U ovom seminaru istražuje se alat ILEAPP (iOS Logs, Events, And Protobuf Parser) koji se koristi za forenzičku analizu iOS uređaja. Seminar obuhvaća pregled funkcionalnosti alata, ključne značajke, te primjere uporabe u analizi mobilnih podataka i dokaza uz fokus na praktičnu primjenu alata u forenzičkim istragama.

Forenzička analiza mobilnih uređaja igra ključnu ulogu u modernim istragama kriminalnih aktivnosti, s obzirom na sve veće korištenje pametnih telefona. iOS uređaji, zbog svojih sigurnosnih mehanizama, predstavljaju poseban izazov. ILEAPP je open-source alat razvijen za forenzičku analizu podataka s iOS uređaja. Ovaj seminar istražuje njegovu strukturu, funkcionalnosti i primjenu.

ILEAPP je razvio forenzički stručnjak Alexis Brignoni kako bi olakšao analizu mobilnih podataka. Alat je dio serije alata za mobilnu forenziku, uključujući ALEAPP (za Android) i CLEAPP (za ChromeOS). ILEAPP se kontinuirano ažurira kako bi podržavao najnovije verzije iOS-a.

iOS backup datoteke organizirane su u hijerarhijsku strukturu koja omogućuje spremanje svih bitnih podataka s uređaja. Svaki backup sadrži nekoliko ključnih elemenata: Manifest.db, Info.plist i Manifest.plist. Datoteka Manifest.db je SQLite baza podataka koja pohranjuje metapodatke o svim datotekama unutar backup-a, uključujući putanju, veličinu i status enkripcije. Info.plist je XML datoteka koja sadrži osnovne informacije o uređaju, uključujući verziju iOS-a, serijski broj te druge detalje o sistemu. Manifest.plist pohranjuje informacije o načinu šifriranja backup-a te popis spremljenih datoteka. Svaka aplikacija u backup-u pohranjuje svoje podatke u direktorijskom sustavu koji odgovara njenom identifikatoru, omogućujući forenzičarima jednostavno izdvajanje relevantnih artefakata.

ILEAPP omogućuje analizu širokog raspona iOS artefakata. Među najvažnijima su podaci vezani uz povijest poziva, poruke, lokacijske podatke i aktivnosti aplikacija. Povijest poziva pohranjena je u call_history.db, dok se lokacijski podaci mogu pronaći u datotekama GeoServices i LocationD. Alat također podržava analizu podataka iz aplikacija poput WhatsApp, Signal i Telegram.

Jedna od ključnih značajki ILEAPP-a je mogućnost generiranja izvještaja u raznim formatima, uključujući HTML, CSV i Excel. Ti izvještaji omogućuju istražiteljima brzo i jednostavno pregledavanje ključnih podataka te daljnju analizu u drugim alatima.

ILEAPP nudi grafičko korisničko sučelje (GUI) koje pojednostavljuje rad s alatom, ali podržava i naredbeno sučelje (CLI) za napredne korisnike. Alat je kompatibilan s macOS, Windows i Linux operacijskim sustavima.

Kao primjer, ILEAPP može analizirati povijest poziva iz datoteke call_history.db, koja se obično nalazi u iOS backup datotekama. Generirani izvještaj uključuje informacije poput brojeva pozivatelja, datuma i vremena poziva te trajanja poziva.

Lokacijski podaci iz datoteka GeoServices i LocationD omogućuju rekonstrukciju kretanja korisnika. Ti podaci mogu se prikazati na kartama koristeći formate poput KML, čime se dobiva vizualni prikaz korisničkog kretanja.

Analiza poruka uključuje iMessage i aplikacije poput WhatsApp-a. ILEAPP omogućuje ekstrakciju tekstualnih poruka, privitaka i drugih povezanih metapodataka, što je ključno u mnogim istragama.

