История Safari в «облаке»: удалить нельзя, извлечь — можно

https://blog.elcomsoft.com/ru/2017/02/istoriya-safari-v-oblake-udalit-nelzya-izvlech-mozhno/

Oleg Afonin

История браузера фактически отображает вашу жизнь. Поиск в Google, просмотры страниц, чтение блогов, общение в форумах и социальных сетях, веб-почта… Возможно, это чуть ли не самая интимная информация в сфере приватности. Мало кто хотел бы, чтобы его история оказалась в публичном доступе. В последние годы даже стало набирать силу течение, последователи которого шутят — «когда я умру, первым делом удалите мою историю браузера».

<div> <p style="margin:0 0 10pt;"><span style="font-family:Calibri;"><span style="color:black;" lang="RU">Увы</span><span style="color:black;">, </span><span style="color:black;" lang="RU">время</span><span style="color:black;" lang="RU"> </span><span style="color:black;" lang="RU">не</span><span style="color:black;" lang="RU"> </span><span style="color:black;" lang="RU">стоит</span><span style="color:black;" lang="RU"> </span><span style="color:black;" lang="RU">на</span><span style="color:black;" lang="RU"> </span><span style="color:black;" lang="RU">месте</span><span style="color:black;">. </span><span style="color:black;" lang="RU">Мы становимся старше, обзаводимся семьями, появляются дети. Короче, жизнь идет. Вместе с тем каждый из родителей беспокоится о своем ребенке. Ребенок растет и хочет самостоятельно работать за компьютером, посещать Интернет. Безопасно ли это? Безусловно, нет. Должны ли мы ограничить его общение и постараться обеспечить его безопасность? Кто‐то скажет – да, кто‐то нет. Я считаю что должны. Особенно в первое время. Ведь ребенок еще много чего не понимает. Безусловно, мы с вами должны строить отношения с детьми на доверии. Однако доверяй, но проверяй, верно? </span><span style="color:#000000;">В наше время давно, увы, не секрет, что дети работают с компьютером куда охотнее и правильнее чем родители, т.е. имеют гораздо больше знаний. А вместе с тем все мы прекрасно понимаем, что наши дети нуждаются в ограничении свободного доступа к ПК и тем более к Интернет.</span></span></p> <p style="margin:0 0 10pt;"><span style="font-family:Calibri;"><span style="color:#000000;"><!--more--></span></span></p> <p style="margin:0 0 10pt;"><span style="color:#000000;"><span style="font-family:Calibri;">Как быть? Не ограничивать? Пустить на самотек? Не выход. Ограничивать? Чем? Что именно ограничивать? В последнее время эти вопросы все чаще и чаще задают себе читатели. Приведу следующую статистику. Ко мне на блог около 20% посетителей заходят по вопросам, связанным с родительским контролем (правда почти половина из них с вопросом как его снять</span><span style="font-family:Wingdings;" lang="RU">J</span><span style="font-family:Calibri;">). Вот поэтому мы и поговорим в данной статье именно о вопросах родительского контроля. </span></span></p> <p style="margin:0 0 10pt;"><span style="font-family:Calibri;"><span style="color:#000000;">Сегодня уже достаточно редко можно встретить серьезный комплексный антивирусный продукт, не включающий средства «Родительского контроля». Понятно, что далеко не все они работают с одинаковой эффективностью. И здесь стоит понимать, что англоязычные продукты, показавшие высокую эффективность на западном рынке, могут быть совершенно не эффективны на русскоязычном. Думаю понятно почему. Ведь в данном случае придется фильтровать интернет-страницы именно на русском. И если в случае с показом порнографии все более-менее однозначно, то вот с фильтрацией по признаку «Наркотики», «Оружие» все будет отнюдь не так просто. </span></span></p> <p style="margin:0 0 10pt;"><span style="font-family:Calibri;"><span style="color:#000000;">Описать все средства родительского контроля  и эффективность всех возможных фильтров в одной статье – просто не реально. Поэтому остановимся на некоторых продуктах и всего лишь одном из возможных ограничений.</span></span></p> <p style="margin:0 0 10pt;"><span style="font-family:Calibri;"><span style="color:#000000;">В данной статье мы с вами попробуем сравнить эффективность блокирования страниц, относящихся к теме «Наркотики», следующими продуктами:</span></span></p> <p style="text-indent:-18pt;margin:0 0 0 36pt;"><span style="color:#000000;"><span style="font-family:Symbol;">·<span style="font:7pt 'Times New Roman';">         </span></span><span style="font-family:Calibri;">G Data InternetSecurity 2010 (</span></span><a href="http://ru.gdatasoftware.com/"><span style="text-decoration:underline;"><span style="font-family:Calibri;color:#800080;">http://ru.gdatasoftware.com/</span></span></a><span style="font-family:Calibri;"><span style="color:#000000;"> компания G Data )</span></span></p> <p style="text-indent:-18pt;margin:0 0 0 36pt;"><span style="color:#000000;"><span style="font-family:Symbol;" lang="RU">·<span style="font:7pt 'Times New Roman';">         </span></span><span style="font-family:Calibri;">Фильтр «Семейная безопасность» Windows Live (Microsoft)</span></span></p> <p style="text-indent:-18pt;margin:0 0 0 36pt;"><span style="color:#000000;"><span