Важность информации, создаваемой и хранящейся в современных смартфонах, невозможно переоценить. Всё чаще смартфон (а точнее — данные, которые он содержит) является той самой уликой, которая способна сдвинуть расследование с мёртвой точки. Кошельки с криптовалютами, пароли от сайтов, с которых распространяют нелегальные вещества, учётные записи от социальных сетей, через которые преступники осуществляют поиск клиентов и данные для входа в приватные чаты и программы мгновенного обмена сообщениями, через которые преступные группировки координируют свою деятельность — лишь малая часть того, что может оказаться (и, как правило, оказывается) в смартфоне подозреваемого.

В то же время производители смартфонов предпринимают серьёзные меры по защите информации. Сквозное шифрование и активное противодействие спецсредствам для разблокировки устройства и получения доступа к его содержимому, а также широко известные возможности по удалённому блокированию устройств и уничтожению информации заставляют специалистов тщательно соблюдать все правила техники безопасности. Узнать об этих правилах и о том, как сохранить информацию в изъятом устройстве и о шагах, которые нужно сделать для того, чтобы получить к ней доступ, вы сможете из этой статьи. Важное уточнение: речь в данной статье пойдёт в первую очередь о моделях  iPhone компании Apple.

Первые шаги: как сохранить данные

Что нужно сделать, а чего ни в коем случае нельзя делать с iPhone после изъятия? Основных вещей две: iPhone нельзя выключать (это катастрофически затруднит доступ), и у iPhone нельзя оставлять беспроводное подключение к сети (иначе злоумышленник сможет дистанционно заблокировать устройство и уничтожить данные). Однако этим список не ограничивается. Вот что нужно сделать в первую очередь:

1. Активируйте на iPhone режим «в самолёте». Как правило, это возможно даже тогда, когда экран устройства заблокирован. (В скобках оставим варианты, когда пользователь вручную отключает эту возможность).
2. После этого обязательно проверьте положение переключателей Wi-Fi и Bluetooth; отключите эти сети вручную, если они включены. Дело в том, что даже в режиме «в самолёте» Wi-Fi и Bluetooth в ряде случаев не будут выключены автоматически.
3. Подключите iPhone к портативному источнику питания.
4. Если устройство работает под управлением iOS 11.4.1, то к порту Lightning можно подключить адаптер USB; в этом случае не будет заблокирована по тайм-ауту передача данных через этот порт. Эта практика утратила работоспособность во всех версиях iOS после 11.4.1, включая все версии iOS 12 и 13 (в них режим ограничений USB активируется мгновенно после блокировки экрана).
5. Поместите iPhone, подключенный к источнику питания, в клетку Фарадея (мешок, пакет или сумка из материала, изолирующего радиоизлучение в используемых в современных сотовых сетях спектра).

В чём смысл этих действий? В том, чтобы избежать возможности полного разряда аккумулятора iPhone: в этом случае устройство просто отключится, и в дальнейшем эксперту придётся работать по протоколу BFU (Before First Unlock, «до первой разблокировки»), который существенно ограничивает спектр доступных возможностей по сравнению с протоколом AFU (After First Unlock, «после первой разблокировки»). Даже если на iPhone установлен неизвестный код блокировки, взломать его в состоянии AFU будет значительно проще и займёт меньше времени в сравнении с режимом BFU. В то же время для взлома кода блокировки потребуется работоспособный порт с возможностью передачи данных. iOS 11.4.1 и более поздние версии блокируют передачу данных через определённое время после выключения экрана. Для предотвращения такой блокировки используется подключение к адаптеру USB (впрочем, работает этот вариант с единственной версией iOS — 11.4.1). Наконец, манипуляции с «полётным» режимом, переключателями беспроводных сетей и клеткой Фарадея предпринимаются для того, чтобы исключить возможность для злоумышленника по удалённому уничтожению данных.

Если вам показалось, что всё достаточно просто — вынуждены разочаровать. Для того, чтобы данные оказались доступны для извлечения, потребуется соблюдать ряд предосторожностей.

