة”) من النسخ الاحتياطية التي قدمت سابقا — إذا كنت قد قدمت من أي وقت مضى تلك النسخ الاحتياطي على أي حال.

وفيما يلي جدول سريع لتلخيص كل شيء. كما ترون، بدءا من دائرة الرقابة الداخلية 13 تقريبا لا شيء يمكن استردادها بغض النظر عن نوع النسخ الاحتياطي لديك (اي تيونز، ايكلوود، البيانات المتزامنة أو TAR أو ملف ZIP المنتجة عن طريق تصوير نظام الملفات).

البيانات المحذوفة، الجزء الثاني

حسناً، إذاً لدينا قبضة الجزء المحذوف في الإصدارات القديمة من دائرة الرقابة الداخلية (وهذا هو المكان الذي معظم “iOS استعادة البيانات” أدوات تنمو أرجلهم)، أي شيء المخزنة في قواعد البيانات SQLite قد تكون قادرة على استرداد نظرا لأن قاعدة البيانات لم تكن قد فراغ وضغطت. المشكلة الوحيدة: لم تعد تعمل اليوم. أصبحت بعض أنواع البيانات غير قابلة للاسترداد في iOS 12 ، في حين بدأت Apple في مسح الباقي في iOS 13. اليوم ، معظم أدوات استعادة بيانات iOS التي تعتمد على قوائم سكليتي الحرة عديمة الفائدة.

من الناحية الفنية ، يمكن للمرء ربما الوصول إلى قواعد بيانات SQLite مباشرة عن طريق الهروب من السجن أو استغلالها. هذا لن يكون حل زر واحد، بعيداً عن ذلك، وسوف لا الوصول إلى معظم السجلات المحذوفة على أي حال. ستحتاج إلى أداة استخراج منخفضة المستوى من الدرجة الجنائية (على سبيل المثال Elcomsoft iOS) وأداة مثل مجموعة أدوات الطب الشرعي SQLite لتحليل سجلات الكتابة مسبقًا (WAL). بدلا من ذلك، يمكن استخدام برامج الطب الشرعي مثل UFED أو Oxygen، ولا يستهدف أي منهما المستخدم المنزلي.

النسخ الاحتياطية لـ Schrödinger

المشكلة الوحيدة لاستعادة السجلات المحذوفة (ما إذا كانت رسائل أو سجلات المكالمات أو جهات الاتصال) هي الطبيعة المتقلبة لقواعد بيانات SQLite في الإصدارات الحديثة من iOS. الطريقة السهلة الوحيدة للحصول على قواعد بيانات SQLite من الجهاز هي إجراء نسخة احتياطية من iTunes. حتى تقوم بإجراء النسخ الاحتياطي، يتم استخدام قواعد البيانات مع WAL غير مدمجة (سجلات الكتابة المسبقة) ، وقد لا يزال بعض السجلات المحذوفة غير المدمجة يمكن استردادها. ومع ذلك، في اللحظة التي تبدأ النسخ الاحتياطي، يتم دمج قواعد البيانات SQLite، ويتم فقدان السجلات المحذوفة إلى الأبد.

هناك استثناء واحد لهذه القاعدة: قاعدة بيانات ملفات الوسائط التي يمكن للمرء الحصول عليها عبر بروتوكول الاتحاد الآسيوي لكرة القدم. تحتوي قواعد البيانات هذه على بيانات تعريف لكافة الصور المفهرسة وملفات الفيديو، بما في ذلك تلك التي حذفها المستخدم (ثم تنظيفها من الألبوم الذي تم حذفه مؤخرًا). ومع ذلك ، هناك قيمة ضئيلة جدا في البيانات الوصفية للصورة للجميع باستثناء حشد الطب الشرعي.

مما يترك إمكانيات “الاسترداد” لاستعادة البيانات من نسخة احتياطية قديمة (موجودة). إذا كان لديك عادة صنع النسخ الاحتياطي اي تيونز بانتظام… حسناً، لا أحد يفعل، تخطى ذلك.

