При извлечении данных из мобильных устройств Apple эксперту может быть доступно несколько способов достижения цели. Порядок, в котором применяются методы извлечения, имеет критическое значение для обеспечения максимально безопасного криминалистически чистого анализа. О том, какими методами и в каком порядке следует пользоваться при извлечении цифровых улик из iPhone — в этой статье.

1. checkm8 (если поддерживается)

Криминалистически чистый метод извлечения, использующий уязвимость загрузчика в ряде устройств Apple, необходимо использовать в первую очередь — если этот метод совместим с конкретной моделью устройства. При успешном использовании checkm8 все прочие методы извлечения (за исключением облачного) использовать не только не нужно, но и вредно: если checkm8 позволяет провести повторное извлечение и получить идентичный верифицируемый результат, то использование любого другого метода, кроме облачного, нарушает криминалистическую чистоту исследования. Никаких новых данных при этом извлечено не будет; разработанный нами способ использования checkm8 позволяет извлечь из устройства максимум возможного.

Этот и три последующих метода извлечения доступны в инструментарии iOS Forensic Toolkit.

Пошаговые инструкции: Извлечение данных из iPhone и iPad посредством checkm8: шпаргалка

2. Агент-экстрактор (для совместимых устройств, не поддерживающих checkm8)

Агент-экстрактор — второй в очереди. Его стоит использовать для устройств, работающих под управлением совместимой с методом версией iOS/iPadOS, и при этом не совместимых с checkm8. После успешного использования агента-экстрактора другие способы (за исключением облачного извлечения) использовать не требуется.

Агент-экстрактор стоит на втором месте потому, что с его помощью можно извлечь как полный образ файловой системы, так и связку ключей, не внося изменений в системном разделе и разделе данных, но оставляя минимальные следы работы в системных журналах. В то же время checkm8 позволяет сделать всё то же самое, не оставляя при этом никаких следов на устройстве. Цифровые улики, извлекаемые посредством агента-экстрактора, являются верифицируемыми, а посредством checkm8 — и верифицируемыми, и повторяемыми.

Таким образом, если устройство совместимо как с checkm8, так и с агентом-экстрактором, рекомендуем использовать только checkm8. Если поддерживается только агент-экстрактор — используйте его. В случаях, когда не поддерживается ни один из этих способов, воспользуйтесь методом расширенного логического анализа.

Пошаговые инструкции: Агент-экстрактор для iPhone и iPad: шпаргалка

3. Логический анализ (резервные копии iTunes)

Первый и обязательный шаг при проведении логического анализа — снятие локальной резервной копии даже в случаях, когда резервные копии защищены паролем.

Это важно, т.к. при снятии такой резервной копии данные сохраняются в их оригинальном виде, а устройство остаётся в статусе «доверенного» с точки зрения iCloud. При необходимости сбросить пароль к резервным копиям обязательно учитывайте последствия этого шага. Удаление (сброс) пароля к резервным копиям производится через настройки устройства командой Reset All Settings (для подтверждения понадобится ввести код блокировки экрана). После выполнения этой команды с устройства удаляется не только пароль к резервной копии, но и код блокировки экрана, что приводит к необратимому удалению некоторых типов данных (транзакций Apple Pay, сообщений Exchange и некоторых других).

Обратите внимание: если резервная копия извлекается посредством iOS Forensic Toolkit, а пароль на резервные копии не установлен, наш продукт автоматически установит временный пароль «123». Это делается для того, чтобы эксперт мог расшифровать пароли из связки ключей и некоторые другие данные, которые недоступны в резервных копиях без пароля.