1. Если iPhone оборудован датчиком отпечатков пальцев Touch ID, не прикасайтесь к сканеру отпечатков. Если вы это сделаете, будет потрачена одна из пяти попыток разблокировать смартфон отпечатком, а не кодом блокировки. Для того, чтобы проверить, включен ли телефон, используйте кнопку питания, расположенную на верхней или боковой грани устройства.
2. Если iPhone относится к поколению X или более позднему и оборудован системой распознавания лица, обращайтесь с устройством с особой осторожностью. Если вы активируете экран устройства, а ваше лицо будет захвачено сканером Face ID, то вы потеряете одну из пяти попыток разблокировать телефон по лицу вместо использования кода блокировки. Именно это случилось на сцене прямо во время презентации iPhone X: Apple Says Face ID Didn’t Fail Onstage During iPhone X Keynote
3. Ознакомьтесь с разнообразными правилами, по которым работают биометрические методы разблокировки: Fingerprint unlock.
4. Ознакомьтесь с работой системы S.O.S. и её последствиями. Стоит подозреваемому трижды нажать кнопку питания или зажать кнопки питания и громкости, как телефон перейдёт в особое меню. Независимо от выбора в этом меню, iOS заблокирует работу биометрических датчиков (Touch ID/Face ID) и мгновенно отключит USB-порт смартфона (а точнее, отключит режим передачи данных через порт Lightning). Для разблокировки смартфона потребуется ввести код блокировки экрана без каких-либо альтернатив.
5. Если вы забудете включить режим «в самолёте» и (обязательно!) проверить и отключить, если требуется, сети Wi-Fi и Bluetooth, о вашем случае могут написать в новостях:
   • BBC News: Cambridgeshire, Derbyshire, Nottingham, and Durham police: «мы не знаем, как им удалось стереть данные.“ (9 октября 2014)
   • Darvel Walker, Morristown дистанционно удалил данные; против него выдвинуто обвинение в противодействии следствию (7 апреля 2015)

Сопутствующие устройства

По возможности постарайтесь изъять не только сам iPhone, но и сопутствующие устройства, включая часы Apple Watch, приставки Apple TV, компьютеры и сетевые накопители, а также флеш-накопители. О часах и Apple TV — в статье Apple Watch и Apple TV.

Причина: на компьютерах и внешних накопителях может содержаться важная информация, которая поможет получить доступ к содержимому смартфона или к облаку iCloud; содержимому учётных записей (Google Account, Microsoft Account, Facebook и так далее).

Идентификация устройства

Первое, что нужно проделать с устройством — провести его идентификацию. Точную модель устройства можно узнать по маркировке на задней стороне устройства (дальнейшая идентификация через Apple). Использование комплекса Elcomsoft iOS Forensic Toolkit (команда «I») поможет узнать не только модель устройства, но и такие данные, как точную версию и номер сборки iOS, серийный номер устройства, IMEI и многое другое. Более того, часть информации можно узнать даже в том случае, когда устройство находится в защитном режиме USB Restricted Mode, воспользовавшись доступом через режим Recovery или DFU (требуется перезагрузка устройства; устройство переходит в состояние BFU, Before First Unlock, со всеми вытекающими последствиями). Если доступна запись lockdown с компьютера пользователя, удастся узнать и список установленных в устройстве приложений.

Код блокировки

Если экран устройства заблокирован неизвестным кодом блокировки, у вас будет ограниченное количество вариантов действий. Существует всего несколько решений, способных взломать код блокировки:

• GrayKey компании GrayShift (региональные ограничения, решение не доступно в РФ; поддерживает все версии iOS и аппаратного обеспечения)
• Cellebrite UFED Premium (региональные ограничения; поддержка только поколения iPhone 8/8 Plus/iPhone X; для новых моделей доступен сервис CAS)
• Cellebrite Advanced Services (CAS; сервис; требуется отправка iPhone в одну из региональных лабораторий; доступность ограничена)

Единственное общедоступное решение в данном случае — это попытка логического анализа устройства; доступ осуществляется посредством файла lockdown, извлечённого из компьютера пользователя. Дополнительная информация: Acquisition of a Locked iPhone with a Lockdown Record и USB restricted mode.

Логический анализ

Логический анализ iPhone — самый распространённый, простой и универсальный способ извлечь необходимую информацию. Данные, доступные посредством логического анализа, не ограничиваются одной лишь резервной копией. В статье Demystifying Advanced Logical Acquisition мы подробно описали доступные типы данных. Вкратце, это медиа-файлы (фотографии, видео и музыка), файлы приложений (из тех, которые доступны в iTunes), журналы отладки и диагностики.

В случае с логическим анализом может быть несколько подводных камней.

1. Установлен пароль на резервную копию, и он неизвестен. Несмотря на то, что в iOS 11 и более новых версиях пароль на резервную копию можно сбросить, такой сброс уничтожает и некоторые ценные данные (в частности, удаляется код блокировки, что приводит к удалению транзакций Apple Pay и некоторых других). Подробности — в статье The Most Unusual Things about iPhone Backups.
2. Пароль на резервную копию не установлен. Казалось бы, никакой проблемы здесь нет; тем не менее, нужно понимать, что отсутствие пароля на резервной копии предоставит вам доступ к части информации — и полностью перекроет доступ к таким ценным типам данных, как содержимое связки ключей (пароли пользователя в Safari и приложениях). И если в iOS 11 и 12 можно установить временный пароль и создать свежую резервную копию, то в iOS 13 для изменения или установки пароля на резервную копию потребуется ввести и код блокировки устройства (на самом устройстве).

