Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.

Razlike

Slijede razlike između dviju inačica stranice.

Poveznica na ovu usporedbu

Starije izmjene na obje strane Starija izmjena
Novija izmjena 		Starija izmjena
racfor_wiki:seminari2025:ms53227 [2026/02/01 20:25]
Marko Sviben [2.5. Klase pristupa (ograničenja i rizici)] 		racfor_wiki:seminari2025:ms53227 [2026/02/02 19:45] (trenutno)
Marko Sviben [4.1. Alati koji se koriste u praksi]
Redak 31: Redak 31:
  bio kompromitiran. To je jedan od ključnih razloga zašto je “otključavanje” u forenzici često pitanje strategije i izvora podataka, a ne samo “probiti ekran”.  bio kompromitiran. To je jedan od ključnih razloga zašto je “otključavanje” u forenzici često pitanje strategije i izvora podataka, a ne samo “probiti ekran”.
  
 +
 +{{:racfor_wiki:seminari2025:secenc.png?400|}}
 ====2.1 Pristup uređaju vs. pristup podacima==== ====2.1 Pristup uređaju vs. pristup podacima====
  
 U forenzičkom smislu razlikujemo: U forenzičkom smislu razlikujemo:
  
-  screen unlock i+  *screen unlock i
  
-  data access+  data access
  
 Često je racionalniji cilj data access, jer se može postići kroz legitimne artefakte ekosustava uz Često je racionalniji cilj data access, jer se može postići kroz legitimne artefakte ekosustava uz
Redak 63: Redak 65:
  
