Upload
nguyenngoc
View
224
Download
3
Embed Size (px)
Citation preview
SVEUČILIŠTE U ZAGREBU
FAKULTET ELEKTROTEHNIKE I RAČUNARSTVA
Seminarski rad u okviru predmeta „Računalna forenzika“
2016./2017.
iOS forenzika
Nejra Muslić
0036476015
Zagreb, siječanj 2017. godine
Sadržaj
1 Uvod ..................................................................................................................... 2
2 Općenito o iOS operacijskom sustavu ................................................................. 3
3 Ekstrakcija podataka iz iOS uređaja ..................................................................... 4
3.1 Slanje uređaja Apple-u .................................................................................. 6
3.2 Fizička slika uređaja ...................................................................................... 6
3.3 Ekstrakcija podataka putem iTunes rezervne pohrane ................................. 7
3.4 Preuzimanje informacija s iCloud-a ............................................................. 10
3.5 Jailbreak ...................................................................................................... 10
4 Važni dokumenti ................................................................................................. 10
4.1 App store aplikacije ..................................................................................... 10
4.2 Rječnik korisničkih zapisa ........................................................................... 11
4.3 SMS poruke ................................................................................................ 11
4.4 Kolačići preglednika .................................................................................... 12
4.5 Povijest pretraživanja .................................................................................. 12
4.6 Ostale datoteke ........................................................................................... 12
5 Zaključak ............................................................................................................ 13
Literatura ................................................................................................................... 14
2
1 Uvod
Kombinirajući mogućnosti mobilnog uređaja, kamere, navigacije i multimedije, iOS je
jedan od najpopularnijih mobilnih operacijskih sustava.
Korištenjem nekih od metoda za ekstrakciju podataka iz iOS uređaja moguće je izvršiti
forenzičku analizu podataka. Metode funkcioniraju različito na različitim verzijama iOS
operacijskog sustava zbog različitih sigurnosnih mehanizama.
S pojavljivanjem novijih iOS uređaja, iOS forenzika je postala mnogo teža. Više nije
moguće zaobići lozinku u uređajima s novijim verzijama iOS-a. Sa svakom novom
verzijom operacijskog sustava Apple povećava razinu enkripcije.
U budućnosti bi iOS forenzika mogla postati nemoguća zbog naprednih sigurnosnih
karakteristika iOS operacijskog sustava.
3
2 Općenito o iOS operacijskom sustavu
IOS je mobilni operacijski sustav kojeg je razvila tvrtka Apple. Mnogi mobilni uređaji su
upogonjeni ovim operacijskim sustavom: iPhone, iPad i iPod touch. To je drugi
najpopularniji mobilni operacijski sustav nakon Android-a.
2007. godine je nastao prvi uređaj s iOS operacijskim sustavom – iPhone. Trenutna
najnovija verzija iOS operacijskog sustava je iOS 10, objavljena 13. rujna 2016. godine.
Uređaji s iOS 10 verzijom su: iPhone 5 i novije verzije iPhone-a, iPad (četvrta generacija)
i novije verzije, iPad Pro, iPad Mini 2 i novije verzije, te šesta generacija iPod Touch-a.
iOS ima 4 sloja apstrakcije:
Core OS
Core usluge
Media
Cocoa Touch
IOS korisničko sučelje zasnovano je na direktnoj manipulaciji koristeći višestruke dodire.
Na slici 1. prikazan je iOS 10 na iPhone 7 uređaju.
Slika 1. iOS 10 na iPhone 7 uređaju
4
3 Ekstrakcija podataka iz iOS uređaja
Razbijanje lozinke na iOS uređaju ovisi o instaliranoj verziji iOS-a kao i o verziji hardvera.
Forenzička analiza na starijim verzijama iOS-a je bila mnogo lakša. IOS uređaji su koristili
A4 čip (iPhone 4, iPad) i bilo je moguće jednostavno stvoriti fizičke slike uređaja. Pomoću
fizičke slike je moguće pristupiti podacima spremljenim na uređaju. Kako je vrijeme
odmicalo, postalo je sve teže dobiti potpunu fizičku sliku iz mobilnih uređaja. Češći pristup
je dobivanje rezervne kopije podataka ili logička ekstrakcija dijelova podataka iz uređaja.
