עבור גורמי אכיפת החוק, איתור והתעסקות עם מכשירי אפל בתחום יכולים ליצור בלבול וכאבי ראש מבלי להבין תחילה כמה הבדלים קריטיים בין מערכות הפעלה (HFS+, APFS ומערכות קבצים של Windows). מכיוון שאנשי מקצוע לזיהוי פלילי דיגיטלי רואים יותר מחשבים ניידים של Mac ומכשירים אחרים של אפל, יצרנו את המדריך הזה כדי לזהות כמה אתגרים שרשויות אכיפת החוק והחוקרים הדיגיטליים עשויים להיתקל בהם ולספק פתרונות ושיטות עבודה מומלצות להתמודדות עם מכשולים אלה הן בשטח והן במעבדה.

אתגר ראשון

מערכות התומכות ב-FILEVAULT2
אחת הסיבות שאדם יכול לבחור לקנות מכשיר אפל על פני אחרים היא שאפשרויות האבטחה המובנות חזקות יותר ומאתגרות לעקוף אותן. אפל יצרה בעבר את ערכות השבבים שלה לפני שהשתמשה בשבבי Core של אינטל. אפל חזרה לבנות את השבבים שלה, הבנויים סביב מעבד ARM – כמו השבבים המשמשים במכשירים כמו סמארטפונים, טאבלטים וטכנולוגיה ניידת לבישה.

מעבר למעבדים אלה פירושו כמה שינויים משמעותיים עבור זיהוי פלילי דיגיטלי. מערכת הקבצים APFS של אפל כוללת הגנה, אך ניתן לעקוף אותה אם יש שילוב תוכנה פוטנציאלית שהחוקר יכול להשתמש בו. מכשירי אפל עם שבבי ההצפנה החדשים של M1 ו-T2 מופעלים בהצפנה כברירת מחדל, כך שחוקרים פורנזיים דיגיטליים אינם יכולים לאסוף באופן חופשי נתונים ותמונות פיזיות ממחשבי ה-Mac הללו.

עם אבטחה מוגברת זו בערכות שבבים חדשות M1 ו-T2, החוקר חייב לקבל את סיסמת המנהל של המשתמש. ללא הסיסמה, אתה לא יכול לעשות דבר (במחשבי Mac חדשים). אין יותר אתחול למערכת מחוץ לגרסה מורשית של MacOS ללא שינוי. מכשירי אפל חדשים מופעלים עם SecureBoot, שניתן להשבית אותו, אך זו לא דרך משפטית תקינה לדמיין את המכשיר.

עבור מכשירי אפל עם שבבי אבטחה גבוהים אלה, ישנן מספר דרכים להשיג נתונים:

• נתונים שנרכשו פיזית ממאק מוצפן. אתה יכול להשיג תמונה פיזית של כוננים מוגנים, אבל הם חסרי תועלת במידה רבה מכיוון שהם לא יציעו לך נתונים או תובנה קריטיים בגלל הצפנת חומרה.
• נתונים שנרכשו פיזית ממאק מפוענח. זה מה שאתה רוצה: היכולת להתממשק עם שבב T2 או M1 של המערכת בעת הרכישה כדי לפענח נתונים המוגנים על ידי אבטחת ערכת השבבים הזו וליצור תמונה פיזית מפוענחת של הקשיח. הנתונים נאספים כפי שהם קיימים באופן הגיוני בדיסק.
• הדמיה לוגית (רכישת נתונים חיה). תוך שימוש בשיטה זו, החוקר משיג עותקים של נתוני קבצים ומטא נתונים מוגבלים, כאשר מערכת הקבצים מתממשקת לאיסוף הנתונים. עם זאת, הרבה מהמידע המעמיק (והרב ערך) יותר אינו זמין בשיטה זו (עוד על כך בהמשך).

