Когда речь заходит о цифровых доказательствах, внимание почти всегда приковано к смартфонам. Иногда — к планшетам. Всё остальное из экосистемы — Apple Watch, Apple TV, HomePod, даже старые iPod Touch — часто остаётся за кадром. Между тем, такие устройства вполне могут хранить полезную информацию: журналы активности, сетевые пароли, остатки переписок, ключи, логи и даже фотографии. Однако даже если данные в таких устройствах есть, далеко не всегда их удастся извлечь быстро и с минимальными усилиями. Где-то поможет checkm8, где-то — только логический доступ, а в каких-то случаях все усилия будут напрасны. В этой статье — практический разбор: что реально можно получить с таких «второстепенных» устройств Apple, насколько это сложно и когда вообще стоит за них браться.

Когда накопитель попадает в лабораторию в качестве источника цифровых доказательсв, задача специалиста — обеспечить стабильную работу для снятия образа данных. Это означает, что накопитель, подключённый к компьютеру через блокиратор записи, должен получать питание такой мощности и с такими характеристиками, которые необходимы для его стабильной и бесперебойной работы. На практике это означает не просто «включить», а гарантировать, что питание покрывает как рабочие нагрузки, так и пиковые, возникающие в момент включения некоторых типов накопителей. Разберёмся, сколько потребляет каждый тип накопителей и какое питание для этого нужно — в тех условиях, в которых с ними сталкиваются эксперты.

При работе с мобильными устройствами Apple важна правильная последовательность переходов в различные режимы. Особенно это касается режима DFU (Device Firmware Update), который необходим для извлечения данных с помощью эксплойта checkm8. Попасть в этот режим не так просто — нужна специфическая последовательность нажатий с точным соблюдением таймингов. Если что-то пойдет не так, устройство может просто перезагрузиться, что может привести к крайне нежелательным последствиям. В этой статье объясним, почему перевод в DFU лучше начать с режима восстановления Recovery Mode.

Мы часто говорим о важности неизменности данных при любых действиях с ними со стороны правоохранительных органов. Неизменность важна на протяжении всей цепочки — от первичного осмотра, изъятия и хранения цифровых доказательств до извлечения и анализа включительно. Но помимо этого, не менее важны повторяемость и проверяемость — чтобы другой специалист, используя те же инструменты или точно задокументированные условия, мог воспроизвести процесс и прийти к тем же результатам. В цифровой криминалистике эти качества формируют основу доверия к доказательной базе.

USB-хаб — незаменимый инструмент в лаборатории цифровой криминалистики. Он позволяет подключать накопители, донглы и исследуемые устройства к современным ноутбукам, где часто всего один-два порта USB-C, но его роль этим не ограничивается. Хаб решает проблемы совместимости с адаптерами и кабелями, повышает стабильность работы эксплойта checkm8 при извлечении данных с iPhone. Хороший хаб может упростить и ускорить работу в ряде сценариев. В этой статье мы подробно расскажем, для чего и когда нужно использовать USB-хабы и какую модель стоит выбрать.

Долгое время сборка iOS Forensic Toolkit для macOS оставалась самой функциональной. Только в ней можно было использовать извлечение через эксплойт загрузчика, только из macOS можно было установить приложение агента-экстрактора с обычной учётной записью, и только в ней поддерживались беспроводные адаптеры для часов Apple Watch. Все эти возможности теперь доступны как в сборке для macOS, так и в версии для Linux, что избавляет специалистов от необходимости иметь компьютер Apple. В этой статье мы расскажем о том, как правильно установить продукт на компьютер с Linux.

В обновлении iOS Forensic Toolkit расширяет список моделей, для которых доступно логическое извлечение данных. Поддержка логического извлечения теперь доступна и для часов Apple Watch Series 6 (с помощью проводного стороннего адаптера), а также Apple Watch Series 7–10, SE2, Ultra и Ultra 2 (с использованием специального беспроводного адаптера). С этим обновлением Toolkit охватывает весь модельный ряд Apple Watch без каких-либо исключений.

Последнее обновление iOS Forensic Toolkit решает давнюю проблему, связанную с установкой и использованием агента-экстрактора для низкоуровневого извлечения данных. В версии 8.70 мы внедрили ключевое улучшение: теперь можно установить и запустить агент-экстрактор в режиме офлайн, используя любой аккаунт Apple Developer независимо от даты его создания. Подробнее о проблеме и её решении — в этой статье.

Когда мы слышим слово «SSD», мы представляем привычные накопители для домашних компьютеров — 2,5-дюймовые SATA SSD или компактные модули M.2. Однако в мире серверных решений и центров обработки данных всё устроено иначе. Здесь используются специализированные SSD, зачастую гигантских по меркам обычных пользователей объёмов, которые не похожи на устройства из настольных компьютеров и ноутбуков. Их разрабатывают с прицелом на объём, надёжность, производительность и энергоэффективность, оптимизируют для плотной установки в серверные стойки.  Сегодня мы расскажем о двух таких форматах — U.2 и EDSFF.

До выхода iOS 17.3 (а точнее, iOS 17.3 Developer Preview, в которой впервые появился прототип рассматриваемой функции) для подключения iPhone к компьютеру и подтверждения доверия к устройству требовался только код блокировки экрана. Теперь же у пользователя появилась возможность включить дополнительный уровень защиты. После его активации как для сопряжения с компьютером, так и для совершения целого ряда других действий, затрагивающих чувствительную информацию (их список мы приводили в предыдущей статье на эту тему) кода блокировки уже недостаточно; теперь для сопряжения с новым компьютером нужен и код блокировки экрана, и дополнительная аутентификация с помощью Face ID или Touch ID.