style="font-family:Symbol;">·<span style="font:7pt 'Times New Roman';">         </span></span><span style="font-family:Calibri;">Фильтр «Family Safety» Windows Live 4 (beta Microsoft) </span></span></p> <p style="text-indent:-18pt;margin:0 0 0 36pt;"><span style="color:#000000;"><span style="font-family:Symbol;">·<span style="font:7pt 'Times New Roman';">         </span></span><span style="font-family:Calibri;">Kaspersky Internet Security 2010 (Лаборатория Касперского)</span></span></p> <p style="text-indent:-18pt;margin:0 0 0 36pt;"><span style="color:#000000;"><span style="font-family:Symbol;">·<span style="font:7pt 'Times New Roman';">         </span></span><span style="font-family:Calibri;">Kaspersky Internet Security 2011 (beta Лаборатория Касперского)</span></span></p> <p style="text-indent:-18pt;margin:0 0 0 36pt;"><span style="color:#000000;"><span style="font-family:Symbol;">·<span style="font:7pt 'Times New Roman';">         </span></span><span style="font-family:Calibri;">Kaspersky CRYSTAL (Лаборатория Касперского)</span></span></p> <p style="text-indent:-18pt;margin:0 0 0 36pt;"><span style="color:#000000;"><span style="font-family:Symbol;">·<span style="font:7pt 'Times New Roman';">         </span></span><span style="font-family:Calibri;">Dr.Web Security Space Pro (Dr.Web)</span></span></p> <p style="text-indent:-18pt;margin:0 0 10pt 36pt;"><span style="color:#000000;"><span style="font-family:Symbol;">·<span style="font:7pt 'Times New Roman';">         </span></span><span style="font-family:Calibri;">Trend Micro Internet Security 2010 Pro (Trend Micro)</span></span></p> <p style="margin:0 0 10pt;"><span style="color:#000000;"><span style="font-family:Calibri;">Тест проводился на компьютере под управлением Windows 7 Максимальная (x86). Тест проводился с помощью браузера Internet Explorer 8.0.</span></span></p> <p style="margin:0 0 10pt;"><span style="font-family:Calibri;color:#000000;">В ходе теста в </span><a href="http://www.bing.com/"><span style="text-decoration:underline;"><span style="font-family:Calibri;color:#0000ff;">www.bing.com</span></span></a><span style="font-family:Calibri;color:#000000;"> и </span><a href="http://www.google.com/"><span style="text-decoration:underline;"><span style="font-family:Calibri;color:#0000ff;">www.google.com</span></span></a><span style="color:#000000;"><span style="font-family:Calibri;"> был проведен поиск строки «изготовление наркотиков». Были отобраны записи с 1 по 10-ю и с 40 по 50-ю.</span></span></p> <p style="margin:0 0 10pt;"><span style="color:#000000;"><span style="font-family:Calibri;">Далее на чистую систему по очереди устанавливались по очереди соответствующие продукты (после установки очередного продукта система восстанавливалась из образа с помощью встроенных средств).</span></span></p> <p style="margin:0 0 10pt;"><span style="color:#000000;"><span style="font-family:Calibri;">Все настройки «Родительского контроля» были установлены «по умолчанию». </span></span></p> <table style="width:218pt;border-collapse:collapse;" border="1" cellspacing="0" cellpadding="0" width="291"> <tbody> <tr style="height:15pt;"> <td style="background-color:transparent;width:162pt;height:15pt;border:windowtext 1pt solid;padding:0 5.4pt;" width="216" valign="top"> <p style="line-height:normal;margin:0;"><span style="color:black;" lang="RU"><span style="font-family:Calibri;">Наименование ПО</span></span></p> </td> <td style="border-bottom:windowtext 1pt solid;border-left:#f0f0f0;background-color:transparent;width:56pt;height:15pt;border-top:windowtext 1pt solid;border-right:windowtext 1pt solid;padding:0 5.4pt;" width="75" valign="top"> <p style="text-align:right;line-height:normal;margin:0;"><span style="color:black;" lang="RU"><span style="font-family:Calibri;">Блокировано</span></span></p> </td> </tr> <tr style="height:15pt;"> <td style="border-bottom:windowtext 1pt solid;border-left:windowtext 1pt solid;background-color:transparent;width:162pt;height:15pt;border-top:#f0f0f0;border-right:windowtext 1pt solid;padding:0 5.4pt;" width="216" valign="top"> <p style="line-height:normal;margin:0;"><span style="color:black;"><span style="font-family:Calibri;">G Data InternetSecurity 2010</span></span></p> </td> <td style="border-bottom:windowtext 1pt solid;border-left:#f0f0f0;background-color:transparent;width:56pt;height:15pt;border-top:#f0f0f0;border-right:windowtext 1pt solid;padding:0 5.4pt;" width="75" valign="top"> <p style="text-align:right;line-height:normal;margin:0;"><span style="color:black;"><span style="font-family:Calibri;">14,29%</span></span></p> </td> </tr> <tr style="height:15pt;"> <td style="border-bottom:windowtext 1pt solid;border-left:windowtext 1pt solid;background-color:transparent;width:162pt;height:15pt;border-top:#f0f0f0;border-right:windowtext 1pt solid;padding:0 5.4pt;" width="216" valign="top"> <p style="line-height:normal;margin:0;"><span style="color:black;"><span style="font-family:Calibri;">Windows Live</span></span></p> </td> <td style="border-bottom:windowtext 1pt solid;border-left:#f0f0f0;background-color:transparent;width:56pt;height:15pt;border-top:#f0f0f0;border-right:windowtext 