Video prezentaciju ovog članka možete pogledati ovdje.

Prezentaciju ovog članka možete pogledati ovdje.

Akvizicija podataka iOS uređaja je proces kojim se uzimaju podaci s iOS uređaja radi forenzičke analize. Glavni problem koji se pojavljuje je taj što akviziciju podataka vrši osoba koja nije vlasnik uređaja. Na većini iOS uređaja postoji sigurnosni sustav kontrole pristupa koji onemogućava pristup podacima osobama koje nisu vlasnici uređaja. Uz to, korisnik ima mogućnost na daljinu izbrisati sve podatke sa svog uređaja tako da se prijavi sa svojim Apple ID računom na nekom drugom uređaju. Zato je potrebno nakon dobivanja fizičkog pristupa uređaju što prije ga odspojiti s Interneta. Glavni načini akvizicije podataka s iOS uređaja su logička akvizicija, fizička akvizicija i cloud akvizicija. Logička akvizicija podrazumijeva kreiranje sigurnosne kopije uređaja na računalu. Ona inače služi korisnicima da sačuvaju podatke svojeg uređaja u slučaju da ga izgube. Sigurnosna kopija sadrži skoro sve podatke korisne za akviziciju. Fizička akvizicija podrazumijeva akviziciju cijelog datotečnog sustava, ali to zahtjeva jailbreak. Cloud akvizicija podrazumijeva ulaz u korisnikov iCloud račun gdje se nalazi sigurnosna kopija i ostali podaci poput kontakata, poruka, fotografija, itd. Za cloud akviziciju nije potreban fizički pristup uređaju.

Kako bi se mogla razmatrati akvizicija podataka s iOS uređaja, prvo se treba razmotriti sigurnost iOS uređaja i način na koji iOS pristupa sigurnosti. iOS uređaji koji se koriste na način koji je namijenjen za korištenje spremaju podatke na jako siguran i tajan način. iOS uređaji koriste sklop koji se zove sigurnosna enklava [1]. To je posebni dio procesora uređaja koji je namijenjen za pristup osjetljivim podacima pohranjenim u uređaju. Taj sklop ima sklopovsku podršku za AES i svaki put kad uređaj treba pristupiti nekim osjetljivim podacima, mora im pristupiti kroz sigurnosnu enklavu. Dakle, sigurnosna enklava kontrolira pristup svim osjetljivim podacima u uređaju. Ona će dozvoliti pristup jedino ako je korisnik prijavljen u uređaj. Ako korisnik nije prijavljen u uređaj, praktički je nemoguće pristupiti podacima uređaja jer su kriptirani. Jedino ih sigurnosna enklava može dekriptirati jer se ključ kojim su podaci kriptirani nalazi u sigurnosnoj enklavi i jedino ona može njemu pristupiti. Više o sigurnosnoj enklavi možete pročitati ovdje

Još jedno sigurnosno svojstvo iOS uređaja je tzv. “Sandboxing” [2]. Svaka aplikacija nalazi se u zasebnoj okolini iz koje ne može izaći. To znači da aplikacija može u svojoj okolini spremati, čitati i brisati podatke, ali ne može to isto raditi u okolini neke druge aplikacije. To znači da je nemoguće (ako uređaj nije jailbreake-an) s jednom aplikacijom čitati podatke druge aplikacije.

Dakle ako postoji fizički pristup uređaju, a uređaj je zaključan, gotovo je nemoguće izvući podatke iz njega. Srećom, postoje neki drugi načini pristupanja podacima iOS uređaja.

Jailbreaking je proces koji omogućuje vlasniku uređaja da dobije potpuni i neograničeni pristup operacijskom sustavu i njegovim mogućnostima [3]. Ime dolazi iz engleskog izraza za bijeg iz zatvora (jail break). Jailbreaking iOS uređaja je postao popularan na samim počecima iPhone-a. Prvi iPhone bio je dostupan samo na jednom operateru (AT&T). Jedini način da se taj iPhone koristi na drugim operaterima bio je pomoću Jailbreaking-a. Uz to što jailbreaking daje potpuni pristup operacijskom sustavu uređaja, jailbreaking isto omogućuje instalaciju aplikacija koje se ne nalaze na Apple-ovoj trgovini za aplikacije. Instalirane aplikacije mogu imati pristup cijelom uređaju i mijenjati parametre jezgre operacijskog sustava. S jedne strane, odlično je imati potpunu kontrolu nad svojim uređajem, ali je s druge strane to jako opasno jer zloćudne aplikacije mogu na lagan način raditi po operacijskom sustavu što god žele. S vremenom, jailbreaking postaje sve manje popularan jer Apple novije verzije iOS-a sve više štiti kako bi smanjio broj jailbreak-a. Više o jailbreaking-u možete pročitati ovdje

Prvo se treba pobrinuti da podaci na iOS uređaju ostanu sačuvani. Korisnici iOS uređaja imaju mogućnost obrisati podatke sa svog uređaja na daljinu dok njihov uređaj ima internetsku vezu. Uz to potrebno je spriječiti gašenje uređaja jer uređaj nakon što se ugasi ulazi u sigurno stanje iz kojeg se može izaći samo ponovnim unošenjem lozinke pri paljenju. U tom je stanju jako teško vršiti akviziciju podataka. [4] Zato je potrebno odmah nakon pronalaska uređaja:

- Aktivirati zrakoplovni način rada. To je moguće i dok je uređaj zaključan

- Isključiti Wi-Fi i Bluetooth

- Spojiti uređaj na punjenje

- Ako je moguće, staviti uređaj u Faradayevu torbu.

Logička akvizicija izvodi se uz pomoć forenzičkog softvera. [5] To je najbrži, najjednostavniji i najšire podržan način akvizicije za sve iOS verzije. Za to je potreban iOS uređaj (npr. iPhone, Apple watch, Apple TV, iPad) i tzv. Lightning cable. To je kabel kojim se može iOS uređaj spojiti na računalo. S logičkom akvizicijom može se pribaviti sljedeće:

- Dodatne informacije o uređaju

- Sigurnosna kopija uređaja

- Mediji na uređaju

- Informacije o rušenju sustava

- Podaci aplikacija

Glavnu ulogu u logičkoj akviziciji ima iTunes backup (sigurnosna kopija). iTunes backup može se napraviti na PC-u koristeći Apple-ov program iTunes. Na Mac računalu backup se može napraviti bez dodatnih programa. iTunes backup je način na koji se mogu svi podaci s iOS uređaja prenijeti na računalo. Ako korisnik izgubi pristup svom iOS uređaju (npr. ako ga izgubi, ako mu je ukraden, ako se pokvari), on može jednim klikom prenijeti podatke s računala na novi uređaj. Time će na novom uređaju biti isti podaci i isto stanje kakvo je bilo na prošlom uređaju. Većina forenzičkog softvera na neki se način oslanja na iTunes backup.

Problem koji se može pojaviti kod iTunes backupa je zaštita lozinkom. Korisnik ima opciju kriptirati backup lozinkom po izboru. Ako je korištena lozinka, praktički je nemoguće otkriti bilo kakve korisne informacije iz backupa. Lozinka backupa može se promijeniti, ali za to je potrebno unošenje lozinke na uređaju, a to nam je najčešće nepoznato.

Nakon što se napravi iTunes backup, postoje razni softveri u koje se unese iTunes backup koji onda na temelju toga strukturirano prikazuju podatke.

Postoji mnogo važnih podataka koji nikad ne dospiju do backup-a. Zato je najbolje napraviti, ako je moguće, akviziciju cijelog datotečnog sustava. To je bilo moguće napraviti za sve verzije iOS -a 11 i za neke verzije iOS-a 12. Kako bi se mogla napraviti akvizicija cijelog datotečnog sustava, potrebno je prvo jailbreake-ati uređaj. Međutim, prije nego što se to napravi, dobra je praksa prvo napraviti logičku akviziciju. Jailbreak može napraviti previše modifikacija na sustavu i moguće je da uređaj prestane biti forenzički valjan. Sigurniji jailbreak po tome pitanju bio bi tzv. “rootless” jailbreak, jer ne mijenja particiju sustava, ali ne podržava široki spektar uređaja. Jailbreak je izrazito invazivna operacija. Ona mijenja particiju sustava i prekida mogućnost ažuriranja mobitela. Da bi se instalirao jailbreak, mora se potpisati učitavanje posebne IPA datoteke. Da bi se potpisivanje moglo izvršiti, potrebno je imati Apple developer račun koji mora sudjelovati u Developer programu.

Ako je jailbreak na uređaju izvršen, moguće je doći do lozinke Apple ID računa korisnika i lozinke iTunes backup-a.

Za ovu vrstu akvizicije nije potreban fizički pristup uređaju. Uređaj čak može biti izgubljen ili pokvaren. Uz to, iz cloud-a je moguće doći do puno više podataka nego iz uređaja. Mnogi korisnici koriste više uređaja za koje rade sigurnosne kopije na cloud. U cloudu se mogu nalaziti podaci koji su već izbrisani s uređaja. Još jedna prednost akvizicije s cloud-a je što je izuzetno brza. Apple-ov cloud na koji se prenose podaci s uređaja zove se iCloud. S iClouda može se dohvatiti sljedeće:

- iCloud sigurnosne kopije

- iCloud Drive (datoteke koje je korisnik pohranio, servis sličan Google Drive-u)

- Fotografije

- iCloud Keychain (lozinke korisnika na raznim web stranicama)

- Podaci o zdravlju korisnika (broj prijeđenih koraka, zabilježene tjelovježbe, …)

- Poruke

No, cloud akvizicija nije baš lagan proces jer je za nju potrebno znati korisničko ime i lozinku Apple Id računa korisnika. Uz to, potrebno je imati fizički pristup uređaju čiji je telefonski broj jednak telefonskom broju korisnika Apple ID računa zbog dvofaktorske autentifikacije. Prilikom prijave Apple ID računom, na telefonski broj korisnika dolazi SMS poruka koju je potrebno unijeti u preglednik. U nekim slučajevima, moguće je pristupiti resursima spremljenim u iCloud-u pomoću tokena koji se mogu izvući iz jailbreake-anog iOS uređaja, ali ti resursi su poprilično ograničeni.

iOS uređaji izrazito su zaštićeni i akvizicija podataka s njih poprilično je težak zadatak. Težini zadatka najviše doprinosi nepoznata lozinka uređaja i nepoznata lozinka Apple ID računa. Ako jedna od tih dviju stvari postanu poznate, akvizicija podataka postaje trivijalna. Lozinkom se može ući u uređaj i čitati podatke s njega ili napraviti sigurnosna kopija iz koje je kasnije moguće čitati podatke. Ako postane poznata lozinka Apple ID računa, moguće je napraviti cloud akviziciju i doznati praktički sve podatke o korisniku.

[1] Secure Enclave, Apple

[2] Security of runtime process in iOS and iPadOS, Apple

[3] What is Jailbreaking – Definition and Explanation, Kaspersky

[4] The Art of iPhone Acquisition, Elcomsoft

[5] iOS acquisition methods compared: logical, full file system and iCloud, Elcomsoft