إذا كان لديك نسخة احتياطية على iCloud موجودة تحتوي على البيانات التي قمت بحذفها بعد إجراء النسخ الاحتياطي ، فقد تتمكن من تنزيل هذا النسخ الاحتياطي (لا نعرف سوى أداة واحدة يمكن ولا ، حتى لو كان حسابك محميًا بمصادقة ثنائية المعامل ؛ وهذا ‘ Elcomsoft Phone Breaker). لاحظ، ومع ذلك، أنه إذا قمت بتمكين “الرسائل في [ايكلوود]”، فإن الرسائل لن تكون جزءا من النسخ الاحتياطي [ايكلوود] بعد الآن; بدلاً من ذلك، ستتم مزامنتها مع السحابة. “الرسائل في iCloud” محمية بتشفير من طرف إلى طرف; في هذا الوقت، Elcomsoft الهاتف الكسارة لا يزال الأداة الوحيدة التي يمكن الوصول إلى نهاية إلى نهاية البيانات المشفرة في [ايكلوود].

المستنسخين

مجرد ملاحظة سريعة: أصبحت أدوات استرداد iOS شعبية لدرجة أن العديد منهم هم نفس “التسمية البيضاء” التي تقدم تحت عدد كبير من التسميات المختلفة. وأود أن البقاء بعيدا عن هذه الأدوات والعديد من هذه ما يسمى “المصنعين” لن تكون قادرة على تقديم المستوى المتوقع من الدعم التقني إذا كنت في حاجة واحدة.

الختام

مع الكثير من المطالبات الغامضة ، من الصعب الثقة في العديد من أدوات استعادة بيانات iOS. إن فهم المبادئ الأساسية لتشغيلها ومصادر البيانات المستخدمة من قبل هذه الأدوات أمر مهم لتعديل توقعات المرء. تستند الغالبية المطلقة من أدوات استرداد iOS للبيانات حصريًا على آلية النسخ الاحتياطي iOS/iTunes وبروتوكول مزامنة الوسائط المنفصل. يمكن لعدد قليل من الأدوات الحصول على معلومات متزامنة (مثل جهات الاتصال والملاحظات والتقويمات) من iCloud ، ويمكن تنزيل النسخ الاحتياطية على iCloud أقل من ذلك. نحن لم نرى بعد أداة استعادة البيانات دائرة الرقابة الداخلية التي يمكن سحب نسخة احتياطية [ايكلوود] من حساب 2FA المحمية.

بواسطة أوليغ أفونين في 2020-07-10 10:00:32 المصدر ElcomSoft بلوق:

الدفاع عن حق الأميركيين في فك التشفير

قبل 19 عاما ، في 16 يوليو 2001 ، اعتقل مكتب التحقيقات الفدرالي ديمتري Sklyarov ، على الفور تقريبا بعد خطابه في مؤتمر القراصنة DEF CON ، على عدد من التهم التي وجهتها أدوبي. واتهم ديمتري من أشياء كثيرة، من الاتجار بالبرمجيات إلى التآمر مع Elcomsoft و “أطراف ثالثة”، الذين طرحوا البرمجيات للبيع التي يمكن أن تتجاوز الحماية التكنولوجية على المواد المحمية بحقوق الطبع والنشر. بدأت مهنة ديمتري في Elcomsoft مع مشروع على الوصول إلى قواعد بيانات Access المحمية. قريبا، حصل ديمتري فكرة عن أمن وثائق PDF، وهكذا بدأ العمل على ذلك. من هذه الفكرة ولدت أبدا أن ننسى متقدمة الكتاب الاليكتروني المعالج ، بسبب ديمتري الذي اعتقل في عام 2001 في DEF CON في لاس فيغاس ، NV.

على وجه الخصوص، وضع ديمتري برنامجًا يسمح للمستخدم بإزالة حماية DRM من مستندات PDF المشتراة بشكل قانوني، بما في ذلك الكتب الإلكترونية. تم إصدار البرنامج في عام 2001. ووفقا للقانون الروسي الساري آنذاك، يحق للمشتري إنشاء نسخة احتياطية واحدة من المنتج المشترى دون إبلاغ صاحب حق المؤلف. وبعبارة أخرى، كان إنشاء هذا المنتج في روسيا قانونيًا بموجب القانون الروسي. ومع ذلك، أجريت المبيعات عبر الإنترنت، والتي تغطي العالم بأسره. قبل رحلة ديمتري إلى DEF CON مع الحديث عن النتائج التي توصل إليها ، كانت الشركة قد باعت حوالي 20 ترخيصًا للمنتج.