   * hardware/board-level (često ograničeno jer su podaci enkriptirani i ključevi vezani uz hardver i politike)   * hardware/board-level (često ograničeno jer su podaci enkriptirani i ključevi vezani uz hardver i politike)
 +iOS i Android koriste slične temeljne sigurnosne koncepte poput enkripcije, sigurnog pokreta
 +====3.1. Razlike sigurnosti između iPhonea i Androida====
 +nja sustava i hardverski potpomognute zaštite ključeva. Unatoč tome, pristup sigurnosti i
 +način implementacije razlikuju se zbog razlika u ekosustavu, 
 +modelu ažuriranja i hardverskoj arhitekturi, što u praksi utječe i na digitalnu forenziku.
 +
 +**Ekosustav i fragmentacija
 +**
 +iOS je dio vertikalno integriranog ekosustava u kojem jedan proizvođač (Apple) kontrolira hardver, operacijski sustav i veliki dio usluga. Zbog toga su sigurnosne značajke u pravilu konzistentnije među uređajima iste generacije. Android je otvoreniji ekosustav koji koriste različiti proizvođači, pa se sigurnosne značajke i brzina implementacije zakrpa mogu razlikovati ovisno o proizvođaču, modelu uređaja i verziji sustava.
 +
 +**Hardverski sigurnosni podsustavi
 +**
 +Na iOS uređajima važnu ulogu ima Secure Enclave, izolirani sigurnosni podsustav
 + koji upravlja osjetljivim kriptografskim operacijama i podacima vezanim uz autentikaciju.
 + Android uređaji u pravilu koriste kombinaciju mehanizama poput Trusted Execution Environment (TEE)
 + i Android Keystore sustava, a na pojedinim uređajima postoje dodatni hardverski moduli
 + (npr. StrongBox ili proizvođački “vault” sustavi). Posljedica je da Android sigurnosna
 + implementacija može značajno varirati među različitim uređajima.
 +
 +**Enkripcija i dostupnost podataka
 +**
 +iOS koristi model zaštite podataka u kojem dostupnost datoteka može ovisiti o stanju uređaja (npr. nakon ponovnog pokretanja u odnosu na stanje nakon prvog otključavanja). Android koristi file-based encryption (FBE), pri čemu se ključevi i dostupnost podataka mogu razlikovati po korisničkom profilu i tipu podataka, uz mogućnost da dio podataka bude dostupan prije potpunog korisničkog otključavanja (tzv. “Direct Boot” koncept).
 +
 +**Ažuriranja i sigurnosne zakrpe
 +**
 +Ažuriranja iOS-a distribuira centralno Apple, što često omogućuje bržu i ujednačeniju dostupnost
 + sigurnosnih zakrpa za podržane uređaje. Kod Androida distribucija ažuriranja ovisi o Googleu,
 + proizvođačima uređaja i ponekad mobilnim operaterima, pa su razlike u “patch levelu” među uređajima
 + češće i izraženije.
 +
 +**Utjecaj na digitalnu forenziku
 +**
 +Zbog konzistentnijeg ekosustava, iOS se često opisuje kao platforma s predvidljivijim
 + sigurnosnim ponašanjem među modelima iste generacije, ali s izrazito snažnom zaštitom ključeva i enkripcijom.
 +
 +{{:racfor_wiki:seminari2025:iphand.png?400|}}
 +
 +====4.1. Alati koji se koriste u praksi====
 +U stvarnoj forenzičkoj obradi iPhone uređaja koristi se ograničen broj profesionalnih alata
 + koji su prihvaćeni od strane policijskih tijela, sudskih vještaka i forenzičkih laboratorija.
 + Ti alati moraju omogućiti zakonitu akviziciju podataka, očuvanje integriteta dokaza te izradu
 + reproducibilnih izvješća u skladu s međunarodnim standardima (ISO 27037, ACPO smjernice, ENFSI preporuke).
 +
 +**GrayKey**
 +
 +GrayKey je specijalizirani sustav namijenjen prvenstveno otključavanju iPhone uređaja. 
 +Koristi se u situacijama kada nije dostupan iCloud ili iTunes backup te kada je uređaj z
 +aštićen snažnom lozinkom. Omogućuje fizičku ekstrakciju datotečnog sustava i pristup enkriptiranim
 + podacima poput Keychaina. Zbog osjetljivosti tehnologije, upotreba GrayKeya uglavnom je ograničena
 + na državne institucije i ovlaštene forenzičke laboratorije.
 +
 +**Cellebrite UFED i Cellebrite Premium
 +**
 +Cellebrite UFED predstavlja jedan od najraširenijih alata za mobilnu forenziku. U kontekstu iPhone
 + uređaja koristi se za logičku i fizičku ekstrakciju podataka, analizu aplikacija te, na podržanim
 + verzijama sustava iOS, zaobilaženje zaključavanja. Alat omogućuje dohvat podataka iz Keychaina,
 + aplikacijskih baza, iMessage i pozivnih zapisa te generira forenzički prihvatljive izvještaje s
 + izračunom hash vrijednosti. Zbog visoke razine dokumentiranosti i validacije, UFED se smatra industrijskim
 + standardom u kaznenim postupcima.
 +
 +{{:racfor_wiki:seminari2025:uefd.jpg?400|}}
 +
 +**iLEAPP (iOS Logs, Events and Plist Parser)
 +**
 +iLEAPP je alat otvorenog koda namijenjen analizi artefakata operacijskog sustava iOS nakon što su podaci
 + prethodno izvučeni s uređaja. Alat se najčešće primjenjuje na iTunes ili iCloud sigurnosnim kopijama te
 + na ekstraktima dobivenima komercijalnim forenzičkim rješenjima.
 +
 +iLEAPP omogućuje obradu različitih izvora podataka, uključujući iOS logove, sustavne zapise,
 + Plist datoteke i SQLite baze koje koriste aplikacije i sam operacijski sustav. 
 +Putem tih izvora moguće je rekonstruirati metapodatke vezane uz lokaciju, pozive, obavijesti 
 +i aktivnosti aplikacija. Alat automatski izdvaja poznate artefakte poput baza KnowledgeC.db
 + i CallHistory.storedata te konfiguracijskih datoteka kao što su com.apple.mobiletimer.plist 
 +i com.apple.locationd.plist.
 +
 +Primarna uloga iLEAPP-a nije otključavanje uređaja, nego analiza i interpretacija već prikupljenih podataka. 
 +Posebno je koristan u situacijama kada je uređaj zaključan, ali je dostupna sigurnosna kopija ili drugi oblik logičke akvizicije.
 +
 +{{:racfor_wiki:seminari2025:ileap.png?400|}}
 +
 +**libimobiledevice**
 +
 +libimobiledevice je biblioteka otvorenog koda koja omogućuje komunikaciju s iOS uređajima bez
 + potrebe za službenim Apple softverom. Često se koristi u forenzičkim okruženjima temeljenim na Linuxu.
 +
 +Alat omogućuje dohvat tehničkih informacija o uređaju, uključujući model, verziju iOS-a i
 + serijski broj, te izradu i analizu sigurnosnih kopija u formatu kompatibilnom s iTunesom.
 + Pristup je moguć samo ako je uređaj prethodno autoriziran putem tzv. lockdown pairinga.
 +
 +Iako libimobiledevice ne omogućuje zaobilaženje zaključavanja, smatra se neinvazivnom metodom za prikupljanje podataka te se često koristi u kombinaciji s alatima za analizu poput iLEAPP-a.
 +
 +**checkra1n i palera1n
 +**
 +
 +checkra1n i palera1n su jailbreak alati temeljeni na hardverskoj ranjivosti poznatoj kao checkm8,
 + prisutnoj u Apple čipovima generacija A5–A11. Budući da je riječ o ranjivosti na razini bootrom-a,
 + ne može se ukloniti softverskim ažuriranjem.
 +
 +Jailbreak dobiven ovim alatima omogućuje puni pristup datotečnom sustavu uređaja, uključujući 
 +direktorij /private/var/, te potencijalnu ekstrakciju Keychain podataka i sustavnih logova. Metoda je primjenjiva samo na starijim modelima i zahtijeva fizički pristup uređaju.
 +
 +S obzirom na to da jailbreak mijenja izvorno stanje sustava, uporaba ovih alata zahtijeva detaljnu dokumentaciju i često ima ograničenu sudsku prihvatljivost.
 + Zbog toga se primjenjuju uglavnom kao istraživačka metoda u slučajevima kada druge tehnike nisu dostupne.
 +
 +====5.1. Sazetak====
 +
 +Rad obrađuje problematiku otključavanja iPhone uređaja u forenzičke svrhe s naglaskom na suvremeni
 + Apple sigurnosni model i njegove implikacije na digitalnu istragu. iPhone predstavlja jedan od tehnički
 + najzaštićenijih mobilnih sustava zahvaljujući konceptu security by design, hardverski vezanoj enkripciji
 + i izoliranom podsustavu Secure Enclave. Zbog takve arhitekture, tradicionalni pristupi akviziciji podataka
 + često nisu primjenjivi bez odgovarajućih ključeva, stanja autentikacije ili alternativnih izvora poput 
 +sigurnosnih kopija.
 +
 +U radu se razlikuju dva ključna pojma: pristup uređaju (screen unlock) i pristup podacima (data access).
 + Forenzički cilj nije nužno otključavanje ekrana, već zakonito i pouzdano pribavljanje digitalnih artefakata
 + kroz kanale poput lokalnih backup-a, iCloud sinkronizacije ili specijaliziranih alata.
 +
 +
  
