Правозащитники нашли в сети открытую запись главной российской конференции экспертов по взлому смартфонов. Конечно, мы ее посмотрели Вот что могут делать силовики с вашими айфонами и андроидами
Правозащитники обнаружили в открытом доступе видеозапись конференции Moscow Forensics Day 2025. Это мероприятие прошло в столице в середине сентября и собрало экспертов по цифровой криминалистике со всей России. Спикеры, среди которых были представители не только компаний по кибербезопасности, но и Следственного комитета РФ, обсуждали в том числе современные инструменты для взлома устройств и аккаунтов. «Медуза» изучила почти что 10-часовую запись конференции и собрала самые интересные ее моменты. Наш основной вывод из просмотра: в докладах не обсуждалось использование каких-либо прорывных технологий для взлома компьютеров и смартфонов — но эти выступления хотя бы отчасти фиксируют предел возможностей российских криминалистов.
You can read this story in English here.
Случайно найденная запись
О публично доступной видеозаписи девятой ежегодной конференции Moscow Forensics Day в конце сентября рассказал центр защиты прав человека «Мемориал».
Цифровая криминалистика очень важна в борьбе с реальными киберпреступлениями. Но все чаще российские власти используют ее для репрессий против граждан.
Поэтому мы решили поделиться случайно найденной записью конференции — возможно, это будет полезно коллегам-журналистам, расследователям и всем, кто интересуется цифровой безопасностью.
В видеозаписи представлены доклады всех участников двухдневной конференции — кроме одного.
Скрытой оказалась презентация Игоря Зайцева из петербургской компании «Эккаунт-Бест», генерального партнера конференции. Ведущий отдельно предупредил, что его выступление не будет транслироваться. И потом случайно продемонстрировал лишь последний кадр из презентации — с контактной информацией ЗАО «Региональный научно-исследовательский экспертный центр». Судя по отчету с конференции, доклад Зайцева был посвящен «задачам БПЛА в тактической разведке».
Мы решили обратить особое внимание на выступления первого дня, так или иначе посвященные взлому телефонов и компьютеров или получению доступа к хранящейся там информации.
Аудиоверсию этого текста слушайте на «Радио Медуза»
Криминалисты из СК не могут закупать Cellebrite
Руководитель отдела НИИ криминалистики главного управления криминалистики Следственного комитета РФ Ольга Тушканова в своем выступлении проговорилась, что российские криминалисты не могут закупать продукцию израильской компании Cellebrite. Именно их программно-аппаратные комплексы по взлому айфонов и андроидов являются, пожалуй, самыми известными в мире. Например, в июле 2024 года именно с помощью технологий Cellebrite агенты ФБР всего за 40 минут вскрыли телефон 20-летнего Томаса Мэттью Крукса, стрелявшего в Дональда Трампа на митинге в Пенсильвании.
Вообще, на самом деле, у нас всегда есть проблема между тем, чего нам хочется. А хочется нам, чтобы было вот: раз, два, три — всё. И программные продукты, они обладают частично одинаковыми функциями. Но тут один бантик, а здесь другой бантик. И мне нужен и этот бантик, и этот. И всегда очень сложно — вам выделяют конкретную сумму, не более того, на закупку — вложиться в эту закупку со своими бантиками. И обосновать, что я сегодня хочу «Мобильный криминалист», а завтра я как-то вот… А вдруг опять Cellebrite выйдет? Вот я Cellebrite захочу. Вот все будет зависеть от рынка и от того, что там есть.
Cellebrite официально прекратила продавать свои решения и услуги в Россию еще в марте 2021 года. Но «Медиазона» отмечала, что уже после российского вторжения в Украину ФСБ использовала оборудование израильской компании как минимум для изучения содержимого телефона антивоенного активиста Дмитрия Иванова, автора телеграм-канала «Протестный МГУ».
