Корпоративные решения

Elcomsoft iOS Forensic Toolkit

Криминалистические исследования устройств iPhone/iPad/iPod на основе Apple iOS

Elcomsoft iOS Forensic Toolkit - специализированное программное обеспечение, предназначенное для криминалистического исследования устройств на основе Apple iOS. iOS Forensic Toolkit позволяет экспертам правоохранительных органов производить сбор информации и проводить судебные и компьютерно-технические экспертизы устройств iPhone,iPad и iPod производства компании Apple, работающих под управлением iOS версий 3.x, 4.x и iOS 5.0.

С помощью iOS Forensic Toolkit возможно получить полный доступ к информации, хранящейся в поддерживаемых устройствах. Продукт обеспечивает целостность и неизменность исследуемых данных. С помощью iOS Forensic Toolkit специалисты могут получить доступ к расшифрованному образу файловой системы устройства, расшифровать коды, пароли и прочую защищённую информацию. Доступ к основному массиву данных осуществляется мгновенно, в реальном времени.

Возможности продукта

• Универсальное решение «всё в одном»
• Доступ к полному массиву информации
• Обеспечивается аутентичность исследуемой информации
• Восстановление данных системного хранилища (keychain), паролей и зашифрованных данных
• Быстрый сбор информации (модели с 32 Гб памяти обрабатываются за 20-40 мин)
• Гарантия целостности и неизменности исследуемых данных
• Автоматическое ведение журнала всех следственных действий
• Поддержка всех устройств на основе iOS 3.x и 4.x
• Не требуется знание пароля на включение (*)
• Мгновенное восстановление пароля на включение устройств с iOS до версий 3.x включительно
• Восстановление 4-значных паролей на включение в iOS 4 и 5.0 за 20-40 минут
• Снятие физических и логических образов устройства
• Доступны версии для Mac и Windows
• Ручной и автоматический режимы
• Распространение продукта ограничено; доступен только экспертам правоохранительных органов

Ограниченное использование

Продукт доступен для приобретения исключительно государственными правоохранительными органами.

Доступно больше информации, чем хранится в резервных копиях iPhone

iOS Forensic Toolkit открывает доступ ко всей информации, хранящейся в устройствах iPhone/iPad/iPod. С помощью снятия физического образа устройства обеспечивается доступ к гораздо более широкому спектру данных по сравнению с методом расшифровки резервных копий. Расшифровываются такие данные, как пароли к сайтам, SMS, электронная почта, логины и пароли к программам.

Среди криминалистически важных данных содержится такая информация, как географическое положение устройства в каждый момент времени, карты и маршруты, рассчитанные с помощью Google Maps, история посещений интернет ресурсов, а также практически вся информация, набранная на устройстве с помощью виртуальной клавиатуры.

Гарантия целостности и неизменности данных

Доступ к данным и работа с устройствами обеспечивается без изменения их содержимого. Гарантируются аутентичность и неизменность полученной информации.

Расшифровка данных «на лету»

В отличие от ранее используемых методов расшифровки, Elcomsoft iOS Forensic Toolkit работает с устройством напрямую, что позволяет расшифровывать данные «на лету». При наличии исследуемого устройства становится возможным извлечь из устройства оригинальные ключи, с помощью которых были зашифрованы данные. С помощью этих ключей расшифровка осуществляется в реальном времени – практически мгновенно.

Среднее время снятия образа с 32-гигабайтной версии устройства составляет 20-40 минут. Устройства с большим количеством памяти потребуют пропорционально больше времени.

Одним из немногих исключений является пароль, используемый при включении устройства. Восстановление этого пароля по-прежнему осуществляется полным перебором или методом словарной атаки.

Восстановление данных системного хранилища (keychain)

Elcomsoft iOS Forensic Toolkit предоставляет криминалистам полный доступ к информации, хранящейся в защищённом системном хранилище (keychain). В системном хранилище записываются такие данные, как логины и пароли к сайтам, почте, программам и прочим ресурсам.