  
 ===== Literatura ===== ===== Literatura =====
-[1] [[https://help.apple.com/pdf/security/en_US/apple-platform-security-guide.pdf?utm_source=chatgpt.com]]+[1] [[https://help.apple.com/pdf/security/en_US/apple-platform-security-guide.pdf]] 
 + 
 +[2] [[https://www.realitynet.it/pdf/iOS_Forensics_Prague_DFIR_2017.pdf]]   
 + 
 +[3] [[https://www.magnetforensics.com/blog/loading-graykey-images-into-magnet-axiom/]]   
 + 
 +[4] [[https://www.researchgate.net/publication/399346895_iOS_Forensics_Fundamentals]]   
 + 
 +[5] [[https://upcommons.upc.edu/bitstreams/b37ca1d9-eca0-4ab0-beb4-1bc4d3168dfb/download]]   
 + 
 +[6] [[https://www.researchgate.net/publication/399346895_iOS_Forensics_Fundamentals]]   
  
racfor_wiki/seminari2025/ms53227.1769977502.txt.gz · Zadnja izmjena: 2026/02/01 20:25 od Marko Sviben
Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.
CC Attribution-Share Alike 4.0 International
www.chimeric.de Valid CSS Driven by DokuWiki do yourself a favour and use a real browser - get firefox!! Recent changes RSS feed Valid XHTML 1.0