Криминалистический анализ устройств iPhone/iPad/iPod на основе Apple iOS

Elcomsoft iOS Forensic Toolkit – специализированный продукт для криминалистического исследования устройств на основе Apple iOS. iOS Forensic Toolkit позволяет экспертам правоохранительных органов производить сбор информации и проводить судебные и компьютерно-технические экспертизы устройств iPhone, iPad и iPod производства компании Apple, работающих под управлением iOS версий 3-10.

С помощью iOS Forensic Toolkit возможно получить полный доступ к информации, хранящейся в поддерживаемых устройствах. Продукт обеспечивает целостность и неизменность исследуемых данных. С помощью iOS Forensic Toolkit специалисты могут получить доступ к расшифрованному образу файловой системы устройства, расшифровать коды, пароли и прочую защищённую информацию. Доступ к основному массиву данных осуществляется мгновенно, в реальном времени.

Возможности продукта

• Универсальное решение «всё в одном»
• Доступ к полному массиву информации
• Обеспечивается аутентичность исследуемой информации
• Поддерживаемые методы извлечения данных: физическое извлечение для 32- и 64-разрядных устройств[^3], логическое извлечение для всех типов устройств
• Частичное извлечение данных из заблокированных устройств
• Восстановление данных системного хранилища (keychain), паролей и зашифрованных данных
• Быстрый сбор информации (модели с 32 Гб памяти обрабатываются за 20-40 мин)
• Гарантия целостности и неизменности исследуемых данных (для поколений устройств до iPhone 4 и более старых)
• Автоматическое ведение журнала всех следственных действий
• Поддержка устройств на основе iOS с 3.x по 9.3.3 методом физического извлечения
• Поддержка устройств под управлением iOS с 9.3.4 по 10.х методом логического извлечения
• Не требуется знание пароля на включение
• Мгновенное восстановление пароля на включение устройств с iOS до версий 3.x включительно
• Восстановление 4-значных паролей на включение в iOS 4/8 за 20-40 минут
• Снятие физических и логических образов устройства
• Доступны версии для Mac и Windows
• Ручной и автоматический режимы

Доступно больше информации, чем хранится в резервных копиях iPhone

iOS Forensic Toolkit открывает доступ ко всей информации, хранящейся в устройствах iPhone/iPad/iPod. С помощью снятия физического образа устройства обеспечивается доступ к гораздо более широкому спектру данных по сравнению с методом расшифровки резервных копий. Расшифровываются такие данные, как пароли к сайтам, SMS, электронная почта, логины и пароли к программам.

Среди криминалистически важных данных содержится такая информация, как географическое положение устройства в каждый момент времени, карты и маршруты, рассчитанные с помощью Google Maps, история посещений интернет ресурсов, а также практически вся информация, набранная на устройстве с помощью виртуальной клавиатуры.

Поддержка 64-разрядных устройств

В новых поколениях устройств Apple с 64-битной архитектурой (iPhone 5S, 6, 6S) традиционные методы извлечения данных оказались неработоспособны. Компанией «Элкомсофт» был разработан уникальный механизм, позволяющий извлечь существенное количество информации из таких устройств. В iOS Forensic Toolkit доступна возможность извлечения данных из устройств Apple, оснащённых 64-разрядными процессорами. Извлечение данных осуществляется через функцию «TAR FILES», и возвращает архив в формате TAR, содержащий полную копию файловой системы устройства. Для успешной работы функции требуется разблокировать устройство с помощью jailbreak. При извлечении данных из 64-разрядных устройств защищённое хранилище keychain извлекается, но не может быть расшифровано в силу ограничений архитектуры.

Логическое извлечение данных

У метода физического извлечения данных есть ряд ограничений: доступ к современным устройствам возможен только после установки jailbreak, а данные из keychain не расшифровываются на 64-разрядных устройствах (iPhone 5s и более новые). Эти ограничения возможно обойти, использовав логическое извлечение данных.

Данные, полученные в результате процесса логического извлечения, можно проанализировать в Elcomsoft Phone Viewer или сторонних приложениях, поддерживающих формат данных iTunes. Если полученная резервная копия зашифрована неизвестным паролем, нужно использовать Elcomsoft Phone Breaker для подбора пароля и расшифровки данных.

Если пароль на резервную копию не установлен, iOS Forensic Toolkit автоматически установит временный пароль «123», который сбрасывается по завершении процедуры. Использование временного пароля позволит успешно расшифровать keychain, который в противном случае был бы зашифрован аппаратным ключом.

Если устройство заблокировано неизвестным паролем, продукт может использовать для разблокировки lockdown-файлы, создаваемые на компьютере пользователя для упрощения авторизации. Файлы Lockdown действуют до первой перезагрузки устройства.

Поддержка заблокированных устройств

Если экран устройства заблокирован неизвестным паролем, но на устройстве установлен jailbreak, с помощью iOS Forensic Toolkit можно извлечь ограниченное количество данных: информацию о входящих звонках и SMS, WAL-файлы, системные журналы и журналы приложений, а также уведомления и входящие сообщения, полученные некоторыми программами для мгновенного обмена сообщениями в то время, когда экран устройства был заблокирован.

При использовании логического извлечения разблокирование устройства возможно с помощью lockdown-файлов, извлечённых из компьютера пользователя.

