Процесс низкоуровневого извлечения данных из iPhone и iPad требует установки на устройство специальной программы — агента-экстрактора. Агент прост в использовании, но после изменений на стороне Apple его установка стала вызывать проблемы даже у опытных пользователей. Мы уже публиковали варианты решений этой проблемы; сегодня мы расскажем ещё об одном.

Коротко о главном

Низкоуровневое извлечение в iOS Forensic Toolkit из мобильных устройств Apple при помощи агента-экстрактора требует установки специального приложения, которое должно быть подписано цифровой подписью; подробно этот механизм мы разобрали в статье Низкоуровневый анализ iOS: установка агента-экстрактора. В ряде случаев либо после установки, либо при первом запуске приложения система потребует верифицировать подпись, подключившись к серверу Apple. Установка соединения с сервером несёт риск искажения цифровых улик в в процессе нежелательной синхронизации с облаком, а в худшем случае грозит потенциальной удалённой блокировкой устройства или уничтожением данных. Использование Orange Pi R1 Plus LTS с нашей прошивкой позволит безопасно установить агент-экстрактор, верифицировав цифровую подпись, заблокировав исследуемому устройству доступ в интернет.

Внимание: если для установки агента-экстрактора вы используете учётную запись разработчика, созданную до 6.6.2021, то выход исследуемого устройства в интернет для верификации подписи не нужен, как не нужен, соответственно, и файрволл.

Проблема не новая, и мы уже разработали несколько вариантов решения. Вот они:

1. Программный способ: скрипт для ограничения соединений для macOS
2. Прошивка для Raspberry Pi4, реализующая функциональный файрволл
3. Наконец, вариант из этой статьи: прошивка, реализующая функциональный файрволл на Orange Pi R1 Plus LTS

Преимущества Orange Pi R1 Plus LTS

В сравнении с платой Raspberry Pi 4 устройство Orange Pi R1 Plus LTS обладает рядом преимуществ именно в качестве устройства, работающего как файрволл. Orange Pi R1 Plus LTS дешевле (порядка около 3,500 рублей за вариант в корпусе) и более распространён, но главное — Orange Pi R1 Plus LTS оборудован двумя физическими портами Ethernet, что избавит от необходимости ещё одного адаптера USB-Ethernet.

Да, Raspberry Pi 4 мощнее и более универсален, но именно для работы в качестве файрволла Orange Pi R1 Plus LTS подходит лучше. Выделим его основные преимущества:

1. Доступность: Orange Pi R1 Plus LTS легко найти в свободной продаже. Наш же проект EIFTPI свободно распространяется на GitHub с открытым исходным кодом.
2. Дешевизна: Orange Pi R1 Plus LTS доступен за очень небольшие деньги; в сравнении с Raspberry Pi 4 он заметно дешевле. Наличие второго порта Ethernet позволит сэкономить и на покупке адаптера USB-Ethernet, который потребовался бы в случае с Raspberry Pi 4.
3. Два сетевых порта: в устройстве не один, а два физических сетевых интерфейса Ethernet: «LAN» (расположен рядом с портом USB-C) и «WAN.» В нашем решении порт LAN используется для подключения платы к интернету, а порт WAN — для подключения к плате устройства iPhone или iPad через соответствующий переходник USB-C — Ethernet или Lightning — Ethernet).

Дополнительное оборудование

Для настройки файрволла и подключения к нему iPhone вам потребуется дополнительное оборудование:

1. Карта microSD
2. Блок питания или кабель Type-C для подключения Orange Pi R1 Plus LTS (энергопотребление платы настолько невелико, что вполне хватает питания, подаваемого с портов USB-C компьютера Mac или MacBook)
3. Адаптер для подключения к порту Ethernet устройств iPhone или iPad (USB-C — Ethernet или Lightning — Ethernet)
4. Два сетевых кабеля Ethernet: один для подключения платы к роутеру, второй — для подключения к плате iPhone или iPad

Инструкции по установке прошивки на Orange Pi R1 Plus LTS

Скачайте образ прошивки из GitHub — Elcomsoft/eiftpi и запишите его на SD-карту:

• Вставьте SD-карту в компьютер.
• Запустите выбранное приложение для прошивки и выберите скачанный образ.
• Выберите SD-карту как целевой носитель.
• Нажмите кнопку «Записать», чтобы записать образ прошивки на SD-карту.
• По завершении процесса извлеките SD-карту из компьютера.

Далее всё просто:

1. Установите карту microSD с прошивкой в Orange Pi R1 Plus LTS и подключите плату к питанию
2. Подключите к плате iPhone при помощи адаптера Lightning — Ethernet. Внимание: на Orange Pi R1 Plus LTS используйте порт WAN
3. Подключите плату Orange Pi R1 Plus LTS к интернету. Используйте для этого порт LAN

Важно: при использовании Orange Pi R1 Plus LTS в качестве файрволла, всегда подключайте iPhone или iPad к порту, который расположен поблизости от коннектора GPIO (он помечен как «WAN»). Второй порт, который расположен поблизости от порта USB-C и помечен как «LAN», используется для подключения платы Orange Pi R1 Plus LTS к интернету.

Если вы предпочитаете беспроводное подключение через Wi-Fi (не рекомендуется) или хотите самостоятельно собрать образ прошивки, на сайте проекта GitHub — Elcomsoft/eiftpi есть дополнительные инструкции.

Использование Orange Pi R1 Plus LTS в качестве функционального файрволла

Orange Pi R1 Plus LTS оборудован двумя физическими сетевыми интерфейсами Ethernet, оба из которых используются нашей прошивкой. Один интерфейс (тот, который обозначен на корпусе как LAN, ближе к порту USB-C) должен быть подключён к интернету, а другой (обозначенный как WAN, расположен правее) будет использоваться для подключения iPhone. Для подключения iPhone вам понадобится адаптер Lightning to Ethernet.

На этом всё! Вы успешно установили прошивку на Orange Pi R1 Plus LTS. Подключите плату устройства к интернету, после чего подключите iPhone к Orange Pi R1 Plus LTS с помощью кабеля. Рекомендуем для начала подключить таким образом тестовый iPhone, чтобы убедиться, что доступ к интернету ограничен: на iPhone должны быть доступны только адреса ppq.apple.com и humb.apple.com. Также должен быть доступен адрес www.elcomsoft.com (на нём и можно проверить), а, к примеру, www.apple.com (или любой другой) — соответственно, не должен быть доступен.