Как силовики могут взломать ваш смартфон? И как его защищают Apple, Google и другие разработчики? Рассказываем об игре в кошки-мышки в индустрии защиты данных
Как силовики могут взломать ваш смартфон? И как его защищают Apple, Google и другие разработчики? Рассказываем об игре в кошки-мышки в индустрии защиты данных
Принудительная разблокировка по биометрии становится стандартной процедурой
Доклад Ольги Тушкановой был посвящен «Типовой методике экспертного исследования информации, содержащейся в мобильных устройствах и их компонентах». Она была разработана в Следственном комитете в 2025 году.
Одно из нововведений этих методических рекомендаций — ходатайства, которые криминалист может направить следователю:
- о предоставлении значения пароля для доступа к памяти мобильного устройства;
- о предоставлении значения PIN и/или PUK-кодов для доступа к памяти SIM-карты;
- о присутствии при производстве экспертизы пользователя устройства с целью прохождения им биометрической идентификации.
Тушканова подробно не объяснила, кто и каким способом должен удовлетворять эти ходатайства. Она упомянула только допрос владельца телефона, а также некие «оперативный способ получения информации о пароле» и «оперативные комбинации». При этом последнее ходатайство выглядит самым опасным для тех, кто полагается на Face ID или аналогичные технологии в андроидах. Криминалист может просто поднести телефон к вашему лицу и разблокировать его.
В этой связи повторим несколько важных советов:
- Замените биометрию в телефоне на надежные пароли.
- Не раскрывайте никому свои пароли — это ваше конституционное право. Даже Верховный суд РФ с этим согласен.
Да, она была зафиксирована недавно. В декабре 2020 года волгоградские полицейские задержали мужчину в состоянии наркотического опьянения с восемью расфасованными пакетиками с запрещенным веществом и ложкой со следами земли. Его обвинили в покушении на незаконный сбыт наркотического средства в крупном размере, а потом осудили на 10 лет лишения свободы в колонии строгого режима.
При этом суды в качестве доказательства умысла мужчины на сбыт наркотиков указывали и на его отказ сообщить пароли от своих мобильных телефонов. Верховный суд РФ не согласился с такой интерпретацией и расценил этот отказ как законный способ защиты подсудимого от обвинения, сославшись на две статьи Конституции РФ:
Статья 45
2. Каждый вправе защищать свои права и свободы всеми способами, не запрещенными законом.
Статья 51
1. Никто не обязан свидетельствовать против себя самого, своего супруга и близких родственников, круг которых определяется федеральным законом.
В итоге в сентябре 2023 года Верховный суд РФ переквалифицировал действия мужчины на незаконное приобретение и хранение наркотического средства в крупном размере. И снизил ему наказание до трех лет лишения свободы с зачетом уже отбытого срока.
При обнаружении в телефоне пароля от почты криминалист не должен спешить все скачать сам
В своем докладе Ольга Тушканова также рассказала, как новые методические рекомендации решили вопрос, вызвавший ожесточенные споры ее коллег из Следственного комитета и МВД. Что делать криминалисту при обнаружении «в исследуемых объектах сведений для аутентификации на облачных сервисах и хранилищах»?
А что? Ну, мы же нашли [пароли] <…> Вот взяли, залезли в почту электронную, оттуда тоже скачали все что нужно. Залезли в облачное хранилище и оттуда тоже скачали все что нужно. Ну, было несколько здравых замечаний, что, с одной стороны, это, наверное, уже превышение наших полномочий <…> А с другой стороны, это еще дополнительно большой объем информации, который нужно переработать эксперту.
В итоге криминалистам фактически рекомендовали переложить ответственность на следователей. Нужно лишь незамедлительно сообщить им о таких находках. Чтобы уже они принимали решение об использовании обнаруженных паролей и скачивании дополнительных данных.
Как минимизировать риски от подобных действий силовиков?
