ВОССТАНОВЛЕНИЕ ДАННЫХ И АУДИТ

Elcomsoft Password Digger

Расшифровка защищённого хранилища keychain из Mac OS

Elcomsoft Password Digger – инструмент для экспертов по компьютерной безопасности и криминалистики, позволяющий расшифровывать содержимое защищённого хранилища keychain из Mac OS X. Из защищённого хранилища извлекаются и расшифровываются все пользовательские и системные пароли. Результат сохраняется в виде файла XML для последующего анализа. Список паролей дополнительно сохраняется в виде простого текстового файла, представляющего собой готовый словарь для использования с продуктами класса Elcomsoft Distributed Password Recovery с целью ускорения перебора паролей к зашифрованным файлам и документам.

Keychain в Mac OS X представляет собой централизованное хранилище паролей и данных аутентификации. В нём хранятся пароли к учётным записям пользователя, логины и пароли к веб-сайтам, точкам доступа Wi-Fi, учётным записям Apple ID, пароли к iTunes, почтовым клиентам, программам мгновенного обмена сообщениями, социальным сетям и многому другому.

Использование Elcomsoft Password Digger совместно с другими продуктами «Элкомсофт» предоставляет возможность извлекать резервные копии данных мобильных устройств пользователя (iPhone, iPad) из «облачного» хранилища iCloud (продукт Elcomsoft Phone Breaker). С помощью создаваемого программой словаря, содержащего все пароли пользователя в текстовом виде, можно существенно ускорить перебор паролей, с помощью которых зашифрованы архивы, файлы и документы на компьютере пользователя (продукт Elcomsoft Distributed Password Recovery).

Что можно извлечь из защищённого хранилища keychain

Keychain в Mac OS X – это централизованное хранилище ключей, паролей и данных для аутентификации пользователя в различных приложениях и онлайновых ресурсах. Keychain – составная часть операционной системы начиная с версии Mac OS 8.6. Система используется для хранения системных и пользовательских паролей. В системном keychain хранятся пароли к точкам доступа Wi-Fi; остальные пароли сохраняются в keychain пользователя.

Информация, доступная в Mac OS keychain, включает следующие данные.

Системное хранилище

  • Пароли Wi-Fi

Пользовательское хранилище

  • Пароль к учётной записи Apple ID
  • Пароль к резервным копиям мобильных устройств, создаваемых в iTunes
  • Пароли к AirPort и TimeCapsule
  • Пароли к веб-сайтам, социальным сетям и другим онлайновым ресурсам
  • Пароли к сессиям VPN, RDP, FTP и SSH
  • Пароли к почтовым клиентам и сервисам, включая Gmail и Microsoft Exchange
  • Пароли к сетевым папкам
  • Пароли к документам iWork

Информация в keychain хранится в зашифрованном виде. Для расшифровки системного хранилища требуется файл-ключ, извлечённый из компьютера пользователя. Для расшифровки пользовательского хранилища требуется пароль пользователя для входа в систему или отдельный пароль для keychain (если он был установлен).

В Mac OS есть встроенный инструмент для просмотра записей в защищённом хранилище. С помощью утилиты Keychain Access можно получить доступ к отдельным записям. Инструмент Apple требует ввода пароля каждый раз при просмотре очередной записи. Elcomsoft Password Digger позволяет автоматизировать процесс, существенно сократив время, требуемое на анализ содержимого защищённого хранилища.

Извлечение данных из keychain

Elcomsoft Password Digger автоматически извлекает и расшифровывает пароли из защищённых хранилищ keychain. Полная информация экспортируется в файл XML. Кроме того, список паролей сохраняется в текстовом файле для использования программами для перебора паролей (к примеру, Elcomsoft Distributed Password Recovery) в качестве подключаемого словаря.

Экспорт в файл XML:

  • Экспортируются все извлечённые данные включая логины, пароли, URL ресурса, дату и время создания и последнего доступа к записи и др.
  • Используется для последующего анализа с помощью инструментов мобильной криминалистики
  • Возможен быстрый просмотр содержимого импортированием файла в Microsoft Excel или просмотром в любой программе с поддержкой XML

Экспорт в текстовый файл:

  • Экспортируются только пароли
  • Текстовый файл готов к использованию в качестве подключаемого словаря в программах для восстановления паролей
  • Использование словаря, содержащего пользовательские пароли, позволяет ускорить атаку при переборе паролей к архивам, файлам и документам при использовании Elcomsoft Distributed Password Recovery и аналогичных продуктов

Что требуется для расшифровки паролей из keychain

Elcomsoft Password Digger работает на компьютерах под управлением ОС Windows. Для успешной расшифровки защищённого хранилища потребуются как сами файлы keychain, так и дополнительная информация, извлечённая из компьютера пользователя.

Для расшифровки системного хранилища:

  • Файл keychain, извлечённый из компьютера под управлением Mac OS
  • Файл-ключ с того же компьютера[1]

Для расшифровки пользовательского хранилища:

  • Файл keychain, извлечённый из компьютера под управлением Mac OS
  • Пароль пользователя для входа в систему либо отдельный пароль на keychain (если установлен)

Возможности продукта

  • Быстрый доступ к защищённой информации, хранящейся в Mac OS keychain
  • Расшифровка системного и всех пользовательских хранилищ
  • Пароль к учётной записи Apple ID может быть использован для скачивания резервных копий мобильных устройств пользователя из iCloud (с помощью Elcomsoft Phone Breaker)
  • Существенная экономия времени по сравнению с использованием встроенного в Mac OS инструмента Keychain Access
  • Экспорт данных в формат XML
  • Экспорт паролей в текстовый
  • Создание подключаемого словаря для ускорения перебора паролей с помощью Elcomsoft Distributed Password Recovery и аналогичных программ

Извлечение «облачных» резервных копий с Elcomsoft Phone Breaker

С помощью Elcomsoft Password Digger можно извлечь пароль пользователя от учётной записи Apple ID. Эти данные можно использовать для получения доступа к резервным копиям телефонов iPhone и планшетов iPad, создаваемых в «облачном» хранилище Apple iCloud.

Для извлечения информации из «облака» используется Elcomsoft Phone Breaker. Данные, извлечённые из «облака», можно просмотреть с помощью Elcomsoft Phone Viewer или исследовать с помощью одного из коммерческих пакетов мобильной криминалистики.

Ускорение перебора паролей в Elcomsoft Distributed Password Recovery

Некоторые типы файлов (к примеру, документы Microsoft Office 2010-2013) используют шифрование, устойчивое к перебору паролей. Скорость перебора паролей к таким документам невелика даже при использовании аппаратного ускорителя. Использование релевантного словаря существенно поднимает шанс успешной атаки. Анализ используемых подозреваемым паролей может выявить общий паттерн, который можно использовать для создания маски при переборе паролей.

Перебор паролей к документам Microsoft Office 2010: невысокая скорость даже с использованием аппаратного ускорения

С помощью Elcomsoft Password Digger все сохранённые пользователем пароли можно экспортировать в текстовый файл, который можно использовать как в качестве готового подключаемого словаря, так и для анализа шаблонов, по которым пользователь выбирает пароли.

Системные требования

Elcomsoft Password Digger работает на компьютерах под управлением 32- и 64-разрядных версий Microsoft Windows включая Windows Vista, Windows 7, 8, 8.1, Windows 10 либо Windows 2003, 2008, 2012 Server. Поддерживается расшифровка keychain Mac OS всех версий включая текущую Mac OS X ‘Catalina’.


  1. Для извлечения файла-ключа с запущенного компьютера потребуется администраторский доступ.