В недавнем обновлении iOS Forensic Toolkit мы добавили поддержку новых-старых версий ОС от Apple, работающих на ряде моделей с чипами, в которых существует уязвимость загрузчика checkm8. В список не вошёл ни один iPhone — просто потому, что Apple давно прекратил поддержку старых iPhone в новых версиях iOS. А вот старые iPad, Apple TV и HomePod получили и продолжают получать обновления. Об этом и о том, как извлечь данные из этих устройств — в сегодняшней статье.

Как мы уже писали в предыдущей статье Образы дисков: как порты, хабы и питание влияют на скорость), лучше всего подключать внешние устройства с выходом USB-C к портам USB-C на компьютере, причём таким, которые могут работать с 10-гигабитными скоростями. Но что, если у вас нет свободного порта USB-C или компьютер и вовсе ими не оборудован? Приходится пользоваться тем, что есть, подключая устройства к портам USB-A. Казалось бы, в чём проблема? Взять любой кабель USB-C / USB-A, подключил — работает! Как бы не так.

Perfect Acquisition — самый надёжный метод извлечения данных из устройств на iOS из всех, разработанных нашей компанией. Этот способ соответствует всем требованиям цифровой криминалистики: результат полностью повторяем, а при его использовании не изменяется ни один бит файловой системы. Если устройство поддерживает Perfect Acqsuition, то применять нужно именно этот метод — и только его. В данной статье описан весь процесс — от получения дампа данных до расшифровки и монтирования образа для анализа.

В течение многих лет с момента появления в составе iOS Forensic Toolkit агента-экстрактора для низкоуровневого доступа к данным мы публиковали материалы о том, как правильно установить агент на устройство и что делать, если возникли проблемы. Со временем наш продукт эволюционировал; постепенно менялось и окружение. Мы старались реагировать, публикуя всё новые и новые статьи. В результате самые старые статьи частично бесполезны, а в обилии обновлений легко запутаться. Сегодня мы решили собрать и актуализировать всю доступную информацию в одном большом материале.

Многочисленные устройства Apple собирают подробную информацию о работе устройств и взаимодействиях с пользователем. Формат журналов неизменен независимо от того, создаются они на устройствах с iOS, iPadOS, watchOS или tvOS, хотя тип и количество записей, конечно же, будет отличаться. В цифровой криминалистике журналы событий играют важную роль. Запись в журнале событий может помочь установить факт физического присутствия или факт осознанного использования устройства, рассказать о том, что пользователь делал с устройством в тот или иной момент времени и даже в каких условиях оно находилось.

Когда речь заходит о цифровых доказательствах, внимание почти всегда приковано к смартфонам. Иногда — к планшетам. Всё остальное из экосистемы — Apple Watch, Apple TV, HomePod, даже старые iPod Touch — часто остаётся за кадром. Между тем, такие устройства вполне могут хранить полезную информацию: журналы активности, сетевые пароли, остатки переписок, ключи, логи и даже фотографии. Однако даже если данные в таких устройствах есть, далеко не всегда их удастся извлечь быстро и с минимальными усилиями. Где-то поможет checkm8, где-то — только логический доступ, а в каких-то случаях все усилия будут напрасны. В этой статье — практический разбор: что реально можно получить с таких «второстепенных» устройств Apple, насколько это сложно и когда вообще стоит за них браться.

Когда накопитель попадает в лабораторию в качестве источника цифровых доказательсв, задача специалиста — обеспечить стабильную работу для снятия образа данных. Это означает, что накопитель, подключённый к компьютеру через блокиратор записи, должен получать питание такой мощности и с такими характеристиками, которые необходимы для его стабильной и бесперебойной работы. На практике это означает не просто «включить», а гарантировать, что питание покрывает как рабочие нагрузки, так и пиковые, возникающие в момент включения некоторых типов накопителей. Разберёмся, сколько потребляет каждый тип накопителей и какое питание для этого нужно — в тех условиях, в которых с ними сталкиваются эксперты.

При работе с мобильными устройствами Apple важна правильная последовательность переходов в различные режимы. Особенно это касается режима DFU (Device Firmware Update), который необходим для извлечения данных с помощью эксплойта checkm8. Попасть в этот режим не так просто — нужна специфическая последовательность нажатий с точным соблюдением таймингов. Если что-то пойдет не так, устройство может просто перезагрузиться, что может привести к крайне нежелательным последствиям. В этой статье объясним, почему перевод в DFU лучше начать с режима восстановления Recovery Mode.

Мы часто говорим о важности неизменности данных при любых действиях с ними со стороны правоохранительных органов. Неизменность важна на протяжении всей цепочки — от первичного осмотра, изъятия и хранения цифровых доказательств до извлечения и анализа включительно. Но помимо этого, не менее важны повторяемость и проверяемость — чтобы другой специалист, используя те же инструменты или точно задокументированные условия, мог воспроизвести процесс и прийти к тем же результатам. В цифровой криминалистике эти качества формируют основу доверия к доказательной базе.

USB-хаб — незаменимый инструмент в лаборатории цифровой криминалистики. Он позволяет подключать накопители, донглы и исследуемые устройства к современным ноутбукам, где часто всего один-два порта USB-C, но его роль этим не ограничивается. Хаб решает проблемы совместимости с адаптерами и кабелями, повышает стабильность работы эксплойта checkm8 при извлечении данных с iPhone. Хороший хаб может упростить и ускорить работу в ряде сценариев. В этой статье мы подробно расскажем, для чего и когда нужно использовать USB-хабы и какую модель стоит выбрать.