1pt solid;padding:0 5.4pt;" width="75" valign="top"> <p style="text-align:right;line-height:normal;margin:0;"><span style="color:black;"><span style="font-family:Calibri;">11,90%</span></span></p> </td> </tr> <tr style="height:15pt;"> <td style="border-bottom:windowtext 1pt solid;border-left:windowtext 1pt solid;background-color:transparent;width:162pt;height:15pt;border-top:#f0f0f0;border-right:windowtext 1pt solid;padding:0 5.4pt;" width="216" valign="top"> <p style="line-height:normal;margin:0;"><span style="color:black;"><span style="font-family:Calibri;">Windows Live Beta</span></span></p> </td> <td style="border-bottom:windowtext 1pt solid;border-left:#f0f0f0;background-color:transparent;width:56pt;height:15pt;border-top:#f0f0f0;border-right:windowtext 1pt solid;padding:0 5.4pt;" width="75" valign="top"> <p style="text-align:right;line-height:normal;margin:0;"><span style="color:black;"><span style="font-family:Calibri;">11,90%</span></span></p> </td> </tr> <tr style="height:15pt;"> <td style="border-bottom:windowtext 1pt solid;border-left:windowtext 1pt solid;background-color:transparent;width:162pt;height:15pt;border-top:#f0f0f0;border-right:windowtext 1pt solid;padding:0 5.4pt;" width="216" valign="top"> <p style="line-height:normal;margin:0;"><span style="color:black;"><span style="font-family:Calibri;">KIS 2010</span></span></p> </td> <td style="border-bottom:windowtext 1pt solid;border-left:#f0f0f0;background-color:transparent;width:56pt;height:15pt;border-top:#f0f0f0;border-right:windowtext 1pt solid;padding:0 5.4pt;" width="75" valign="top"> <p style="text-align:right;line-height:normal;margin:0;"><span style="color:black;"><span style="font-family:Calibri;">38,10%</span></span></p> </td> </tr> <tr style="height:15pt;"> <td style="border-bottom:windowtext 1pt solid;border-left:windowtext 1pt solid;background-color:transparent;width:162pt;height:15pt;border-top:#f0f0f0;border-right:windowtext 1pt solid;padding:0 5.4pt;" width="216" valign="top"> <p style="line-height:normal;margin:0;"><span style="color:black;"><span style="font-family:Calibri;">KIS 2011</span></span></p> </td> <td style="border-bottom:windowtext 1pt solid;border-left:#f0f0f0;background-color:transparent;width:56pt;height:15pt;border-top:#f0f0f0;border-right:windowtext 1pt solid;padding:0 5.4pt;" width="75" valign="top"> <p style="text-align:right;line-height:normal;margin:0;"><span style="color:black;"><span style="font-family:Calibri;">35,71%</span></span></p> </td> </tr> <tr style="height:15pt;"> <td style="border-bottom:windowtext 1pt solid;border-left:windowtext 1pt solid;background-color:transparent;width:162pt;height:15pt;border-top:#f0f0f0;border-right:windowtext 1pt solid;padding:0 5.4pt;" width="216" valign="top"> <p style="line-height:normal;margin:0;"><span style="color:black;"><span style="font-family:Calibri;">Kaspersky CRYSTAL</span></span></p> </td> <td style="border-bottom:windowtext 1pt solid;border-left:#f0f0f0;background-color:transparent;width:56pt;height:15pt;border-top:#f0f0f0;border-right:windowtext 1pt solid;padding:0 5.4pt;" width="75" valign="top"> <p style="text-align:right;line-height:normal;margin:0;"><span style="color:black;"><span style="font-family:Calibri;">47,62%</span></span></p> </td> </tr> <tr style="height:15pt;"> <td style="border-bottom:windowtext 1pt solid;border-left:windowtext 1pt solid;background-color:transparent;width:162pt;height:15pt;border-top:#f0f0f0;border-right:windowtext 1pt solid;padding:0 5.4pt;" width="216" valign="top"> <p style="line-height:normal;margin:0;"><span style="color:black;"><span style="font-family:Calibri;">Trend Micro Internet Security Pro</span></span></p> </td> <td style="border-bottom:windowtext 1pt solid;border-left:#f0f0f0;background-color:transparent;width:56pt;height:15pt;border-top:#f0f0f0;border-right:windowtext 1pt solid;padding:0 5.4pt;" width="75" valign="top"> <p style="text-align:right;line-height:normal;margin:0;"><span style="color:black;"><span style="font-family:Calibri;">9,52%</span></span></p> </td> </tr> <tr style="height:15pt;"> <td style="border-bottom:windowtext 1pt solid;border-left:windowtext 1pt solid;background-color:transparent;width:162pt;height:15pt;border-top:#f0f0f0;border-right:windowtext 1pt solid;padding:0 5.4pt;" width="216" valign="top"> <p style="line-height:normal;margin:0;"><span style="color:black;"><span style="font-family:Calibri;">Dr.Web Security Space Pro</span></span></p> </td> <td style="border-bottom:windowtext 1pt solid;border-left:#f0f0f0;background-color:transparent;width:56pt;height:15pt;border-top:#f0f0f0;border-right:windowtext 1pt solid;padding:0 5.4pt;" width="75" valign="top"> <p style="text-align:right;line-height:normal;margin:0;"><span style="color:black;"><span style="font-family:Calibri;">23,81%</span></span></p> </td> </tr> </tbody> </table> <p> </p> </div> </div> " data-medium-file="" data-large-file="" class="size-full wp-image-100 aligncenter" src="https://blog.elcomsoft.com/ru/wp-content/uploads/2017/02/delete_bracelet.jpg" alt="" width="240" height="200" />