הפתרון לאתגר

אבטחת המכשיר במהירות האפשרית במקום מכיוון שבחינת "Mac חי" פתוח עשויה להיות ההזדמנות היחידה שלך לאסוף נתונים ללא צורך בסיסמה. קרא עוד על אבטחת מוצרי אפל במקום בסעיף שיטות עבודה מומלצות למטה.

שירותי אבטחת סייבר מומלצים:

• שירותי מבדקי חדירה PT
• שירותי Siem Soc
• שירותי אבטחת מידע במיקור חוץ
• אבטחת מידע בענן

אתגר שני

T2 & M1 CHIPSET SECURITY
ניסיון לצלם מחשב Mac ללא שבב T2 או M1 יכול להוביל לחששות אם המשתמש הפעיל את FileVault2, תוכנית שלמה להצפנת דיסקים. הצפנת דיסק מלאה פירושה שהחומרה של המכשיר מוצפנת, מה שייצור בעיות משמעותיות עבור החוקר. ללא שבב T2 או M1 במכשיר, החומרה אינה מוצפנת, כלומר ישנן דרכים לעקוף את האבטחה של אפל. עם זאת, אם הסיסמה או מפתחות השחזור של FileVault2 אינם זמינים, רכישת נתונים בזמן אמת היא האפשרות היחידה לביצוע איסוף משפטי.

בעוד שרכישת נתונים חיה תציע נתוני קבצים ומטא נתונים, יהיה מידע שחסר. ביצוע רכישה פיזית מקנה פיסות מידע נוספות (וחיוניות) כולל:

• רפיון בקובץ
• תכונות קובץ
• בלוקים של נתונים גולמיים
• כל צילומי ה-APFS

הפתרון לאתגר

רכישה פיזית בשילוב עם כלי פורנזי דיגיטלי כמו Exterro Forensic Toolkit (FTK) יכולה לעזור לחוקרים להעניק גישה לנתוני מערכת (משתמשים, דיסקים וכו'), קבצי משתמשים (צ'אטים, מיילים, מידע על שולחן העבודה, שימוש באינטרנט וכו'), וקבצי מערכת (יומנים, מידע על מערכת ההפעלה וכו'). איסוף נתונים באופן זה יפיק ראיות מועילות יותר מאשר איסוף לוגי.

אתגר שלישי

הבנת תוכנה לעומת הצפנת חומרה 
לפני 2017, מחשבי Mac השתמשו בעיקר בהצפנת תוכנה – שיפורי אבטחה המאפשרים למשתמש להגן מפני גישה לנתונים אך לא עושים דבר כדי להצפין את הנתונים בדיסק. לאחר שהתגברו על הצפנת התוכנה, כל הנתונים עדיין מאוחסנים בדיסק וזמינים. מפתח שחזור או סיסמת המשתמש הם המידע היחיד הנדרש כדי לפענח את המכשיר.

עם ערכות השבבים T2 ו-M1, נדרש מידע חומרה נוסף כדי לפענח ולגשת לנתונים. החוקר חייב להיות בעל מערכת T2 או M1 המקורית כדי להצפין את הנתונים כדי לפענח את הנתונים האלה. חוקר לא יכול להשתמש מערכת אחרת כדי לפענח את הנתונים, ולא ניתן להסיר שבבי T2 או M1, כלומר פענוח עם סיסמה או מפתח שחזור חייב להתרחש כאשר ה-Mac נרכש. מחשבי Mac משנת 2020 ואילך כוללים שבבי M1; על החוקרים לבנות בתהליכים שלהם שיטות כדי להבטיח פענוח באתר אפשרי.

הפתרון לאתגר

קבל גישה לסיסמת המנהל. לפעמים, סיסמאות המנהל זמינות ב-RAM של המחשב – מה שהופך את זה למאמץ כדאי לצלם את ה-RAM של כל Mac שאתה חוקר (עוד על כך בהמשך). סיסמאות נחוצות כדי לפענח קבצים במערכות מסוימות שאינן T2, תלוי אם FileVault הופעל. החוקרים זקוקים לסיסמה גם כדי לנתח מערכות קבצים שאינן T2.

הדמיה של זיכרון ה-RAM

ודא שהדמיית זיכרון ה-RAM היא חלק מכל תהליך חקירה מכיוון שייתכן שיש בתוכו נתונים בעלי ערך. זיכרון RAM של Mac יכול להיות דחוס עד פי 1.5, כלומר יהיה יותר זמין ממה שנראה. זה עשוי לעזור לחשוף סיסמאות מנהל או סיסמאות FileVault כדי לעזור לקדם את תהליך החקירה.

השיטות הטובות ביותר לאיסוף והדמיה של MAC:

• אבטח אותם בזירה
• יש כמה שיקולים שכדאי לזכור

בטיחות הבוחן: בדוק אם יש מלכודות או הגנות פיזיות אחרות שייתכן שנוצרו על ידי בעל המוצר כמכשול פוטנציאלי לאבטחת מכשיר אפל. הצפנה: מכשיר פתוח וחשוף עלול להינעל ללא אזהרה – או אובדן חשמל פוטנציאלי או מצב שינה – כלומר ההזדמנות להשיג ראיות עשויה להיעלם אלא אם הצוות החוקר יוכל להשיג את המכשירים הפיזיים שניתן להכניס ל-Mac כדי לחסום הצפנה. ייתכן גם שהמערכת מוגדרת לזהות אחד מהכלים הללו ולנעול את עצמה באופן אוטומטי.

נעילה ומחיקה מרחוק: בכל פעם שמכשיר מחובר לאינטרנט, קיים פוטנציאל שניתן לנעול או למחוק אותו מרחוק. כל מי שיש לו את הסיסמה והיכולת להיכנס מרחוק למכשיר יכול לנעול או למחוק החוקרים חייבים לשקול אם להסיר חיבורי רשת. יש יתרונות וחסרונות לכל אחד מהם; אם הורדה מתבצעת, למשל, החוקרים ירצו לשקול מה קורה – והאם לעצור אותה או לתת לה להסתיים. ייתכן שמכשירים מסתנכרנים עם יישומים אחרים או שטחי אחסון בענן, כמו iCloud, Dropbox, מה שעשוי להשפיע על חקירה.

קבל את הסיסמאות

כפי שסיקרנו בפתרון לאתגר מס' 3, הסיסמה היא בעלת חשיבות עליונה – והיא עשויה להיות הסיכוי היחיד שיש לחוקרים להשיג ראיות קריטיות. ישנם מצבים שבהם FileVault2 לא הופעל, אבל אלו אירועים נדירים. אם מכשיר כן מוצפן וסיסמת הצפנה של FileVault2 או אחרת אינה ידועה, רכישת נתונים חיה היא האפשרות היחידה.

זכור שסיסמת המנהל תאפשר למשתמש להפעיל את המערכת ברמת הרשאות מוגברת. כמנהל מערכת, חוקרים יכולים לגשת לאזורי אחסון מסוימים שבדרך כלל יהיו אסורים. גישה למערכת החיה במצבים מוגבלים תאפשר רק גישה לאותם קבצי חשבון משתמש ספציפיים.

בצע רכישה פיזית אם שינויים אפשריים ועקוב אחריהם

כפי שהוזכר באתגר מס' 2, רכישה פיזית מניבה את התוצאות הטובות ביותר מנקודת מבט של עומק נתונים. אבל לאחר שרכשת את ה-Mac, הפעולות שתבצע – חקירת מק חי – יהיו שינויים שנרשמו במערכת. ביצוע שינויים בראיות אינו נוהג טוב, אך בנסיבות חריגות עשוי להיות בלתי נמנע. הבטחה שתהליך מתועד למעקב אחר שינויים קיים יכול להבטיח שכאשר חוקרים נחקרים בבית המשפט, הם יכולים להסביר מה הם עשו ולמה – עם אימות מתועד לגיבוי.