Elcomsoft Cloud eXplorer

Извлечение данных из учётных записей Google

Elcomsoft Cloud Explorer – удобный инструмент для скачивания, просмотра и анализа данных, доступных в учётной записи пользователей Google Account. Продукт поможет получить доступ к таким данным, как контакты пользователей и их круг общения, история поисковых запросов, заметки Google Keep, сообщения Hangouts, история просмотра страниц и синхронизированные закладки браузера Chrome, а также данные о местоположении пользователя и сохранённые в «облако» Google Photos фотографии.

Поисковый гигант Google собирает огромное количество информации о зарегистрированных пользователях. Elcomsoft Cloud Explorer позволяет получить доступ к этой информации в программе «одного окна».

Криминалистический анализ «облачных» данных

«Облачные» сервисы проникают во все области жизнедеятельности. Электронная почта, фотографии, общение постепенно перемещаются или уже переместились в «облака». Провайдеры «облачных» услуг получают доступ к огромным массивам информации о пользователях. Данные о поведении, общении и местоположении пользователей тщательно собираются и анализируются на стороне провайдера.

Доступ к собранным данным жизненно необходим при проведении многих типов расследований. Преступники всех мастей также пользуются «облачными» сервисами, оставляя массу следов в виртуальном пространстве.

Получить доступ к собранным данным и проанализировать их – непростая задача для криминалиста. Elcomsoft Cloud Explorer разработан с целью упростить эту задачу. Для использования продукта не требуется специальных знаний. Скачать и просмотреть данные, собранные компанией Google о пользователе, можно буквально в несколько кликов.

Извлекаемые данные

В первой версии продукта, Elcomsoft Cloud Explorer извлекает следующие типы данных:

• Профиль пользователя и сопутствующую информацию
• Файлы и документы из хранилища Google Drive
• Данные о физической активности Google Fit, включая информацию о местоположении
• Переписка в Gmail (доступ через Gmail API)
• Информация о беспроводных сетях Wi-Fi (SSID и пароли)
• Сообщения Hangouts
• SMS (для телефонов с Android 8 Oreo, а также для Google Pixel, Pixel XL с Android 7 или выше)
• Журнал звонков пользователя
• Контакты (в том числе контакты с мобильных устройств)
• Заметки Google Keep
• История поисковых запросов включая историю перехода по найденным ссылкам
• Данные браузера Google Chrome, включая закладки, пароли и сохранённые данные веб-форм.^[1]
• Фотографии и видеоролики, сохранённые в «облачный» сервис Google Photos (за указанный период времени)
• Все доступные календари
• Данные из Dashboard
• История местоположения пользователя, включая данные из всех мобильных устройств, зарегистрированных под исследуемой учётной записью
• Дополнительные картографические данные и маршруты с привязкой к объектам на карте
• Некоторые данные из мобильных устройств под управлением Android

Elcomsoft Cloud Explorer извлекает полную копию данных обо всех действиях и перемещениях пользователя, которыми располагает Google.

Аутентификация без пароля

Пароли и двухфакторная аутентификация - основные препятствия "облачной" криминалистики. Elcomsoft Cloud Explorer предлагает альтернативный способ входа в учётную запись Google, использующий двоичные маркеры аутентификации, извлечённые из компьютера пользователя. В состав продукта входит инструмент Google Token Extraction (GTEX), который просканирует содержимое компьютера пользователя и автоматически извлечёт необходимые маркеры.

Использование маркера аутентификации открывает доступ к следующим категориям данных: Chrome (история, закладки и пароли), календари, Dashboards, Google Drive и Hangouts. Возможность использования маркеров аутентификации существенно расширяет сферу применения продукта и позволяет обойти дополнительную защиту по методу двухфакторной аутентификации.

Поддержка двухфакторной аутентификации

Для доступа к пользовательским данным требуется ввести логин и пароль пользователя от исследуемой учётной записи Google. Если доступ к учётной записи защищён двухфакторной аутентификацией, для входа потребуется доступ ко второму фактору (например, авторизованному устройству или списку одноразовых кодов). Elcomsoft Cloud Explorer полностью поддерживает схему двухфакторной аутентификации, обеспечивая доступ к учётным записям, в которых она активирована. Поддерживаются следующие способы двухфакторной аутентификации:

• Шестизначные коды, сгенерированные при помощи приложения Authenticator
• Резервные коды, созданные в учётной записи пользователя
• Коды, присылаемые в виде SMS
• Интерактивный метод Google Prompt
• Ключи FIDO (Yubico и подобные)

Просмотр и анализ данных

Elcomsoft Cloud Explorer – универсальная программа для извлечения, просмотра и анализа данных из Google Account.

Встроенный инструмент просмотра автоматически представляет скачанные данные в наиболее удобном для просмотра виде. Быстрый поиск и фильтрация в режиме реального времени позволяют моментально найти нужную информацию, отыскать конкретную запись или контакт.

