Elcomsoft iOS Forensic Toolkit (EIFT) — чрезвычайно мощный продукт, предназначенный для извлечения данных из различных устройств Apple, от iPhone до HomePod. Но если в простейших случаях для использования продукта достаточно единственного кабеля Lightning, то максимально раскрыть возможности инструментария невозможно без некоторых дополнительных аксессуаров. В этой статье мы рассмотрим обязательные и дополнительные аксессуары, которые необходимы для эффективного использования продукта.

Инструментарий: Elcomsoft iOS Forensic Toolkit (EIFT)

На момент написания этой статьи iOS Forensic Toolkit доступен в трёх редакциях: для компьютеров Windows, Linux, и Mac. Редакции отличаются по своим возможностям; в зависимости от того, какой способ извлечения выбран, вам может потребоваться компьютер под управлением macOS или Linux. Все три редакции поставляются с аппаратным лицензионным ключом, который потребует свободного порта USB. Если свободного порта с разъёмом USB-A в компьютере нет, вам также потребуется соответствующий хаб.

Подытожим:

1. Elcomsoft iOS Forensic Toolkit (редакции для Windows, Linux и Mac)
2. Лицензионный USB-ключ

Компьютер: Mac, Linux или Windows PC

EIFT может работать на компьютерах с Windows, Linux и macOS, но возможности, доступные эксперту, отличаются в зависимости от выбранной платформы. Некоторые возможности продукта доступны только в редакциях для Linux и macOS, и не поддерживаются в редакции для Windows. Сюда входят:

1. checkm8: извлечение через эксплойт загрузчика работает только в редакциях для macOS и Linux в силу зависимости от реализации драйвера USB.
2. Отладка через последовательный порт: на практике используется крайне редко, поддерживается только в macOS и Linux.
3. Доступ через SSH: полезная возможность для продвинутых пользователей.

Большинство возможностей, доступных в редакции для Mac, доступно и в версии для Linux — за единственным исключением:

1. Установка агента-экстрактора с обычной учётной записью (не требуется регистрация в программе Apple для разработчиков). На сегодняшний день эта возможность работает только в версии для macOS; во всех остальных редакциях для установки агента на устройство потребуется учётная запись Apple ID, зарегистрированная в программе для разработчиков (Apple Developer).

Рекомендуем использовать компьютеры на базе процессора Apple Silicon (M1/M2/M3).

Raspberry Pi Pico

Raspberry Pi Pico — это доступный по цене одноплатный микроконтроллер, который весьма полезен для выполнения ряда специфических задач. Он настолько дёшев, что мы рекомендуем приобрести сразу три экземпляра — это поможет избежать необходимости перепрошивки устройства при использовании в разных сценариях. Его можно использовать для следующих целей:

1. Эксплойт Apple A5/A5X: Pico можно использовать для загрузки эксплойта этих конкретных чипов Apple.
2. Автоматические снимки экрана: Pico позволяет автоматизировать захват экрана для создания «длинных» скриншотов.
3. Автоматический вход в режим DFU (A11+): Pico упрощает процесс входа в режим DFU для устройств с чипами A11 и более поздних.

Для выполнения этих задач потребуются дополнительные кабели и адаптеры, о которых рассказывается в следующих разделах.

Raspberry Pi 4

Не перепутайте: в отличие от Pico, Raspberry Pi 4 — это полноценный одноплатные микрокомпьютер с архитектурой ARM. Мы настоятельно рекомендуем использовать именно Raspberry Pi 4 для установки и первого запуска агента-экстрактора. Это устройство помогает создать функциональный файрволл, чтобы обезопасить процесс установки и первого запуска агента. При использовании macOS можно обойтись и программным вариантом, но аппаратное решение надёжнее и удобнее в использовании. Кроме того, мы поддерживаем модели Raspberry Pi 3B/3B+, Orange Pi 5 и Orange Pi R1 Plus RTS, однако Raspberry Pi 4 остаётся рекомендованным вариантом в силу его широкой распространённости и поддержки со стороны сообщества разработчиков.

Помимо, собственно, микрокомпьютера вам понадобится источник питания USB-C с соответствующим кабелем для Raspberry Pi.

Кабели

В простых случаях можно обойтись и единственным кабелем Lightning от Apple, но за исключением простейших операций набор необходимых для работы кабелей увеличивается. Рекомендуем иметь под рукой как минимум следующие кабели:

1. USB-C — Lightning (рекомендуем для логического извлечения и агента-экстрактора; такие кабели обладают более высокой скоростью и надёжностью в сравнении с вариантом на USB-A)
2. USB-A — Lightning (такие кабели обязательны при использовании checkm8)
3. USB-A — Apple 30-pin

Кроме того, вам понадобятся дополнительные кабели:

1. Micro-USB > USB-A Female (OTG) для подключения iPhone/iPad к Raspberry Pi Pico
2. USB-A > micro-USB для прошивки Raspberry Pi Pico
3. Два кабеля Ethernet

Адаптеры

Также потребуются несколько адаптеров, особенно для устройств, отличных от iPhone или iPad:

1. Адаптер GoldenEye (Foxlink X892) для Apple TV
2. Универсальный адаптер для Apple Watch или отдельные адаптеры для моделей на 38/40/42/44mm для часов Apple Watch S0/S1; S2/S3; S4/S5/S6, SE (1 поколения)
3. Адаптер для Apple HomePod (его можно распечатать на 3D-принтере)

Кроме того, вам могут понадобиться следующие адаптеры:

1. Dupont-контакты с порта USB-A на 5V+заземление (для питания Raspberry Pi Pico)
2. Адаптер Lightning to USB 3 Camera Adapter
3. Dupont-контакты с Lightning на 5V+заземление+данные (инструкции)
4. USB-A — Ethernet
5. Lightning — Ethernet

Дополнительные аксессуары

Существуют и другие аксессуары, которые нужно иметь под рукой:

1. Карта microSD и карт-ридер: понадобятся для загрузки Raspberry Pi. Для работы достаточно карт с минимальным объёмом 4ГБ, но более скоростные карты памяти, как правило, доступны только в вариантах с большей ёмкостью.
2. Хаб USB-C с портами USB-A: крайне рекомендуем использовать такой хаб при работе с checkm8: эксплойт работает с его использованием более надёжно. Вместо хаба можно использовать адаптер USB-C — USB-A, но хаб будет полезен и для подключения лицензионного USB-ключа EIFT, если в вашем компьютере недостаточно свободных портов USB-A.
3. Мышь с подключением через USB: будет полезна для того, чтобы функция снятия длинных скриншотов работала более надёжно.

Полезные дополнения

Наконец, есть несколько полезных, но необязательных аксессуаров:

1. Адаптер DSCD для последовательной отладки: помогает решить проблемы с отдельными устройствами, работающими на определённых версиях ОС Apple. Кроме того, он пригодится для быстрого ввода Apple TV 4K в режим DFU.
2. Внешний диск (желательно с интерфейсом USB-C): важный и неотъемлемый компонент для сохранения полученных данных. Рекомендуем использовать объёмные NVME-накопители в корпусе USB-C. Имейте в виду, что современные мобильные устройства могут иметь накопители объёмом до терабайта, а некоторые версии iPad Pro — и до двух терабайт.
3. Клетка Фарадея и внешний аккумулятор.

Знания и опыт

Даже лучший в мире продукт, запущенный на самом мощном компьютере не сможет сделать за вас вашу работу. Доступные методы извлечения данных зависят как от модели устройства, так и от версии операционной системы, которая на нём запущена. Для успешного извлечения данных нужно заранее подготовиться и хорошо понимать все особенности доступных вариантов.

Наконец, важно понять, что не существует решения одной кнопки. Независимо от доступного программного и аппаратного обеспечения, ждать чудес не приходится: для эффективной экспертизы вам потребуются все ваши знания и весь накопленный опыт.