U usporedbi s drugim alatima, ILEAPP se ističe kao open-source rješenje koje podržava širok spektar iOS artefakata. Za razliku od Cellebrite UFED-a, koji je komercijalan alat s naprednim mogućnostima ekstrakcije, ILEAPP je besplatan, ali ne može zaobići enkripciju backup-a. Oxygen Forensics pruža detaljnu analizu aplikacija, ali je plaćeni softver, dok iBackup Extractor omogućuje osnovni pregled backup podataka, ali nema forenzičke mogućnosti poput ILEAPP-a. Time se ILEAPP pokazuje kao praktičan alat za forenzičku analizu iOS uređaja, posebno u situacijama kada su potrebne brze analize dostupnih podataka.

Generiranje backup-a: Kreiranje nekriptiranog backup-a pomoću Finder-a ili iTunes-a.

Izgled grafičkog sučelja iLEAPP-a

Učitavanje u ILEAPP: Odabir ulazne datoteke i postavljanje izlaznog direktorija.

Izgled grafičkog sučelja iLEAPP-a

Odabir modula: Aktivacija modula za analizu povijesti poziva i lokacijskih podataka.

Pregled dostupnih modula unutar iLEAPP-a

Pregled izvještaja: Analiza HTML izvještaja i dodatna obrada podataka u CSV formatu.

Izgled izlaznog direktorija nakon iLEAPP analize

Prednosti iOS sigurnosnog modela

iOS koristi napredne sigurnosne mehanizme, uključujući enkripciju backup datoteka i sandboxing aplikacija. Ti mehanizmi osiguravaju zaštitu korisničkih podataka, ali istovremeno otežavaju forenzičku analizu.

Ograničenja ILEAPP-a

ILEAPP ne može analizirati šifrirane backup datoteke bez odgovarajuće lozinke. Također, alat ovisi o dostupnosti backup datoteka, što znači da istražitelji moraju imati fizički pristup uređaju ili prethodno izrađeni backup.

Forenzička analiza iOS uređaja zahtijeva kontinuirano istraživanje i praćenje novih alata i tehnika. Postoji nekoliko izvora koji mogu pomoći u produbljivanju znanja o iLEAPP-u i digitalnoj forenzici.

- iLEAPP GitHub repo – službena dokumentacija i kod alata.

- Swift Forensics Blog – blog autora iLEAPP-a s analizama novih iOS artefakata.

- Apple iOS dokumentacija – službeni Apple resursi o iOS sustavu i sigurnosti.

- Udemy – forenzički tečajevi, uključujući iOS analizu.

- Cellebrite UFED – napredni komercijalni alat za ekstrakciju podataka.

- Oxygen Forensic Detective – alat za dubinsku analizu aplikacija i podataka.

- iBackup Extractor – osnovni alat za pregled iOS backup-a.

- Forensic Focus – forum posvećen digitalnoj forenzici.

- Reddit r/digitalforensics – diskusije o alatima i tehnikama.

- XDA Developers – korisne teme o iOS datotečnom sustavu.

Alat ILEAPP značajan je dodatak arsenalu forenzičkih alata za iOS uređaje. Njegova sposobnost detaljne analize logova i drugih artefakata omogućuje istražiteljima učinkovitiju i precizniju obradu mobilnih podataka. Iako postoje određena ograničenja, prednosti koje pruža čine ga ključnim alatom u forenzičkim istragama.

Video prezentacija

[1] https://github.com/abrignoni/iLEAPP

[2] https://developer.apple.com/documentation

[3] https://theapplewiki.com/wiki/ITunes_Backup

[4] https://www.infosecinstitute.com/resources/digital-forensics/ios-forensics/

iLEAPP je alat za forenzičku analizu dnevničkih zapisa, događaja i *plist* datoteka iOS uređaja. Nudi sučelje komandne linije ili grafičko sučelje, a izvještaje generira u HTML, TSV i SQLite obliku.

Forenzičari pomoću alata mogu otkriti relevantne informacije za istragu u detaljnom, organiziranom obliku sa sučeljem kojeg je lako koristiti.

iLEAPP (punim nazivom iOS Logs, Events, And Plists Parser) je alat za forenzičku analizu iOS uređaja, točnije za analizu dnevničkih zapisa, događaja i datoteke s popisom svojstava (plist datoteke, engl. Property list files).

