Эта статья открывает серию публикаций по облачной криминалистике. В статьях мы расскажем о том, какие цели преследует экспертный анализ «облачных» данных и какие возможности открывает такой анализ по сравнению с исследованием физических устройств; опишем типы данных, доступных в облаке, способы их хранения и защиты, а также методы доступа к этим данным. Эта публикация — обзорная; в ней будут изложены основы облачной криминалистики. В следующей статье серии рассказsывается о типах данных в iCloud, методах их защиты и способах извлечения.

Цели облачной криминалистики

Одним из самых распространённых вопросов, если не самым распространённым, является вопрос о целях облачной криминалистики. Для чего нужен доступ в «облако», если на руках есть iPhone, который можно исследовать как при помощи логических, так и низкоуровневых методов? Ответ — как в полноте получаемых данных, так и в их доступности. В облаке часто можно найти информацию, которой нет на самом устройстве. Примером могут выступать как фотографии, которые могут быть выгружены в облако с автоматическим удалением из памяти устройства, так и многие другие типы синхронизированных данных. В облаке могут оказаться и сохранённые версии баз данных приложений для мгновенного обмена сообщениями, в которых сохранена история переписки, которую пользователь успел удалить на самом устройстве. Наконец, в облако попадают данные со всех устройств пользователя, зарегистрированных в учётной записи Apple, а не только с того или тех устройств, к которым есть физический доступ.

Второй составляющей облачной криминалистики является доступность данных. Если эксперту известен пароль (код блокировки экрана), то анализ устройства можно провести посредством логического извлечения данных, а при использовании на устройстве версии iOS, в которой была обнаружена уязвимость — и низкоуровневое извлечение файловой системы и связки ключей. Ситуация меняется, если код блокировки устройства неизвестен, а само устройство не подвержено известным уязвимостям. Также нередки ситуации с неработоспособными устройствами, устройствами, которые были заблокированы по той или иной причине; наконец, устройствами, к которым физического доступа просто нет. Облачный анализ позволяет извлечь информацию с удалённых серверов даже в случаях, когда самого устройства на руках у эксперта нет.

Таким образом, облачная криминалистика является полезнейшим дополнением, а в ряде случаев — и полноценной заменой анализа физического устройства, позволяя получить доступ к массиву данных, не уступающему тому, который доступен при логическом анализе iPhone.

Почему нельзя просто скачать данные?

Вторым по частоте является вполне логичный вопрос: если известны логин и пароль в iCloud, для чего нужны специализированные инструменты для доступа к данным? Почему нельзя просто скачать резервную копию или синхронизированные данные? Ответ однозначен: Apple не только не предоставляет инструментов для такого скачивания, но и последовательно затрудняет доступ. Шифрование, аппаратные идентификаторы, временная блокировка учётных записей и многие другие меры предназначены для защиты резервных копий от любых попыток доступа, кроме восстановления на «чистый» iPhone.

Таким образом, единственный способ получить доступ к данным без специализированного ПО будет восстановление недавно сброшенного iPhone из «облачной» резервной копии с последующим извлечением из него полученных данных. Недостатки этого способа очевидны: теряется криминологическая чистота исследования; требуется устройство, работающее под управлением конкретной версии iOS; скорость восстановления — низкая, а трудоёмкость процесса с учётом последующего извлечения — высокая. Специализированное ПО позволяет извлечь как синхронизированные данные, так и данные из резервной копии, а также данные, защищённые «сквозным шифрованием».

Альтернативы ПО для «облачной» криминалистики

В контексте Apple iCloud для ПО «облачной» криминалистики существуют альтернативы, позволяющие правоохранительным органам получить часть данных из «облака». Речь идёт об официальном запросе данных непосредственно у компании Apple. У этого способа есть как преимущества, так и недостатки в сравнении с использованием ПО для «облачной» криминалистики. Преимуществом является то, что знать пароль от учётной записи (а в ряде случаев — и идентификатор учётной записи) пользователя не обязательно; запрос можно оформить как по идентификатору Apple ID, так и по серийному номеру устройства или персональной информации пользователя.

К недостаткам же относится сложность оформления соответствующего запроса и сопутствующих документов, длительное время ожидания ответа и неполный объём данных, возвращаемый компанией. Apple предоставляет ровно те данные, которые были запрошены, за исключением тех, для защиты которых использовалось так называемое «сквозное шифрование» — фактически, ключ шифрования, привязанный к коду блокировки доверенного устройства. Такие данные можно извлечь лишь посредством Elcomsoft Phone Breaker при условии, что известны идентификатор Apple ID, пароль от него, доступен одноразовый код двухфакторной аутентификации и код блокировки экрана или пароль от любого устройства, зарегистрированного в учётной записи в качестве доверенного. Кроме того, Apple возвращает данные в «сыром» виде — то есть, зашифрованными в комплекте с ключами шифрования (повторимся — за исключением контейнеров «сквозного шифрования»). Инструментарий для расшифровки или просмотра данных компания принципиально не предоставляет, поэтому для расшифровки и анализа эксперту так или иначе придётся воспользоваться одним из сторонних решений.

О том, какие типы данных можно обнаружить в облаке iCloud, как они защищены и что требуется для их извлечения — читайте в продолжении!