Для безопасной установки агента-экстрактора в процессе низкоуровневого извлечения данных в ряде случаев требуется использовать файрволл, ограничивающий возможности нежелательного выхода устройства в интернет. Мы разработали два решения: полностью программный вариант, работающий на компьютерах с macOS, и аппаратный, использующий микрокомпьютер Raspberry Pi или подобный с нашей прошивкой. В этой статье мы поможем выбрать наилучший вариант для ваших задач и потребностей.

Для начала уточним: описанные ниже решения не являются файрволлами в традиционном смысле слова (то есть, они не защищают от внешних атак). Наши решения имеют конкретную цель: максимально ограничить доступ в интернет, позволив устройству подключаться только к определённым серверам.

В теории для этой же цели можно использовать и обычный роутер, настроив в нём «белый список» адресов, однако далеко не все роутеры в принципе позволяют это сделать (как из-за особенностей прошивки роутеров, так и из-за некоторых нюансов на стороне Apple: в частности, адрес одного из адресов меняется каждые несколько минут).

В результате мы решили разработать собственные решения, предназначенные для решения одной конкретной задачи.

Для чего нужен файрволл?

Напомним вкратце причины, по которым мы рекомендуем использовать файрволл в процессе установки агента-экстрактора. Низкоуровневое извлечение из устройств iPhone и iPad методом агента-экстрактора требует установки специального приложения, которое должно быть подписано цифровой подписью посредством учётной записи Apple ID. Если для подписи используется обычная учётная запись, не зарегистрированная в программе Apple для разработчиков, то в процессе установки система потребует верифицировать цифровую подпись, подключившись к серверу Apple. Более того, даже использование учётной записи разработчика не гарантирует полностью офлайновой установки:  если для установки агента-экстрактора вы используете учётную запись разработчика, созданную после 6.6.2021, то цифровую подпись потребуется верифицировать при первом запуске агента.

Установка соединения с сервером требует подключения к сети интернет, что в свою очередь связано с риском искажения цифровых улик в процессе нежелательной синхронизации с облаком, а в худшем случае грозит потенциальной удалённой блокировкой устройства или уничтожением данных.

Использование программного или аппаратного файрволла позволяет безопасно установить агент-экстрактор, разрешив исследуемому устройству доступ к серверу для верификации цифровой подписи, но заблокировав доступ в интернет.

Исключение: если для установки агента-экстрактора вы используете учётную запись разработчика, созданную до 6.6.2021, то выход исследуемого устройства в интернет для верификации подписи не нужен, как не нужен, соответственно, и файрволл.

Программный файрволл (только для macOS)

Программный файрволл реализован в виде исполняемого скрипта для компьютеров под управлением macOS. Если в вашем распоряжении есть такой компьютер, то из дополнительного оборудования вам понадобится только кабель для подключения исследуемого устройства iPhone или iPad к компьютеру (то есть, кабель Lightning to USB Type-C либо двусторонний кабель USB Type-C в зависимости от модели) и дополнительный тестовый iPhone для проверки соединения. Подробные инструкции по работе с программным файрволлом — здесь.

Преимущества:

1. Если у вас есть компьютер с macOS, понадобится только ещё один iPhone.
   Для настройки программного файрволла необходимо иметь компьютер под управлением macOS с доступом в интернет и дополнительный тестовый iPhone для проверки соединения. Если это оборудование уже имеется в вашем распоряжении, никаких других специализированных устройств вам не понадобится.

Недостатки:

1. Нужен тестовый смартфон.
   В процессе настройки потребуется тестовый телефон для проверки соединения и для того, чтобы убедиться, что никакие другие узлы устройству недоступны. В то же время тестовый телефон можно использовать в том числе и для прохождения двухфакторной аутентификации, которая будет необходима в процессе генерации цифровой подписи (в теории для этого можно использовать и компьютер с macOS, однако в силу технических причин это может быть неудобным). В любом случае, тестовый телефон может пригодиться и для других задач, так что инвестиция в дополнительный iPhone (по сравнению с приобретением на порядки более дешёвого Raspberry Pi 4) может в конечном итоге оказаться оправданной.
2. Требует внимания при настройке.
   Уровень сложности настройки программного файрволла на macOS выше среднего. Если вы никогда не работали со скриптами и настройкой сетевых конфигураций в macOS, вы можете столкнуться с неожиданными трудностями. Незначительная ошибка в настройках может привести к печальным последствиям.
3. Высокая вероятность ошибок.
   Программный файрволл требует внимательности и точности. Ошибки могут привести к нежелательным последствиям: либо не пройдет проверка цифровой подписи, либо устройство получит неограниченный доступ к интернету со всеми вытекающими последствиями. В последнем случае это чревато удалённой блокировкой или стиранием данных.

Аппаратный (точнее — аппаратно-программный) файрволл

Аппаратный файрволл можно реализовать как на устройствах Raspberry Pi (инструкция), так и некоторых подобных микрокомпьютерах сторонних производителей — например, Orange Pi (инструкция). У этого способа есть свои достоинства и недостатки.

Преимущества:

1. Широкая совместимость.
   Аппаратный файрволл работает на собственном устройстве, поэтому совместим с iOS Forensic Toolkit всех редакций — macOS, Windows и Linux.
2. Простота использования.
   После первоначальной настройки аппаратный файрволл работает автономно. Для работы достаточно подключить телефон, пройти проверку несколькими кликами и пользоваться без лишних усилий.
3. Низкая вероятность ошибок.
   Настройка аппаратного файрволла проста и интуитивна, что минимизирует риски ошибок из-за неправильной конфигурации.

Недостатки:

1. Требуется дополнительное оборудование.
   Для создания аппаратного файрволла понадобится:
   • Микрокомпьютер Raspberry Pi (версии 3 или 4) или Orange Pi R1 Plus LTS.
   • Дополнительные компоненты, такие как адаптеры USB-C to Ethernet (один или два, в зависимости от подключаемого устройства) и Lightning to Ethernet (для подключения старых моделей iPhone), блок питания (или внешний аккумулятор, если требуется полная автономность), сетевой кабель Ethernet.
2. Дополнительные настройки для Wi-Fi.
   Если микрокомпьютер подключается к интернет по Wi-Fi, потребуется дополнительная настройка через SSH для подключения к сети. Однако это нужно сделать только один раз для каждой сети Wi-Fi.
3. При использовании Windows или Linux потребуется ещё одно устройство Apple.
   Для создания цифровой подписи вам в любом случае понадобится пройти проверку двухфакторной аутентификации, а код 2FA проще и надёжнее всего получать именно на устройства Apple, причём при использовании временных (одноразовых) Apple ID гораздо проще использовать для получения кодов отдельное устройство. По этой причине вам понадобится тестовый iPhone, который, впрочем, нелишним будет использовать и с целью проверки работоспособности файрволла.

Ключевые различия

Мы свели ключевые различия между подходами в таблицу.

Итоговые рекомендации