Radi se o skupu skripti napisanih u programskom jeziku Python koje omogućuju analizu spomenutih datoteka kroz izvlačenje datotečnog sustava iOS uređaja.

iLEAPP dostupan je sa sučeljem komandne linije (engl. command line interface - CLI) (vidljivo na Slici 1), kao i sa grafičkim sučeljem (engl. graphical user interface - GUI) imena ileappGUI (vidljivo na Slici 2).

Slika 1. Izgled sučelja komandne linije

Slika 2. Izgled grafičkog sučelja

Kod ekstracije dostupno je više modula, od kojih je moguće odabrati sve ili dio. Potrebno je kao ulaznu točku unijeti odabrani iOS datotečni sustav, a kao izlaznu direktorij u kojem će alat generirati svoj izvještaj.

Unutar odabranog direktorija nalazit će se dodatni direktoriji i datoteke - najbitnija je index.html datoteka. Ona sadrži grafički prikaz generiranih izvještaja koje omogućavaju laki pregled rezultata rada alata (vidljivo na Slici 3).

Slika 3. Grafički prikaz generiranih izvještaja

Početna kartica početne stranice prikazuje općenite informacije o analizi. Preostale kartice pružaju informacije o uređaju, zapisima izvršavnja i popisu obrađenih datoteka.

Izbornik s lijeve strane nudi odabir prikaza izvještaja pojedinog artefakta. Podstranica analize artefakta nudi prikaz informacija u obliku tablice i mogućnost pretraživanja (vidljivo na Slici 4).

Slika 4. Izgled stranice jednog od artefakata

Izvještaj analize dostupan je i u TSV (engl. tab sparated values) formatu koji je pogodan kao ulaz u druge alate za dodatnu analizu.

Alat također generira izvještaj u obliku SQLite baze podataka koja sadrži analizirane datoteke s vremenskim oznakama. Omogućava jednostavan način pregleda artefakata kroz vrijeme, a koristeći SQL upite moguće je dodatno precizirati svoju analizu.

U ovom poglavlju prikazani su i obrađeni određeni artefakti koje ovaj alat može generirati po završetku svoje analize.

Artefakt korisničkih računa (engl. Accounts) (vidljivo na Slici 5) sadrži detalje konfiguriranih korisničkih računa na uređaju kao što su korisničko ime i tip vjerodajnica (lozinka, OAuth i sl.)

Ovo je iznimno korisno za računalnu forenziku jer pruža uvid u platforme i servise koje je vlasnik uređaja koristio i može otvoriti novi smjer u analizi.

Slika 5. Izgled podstranice artefakta korisnički računi

Artefakt baze podataka stanja aplikacija (engl. Application State DB) prati aplikacije na uređaju kao i putanju do direktorija gdje određena aplikacija pohranjuje svoje podatke.

Sadrži podatke o instaliranim aplikacijama, ali prati i brisanje aplikacija gdje za neke pohranjuje i datum brisanja. Obje informacije mogu biti korisne, a informacija o obrisanim aplikacijama dodatno jer može dati uvid u nešto što je vlasnik uređaja htio sakriti.

Slike tablica koje se analiziraju u sklopu generiranja ovog artefakta prikazane su na Slici 6, Slici 7 i Slici 8.

Slika 6. Prikaz prve od analiziranih tablica

Slika 7. Prikaz druge od analiziranih tablica

Slika 8. Prikaz treće od analiziranih tablica

Artefakt metapodataka paketa i iTunesa (engl. iTunes & Bundle Metadata) (vidljivo na Slici 9) su zapravo .plist datoteke koje sadrže informacije poput datuma i vremena preuzimanja aplikacije, koja inačica aplikacije je preuzeta i koji AppleID ju je zapravo preuzeo.

