Elcomsoft iOS Forensic ToolkitDer russische Anbieter ElcomSoft Co. Ltd. veröffentlicht ein Update zum iOS Forensic Toolkit und implementiert ein neues Feature namens "iOS-Akquisition" auf Windows- und Mac-Systemumgebungen. Das iOS Forensic Tookit erfährt hierbei einige neue Funktionen um die iOS Analyse zügiger sowie simpler und effizienter zu machen.

Das iOS Forensic Toolkit von Elcomsoft bietet einen zeitnahe forensische Zugriffsmöglichkeit auf verschlüsselte Daten, die in iPhone-Geräten gespeichert sind. Zudem bietet das Tool dem Forensik-Spezialisten die Möglichkeit, sämtliche Daten des iOS 4 Gerätes auszulesen und auch auf die geschützten und von iPhone-Geräten gewonnenen Datei-System-Dumps zuzugreifen, auch wenn diese Daten mit einem Sicherheits-Chip von iOS 4 verschlüsselt sind.

Neben einer Windows-Unterstützung wurden auch die logische und physikalische Akquisition dem iOS Forensic Toolkit hinzugefügt. So ist es möglich den Passwortschutz unter iPhones welche mit iOS 3.x ausgestattet sind unverzüglich wiederherstellen zu können. Für iPhones welche unter iOS 4.x laufen besteht die Möglichkeit einer Brute-Force Attacke auf das Passwort des Gerätes. Das iOS Forensic Toolkit ist auch in der Lage im Gerätespeicher hinterlegte Login- und Passwort-Informationen für Websites und Login-Daten zu entschlüsseln und auch in der Lage diese zu protokollieren.

Was versteht man unter physischer Akquisition im Rahmen der forensichen Analyse des iOS ?

Hierbei wird ein Abbild des iOS Gerätespeichers erzeugt, also ein sog. Dump, um eine umfangreiche Analyse der Benutzer- und Systemdateien durchführen zu können. Ein Zugriff auf den systeminternen Speicherbereich eines iOS Gerätes zur Analyse ist ohne den Einsatz entsprechender forensischer Tools grundsätzlich nur sehr eingeschränkt bis komplett unmöglich, sei es mit oder ohne entsprechenden Passcode. Mittels des Einsatzes des iOS Forensic Toolkits benötigt diese, bei einem 32 GB iPhone 4 mit iOS 4.x, laut Herstellerangabe, eine durchschnittliche Zeitspanne zur Abbilderstellung von ca. 1,5 Stunden ohne dass hierbei extra eine Brute-Force Attacke auf das Passwort ausgeführt werden muss.

Durch die Analyse des physischen Abbildes bietem sich den Forensiker diverse Informationen hinsichtlich des Verwendungszwecks des iOS-Gerätes an. Diese Informationen, die dem Systeminternen Speicher entspringen, sind umfangreich als im Vergleich einer rein logischen Akquisition der Nutzerdaten.

Die Analyse der physikalischen Akquisition gibt Aufschluß darüber ob:

  • Zero-Footprint: keine Änderungen am Gerät oder seinem Inhalt vorgenommen werden;
  • All-in-One-Lösung;
  • Bit-genaue Images: eine physische Akquisition beschäftigt sich mit kompletten System-Dumps, präzise bis zum letzten Bit;
  • Typische Akquisition dauert bis zwei Stunden;
  • Industrietaugliche Produkte zur forensischen Analyse können verwendet werden, um den entschlüsselten Speicherauszug zu analysieren.


Die neue Version von Elcomsoft iOS Forensic Toolkit kann auch eine logische Akquisition schneller durchführen, indem es nur die tatsächlichen Benutzer-Dateien überträgt und nicht-relevanten Speicherplatz weglässt. Mit der logischen Akquisition wird die Entschlüsselung durch das Gerät selbst (obwohl die Dateien, die Passcode für die Dechiffrierung benötigen, mit dem Image der logischen Akquisition nicht enthalten werden) durchgeführt.


Elcomsoft: Den Passcode zu kennen ist mit iOS Forensic Toolkit nicht zwingend erforderlich, dennoch manchmal hilfreich

Das Elcomsoft iOS Forensic Toolkit beinhaltet die Fähigkeit, Passwörter mittels Brute-Force-Attacken am iOS 4.x Gerät wiederherzustellen, auch wenn dies nicht immer zwingend erforderlich ist.

Unter iOS 3.x besteht die Möglichkeit den Passcode direkt ohne Brute-Force Attaken wiederherzustellen, zudem ist es unter iOS 3.x auch möglich einen kompletten physikalischen Dump zu generieren.

Unter iOS 4.x existieren bestimmte Informationen / Logindaten und E-Mail die ohne die Verwendung eines Passcodes oder einer gültigen Escrow-Datei (z.B. iTunes) nicht zugänglich sind. Die Wiederherstellung eines Passcodes an einem iOS 4.x Gerät um im Anschluß auch auf diese Daten zugreifen zu können dauert im Schnitt ca. 20 - 40 Minuten.


Hintergründiges:

iPhone-Anwender generieren eine Menge an sensiblen Informationen auf ihren iPhones. Üblicherweise gehören hierzu offensichtliche Daten wie Bilder, E-mails und SMS-Nachrichten sowie erweiterte Nutzungsinformationen wie Geo-Lokalisierungsdaten, welche Googlemap- und Routen wann betrachtet wurden, der Verlauf des Web-Browsers, sprich welche Webseite in der Vergangenheit geöffnet wurde, Anruflisten, gespeicherte Login-Daten wie Benutzerdaten und Passwörter und sämtliche Informationen die über den Touchscreen des iPhones in irgendeiner Art und Weise eingegeben wurden.

Einige, jedoch nicht alle (!), dieser Informationen werden im iPhone Backup gesichert wenn diese mit Apples iTunes erstellt worden sind. Die Datenmenge die aus diesen Backups extrahiert werden kann ist jedoch begrenzt.

Für Forensiker ist der Vorteil eines kompletten Abbildes des Gerätespeichers wertvoller als lediglich nur auf ein über iTunes erstelltes Backup der Nutzerdaten zugreifen zu können. Denn hierdurch erhält ein IT-Forensiker über die entsprechenden Passcodes einen Einblick in Informationen die nicht Bestandteil eines iTunes Backups sind. Zudem erhält er Zugriff auf Bereiche (Logindaten- Passwörter) die ihm eine weitergehende und tiefergehende Analyse ermöglichen.

Information des Herstellers:

Verfügbarkeit und Verteilung

Elcomsoft iOS Forensic Toolkit steht sofort zur Verfügung. Der Zugriff aufs neue Toolkit ist nur Strafverfolgungsbehörden, forensischen Organisationen und gewissen Regierungsbehörden gewährt. Preisauskünfte sind auf Anfrage erhältlich; Sonderkonditionen stehen bestehenden Kunden zur Verfügung.

Weitergehende Informationen unter:

www.elcomsoft.com