Извлечь данные из полностью работоспособного iPhone — уже непростая задача, даже если пароль от него известен. Но что делать, если устройство было сброшено, повреждено или заблокировано неизвестным паролем? В таких случаях на помощь приходит облачный анализ — извлечение данных из облака Apple iCloud. О преимуществах и недостатках этого метода — в нашей сегодняшней статье.

Классика: анализ устройства

Для устройств под управлением iOS самым эффективным методом, позволяющим извлечь максимальное количество данных, является низкоуровневый анализ. Таким способом можно извлечь как полный образ файловой системы, так и связку ключей со всеми паролями, сертификатами и ключами шифрования, посредством которых можно расшифровать, к примеру, историю переписки в защищённых мессенджерах (Signal и подобным).

В то же время совместимость низкоуровневых методов извлечения ограничена старыми устройствами и не самыми свежими версиями ОС: разработчики Apple закрывают обнаруженные уязвимости гораздо быстрее, чем сообщество исследователей безопасности обнаруживает новые. Соответственно, отставание методов низкоуровневого анализа от актуальных версий ОС будет оставаться.

Для неподдерживаемых устройств всегда остаётся доступным метод расширенного логического анализа, посредством которого извлекается пусть меньший, но всё ещё объёмный набор данных. Но и этот метод будет недоступен, если устройство не загружается или заблокировано неизвестным паролем.

Нет устройства — нет данных?

В ряде случаев устройство попадает в лабораторию в заблокированном (после ряда неудачных попыток) или сброшенном состоянии. Извлечь из устройства удалённые данные не представляется возможным: используемые в iOS механизмы шифрования гарантируют, что содержимое файла, который был удалён, невозможно расшифровать, даже получив полный доступ к хранилищу.

В других случаях извлечение данных из устройства невозможно по объективным причинам по причине физических повреждений. Если устройство не загружается, то бесполезно даже пытаться прочесть содержимое чипов памяти: большая часть данных на устройстве зашифрована, а ключ доступен лишь в сопроцессоре безопасности Secure Enclave; извлечь его оттуда, если устройство неработоспособно, не представляется возможным.

Во всех этих случаях альтернатива одна: извлечение из облака.

Роль iCloud в облачной криминалистике

Apple iCloud — централизованное облачное хранилище, которое используется в рамках экосистемы Apple для хранения как резервных копий (для iPhone, iPad и iPod Touch), так и для синхронизации данных. Облачные резервные копии впервые появились в iPhone в 2011 году. В них хранятся как системные настройки, так и данные приложений — примерно в том же объёме, что и в нешифрованных локальных резервных копиях. В резервные копии по умолчанию не попадают объёмные данные, которые синхронизируются с облаком — например, фотографии, если пользователь включил сервис синхронизации iCloud Photos. Такие данные можно извлечь из облака отдельно от резервных копий.

Что интересно, Apple не даёт никаких инструментов для доступа к облачным резервным копиям. Единственный официальный способ получить доступ к данным из резервной копии в iCloud — это восстановить её на устройство Apple в процессе начальной настройки. Извлечь синхронизированные данные проще: для этого достаточно установить и авторизовать приложение iCloud for Windows или добавить учётную запись на компьютер Mac. Ни один из этих способов не обеспечит криминалистическую чистоту исследования.

Запрос данных из iCloud: официальный способ не для всех

Правоохранительным органам большинства государств доступен легальный способ получения доступа к облачным данным. Для этого нужно обратиться в Apple с официальным запросом, который оформляется по правилам, описанным в документации (см. ссылки ниже). Кроме правильно оформленного запроса для выдачи данных компании Apple потребуется ордер. Данные, полученные таким способом, примет любой суд — но получить их таким образом непросто в силу юридических и бюрократических причин. Приведём, тем не менее, ссылки на соответствующие документы.

Основной ресурс — страница

• Конфиденциальность – Государственные запросы на раскрытие информации

В ней описаны общие положения и приводятся ссылки на формы и документы, которые доступны только на английском языке:

• Law Enforcement Guidelines (US)
• Government & Law Enforcement outside the United States
• Microsoft Word — gle-inforequest.docx (apple.com)

Для связи с компанией можно использовать информацию со следующей страницы:

• Legal — Contact Us — Apple
• iCloud User Guide — Apple Support

Если же вам не удалось получить данные у Apple официальным способом, остаются неофициальные.

