Что превращает извлечённые из телефона данные в цифровые улики, а улики — в доказательства? В рамках состязательного судебного процесса в роли доказательств могут выступать лишь такие улики, подлинность которых можно доказать, а корректность извлечения — проверить у независимого эксперта. О доказательстве подлинности цифровых данных и о том, как обеспечить повторяемость извлечения, мы и поговорим в сегодняшней статье.

В преддверии Нового Года мы обновляем iOS Forensic Toolkit, инструмент для низкоуровневого извлечения данных из мобильных устройств Apple. В обновлении добавлена поддержка checkm8 для iOS, iPadOS и tvOS 16.2. В отдельной ветке продукта восстановлена возможность установки агента-экстрактора на мобильные устройства Apple с компьютеров под управлением Windows, в поддержка агента расширена до версии iOS 15.5.

С выходом iOS 16 изменилось многое. Пользователи получили дополнительные инструменты контроля за тем, кто и когда может получать доступ к персональной информации, а эксперты-криминалисты – дополнительную головную боль, связанную с усилением безопасности устройств. О том, что изменится в работе экспертов-криминалистов с выходом iOS 16 – в этой статье.

Связка ключей — важная часть экосистемы Apple, встроенная в операционные системы iOS/iPadOS и macOS. В связке ключей пользователи могут сохранять данные для входа на сайты и в приложения, включая логины, пароли и секреты двухфакторной аутентификации. Но ценность связки ключей для эксперта-криминалиста не ограничивается одними паролями: в ней хранятся и ключи шифрования от безопасных мессенджеров, и маркеры аутентификации, использующиеся для автоматического входа на некоторые ресурсы.

В девятой бета-версии iOS Forensic Toolkit 8.0 для Mac появилась поддержка криминалистически чистого извлечения для ряда моделей iPad, iPod Touch и Apple TV, работающих под управлением всех версий iOS до 15.5 включительно.

С выходом новой операционной системы iOS 15 у пользователей появился ряд новых возможностей, с полным списком которых можно ознакомиться по ссылке. С точки зрения криминалистического анализа интерес представляет возможность создания и хранения в облаке iCloud временных резервных копий, предназначенных для переноса данных на новый iPhone. На такие резервные копии не распространяются квоты на дисковое пространство, но срок их жизни ограничен. Тем не менее, такие резервные копии являются ценным источником данных при извлечении данных из облака.

Эта статья открывает серию публикаций по облачной криминалистике. В статьях мы расскажем о том, какие цели преследует экспертный анализ «облачных» данных и какие возможности открывает такой анализ по сравнению с исследованием физических устройств; опишем типы данных, доступных в облаке, способы их хранения и защиты, а также методы доступа к этим данным. Эта публикация — обзорная; в ней будут изложены основы облачной криминалистики. В следующей статье серии рассказsывается о типах данных в iCloud, методах их защиты и способах извлечения.

Разблокировка и физический анализ iPhone вновь стали доступны — но лишь для ограниченного набора устройств. Для моделей iPhone 4, 5 и 5c можно подобрать код блокировки экрана, снять и расшифровать образ раздела данных и получить полный доступ к связке ключей исключительно программным способом. В этом руководстве описаны шаги, необходимые для создания и расшифровки образа данных iPhone 4, iPhone 5 и iPhone 5c.

Повсеместное распространение постоянно «умнеющих» устройств привело к резкому увеличению объёма конфиденциальной информации, которая хранится в облачных учётных записях производителей. Apple, Google и Microsoft — три основных поставщика облачных услуг, у которых есть собственные ОС и собственные экосистемы. В этом отчёте сравниваются способы защиты пользовательских данных у трёх компаний.

Около года назад широко разошлась информация о том, что Apple отказалась от планов шифрования облачных резервных копий после претензий ФБР. Новость вызвала неоднозначную реакцию в англоязычном сообществе пользователей; обсуждения не утихают до сих пор, время от времени вспыхивая с новой силой. Что на самом деле изменилось в политике шифрования резервных копий, каковы причины и последствия отказа от шифрования? Попробуем разобраться.