При оборудовании лаборатории для цифровой криминалистики исключительно важно наличие широкого набора инструментов. Выбрать единственный «правильный» продукт невозможно практически: различные инструменты имеют разную специализацию, а специфика их использования подразумевает внимательность и дополнительные проверки. Сегодня мы поговорим о том, как один из лучших инструментов для извлечения данных iOS Forensic Toolkit использовать совместно с аналитическим продуктом Cellebrite Physical Analyzer.
Наша компания специализируется на разработке программ для извлечения данных из устройств экосистемы Apple. В области извлечения у наших решений есть ряд уникальных возможностей, включая следующие.
Криминалистически чистое извлечение через эксплойт загрузчика checkm8: наше решение предоставляет возможность получить верифицируемый и повторяемый результат при извлечении из широчайшего ряда устройств от iPhone 3Gs с iPhone OS 3.0 до самых последних устройств, в которых была найдена уязвимость загрузчика.
Агент-экстрактор для низкоуровневого извлечения: мы разработали уникальное решение для низкоуровневого извлечения образа файловой системы и связки ключей из широкого набора устройств. Многие пытались повторить наше решение, но решить проблемы с совместимостью и получить такой же надёжный результат не получилось ни у одного нашего конкурента.
Поддержка большинства устройств экосистемы Apple: мы поддерживаем не только iPhone и iPad, но и такие устройства, как Apple Watch, Apple TV, и даже колонки HomePod.
Несмотря на все преимущества наших решений, наша основная специализация — извлечение данных. Изучение и анализ добытой при помощи наших продуктов информации мы оставляем профессиональным инструментам аналитической направленности — в частности, Cellebrite Physical Analyzer.
Успешное извлечение данных из устройства — даже не половина работы. Далее следует внимательное изучение и анализ полученной информации. Часть данных можно и нужно просматривать вручную; в первую очередь это относится к паролям пользователя. Однако основной массив данных, как правило, огромен, особенно если имеется несколько источников. Для их анализа требуется использовать специализированное ПО.
Cellebrite Physical Analyzer — один из лучших представителей этой категории благодаря развитым средствам анализа, стабильной работе и поддержке огромного числа источников данных. По нашему мнению, этот продукт должен быть в лаборатории каждого эксперта. В сочетании с возможностями наших продуктов по извлечению данных Cellebrite Physical Analyzer позволяет проводить тщательный анализ в процессе расследования. Но помните: доверяй, но проверяй. Даже самый удачный инструмент — это всего лишь инструмент. Все полученные данные необходимо перепроверять; в конечном итоге, ответственность за представленные выводы всегда лежит на эксперте, а не на инструменте.
Агент-экстрактор из Elcomsoft iOS Forensic Toolkit создаёт образ файловой системы в формате .tar и сохраняет расшифрованную связку ключей в формате .xml. Распаковать архив достаточно просто (хоть и не всегда быстро); в то же время анализ связки ключей — не самая простая задача. В связке ключей содержится важная информация, и это далеко не только пароли: в её состав входят, к примеру, ключи шифрования, при помощи которых можно расшифровать защищённые базы данных таких мессенджеров, как Signal. Но делать это вручную — сложный процесс. Гораздо проще загрузить массив данных в программу для анализа. В некоторых таких программах есть требование, чтобы файл связки ключей находился рядом с основным массивом данных и имел определённое имя, соответствующее имени архива .tar. Разработчики Cellebrite поступили изящнее:
В совсем старых устройствах Apple (до iPhone 5c включительно) не было аппаратного модуля безопасности Secure Enclave. Для них мы разработали уникальный метод извлечения Perfect HFS Acquisition, в котором сохраняется побитовый образ диска в формате DMG. Cellebrite поддерживает и этот формат, но с оговоркой: связку ключей из него программа не извлекает. Надеемся, что в будущих версиях Cellebrite Physical Analyzer эта проблема будет решена. В то же время конкурирующие продукты постепенно отказываются от поддержки этого формата данных — и совершенно, на наш взгляд, напрасно: мы постоянно получаем сообщения о том, что в очередную лабораторию поступило очередное старое устройство.
После того, как Elcomsoft iOS Forensic Toolkit успешно извлёк данные, их можно импортировать в Cellebrite Physical Analyzer по следующей инструкции:
Select File | Open case…:
В окне «Load Evidence» нажмите «+ Add». Далее выберите «Open (Advanced)»:
Нажмите «Select Device»:
В окне «Open (Advanced)» нажмите «Select Device» для указания типа данных.
Для данных агента-экстрактора:
Для образов DMG:
Агент-экстрактор (дополнительно):
Убедитесь, что и образ файловой системы (.tar), и связка ключей (.xml) корректно загружены и отображаются в соответствующих полях.
DMG (дополнительно):
При работе с образом DMG также убедитесь, что файл .dmg корректно загружен. К сожалению, в актуальной версии Cellebrite Physical Analyzer связка ключей из файла .dmg не будет загружена.
Дальнейшие шаги:
В настоящий момент мы рассматриваем совместимость файлов, которые производит наш продукт, с ещё одним популярным продуктом, Magnet AXIOM, о чём мы планируем написать отдельную статью. Кроме того, мы всегда открыты для партнёрства и сотрудничества, и готовы предоставить наши продукты и подробное техническое описание форматов другим поставщикам криминалистического ПО (например, MSAB и Compelson), предоставив всю необходимую поддержку для внедрения наших форматов данных. Наконец, мы работаем над возможностью конвертации из формата DMG в формат архива .tar, что позволит упростить исследование для тех, кто предпочитает удобство абстрактному техническому совершенству. Отметим, однако, что в файлах DMG содержатся более подробные метаданные о файлах.
В заключение отметим, что совместное использование наших продуктов и специализированных продуктов для анализа позволяет существенно ускорить и углубить расследования, связанные с устройствами Apple. Совместное использование наших продуктов для извлечения и ПО Cellebrite для анализа данных даёт в руки экспертов всё необходимое для максимально подробного исследования.
Elcomsoft iOS Forensic Toolkit – специализированный инструмент для проведения криминалистического анализа устройств, работающих под управлением Apple iOS. Для анализа доступна вся пользовательская и системная информация, а также зашифрованные данные из системного хранилища (связка ключей).