Логический анализ — термин, который чаще всего встречается в контексте анализа устройств Apple. В то же время трудно найти другой термин, который трактовался бы так же широко, часто — неверно. В этой статье мы расскажем о том, что из себя представляет современный логический анализ и почему «логический анализ» iPhone — далеко не то же самое, что «резервная копия».

Введение

Возможно, вам встречались таблицы, на которых изображены различные методы извлечения данных из мобильных устройств. В таких таблицах часто упоминаются такие методы, как «анализ чипов» или даже «считывание на микроуровне», что бы под этим ни подразумевалось.

Объединяет подобные таблицы то, что почти всегда в них присутствует такой способ, как логическое извлечение (логический анализ). Этот метод — самый простой, совместимый и надёжный из всех доступных. В то же время посредством логического анализа можно получить доступ далеко не к полному набору данных, хранящихся на устройстве. Несмотря на это, простота и совместимость логического анализа делают его самым популярным способом, использующимся экспертами-криминалистами. Мы расскажем о том, как, приложив совсем немного дополнительных усилий, получить из устройства заметно больший объём данных, не выходя за рамки логического анализа.

Что такое «логический» анализ?

В контексте устройств Apple, куда входят как устройства iPhone и iPad, так и гаджеты Apple Watch и Apple TV, «логический» анализ чаще всего используется как синоним к «резервной копии». Это не вполне правильно.

Во-первых, ни Apple TV, ни часы Apple Watch не способны к созданию полноценной резервной копии; так могут работать только устройства iPhone и iPad.

Во-вторых, логический анализ не ограничивается одними лишь резервными копиями. В него входят и извлечение медиа-файлов по отдельному протоколу, и доступ к системным журналам, и даже извлечение файлов приложений (вновь по отдельному протоколу). Остановимся на этих моментах подробнее.

Медиа-файлы

В медиа-файлы входят фотографии, видео и аудио-файлы, которые хранятся отдельно от резервных копий. Доступ к этим данным получается по протоколу AFC, причём файлы и метаданные к ним извлекаются независимо от того, установлен ли на резервную копию пароль или нет. Помимо самих файлов по протоколу AFC извлекаются и метаданные, хранящиеся в системной базе данных. В состав метаданных входят как уменьшенные копии изображений (часто попадаются и уменьшенные копии фотографий, которые были удалены с устройства), данные о местоположении, дате и времени съёмки, информация о редактировании и принадлежности к альбомам, данные о распознанных объектах и лицах и многое другое.

Журнал диагностики

Не стоит недооценивать значимость системных журналов! В них попадаются важные данные, из которых можно сделать заключение о том, как использовалось устройства в тот или иной момент времени. Добраться до системных журналов можно при помощи Elcomsoft iOS Forensic Toolkit.

Файлы приложений

Несмотря на название, «файлы приложений» — это не те файлы, которые хранятся в «песочнице» каждой установленной на устройстве программы. Некоторые приложения дают доступ к хранящимся в их «песочницах» файлам для других программ, а также с компьютера через iTunes. Такие приложения — это и Microsoft Office, и некоторые программы хранения паролей, и многочисленные медиа-проигрыватели. Извлечь эти данные можно также при помощи Elcomsoft iOS Forensic Toolkit.

Подключение и авторизация устройства

Первый подводный камень может возникнуть уже в момент подключения устройства к компьютеру. В современных версиях iOS есть функция безопасности, которая ограничивает возможность коммуникации между компьютером и устройством, если с момента последнего подключения к порту USB или Lightning прошло определённое время. Теперь, чтобы подключить iPhone или iPad к компьютеру, устройство придётся разблокировать. Сработает как код блокировки экрана, так и разблокировка биометрическим датчиком.

Подключение устройства — половина дела; далее потребуется авторизовать «доверенное» соединение, для чего на самом устройстве понадобится ввести код блокировки экрана (биометрический датчик здесь бесполезен). Раньше этот момент можно было обойти, использовав файл lockdown, но в последних версиях iOS время жизни этих файлов настолько короткое, что об их практическом использовании можно забыть.

Резервные копии: с паролем или без?

Иногда резервная копия — это всё, что есть в распоряжении эксперта. Резервных копий может быть несколько. Не пренебрегайте старыми резервными копиями в пользу более свежих: в них могут содержаться важные улики, которые были впоследствии удалены с устройства.

На резервную копию может быть установлен пароль, и этот пароль может стать проблемой. Пароль резервного копирования является свойством устройства, и после его установки вы не сможете создать очередную резервную копию без пароля. Неважно, к какому компьютеру вы подключаете устройство и какой замечательной программой для создания резервных копий воспользуетесь; независимо от внешних условий все резервные копии будут создаваться с одним и тем же паролем, и изменить его невозможно, если он неизвестен. Но есть нюансы.