Как часто бывает, в этой шутке лишь доля шутки. Проблема в том, что, как выяснилось, удалить историю, что называется, «с концами» оказывается очень тяжело, если вообще возможно. Удалили историю Safari? Последние записи больше не мозолят глаза? Но вовсе не факт, что история действительно удалилась. Напротив, данные аккуратно сохраняются в «облаке», а ваш акт «удаления» истории всего лишь скрывает записи. Но всё, что не уничтожено окончательно, может быть извлечено. Так случилось и с историей браузера.

В последние годы Apple активно развивает «облачные» сервисы на основе iCloud. «Облачные» резервные копии, «облачные» фотографии, режим Continuity, синхронизация истории звонков, контактов и множества других данных между устройствами, привязанными к учётной записи пользователя – лишь некоторые вещи, которые делаются через iCloud.

Через «облако» синхронизируется и история посещений пользователя в браузере Safari. Информация о сайтах и страницах, которые открывал пользователь, автоматически передаётся на серверы Apple, с которых она попадает на другие устройства пользователя, привязанные к той же учётной записи.

Историю посещений браузера Safari можно удалить как целиком, так и в виде отдельных записей. Удалённые записи исправно исчезают и с синхронизированных устройств. Если попробовать сбросить устройство, а потом восстановить его из «облака» – на нём окажутся только те записи, которые не были удалены (а из актуальных – только за последние 30 дней).

Исследователям из лаборатории «Элкомсофт» удалось выяснить, что «удалённые» пользователем записи истории браузера Safari на самом деле не удаляются из «облака», и остаются в iCloud в течение длительного времени. На основе этих данных мы обновили продукт Elcomsoft Phone Breaker до версии 6.40. Теперь с помощью Elcomsoft Phone Breaker можно извлечь не только те записи истории посещений Safari, которые видны пользователю на устройствах или в «облаке» iCloud, но и записи, которые пользователь удалил. Нам удалось восстановить записи, которые были удалены более года назад. Извлекаются как сами удалённые записи, так и информация о дате и времени последнего посещения ссылки, а также дате и времени её удаления.

Практическое значение

Практический смысл извлечения синхронизированных данных с точки зрения экспертов-криминалистов в оперативном получении информации о пользователе. В отличие от «облачных» резервных копий, которые обновляются ежесуточно, синхронизированные данные попадают в «облако» с минимальной задержкой – практически в режиме реального времени.

Исследование удалённых записей истории браузера Safari может помочь в расследовании при сборе доказательной базы.

Сторонние инструменты и продукты

Сторонние инструменты для извлечения синхронизированных данных Safari из «облака» существуют, однако их возможности сильно ограничены. Некоторые продукты представляются устройствами под управлением iOS, и получают из «облака» только действительные записи. Другие продукты работают через веб-интерфейс и также получают очень ограниченное количество информации.

В настоящий момент Elcomsoft Phone Breaker 6.40 – единственный продукт, способный извлечь полную историю посещений пользователя из iCloud, включая удалённые записи. Могут быть извлечены и очень старые записи, удалённые более года назад.

Как извлечь историю браузера Safari из «облака» iCloud

Информация из «облака» извлекается через механизм синхронизации данных, работающий в режиме реального времени. Для доступа к iCloud потребуется аутентификация (Apple ID и пароль либо маркер аутентификации, извлечённый из компьютера пользователя). При использовании маркера аутентификации в использовании пароля нет необходимости; кроме того, обходится и дополнительная защита механизмом двухфакторной аутентификации (в результате чего пользователю не поступает предупреждение о том, что к его учётной записи получен доступ с нового устройства).

Для извлечения удалённой истории Safari воспользуйтесь Elcomsoft Phone Breaker 6.40, а для её просмотра — Elcomsoft Phone Viewer 2.25 (или более новыми версиями).

  • Запустите Elcomsoft Phone Breaker 6.40 или более новую версию
  • Нажмите “Download Synced Data from iCloud” и убедитесь, что данные «Safari» отмечены:

  • Авторизуйтесь в учётной записи пользователя с помощью логина и пароля Apple ID либо с помощью двоичного маркера аутентификации (его можно извлечь с компьютера пользователя с помощью Elcomsoft Phone Breaker)
  • Подождите, пока данные скачаются из «облака»

Для просмотра удалённой истории Safari данных воспользуйтесь Elcomsoft Phone Viewer 3.25 или более новой:

  • Запустите Elcomsoft Phone Viewer
  • Откройте скачанные данные и нажмите «Web»

  • Будет показана история сайтов, которые посетил пользователь

  • С помощью фильтра (значок воронки в левой верхней части программы) выберите режим просмотра полной истории браузера, только актуальных или только удалённых записей.

Внимание: Извлекаются как ссылки на веб-узлы, так и информация о дате и времени последнего посещения ссылки, а также дате и времени удаления записи из истории браузера. Для максимально полного исследования всей истории посещений пользователя используйте просмотр всего набора данных.

Где взять пароль

Для извлечения синхронизированных данных и «облачных» резервных копий из iCloud требуется авторизация в учётной записи пользователя. Авторизацию можно осуществить как с помощью логина и пароля, так и посредством двоичного маркера аутентификации. Авторизация с помощью маркера имеет некоторые преимущества:

  • Обходится защита с помощью двухфакторной аутентификации
  • Пользователь не получает предупреждения о входе в его учётную запись

Извлечь маркер аутентификации можно с компьютера пользователя, если на нём было установлено приложение iCloud Control Panel и пользователь включил синхронизацию с «облаком» iCloud. Маркер можно извлечь с помощью инструментария, встроенного в Elcomsoft Phone Breaker.