Пошаговые инструкции: Расширенное логическое извлечение в iOS Forensic Toolkit 8: шпаргалка

4. Расширенный логический анализ

Расширенный логический анализ — прямое продолжение метода логического извлечения. Помимо того механизма, который используется в устройствах Apple для извлечения резервных копий, существует несколько альтернативных протоколов, использование которых позволяет получить доступ к отдельным видам данных. Так, использование протокола AFC позволяет извлечь не только фотографии и видео-файлы, которые хранятся на устройстве, но и получить полную базу внешних метаданных (в дополнение к тем метаданным, которые сохраняются в самих файлах в формате EXIF). Существуют отдельные протоколы для доступа к системным журналам и журналам диагностики, а также для доступа к файлам приложений, доступных при использовании iTunes.

Все эти протоколы поддерживаются в iOS Forensic Toolkit. Обратите внимание: расширенный логический анализ позволяет свободно получить доступ к данным даже в тех случаях, когда на устройстве установлен пароль на резервную копию.

Пошаговые инструкции: Расширенное логическое извлечение в iOS Forensic Toolkit 8: шпаргалка

5. Если пароль на резервную копию установлен и неизвестен

На устройствах iPhone и iPad пользователь может установить пароль, который будет защищать извлекаемые из него резервные копии. В таких случаях мы рекомендуем следующую последовательность действий:

1. Извлечение резервной копии в её исходном (зашифрованном виде) с последующей попыткой подобрать пароль в Elcomsoft Distributed Password Recovery.
2. Оценить возможность сброса пароля и связанные с этим риски. Извлечь из устройства те данные, которые будут удалены после сброса пароля (в первую очередь — транзакции Apple Pay, сообщения Exchange и некоторые другие). Рассмотреть возможность использования устройства (а точнее — его кода блокировки) для извлечения из облака iCloud данных, защищённых сквозным шифрованием.
3. Только после всего перечисленного перейти к процедуре сброса пароля в настройках устройства командой «Reset All Settings».
4. Снова извлечь из устройства резервную копию. Обратите внимание: при использовании с этой целью нашего продукта iOS Forensic Toolkit будет установлен временный пароль «123». Это необходимо для доступа к паролям из связки ключей.

Пошаговые инструкции:Зашифрованные резервные копии в качестве источника цифровых улик и Резервные копии iOS: забытые временные пароли

6. Облачный анализ

В экосистеме Apple присутствует полный набор средств для резервного копирования, восстановления и синхронизации данных через облако. Для доступа к разным категориям данных используются различные механизмы и способы аутентификации. Для того, чтобы извлечь информацию из облака, вам потребуются следующие учётные данные:

1. Идентификатор Apple ID пользователя и пароль от него.
2. Возможность пройти двухфакторную аутентификацию (для этого можно использовать как само доверенное устройство, так и SIM-карту с доверенным телефонным номером).
3. Для доступа к данным, защищённым сквозным шифрованием, также потребуется пароль или код блокировки экрана от одного из доверенных устройств пользователя.

Обладая доступом к перечисленным данным, вы сможете извлечь из облака как резервные копии всех устройств пользователя, привязанных к данной учётной записи, так и синхронизированные данные, включая те, которые защищены сквозным шифрованием. Для доступа к облачным данным используйте Elcomsoft Phone Breaker.

Пошаговые инструкции: Резервные копии в iCloud: всё, что вы хотели знать, но боялись спросить и Облачная криминалистика iOS: резервные копии в iCloud, синхронизированные и зашифрованные данные

Conclusion

Процесс извлечения данных из цифровых устройств является важным аспектом криминалистического анализа, и он должен быть выполнен правильным образом. Это включает в себя использование соответствующих методов извлечения в правильном порядке, чтобы обеспечить максимально возможный уровень точности и надёжности процесса. В этом контексте важно рассмотреть все доступные варианты для конкретного устройства с установленной версией операционной системы, прежде чем начинать процесс извлечения. В этой статье мы рекомендовали наилучший порядок методов извлечения, начиная с наиболее продвинутого метода checkm8 с последующим переходом к другим методам, если в этом возникнет необходимость. Следуя нашим рекомендациям, эксперты-криминалисты смогут извлечь максимально возможный набор данных, при этом минимизировав риски, связанные с анализом устройств Apple.