Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.

Razlike

Slijede razlike između dviju inačica stranice.

Poveznica na ovu usporedbu

Starije izmjene na obje strane Starija izmjena
Novija izmjena 		Starija izmjena
racfor_wiki:seminari2025:ms53227 [2026/02/02 18:43]
Marko Sviben [2.4. Klase pristupa (ograničenja i rizici)] 		racfor_wiki:seminari2025:ms53227 [2026/02/02 19:45] (trenutno)
Marko Sviben [4.1. Alati koji se koriste u praksi]
Redak 31: Redak 31:
  bio kompromitiran. To je jedan od ključnih razloga zašto je “otključavanje” u forenzici često pitanje strategije i izvora podataka, a ne samo “probiti ekran”.  bio kompromitiran. To je jedan od ključnih razloga zašto je “otključavanje” u forenzici često pitanje strategije i izvora podataka, a ne samo “probiti ekran”.
  
 +
 +{{:racfor_wiki:seminari2025:secenc.png?400|}}
 ====2.1 Pristup uređaju vs. pristup podacima==== ====2.1 Pristup uređaju vs. pristup podacima====
  
Redak 96: Redak 98:
 ** **
 Zbog konzistentnijeg ekosustava, iOS se često opisuje kao platforma s predvidljivijim Zbog konzistentnijeg ekosustava, iOS se često opisuje kao platforma s predvidljivijim
- sigurnosnim ponašanjem među modelima iste generacije, ali s izrazito snažnom zaštitom ključeva i enkripcijom. Android se, s druge strane, često analizira kao platforma gdje su forenzičke mogućnosti više uređaj-specifične” zbog varijabilnosti proizvođača, verzija i sigurnosnih dodatakaU oba slučajastvarna dostupnost podataka uvelike ovisi verziji sustava, stanju uređaja i dostupnim izvorima podataka (nprbackup cloud sinkronizacije).+ sigurnosnim ponašanjem među modelima iste generacije, ali s izrazito snažnom zaštitom ključeva i enkripcijom. 
 + 
 +{{:racfor_wiki:seminari2025:iphand.png?400|}} 
 + 
 +====4.1. Alati koji se koriste u praksi==== 
 +U stvarnoj forenzičkoj obradi iPhone uređaja koristi se ograničen broj profesionalnih alata 
 + koji su prihvaćeni od strane policijskih tijelasudskih vještaka i forenzičkih laboratorija. 
 + Ti alati moraju omogućiti zakonitu akviziciju podataka, očuvanje integriteta dokaza te izradu 
 + reproducibilnih izvješća u skladu međunarodnim standardima (ISO 27037ACPO smjernice, ENFSI preporuke). 
 + 
 +**GrayKey** 
 + 
 +GrayKey je specijalizirani sustav namijenjen prvenstveno otključavanju iPhone uređaja.  
 +Koristi se u situacijama kada nije dostupan iCloud ili iTunes backup te kada je uređaj z 
 +aštićen snažnom lozinkom. Omogućuje fizičku ekstrakciju datotečnog sustava i pristup enkriptiranim 
 + podacima poput Keychaina. Zbog osjetljivosti tehnologije, upotreba GrayKeya uglavnom je ograničena 
 + na državne institucije i ovlaštene forenzičke laboratorije. 
 + 
 +**Cellebrite UFED i Cellebrite Premium 
 +** 
 +Cellebrite UFED predstavlja jedan od najraširenijih alata za mobilnu forenziku. U kontekstu iPhone 
 + uređaja koristi se za logičku i fizičku ekstrakciju podataka, analizu aplikacija te, na podržanim 
 + verzijama sustava iOS, zaobilaženje zaključavanja. Alat omogućuje dohvat podataka iz Keychaina, 
 + aplikacijskih baza, iMessage i pozivnih zapisa te generira forenzički prihvatljive izvještaje s 
 + izračunom hash vrijednosti. Zbog visoke razine dokumentiranosti i validacije, UFED se smatra industrijskim 
 + standardom u kaznenim postupcima. 
 + 
 +{{:racfor_wiki:seminari2025:uefd.jpg?400|}} 
 + 
 +**iLEAPP (iOS Logs, Events and Plist Parser) 
 +** 
 +iLEAPP je alat otvorenog koda namijenjen analizi artefakata operacijskog sustava iOS nakon što su podaci 
 + prethodno izvučeni s uređaja. Alat se najčešće primjenjuje na iTunes ili iCloud sigurnosnim kopijama te 
 + na ekstraktima dobivenima komercijalnim forenzičkim rješenjima. 
 + 
 +iLEAPP omogućuje obradu različitih izvora podataka, uključujući iOS logove, sustavne zapise, 
 + Plist datoteke i SQLite baze koje koriste aplikacije i sam operacijski sustav.  
 +Putem tih izvora moguće je rekonstruirati metapodatke vezane uz lokaciju, pozive, obavijesti  
 +i aktivnosti aplikacija. Alat automatski izdvaja poznate artefakte poput baza KnowledgeC.db 
 + i CallHistory.storedata te konfiguracijskih datoteka kao što su com.apple.mobiletimer.plist  
 +i com.apple.locationd.plist. 
 + 
 +Primarna uloga iLEAPP-a nije otključavanje uređaja, nego analiza i interpretacija već prikupljenih podataka.  
 +Posebno je koristan u situacijama kada je uređaj zaključan, ali je dostupna sigurnosna kopija ili drugi oblik logičke akvizicije. 
 + 
 +{{:racfor_wiki:seminari2025:ileap.png?400|}} 
 + 
 +**libimobiledevice** 
 + 
 +libimobiledevice je biblioteka otvorenog koda koja omogućuje komunikaciju s iOS uređajima bez 
 + potrebe za službenim Apple softverom. Često se koristi u forenzičkim okruženjima temeljenim na Linuxu. 
 + 
 +Alat omogućuje dohvat tehničkih informacija o uređaju, uključujući model, verziju iOS-
 + serijski brojte izradu analizu sigurnosnih kopija u formatu kompatibilnom s iTunesom. 
 + Pristup je moguć samo ako je uređaj prethodno autoriziran putem tzv. lockdown pairinga. 
 + 
 +Iako libimobiledevice ne omogućuje zaobilaženje zaključavanjasmatra se neinvazivnom metodom za prikupljanje podataka te se često koristi u kombinaciji s alatima za analizu poput iLEAPP-a. 
 + 
 +**checkra1n i palera1n 
 +** 
 + 
 +checkra1n i palera1n su jailbreak alati temeljeni na hardverskoj ranjivosti poznatoj kao checkm8, 
 + prisutnoj u Apple čipovima generacija A5–A11. Budući da je riječ ranjivosti na razini bootrom-a, 
 + ne može se ukloniti softverskim ažuriranjem. 
 + 
 +Jailbreak dobiven ovim alatima omogućuje puni pristup datotečnom sustavu uređaja, uključujući  
 +direktorij /private/var/, te potencijalnu ekstrakciju Keychain podataka i sustavnih logova. Metoda je primjenjiva samo na starijim modelima i zahtijeva fizički pristup uređaju. 
 + 
 +S obzirom na to da jailbreak mijenja izvorno stanje sustava, uporaba ovih alata zahtijeva detaljnu dokumentaciju i često ima ograničenu sudsku prihvatljivost. 
 + Zbog toga se primjenjuju uglavnom kao istraživačka metoda u slučajevima kada druge tehnike nisu dostupne. 
 + 
 +====5.1. Sazetak==== 
 + 
 +Rad obrađuje problematiku otključavanja iPhone uređaja u forenzičke svrhe s naglaskom na suvremeni 
 + Apple sigurnosni model njegove implikacije na digitalnu istragu. iPhone predstavlja jedan od tehnički 
 + najzaštićenijih mobilnih sustava zahvaljujući konceptu security by design, hardverski vezanoj enkripciji 
 + i izoliranom podsustavu Secure Enclave. Zbog takve arhitekture, tradicionalni pristupi akviziciji podataka 
 + često nisu primjenjivi bez odgovarajućih ključeva, stanja autentikacije ili alternativnih izvora poput  
 +sigurnosnih kopija. 
 + 
 +U radu se razlikuju dva ključna pojma: pristup uređaju (screen unlock) i pristup podacima (data access). 
 + Forenzički cilj nije nužno otključavanje ekrana, već zakonito pouzdano pribavljanje digitalnih artefakata 
 + kroz kanale poput lokalnih backup-a, iCloud sinkronizacije ili specijaliziranih alata. 
 + 
 + 
 + 
 ===== Literatura ===== ===== Literatura =====
-[1] [[https://help.apple.com/pdf/security/en_US/apple-platform-security-guide.pdf?utm_source=chatgpt.com]]+[1] [[https://help.apple.com/pdf/security/en_US/apple-platform-security-guide.pdf]] 
 + 
 +[2] [[https://www.realitynet.it/pdf/iOS_Forensics_Prague_DFIR_2017.pdf]]   
 + 
 +[3] [[https://www.magnetforensics.com/blog/loading-graykey-images-into-magnet-axiom/]]   
 + 
 +[4] [[https://www.researchgate.net/publication/399346895_iOS_Forensics_Fundamentals]]   
 + 
 +[5] [[https://upcommons.upc.edu/bitstreams/b37ca1d9-eca0-4ab0-beb4-1bc4d3168dfb/download]]   
 + 
 +[6] [[https://www.researchgate.net/publication/399346895_iOS_Forensics_Fundamentals]]   
  
racfor_wiki/seminari2025/ms53227.1770057822.txt.gz · Zadnja izmjena: 2026/02/02 18:43 od Marko Sviben
Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.
CC Attribution-Share Alike 4.0 International
www.chimeric.de Valid CSS Driven by DokuWiki do yourself a favour and use a real browser - get firefox!! Recent changes RSS feed Valid XHTML 1.0