- Пользуйтесь менеджерами паролей. Не храните логины и пароли в открытом виде (например, в текстовых файлах на телефоне или электронных таблицах на рабочем столе компьютера).
- Не пересылайте пароли в открытом виде в мессенджерах. Есть более надежные способы делиться ими. Например, Proton Pass позволяет сгенерировать ссылку для конкретной записи, ограничив время ее существования (от одного часа до 30 дней) и максимальное количество показов (вплоть до одного).
Для перебора паролей все используют одну и ту же программу с открытым исходным кодом
Это hashcat — мощный инструмент для подбора подходящего пароля. Он работает за счет перебора различных вариантов паролей и сравнения их хеш-сумм с заданной хеш-суммой, извлеченной из офисных документов, архивов или других зашифрованных данных. Hashcat предлагает разные методы подбора пароля — от атак по словарю до брутфорса с использованием масок и правил генерации паролей. Для ускорения перебора паролей hashcat использует вычислительные ядра видеокарт Nvidia или AMD.
Об использовании этого инструмента говорили многие участники конференции. Доклад Валерии Вахрушиной из «МКО Системы» был полностью посвящен модулю «МК Брутфорс». Это фактически надстройка — русскоязычный графический интерфейс к hashcat, интегрированный с другими продуктами компании.
Как противостоять этой угрозе?
- Вы можете проверить надежность своих паролей с помощью hashcat, скачав один из словарей с сайта weakpass.com.
- Используйте пасски вместо паролей везде, где это возможно. Этой технологии не страшен никакой брутфорс. На конференции никто даже не поднимал вопрос, как же работать с пасски криминалистам.
Как в Следственном комитете «взламывают» учетные записи в macOS
Предваряя выступление сотрудника Судебно-экспертного центра Следственного комитета РФ Андрея Шавловского, ведущий конференции пообещал развеять «миф о неприступности» устройств Apple.
Докладчик объяснил, что данные об учетных записях локальных пользователей в macOS хранятся всегда в одном и том же месте: /var/db/dslocal/nodes/Default/users/<username>.plist, где <username> — это имя пользователя. И в каждом таком файле хранится хеш-сумма и прочие параметры, необходимые для проверки пользовательского пароля. Если скормить эти данные тому же hashcat, то можно попытаться восстановить пароль.
И как бы можно получить результат, если, конечно, получится, осуществить доступ.
- Но, во-первых, проблема для криминалиста заключается в том, что эти файлы просто так не заполучить. Для этого нужно знать пароль от учетной записи с правами суперпользователя (root). То есть для компьютеров с одним пользователем, который не отключил шифрование, вся эта затея оказывается полностью бессмысленной.
- Во-вторых, эта схема вообще не работает на современных компьютерах Apple, использующих криптографические процессоры Secure Enclave.
Автор доклада, отвечая на вопросы участников конференции, признал обе проблемы:
Понятно, что если речь идет о зашифрованных дисках, то как бы если вы его расшифруете, то и пароль пользователя получите. Тут все логично. Вот. Ну если в данном случае шифрования нет, можно попытаться различными способами обеспечить доступ.
Есть определенные сложности, особенно если устройство современное. Соответственно, есть аппаратное шифрование, используется Security Enclave. И здесь, конечно, даже имея доступ, то есть без rootʼа, вы не сможете зайти, к сожалению, да.
Ломать «в лоб» современные андроиды тоже не получается
Вячеслав Чикин из компании ACELab рассказал о своих попытках ускорить подбор паролей для современных андроидов. Там используется криптографический алгоритм scrypt, который намеренно имеет очень высокие требования к объему оперативной памяти. Поэтому даже пароль из восьми символов, о котором мы ничего не знаем, кроме его длины, и потому будем перебирать брутфорсом на хорошем современном процессоре или видеокарте, продержится, по подсчетам эксперта, около десяти тысяч лет (!).
Денис Дмитриев
Фото на обложке: «МКО Системы»