首页
社区
课程
招聘
[原创]基于云数据的司法取证技术
发表于: 2019-7-24 17:45 11525

[原创]基于云数据的司法取证技术

2019-7-24 17:45
11525

大家好!我是万兴科技程勋德。安全圈万兴科技并不出名,因为我们比较低调,我们主要是一家消费类软件研发、销售及提供相应技术支持的公司,而且主要营收在海外。但是我们公司自从去年上市之后就定下了要回归国内的战略,以前我们很低调,现在开始不低调了,低调太吃亏!可能更多参与类似看雪这种技术交流中去,与安全专家直接面对面交流,了解当前和未来的安全行业发展方向,同时也提高一下公司知名度。


我今天的议题主要是讲云取证,比如怎样从iCloud云端把iPhone手机里的数据提取出来,或者通过Google Cloud获取到Android手机以及Chrome Youtube等等的数据。


一、取证现状

以前一般取证有三种方式,第一种是直接用很底层硬件厂商提供的JTag调试接口进行数据读写,但是这种方式比较贵,一台德国的设备要十几万。另外也不是所有设备都有这接口,而且这几年就算能够读取到数据,还是有个问题,现在iPhone和Android都开启了全盘加密,导致读取到的数据是加密的,价值也不大。第二种是物理读取,例如ipbox2盒子就能提取苹果手机的数据,通过物理方式把数据读取出来,但是这个读取出来也是全盘加密的,没什么用。第三种是普通读写,普通读写得有解锁密码才行,并且现在苹果手机、安卓手机普通读写,由于权限问题,有很多数据也读取不到。


二、云取证优缺点

今天讲讲云取证,除了这三种方法之外的新数据取证方法。我不是说前面的三种方式不行,其实云数据取证也有不少问题,只能在实际应用场景中,按照不同的需求,采用不同的方式,云取证可以作为一个有力补充。现如今iCloud,Google Cloud等等云端上的数据越来越多,已经成为取证不可忽视的一块。

 

左侧列出来的是优点,云数据类型非常多,我不一一的讲了。但也有缺点,缺点就是现在云取证都开始开启二步验证,获取数据越来越困难,而且云取证接口是各个厂商自己定制的私有接口,导致协议都是不一样的。


三、移动云的生态系统

目前主流的手机要么是安卓、要么是苹果,这两家最大。我们万兴主要是做海外市场的,所以我们主要的关注点是iCloud和Google Cloud,国内可能有小米的、华为的、三星的,但我们目前就做了这两个云。我介绍一下它们之间的区别,可能有些人不是很熟悉。


iCloud开启同步、备份之后,你所有的数据都会上传到云端,包括联系人、收藏夹等等,你想到的数据它基本都传上去了。PC时代取证很容易,把硬盘拆下来,直接物理读取就能访问到数据。但是PC时代数据少,现在云数据取证,数据多了很多。iCloud分为两大块,Backup和Sync。Backup开启之后会将整个iOS设备的磁盘镜像到云端,这个镜像通过icloud.com是看不到的,只能用工具看到大概是什么日期做了备份,没有web或者app能够看到备份的详细数据类型,其实它把你整个硬盘都备份到云端去了。

 

还有Sync同步,这个大家基本都有所了解,就是登陆到icloud.com上就能看到的数据,比如联系人,照片之类的。不过还有很多数据看不到,比如iMessage聊天记录,keyChain一类的。总之,如果你用iPhone,在手机激活之后,并登陆iCloud帐号之后,里面默认已经包含了非常多的数据类型,会即时同步到iCloud的云端。

 

还有Google Cloud,由于国内大部分厂商都给它做了定制,导致Google Cloud在国内用处不是很大,但是在国外,Google Cloud是比较主流的移动数据同步云。Google Cloud的备份Backup数据种类较少,作用不大,但是同步的数据种类非常之多,只要你用谷歌系的APP,安卓手机也算、Chrome,youtube也算,历史位置信息等等,信息收集非常之详尽,就拿历史位置信息来举例,收集的信息甚至包括了现在是在地铁中,还是在私家车,或者自行车上非常详细,这些数据被无关人员获取到的的话那基本相当于在网络中裸奔了。Google Cloud收集的数据,起码有五六十种以上的数据。分成好几类。


四、二步验证问题

获取云数据不得不提的一个问题是二步验证,iCloud和Google Cloud目前在登陆的时候都会弹出二步验证框,避免不受信任的第三方登陆,我们取证时必须要想办法绕过这个步骤。目前我们的解决方案是从曾经登陆过的PC/Mac或者浏览器中提取历史记录,历史记录中保存了无需二步验证的Token,用这个保存的Token再去向云端发送请求,就不会有二步验证了。



大概取证的思路是怎样?首先iCloud和Google Cloud经过多年发展,有一套非常健全的安全机制和授权机制,如果直接硬怼iCloud或者Google Cloud是一件非常困难的事情,目前硬怼iCloud或者Google Cloud除了使用漏洞基本没有太好的办法,但是漏洞是可遇而不可求的,所以我们的思路看看能不能曲线救国。人是社会化的动物,个人拥有的设备也不一定只有iPhone或者Android手机,常见的还有PC/Mac设备。如果我们能够从其他设备入手,会不会让事情变得简单?起码找到一种能够提取数据的方案?


五、如何解决授权问题

 

刚才说到云数据云取证,有一个无法绕过的问题是如何解决授权问题?如果按照正常的步骤,需要获取iCloud中的数据,除了有账户和密码之外,还需要有一台可信的设备,或者手机号,用户接手二步验证码,这个条件是比较苛刻的,在实际取证环境,受限于现场条件,要达到这个条件是很困难的。那么如何在无授权的情况下获取手机数据,只有解决了授权获取问题,才对取证有价值。



[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

最后于 2020-1-31 20:05 被kanxue编辑 ,原因:
上传的附件:
收藏
免费 6
支持
分享
最新回复 (16)
雪    币: 26245
活跃值: (63302)
能力值: (RANK:135 )
在线值:
发帖
回帖
粉丝
2
嘉宾简介:程勋德,万兴首席安全架构师。《加密与解密(第4版)》联合作者,从事PC Android逆向工作8年。
2019-7-24 18:04
0
雪    币: 2282
活跃值: (426)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
3
听了这个演讲,我们可以知道:1、云中存储了大量的敏感数据。不仅是通讯录和照片,你在什么时间去过哪它都知道。2、你以为你已经删除了云里的私人数据,其实它们还残留在云里。3、攻击者可以通过破解你的电脑密码(再复杂的密码也只要几天就可以暴力破解)来获得访问你云中数据的权限。所以,对待云,我们还是应当谨慎一些!
2019-7-24 18:12
1
雪    币: 16468
活跃值: (2493)
能力值: ( LV9,RANK:147 )
在线值:
发帖
回帖
粉丝
4
之前用了你们的iCloud恢复,但是没效果?
2019-7-25 08:42
0
雪    币: 6976
活跃值: (1482)
能力值: ( LV11,RANK:180 )
在线值:
发帖
回帖
粉丝
5
雪衫 之前用了你们的iCloud恢复,但是没效果?
哥们,什么情况?你是在什么场景下, 不是来踢馆的吧!!!
2019-7-25 08:56
0
雪    币: 16468
活跃值: (2493)
能力值: ( LV9,RANK:147 )
在线值:
发帖
回帖
粉丝
6
JoenChen 哥们,什么情况?你是在什么场景下, 不是来踢馆的吧!!!
- -哥,别误会,就单纯问一下,就之前有别人让我帮他恢复一下数据,就下了你们产品,然后试了一下
2019-7-25 09:35
0
雪    币: 6976
活跃值: (1482)
能力值: ( LV11,RANK:180 )
在线值:
发帖
回帖
粉丝
7
是什么版本,要恢复什么数据,什么场景下面??
2019-7-25 10:33
0
雪    币: 268
活跃值: (3238)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
8
以前弄过这样的取证,云取证还是有限。
2019-7-25 11:46
0
雪    币: 96
活跃值: (225)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
我来膜拜一下大佬。
2019-7-25 13:03
0
雪    币: 6064
活跃值: (12624)
能力值: ( LV12,RANK:312 )
在线值:
发帖
回帖
粉丝
10
时代的发展需要这些,数据取证也是难点,最近也看了一些文章,有些是通过VMCS结构取证,基于行为特征、性能状态、监控服务器多态取证。
希望越来越好,给有兴趣、自学这块知识填补一些精华好帖
2019-7-25 13:37
0
雪    币: 5734
活跃值: (1737)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
11
所以公安来上门查水表的时候玩命砸手机 没错
2019-7-26 22:05
0
雪    币:
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
12
大佬头发很好
2019-10-30 20:28
0
雪    币: 2337
活跃值: (3059)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
13
国内用chrome, icloud, youtube的不多吧, 罪犯也基本买不起苹果啊
2019-10-30 20:50
0
雪    币: 1705
活跃值: (676)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
14
你既然能通过公6316安找到嫌疑人,你就可以审161问了,直接要密码不就行了
2019-11-21 21:02
0
雪    币: 1705
活跃值: (676)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
15
这种取证跟偷有啥区别么,要是没法院的授权的话
2019-11-21 21:02
0
雪    币: 6501
活跃值: (2377)
能力值: ( LV12,RANK:320 )
在线值:
发帖
回帖
粉丝
17
谢谢勋德同学的分享!收获很大。
2024-8-11 22:21
0
游客
登录 | 注册 方可回帖
返回
//