Сегодня мы поговорим о резервном копировании в Windows. Не подумай, мы вовсе не собираемся уныло обозревать очередную программу, сервис или устройство для создания резервных копий! Совсем наоборот: мы рассмотрим механизм, который уже встроен и по умолчанию активирован во всех версиях Windows начиная с Windows 8, и попытаемся понять, можно ли использовать этот механизм для взлома. В качестве бонуса взломаем OneDrive и получим доступ к онлайновой учетной записи Microsoft Account. Поехали!

Как взламывают бэкапы Apple
Как взламывают бэкапы Android
Как взламывают бэкапы BlackBerry

Признаться, традиционные материалы о резервном копировании в Windows навевают на меня жуткую тоску еще до того, как я открою текст. Да, данные надо копировать (зевок). Да, это желательно делать регулярно (уже сводит скулы). И да, почти никто этим на самом деле не занимается. И не будет — до тех пор, пока для активации резервного копирования требуются хоть какие-то телодвижения.

В Apple поняли это первыми и встроили в iOS прекрасный механизм резервного копирования, который поддерживает актуальную копию данных устройства в облаке iCloud. Потерял, заменил iPhone или iPad? Авторизуйся со своим Apple ID, и система сама скачает и восстановит актуальные данные. Ничего не надо настраивать вручную, все работает само по себе. И это прекрасно.

В Windows так сделать долгое время не получалось. Но в один прекрасный момент — с выходом восьмой версии системы — в компании Microsoft наконец решили, что пора это исправить. Как мы помним, именно в Windows 8 для ПК появился режим Metro, который у большинства пользователей ассоциируется с плиточным интерфейсом. На самом же деле Metro было вовсе не о плитках. Именно в восьмой версии системы, а вовсе не в «десятке» Microsoft впервые использовали идеологию универсальных приложений — программ, которые скачивались и устанавливались из магазина Microsoft, привязывались к учетной записи Microsoft Account и с разрешения разработчиков могли запускаться как на стационарных компьютерах, так и на планшетах с архитектурой x86 или ARM и даже на телефонах под управлением Windows Phone.

 

Позвольте, но при чем здесь резервные копии?

А резервные копии здесь совсем рядом. Именно в восьмой версии системы (как полноценной десктопной Windows, так и урезанной планшетной Windows RT и телефонной Windows Phone) появилась возможность автоматически создавать и поддерживать резервные копии данных как всего устройства в целом, так и отдельных приложений. Все, что для этого требуется, — использовать для входа в систему не локальную учетную запись Windows (традиционные логин и пароль), а учетную запись Microsoft Account (email и пароль). Эта особенность предоставит хакеру целый ряд возможностей — например, можно попробовать взломать пароль от облачной учетной записи пользователя атакой на хеш от Microsoft Account, который сохраняется на компьютере пользователя (об этом — ниже).

Разумеется, возможность создания резервных копий никуда не делась и в Windows 10, при этом данные совместимы снизу вверх: резервную копию, созданную на компьютере или телефоне под управлением восьмой версии Windows, можно запросто и без особых проблем восстановить на десктопе или смартфоне на «десятке».

Вот так это выглядит в Windows 10 Mobile:

А вот так — на десктопе:

Минуточку! Ведь на скриншоте с десктопа мы видим настройки синхронизации, а вовсе не резервного копирования? А что тогда в Settings → Update and Security → Backup? Как ни странно, резервное копирование настроек системы, паролей в браузере Edge и Internet Explorer, списка приложений, настроек стартового меню или плиток на планшете — все это сохраняется в облаке OneDrive именно через настройки синхронизации. Посмотреть, какие именно устройства сохраняют свои резервные копии в облако, можно через веб-интерфейс OneDrive.

Как видишь, год назад у меня в облаке была парочка телефонов, ноутбук и планшет под управлением Windows RT. Сейчас парк устройств сменился, но принцип остался прежним.

Так, а где тут данные приложений? А здесь начинается самое интересное. Данные приложений, установленных из магазина Microsoft (универсальных приложений и более старых программ с идеологией Metro), сохраняются в облако OneDrive автоматически по мере их использования (разумеется, если разрешена синхронизация для десктопов и не запрещена для устройств Windows Phone / Windows 10 Mobile). Удалил приложение, установил его заново — данные автоматически подтянулись из облака, включая в том числе и маркеры аутентификации (скажем, заново вводить логин и пароль от сервиса Feedly в моем любимом новостном клиенте INI Reader после переустановки не приходится — я сразу попадаю на стартовый экран с моей лентой новостей).

Попытаться вытащить эти данные из облака — наша задача. Но для начала нам потребуется получить доступ к облачному хранилищу пользователя — OneDrive.

 

Получаем доступ к OneDrive

Для доступа к OneDrive нам потребуется указать адрес электронной почты пользователя (@hotmail.com, @live.com или @outlook.com) и его пароль. И если с первым проблем обычно никаких, то ломиться с подбором паролей в онлайновый сервис было бы в корне неправильно.

К счастью, в лобовой атаке нет никакой необходимости. Все, что нам потребуется для доступа в облако, — это компьютер пользователя, в качестве логина в котором использовалась учетная запись Microsoft Account. Компьютер можно выключенный. С этого компьютера нам нужно будет извлечь хеш пароля от учетной записи пользователя и провести атаку в попытке восстановить оригинальный текстовый пароль, который и будет использоваться для логина в OneDrive.

Продолжение доступно только участникам

Вариант 1. Присоединись к сообществу «Xakep.ru», чтобы читать все материалы на сайте

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», увеличит личную накопительную скидку и позволит накапливать профессиональный рейтинг Xakep Score! Подробнее

Вариант 2. Открой один материал

Заинтересовала статья, но нет возможности стать членом клуба «Xakep.ru»? Тогда этот вариант для тебя! Обрати внимание: этот способ подходит только для статей, опубликованных более двух месяцев назад.


Check Also

Утекшие недавно личные данные граждан Болгарии уже появились на хакерских форумах

Личная информация граждан Болгарии, похищенная ранее на этой неделе, уже просочилась в отк…

Оставить мнение