Počevši od verzije A5 Apple-ovih čipova (iPhone 4S, iPad 2) za dobivanje fizičke i/ili
logičke slike uređaja je potrebna lozinka i jailbreak softver ili uređaj koji je prethodno
jailbreak-an od strane korisnika.
Forenzičar Devon Ackerman je napravio popis dostupnih rješenja za određene iOS
uređaja što je prikazano na slici 2.1
1Devon Ackerman, „iOS Device Dashboard“, https://docs.google.com/spreadsheets/d/1zAqSSiLZ-Fw6RrXg7qegkxbE7ejXI_mpxQre_ybWRWw/edit#gid=0, (04.01.2017.)
5
Slika 2. Prikaz dostupnih rješenja za različite iOS uređaje
6
Neke od metoda za ekstrakciju forenzičkih podataka iz iOS uređaja su:
slanje uređaja Apple-u,
fizička slika uređaja,
rezervna kopija podataka,
preuzimanje informacija s iCloud-a,
jailbreak odnosno isključivanje zaštitnih modula.
3.1 Slanje uređaja Apple-u
Ova metoda dostupna je policijskim službenicima i to samo za iOS verzije starije od iOS
8. Uvođenjem verzije iOS 8, Apple iznosi u izjavi o privatnosti da je novi sustav toliko
siguran da mu čak ni oni ne mogu pristupiti ako ne znaju ispravnu lozinku. Stoga je
moguće dobiti forenzičke podatke samo ako je lozinka poznata. Apple je 15. lipnja 2015.
objavio da je 83% iOS uređaja na verziji iOS 8. Na slici 3. je prikazana navedena
statistika.
Slika 3. Statistika iOS sustava na korisničkim uređajima
3.2 Fizička slika uređaja
Pomoću ove metode moguće je analizirati SMS-ove, popis poziva, događaje u kalendaru,
slike, kontakte, povijest pretraživanja i email račune. Kako bi se prikupili dokazi koristeći
ovu metodu, potrebno je povezati iOS uređaj s uređajem na kojem je pokrenuta jedna od
aplikacija za ekstrakciju podataka.
7
Ova metoda funkcionira samo za 32-bitne uređaje na kojima je već izvršen jailbreak ili za
32-bitne otključane uređaje na kojima forenzičar može izvršiti jailbreak. U odnosu na
Android, relativno mali broj korisnika Apple-a instalira jailbreak.
3.3 Ekstrakcija podataka putem iTunes rezervne pohrane
Ako je lozinka poznata ili postoji način da se sazna, istraživači mogu kreirati rezervnu
kopiju podataka putem iTunesa. Za analiziranje rezervne kopije podataka postoji nekoliko
ograničenja:
Stavke iz međuspremnika nisu dostupne.
Ako je na uređaju podešeno da kreira rezervnu kopiju zaštićenu lozinkom,
mijenjanje te lozinke nije moguće bez poznavanja trenutne lozinke. Apple2 je u
službenom saopćenju naveo: „Ako ste zaboraviti svoju lozinku za rezervnu kopiju
podataka, jedini način da se isključi enkripcija rezervne pohrane na uređaju je da
se obrišu svi podaci s uređaja“. Drugim riječima, resetiranje lozinke nije moguće
ako lozinka nije poznata.
Neki tajni podaci neće biti dostupni ako rezervna kopija podataka nije zaštićena
lozinkom.
Podatke bi trebalo povući s uređaja na koji se iOS uređaj inače povezuje za ažuriranja ili
sinkronizaciju aplikacija, audio i video zapisa. Najčešće je to MacOS ili Windows uređaj.
Ako korisnik nije drugačije odredio, iTunes obavljanja automatsku pohranu rezervnih
podataka tijekom sinkronizacije ili ažuriranja iOS operacijskog sustava. Ovisno o
operacijskom sustavu, rezervni podaci bit će spremljeni na sljedećim lokacijama:
2 „About encrypted backups in iTunes“, Apple, https://support.apple.com/en-
gb/HT205220, (05.01.2017.)