مرة واحدة تم قبول حديثه ، وصل ديمتري بأمان في DEF CON ، وأدلى حديث عن الأمن الكتاب الاليكتروني. بعد بضعة أيام، عندما غادر غرفة الفندق ويخطط للذهاب إلى المطار، واجه العديد من رجال مكتب التحقيقات الفدرالي الذين عرضوا بأدب ديمتري لمتابعتهم.

(ديمتري Sklyarov وفلاديمير كاتالوف ، والحق قبل تقديم ديمتري على ديفكون)

وفقاً لكلمات (ديمتري)، فقد أخذها على أنها مزحة في البداية. في المؤتمر كان هناك عدد كبير من المباريات حول الشرطة، مثل على سبيل المثال “بقعة fed”، حيث كان على اللاعبين الكشف عن وكيل الاتحادية بطرح الأسئلة. لذلك، عندما جاء ديمتري عبر أربعة أشخاص الذين قدموا أنفسهم كعملاء الاتحادية، وقال انه قرر لأول مرة أنها كانت لعبة وحاول تمريرها من قبل. ومع ذلك، أوقف أحد الفيدراليين ديمتري وأصدر رمزاً رمزياً.

بعد فحص غرفته في الفندق، أخذ الفيدراليون ديمتري إلى المحكمة المحلية في لاس فيغاس. ولم تكن هناك مرافق احتجاز قبل المحاكمة، ولم يكن من الممكن الإفراج عنه بكفالة على الفور. ونتيجة لذلك، تم الاحتفاظ بديمتري في سجن في لاس فيغاس، حيث أمضى 11 يوماً. ثم بدأت المتعة. واتصل أندريه ماليش، الموظف الثاني في إلكومسوفت، الذي كان حاضرا أثناء حديث ديمتري في شركة ديف كون وكان حاضرا أيضا في اعتقال ديمتري، على الفور بمكتب إلكومسوفت الرئيسي في موسكو وأبلغ باعتقال ديمتري. هذا تسبب في فوضى كاملة في موسكو. أرسلت القنصلية طلباً إلى السجن لمعرفة ما إذا كان (ديمتري) محتجزاً فيه حقاً ومع ذلك، تلقوا جواباً بأنه لا يوجد مثل هذا الشخص. منذ رفع دعوى قضائية ضد ديمتري في كاليفورنيا، لذلك كان من المقرر أيضا أن تعقد المحاكمة في ولاية كاليفورنيا. بينما لم يكن ديمتري في كاليفورنيا، لم يكن في السجن، ولكن في العبور. لذلك، لم تكن هناك معلومات عن أن ديمتري قد سجن بعد، ولم تكن هناك معلومات عن أولئك الذين اعتقلوا أثناء العبور. لطيفه! ومع ذلك، تم العثور على ديمتري أخيرا بضعة أيام في وقت لاحق.

نقل ديمتري هو قصة أخرى تستحق رقما قياسيا. ولا يجوز بموجب القانون إبقاء الشخص العابر في مرفق احتجاز واحد لمدة تزيد عن 21 يوماً. وبهذه الطريقة، يمكنهم نقله من سجن إلى آخر دون تحديد الوقت في العبور. ديمتري غيّر 3 سجون

بعد 11 يوما في لاس فيغاس، تم إرسال ديمتري إلى أوكلاهوما، إلى مركز النقل الاتحادي الحق على جانب المطار. مركز النقل لم يكن سيئا على الإطلاق، بما في ذلك خمس غرف مع أجهزة التلفاز، وميكروويف، وآلة صنع الثلج والكثير من المواد الغذائية. تقريبا فندق. بعد أن أمضى أسبوعًا في أوكلاهوما، تم نقل ديمتري بالطائرة إلى سان خوسيه، كاليفورنيا. الشيء المضحك هو أن مقارنة تجربة العديد من مرافق الاحتجاز في الولايات المتحدة مع فرق البناء الطلاب والجيش في الاتحاد السوفياتي السابق، ديمتري يرى أنه من المريح أكثر أن يكون سجن في أمريكا.

عندما تم إحضار ديمتري إلى سان خوسيه، قررت أدوبي التخلي عن مطالباتهم. ولكن لا يمكن ترك القضية تماما من هذا القبيل، وظهرت الدولة في هذه الحالة كمطالب جديد. الآن بدأ الرأي العام يغلي، والوقوف للدفاع عن ديمتري Sklyarov مع سلسلة من المظاهر في بلدان مختلفة.

كما تلقى ديمتري دعماً نشطاً من مؤسسة الحدود الإلكترونية.

