Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.

Razlike

Slijede razlike između dviju inačica stranice.

Poveznica na ovu usporedbu

Starije izmjene na obje strane Starija izmjena
Novija izmjena 		Starija izmjena
racfor_wiki:seminari2025:ms53227 [2026/01/26 15:19]
Marko Sviben 		racfor_wiki:seminari2025:ms53227 [2026/02/02 19:45] (trenutno)
Marko Sviben [4.1. Alati koji se koriste u praksi]
Redak 1: Redak 1:
-===== Uvod =====+==== Uvod ===== 
 +Danas su mobilni uređaji postali glavni čuvari naših privatnih i poslovnih informacija. Na njima se nalaze poruke, lokacije, fotografije, ali i podaci iz aplikacija poput mobilnog bankarstva ili društvenih mreža. Često se sve to još dodatno sinkronizira s cloudom. 
 +Kada je riječ o forenzici, iPhone predstavlja poseban izazov. Kompanija Apple koja proizvodi iPhone uredaje dizajnirala je sigurnosni model tako da su ključevi enkripcije vezani uz hardver i korisničku autentikaciju a uz to se koristi dodatni sloj zaštite kroz Security Enclave. 
 +Nekad je potrebno samo otključati uređaj i dobiti pristup aplikacijama, a ponekad je dovoljno izvući određene podatke bez otključavanja, primjerice putem backupa ili iz clouda. 
 + 
 + 
 +==== 1.1. Apple Platform Security – security by design==== 
 + 
 +Apple sigurnosni model opisuje kroz službenu dokumentaciju Apple Platform Security, 
 +koja naglašava hardversku enkripciju, integritet sustava i izolaciju osjetljivih komponenti. 
 +Bitna posljedica za forenziku: mnoge klasične tehnike više ne daju automatski čitljive podatke bez 
 +odgovarajućih ključeva i stanja autentikacije. 
 + 
 +====1.2. Secure Boot i lanac povjerenja==== 
 + 
 +iPhone koristi sigurni lanac pokretanja kako bi se spriječilo pokretanje neautoriziranog koda. 
 +Forenzički, to znači da se platforma sustavno brani od modifikacija OS-a kao prečaca do podataka 
 + 
 +====1.3. Hardverska enkripcija i upravljanje ključevima==== 
 + 
 +iOS Data Protection model koristi per-file enkripciju i klase zaštite. 
 +Kada se datoteka otvara, sustav koristi ključeve koji su omotani i čije se rukovanje odvija tako 
 +da ključ nije izravno izložen aplikacijskom procesoru. Dekripciju obavlja hardverski AES mehanizam  
 +uz posredovanje sigurnosnih komponenti. U praksi to znači čak i ako se dobije sirovi sadržaj pohrane, 
 +bez ispravnih ključeva sadržaj ostaje nečitljiv. 
 + 
 +====1.4. Secure Enclave ==== 
 + 
 +Secure Enclave je izdvojeni podsustav integriran u SoC, izoliran od glavnog procesora i dizajniran da 
 + čuva osjetljive tajne i izvršava kriptografske operacije čak i kad bi kernel glavnog procesora 
 + bio kompromitiran. To je jedan od ključnih razloga zašto je “otključavanje” u forenzici često pitanje strategije i izvora podataka, a ne samo “probiti ekran”. 
 + 
 + 
 +{{:racfor_wiki:seminari2025:secenc.png?400|}} 
 +====2.1 Pristup uređaju vs. pristup podacima==== 
 + 
 +U forenzičkom smislu razlikujemo: 
 + 
 +  *screen unlock i 
 + 
 +  * data access 
 + 
 +Često je racionalniji cilj data access, jer se može postići kroz legitimne artefakte ekosustava uz 
 +manji rizik kontaminacije i uz jasniju proceduru dokumentiranja. 
 + 
 +====2.2. Lokalni backup (Finder/iTunes/Apple Devices) kao forenzički kanal==== 
 + 
 +Lokalni backup može sadržavati značajne podatke relevantne za istragu. 
 +Apple navodi razliku između kriptiranih i nekriptiranih backup-a, 
 +pri čemu kriptirani backup tipično obuhvaća širi skup osjetljivih podataka. 
 + 
 +==== 2.3. iCloud / sinkronizacije ==== 
 + 
 +iCloud i Apple servisi mogu biti izvor relevantnih artefakata.  
 +  * Forenzička prednost: dio podataka može biti dostupan bez direktne interakcije s zaključanim uređajem.  
 +  * Forenzički izazovi: pravni okvir, promjenjivost i potreba za preciznim bilježenjem vremena  
 + 
 +====2.4. Klase pristupa (ograničenja i rizici)==== 
 + 
 +Na razini klasifikacije (bez proceduralnih detalja), pristupi se mogu grupirati na: 
 + 
 +  * credential-based (legalno dobivene vjerodajnice / autorizirani pristup) 
 + 
 +  * vulnerability-based (ovisno o točnom modelu i iOS verziji; prozori ranjivosti se zatvaraju update-ima) 
 + 
 +  * hardware/board-level (često ograničeno jer su podaci enkriptirani i ključevi vezani uz hardver i politike) 
 +iOS i Android koriste slične temeljne sigurnosne koncepte poput enkripcije, sigurnog pokreta 
 +====3.1. Razlike sigurnosti između iPhonea i Androida==== 
 +nja sustava i hardverski potpomognute zaštite ključeva. Unatoč tome, pristup sigurnosti i 
 +način implementacije razlikuju se zbog razlika u ekosustavu,  
 +modelu ažuriranja i hardverskoj arhitekturi, što u praksi utječe i na digitalnu forenziku. 
 + 
 +**Ekosustav i fragmentacija 
 +** 
 +iOS je dio vertikalno integriranog ekosustava u kojem jedan proizvođač (Apple) kontrolira hardver, operacijski sustav i veliki dio usluga. Zbog toga su sigurnosne značajke u pravilu konzistentnije među uređajima iste generacije. Android je otvoreniji ekosustav koji koriste različiti proizvođači, pa se sigurnosne značajke i brzina implementacije zakrpa mogu razlikovati ovisno o proizvođaču, modelu uređaja i verziji sustava. 
 + 
 +**Hardverski sigurnosni podsustavi 
 +** 
 +Na iOS uređajima važnu ulogu ima Secure Enclave, izolirani sigurnosni podsustav 
 + koji upravlja osjetljivim kriptografskim operacijama i podacima vezanim uz autentikaciju. 
 + Android uređaji u pravilu koriste kombinaciju mehanizama poput Trusted Execution Environment (TEE) 
 + i Android Keystore sustava, a na pojedinim uređajima postoje dodatni hardverski moduli 
 + (npr. StrongBox ili proizvođački “vault” sustavi). Posljedica je da Android sigurnosna 
 + implementacija može značajno varirati među različitim uređajima. 
 + 
 +**Enkripcija i dostupnost podataka 
 +** 
 +iOS koristi model zaštite podataka u kojem dostupnost datoteka može ovisiti o stanju uređaja (npr. nakon ponovnog pokretanja u odnosu na stanje nakon prvog otključavanja). Android koristi file-based encryption (FBE), pri čemu se ključevi i dostupnost podataka mogu razlikovati po korisničkom profilu i tipu podataka, uz mogućnost da dio podataka bude dostupan prije potpunog korisničkog otključavanja (tzv. “Direct Boot” koncept). 
 + 
 +**Ažuriranja i sigurnosne zakrpe 
 +** 
 +Ažuriranja iOS-a distribuira centralno Apple, što često omogućuje bržu i ujednačeniju dostupnost 
 + sigurnosnih zakrpa za podržane uređaje. Kod Androida distribucija ažuriranja ovisi o Googleu, 
 + proizvođačima uređaja i ponekad mobilnim operaterima, pa su razlike u “patch levelu” među uređajima 
 + češće i izraženije. 