Физический анализ

Значительный пласт информации из iPhone не попадает в резервные копии, даже в резервные копии с паролем. В резервные копии не попадают данные приложений, разработчики которых запретили резервное копирование. Не сохраняется переписка электронной почты. Как правило, не сохраняются чаты и переписка в социальных сетях и программах мгновенного обмена сообщениями. Не сохраняются, как правило, и пароли от кошельков криптовалют. Значительную часть данных можно получить, скопировав файловую систему устройства. Для доступа к файловой системе вам потребуются права суперпользователя, для чего на устройство потребуется установить джейлбрейк. Более подробно об этом можно прочесть в статье Step by Step Guide to iOS Jailbreaking and Physical Acquisition, а также в статье Forensic Implications of iOS Jailbreaking, в которой мы описали риски и последствия установки различных джейлбрейков. Обратите внимание: для установки джейлбрейка на iPhone, лишённый подключения к сети, необходимо использовать учётную запись Apple ID, зарегистрированную в программе Apple для разработчиков (регистрация платная).

Какая последовательность действий будет правильной?

1. Полный логический анализ в состоянии «как есть». Если резервная копия защищена паролем — всё равно создайте её; при успешной установке джейлбрейка вы сможете узнать пароль на резервную копию и расшифровать её.
2. Установка джейлбрейка, копирование файловой системы и расшифровка связки ключей keychain.
3. В том и только в том случае, если попытка установить джейлбрейк не удалась, провести процедуру сброса пароля к резервной копии, установить временный пароль на резервную копию и проделать логический анализ устройства.

Что необходимо знать о джейлбрейках:

• Традиционные джейлбрейки осуществляют глубокое вмешательство в работу устройства, модифицируют системный раздел, делают невозможным получение обновлений OTA. Их корректное удаление под вопросом.
• Джейлбрейки класса rootless гораздо меньше влияют на работу системы. Они не модифицируют системный раздел и не влияют на возможность получения обновлений ОС. Их удаление оставляет минимальные следы в файловой системе устройства.
• Установка джейлбрейка требует запуска на iPhone пакета IPA. Для его работы пакет IPA необходимо подписать цифровой подписью.
• Подпись проверяется устройством. Чтобы избежать необходимости выхода устройства в интернет, используйте для подписи Apple ID, зарегистрированный в программе Apple для разработчиков. Обратите внимание на ограничение по числу устройств в программе для разработчиков Apple.

Важно: в процессе анализа связки ключей вы сможете узнать как пароль от учётной записи пользователя Apple ID, так и пароль от резервной копии устройства. Узнав пароль, вы сможете расшифровать резервную копию.

В настоящий момент джейлбрейки доступны для всех версий iOS 11. Для iOS 12 джейлбрейки доступны до версии 12.2 включительно (есть ограничения по аппаратным платформам). Rootless джейлбрейк доступен только для iOS 12.0 — 12.1.2; он не работает на устройствах поколения A12 (модели iPhone Xs/Xs Max/Xr).

Облачный анализ

Извлечение данних из облака набирает популярность, и тому есть причины.

1. Нет необходимости в самом устройстве. iPhone может быть заблокирован, сломан или физически недоступен.
2. Из облака можно извлечь даже больше данных, чем из самого устройства благодаря синхронизации с другими устройствами пользователя.
3. В облаке в течение ограниченного времени могут храниться и удалённые данные.
4. Облачный анализ достаточно быстрый и простой.

Наша компания была первой на рынке, сумевшей извлечь резервную копию iPhone из облака. На сегодняшний день мы продолжаем извлекать из iCloud больше информации, чем любой другой производитель. Более того, мы способны извлечь и расшифровать даже те данные, которые компания Apple не выдаёт правоохранительным органам по запросу. Мы извлекаем:

• Резервные копии из iCloud backups (включая учётные записи с 2FA)
• Содержимое iCloud Drive (включая данные сторонних приложений, которые недоступны никаким другим способом)
• iCloud Photos
• Ключ восстановления доступа к FileVault2
• Связка ключей iCloud keychain
• Данные Здоровья (включая данные, зашифрованные кодом блокировки)
• Облачные сообщения (iMessage и SMS)

Мы работаем над доступом данных Экранное время и Home.

Основной проблемой облачного анализа остаётся доступность данных для аутентификации. Для доступа потребуются логин и пароль от учётной записи; второй файтор аутентификации (например, разблокированное устройство, привязанное к той же учётной записи, или SIM-карта, на которую можно получить код в виде SMS). Кроме того, для доступа к отдельным категориям потребуется код блокировки экрана (iOS) или системный пароль (macOS) от одного из устройств, привязанных к данной учётной записи.

Заключение

В этой статье мы рассказали об основных особенностях сохранения и извлечения информации из iPhone. Разумеется, в единственной статье невозможно рассказать про все особенности iOS, а тем более — осветить частные случаи. Максимально подробную информацию мы предоставляем участников наших тренингов и программ обучения.

Извлечение данных — только начало пути. За извлечением следует анализ и сопоставление информации, оформление доказательной базы, создание отчётов. Для всего этого доступны как наши (Elcomsoft Phone Viewer), так и сторонние инструменты.