Gesamtpaket für Unternehmen und Behörden


Elcomsoft iOS Forensic Toolkit

Erweiterter forensischer Zugang zu iPhone-, iPad-, und iPod-Geräten mit Apple iOS-Betriebssystem

Führen Sie eine komplette forensische Erfassung der Nutzerdaten von iPhone-, iPad- und iPod-Geräten durch. Elcomsoft iOS Forensic Toolkit erlaubt, ein Abbild vom Dateisystem des Geräts zu erstellen, um geheime Daten zu extrahieren (Codesperren, Passwörter und Codeschlüssel) und die Abbilder des Dateisystems zu entschlüsseln. Der Zugang zum größten Teil dieser Informationen wird sofort gewährt.

Bitte beachten Sie, dass manche Modelle ein Jailbreak erfordern. Siehe Kompatible Geräte und Plattformen für weitere Einzelheiten.

Eigenschaften und Vorzüge

  • Komplettlösung - alles in einer Software
  • Physischer Zugriff(auf 32-Bit-Geräte): erstellen Sie komplette, bitgenaue Geräteabbilder
  • Physischer Zugriff(auf 64-Bit-Geräte): Entschlüsseln Sie mehr Information als beim logischen Erwerb oder durch Zugriff auf die Cloud
  • Logischer Zugriff: lesen Sie iTunes-ähnliche Backups inklusive Schlüsselbund aus
  • Mehr Information aus gesperrten Geräten auslesen (es gelten Beschränkungen)
  • Elemente im Schlüsselbund entschlüsseln, Geräte-Schlüssel auslesen (nur 32-Bit-Geräte)
  • Schnelle Erfassung des Dateisystems: 20-40 Minuten bei 32 GB-Modellen
  • Zero Footprint-Operation: Hinterlässt keine Spuren und keine Änderungen an Geräte-Inhalten (nur 32-Bit-Geräte)
  • Vollständig nachvollziehbar: Jeder Schritt der Untersuchung wird protokolliert und aufgezeichnet
  • Unterstützt sämtliche iOS-Versionen bis zu 9.3.3 (physischer Zugriff) und bis zu 10.x (logischer Zugriff)
  • Codesperre nicht erforderlich
  • Einfache vierstellige Codesperren werden in 10-40 Minuten ermittelt
  • Für Mac und Windows erhältlich
  • Automatische und manuelle Betriebsweise möglich

Bitweiser Speicher-Zugriff für 32-Bit- und 64-Bit-Geräte mit iOS

Wenn es darum geht, iOS-Geräten ihre Daten zu entlocken, dann ist der physische Speicherzugriff sicher das Mittel der Wahl. Denn physisch einen Speicher bitweise auszulesen, bringt im Zweifelsfall viel mehr ans Tageslicht als logischer Daten-Zugriff oder die Analyse von Backup-Dateien. Hinzu kommt, dass die benötigte Zeit planbar ist. Ein iOS-Gerät mit 32 GB-Speicher kann mittels physischem Zugriff binnen 40 Minuten ausgelesen werden (in Abhängigkeit der Datenmenge auf dem Gerät). Die Zeit, die man bräuchte, um das Passwort für ein Backup zu knacken, kann dagegen nur sehr schlecht eingeschätzt werden. Neben dem zeitlichen Aufwand spricht aber vor allem die Qualität der Daten für den physischen Zugriff. Bitweise alle Daten vorliegen zu haben, ist im Ernstfall immens wichtig. Schließlich weiß man nie, welche Daten das Betriebssystem zurückhält und welche Daten bei logischem Zugriff nicht angezeigt werden können.

Für Ermittler ist vor allem in laufenden Untersuchungen die Zeit ein entscheidender Faktor. Gerade auf älteren Geräten (iPhone 4 und älter) und 32-Bit-Geräten mit Jailbreak (iPhone 4s bis 5c) kann trotz aktiver Codesperre das Dateisystem heruntergeladen und durchsucht werden. Der zeitaufwändige Prozess, die Authentifizierungen des Nutzers zu umgehen, kann dann entfallen.

Ein Alleinstellungsmerkmal des Elcomsoft iOS Forensic Toolkit ist die Möglichkeit, auch bei Apples 64-Bit-Geräten ein exaktes bitweises Image zu extrahieren. Dies funktioniert bei allen 64-Bit-iPhones und -iPads, auf denen ein Jailbreak installiert wurde. Das vollständige Dateisystem des Geräts wird extrahiert, was technisch zwar nicht ganz das gleiche wie eine bitweise Kopie des Hardware-Speichers ist, praktisch dem aber in nichts nachsteht. Allerdings ist der auf diese Weise extrahierte Apple Schlüsselbund weiterhin verschlüsselt und muss separat geknackt werden. Auch setzt der Zugriff auf die 64-Bit-Geräte voraus, dass sich die Codesperre aufheben lässt.

Unterstützung für 32-Bit- und 64-Bit-iOS-Geräte

Jedes iOS-Gerät bis einschließlich dem iPhone 4 kann ohne Beschränkungen komplett physisch ausgelesen werden. Ebenso können alle 32-Bit-Geräte mit einem Jailbreak einschließlich dem iPhone 5c, dem original iPad mini und allen 32-Bit-iPads physisch ausgelesen werden. Bitweiser Zugriff auf 64-Bit-Geräte besteht mit einem Jailbreak bei deaktivierter Codesperre, indem das komplette Image über das Dateisystem ausgelesen wird.

  • Alle Geräte: Logischer Zugriff ist für alle Geräte verfügbar, unabhängig davon, ob es sich um eine Jailbreak- oder eine iOS-Version handelt. Unterstützt werden Lockdown-Dateien, um auf Geräte zuzugreifen, die durch Codesperre geschützt sind.

  • Ältere Modelle: Für alle Modelle bis einschließlich dem iPhone 4 kann der Speicher ohne Einschränkungen physisch ausgelesen werden. iOS-Version und Codesperre stellen keine Hindernisse dar.

  • 32-Bit-Geräte: Voraussetzung für den physischen Zugriff auf diese Geräte ist ein Jailbreak. Dann aber können alle Geräte bis zum iPhone 5c bzw. bis zum iPad mini sogar bei iOS 9.3.3 physisch ausgelesen werden.

  • 64-Bit-Geräte: Über das Dateisystem kann bei allen 64-Bit-Geräten mit Jailbreak (dies ist bislang nicht für alle Modelle verfügbar) ebenfalls bitweise der Speicher ausgelesen werden. Dies betrifft auch die neuesten Modelle iPhone 5s, 6, 6s inkl. Plus-Versionen, iPad mini 2 bis 4, iPad Air und Air 2.

  • iOS 9.3.4, 9.3.5, iOS 10.x: Logischer Zugriff ohne Jailbreak ist nur für iPhone 7, 7 Plus und diejenigen Geräte mit iOS 10 oder iOS 9 möglich. Das Gerät muss mit einer Codesperre, Touch ID oder Lockdown-Datei entsperrt werden.

  • Codesperre: Selbst bei aktiver Codesperre kann (Jailbreak vorausgesetzt) ein begrenzter Umfang an Daten abgerufen werden.

Logischer Zugriff mit Support für Lockdown-Dateien und Auslesen von Schlüsselbunden

iOS Forensic Toolkit unterstützt den logischen Zugriff, der im Vergleich zum physischen eine einfachere und sichere Zugriffsmethode darstellt. Dabei wird ein iTunes-ähnliches Backup von den Informationen erzeugt, die auf dem Gerät gespeichert sind. Während durch die logische Methode weniger Informationen als durch die physische gewonnen werden, wird Experten empfohlen, ein logisches Backup des Geräts zu erstellen, bevor sie weitere invasive Erfassungstechniken anwenden.

Der logische Zugriff ist für alle Geräte mit iOS 4 oder höher verfügbar, unabhängig davon, ob es sich um eine Hardware- oder Jailbreak-Version handelt. Allerdings muss das Gerät mindestens einmal nach dem Kaltstart entriegelt werden, andernfalls kann der Backup-Dienst nicht gestartet werden.

Experten müssen das Gerät mit Codesperre oder Touch ID entsperren oder eine nicht abgelaufene Lockdown-Datei vom Computer des Benutzers benutzen.

Wenn das Gerät konfiguriert ist, um passwortgeschützte Backups zu erzeugen, müssen Experten Elcomsoft Phone Breaker benutzen, um das Kennwort zu ermitteln und die Verschlüsselung zu entfernen. Apple iTunes wird nicht benötigt, um ein Backup zu erzeugen. Wenn kein Backup-Passwort gesetzt wurde, wird das Tool das System automatisch mit einem temporären Passwort ausstatten ("123"), um Elemente aus dem Schlüsselbund entschlüsseln zu können (das Passwort wird nach dem Zugriff zurückgesetzt).

Greifen Sie auf mehr Information zu, als in iPhone-Backups verfügbar ist

ElcomSoft bietet bereits die Möglichkeit, auf die auf iPhone-, iPad- und iPod-Geräten gespeicherten Informationen zuzugreifen, indem mit Apple iTunes durchgeführte Daten-Backups entschlüsselt werden. Das neue Toolkit bietet Zugang zu wesentlich mehr Information im Vergleich zu dem, was in solchen Backups enthalten ist, einschließlich dem Zugang zu Passwörtern und Benutzernamen, E-Mails, Geo-Daten, Anwendungsdaten und mehr.

Es kann auf enorme Mengen hochsensibler Information zugegriffen werden, die in den Smartphones des Benutzers gespeichert sind. Auf zurückliegende Ortsbestimmungsdaten, angeschaute Google-Karten und -Routen, den Browserverlauf, Anrufverzeichnisse, Bilder, E-Mail- und SMS-Mitteilungen, Benutzernamen, Passwörter und fast alles, was in das iPhone eingegeben und vom Gerät im Cache gespeichert wurde, kann mit dem neuen Toolkit zugegriffen werden.

Echtzeit-Zugang zu verschlüsselten Daten

Im Gegensatz zu früher genutzten Methoden, die auf langatmige Wörterbuch-Angriffe oder Brute-Force-Passwortermittlung zurückgreifen, kann das neue Toolkit die meisten Schlüssel aus dem physischen Gerät extrahieren. Mit bequem verfügbaren Schlüsseln ist der Zugang zu den meisten Informationen in Echtzeit gewährleistet. Ein typischer Zugriff auf ein iPhone dauert 20 bis 40 Minuten (abhängig von Modell und Speichergröße). Mehr Zeit nimmt die Behandlung von 64-GB-Versionen von Apple iPads in Anspruch. Die Aufzählung der Ausnahmen ist kurz und enthält die Benutzer-Codesperre, die durch die Brute-Force-Methode oder mit einem Wörterbuchangriff ermittelt werden kann.

Schlüsselbund-Ermittlung

Elcomsoft iOS Forensic Toolkit kann auf die Geheimnisse des iOS zugreifen, einschließlich der meisten Schlüsselbund-Elemente, und Ermittlern so den Zugang zu hochsensiblen Daten wie Login- und Passwort-Daten für Websites und andere Quellen (inkl. Apple ID) eröffnen.

Bei physischem Zugriff ist das Auslesen von Schlüsselbunden(Keychains) nur für 32-Bit-Geräte möglich. Ein Zugriff auf ein 64-Bit-Gerät gibt den Apple Schlüsselbund nur in verschlüsselter Form aus.

Allerdings liest das logische Erfassungsmodul den Schlüsselbund weiterhin aus. Sie werden in der Lage sein, den Schlüsselbund zu entschlüsseln, wenn kein Passwort für das Backup im iOS-Gerät festgelegt wurde (iOS Forensic Toolkit wird ein temporäres Passwort erstellen, "123") oder wenn Sie das Original-Passwort knacken können, falls es nicht bekannt ist (mit Elcomsoft Phone Breaker).

Codesperren-Ermittlung

Das Wissen um die Original-Codesperre ist niemals erforderlich, kann aber im Falle von iOS 4-7-Geräten nützlich sein (aber für iOS 8 ist die Codesperre erforderlich). Die folgende Übersicht zeigt, wann Sie die Codesperre für einen erfolgreiche Datenerwerb benötigen.

iOS 1.x-3.x: Codesperre nicht erforderlich. Sämtliche Informationen sind zugänglich. Die Original-Codesperre wird sofort ermittelt und angezeigt.

iOS 4.0-7.x: Bestimmte Informationen, einschließlich der folgenden sind mit Codesperren-abhängigen Schlüsseln geschützt:

  • E-Mail-Mitteilungen;
  • Die meisten Keychain-Daten (gespeicherte Login-/Passwort-Daten);
  • Bestimmte Anwendungsdaten, wenn die Anwendung eine sichere Verschlüsselung verlangt hat.

iOS 8.x-10.x: Die meisten Informationen sind verschlüsselt. Ohne die Codesperre kann man nur wenige Angaben erhalten, siehe Apple’s Take on Government Surveillance: On Its Customers’ Side für weitere Einzelheiten.

Elcomsoft iOS Forensic Toolkit kann die einfache vierstellige Codesperre von iOS 4+ in 10 bis 40 Minuten durch Brute-Force-Methode ermitteln. Komplexe Codesperren können ermittelt werden, erfordern jedoch mehr Zeit, da die Codesperren-Ermittlung direkt auf dem Gerät erfolgt und nicht “offline” auf schnellerem Equipment ausgeführt werden kann.

Systemanforderungen

Das iOS Forensic Toolkit für Mac OS X erfordert einen Intel-basierten Mac-Computer mit Betriebssystem macOS von 10.6 (Snow Leopard) bis 10.12 (Sierra) mit installiertem iTunes 10.6 oder höher.

Das iOS Forensic Toolkit weist Kompatibilitäts-Probleme mit OS X 10.10.5 bis einschließlich 10.12 und älteren Modellen mit iOS (iPhone 4 und älter) auf, sodass der Wartungsmodus (DFU) verwendet werden muss. Der Zugriff auf neuere Modelle funktioniert einwandfrei in allen OS X-Versionen einschließlich El Capitan (10.11) und Sierra (10.12).

Das Toolkit für Microsoft Windows erfordert als Betriebssystem Windows XP, Windows 7, Windows 8/8.1 oder Windows 10 mit installiertem iTunes 10.6 oder höher.

Andere Versionen von Mac OS X, Windows und iTunes können ebenfalls ausreichen, wurden aber nicht getestet.

Kompatible Geräte und Plattformen

Das Toolkit unterstützt folgende iOS-Geräte unter allen iOS-Versionen bis iOS 7. Ein Jailbreak ist nicht erforderlich, die Codesperre kann umgangen oder schnell entschlüsselt werden:

iPhone (Original)
iPhone 3G
iPhone 3GS
iPhone 4 (GSM- und CDMA-Modelle)
iPad (1. Generation)
iPod Touch (Generationen 1 - 4)

Der physische Zugriff ist für die folgenden Modelle möglich (Jailbreak ist notwendig und OpenSSH muss installiert sein):

  • iPhone 4s
  • iPhone 5
  • iPhone 5c
  • iPod Touch 5. Gen.
  • iPad 2
  • iPad mit Retina-Display (3. und 4. Generation)
  • iPad Mini

Die folgenden 64-Bit-Modelle werden über den physischen Zugriff unterstützt, unabhängig von der iOS-Version (bis zu 9.3.3):

  • iPhone 5s
  • iPhone 6
  • iPhone 6 Plus
  • iPhone 6s
  • iPhone 6s Plus
  • iPad Air
  • iPad Air 2
  • iPad Mini 2/3/4
  • iPad Pro

Bei allen weiteren Geräten einschließlich iPhone 7/7 Plus und denjenigen mit iOS 10.x, 9.3.4 und 9.3.5 wird der logische Zugriff unterstützt (das Gerät muss mit einer Codesperre, Touch ID oder Lockdown-Datei entsperrt werden).

Unterstützte Betriebssysteme:

  • iOS 1-5
  • iOS 6.0 – 6.1.2 (mit evasiOn Jailbreak)
  • iOS 6.1.3 - 6.1.6 (mit pOsixspwn Jailbreak)
  • iOS 7.0 (mit evasiOn Jailbreak)
  • iOS 7.1 (mit Pangu 1.2+ Jailbreak)
  • iOS 8.0 - 8.1.2 (mit TaiG, Pangu oder PP Jailbreak)
  • iOS 8.1.3 - 8.4 (mit TaiG 2.0 Jailbreak)
  • iOS 9.0 – 9.1 (mit Pangu Jailbreak)
  • iOS 9.2-9.3.3 (mit Pangu Jailbreak)
  • iOS 9.3.4-10.x (nur logischer Zugriff)
 


Vollversion von EIFT bestellen

Current version: 2.31 (11 Sep, 2017)