Гарантия целостности и неизменности данных

Доступ к данным и работа с устройствами обеспечивается без изменения их содержимого. Гарантируются аутентичность и неизменность полученной информации. (Только для 32-разрядных устройств).

Расшифровка данных «на лету»

В отличие от ранее используемых методов расшифровки, Elcomsoft iOS Forensic Toolkit работает с устройством напрямую, что позволяет расшифровывать данные «на лету». При наличии исследуемого устройства становится возможным извлечь из устройства оригинальные ключи, с помощью которых были зашифрованы данные. С помощью этих ключей расшифровка осуществляется в реальном времени – практически мгновенно.

Среднее время снятия образа с 32-гигабайтной версии устройства составляет 20-40 минут. Устройства с большим количеством памяти потребуют пропорционально больше времени.

Одним из немногих исключений является пароль, используемый при включении устройства. Восстановление этого пароля по-прежнему осуществляется полным перебором или методом словарной атаки.

Восстановление данных системного хранилища (keychain)

Elcomsoft iOS Forensic Toolkit предоставляет криминалистам полный доступ к информации, хранящейся в защищённом системном хранилище (keychain). В системном хранилище записываются такие данные, как логины и пароли к сайтам, почте, программам и прочим ресурсам. Расшифровка данных из keychain доступна только для 32-разрядных устройств.

Использование логического извлечения позволяет расшифровывать keychain в том числе и для 64-разрядных устройств.

Работа без пароля на включение устройства

Elcomsoft iOS Forensic Toolkit работает как с использованием пароля на включение устройства, так и без оного. В последнем случае возможны некоторые ограничения в случае работы с системами iOS 4/5/6.

iOS 1.x-3.x: пароль на включение не требуется и не используется. Расшифровываются все данные без исключения. Собственно пароль на включение восстанавливается мгновенно.

iOS 4.0-7.x: часть информации защищена ключами, зависящими от пароля на включение. В частности, следующие данные не могут быть расшифрованы без наличия оригинального пароля: сообщения электронной почты; большинство записей в связке ключей (сохранённые пароли); некоторые данные сторонних приложений.

iOS 8.0-10.x: большинство информации защищено. Без пароля может быть извлечено только очень ограниченное количество данных.

• Сообщения электронной почты;
• Информация из системного хранилища (keychain), включая логины и пароли к сайтам;
• Данные некоторых сторонних программ и приложений в случае использования ими сильного шифрования.

Восстановление пароля на включение в iOS 4+

С помощью Elcomsoft iOS Forensic Toolkit можно восстановить точный пароль на включение устройства. В случае с iOS 4+ доступен метод полного перебора, с помощью которого 4-значные цифровые пароли восстанавливаются за 20-40 минут. Более сложные пароли также могут быть восстановлены, однако потребуется больше времени.

Поддержка lockdown-файлов

При извлечении данных из заблокированного устройства, доступ к информации методом логического извлечения можно получить с помощью актуального lockdown-файла, извлечённого из компьютера пользователя. Для использования lockdown-файла после перезагрузки устройства необходимо разблокировать устройство паролем.

Системные требования

iOS Forensic Toolkit для Mac OS X работает на компьютерах Mac с архитектурой процессоров Intel. Поддерживается система macOS с версии 10.6 по 10.12 (Sierra). Требуется установка iTunes 10.6 или более поздней версии.

macOS 10.10.5-10.12 и более новые: версия iOS Forensic Toolkit для Mac OS X имеет ограничение на поддержку старых устройств (iPhone 4 и ниже), требующих переключения в режим DFU. Более новые устройства поддерживаются штатным образом.

Версия для Microsoft Windows работает на компьютерах под управлением Windows 7, 8, 8.1, 10. Требуется установка iTunes 10.6 или более поздней версии.

Работа программы в других версиях Windows и macOS возможна, но не гарантируется.

Совместимые устройства и платформы

iOS Forensic Toolkit поддерживает следующие устройства, работающие под управлением системы iOS:

• iPhone 3G, 3GS, 4 (GSM и CDMA модели), iPod Touch (до 4го поколения включительно), iPad
• iPhone 4S, 5, 5C, iPod Touch 5го поколения: требуется jailbreak
• iPad 2, iPad с Retina дисплеем, iPad Mini: требуется jailbreak
• iPhone 5S, 6, 6S, 6/6S Plus: требуется jailbreak, используется 64-битный процесс извлечения
• iPad Air, Air 2, Pro, iPad mini 2-4: требуется jailbreak, используется 64-битный процесс извлечения
• iPhone 7, 7 Plus, а также другие устройства под управлением iOS 9.3.4, 9.3.5, 10.x: только логическое извлечение; устройство необходимо разблокировать паролем, датчиком отпечатков пальцев либо с помощью депонированного ключа (lockdown record)

Поддерживаемые операционные системы:

• iPhone OS 1-3 (включая iOS 3.1.3)
• iOS 4.x - включая iOS 4.3.5 (включая iOS 4.2.10 для iPhone 4 CDMA)
• iOS 5.x
• iOS 6.x
• iOS 7.x (требуется Pangu 1.2+ jailbreak)
• iOS 8.x (требуется TaiG jailbreak)
• iOS 9 до 9.3.3 включительно (требуется Pangu jailbreak)
• iOS 9.3.4, 9.3.5, 10.x (только логическое извлечение, потребуется разблокировать устройство паролем, Touch ID или депонированным ключом)