Slika 9. Izgled podstranice artefakta metapodataka

Artefakt Bluetooth daje uvid u bluetooth uređaje koji su došli blizu ili bili upareni s analiziranim uređajem. Sadrži tri podsekcije:

1. Bluetooth Paired (vidljivo na Slici 10) - dokumentira bluetooth uređaje koji su bili upareni s analiziranim uređajem

Slika 10. Izgled postranice artefakta uparenih bluetooth uređaja

2. Bluetooth Paired LE (vidljivo na Slici 11) - dokumentira bluetooth uređaje niske potrošnje koji su bili upareni s analiziranim uređajem

Slika 11. Izgled podstranice artefakta uparenih bluetooth uređaja niske potrošnje

3. Bluetooth Other LE (vidljivo na Slici 12) - dokumentira bluetooth uređaje niske potrošnje koji su došli u blizinu analiziranog uređaja - također uključuje uređaje koji djeluju u drugom frekvencijskom rasponu od uobičajenog za bluetooth

Slika 12. Izgled postranice artefakta bluetooth uređaja niske potrošnje u blizini

Znati s kojim uređajima je analizirani uređaj komunicirao može biti od velikog značaja u računalnoj forenzici jer može ukazati na poznanstva, infrastrukturu kojom se vlasnik uređaja koristi i sl.

Artefakt identifikatora paketa za AppGroup i identifikatori izvještaja PluginKit (vidljivo na Slici 13) korisni su prvenstveno jer daju uvid u popis aplikacija koje su nekada bile na uređaju neovisno o tome jesu li i dalje na uređaju.

Slika 13. Izgled postranice artefakta identifikatora paketa i izvještaja

Neki od preostalih artefakata su povijest poziva, unosi kalendara i metapodaci slika. Svi spomenuti mogu biti od velike važnosti pri forenzičkoj analizi jer jasno daju uvid u informacije s kime vlasnik uređaja komunicira, gdje se kreće, s kime je sve bio u kontaktu i sl.

Uzmimo na primjer počinitelja Ivana koji je u procesu suđenja za vršenje kibernetičkog nasilja nad Markom, kolegom s posla, putem društvene mreže Facebook. Marko tvrdi kako se Ivan udružio s Josipom, dok Ivan tvrdi kako ne zna niti jednog Josipa.

Računalni forenzičari dobili su pristpu njegovom mobilnom uređaju s operacijskim sustavom iOS.

Ivan je prije suđenja blokirao Marka na društvenoj mreži i obrisao aplikaciju s uređaja.

Korištenjem alata, forenzičari korištenjem baze podataka stanja aplikacija i identifikatora paketa pronalaze da je aplikacija Facebook bila instalirana na Ivanovom mobilnom uređaju. Pronalaze čak i email koji je koristio za prijavu pomoću artefakta korisnički računi.

Pomoću artefakta Bluetooth pronalaze da se Ivanov mobitel našao u blizini bluetooth uređaja imena “Josip's iPhone”, dok pomoću artefakta unosa kalendara pronalaze zapis samo imena “Josip”. Povijest poziva otkriva pozive prema kontaktu Josip za vrijeme kada Marko tvrdi da se nad njim vršilo kibernetičko nasilje.

Pomoću pronađenih informacija koje je utvrdila forenzička analiza uređaja korištenjem alata iLEAPP, sud bi mogao utvrditi da su Markove tvrdnje istinite i osuditi Ivana krivim.

Alat iLEAPP pruža detaljnu i korisnu analizu datotečnog sustava iOS uređaja i svoje rezultate prikazuje uredno i lijepo formatirano kroz jednostavno sučelje.

Može sam generirati dovoljno informacija za dokaz, a može i jasno uputiti gdje bi se daljna analiza i istraga trebala provesti.

Svakako je alat koji je korisno imati u svom arsenalu alata za forenzičku analizu.

Za korištenje podnaslova (titlova) skinuti datoteku i lokalno pokrenuti u programu koji podržava podnaslove (npr. VLC): Video prezentacija

[1] iLEAPP: https://github.com/abrignoni/iLEAPP

[2] What is .plist file in iOS — Exploring Plist Files: Configuration and Data Storage in Swift: https://vikramios.medium.com/what-is-plist-file-in-ios-73384c01dd1d

[3] Identifying installed and uninstalled apps in iOS: https://abrignoni.blogspot.com/2018/12/identifying-installed-and-uninstalled.html

[4] How to Use iOS Bluetooth Connections to Solve Crimes Faster: https://cellebrite.com/en/how-to-use-ios-bluetooth-connections-to-solve-crimes-faster/