История браузера фактически отображает вашу жизнь. Поиск в Google, просмотры страниц, чтение блогов, общение в форумах и социальных сетях, веб-почта… Возможно, это чуть ли не самая интимная информация в сфере приватности. Мало кто хотел бы, чтобы его история оказалась в публичном доступе. В последние годы даже стало набирать силу течение, последователи которого шутят — «когда я умру, первым делом удалите мою историю браузера».

<div> <p style="margin:0 0 10pt;"><span style="font-family:Calibri;"><span style="color:black;" lang="RU">Увы</span><span style="color:black;">, </span><span style="color:black;" lang="RU">время</span><span style="color:black;" lang="RU"> </span><span style="color:black;" lang="RU">не</span><span style="color:black;" lang="RU"> </span><span style="color:black;" lang="RU">стоит</span><span style="color:black;" lang="RU"> </span><span style="color:black;" lang="RU">на</span><span style="color:black;" lang="RU"> </span><span style="color:black;" lang="RU">месте</span><span style="color:black;">. </span><span style="color:black;" lang="RU">Мы становимся старше, обзаводимся семьями, появляются дети. Короче, жизнь идет. Вместе с тем каждый из родителей беспокоится о своем ребенке. Ребенок растет и хочет самостоятельно работать за компьютером, посещать Интернет. Безопасно ли это? Безусловно, нет. Должны ли мы ограничить его общение и постараться обеспечить его безопасность? Кто‐то скажет – да, кто‐то нет. Я считаю что должны. Особенно в первое время. Ведь ребенок еще много чего не понимает. Безусловно, мы с вами должны строить отношения с детьми на доверии. Однако доверяй, но проверяй, верно? </span><span style="color:#000000;">В наше время давно, увы, не секрет, что дети работают с компьютером куда охотнее и правильнее чем родители, т.е. имеют гораздо больше знаний. А вместе с тем все мы прекрасно понимаем, что наши дети нуждаются в ограничении свободного доступа к ПК и тем более к Интернет.</span></span></p> <p style="margin:0 0 10pt;"><span style="font-family:Calibri;"><span style="color:#000000;"><!--more--></span></span></p> <p style="margin:0 0 10pt;"><span style="color:#000000;"><span style="font-family:Calibri;">Как быть? Не ограничивать? Пустить на самотек? Не выход. Ограничивать? Чем? Что именно ограничивать? В последнее время эти вопросы все чаще и чаще задают себе читатели. Приведу следующую статистику. Ко мне на блог около 20% посетителей заходят по вопросам, связанным с родительским контролем (правда почти половина из них с вопросом как его снять</span><span style="font-family:Wingdings;" lang="RU">J</span><span style="font-family:Calibri;">). Вот поэтому мы и поговорим в данной статье именно о вопросах родительского контроля. </span></span></p> <p style="margin:0 0 10pt;"><span style="font-family:Calibri;"><span style="color:#000000;">Сегодня уже достаточно редко можно встретить серьезный комплексный антивирусный продукт, не включающий средства «Родительского контроля». Понятно, что далеко не все они работают с одинаковой эффективностью. И здесь стоит понимать, что англоязычные продукты, показавшие высокую эффективность на западном рынке, могут быть совершенно не эффективны на русскоязычном. Думаю понятно почему. Ведь в данном случае придется фильтровать интернет-страницы именно на русском. И если в случае с показом порнографии все более-менее однозначно, то вот с фильтрацией по признаку «Наркотики», «Оружие» все будет отнюдь не так просто. </span></span></p> <p style="margin:0 0 10pt;"><span style="font-family:Calibri;"><span style="color:#000000;">Описать все средства родительского контроля  и эффективность всех возможных фильтров в одной статье – просто не реально. Поэтому остановимся на некоторых продуктах и всего лишь одном из возможных ограничений.</span></span></p> <p style="margin:0 0 10pt;"><span style="font-family:Calibri;"><span style="color:#000000;">В данной статье мы с вами попробуем сравнить эффективность блокирования страниц, относящихся к теме «Наркотики», следующими продуктами:</span></span></p> <p style="text-indent:-18pt;margin:0 0 0 36pt;"><span style="color:#000000;"><span style="font-family:Symbol;">·<span style="font:7pt 'Times New Roman';">         </span></span><span style="font-family:Calibri;">G Data InternetSecurity 2010 (</span></span><a href="http://ru.gdatasoftware.com/"><span style="text-decoration:underline;"><span style="font-family:Calibri;color:#800080;">http://ru.gdatasoftware.com/</span></span></a><span style="font-family:Calibri;"><span style="color:#000000;"> компания G Data )</span></span></p> <p style="text-indent:-18pt;margin:0 0 0 36pt;"><span style="color:#000000;"><span style="font-family:Symbol;" lang="RU">·<span style="font:7pt 'Times New Roman';">         </span></span><span style="font-family:Calibri;">Фильтр «Семейная безопасность» Windows Live (Microsoft)</span></span></p> <p style="text-indent:-18pt;margin:0 0 0 36pt;"><span style="color:#000000;"><span style="font-family:Symbol;">·<span style="font:7pt 'Times New Roman';">         </span></span><span style="font-family:Calibri;">Фильтр «Family Safety» Windows Live 4 (beta Microsoft) </span></span></p> <p style="text-indent:-18pt;margin:0 0 0 36pt;"><span style="color:#000000;"><span style="font-family:Symbol;">·<span style="font:7pt 'Times New Roman';">         </span></span><span style="font-family:Calibri;">Kaspersky Internet Security 2010 (Лаборатория Касперского)</span></span></p> <p style="text-indent:-18pt;margin:0 0 0 36pt;"><span style="color:#000000;"><span style="font-family:Symbol;">·<span style="font:7pt 'Times New Roman';">         </span></span><span style="font-family:Calibri;">Kaspersky Internet Security 2011 (beta Лаборатория Касперского)</span></span></p> <p style="text-indent:-18pt;margin:0 0 0 36pt;"><span style="color:#000000;"><span style="font-family:Symbol;">·<span style="font:7pt 'Times New Roman';">         </span></span><span style="font-family:Calibri;">Kaspersky CRYSTAL (Лаборатория Касперского)</span></span></p> <p style="text-indent:-18pt;margin:0 0 0 36pt;"><span style="color:#000000;"><span style="font-family:Symbol;">·<span style="font:7pt 'Times New Roman';">         </span></span><span style="font-family:Calibri;">Dr.Web Security Space Pro (Dr.Web)</span></span></p> <p style="text-indent:-18pt;margin:0 0 10pt 36pt;"><span style="color:#000000;"><span style="font-family:Symbol;">·<span style="font:7pt 'Times New Roman';">         </span></span><span style="font-family:Calibri;">Trend Micro Internet Security 2010 Pro (Trend Micro)</span></span></p> <p style="margin:0 0 10pt;"><span style="color:#000000;"><span style="font-family:Calibri;">Тест проводился на компьютере под управлением Windows 7 Максимальная (x86). Тест проводился с помощью браузера Internet Explorer 8.0.</span></span></p> <p style="margin:0 0 10pt;"><span style="font-family:Calibri;color:#000000;">В ходе теста в </span><a href="http://www.bing.com/"><span style="text-decoration:underline;"><span style="font-family:Calibri;color:#0000ff;">www.bing.com</span></span></a><span style="font-family:Calibri;color:#000000;"> и </span><a href="http://www.google.com/"><span style="text-decoration:underline;"><span style="font-family:Calibri;color:#0000ff;">www.google.com</span></span></a><span style="color:#000000;"><span style="font-family:Calibri;"> был проведен поиск строки «изготовление наркотиков». Были отобраны записи с 1 по 10-ю и с 40 по 50-ю.</span></span></p> <p style="margin:0 0 10pt;"><span style="color:#000000;"><span style="font-family:Calibri;">Далее на чистую систему по очереди устанавливались по очереди соответствующие продукты (после установки очередного продукта система восстанавливалась из образа с помощью встроенных средств).</span></span></p> <p style="margin:0 0 10pt;"><span style="color:#000000;"><span style="font-family:Calibri;">Все настройки «Родительского контроля» были установлены «по умолчанию». </span></span></p> <table style="width:218pt;border-collapse:collapse;" border="1" cellspacing="0" cellpadding="0" width="291"> <tbody> <tr style="height:15pt;"> <td style="background-color:transparent;width:162pt;height:15pt;border:windowtext 1pt solid;padding:0 5.4pt;" width="216" valign="top"> <p style="line-height:normal;margin:0;"><span style="color:black;" lang="RU"><span style="font-family:Calibri;">Наименование ПО</span></span></p> </td> <td style="border-bottom:windowtext 1pt solid;border-left:#f0f0f0;background-color:transparent;width:56pt;height:15pt;border-top:windowtext 1pt solid;border-right:windowtext 1pt solid;padding:0 5.4pt;" width="75" valign="top"> <p style="text-align:right;line-height:normal;margin:0;"><span style="color:black;" lang="RU"><span style="font-family:Calibri;">Блокировано</span></span></p> </td> </tr> <tr style="height:15pt;"> <td style="border-bottom:windowtext 1pt solid;border-left:windowtext 1pt solid;background-color:transparent;width:162pt;height:15pt;border-top:#f0f0f0;border-right:windowtext 1pt solid;padding:0 5.4pt;" width="216" valign="top"> <p style="line-height:normal;margin:0;"><span style="color:black;"><span style="font-family:Calibri;">G Data InternetSecurity 2010</span></span></p> </td> <td style="border-bottom:windowtext 1pt solid;border-left:#f0f0f0;background-color:transparent;width:56pt;height:15pt;border-top:#f0f0f0;border-right:windowtext 1pt solid;padding:0 5.4pt;" width="75" valign="top"> <p style="text-align:right;line-height:normal;margin:0;"><span style="color:black;"><span style="font-family:Calibri;">14,29%</span></span></p> </td> </tr> <tr style="height:15pt;"> <td style="border-bottom:windowtext 1pt solid;border-left:windowtext 1pt solid;background-color:transparent;width:162pt;height:15pt;border-top:#f0f0f0;border-right:windowtext 1pt solid;padding:0 5.4pt;" width="216" valign="top"> <p style="line-height:normal;margin:0;"><span style="color:black;"><span style="font-family:Calibri;">Windows Live</span></span></p> </td> <td style="border-bottom:windowtext 1pt solid;border-left:#f0f0f0;background-color:transparent;width:56pt;height:15pt;border-top:#f0f0f0;border-right:windowtext 1pt solid;padding:0 5.4pt;" width="75" valign="top"> <p style="text-align:right;line-height:normal;margin:0;"><span style="color:black;"><span style="font-family:Calibri;">11,90%</span></span></p> </td> </tr> <tr style="height:15pt;"> <td style="border-bottom:windowtext 1pt solid;border-left:windowtext 1pt solid;background-color:transparent;width:162pt;height:15pt;border-top:#f0f0f0;border-right:windowtext 1pt solid;padding:0 5.4pt;" width="216" valign="top"> <p style="line-height:normal;margin:0;"><span style="color:black;"><span style="font-family:Calibri;">Windows Live Beta</span></span></p> </td> <td style="border-bottom:windowtext 1pt solid;border-left:#f0f0f0;background-color:transparent;width:56pt;height:15pt;border-top:#f0f0f0;border-right:windowtext 1pt solid;padding:0 5.4pt;" width="75" valign="top"> <p style="text-align:right;line-height:normal;margin:0;"><span style="color:black;"><span style="font-family:Calibri;">11,90%</span></span></p> </td> </tr> <tr style="height:15pt;"> <td style="border-bottom:windowtext 1pt solid;border-left:windowtext 1pt solid;background-color:transparent;width:162pt;height:15pt;border-top:#f0f0f0;border-right:windowtext 1pt solid;padding:0 5.4pt;" width="216" valign="top"> <p style="line-height:normal;margin:0;"><span style="color:black;"><span style="font-family:Calibri;">KIS 2010</span></span></p> </td> <td style="border-bottom:windowtext 1pt solid;border-left:#f0f0f0;background-color:transparent;width:56pt;height:15pt;border-top:#f0f0f0;border-right:windowtext 1pt solid;padding:0 5.4pt;" width="75" valign="top"> <p style="text-align:right;line-height:normal;margin:0;"><span style="color:black;"><span style="font-family:Calibri;">38,10%</span></span></p> </td> </tr> <tr style="height:15pt;"> <td style="border-bottom:windowtext 1pt solid;border-left:windowtext 1pt solid;background-color:transparent;width:162pt;height:15pt;border-top:#f0f0f0;border-right:windowtext 1pt solid;padding:0 5.4pt;" width="216" valign="top"> <p style="line-height:normal;margin:0;"><span style="color:black;"><span style="font-family:Calibri;">KIS 2011</span></span></p> </td> <td style="border-bottom:windowtext 1pt solid;border-left:#f0f0f0;background-color:transparent;width:56pt;height:15pt;border-top:#f0f0f0;border-right:windowtext 1pt solid;padding:0 5.4pt;" width="75" valign="top"> <p style="text-align:right;line-height:normal;margin:0;"><span style="color:black;"><span style="font-family:Calibri;">35,71%</span></span></p> </td> </tr> <tr style="height:15pt;"> <td style="border-bottom:windowtext 1pt solid;border-left:windowtext 1pt solid;background-color:transparent;width:162pt;height:15pt;border-top:#f0f0f0;border-right:windowtext 1pt solid;padding:0 5.4pt;" width="216" valign="top"> <p style="line-height:normal;margin:0;"><span style="color:black;"><span style="font-family:Calibri;">Kaspersky CRYSTAL</span></span></p> </td> <td style="border-bottom:windowtext 1pt solid;border-left:#f0f0f0;background-color:transparent;width:56pt;height:15pt;border-top:#f0f0f0;border-right:windowtext 1pt solid;padding:0 5.4pt;" width="75" valign="top"> <p style="text-align:right;line-height:normal;margin:0;"><span style="color:black;"><span style="font-family:Calibri;">47,62%</span></span></p> </td> </tr> <tr style="height:15pt;"> <td style="border-bottom:windowtext 1pt solid;border-left:windowtext 1pt solid;background-color:transparent;width:162pt;height:15pt;border-top:#f0f0f0;border-right:windowtext 1pt solid;padding:0 5.4pt;" width="216" valign="top"> <p style="line-height:normal;margin:0;"><span style="color:black;"><span style="font-family:Calibri;">Trend Micro Internet Security Pro</span></span></p> </td> <td style="border-bottom:windowtext 1pt solid;border-left:#f0f0f0;background-color:transparent;width:56pt;height:15pt;border-top:#f0f0f0;border-right:windowtext 1pt solid;padding:0 5.4pt;" width="75" valign="top"> <p style="text-align:right;line-height:normal;margin:0;"><span style="color:black;"><span style="font-family:Calibri;">9,52%</span></span></p> </td> </tr> <tr style="height:15pt;"> <td style="border-bottom:windowtext 1pt solid;border-left:windowtext 1pt solid;background-color:transparent;width:162pt;height:15pt;border-top:#f0f0f0;border-right:windowtext 1pt solid;padding:0 5.4pt;" width="216" valign="top"> <p style="line-height:normal;margin:0;"><span style="color:black;"><span style="font-family:Calibri;">Dr.Web Security Space Pro</span></span></p> </td> <td style="border-bottom:windowtext 1pt solid;border-left:#f0f0f0;background-color:transparent;width:56pt;height:15pt;border-top:#f0f0f0;border-right:windowtext 1pt solid;padding:0 5.4pt;" width="75" valign="top"> <p style="text-align:right;line-height:normal;margin:0;"><span style="color:black;"><span style="font-family:Calibri;">23,81%</span></span></p> </td> </tr> </tbody> </table> <p> </p> </div> </div> " data-medium-file="" data-large-file="" class="size-full wp-image-100 aligncenter" src="https://blog.elcomsoft.com/ru/wp-content/uploads/2017/02/delete_bracelet.jpg" alt="" width="240" height="200" />

Как часто бывает, в этой шутке лишь доля шутки. Проблема в том, что, как выяснилось, удалить историю, что называется, «с концами» оказывается очень тяжело, если вообще возможно. Удалили историю Safari? Последние записи больше не мозолят глаза? Но вовсе не факт, что история действительно удалилась. Напротив, данные аккуратно сохраняются в «облаке», а ваш акт «удаления» истории всего лишь скрывает записи. Но всё, что не уничтожено окончательно, может быть извлечено. Так случилось и с историей браузера.

В последние годы Apple активно развивает «облачные» сервисы на основе iCloud. «Облачные» резервные копии, «облачные» фотографии, режим Continuity, синхронизация истории звонков, контактов и множества других данных между устройствами, привязанными к учётной записи пользователя – лишь некоторые вещи, которые делаются через iCloud.

Через «облако» синхронизируется и история посещений пользователя в браузере Safari. Информация о сайтах и страницах, которые открывал пользователь, автоматически передаётся на серверы Apple, с которых она попадает на другие устройства пользователя, привязанные к той же учётной записи.

Историю посещений браузера Safari можно удалить как целиком, так и в виде отдельных записей. Удалённые записи исправно исчезают и с синхронизированных устройств. Если попробовать сбросить устройство, а потом восстановить его из «облака» – на нём окажутся только те записи, которые не были удалены (а из актуальных – только за последние 30 дней).

Исследователям из лаборатории «Элкомсофт» удалось выяснить, что «удалённые» пользователем записи истории браузера Safari на самом деле не удаляются из «облака», и остаются в iCloud в течение длительного времени. На основе этих данных мы обновили продукт Elcomsoft Phone Breaker до версии 6.40. Теперь с помощью Elcomsoft Phone Breaker можно извлечь не только те записи истории посещений Safari, которые видны пользователю на устройствах или в «облаке» iCloud, но и записи, которые пользователь удалил. Нам удалось восстановить записи, которые были удалены более года назад. Извлекаются как сами удалённые записи, так и информация о дате и времени последнего посещения ссылки, а также дате и времени её удаления.

Практическое значение

Практический смысл извлечения синхронизированных данных с точки зрения экспертов-криминалистов в оперативном получении информации о пользователе. В отличие от «облачных» резервных копий, которые обновляются ежесуточно, синхронизированные данные попадают в «облако» с минимальной задержкой – практически в режиме реального времени.

Исследование удалённых записей истории браузера Safari может помочь в расследовании при сборе доказательной базы.

Сторонние инструменты и продукты

Сторонние инструменты для извлечения синхронизированных данных Safari из «облака» существуют, однако их возможности сильно ограничены. Некоторые продукты представляются устройствами под управлением iOS, и получают из «облака» только действительные записи. Другие продукты работают через веб-интерфейс и также получают очень ограниченное количество информации.

В настоящий момент Elcomsoft Phone Breaker 6.40 – единственный продукт, способный извлечь полную историю посещений пользователя из iCloud, включая удалённые записи. Могут быть извлечены и очень старые записи, удалённые более года назад.

Как извлечь историю браузера Safari из «облака» iCloud

Информация из «облака» извлекается через механизм синхронизации данных, работающий в режиме реального времени. Для доступа к iCloud потребуется аутентификация (Apple ID и пароль либо маркер аутентификации, извлечённый из компьютера пользователя). При использовании маркера аутентификации в использовании пароля нет необходимости; кроме того, обходится и дополнительная защита механизмом двухфакторной аутентификации (в результате чего пользователю не поступает предупреждение о том, что к его учётной записи получен доступ с нового устройства).

Для извлечения удалённой истории Safari воспользуйтесь Elcomsoft Phone Breaker 6.40, а для её просмотра — Elcomsoft Phone Viewer 2.25 (или более новыми версиями).

  • Запустите Elcomsoft Phone Breaker 6.40 или более новую версию
  • Нажмите “Download Synced Data from iCloud” и убедитесь, что данные «Safari» отмечены:

  • Авторизуйтесь в учётной записи пользователя с помощью логина и пароля Apple ID либо с помощью двоичного маркера аутентификации (его можно извлечь с компьютера пользователя с помощью Elcomsoft Phone Breaker)
  • Подождите, пока данные скачаются из «облака»

Для просмотра удалённой истории Safari данных воспользуйтесь Elcomsoft Phone Viewer 3.25 или более новой:

  • Запустите Elcomsoft Phone Viewer
  • Откройте скачанные данные и нажмите «Web»

  • Будет показана история сайтов, которые посетил пользователь

  • С помощью фильтра (значок воронки в левой верхней части программы) выберите режим просмотра полной истории браузера, только актуальных или только удалённых записей.

Внимание: Извлекаются как ссылки на веб-узлы, так и информация о дате и времени последнего посещения ссылки, а также дате и времени удаления записи из истории браузера. Для максимально полного исследования всей истории посещений пользователя используйте просмотр всего набора данных.

Где взять пароль

Для извлечения синхронизированных данных и «облачных» резервных копий из iCloud требуется авторизация в учётной записи пользователя. Авторизацию можно осуществить как с помощью логина и пароля, так и посредством двоичного маркера аутентификации. Авторизация с помощью маркера имеет некоторые преимущества:

  • Обходится защита с помощью двухфакторной аутентификации
  • Пользователь не получает предупреждения о входе в его учётную запись

Извлечь маркер аутентификации можно с компьютера пользователя, если на нём было установлено приложение iCloud Control Panel и пользователь включил синхронизацию с «облаком» iCloud. Маркер можно извлечь с помощью инструментария, встроенного в Elcomsoft Phone Breaker.

Filed under: "Полезняшки", Apple, Безопасность мобильных устройств, Мысли вслух, Мысли вслух, Необходимо знать! Советы параноика, Персональные данные, Статьи, IT-Security, Mobile

Если вы заметили ошибку, выделите необходимый текст и нажмите Ctrl+Enter, чтобы сообщить об этом редакции    Система Orphus

RSS: Новое в блогах на Anti-Malware.ru Новое в блогах