 + 
 +**Utjecaj na digitalnu forenziku 
 +** 
 +Zbog konzistentnijeg ekosustava, iOS se često opisuje kao platforma s predvidljivijim 
 + sigurnosnim ponašanjem među modelima iste generacije, ali s izrazito snažnom zaštitom ključeva i enkripcijom. 
 + 
 +{{:racfor_wiki:seminari2025:iphand.png?400|}} 
 + 
 +====4.1. Alati koji se koriste u praksi==== 
 +U stvarnoj forenzičkoj obradi iPhone uređaja koristi se ograničen broj profesionalnih alata 
 + koji su prihvaćeni od strane policijskih tijela, sudskih vještaka i forenzičkih laboratorija. 
 + Ti alati moraju omogućiti zakonitu akviziciju podataka, očuvanje integriteta dokaza te izradu 
 + reproducibilnih izvješća u skladu s međunarodnim standardima (ISO 27037, ACPO smjernice, ENFSI preporuke). 
 + 
 +**GrayKey** 
 + 
 +GrayKey je specijalizirani sustav namijenjen prvenstveno otključavanju iPhone uređaja.  
 +Koristi se u situacijama kada nije dostupan iCloud ili iTunes backup te kada je uređaj z 
 +aštićen snažnom lozinkom. Omogućuje fizičku ekstrakciju datotečnog sustava i pristup enkriptiranim 
 + podacima poput Keychaina. Zbog osjetljivosti tehnologije, upotreba GrayKeya uglavnom je ograničena 
 + na državne institucije i ovlaštene forenzičke laboratorije. 
 + 
 +**Cellebrite UFED i Cellebrite Premium 
 +** 
 +Cellebrite UFED predstavlja jedan od najraširenijih alata za mobilnu forenziku. U kontekstu iPhone 
 + uređaja koristi se za logičku i fizičku ekstrakciju podataka, analizu aplikacija te, na podržanim 
 + verzijama sustava iOS, zaobilaženje zaključavanja. Alat omogućuje dohvat podataka iz Keychaina, 
 + aplikacijskih baza, iMessage i pozivnih zapisa te generira forenzički prihvatljive izvještaje s 
 + izračunom hash vrijednosti. Zbog visoke razine dokumentiranosti i validacije, UFED se smatra industrijskim 
 + standardom u kaznenim postupcima. 
 + 
 +{{:racfor_wiki:seminari2025:uefd.jpg?400|}} 
 + 
 +**iLEAPP (iOS Logs, Events and Plist Parser) 
 +** 
 +iLEAPP je alat otvorenog koda namijenjen analizi artefakata operacijskog sustava iOS nakon što su podaci 
 + prethodno izvučeni s uređaja. Alat se najčešće primjenjuje na iTunes ili iCloud sigurnosnim kopijama te 
 + na ekstraktima dobivenima komercijalnim forenzičkim rješenjima. 
 + 
 +iLEAPP omogućuje obradu različitih izvora podataka, uključujući iOS logove, sustavne zapise, 
 + Plist datoteke i SQLite baze koje koriste aplikacije i sam operacijski sustav.  
 +Putem tih izvora moguće je rekonstruirati metapodatke vezane uz lokaciju, pozive, obavijesti  
 +i aktivnosti aplikacija. Alat automatski izdvaja poznate artefakte poput baza KnowledgeC.db 
 + i CallHistory.storedata te konfiguracijskih datoteka kao što su com.apple.mobiletimer.plist  
 +i com.apple.locationd.plist. 
 + 
 +Primarna uloga iLEAPP-a nije otključavanje uređaja, nego analiza i interpretacija već prikupljenih podataka.  
 +Posebno je koristan u situacijama kada je uređaj zaključan, ali je dostupna sigurnosna kopija ili drugi oblik logičke akvizicije. 
 + 
 +{{:racfor_wiki:seminari2025:ileap.png?400|}} 
 + 
 +**libimobiledevice** 
 + 
 +libimobiledevice je biblioteka otvorenog koda koja omogućuje komunikaciju s iOS uređajima bez 
 + potrebe za službenim Apple softverom. Često se koristi u forenzičkim okruženjima temeljenim na Linuxu. 
