Elcomsoft iOS Forensic Toolkit

Accesso forense ai dispositivi iPhone / iPad / iPod con Apple iOS

Eseguire l’acquisizione forense completa dei dati utente memorizzati nei dispositivi iPhone/iPad/iPod. Elcomsoft iOS Forensic Toolkit consente ai file system dei dispositivi di imaging, di estrarre i segreti dei dispositivi (codici di accesso, password e chiavi di crittografia) e di accedere ai dispositivi bloccati tramite record di blocco.

Vedere Dispositivi e piattaforme compatibili per i dettagli.

Acquisizione fisica di dispositivi iOS

L’acquisizione fisica è l’unico metodo di acquisizione per estrarre dati completi dell’applicazione, elementi portachiavi protetti, messaggi scaricati e cronologia delle posizioni. L’acquisizione fisica restituisce più informazioni rispetto all’acquisizione logica grazie all’accesso diretto a basso livello ai dati.

Elcomsoft iOS Forensic Toolkit supporta dispositivi jailbroken a 64 bit (iPhone 5s e versioni successive) che eseguono la maggior parte delle versioni di iOS (soggetto a disponibilità di jailbreak). L’uso di un jailbreak basato su bootrom consente l’acquisizione parziale di file system & portachiavi per BFU, modelli di iPhone bloccati e disabilitati che vanno dall’iPhone 5s all’iPhone X (tramite jailbreak checkra1n). File system completo e acquisizione completa di portachiavi per dispositivi sbloccati da questa gamma di dispositivi.

Estrazione completa del file system e decrittografia del portachiavi senza jailbreak

Un metodo di estrazione senza jailbreak basato sull’accesso diretto al file system è disponibile per una gamma limitata di dispositivi iOS. Utilizzando uno strumento di estrazione sviluppato internamente, questo metodo di acquisizione installa un agente di estrazione sul dispositivo in fase di acquisizione. L’agente comunica con il computer dell’esperto, offrendo prestazioni robuste e una velocità di estrazione estremamente elevata che supera i 2,5 GB di dati al minuto.

Meglio ancora, l’estrazione basata su agenti è completamente sicura in quanto non modifica la partizione di sistema né rimonta il file system mentre esegue l’hashing automatico al volo delle informazioni estratte. L’estrazione basata su agenti non apporta alcuna modifica ai dati dell’utente, offrendo un’estrazione forense.

Sia l’immagine del file system che tutti i record del portachiavi vengono estratti e decrittografati. Il metodo di estrazione basato su agenti offre prestazioni solide e risultati in un’estrazione forense. La rimozione dell’agente dal dispositivo dopo l’estrazione richiede una semplice pressione di un pulsante.

È possibile estrarre il file system completo o utilizzare l’opzione di estrazione express, acquisendo solo i file dalla partizione utente. Saltando i file memorizzati nella partizione di sistema del dispositivo, l’opzione Express extraction aiuta a ridurre il tempo necessario per eseguire il lavoro e a ridurre lo spazio di archiviazione di diversi gigabyte di contenuto statico.

L’installazione e la firma dell’agente di estrazione richiede un ID Apple registrato nell’Apple Developer Program. L’edizione Mac elimina questo requisito, consentendo di utilizzare un normale ID Apple per la firma e il sideloading dell’agente di estrazione sul dispositivo iOS.

Sblocco e imaging di dispositivi legacy: iPhone 4, 5 e 5c

Sblocco del codice di accesso e supporto per l’imaging sono disponibili per i modelli di iPhone legacy.

Il Toolkit può essere utilizzato per sbloccare i dispositivi crittografati iPhone 4, 5 e 5c protetti con un codice di blocco dello schermo sconosciuto tentando di recuperare il PIN originale a 4 cifre o 6 cifre. Questo attacco DFU funziona alla velocità di 13,6 codici di accesso al secondo su dispositivi iPhone 5 e 5c e richiede solo 12 minuti per sbloccare un iPhone protetto con PIN a 4 cifre. I PIN a 6 cifre impiegheranno fino a 21 ore. Un attacco intelligente verrà utilizzato automaticamente per tentare di tagliare questa volta il più possibile. In meno di 4 minuti, lo strumento proverà diverse migliaia di codici di accesso più comunemente usati come 000000, 123456 o 121212, seguiti da PIN a 6 cifre in base alle date di nascita. Con 74.000 di questi, l’attacco intelligente richiede circa 1,5 ore. Se ancora non riuscito, viene avviata la forza bruta completa del resto dei codici di accesso. (Nota: il recupero del codice di accesso funziona alla velocità di 6,6 codici di accesso al secondo su iPhone 4).

L’acquisizione fisica completa è disponibile per i dispositivi iOS legacy, inclusi iPhone 4, 5 e 5c. Per tutti i modelli supportati, il Toolkit può estrarre l’immagine bit-precisa della partizione utente e decifrare il portachiavi. Se il dispositivo esegue iOS da 4 a 7, l’imaging può essere eseguito anche senza rompere il codice di blocco dello schermo, mentre i dispositivi che eseguono iOS da 8 a 10 richiedono prima di rompere il codice di accesso. Per tutti i modelli supportati, il Toolkit può estrarre e decifrare la partizione utente e il portachiavi.

Note: Solo Mac edition; iPhone 4s non è supportato. Per iOS da 4 a 7, il recupero del codice di accesso non è richiesto per l’imaging del dispositivo. Per iOS 8 e 9, il codice di accesso deve essere recuperato prima dell’imaging (in caso contrario, è disponibile un’estrazione BFU limitata).

Acquisizione logica

iOS Forensic Toolkit supporta l’acquisizione logica, un metodo di acquisizione più semplice e sicuro rispetto a quello fisico. L’acquisizione logica produce un backup standard in stile iTunes delle informazioni memorizzate nel dispositivo, estrae file multimediali e condivisi ed estrae i registri degli arresti anomali del sistema. Mentre l’acquisizione logica restituisce meno informazioni di quelle fisiche, si consiglia agli esperti di creare un backup logico del dispositivo prima di tentare tecniche di acquisizione più invasive.

Si consiglia sempre di utilizzare l’acquisizione logica in combinazione con fisica per estrarre in modo sicuro tutti i possibili tipi di prove.

File multimediali e condivisi

Estrai rapidamente file multimediali come rullino fotografico, libri, registrazioni vocali e libreria multimediale di iTunes. Invece di creare un backup locale, che potrebbe essere un’operazione potenzialmente lunga, media extraction funziona rapidamente su tutti i dispositivi supportati. L’estrazione da dispositivi bloccati è possibile utilizzando un record di accoppiamento (file di blocco).

Oltre ai file multimediali, iOS Forensic Toolkit può estrarre i file memorizzati di più app, estraendo prove cruciali senza jailbreak. Estrarre Adobe Reader e Microsoft Office documenti memorizzati localmente, database delle password MiniKeePass, e molto altro ancora. L’estrazione richiede un dispositivo sbloccato o un record di blocco non scaduto.

Eseguire l’acquisizione fisica e logica di dispositivi iPhone, iPad e iPod Touch. File system dispositivo immagine, estrarre i segreti del dispositivo (password, chiavi di crittografia e dati protetti) e decifrare l’immagine del file system.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.