Gesamtpaket für Unternehmen und Behörden


Elcomsoft iOS Forensic Toolkit

Erweiterter forensischer Zugang zu iPhone-, iPad-, und iPod-Geräten mit Apple iOS-Betriebssystem

Führen Sie eine komplette forensische Erfassung der Nutzerdaten von iPhone-, iPad- und iPod-Geräten durch. Elcomsoft iOS Forensic Toolkit erlaubt berechtigten Kunden, Bit für Bit Abbilder von Dateisystemen des Gerätes zu erlangen, geheime Daten zu extrahieren (Codes, Passwörter und Codeschlüssel) und die Abbilder des Dateisystems zu entschlüsseln. Der Zugang zum größten Teil dieser Informationen ist spontan gegeben.

Bitte beachten Sie, dass nicht alle iOS-Geräte und Versionen unterstützt sind, manche Modelle erfordern Jailbreak. Siehe Kompatible Geräte und Plattformen für weitere Einzelheiten.

Eigenschaften und Vorzüge

  • Komplettlösung - alles in einer Software
  • Physisches Datenauslesen (von 32-bit-Devices): erstellen Sie komplette, bitgenaue Geräteabbilder
  • Physisches Datenauslesen (von 64-bit-Devices): Entschlüsseln Sie mehr Informationen, als beim logischen oder Cloud-Datenauslesen
  • Mehr Informationen aus gesperrten Devices extrahieren (Beschränkungen gelten)
  • Keychain-Elemente entschlüsseln, Device-Schlüssel extrahieren (byr 32-bit-Devices)
  • Schnelle Erfassung des Dateisystems: 20-40 Minuten bei 32 GB-Modellen
  • Zero Footprint-Operation: Hinterlässt keine Spuren und keine Änderungen an Geräte-Inhalten (nur 32-bit-Devices)
  • Vollständig nachvollziehbar: Jeder Schritt der Untersuchung wird protokolliert und aufgezeichnet
  • Unterstützt sämtliche iOS-Versionen bis 9.0.2
  • Passcode nicht erforderlich
  • Einfache vierstellige Passcodes werden in 10-40 Minuten ermittelt
  • Für Mac und Windows erhältlich
  • Automatische und manuelle Betriebsweise möglich

Bitweiser Speicher-Zugriff für 32-bit und 64-bit-iOS-Geräte

Wenn es darum geht, iOS-Geräten ihre Daten zu entlocken, dann ist der physische Speicherzugriff sicher das Mittel der Wahl. Denn physisch einen Speicher bitweise auszulesen bringt im Zweifelsfall viel mehr ans Tageslicht als logischer Daten-Zugriff oder die Analyse von Backup-Dateien. Hinzu kommt, dass die benötigte Zeit planbar ist. Ein iOS-Gerät mit 32 Gbyte Speicher kann mittels physischem Zugriff binnen 40 Minuten ausgelesen werden (in Abhängigkeit der Datenmenge auf dem Gerät). Die Zeit, die man bräuchte, um das Passwort für ein Backup zu knacken, kann dagegen nur sehr schlecht eingeschätzt werden. Neben dem zeitlichen Aufwand spricht aber vor allem die Qualität der Daten für den physischen Zugriff. Bitweise alle Daten vorliegen zu haben ist im Ernstfall immens wichtig. Schließlich weiß man nie, welche Daten das Betriebssystem zurückhält. Folglich weiß man auch nie, welche Daten bei logischem Zugriff nicht angezeigt werden können.

Für Ermittler ist vor allem in laufenden Untersuchungen die Zeit ein entscheidender Faktor. Gerade auf älteren Geräten (iPhone 4 und früher) und 32-bit-Geräten mit Jailbreak (iPhone 4S bis 5C) kann trotz aktiver Codesperre das Dateisystem heruntergeladen und durchsucht werden. Der zeitaufwendige Prozess, die Authentifizierungen des Nutzers zu umgehen kann dann entfallen.

Ein Alleinstellungsmerkmal des Elcomsoft iOS Forensic Toolkit ist die Möglichkeit auch bei Apples 64-bit Geräten ein exaktes bitweises Image zu extrahieren. Dies funktioniert bei allen 64-bit-iPhones und -iPads, auf denen ein Jailbreak installiert wurde. Das vollständige Dateisystem des Geräts wird extrahiert, was technisch zwar nicht ganz das gleiche wie eine bitweise Kopie des Hardware-Speichers ist, praktisch dem aber in nichts nachsteht. Allerdings ist der auf diese Weise extrahierte Apple Schlüsselbund weiterhin verschlüsselt und muss separat geknackt werden. Auch setzt der Zugriff auf die 64-bit-Geräte voraus, dass sich die Codesperre aufheben lässt.

Unterstützung für 32-bit- und 64-bit-iOS-Geräte

Jedes iOS-Gerät bis einschließlich dem iPhone 4 kann ohne Beschränkungen komplett physisch ausgelesen werden. Ebenso können alle 32-bit-Geräte mit einem Jailbreak einschließlich dem iPhone 5C, dem original iPad mini und allen 32-bit-iPads physisch ausgelesen werden. Bitweiser Zugriff auf 64-bit-Geräte besteht mit einem Jailbreak bei deaktivierter Codesperre, indem das komplette Image über das Dateisystem ausgelesen wird.

  • Ältere Modelle: Für alle Modelle bis zum iPhone 4 einschließlich kann ohne Einschränkungen der Speicher physisch ausgelesen werden. iOS-Version und Codesperre stellen keine Hindernisse dar.

  • 32-bit-Geräte: Voraussetzung für den physischen Zugriff auf diese Geräte ist ein Jailbreak. Dann aber können alle Geräte bis zum iPhone 5C bzw. bis zum iPad mini sogar bei iOS 9 physisch ausgelesen werden.

  • 64-bit-Geräte: Über das Dateisystem kann bei allen 64-bit-Geräten mit Jailbreak (dies ist bislang nicht für alle Modelle verfügbar) ebenfalls bitweise der Speicher ausgelesen werden. Dies betrifft auch die neuesten Modelle iPhone 5S, 6, 6S inkl. Plus-Versionen, iPad mini 2 bis 4, iPad Air und Air 2.

  • Codesperre: Selbst bei aktiver Codesperre kann (Jailbreak vorausgesetzt) ein begrenzter Umfang an Daten abgerufen werden.

Greifen Sie auf mehr Information zu, als in iPhone-Backups verfügbar sind

ElcomSoft bietet bereits die Möglichkeit, auf die auf iPhone-, iPad- und iPod-Geräten gespeicherten Informationen zuzugreifen, indem mit Apple iTunes durchgeführte Daten-Backups entschlüsselt werden. Das neue Toolkit bietet Zugang zu wesentlich mehr Information im Vergleich zu dem, was in solchen Backups enthalten ist, einschließlich Zugang zu Passwörtern und Benutzernamen, E-Mails, Geo-Daten, Anwendungsdaten und mehr.

Es kann auf enorme Mengen hochsensibler Information zugegriffen werden, die in den Smartphones des Besnutzer gespeichert sind. Auf zurückliegende Ortsbestimmungsdaten, angeschaute Google-Karten und -Routen, den Browserverlauf, Anrufverzeichnisse, Bilder, E-Mail- und SMS-Mitteilungen, Benutzernamen, Passwörter und fast alles, was in das iPhone eingegeben und vom Gerät im Cache gespeichert wurde, kann mit dem neuen Toolkit zugegriffen werden.

Echtzeit-Zugang zu verschlüsselten Daten

Im Gegensatz zu früher genutzten Methoden, die auf langatmige Wörterbuch-Angriffe oder Brute Force-Passwortermittlung zurückgreifen, kann das neue Toolkit die meisten Schlüssel aus dem physischen Gerät extrahieren. Mit bequem verfügbaren Schlüsseln ist der Zugang zu den meisten Informationen in Echtzeit gewährleistet. Ein typischer Zugriff auf ein iPhone dauert 20 bis 40 Minuten (abhängig von Modell und Speichergröße). Mehr Zeit nimmt die Behandlung von 64-GB-Versionen von Apple iPads in Anspruch. Die Aufzählung der Ausnahmen ist kurz und enthält den Benutzer-Passcode, der durch die Brute-Force-Methode oder mit einem Wörterbuchangriff ermittelt werden kann.

Keychain-Analyse

Elcomsoft iOS Forensic Toolkit kann auf die Geheimnisse des iOS zugreifen, einschließlich der meisten Keychain-Elemente, und Ermittlern so den Zugang zu hochsensiblen Daten, wie Login- und Passwort-Daten für Websites und andere Quellen (inkl. Apple ID) eröffnen.

Schlüsselbund(Keychain)-Auslesen ist nur für 32-bit-Geräte möglich. Ein Zugriff auf ein 64-bit-Gerät gibt den Apple Schlüsselbund nur in verschlüsselter Form aus.

Passcode-Ermittlung

Das Wissen um den Original-Passcode ist niemals erforderlich, kann aber im Falle von iOS 4-7-Geräten nützlich sein (aber für iOS 8 ist der Passcode erforderlich). Die folgende Übersicht zeigt, wann Sie den Passcode für eine erfolgreiche Datenakquise benötigen.

iOS 1.x-3.x: Passcode nicht erforderlich. Sämtliche Informationen sind zugänglich. Der Original-Passcode wird sofort ermittelt und angezeigt.

iOS 4.0-7.x: bestimmte Informationen, einschließlich der folgenden sind mit Passcode-abhängigen Schlüsseln geschützt:

  • E-Mail-Mitteilungen;
  • Die meisten Keychain-Daten (gespeicherte Login-/Passwort-Daten);
  • Bestimmte Anwendungsdaten, wenn die Anwendung eine sichere Verschlüsselung verlangt hat.

iOS 8.x und 9.x: meistene Informationen sind verschlüsselt. Ohne den Passcode kann man nur wenige Angaben erhalten, siehe Apple’s Take on Government Surveillance: On Its Customers’ Side für weitere Einzelheiten.

Elcomsoft iOS Forensic Toolkit kann den einfachen vierstelligen Passcode von iOS 4+ in 10-40 Minuten durch die Brute Force-Methode ermitteln. Komplexe Passcodes können ermittelt werden, erfordern jedoch mehr Zeit, weil Passcode-Ermittlung kann nicht “offline” auf schnelleren Geräten durchgeführt sein.

Systemanforderungen

Das iOS Forensic Toolkit für Mac OS X erfordert einen Intel-basierten Mac-Computer mit Betriebssystem Mac OS X von 10.6 (Snow Leopard) bis 10.11 (El Capitan) mit installiertem iTunes 10.6 oder höher.

Das Toolkit für Microsoft Windows erfordert als Betriebssystem Windows XP, Windows 7, Windows 8/8.1 oder Windows 10 mit installiertem iTunes 10.6 oder höher.

Andere Versionen von Mac OS X, Windows und iTunes können ebenfalls ausreichen, wurden aber nicht getestet.

Kompatible Geräte und Plattformen

Das Toolkit unterstützt folgende iOS-Geräte unter allen iOS-Versionen biz iOS 7; jailbreaking ist nicht erforderlich und Passcode ist nicht wichtig: iPhone (original) iPhone 3G iPhone 3GS iPhone 4 (GSM- und CDMA-Modelle) iPad (1. Generation) iPod Touch (Generationen 1 - 4)

Das physische Auslesen ist für die folgenden Modelle möglich (Jailbreak ist notwendig und OpenSSH soll installiert sein).

  • iPhone 4S
  • iPhone 5
  • iPhone 5C
  • iPod Touch 5th Gen.
  • iPad 2
  • iPad mit Retina-Display (3. und 4. Generation)
  • iPad Mini

Die folgenden (64-Bit) Modelle sind via physisches Datenauslesen von 64-bit-Devices unterstützt, abgesehen von iOS-Version (bis 9.0.2):

  • iPhone 5S
  • iPhone 6
  • iPhone 6 Plus
  • iPhone 6S
  • iPhone 6S Plus
  • iPad Air
  • iPad Air 2
  • iPad Mini 2/3/4
  • iPad Pro

Unterstützte Betriebssysteme:

  • iOS 1-5
  • iOS 6.0 – 6.1.2 (mit evasiOn Jailbreak)
  • iOS 6.1.3 - 6.1.6 (mit pOsixspwn Jailbreak)
  • iOS 7.0 (mit evasiOn Jailbreak)
  • iOS 7.1 (mit Pangu 1.2+ Jailbreak)
  • iOS 8.0 - 8.1.2 (mit TaiG, PanGu oder PP Jailbreak)
  • iOS 8.1.3 - 8.4 (mit TaiG 2.0 Jailbreak)
  • iOS 9.0 – 9.0.2 (mit PanGu Jailbreak)
 


Vollversion von EIFT bestellen

Current version: 2.0