 + 
 +Alat omogućuje dohvat tehničkih informacija o uređaju, uključujući model, verziju iOS-a i 
 + serijski broj, te izradu i analizu sigurnosnih kopija u formatu kompatibilnom s iTunesom. 
 + Pristup je moguć samo ako je uređaj prethodno autoriziran putem tzv. lockdown pairinga. 
 + 
 +Iako libimobiledevice ne omogućuje zaobilaženje zaključavanja, smatra se neinvazivnom metodom za prikupljanje podataka te se često koristi u kombinaciji s alatima za analizu poput iLEAPP-a. 
 + 
 +**checkra1n i palera1n 
 +** 
 + 
 +checkra1n i palera1n su jailbreak alati temeljeni na hardverskoj ranjivosti poznatoj kao checkm8, 
 + prisutnoj u Apple čipovima generacija A5–A11. Budući da je riječ o ranjivosti na razini bootrom-a, 
 + ne može se ukloniti softverskim ažuriranjem. 
 + 
 +Jailbreak dobiven ovim alatima omogućuje puni pristup datotečnom sustavu uređaja, uključujući  
 +direktorij /private/var/, te potencijalnu ekstrakciju Keychain podataka i sustavnih logova. Metoda je primjenjiva samo na starijim modelima i zahtijeva fizički pristup uređaju. 
 + 
 +S obzirom na to da jailbreak mijenja izvorno stanje sustava, uporaba ovih alata zahtijeva detaljnu dokumentaciju i često ima ograničenu sudsku prihvatljivost. 
 + Zbog toga se primjenjuju uglavnom kao istraživačka metoda u slučajevima kada druge tehnike nisu dostupne. 
 + 
 +====5.1. Sazetak==== 
 + 
 +Rad obrađuje problematiku otključavanja iPhone uređaja u forenzičke svrhe s naglaskom na suvremeni 
 + Apple sigurnosni model i njegove implikacije na digitalnu istragu. iPhone predstavlja jedan od tehnički 
 + najzaštićenijih mobilnih sustava zahvaljujući konceptu security by design, hardverski vezanoj enkripciji 
 + i izoliranom podsustavu Secure Enclave. Zbog takve arhitekture, tradicionalni pristupi akviziciji podataka 
 + često nisu primjenjivi bez odgovarajućih ključeva, stanja autentikacije ili alternativnih izvora poput  
 +sigurnosnih kopija. 
 + 
 +U radu se razlikuju dva ključna pojma: pristup uređaju (screen unlock) i pristup podacima (data access). 
 + Forenzički cilj nije nužno otključavanje ekrana, već zakonito i pouzdano pribavljanje digitalnih artefakata 
 + kroz kanale poput lokalnih backup-a, iCloud sinkronizacije ili specijaliziranih alata. 
 + 
 + 
 + 
 + 
 +===== Literatura ===== 
 +[1] [[https://help.apple.com/pdf/security/en_US/apple-platform-security-guide.pdf]] 
 + 
 +[2] [[https://www.realitynet.it/pdf/iOS_Forensics_Prague_DFIR_2017.pdf]]   
 + 
 +[3] [[https://www.magnetforensics.com/blog/loading-graykey-images-into-magnet-axiom/]]   
 + 
 +[4] [[https://www.researchgate.net/publication/399346895_iOS_Forensics_Fundamentals]]   
 + 
 +[5] [[https://upcommons.upc.edu/bitstreams/b37ca1d9-eca0-4ab0-beb4-1bc4d3168dfb/download]]   
 + 
 +[6] [[https://www.researchgate.net/publication/399346895_iOS_Forensics_Fundamentals]]   
  
racfor_wiki/seminari2025/ms53227.1769440794.txt.gz · Zadnja izmjena: 2026/01/26 15:19 od Marko Sviben
Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.
CC Attribution-Share Alike 4.0 International
www.chimeric.de Valid CSS Driven by DokuWiki do yourself a favour and use a real browser - get firefox!! Recent changes RSS feed Valid XHTML 1.0