Неофицильный способ

Для неофициального извлечения данных из облака iCloud служит продукт Elcomsoft Phone Breaker, который в своё время произвёл революцию на рынке мобильной криминалистики. Elcomsoft Phone Breaker устраняет необходимость использовать дополнительные устройства для извлечения данных из облака и не требует бюрократических процедур для доступа к данным. Посредством продукта можно скачать как облачные резервные копии, так и синхронизированные и даже защищённые сквозным шифрованием данные — но лишь при наличии соответствующих учётных данных. Для доступа к резервным копиям и простым (незашифрованным) синхронизированным данным из учётной записи пользователя вам потребуются:

1. Apple ID и пароль пользователя.
2. Одноразовый код двухфакторной аутентификации, если она включена.

Подробно о том, какие данные доступны и как их извлечь, мы рассказали в статье:

• Облачная криминалистика iOS: резервные копии в iCloud, синхронизированные и зашифрованные данные

Сквозное шифрование

Сквозное шифрование представляет собой дополнительный слой защиты от неавторизованного доступа. С его помощью можно защитить чувствительные данные (например, пароли от учётных записей) от атак, в которых злоумышленнику (например, в результате фишинговой атаки) стали известны все учётные данные, включая одноразовый код двухфакторной аутентификации. Данные, защищённые сквозным шифрованием, используют дополнительный секрет, без которого доступ невозможен. В iOS таким секретом является код блокировки экрана, а в macOS — локальный пароль пользователя (система не разрешает использовать пароли от облака iCloud в качестве системных). Под «зонтик» сквозного шифрования попадают такие данные, как пароли из облачной связки ключей, история браузера Safari, данные приложения «Здоровье», сообщения iMessage и несколько других категорий.

Elcomsoft Phone Breaker позволяет скачать защищённые сквозным шифрованием данные, если у вас есть всё для входа в аккаунт и дополнительный секрет:

• Логин и пароль от Apple ID пользователя
• Одноразовый код двухфакторной аутентификации (требуется всегда: для аккаунтов без двухфакторной аутентификации сквозное шифрование не поддерживается
• Код блокировки или системный пароль одного из доверенных устройств пользователя в том же Apple ID

Важно отметить, что сама компания Apple не выдаёт зашифрованные сквозным шифрованием данные даже по запросу от правоохранительных органов. Таким образом, Elcomsoft Phone Breaker остаётся единственным способом извлечь эту информацию — но лишь при наличии всех необходимых для этого данных.

Дополнительная защита: Advanced Data Protection for iCloud

Advanced Data Protection for iCloud — дополнительная защита, появившаяся в iOS относительно недавно. При её включении (она опциональна, а для учётных записей из РФ недоступна) практически все облачные данные переводятся в категорию «сквозного шифрования», включая и облачные резервные копии, и фотографии, и многие другие категории синхронизированных данных. Включение этой опции гарантирует, что никто, даже работники Apple, не смогут получить доступа к пользовательским данным.

На данный момент извлечь из облака защищённые таким образом данные не может действительно никто; даже наш продукт пока не поддерживает эту функцию. Единственный доступный способ — восстановить данные на новое устройство Apple; для этого потребуются всё те же учётные данные и код блокировки одного из доверенных устройств.

Юридические тонкости

Доступ к облачным данным и их использование в качестве цифровых доказательств пока находятся в своеобразной «серой зоне». С одной стороны, использование в оперативных целях данных, полученных в результате облачной криминалистики, обычно не вызывает вопросов, но собранные данные могут быть не приняты судом в качестве цифровых доказательств.

Заключение

Облачный анализ — мощный инструмент для извлечения цифровых улик, особенно в ситуациях, когда физический доступ к устройству ограничен или невозможен. Посредством облачного анализа можно восстановить ценные данные, такие как резервные копии, фотографии, контакты, текстовые сообщения и другую важную информацию.

Стоит отметить, что использование облачного анализа для оперативных целей не вызывает сомнений, но в контексте судебного процесса собранные данные могут не быть приняты судом как законные цифровые доказательства, что связано с некоторой правовой неопределённостью этой области. В связи с тем, что доступ к облачным данным может находиться в «серой зоне» правового регулирования, стоит тщательно оценивать легитимность использования этих данных в каждом конкретном случае.

Таким образом, несмотря на техническую возможность извлечения ценных данных, предоставленных облачными сервисами, необходимо помнить о сложностях, связанных с их использованием в качестве доказательств. В будущем, с развитием технологий и усовершенствованием правового регулирования, возможно, эти проблемы будут решены, и облачные данные получат признание в судебной практике.