ElcomSoft aktualisiert sein iOS Forensic Toolkit (EIFT).
In der neuen Version wird der physische Zugriff durch das Tool auf die meisten modernen Geräte mit iOS 9.2 bis 9.3.3 ermöglicht. Eine zusätzliche Erneuerung ist die Option zum logischen Zugriff auf Geräte, wobei die Entschlüsselung der Codesperre nun nicht mehr erforderlich ist.
Die neue Version bietet logischen Zugriff für alle Generationen von iPhone, iPad, iPad Pro und iPod Touch, unabhängig davon, ob es sich um eine iOS- oder eine Jailbreak-Version handelt. Im Gegensatz zum Zugriff über Apple iTunes ermöglicht EIFT die Nutzung von Lockdown-Dateien (Pairing Records) auf iOS-Geräten, ohne die Codesperre oder die Touch ID zur Entsperrung verwenden zu müssen. Mithilfe der Erweiterung des Toolkits durch den logischen Zugriff zusätzlich zum physischen strebt ElcomSoft eine forensische All-in-One-Erfassungslösung für das breiteste Spektrum an iOS-Geräten an. Das Toolkit ist dabei sowohl für Windows als auch für Mac OS X verfügbar.
Darüber hinaus unterstützt Version 2.1 den physischen Zugriff auf Apple-Geräte, auf denen iOS 9.3.3 mit dem neu veröffentlichten Pangu Jailbreak für 64-Bit-Geräte ausgeführt wird. Außerdem bietet die neue Version die Möglichkeit, Informationen aus allen Arten von iOS-Geräten zu extrahieren, unabhängig davon, ob es sich dabei um eine iOS- oder Jailbreak-Version handelt, selbst wenn sie mit einem unbekannten Passwort geschützt sind.
“Beim iOS Forensic Toolkit ging es bis jetzt ausschließlich um den physischen Zugriff”, sagt Vladimir Katalov, CEO von ElcomSoft. “Wir waren die ersten, die Zugriff auf das iPhone 4s, 5 und 5c ermöglicht hatten. Wir schafften als erster den physischen Zugriff auf 64-Bit-Geräte, aber bis jetzt hatten wir nicht die Möglichkeit, auf Geräte ohne Jailbreak zuzugreifen. Wenn Sie ein iPhone oder iPad ohne Jailbreak haben, können wir jetzt seinen Inhalt in ein iTunes-ähnliches Backup laden, ohne tatsächlich iTunes zu benutzen, und das manchmal sogar ohne dass eine Codesperre hinderlich wäre.”
Der logische Zugriffsprozess erfordert, dass das Gerät zumindest einmal nach dem Kaltstart freigeschaltet wird. Die Ermittler werden das Gerät mithilfe der Codesperre, der Touch ID oder des nicht abgelaufenen Pairing Record (Lockdown-Datei) entsperren, die sie vom Computer des Benutzers gesammelt hatten.
“Wir hatten schon seit Monaten keinen Jailbreak”, sagt Andy Malyshev, CTO von ElcomSoft. “Wir konnten bei iOS 9.2 oder 9.3 ohne Jailbreak nichts machen. Der neue Pangu Jailbreak erlaubt uns, die Entwicklung fortzusetzen und den physischen Zugriff für die neuesten Versionen von iOS zu ermöglichen.”
Logischer Zugriff: Funktioniert bei allen iOS-Geräten
Der logische Zugriff ist eine einfachere und sichere Zugriffsmethode im Vergleich zum physischen Zugriff. Dabei wird ein iTunes-ähnliches Backup von den Informationen erzeugt, die auf dem Gerät gespeichert sind. Während durch die logische Methode weniger Informationen als durch die physische gewonnen werden, wird Experten empfohlen, ein logisches Backup des Gerätes zu erstellen, bevor sie weitere invasive Erfassungstechniken anwenden. Die neue Version von EIFT bietet nun die Option, logischen Zugriff auf iOS-Geräte zu erhalten. Das funktioniert auf allen Geräten mit iOS 4 oder höher, unabhängig davon, ob es sich um eine Hardware- oder Jailbreak-Version handelt. Allerdings muss das Gerät mindestens einmal nach dem Kaltstart entriegelt werden, andernfalls kann der Backup-Dienst nicht gestartet werden.
Experten müssen das Gerät mit Codesperre oder Touch ID entsperren oder eine nicht abgelaufene Lockdown-Datei (iTunes Pairing Record) vom Computer des Benutzers benutzen. Lockdown-Dateien sind Pairing Records, die auf Computern erstellt werden, die mit dem betroffenen iOS-Gerät verbunden sind. Lockdown-Dateien werden erzeugt, damit der Benutzer nicht jedes Mal sein iOS-Gerät manuell entsperren muss, wenn es mit iTunes synchronisiert. Wenn ein Computer zusammen mit einem iOS-Gerät beschlagnahmt wurde, kann es ausreichen, erfolgreich Informationen von einem gesperrten iOS-Gerät zu erhalten.
Wenn das Gerät konfiguriert ist, um passwortgeschützte Backups zu erzeugen, müssen Experten Elcomsoft Phone Breaker benutzen, um das Kennwort zu ermitteln und die Verschlüsselung zu entfernen. Apple iTunes wird nicht benötigt, um ein Backup zu erzeugen.
Logische Backups, die von EIFT erzeugt werden, können mit Elcomsoft Phone Viewer oder mit Forensik-Tools von Drittanbietern analysiert werden. Wenn ein verschlüsseltes Backup mit einem unbekannten Passwort erstellt wurde, kann man Elcomsoft Phone Breaker verwenden, um das Passwort zu ermitteln und das Backup zu entschlüsseln. Wenn kein Passwort für das Backup festgelegt ist, wird das Tool das System automatisch mit einem temporären Passwort ausstatten, um Schlüsselbunde entschlüsseln zu können (das Passwort wird nach dem Zugriff zurückgesetzt).
Physischer Zugriff: iOS 9.3.3-Support mit neuem Pangu Jailbreak
Apple-Nutzer sind schnell, wenn es darum geht, neueste Technologien zu übernehmen. Laut Apple verwenden rund 86 % der Nutzer iOS 9 auf kompatiblen Geräten. In den letzten 4 Monaten gab es zu keiner Version von iOS neuer als iOS 9.1 ein Jailbreak. Das Pangu Team gab kürzlich ein öffentliches Jailbreak für iOS 9.2 bis 9.3.3 frei und ermöglichte so Ermittlern, Apple-Geräte mit den letzten Versionen von Apple iOS zu entschlüsseln und so physischen Zugriff auf sie zu erhalten. Eine Anleitung für die Installation des neuen Pangu Jailbreak ist unter http://en.pangu.io/help.html verfügbar.
Physischer Zugriff ist die umfassendste Erfassungsmethode, die für iOS-Geräte verfügbar ist. Es ist die einzige Methode, die vollen Zugriff auf alle verschlüsselten Informationen ermöglicht, die in Apples sicherem Speicher, dem Schlüsselbund (nur für 32-Bit-Geräte), gesammelt sind. Dazu gehören Passwörter von Webseiten und Anwendungen einschließlich des Passworts für das Apple-ID-Konto des Benutzers. E-Mail-Nachrichten und Anhänge, Log-Dateien und Historien sowie bestimmte Anwendungsdaten sind nur über physischen oder erweiterten logischen Zugriff verfügbar.
Preise und Verfügbarkeit
EIFT 2.1 ist ab sofort verfügbar und für 1.495 EUR zuzüglich Mehrwertsteuer erhältlich. Sowohl die Windows- als auch die Mac OS X-Version ist bei einer Lizenz enthalten. Bestehende Kunden können je nach Ablauf ihrer Lizenz kostenlose oder ermäßigte Upgrades erhalten. EIFT ist auch als ein Teil von Elcomsoft Mobile Forensic Bundle (2.995 EUR zuzüglich Mehrwertsteuer) erhältlich. Elcomsoft Mobile Forensic Bundle führt alle Elcomsoft Tools für die logische, physische und Cloud-Forensik zusammen.
Kompatibilität
Es stehen Windows und Mac OS X-Versionen von EIFT zur Verfügung. Die Unterstützung des physischen Zugriffs für die verschiedenen iOS-Geräte variiert je nach Sperrzustand, Jailbreak-Zustand und der Version von iOS, die installiert ist. Uneingeschränkter Zugriff ist für sehr alte Geräte (iPhone 4 und älter) gewährleistet. Der Zugriff auf iPhone 4s bis 5c und dem iPad mini kann nur dann erfolgen, wenn ein Jailbreak zur Verfügung steht. Physischer Zugriff auf 64-Bit-Geräte wird für das iPhone 5s bis 6s (und ihre Plus-Versionen), das iPad mini 2 bis 4 und die 64-Bit-Versionen von Full-Size-iPads unterstützt. Der 64-Bit-Erfassungsprozess kann den Schlüsselbund auslesen, aber nicht entschlüsseln.
Logischer Zugriff ist auf alle iOS-Geräte möglich, unabhängig vom Jailbreak-Status, wenn das Gerät mit Codesperre, Touch ID oder Pairing Record (Lockdown-Datei) freigeschaltet wird. EIFT produziert iTunes-ähnliche Backups und erfordert nicht, dass iTunes von Apple installiert wird, um den logischen Zugriff durchzuführen.
Über:
Elcomsoft Co. Ltd.
Frau Olga Koksharova
Zvezdnyi blvd. 21
129085 Moskau
Rußland
fon ..: +7 495 9741162
web ..: http://www.elcomsoft.de
email : sales@elcomsoft.de
Das Software-Entwicklungshaus ElcomSoft Co. Ltd. wurde 1990 von Alexander Katalov gegründet und befindet sich seither in dessen Besitz. Das in Moskau ansässige Unternehmen hat sich auf proaktive Passwort-Sicherheits-Software für Unternehmen und Privatanwender spezialisiert und vertreibt seine Produkte weltweit. ElcomSoft hat sich zum Ziel gesetzt, mit benutzerfreundlichen Lösungen für die Wiederherstellung von Passwörtern Anwendern den Zugriff auf ihre Daten zu ermöglichen. Des Weiteren gibt die Softwareschmiede Administratoren Sicherheitslösungen an die Hand, mit denen sie unsichere Kennungen in Unternehmens-Netzwerken unter Windows lokalisieren und beseitigen oder EFS-verschlüsselte Dateien retten können.
Regierungen, Behörden, Unternehmen und Privatanwender sind einerseits auf die Sicherheit und andererseits auf die Verfügbarkeit von Daten angewiesen, um Geschäfte abzuwickeln oder tragfähige Entscheidungen treffen zu können. Allerdings sind unsere digitalen Kommunikations-Highways und Aktenschränke zunehmend Sicherheitsrisiken durch Datenspionage und Systemfehler ausgeliefert. So kann eine einzige unsichere Kennung den Schutz eines Unternehmensnetzwerks zunichte machen. Ein unsicheres Passwort in der elektronischen Kommunikation kann das Vertrauen von Geschäftspartnern erheblich beeinträchtigen. Aber auch verloren gegangene Passwörter, beispielsweise für Verträge, können Geschäftsabschlüsse scheitern lassen.
ElcomSoft und der §202c
Der IT-Branchenverband BITKOM (Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.V.) bestätigt in seinem “Leitfaden zum Umgang mit dem Hackerparagrafen” ElcomSofts Auffassung von der Legalität von Passwortwiederherstellungstools und stuft solche Werkzeuge in seiner abschließenden Bewertung als “unbedenklich” ein. “So wie jedermann in der analogen Welt einen Schlüsseldienst rufen kann, um wieder in seine Wohnung zu gelangen, stellt ElcomSoft Administratoren digitale Nachschlüssel zur Verfügung, mit denen sie wieder an die Daten ihres Unternehmens auf den unternehmenseigenen PCs gelangen können, sollte das Passwort einmal verloren sein”, so Vladimir Katalov, CEO von ElcomSoft. “Als offizieller Microsoft Certified Partner kooperieren wir beispielsweise auch mit Microsoft und erhalten deren Software vorab, um Anwendern unsere Lösungen rechtzeitig an die Hand geben zu können.” Der komplette BITKOM-Leitfaden, kann hier abgerufen werden:
Pressekontakt:
Prolog Communications GmbH
Herr Achim Heinze
Sendlinger Str. 24
80331 München
fon ..: +49 89 800 77-0
web ..: http://www.prolog-pr.com
email : elcomsoft@prolog-pr.com