Работа без пароля на включение устройства

Elcomsoft iOS Forensic Toolkit работает как с использованием пароля на включение устройства, так и без оного. В последнем случае возможны некоторые ограничения в случае работы с системами iOS 4.x и 5.0.

iOS 1.x-3.x: пароль на включение не требуется и не используется. Расшифровываются все данные без исключения. Собственно пароль на включение восстанавливается мгновенно.

iOS 4.x/5.0: : часть информации защищена ключами, зависящими от пароля на включение. В частности, следующие данные не могут быть расшифрованы без наличия точного пароля:

• Сообщения электронной почты;
• Информация из системного хранилища (keychain), включая логины и пароли к сайтам;
• Данные некоторых сторонних программ и приложений в случае использования ими сильного шифрования.

Восстановление пароля на включение в iOS 4.x и 5.0

С помощью Elcomsoft iOS Forensic Toolkit можно восстановить точный пароль на включение устройства. В случае с iOS 4.x/5.0 доступен метод полного перебора, с помощью которого 4-значные цифровые пароли восстанавливаются за 20-40 минут. Более сложные пароли также могут быть восстановлены, однако потребуется больше времени.

Поддержка депонированных ключей

С помощью депонированных ключей (escrow file) возможна расшифровка защищённых данных и без знания пароля на включение устройства. Файлы депонированных ключей создаются на любом компьютере, к которому устройство подключалось с целью синхронизации.

Системные требования

iOS Forensic Toolkit для Mac OS X работает на компьютерах Mac с архитектурой процессоров Intel. Поддерживается система OS X 10.6 (Snow Leopard) либо Mac OS X 10.7 (Lion). Требуется установка iTunes 10.2 или более поздней версии.

Версия для Microsoft Windows работает на компьютерах под управлением Windows XP, Vista и Windows 7. Требуется установка iTunes 10.2 или более поздней версии.

Работа программы и в других версиях Windows и Mac OS X возможна, но не гарантируется.

Совместимые устройства и платформы

iOS Forensic Toolkit поддерживает следующие устройства, работающие под управлением системы iOS:

• iPhone 3G
• iPhone 3GS
• iPhone 4 (GSM и CDMA модели)
• iPod Touch (все поколения)
• iPad (только 1-е поколение)

Поддерживаемые операционные системы:

• iPhone OS (iOS 3.x) – вплоть до версии iOS 3.1.3
• iOS 4.x – вплоть до версии iOS 4.3.5 (до версии iOS 4.2.10 для iPhone 4 CDMA)
• iOS 5

	iPhone 3G iPod Touch 1, iPod Touch 2		iPhone 3Gs, iPod Touch 3го поколения, iPad		iPhone 4, iPod Touch 4го поколения
	iOS <= 3.x	iOS 4.x	iOS 3.x	iOS 4.x/5.0	iOS 4.x/5.0
Снятие физического образа
Работа с логическим образом
Восстановление пароля на включение	мнгновенно		мнгновенно
Расшифровка системного хранилища
Расшифровка диска(*)	не применимо**	не применимо**	не применимо**	***

(*) Устройства с оригинально установленной iOS 3.x, включая устройства под управлением iOS 4.x, которые были обновлены до версии iOS 3.x без проведения“полной переустановки”, не используют опцию защиты данных (Data Protection). Соответственно, пользовательские разделы не зашифровываются, и их расшифровка не требуется.

(**) Устройства под управлением iOS версий 3.x и более ранних не используют защиту данных (Data Protection), и пользовательские разделы не шифруют.

(***) Устройства, поставляемые с установленной iOS 3.x и обновлённые до версии iOS 4.x без проведения полной переустановки (т.е. с использованем режима ‘Обновление’ в iTunes вместо режима «Восстановление»), не включают режим защиты данных (Data Protection) и не зашифровывают пользовательские разделы.