Какие данные Google собирает о пользователе

Google – это не только поисковый гигант, обслуживающий миллиарды запросов ежедневно. Компания предоставляет бесплатный почтовый сервис Gmail, предлагает «облачное» хранилище для фотографий Google Photos, предоставляет возможность сохранять и редактировать документы. Собственный веб-браузер компании, Google Chrome, даёт возможность сохранять и синхронизировать между различными устройствами закладки, пароли, заполненные веб-формы, историю поисковых запросов и посещённых ресурсов. Мобильная устройства, работающие под управлением операционной системы Android, регулярно отсылают в Google сервисные данные, информацию о местоположении пользователя, синхронизируют контакты и сообщения. Количество зарегистрированных пользователей компании приближается к миллиарду.

Все сервисы компании собраны под одной крышей, которой является учётная запись Google Account. Стоит пользователю открыть учётную запись, как компания начинает собирать о нём самые разнообразные данные. К примеру, на скриншоте ниже показан фрагмент информации о том, какие поисковые запросы выполнил пользователь и по каким ссылкам он в результате перешёл:

Разные типы данных хранятся на разных серверах и доступны по разным адресам. При доступе вручную данные извлекаются в самых различных форматах, что существенно затрудняет возможности просмотра и перекрёстного анализа данных из разных источников.

Elcomsoft Cloud Explorer решает эту проблему, автоматически извлекая максимум доступных данных из самых разнообразных источников, визуализируя извлечённую информацию через удобный пользовательский интерфейс.

Извлечение и анализ переписки в Gmail

С помощью Elcomsoft Cloud Explorer можно быстро скачать всю переписку пользователя в Gmail или выборочно извлечь сообщения в заданном промежутке времени. Все сообщения скачиваются целиком для просмотра и анализа в режиме офлайн.

Доступ к переписке реализован через собственный механизм Google – Gmail API. Использование Gmail API позволило в десятки раз увеличить скорость скачивания сообщений и открыло возможность выборочного доступа к переписке. Возможность быстрого скачивания сообщений (до 3000 сообщений в минуту), просмотр и анализ в режиме офлайн позволяют существенно упростить и ускорить расследование. Через Gmail API доступны мета-данные Gmail включая метки сообщений, папки и статус (прочитанные, непрочитанные и архивные сообщения).

История местоположения с привязкой к картографическим объектам

С помощью Elcomsoft Cloud Explorer эксперт сможет составить полное представление о том, где и когда был пользователь смартфона. История местоположения пользователя извлекается из учётной записи пользователя и автоматически привязывается к маршрутам и данным о картографических объектах.

Привязка к картографическим объектам существенно упрощает анализ перемещений пользователя. Без дополнительных усилий эксперт может составить объективное представление об активности пользователя в течение заданного временного промежутка; к примеру, можно увидеть маршрут в формате «Дом – поездка в общественном транспорте – работа – поездка – название ресторана». Такое представление истории местоположения заметно удобнее в процессе расследования в сравнении с традиционным набором цифровых координат, даже если координаты накладываются на карту.

Google Fit: физическая активность и координаты

Данные приложения Google Fit включают как информацию о физической активности пользователя, так и данные местоположения.

Google Fit – подсистема для сбора, обработки и синхронизации с облаком данных о физической активности пользователя, работающая как на смартфонах Android, так и на iPhone. Google Fit позволяет не только отслеживать ряд параметров организма пользователя, но и привязывать эти данные к точкам на карте. Приложение собирает информацию, опрашивая датчики смартфона и многочисленные датчики связанных внешних устройств: умных часов, спортивных браслетов и медицинских аксессуаров. Доступны такие данные, как количество и частота шагов, частота сердечных сокращений, тип активности, пройденные дистанции, а также любые другие данные, которые сообщают внешние устройства.

Одним из важнейших типов данных, доступных в Google Fit, являются данные о местоположении пользователя. Google Fit определяет типы активности и ведёт подсчёт количества шагов на основе эпизодического обращения к датчику шагомера и постоянного опроса датчиков определения местоположения. Таким образом, в данных Google Fit содержится огромное количество привязанных ко времени координат, позволяющих с точностью определить местоположение пользователя на карте в любой момент времени.

Доступ к данным Google Fit, сохранённым в облаке Google Account, поможет в расследовании преступлений и поиске улик. Подробная история местоположения пользователя и другие важные данные способны оказать неоценимую помощь в расследовании.

Отчёты и экспорт

Elcomsoft Cloud Explorer поддерживает отчёты в формате HTML, а также поддерживает экспорт данных в совместимый с Microsoft Excel формат XLSX. Такие отчёты – это удобный просмотр важной информации с экрана или в распечатанном виде. Отчёты доступны для категорий User Infо, History, Chrome, Dashboard, Media, Locations, Calendars, Notes, Chats, Google Keep и Contacts.