Bereits jetzt stellen verschlüsselte Geräte eine große Herausforderung für Anbieter von forensischen Lösungen dar. Anwendung werden immer besser geschützt. Apps wie WickrMe, Signal und Snapchat beispielsweise verschlüsseln ihre Datenbanken. Die Entschlüsselung und Dekodierung von Inhalten werden somit immer schwieriger. In diesem Blog erkläre ich, worum es sich beim iCloud-Schlüsselbund handelt, wie man ihn erhält und wie der Schlüsselbund in das Forensik-Tool integriert wird, um die Entschlüsselung von sicheren Anwendungen zu erleichtern.

Was ist der iCloud-Schlüsselbund und wo finde ich diese Funktion?

Der Schlüsselbund ist ein System für die Passwortverwaltung. Apple hat diese Lösung entwickelt, um sensible Benutzerdaten zu schützen. Die Funktion speichert Konto-Zugangsdaten, Passwörter und Kreditkartennummern. Andere Apps verwenden den Schlüsselbund auch zum Speichern von Kodierungsschlüsseln oder vertraulichen Zertifikaten.

Die Schlüsselbund-Datei ist durch Apple geschützt. Deshalb reicht es nicht aus, einfach das gesamte Dateisystem (beispielsweise mit SSH) abzurufen. Damit Sie auf die Daten zugreifen können, müssen Sie eine vollständige Dateisystem-Extraktion über einen geräteinternen Agenten ausführen, der eine Schlüsselbund-Extraktion unterstützt. (Für umfassende Informationen über den iCloud-Schlüsselbund empfehle ich den Blog von Oleg Afonin von Elcomsoft.)

Bei einer vollständigen Dateisystem-Extraktion werden viel mehr Daten extrahiert als bei einer logischen Extraktion. Enthalten sind darin auch im Schlüsselbund gespeicherte Daten wie vollständige E-Mail-Nachrichten, Daten von Drittanbieter-Apps, Passwörter, Schlüssel und Token.

Eine vollständige Dateisystem-Extraktion ist mit Cellebrite Premium, Advanced Services oder UFED möglich. Eine vollständige Dateisystem-Extraktion samt Schlüsselbund mit UFED ist dank der erfolgreichen Integration von checkm8 möglich und ist vor allem vom Gerätemodell abhängig.

Verwenden des Schlüsselbunds

Wie bei all unseren Funktionen, soll auch diese Funktion Ihre Arbeit und den Überprüfungsvorgang vereinfachen. Cellebrite Physical Analyzer (PA) verwendet deshalb automatisch die im UFED-Extraktionsordner enthaltene Schlüsselbund-Datei. Durch einen Doppelklick auf die .UFD-Datei wird PA automatisch gestartet und beginnt mit dem Dekodierungsvorgang.

Und wenn ich die Extraktion mit einem anderen Tool mache?

Wenn die vollständige Dateisystem-Extraktion mit einem anderen Tool durchgeführt wurde und Sie die Dump-Datei zusammen mit dem Schlüsselbund verarbeiten möchten, wählen Sie „Öffnen (erweitert)“ und dann die Option „iOS-Dateisystem / Backup / GrayKey“. Importieren Sie die Dump-Datei und den Schlüsselbund an den gewünschten Ort.

Wie kann mich der Schlüsselbund bei meinem Ermittlungen unterstützen?

Wie zuvor bereits erwähnt, speichert die Schlüsselbund-Datei Passwörter von Apps. Physical Analyzer durchsucht die Schlüsselbund-Datei automatisch und ruft die Passwörter der auf dem Gerät installierten Apps ab. Die Zuordnung des Passworts zur entsprechenden App erfolgt automatisch. Der gesamte Entschlüsselungsvorgang ist automatisiert. Es ist keine Benutzeraktion erforderlich. Die Ausgabedatei enthält entschlüsselte App-Daten, die ganz einfach überprüft werden können.

                Ohne Schlüsselbund                              Mit Schlüsselbund

* Josh Hickmans iOS-checkm8-Image

Cellebrite möchte Ihnen helfen, wertvolle Zeit zu sparen und so viele Vorgänge wie möglich zu automatisieren, damit Sie sich ohne unnötigen Zeitverlust auf die wichtigen Aufgaben konzentrieren können.

Ressourcen

[1] Josh Hickmans iOS Image – https://thebinaryhick.blog/

Diesen Beitrag teilen