"Uitzetten iPhone grootste fout bij forensisch iOS-onderzoek"
De belangrijkste stap bij het veiligstellen van gegevens op een iPhone is het niet uitzetten van het toestel, toch blijkt dit in de praktijk geregeld voor te komen, zo stelt Vladimir Katalov van Elcomsoft. Het bedrijf ontwikkelt forensische software die onder andere door opsporingsdiensten wordt gebruikt.
"De eerste en belangrijkste stap is het veiligstellen van de data, en ervoor zorgen dat de content van het toestel niet wordt gewijzigd, het toestel niet leegraakt en niet op afstand wordt vergrendeld of gewist. In plaats van het toestel in de Vliegtuigmodus te zetten of in een Faraday-zak te doen, schakelen veel forensische "experts" het toestel uit", aldus Katalov. In het verleden heeft de FBI weleens erkend dat het bij forensisch onderzoek naar een iPhone de fout in was gegaan.
Het uitschakelen van het toestel voorkomt dat het leegraakt, maar maakt ook het onderzoek lastiger. In plaats van de "forensisch vriendelijke" AFU (After First Unlock)-mode wordt er overgeschakeld naar de vergrendelde BFU (Before First Unlock)-mode. Hierbij zijn alle encryptiesleutels gewist uit het geheugen van het toestel, is het achterhalen van de passcode veel trager dan bij de AFU-mode, is biometrische authenticatie onmogelijk en zijn er verschillende andere beperkingen voor onderzoekers.
Een andere fout die experts en opsporingsdiensten volgens Katalov geregeld maken is het uitwerpen van de simkaart. Dit moet voorkomen dat de iPhone niet per ongeluk verbinding met een mobiel netwerk maakt. Het zorgt er ook voor dat het toestel meteen wordt vergrendeld, de biometrische ontgrendeling niet meer werkt en de USB restricted mode wordt geactiveerd. "Zo verlies je de kans om het toestel te ontgrendelen of verder te analyseren", aldus Katalov.
Onderzoekers gaan ook de fout in met de manier waarop ze het toestel vasthouden, back-upwachtwoorden resetten en de "logische acquisitie" uitvoeren. Katalov stelt dat het belangrijk is dat onderzoekers de juiste stappen volgen, elke stap documenteren en ervoor zorgen dat alle stappen herhaalbaar en de resultaten verifieerbaar zijn. "Alleen het gebruik van een "tool" is niet genoeg. De omgeving is altijd aan het veranderen, en of je blijft bij, of je loopt achter."
Gratis tip: Dit is ook grotendeels van toepassing voor laptops/desktops en andere devices.
Yup!
Gratis tip: Dit is ook grotendeels van toepassing voor laptops/desktops en andere devices.
Eens. Les 1 (of in iedere geval 2 of 3) in digital forensics: als het aan staat laat het aan en als het uit staat lat het in eerste instantie uit. Eerst veilig stellen (denk aan geheugen, cache en andere volatile opslag), daarna pas onderzoeken.
Precies, als je een lamp kapot wil maken knip je toch ook niet alleen het snoer door.
Ik weet niet waar je deze fabel hebt gelezen, maar dit is niet waar.
Wat er gaat gebeuren is dat er een noodnummer gebeld gaat worden OF Touch of Face ID worden tijdelijk uitgeschakeld. Bij de laatste, Touch of Face ID tijdelijk uitschakelen moet dan wel de optie :Automatisch bellen" niet actief zijn.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
