В прошлом месяце мы выпустили вторую бета-версию инструментария iOS Forensic Toolkit, в которой была добавлена возможность низкоуровневого анализа моделей iPhone 5s, 6/6 Plus, 6s/6s Plus/SE. Сегодня мы расширяем список совместимых устройств: поддержка checkm8 добавлена и для моделей iPhone 7 и 7 Plus.

WhatsApp — активно развивающийся проект с более чем двумя миллиардами постоянных пользователей. Простота использования и безопасность, а также финансовые и маркетинговые ресурсы головной компании Facebook превратили WhatsApp в самый популярный инструмент обмена мгновенными сообщениями за пределами Китая. Недавнее внедрение резервных копий, использующих сквозное шифрование, и изменение протокола аутентификации Google временно нарушили работу нашего инструмента по извлечению данных из WhatsApp, но проблемы удалось оперативно исправить.

Вторая бета-версия iOS Forensic Toolkit 8.0, ставшая первой публично доступной сборкой крупного обновления, предлагает новый режим извлечения данных, работающий через эксплойт загрузчика. Новый режим анализа гарантирует криминалистическую чистоту извлечения, повторяемый и верифицируемый результат. В этой статье приводятся инструкции по использованию нового режима.

При работе на выезде определяющим фактором зачастую является время, затраченное на поиск и анализ улик. В то же время важно обеспечить чистоту собранных в процессе анализа данных с правовой точки зрения. При создании образов дисков необходимо обеспечить как неизменность изначальных данных и доказательное соответствие снятого образа оригиналу, так и неизменность самого образа в процессе его хранения и обработки. Новые функции Elcomsoft System Recovery облегчат достижение этих целей.

Для извлечения данных из iCloud, как правило, требуется действующий пароль пользователя, а также прохождение проверки двухфакторной аутентификации. Если же всё, что есть на руках — разблокированный iPhone, то шанс узнать пароль от iCloud невелик. Мы разработали новый способ входа в iCloud с использованием доверенного устройства пользователя, позволяющий получить неограниченный доступ ко всему, что хранится в облаке пользователя.

Извлечение одной кнопкой — давняя и несбыточная мечта специалистов, работающих в области мобильной криминалистики. В наши дни не существует универсальных решений. Разнообразие мобильных устройств и повсеместное использование сквозного шифрования требуют использования всё более изощрённых методов для доступа к данным. Мир современной мобильной криминалистики сложен, и действия эксперта будут зависеть от множества факторов. Сегодня мы расскажем о новом способе аутентификации в iCloud, который ранее не использовался в продуктах для облачного анализа.

Не так давно в iOS Forensic Toolkit для macOS появилась поддержка эксплойта загрузчика checkm8. В новой версии инструментария был добавлен новый режим анализа, позволяющий извлечь образ файловой системы и расшифровать Связку ключей из моделей iPhone 5s, iPhone 6, 6 Plus, 6s, 6s Plus и iPhone SE первого поколения, работающих под управлением любых версий iOS за исключением iOS 7.x. В этой статье подробно описано использование метода извлечения на основе checkm8.

В последнем обновлении инструментария iOS Forensic Toolkit 7.0 мы добавили поддержку устройств последнего поколения iPhone 12, а также других устройств, работающих под управлением версий iOS 14.0 – 14.3. Метод извлечения собственной разработки, основанный на использовании агента-экстрактора, имеет ряд преимуществ по сравнению с альтернативами.

Роль режима восстановления iPhone в мобильной криминалистике невелика, однако даже относительно небольшой объём информации, доступной в этом режиме, может иметь важное значение, если никакие другие способы анализа недоступны. Режим восстановления — один из немногих способов, позволяющих узнать достаточно информации об устройстве для составления официального запроса устройство в Apple, если устройство повреждено, заблокировано или отключено после десяти неудачных попыток разблокировки. Режим восстановления — один из немногих способов, доступных для устройств в режиме ограничения USB.

МойОфис – полноценный набор офисных приложений для работы с электронными документами. По утверждению разработчиков, продукты из набора поддерживают российские криптоалгоритмы. Продукт получил сертификаты соответствия ФСТЭК и ФСБ. Насколько действительно безопасны алгоритмы шифрования МойОфис, и можно ли их взломать? Попробуем разобраться.