8
Na Mac operacijskom sustavu -
/Users/<username>/Library/ApplicationSupport/MobileSync/Backup
Na Windows operacijskom sustavu:
/Users<username>AppDataRoamingApple ComputerMobileSyncBackup
Korijenski direktorij rezervne kopije podataka sadrži datoteke:
Info.plist,
Status.plist
Manifest.plist,
Manifest.db.
Datoteka Status.plist sadrži podatke o zadnjoj rezervnoj pohrani podataka: datum,
verziju, stanje i da li je rezervna pohrana potpuna. Na slici 4. prikazan je sadržaj datoteke
Status.plist.
Slika 4. Sadržaj datoteke Status.plist
9
Datoteka Info.plist sadrži podatke kao što su naziv telefona, telefonski broj, serijski broj i
verzija OS-a. Pomoću njih je moguće potvrditi da rezervna pohrana podataka odgovara
uređaju. Na slici 5. je prikazan sadržaj datoteke Info.plist.
Slika 5. Sadržaj datoteke Info.plist
Manifest.plist sadrži meta podatke o rezervnim podacima. Na slici 6. prikazan je sadržaj
datoteke Manifest.plist
Slika 6. Sadržaj datoteke Manifest.plist
10
Datoteka Manifest.db u starijim verzijama iTunes-a nije bila kriptirana, ali nova verzija
dojavljuje grešku s formatom. Datoteku je moguće analizirati putem HEX editora ili
pomoću iPhone Backup Browser-a. Sadrži instalirane aplikacije, broj i nazive datoteka
aplikacije, verziju i datum posljednjeg ažuriranja.
3.4 Preuzimanje informacija s iCloud-a
ICloud je cloud usluga dostupna Apple-ovim korisnicima. Spremnik veličine do 5 GB je
dostupan besplatno, a moguće je kupiti spremnik veličine do 50 GB.
Apple je dizajnirao zgodan sustav za rezervnu kopiju uređaja na cloud. Rezervne kopije
se stvaraju automatski svaki put kada se zaključan uređaj puni i dok je povezan na
poznatu Wi-Fi mrežu. Sva tri uvjeta moraju biti zadovoljena. Statistika o korisnicima
iCloud usluge iz 2012. godine navodi da 33% njihovih korisnika koristi iCloud. Cloud
rezervne kopije podataka sadrže iste informacije kao i iTunes offline rezervne kopije.
Informacije s iCloud rezervne kopije podataka mogu direktno preuzeti policijski službenici.
Također je moguće preuzeti informacije s nekim od forenzičkih programa, primjerice
Elcomsoft Phone Breaker ako su poznati korisnički Apple ID i lozinka ili ako je poznat
token binarne autentifikacije s korisničkog računala.
3.5 Jailbreak
Jailbreak je tehnika s kojom se mijenja firmware particija s hakiranom verzijom nakon
čega ispitivač može instalirati alate na uređaj koji inače ne bi bili dozvoljeni. Neki od tih
alata su SSH i Terminal. Uvođenjem novijih iOS verzija jailbreak postaje sve teži.
4 Važni dokumenti
IOS operacijski sustav sprema vremena uređivanja, pristupa, mijenjanja i kreiranja
datoteka. Neke datoteke su spremljene u tekstualnom, XML ili binarnom, a ostale su
spremljene u SQLite bazi podataka.
4.1 App store aplikacije
11
Kad je aplikacija instalirana stvara se novi direktorij u private/var/Mobile/Applications
mapi. Ovaj direktorij sadrži 32 znaka dug alfanumerički jedinstveni identifikator koji je
konzistentan na svim iOS uređajima. Svaki direktorij aplikacije će imati nekoliko
zajedničkih poddirektorija :
„documents“ direktorij za sve važne datoteke
„temp“ direktorij za privremene datoteke
„library“ direktorij za postavke i podatke iz međuspremnika
4.2 Rječnik korisničkih zapisa
Dinamički rječnik je tekstualna datoteka dynamic-text.dat i nalazi se u
/private/var/mobile/Library/Keyboard direktoriju. Svaka riječ koju korisnik unese putem
aplikacija: Notes, Safari, Messages, Facebook i sličnih aplikacija koje dozvoljavaju unos
teksta je zapisana u ovu datoteku. Svrha datoteke je pomoć korisniku u tipkanju.
Nažalost, ne postoji vremenska oznaka u rječniku.
Zanimljiva za forenzičku istragu je i UserDictionary.sqlite baza podataka. Ona sadrži
korisnikove ručne ispravke za auto-correct.
4.3 SMS poruke
U direktoriju /private/var/mobile/Library/SMS je moguće pronaći sms.db datoteku. U njoj
se nalaze postojeći i obrisani razgovori. Baza podataka ima 6 tablica od kojih su
najvažnije za forenzičku istragu „message“ I „msg_pieces“.
Tablica „message“ sprema svaku poruku u jedan zapis. Za svaki poruku su spremljeni
datum, broj telefona, sadržaj poruke i informacija o tome da li je poruka poslana ili
primljena (zastavica 3 ako je poslana odnosno 2 ako je primljena). Zastavica read će imati
vrijednost 1 ako je poruka poslana.
12
4.4 Kolačići preglednika
Safari kolačići se nalaze u datoteci cookies.binarycookies u direktoriju
/private/var/mobile/Library. Kako bi se datoteka mogla čitati, potrebno ju je otvoriti s HEX
editorom. Datoteka se sastoji od zaglavlja te jedne ili više stranica. Na svakoj stranici se
nalazi jedan ili više kolačića. (Miyake, 2011)
4.5 Povijest pretraživanja
Povijest pretraživanja Safari preglednika nalazi se u datoteci RecentSearches.plist u
direktoriju /private/var/mobile/Library/Caches/Safari. Datoteka je u XML formatu.
4.6 Ostale datoteke
Pored ovih informacija moguće je i istražiti datoteke u kojima se nalazi telefonski imenik,
povijest poziva ili geografska lokacija.
13
5 Zaključak
IOS uređaji čuvaju veliku količinu podataka o korisničkim aktivnostima.
Pomoću različitih metoda forenzičari mogu doći do ovih podataka te im oni mogu pomoći
u istrazi. Neke od tih metoda su: slanje uređaja Apple-u, fizička slika uređaja, rezervna
kopija podataka, preuzimanje informacija s iCloud-a i jailbreak odnosno isključivanje
zaštitnih modula.
IOS operacijski sustav sprema vremena uređivanja, pristupa, mijenjanja i kreiranja
datoteka. Neke datoteke su spremljene u tekstualnom, XML ili binarnom, a ostale su
spremljene u SQLite bazi podataka. Neke od važnih informacija koje iOS sprema u
datotekama su: App store aplikacije, rječnik korisničkih zapisa, SMS poruke, kolačići
preglednika, povijest pretraživanja, telefonski imenik, povijest poziva i geografska
lokacija.
14
Literatura
Web poveznice
[1] Wikipedia: iOS
https://en.wikipedia.org/wiki/IOS (27. prosinac 2016.)
[2] The Future of Mobile Forensics: November 2015 Follow-Up
https://articles.forensicfocus.com/2015/11/04/the-future-of-mobile-forensics-
november-2015-follow-up (5. siječnja 2017.)
[3] Acquiring iOS 10 Devices with BlackLight
https://www.blackbagtech.com/blog/2016/07/15/acquiring-ios-10-devices-with-
blacklight (5. siječnja 2017.)
[4] HackediOS.com - iOS Forensics Tools
https://hackedios.com/ios-forensics-tools (09. siječnja 2017.)
[5] Forensic Analysis on iOS Devices
https://www.sans.org/reading-room/whitepapers/forensics/forensic-analysis-ios-
devices-34092 (09. siječnja 2017.)
[6] ITunes backup analysis
http://randomforensics.com/2012/11/20/itunes-backup-analysis (11. siječnja
2017.)
Slike
[1] To illustrate the default layout and configuration of the iOS 10 homescreen as released
by Apple on an iPhone 7, digitalna slika, (10.01.2017.), www.apple.com
[2] Itunes backup analysis, digitalna slika, (10.01.2017.),
http://randomforensics.com/2012/11/20/itunes-backup-analysis/
[3] We believe security shouldn’t come at the expense of individual privacy, digitalna slika,
(10.01.2017.), https://www.apple.com/privacy/government-information-requests/