大家好!我是万兴科技程勋德。安全圈万兴科技并不出名,因为我们比较低调,我们主要是一家消费类软件研发、销售及提供相应技术支持的公司,而且主要营收在海外。但是我们公司自从去年上市之后就定下了要回归国内的战略,以前我们很低调,现在开始不低调了,低调太吃亏!可能更多参与类似看雪这种技术交流中去,与安全专家直接面对面交流,了解当前和未来的安全行业发展方向,同时也提高一下公司知名度。
我今天的议题主要是讲云取证,比如怎样从iCloud云端把iPhone手机里的数据提取出来,或者通过Google Cloud获取到Android手机以及Chrome Youtube等等的数据。
一、取证现状
以前一般取证有三种方式,第一种是直接用很底层硬件厂商提供的JTag调试接口进行数据读写,但是这种方式比较贵,一台德国的设备要十几万。另外也不是所有设备都有这接口,而且这几年就算能够读取到数据,还是有个问题,现在iPhone和Android都开启了全盘加密,导致读取到的数据是加密的,价值也不大。第二种是物理读取,例如ipbox2盒子就能提取苹果手机的数据,通过物理方式把数据读取出来,但是这个读取出来也是全盘加密的,没什么用。第三种是普通读写,普通读写得有解锁密码才行,并且现在苹果手机、安卓手机普通读写,由于权限问题,有很多数据也读取不到。
二、云取证优缺点
今天讲讲云取证,除了这三种方法之外的新数据取证方法。我不是说前面的三种方式不行,其实云数据取证也有不少问题,只能在实际应用场景中,按照不同的需求,采用不同的方式,云取证可以作为一个有力补充。现如今iCloud,Google Cloud等等云端上的数据越来越多,已经成为取证不可忽视的一块。
左侧列出来的是优点,云数据类型非常多,我不一一的讲了。但也有缺点,缺点就是现在云取证都开始开启二步验证,获取数据越来越困难,而且云取证接口是各个厂商自己定制的私有接口,导致协议都是不一样的。
三、移动云的生态系统
目前主流的手机要么是安卓、要么是苹果,这两家最大。我们万兴主要是做海外市场的,所以我们主要的关注点是iCloud和Google Cloud,国内可能有小米的、华为的、三星的,但我们目前就做了这两个云。我介绍一下它们之间的区别,可能有些人不是很熟悉。
iCloud开启同步、备份之后,你所有的数据都会上传到云端,包括联系人、收藏夹等等,你想到的数据它基本都传上去了。PC时代取证很容易,把硬盘拆下来,直接物理读取就能访问到数据。但是PC时代数据少,现在云数据取证,数据多了很多。iCloud分为两大块,Backup和Sync。Backup开启之后会将整个iOS设备的磁盘镜像到云端,这个镜像通过icloud.com是看不到的,只能用工具看到大概是什么日期做了备份,没有web或者app能够看到备份的详细数据类型,其实它把你整个硬盘都备份到云端去了。
还有Sync同步,这个大家基本都有所了解,就是登陆到icloud.com上就能看到的数据,比如联系人,照片之类的。不过还有很多数据看不到,比如iMessage聊天记录,keyChain一类的。总之,如果你用iPhone,在手机激活之后,并登陆iCloud帐号之后,里面默认已经包含了非常多的数据类型,会即时同步到iCloud的云端。
还有Google Cloud,由于国内大部分厂商都给它做了定制,导致Google Cloud在国内用处不是很大,但是在国外,Google Cloud是比较主流的移动数据同步云。Google Cloud的备份Backup数据种类较少,作用不大,但是同步的数据种类非常之多,只要你用谷歌系的APP,安卓手机也算、Chrome,youtube也算,历史位置信息等等,信息收集非常之详尽,就拿历史位置信息来举例,收集的信息甚至包括了现在是在地铁中,还是在私家车,或者自行车上非常详细,这些数据被无关人员获取到的的话那基本相当于在网络中裸奔了。Google Cloud收集的数据,起码有五六十种以上的数据。分成好几类。
四、二步验证问题
获取云数据不得不提的一个问题是二步验证,iCloud和Google Cloud目前在登陆的时候都会弹出二步验证框,避免不受信任的第三方登陆,我们取证时必须要想办法绕过这个步骤。目前我们的解决方案是从曾经登陆过的PC/Mac或者浏览器中提取历史记录,历史记录中保存了无需二步验证的Token,用这个保存的Token再去向云端发送请求,就不会有二步验证了。
大概取证的思路是怎样?首先iCloud和Google Cloud经过多年发展,有一套非常健全的安全机制和授权机制,如果直接硬怼iCloud或者Google Cloud是一件非常困难的事情,目前硬怼iCloud或者Google Cloud除了使用漏洞基本没有太好的办法,但是漏洞是可遇而不可求的,所以我们的思路看看能不能曲线救国。人是社会化的动物,个人拥有的设备也不一定只有iPhone或者Android手机,常见的还有PC/Mac设备。如果我们能够从其他设备入手,会不会让事情变得简单?起码找到一种能够提取数据的方案?
五、如何解决授权问题
刚才说到云数据云取证,有一个无法绕过的问题是如何解决授权问题?如果按照正常的步骤,需要获取iCloud中的数据,除了有账户和密码之外,还需要有一台可信的设备,或者手机号,用户接手二步验证码,这个条件是比较苛刻的,在实际取证环境,受限于现场条件,要达到这个条件是很困难的。那么如何在无授权的情况下获取手机数据,只有解决了授权获取问题,才对取证有价值。
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!
最后于 2020-1-31 20:05
被kanxue编辑
,原因: