Что раскрывает топовая российская конференция по цифровой криминалистике о способности страны взламывать iPhone и Android

Группа по правам человека «Мемориал» обнаружила доступное всем видео с 2025 года о Дне криминалистики в Москве, прошедшем в середине сентября в Российской столице. На мероприятии собрались эксперты по цифровой криминалистике со всей страны. Спикеры, включая представителей не только кибербезопасности, но и от Следственного комитета России, обсуждали последние инструменты для взлома устройств и онлайн-аккаунтов. После просмотра почти 10 часов материалов, Meduza подготовила наиболее значимые моменты. Основной вывод: ни один из докладов не раскрывал прорывных технологий для взлома компьютеров или смартфонов, но они дали представление о границах российской цифровой криминалистики.

Следственный комитет России не может приобрести технологию Cellebrite

Во время своего выступления Ольга Тушканова, руководитель отдела криминалистических исследований Главного управления судебной экспертизы Следственного комитета, случайно упомянула о том, что российские судебные эксперты не могут приобретать продукцию израильской компании Cellebrite. Аппаратные и программные средства компании для разблокировки iPhone и устройств на платформе Android известны во всем мире. Например, в июле 2024 года агенты ФБР использовали технологию Cellebrite, чтобы взломать телефон 20-летнего Томаса Мэтью Крукса, человека, открывшего огонь на Дональда Трампа на митинге в Пенсильвании, за 40 минут.

Наша единственная надежда это вы. Поддержите Meduza, пока не поздно.

«В общем, мы всегда сталкиваемся лицом к лицу с проблемой получения того, что мы хотим», – сказала Тушканова. «В идеале, нам бы хотелось, чтобы все было как по нотам. Многие программные продукты имеют схожие функции, но один имеет эту маленькую особенность, другой – ту. И мне хочется и то, и другое. Всегда сложно: вам выделяют фиксированную сумму денег на закупку, и все – вам надо уместить нужные функции в этот бюджет. И сложно объяснить почему сегодня я хочу ‘Мобильного криминалиста’, а завтра, ну… а если вернутся Cellebrite? Тогда я захочу Cellebrite. Все зависит от рынка и от доступности».

Cellebrite официально прекратила продажу своих продуктов и услуг в России в марте 2021 года. Однако, по информации Mediazona, после полномасштабного вторжения России в Украину, ФСБ использовала оборудование компании хотя бы один раз – для извлечения данных с телефона противовоенного активиста Дмитрия Иванова.

Принудительное биометрическое разблокирование становится стандартной практикой

Презентация Ольги Тушкановой была посвящена «Стандартной методологии экспертного анализа информации, содержащейся на мобильных устройствах и их компонентах», разработанной Следственным комитетом в 2025 году.

Одним из новых элементов, введенных в этих рекомендациях, является набор петиций, которые судебные эксперты могут подать следователям, включая запросы:
получить пароль для доступа к памяти мобильного устройства;получить PIN-код и/или PUK-код для доступа к данным на SIM-карте;иметь пользователя устройства присутствующего во время экспертизы в целях биометрической идентификации.

Тушканова не объяснила, кто несет ответственность за удовлетворение этих запросов или как они должны быть выполнены. Она лишь упомянула опрос владельца телефона, а также определенные «оперативные методы получения информации о паролях» и неуточненные «тактические маневры».

Особое беспокойство вызывает последний тип запроса для тех, кто полагается на технологии Face ID или аналогичные на Android: эксперт по криминалистике может просто приложить ваш телефон к вашему лицу, чтобы его разблокировать.

Государственный контроль над любимым мошенничеством России – Кремлевские предложенные «анти-мошеннические» законы означают меньше свобод, больше наблюдения и свободное разрешение на взлом своих врагов

Если эксперты по криминалистике находят пароль, им не стоит торопиться скачивать все самостоятельно

В своем выступлении Ольга Тушканова также объяснила, как новые рекомендации решают вопрос, который вызвал ожесточенные дискуссии среди ее коллег из Следственного комитета и Министерства внутренних дел: что делать судебному эксперту после обнаружения “аутентификационных данных для облачных сервисов и хранилищ” на аппарате в процессе экспертизы?

«Допустим, мы нашли [пароли]. Мы вошли в электронную почту и скачали все, что нам было нужно. Мы получили доступ к облачному хранилищу и скачали все оттуда тоже. Были несколько разумных возражений: с одной стороны, вероятно, это выходит за рамки наших полномочий […] и с другой стороны, это создает огромный дополнительный объем данных, с которыми эксперту затем придется работать».

В конечном итоге, судебным экспертам по сути посоветовали переложить ответственность на следователей. Им указано немедленно сообщать о таких находках, чтобы следователи могли решить, будут ли использовать обнаруженные пароли и загружать дополнительные данные.

Все используют одну и ту же программу с открытым исходным кодом для грубой силы взлома паролей

Этой программой является hashcat: мощный инструмент с открытым исходным кодом для восстановления паролей. Он выполняет атаки на пароли, используя различные методы, от словарных и масочных атак до генерации на основе правил, и ускоряет процесс с использованием графических процессоров вместо центральных процессоров.

Многие спикеры на конференции обсуждали этот инструмент. Презентация Валерии Вахрушиной для MKO Systems была полностью посвящена модулю “MK Bruteforce” – по сути оболочке для hashcat, добавляющей русскоязычный графический интерфейс пользователя, интегрированный с другими продуктами компании.

Шпионское ПО, используемое против журналистов – Миллионная репортерша. Как злоумышленники взломали телефон сооснователя Meduza Галины Тимченко, сделав ее первым российским журналистом, зараженным шпионским ПО Pegasus

Как Следственный комитет ‘взламывает’ учетные записи macOS

Представив Андрея Шавловского из Центра судебных экспертов Следственного комитета, ведущий конференции пообещал, что “миф о неуязвимости устройств Apple” будет развеян.

Шавловский пояснил, что локальные данные учетных записей пользователей в macOS всегда хранятся в одном месте: /var/db/dslocal/nodes/Default/users/<имя пользователя>.plist (где <имя пользователя> – имя учетной записи). Каждый файл содержит хеш и другие параметры, используемые для проверки пароля пользователя. Подавайте эти значения в инструмент, такой как hashcat, и можно попытаться восстановить пароль, но только если у вас есть доступ к файлам.

Он выделил две основные проблемы. Во-первых, эти файлы недоступны без пароля для учетной записи суперпользователя (root). На однопользовательских машинах с включенным шифрованием диска весь метод фактически бесполезен. Во-вторых, подход не работает на современных компьютерах Apple, использующих криптографический копроцессор – Secure Enclave.

Отвечая на вопросы аудитории, Шавловский признал обе ограничения:

Очевидно, если речь идет о зашифрованном диске, то если вы его расшифруете, вы получите пароль пользователя – это просто. Если шифрование диска отсутствует, можно попробовать различные способы доступа. Существуют определенные трудности, особенно с современными устройствами. Они используют аппаратное шифрование через Secure Enclave. И здесь, даже имея доступ, без root-пароля вы не сможете войти, к сожалению.

Грубая сила для современных Android не сработает

Вячеслав Чикин из ACELab описал свои эксперименты по ускорению взлома паролей на современных устройствах на платформе Android. Эти устройства используют функцию производства ключей scrypt, специально разработанную для требования больших объемов ОЗУ. В результате, Чикин оценивает, что даже восьмизначный пароль – когда вы знаете только его длину и поэтому должны перебирать его на высокопроизводительном ЦП или ГП – займет примерно 10 000 лет для взлома.