Начиная с iOS 10.2 перебор паролей к резервным копиям очень медленный (несколько паролей в секунду на процессоре и пару сотен на современной видеокарте); с большой вероятностью вы не сможете взломать даже относительно простой пароль за какое-то разумное время.

Начиная с iOS 11, Apple представила способ удаления пароля путём сброса настроек устройства (для этого вам потребуется код блокировки). Звучит просто? Так и есть, но эта операция имеет и негативные последствия, так как сбрасывается и пароль устройства:

• Удаляются некоторые пользовательские данные (например, история транзакций Apple Wallet)
• Удаляется почта и сообщения Microsoft Exchange
• Удаляются данные некоторых приложений, для работы которых требуется наличие кода блокировки
• Удаляются некоторые записи из связки ключей
• Удаляются токены iCloud
• Удаляются данные для входа в некоторые приложения и онлайновые сервисы (в т.ч. в некоторые мессенджеры)

Последний пункт, вероятно, нуждается в пояснении. Если на вашем устройстве выполнен вход в iCloud и на этом устройстве установлен пароль (и вы знаете этот пароль), в большинстве случаев вы сможете изменить пароль iCloud, не зная старого. Это даёт полный доступ к данным iCloud: файлам, хранящимся на диске iCloud, резервным копиям iCloud, синхронизированным данным iCloud (включая «сквозное шифрование»). Но как только вы сбросите настройки устройства (и, как следствие, пароль устройства), это возможность будет утрачена.

Интересный момент: если резервный пароль не установлен, то лучшей стратегией будет установить его самостоятельно. Защищённые паролем резервные копии содержат намного больше данных по сравнению с незашифрованными. В их число входят связка ключей устройства, журнал диагностики, список звонков, история Safari и многое другое.

Наконец, в некоторых случаях сбросить настройки не удастся. Этому могут помешать:

• Установленный на устройстве профиль MDM (Mobile Device Management)
• Пароль Экранного времени

Пароль Screen Time всегда состоит из 4 цифр, но его очень трудно взломать. После нескольких неудачных попыток iOS вводит часовую задержку между попытками. В худшем перебор может занять до 10,000 часов, и этот процесс невозможно ускорить.

Связка ключей

Связка ключей iOS, в которой хранятся как логины и пароли пользователя к сайтам и приложениям, так и многочисленные токены аутентификации, является составной частью резервной копии. В то же время в резервных копиях без пароля содержимое связки ключей шифруется аппаратным ключом устройства, который невозможно извлечь логическим способом. Установка известного пароля на резервную копию решает проблему: в этом случае содержимое связки ключей будет зашифровано тем же самым паролем, что и остальное содержимое резервной копии.

Отметим, что даже из зашифрованной резервной копии связка ключей извлекается не полностью: не включаются многие ключи шифрование, токены и т.п. Дополнительно отметим, что при низкоуровневом (не логическом!) анализе устройства можно извлечь как полную связку ключей, так и пароль от резервной копии.

Резервные копии в iCloud

Облачные резервные копии не являются частью логического анализа, но не относятся и к низкоуровневым способам доступа; само устройства для извлечения данных из облака не требуется. В облаке хранится практически столько же данных, сколько содержится в локальной резервной копии. В то же время резервную копию iPhone нельзя просто скачать на компьютер: Apple не даёт для этого никаких инструментов, и данные можно только восстановить на новый или сброшенный iPhone, из которого их потом потребуется как-то извлечь. Для скачивания данных есть наш продукт Elcomsoft Phone Breaker. Для доступа к облачным данным вам понадобятся логин и пароль пользователя и доступ ко второму фактору аутентификации (настроенному доверенному устройству или SIM-карте).

Помимо резервных копий, в облаке хранятся и другие данные, включая защищённые «сквозным шифрованием». Чтобы извлечь эти данные, вам также понадобится Elcomsoft Phone Breaker. Дополнительно к логину и паролю (и второму фактору аутентификации) вам нужен будет и код-пароль от одного из доверенных устройств пользователя (код блокировки iPhone, системный пароль к компьютеру Mac и т.п.)

Заключение

Мы многократно писали, но не вредно повторить: не существует ни одного решения для криминалистов, способного выдать полностью достоверный результат нажатием одной кнопки. Каким бы продвинутым не был тот или иной инструмент, какой прекрасной репутацией не обладал его производитель, не стоит слепо верить рекламным листовкам. Помните: в мобильной криминалистике нет простых путей.