При извлечении данных из мобильных устройств Apple эксперту может быть доступно несколько способов достижения цели. Порядок, в котором применяются методы извлечения, имеет критическое значение для обеспечения максимально безопасного криминалистически чистого анализа. О том, какими методами и в каком порядке следует пользоваться при извлечении цифровых улик из iPhone — в этой статье.
Криминалистически чистый метод извлечения, использующий уязвимость загрузчика в ряде устройств Apple, необходимо использовать в первую очередь — если этот метод совместим с конкретной моделью устройства. При успешном использовании checkm8 все прочие методы извлечения (за исключением облачного) использовать не только не нужно, но и вредно: если checkm8 позволяет провести повторное извлечение и получить идентичный верифицируемый результат, то использование любого другого метода, кроме облачного, нарушает криминалистическую чистоту исследования. Никаких новых данных при этом извлечено не будет; разработанный нами способ использования checkm8 позволяет извлечь из устройства максимум возможного.
Этот и три последующих метода извлечения доступны в инструментарии iOS Forensic Toolkit.
Пошаговые инструкции: Извлечение данных из iPhone и iPad посредством checkm8: шпаргалка
Агент-экстрактор — второй в очереди. Его стоит использовать для устройств, работающих под управлением совместимой с методом версией iOS/iPadOS, и при этом не совместимых с checkm8. После успешного использования агента-экстрактора другие способы (за исключением облачного извлечения) использовать не требуется.
Агент-экстрактор стоит на втором месте потому, что с его помощью можно извлечь как полный образ файловой системы, так и связку ключей, не внося изменений в системном разделе и разделе данных, но оставляя минимальные следы работы в системных журналах. В то же время checkm8 позволяет сделать всё то же самое, не оставляя при этом никаких следов на устройстве. Цифровые улики, извлекаемые посредством агента-экстрактора, являются верифицируемыми, а посредством checkm8 — и верифицируемыми, и повторяемыми.
Таким образом, если устройство совместимо как с checkm8, так и с агентом-экстрактором, рекомендуем использовать только checkm8. Если поддерживается только агент-экстрактор — используйте его. В случаях, когда не поддерживается ни один из этих способов, воспользуйтесь методом расширенного логического анализа.
Пошаговые инструкции: Агент-экстрактор для iPhone и iPad: шпаргалка
Первый и обязательный шаг при проведении логического анализа — снятие локальной резервной копии даже в случаях, когда резервные копии защищены паролем.
Это важно, т.к. при снятии такой резервной копии данные сохраняются в их оригинальном виде, а устройство остаётся в статусе «доверенного» с точки зрения iCloud. При необходимости сбросить пароль к резервным копиям обязательно учитывайте последствия этого шага. Удаление (сброс) пароля к резервным копиям производится через настройки устройства командой Reset All Settings (для подтверждения понадобится ввести код блокировки экрана). После выполнения этой команды с устройства удаляется не только пароль к резервной копии, но и код блокировки экрана, что приводит к необратимому удалению некоторых типов данных (транзакций Apple Pay, сообщений Exchange и некоторых других).
Обратите внимание: если резервная копия извлекается посредством iOS Forensic Toolkit, а пароль на резервные копии не установлен, наш продукт автоматически установит временный пароль «123». Это делается для того, чтобы эксперт мог расшифровать пароли из связки ключей и некоторые другие данные, которые недоступны в резервных копиях без пароля.
Пошаговые инструкции: Расширенное логическое извлечение в iOS Forensic Toolkit 8: шпаргалка
Расширенный логический анализ — прямое продолжение метода логического извлечения. Помимо того механизма, который используется в устройствах Apple для извлечения резервных копий, существует несколько альтернативных протоколов, использование которых позволяет получить доступ к отдельным видам данных. Так, использование протокола AFC позволяет извлечь не только фотографии и видео-файлы, которые хранятся на устройстве, но и получить полную базу внешних метаданных (в дополнение к тем метаданным, которые сохраняются в самих файлах в формате EXIF). Существуют отдельные протоколы для доступа к системным журналам и журналам диагностики, а также для доступа к файлам приложений, доступных при использовании iTunes.
Все эти протоколы поддерживаются в iOS Forensic Toolkit. Обратите внимание: расширенный логический анализ позволяет свободно получить доступ к данным даже в тех случаях, когда на устройстве установлен пароль на резервную копию.
Пошаговые инструкции: Расширенное логическое извлечение в iOS Forensic Toolkit 8: шпаргалка
На устройствах iPhone и iPad пользователь может установить пароль, который будет защищать извлекаемые из него резервные копии. В таких случаях мы рекомендуем следующую последовательность действий:
Пошаговые инструкции:Зашифрованные резервные копии в качестве источника цифровых улик и Резервные копии iOS: забытые временные пароли
В экосистеме Apple присутствует полный набор средств для резервного копирования, восстановления и синхронизации данных через облако. Для доступа к разным категориям данных используются различные механизмы и способы аутентификации. Для того, чтобы извлечь информацию из облака, вам потребуются следующие учётные данные:
Обладая доступом к перечисленным данным, вы сможете извлечь из облака как резервные копии всех устройств пользователя, привязанных к данной учётной записи, так и синхронизированные данные, включая те, которые защищены сквозным шифрованием. Для доступа к облачным данным используйте Elcomsoft Phone Breaker.
Пошаговые инструкции: Резервные копии в iCloud: всё, что вы хотели знать, но боялись спросить и Облачная криминалистика iOS: резервные копии в iCloud, синхронизированные и зашифрованные данные
Процесс извлечения данных из цифровых устройств является важным аспектом криминалистического анализа, и он должен быть выполнен правильным образом. Это включает в себя использование соответствующих методов извлечения в правильном порядке, чтобы обеспечить максимально возможный уровень точности и надёжности процесса. В этом контексте важно рассмотреть все доступные варианты для конкретного устройства с установленной версией операционной системы, прежде чем начинать процесс извлечения. В этой статье мы рекомендовали наилучший порядок методов извлечения, начиная с наиболее продвинутого метода checkm8 с последующим переходом к другим методам, если в этом возникнет необходимость. Следуя нашим рекомендациям, эксперты-криминалисты смогут извлечь максимально возможный набор данных, при этом минимизировав риски, связанные с анализом устройств Apple.
Elcomsoft iOS Forensic Toolkit – специализированный инструмент для проведения криминалистического анализа устройств, работающих под управлением Apple iOS. Для анализа доступна вся пользовательская и системная информация, а также зашифрованные данные из системного хранилища (связка ключей).
Инструмент для криминалистов, извлекающий и расшифровывающий данные из резервных копий устройств iOS, Windows Phone и BlackBerry и соответствующих облачных сервисов. Доступ в iCloud по паролю либо маркеру аутентификации, извлечённому из компьютера пользователя. Поддержка двухфакторной аутентификации. Расшифровка Keychain и ускорение перебора паролей на видеокартах AMD и NVIDIA. Словарные атаки для ускоренного восстановления паролей.
Elcomsoft Phone Viewer – простой и компактный инструмент для просмотра информации, извлечённой из резервных копий устройств под управлением Apple iOS, облачных сервисов iCloud и Microsoft. При работе с данными iOS поддерживается восстановление и просмотр удалённых сообщений SMS и iMessage. Продукт позволяет просматривать контакты, сообщения, список звонков, данные заметок и календаря.