Elcomsoft iOS Forensic Toolkit

В новых поколениях устройств Apple с 64-битной архитектурой (вплоть до iPhone X) традиционные методы извлечения данных оказались неработоспособны. Компанией «Элкомсофт» был разработан уникальный механизм, позволяющий извлечь существенное количество информации из таких устройств. В iOS Forensic Toolkit доступна возможность извлечения данных из устройств Apple, оснащённых 64-разрядными процессорами. Извлечение данных осуществляется через функцию «TAR FILES», и возвращает архив в формате TAR, содержащий полную копию файловой системы устройства. Для успешной работы функции требуется разблокировать устройство с помощью jailbreak. При извлечении данных из 64-разрядных устройств защищённое хранилище keychain извлекается, но не может быть расшифровано в силу ограничений архитектуры.

У метода физического извлечения данных есть ряд ограничений: доступ к современным устройствам возможен только после установки jailbreak, а данные из keychain не расшифровываются на 64-разрядных устройствах (вплоть до iPhone X). Эти ограничения возможно обойти, использовав логическое извлечение данных.

Данные, полученные в результате процесса логического извлечения, можно проанализировать в Elcomsoft Phone Viewer или сторонних приложениях, поддерживающих формат данных iTunes. Если полученная резервная копия зашифрована неизвестным паролем, нужно использовать Elcomsoft Phone Breaker для подбора пароля и расшифровки данных.

Если пароль на резервную копию не установлен, iOS Forensic Toolkit автоматически установит временный пароль «123», который сбрасывается по завершении процедуры. Использование временного пароля позволит успешно расшифровать keychain, который в противном случае был бы зашифрован аппаратным ключом.

Если устройство заблокировано неизвестным паролем, продукт может использовать для разблокировки lockdown-файлы, создаваемые на компьютере пользователя для упрощения авторизации. Файлы Lockdown действуют до первой перезагрузки устройства.

При помощи iOS Forensic Toolkit можно быстро извлечь полный набор медиа-файлов, включая фотографии, видеоролики, книги и другие медиа-данные. Данный режим предлагает оперативную альтернативу созданию резервных копий. Медиа-файлы успешно извлекаются во всех случаях, даже если установлен неизвестный пароль на резервные копии iTunes. Возможно извлечение из заблокированных устройств посредством lockdown-записей.

Если экран устройства заблокирован неизвестным паролем, но на устройстве установлен jailbreak, с помощью iOS Forensic Toolkit можно извлечь ограниченное количество данных: информацию о входящих звонках и SMS, WAL-файлы, системные журналы и журналы приложений, а также уведомления и входящие сообщения, полученные некоторыми программами для мгновенного обмена сообщениями в то время, когда экран устройства был заблокирован. Для просмотра ищвлечённой с помощью iOS Forensic Toolkit связки ключей keychain потребуется использовать Elcomsoft Phone Breaker.

При использовании логического извлечения разблокирование устройства возможно с помощью lockdown-файлов, извлечённых из компьютера пользователя.

При наличии lockdown-файла, из устройств под управлением iOS возможно извлечь дополнительную информацию даже в тех случаях, когда устройство ни разу не разблокировалось с момента включения или перезагрузки. Для устройств под управлением iOS 8 .. iOS 11:

В отличие от ранее используемых методов расшифровки, Elcomsoft iOS Forensic Toolkit работает с устройством напрямую, что позволяет расшифровывать данные «на лету». При наличии исследуемого устройства становится возможным извлечь из устройства оригинальные ключи, с помощью которых были зашифрованы данные. С помощью этих ключей расшифровка осуществляется в реальном времени – практически мгновенно.

Среднее время снятия образа с 32-гигабайтной версии устройства составляет 20-40 минут. Устройства с большим количеством памяти потребуют пропорционально больше времени.

Одним из немногих исключений является пароль, используемый при включении устройства. Восстановление этого пароля по-прежнему осуществляется полным перебором или методом словарной атаки.

Elcomsoft iOS Forensic Toolkit предоставляет криминалистам полный доступ к информации, хранящейся в защищённом системном хранилище (keychain). В системном хранилище записываются такие данные, как логины и пароли к сайтам, почте, программам и прочим ресурсам. Расшифровка данных из keychain доступна только для 32-разрядных устройств.

Использование логического извлечения позволяет расшифровывать keychain в том числе и для 64-разрядных устройств.

Elcomsoft iOS Forensic Toolkit работает как с использованием пароля на включение устройства, так и без оного. В последнем случае возможны некоторые ограничения в случае работы с системами iOS 4/5/6.

iOS 1.x-3.x: пароль на включение не требуется и не используется. Расшифровываются все данные без исключения. Собственно пароль на включение восстанавливается мгновенно.

iOS 4.0-7.x: часть информации защищена ключами, зависящими от пароля на включение. В частности, следующие данные не могут быть расшифрованы без наличия оригинального пароля: сообщения электронной почты; большинство записей в связке ключей (сохранённые пароли); некоторые данные сторонних приложений.

iOS 8.0-11.x: большинство информации защищено. Без пароля может быть извлечено только очень ограниченное количество данных.

• Сообщения электронной почты;
• Информация из системного хранилища (keychain), включая логины и пароли к сайтам;
• Данные некоторых сторонних программ и приложений в случае использования ими сильного шифрования.

С помощью Elcomsoft iOS Forensic Toolkit можно восстановить точный пароль на включение устройства. В случае с iOS 4+ доступен метод полного перебора, с помощью которого 4-значные цифровые пароли восстанавливаются за 20-40 минут. Более сложные пароли также могут быть восстановлены, однако потребуется больше времени.

При извлечении данных из заблокированного устройства, доступ к информации методом логического извлечения можно получить с помощью актуального lockdown-файла, извлечённого из компьютера пользователя. Для использования lockdown-файла после перезагрузки устройства необходимо разблокировать устройство паролем.