في البداية، اتُهم ديمتري بـ “الاستفادة من توزيع البرنامج المحظور” و”الترويج للبرنامج المحظور إلى السوق”، وكلاهما تم إسقاطهما قريباً واستبدالهما بتهمة جديدة بالتآمر مع الشركة. وفي وقت لاحق، بدأت عملية ضد إلكومسوفت وأطلق سراح ديمتري بكفالة إلى أن يصدر قرار المحكمة. وجرت المحاكمة في 17 ديسمبر/كانون الأول 2020 في سان خوسيه، حيث تبين أن إلكومسوفت وديمتري غير مذنبين في جميع التهم الخمس. (إلكومسوفت) ربحت القضية

كانت هذه القضية مليئة بالحلقات المثيرة للاهتمام من إقامة ديمتري المؤقتة في الولايات المتحدة ومن الأحداث التي وقعت في المحكمة. إذا كنت على استعداد لحفر أعمق في هذا، يمكنك التحقق من المزيد من المقالات، والمقابلات مع ديمتري، فضلا عن تغطية واسعة من قاعة المحكمة مع استجوابات الكسندر وفلاديمير كاتالوف على رادار ليزا رين.

وجهة نظر ديمتري الحالية حول هذه المسألة هي بالأحرى السخرية: “الآن كل هذا يبدو لي هكذا كان لدى الأميركيين قانون DMCA. وفي ذلك الوقت، لم يكن يطبق على فرد، ولذلك كان يحتاج إلى سابقة. كانوا بحاجة إلى مطور برامج الذي من شأنه أن يخلق البرمجيات ، وبعد استخدامها ، يمكن للمرء أن يكون مذنبا. وكان من الضروري إثبات أن القانون يعمل. ونتيجة لذلك، اتضح أن ألكسندر كاتالوف دافع عن مصالح المواطنين الأمريكيين على نفقته الخاصة، ودافع عن حقهم في صنع هذا النوع من البرمجيات”.

لم أستطع إلا أن أسأل ديمتري ما إذا كانت السنوات ال 19 الماضية غيرت وجهة نظره في تلك الأحداث. إليك ما قاله: “على مدى السنوات ال 19 لم تكن هناك أحداث يمكن أن تؤثر على موقفي تجاه الوضع. كانت تجربة غير سارة ولكن مثيرة للاهتمام للغاية. كما كان مؤثرًا بشكل خاص أن الشركة ، وعلى وجه التحديد ألكسندر وفلاديمير ، وقفت بالنسبة لي وفعلت كل ما في وسعها للمساعدة.“

إلى سؤالي إلى ديمتري ما إذا كان قام بأي محاولات جديدة لزيارة الولايات المتحدة الأمريكية، واعترف: “قبل عام، تقدمت بطلب للحصول على تأشيرة مرة أخرى. بعد 4 أشهر من المعالجة، تم رفض طلبي. آخر مرة استغرقهم 11 شهراً عذر قديم، لا دليل كاف على أنني لن أهاجر. ربما بعد 5 سنوات سأحاول مرة أخرى.“

الآن ديمتري Sklyarov هو باحث أمن المعلومات المعروفة مع فريقه. عمل بنجاح في Elcomsoft لأكثر من 10 سنوات ، وإدارة العديد من المشاريع ، بما في ذلك استرداد كلمة مرور PDF المتقدمة (إزالة القيود من ملفات PDF وكسر كلمات السر PDF لفتح الملف)، Elcomsoft استعادة كلمة المرور الموزعة (أعلى برامج استعادة كلمة المرور المستخدمة على نطاق واسع من قبل وكالات إنفاذ القانون والحكومة في جميع أنحاء العالم) و Elcomsoft دائرة الرقابة الداخلية مجموعة أدوات الطب الشرعي (كسر تشفير فون، الأولى في العالم).

(فلاديمير كاتالوف وكيفن ميتيك، كسر رمز المرور على اي فون كيفن 4)

أثناء عمله في الشركة ، كما كتب كتاب “مفاتيح خفية لاختراق البرمجيات والدخول غير المصرح به”. ديمتري يحب أن يكتب على التشفير ويعترف بأنه أحب أن تفعل ذلك في كثير من الأحيان إذا كان لديه المزيد من الوقت لهذا.

بواسطة أولغا Koksharova في 2020-07-16 15:35:16 المصدر ElcomSoft بلوق: