Hintergrund
Apple arbeitet ständig daran, die Sicherheit seiner mobilen Geräte und des Betriebssystems zu verschärfen. Ein Jailbreak wird aus diesem Grund immer schwieriger und auch bei Geräten mit einem Jailbreak wird durch die Architektur Secure Enclave (erhältlich in allen 64-Bit-Modellen) stark beschränkt, welche Aktionen ausgeführt werden können und welche nicht. Aus diesem Grund gehören 32-Bit-iPhones und iPads zur letzten Generation von iOS-Geräten, für die ein vollständiger, uneingeschränkter Zugriff noch möglich war.
Durch das starke Aufkommen von 64-Bit-Geräten wurden immer weniger Jailbreak-Tools entwickelt, die auch die älteren Versionen von iPhone- und iPad-Geräten unterstützen. Nach iOS 9.1 war die physikalische Erfassung nur noch für neuere 64-Bit-Geräte wie iPhone 5s, 6, 6s sowie 6s Plus verfügbar. Vor kurzem wurde jedoch ein neues Jailbreak-Tool mit dem Codenamen Home Depot veröffentlicht, was ElcomSoft ermöglichte, EIFT so anzupassen, dass eine vollständige physische Erfassung von Geräten mit Jailbreak wieder möglich wurde.
Vorteile der physischen Datenerfassung von 32-Bit-Geräten
Im Vergleich zu anderen Erfassungsmethoden, die für iPhone 4s, 5, 5c und andere 32-Bit-Geräte mit iOS zur Verfügung stehen, hat die physische Erfassung eine Reihe von konkreten Vorteilen. Bei der Verwendung von 32-Bit-Geräten mit Jailbreak kann die neue Version von Elcomsoft iOS Forensic Toolkit die komplette Datenpartition extrahieren und entschlüsseln und auf alle Anwendungsdaten sowie viele weitere Datentypen zugreifen, die bei keiner anderen Erfassungsmethode verfügbar sind.
Durch die physische Extraktion ist der Zugriff auf folgende Daten möglich:
• Das vollständige, entschlüsselte Image der Datenpartition eines Gerätes (iPhone, iPad oder iPod Touch)
• Anwendungsdaten in Sandboxes
• Kommunikationsverläufe aus den sichersten Messaging-Apps wie Facebook, WhatsApp, Skype, Signal und Telegram
• Vollständiger Standortverlauf
• Alle Systemprotokolle, temporäre Dateien und Write-Ahead Logging (WAL)
• Heruntergeladene E-Mails
• Alle Schlüsselbunddaten einschließlich Einträgen, die durch die höchste Sicherheitsklasse geschützt sind
• Alle zwischengespeicherten Passwörter inklusive Apple-ID-Passwort, falls vorhanden
"Manchmal müssen wir zurückblicken, um auch ältere Geräte und Systeme unterstützen zu können", sagt Vladimir Katalov, CEO von ElcomSoft. "Wir können für 32-Bit-Geräte viel anbieten wie beispielsweise die vollständige Entschlüsselung der Datenpartition. Das war seit der Veröffentlichung von iOS 9.2 nicht mehr möglich. Die neue Version unterstützt Geräte mit iOS 9.1 bis einschließlich 9.3.4, sodass unsere Kunden endlich in der Lage sind, auch ältere Geräte zu untersuchen. "
EIFT 2.30 bietet vollständige physische Erfassung für 32-Bit-Geräte (iPhone 4s, 5, 5c sowie entsprechende iPad- und iPod Touch-Modelle) mit iOS 9.1 bis 9.3.4. Vor der Datenerfassung muss der neue Home Depot Jailbreak installiert werden. Diesen finden Sie finden Sie unter http://wall.supplies
Preise und Verfügbarkeit
Elcomsoft iOS Forensic Toolkit 2.2 ist ab sofort für Windows und Mac OS X verfügbar. Bei einer Bestellung werden beide Versionen mitgeliefert. EIFT 2.2 ist ab 1,499 EUR zuzüglich Mehrwertsteuer erhältlich. Bestehende Kunden erhalten das Update je nach Lizenzablauf kostenfrei oder mit Rabatt.
Kompatibilität
Die Möglichkeit zur physischen Erfassung für verschiedene iOS-Geräte variiert je nach Sperrzustand, Jailbreak-Status und der installierten iOS-Version. Für einige iOS-Versionen steht lediglich die logische Erfassungsmethode zur Verfügung.
Zur Zeit kann die physische Datenerfassung bei folgenden Geräten durchgeführt werden:
• iOS 8.0 bis 8.4: alle Geräte
• iOS 9.0 bis 9.3.3: 64-Bit-Geräte
• iOS 9.0 bis 9.3.4: 32-Bit-Geräte
• iOS 10.0 bis 10.2: 64-Bit-Geräte
Die vollständige Kompatibilitätsmatrix und weitere Informationen über Elcomsoft iOS Forensic Toolkit finden Sie unter https://www.elcomsoft.de/eift.html
Das Software-Entwicklungshaus ElcomSoft Co. Ltd. wurde 1990 von Alexander Katalov gegründet und befindet sich seither in dessen Besitz. Das in Moskau ansässige Unternehmen hat sich auf proaktive Passwort-Sicherheits-Software für Unternehmen und Privatanwender spezialisiert und vertreibt seine Produkte weltweit. ElcomSoft hat sich zum Ziel gesetzt, mit benutzerfreundlichen Lösungen für die Wiederherstellung von Passwörtern Anwendern den Zugriff auf ihre Daten zu ermöglichen. Des Weiteren gibt die Softwareschmiede Administratoren Sicherheitslösungen an die Hand, mit denen sie unsichere Kennungen in Unternehmens-Netzwerken unter Windows lokalisieren und beseitigen oder EFS-verschlüsselte Dateien retten können.
Regierungen, Behörden, Unternehmen und Privatanwender sind einerseits auf die Sicherheit und andererseits auf die Verfügbarkeit von Daten angewiesen, um Geschäfte abzuwickeln oder tragfähige Entscheidungen treffen zu können. Allerdings sind unsere digitalen Kommunikations-Highways und Aktenschränke zunehmend Sicherheitsrisiken durch Datenspionage und Systemfehler ausgeliefert. So kann eine einzige unsichere Kennung den Schutz eines Unternehmensnetzwerks zunichte machen. Ein unsicheres Passwort in der elektronischen Kommunikation kann das Vertrauen von Geschäftspartnern erheblich beeinträchtigen. Aber auch verloren gegangene Passwörter, beispielsweise für Verträge, können Geschäftsabschlüsse scheitern lassen.
ElcomSoft und der §202c
Der IT-Branchenverband BITKOM (Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.V.) bestätigt in seinem "Leitfaden zum Umgang mit dem Hackerparagrafen" ElcomSofts Auffassung von der Legalität von Passwortwiederherstellungstools und stuft solche Werkzeuge in seiner abschließenden Bewertung als "unbedenklich" ein. "So wie jedermann in der analogen Welt einen Schlüsseldienst rufen kann, um wieder in seine Wohnung zu gelangen, stellt ElcomSoft Administratoren digitale Nachschlüssel zur Verfügung, mit denen sie wieder an die Daten ihres Unternehmens auf den unternehmenseigenen PCs gelangen können, sollte das Passwort einmal verloren sein", so Vladimir Katalov, CEO von ElcomSoft. "Als offizieller Microsoft Certified Partner kooperieren wir beispielsweise auch mit Microsoft und erhalten deren Software vorab, um Anwendern unsere Lösungen rechtzeitig an die Hand geben zu können."
ElcomSoft Co. Ltd.
Vřesovická 429/1
15521 Praha
Telefon: +7 (495) 974-1162
Telefax: +49 (1805) 4820050734
http://www.elcomsoft.com
Prolog Communications GmbH
Telefon: +49 (89) 800770-120
E-Mail: Alexandra.fekete@prolog-pr.com
Telefon: +7 (495) 9741162
E-Mail: sales@elcomsoft.com