云端数据提取的生长进程 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

云端数据提取的生长进程

申博_新闻事件 申博 31次浏览 已收录 0个评论

运用AFL对Linux内核Fuzzing的总结

模糊测试是现在最常用的漏洞挖掘技术,Fuzzer将半随机输入喂到到测试程序,目的是找到触发错误的输入。模糊测试在查找C或C ++程序中的内存破坏漏洞时特别有用。 通常情况下,建议选择一个众所周知但很少探索的库,这个库在解析时很重要。历史上,像libjpeg,libpng和libyaml这样的东西都是完美的目标。如今找到一个好目标更难 – 一切似乎都已经被模糊化了。这是好事

云端数据提取的生长进程

在iOS取证中,当没法举行物理收集时,云端数据提取确实是一种可行的替换计划。在行将宣布的iOS 13版本中,苹果进击附加了分外的平安步伐,无疑将使物理接见变得越发难题。虽然下载iCloud备份的才已被很多人掌握了,但关于怎样猎取用户登录名和暗码以及双要素身份验证,很多人是没法跨越这个门坎的。

早在2014年,就有研讨职员引见了怎样运用身份验证令牌来接见没有暗码的iCloud备份的要领,概况请参阅《破解iCloud:无需暗码》。紧接着,就有研讨职员研讨出了怎样运用身份验证令牌接见存储在iCloud中的其他范例的数据,包括用户的照片库、阅读汗青纪录、联系人、日历以及Apple在登录到的统统用户装备上同步的其他信息。

不过跟着苹果的安防步伐愈来愈到位,如今令牌已不能再用于接见iCloud备份了,比方令牌不能用于接见暗码(iCloud钥匙串)、屏幕时候、康健状况和音讯。客岁,苹果将认证令牌牢固到特定的盘算机上,使它们仅能从建立的PC或Mac上运用。不过,研讨职员仅仅花了一年多的时候就找到了破解计划,该要领可以协助研讨职员从用户的盘算机上转移出牢固在装备上的身份验证令牌。纵然放到如今,这类解决要领仅在用户具有macOS盘算机时才有效。你可以会问了,有了这么多限定,身份验证令牌依然还可以用于猎取云端的数据吗?另有是不是可以从用户的iCloud帐户取得哪些身份验证令牌,以及可以运用登录名和暗码接见哪些内容?双要素身份验证怎样影响iCloud帐户中的可用内容?

iCloud备份平安性

说到iCloud备份,主要的是要相识虽然大多数备份都可以运用恰当的凭证举行解密,但iCloud备份的某些内容将运用高度平安的基于硬件的加密密钥举行分外加密。加密发生在iOS装备内部(在iPhone或iPad自身),因而,这些内容只能完全恢复到备份时地点的硬件装备上。

不过以下内容永久不会包括在iCloud备份中:

1. 个人康健数据;

2. 家庭数据。

别的,假如用户为这两类数据启用了iCloud同步,那末某些内容照样会被消除在iCloud备份以外,这些内容包括:

1. iCloud照片;

2. 短信内容;

3. 行将宣布的iOS 13还迥殊消除了以下两个种别的数据:

3.1通话纪录;

3.2 Safari汗青。

同步数据

自从2011年iCloud备份涌现以来,苹果公司正逐渐作废原有的备份营业。 iCloud Photo Library的推出使照片经由过程iCloud中的专用效劳在装备间同步。一旦用户启用了他们的云照片库,图片将不再保存到iCloud备份中。一样,一旦用户启用了iCloud音讯(须要iOS 11.4及更高版本),音讯将不再保存在iCloud备份中,而是经由过程用户的iCloud帐户举行同步。 iOC 13将住手在iCloud备份中包括挪用日记和Safari汗青纪录,这两个种别将仅作为同步数据供应。

身份验证令牌适用于提取同步数据(受庇护种别除外)。以下总结了iCloud中同步信息的庇护:

1. 要接见同步的iCloud数据,只须要用户的Apple ID,暗码和双要素身份验证代码;

2. 你还可以运用身份验证令牌来接见已同步的数据;

3. Apple具有接见iCloud中同步数据的手艺才;

4. 在供应政府要求时供应同步数据;

5. 在供应GDPR要求时供应同步数据;

6. Elcomsoft Phone Breaker等第三方应用程序可以提取同步的iCloud数据。

一些iCloud数据是用暗码加密的

某些数据种别会遭到差别的处置惩罚,假如你晓得运用雷同Apple ID注册的装备的屏幕锁定暗码或Mac体系暗码,则只能解密以下范例的数据:

1. iCloud钥匙串,钥匙串包括用户从Safari阅读器和第三方应用程序以及一些身份验证令牌同步登录和暗码。最主要的是,iCloud 钥匙串还存储了庇护其他加密数据范例的加密密钥。假如不起首解密iCloud钥匙串,就没法解密音讯等。

2. iCloud中的音讯,这包括SMS和iMessage。

3. 与iOS 11比拟,iOS 12中同步康健数据的庇护已发生变化;

所以为了接见这些受庇护的数据种别,你须要同时具有以下统统前提:

1. 用户的Apple ID和暗码;

2. 双要素身份验证代码;

3. 已注册iCloud钥匙串的装备的暗码或体系暗码。

假如不满足以上前提,则:

1. 身份验证令牌不能用于接见任何以上这些范例的数据;

2. 平常情况下,用户在与iCloud同步钥匙串、康健状况或音讯时不会碰到任何题目。当初始化新iPhone以吸收同步数据时,他们只须要向旧iPhone(或任何启用iCloud钥匙串的装备,包括Mac电脑)供应屏幕锁定暗码即可。

3. 苹果没法接见同步的暗码、信息或康健数据。纵然数据存储在苹果效劳器上,苹果也没法解密。

4. 在供应政府要求或GDPR要求时,苹果不会供应属于受庇护种别的任何数据(不过也有破例,以下会讲到)。

5. 第三方应用程序的提取是受限定的,但假如你晓得装备暗码/体系暗码(用Elcomsoft Phone Breaker提取),照样有可以接见以上受庇护的数据的。

破例情况:在iOS 11和iOS 12中庇护和提取康健数据

从iOS 11最先,Apple就完成了与iCloud的康健数据同步。在iOS 11中,除了CDA纪录以外的统统范例的数据都将与iCloud同步。

iOS 11中对iCloud中康健数据的庇护

1. 要接见同步的康健数据,只须要用户的Apple ID,暗码和双要素身份验证代码。

2. 苹果具有接见iCloud中的Health数据的手艺才;

3. 在供应政府要求时供应康健数据;

4. 在供应GDPR要求时供应康健数据;

5. 第三方应用程序,如Elcomsoft Phone Breakercan可以提取康健数据。

iOS 12和iOS 13中对iCloud中康健数据的庇护

新WhiteShadow下载器用Microsoft SQL提取歹意软件

攻击活动分析 2019年8月,Proofpoint研究人员发现了一系列的传播含有WhiteShadow下载器VB宏的word和Excel附件的恶意邮件活动。 图1: AWhiteShadow攻击活动中的恶意邮件 WhiteShadow是一种恶意软件交付服务,其中包含Microsoft SQL Server实例来保存下载器提取的主机payload。 下面是攻击活动的概览: 表 1: WhiteShadow攻击活动2019年8月和9月的顺序表 下载器分析 WhiteShadow用SQLOLEDB连接器来连接远程Microsoft SQL Server服务器实例,执行查询,并将

苹果在iOS 12中采用了一种异常迥殊的庇护要领来庇护iCloud中的康健数据,该要领采用了平安加密,将密钥存储在iCloud钥匙串中。与iOS 11比拟,iOS 12中的数据如今存储在差别的加密容器中。风趣的是,在用户将末了一台装备更新到iOS 12以后,旧的(未加密的)容器可以会保存一段时候。

运用已介入康健状况同步的装备的用户暗码(屏幕锁定暗码或体系暗码)来庇护加密密钥,这就确保了苹果不能接见存储在云中的康健数据。这意味着,苹果也不能接见iCloud钥匙串。一样,研讨职员也以为这类庇护机制可以供应充足的平安性。

为了让运转iOS 12或更新版本的装备可以接见与iCloud同步的康健数据,我们须要具有以下统统前提:

1. 用户的Apple ID和暗码;

2. 一次性双要素身份验证代码(没有双要素身份验证就不可以完成iCloud同步);

3. 已注册康健iCloud同步的装备的暗码或体系暗码。

假如差别时满足以上前提,则对以下内容的接见将会遭到限定:

1. 在初始化新iPhone时,用户须要供应旧iPhone的屏幕锁定暗码或任何启用了iCloud 钥匙串的装备,以便吸收同步的康健数据。

2. 苹果无权接见同步的康健数据,纵然数据存储在Apple效劳器上,苹果也没法对其举行解密。

3. 苹果不会在效劳政府要求或GDPR要求时供应康健数据。

4. 运用第三方应用程序举行提取仍受限定,不过运用Elcomsoft Phone Breaker却可以提取。

双要素身份验证的庇护上风

在苹果如今的装备上,双要素身份验证会影响统统取证。假如用户在其帐户上启用双要素身份验证,则会取得一系列没法在没有双要素身份验证的帐户中运用的功用。取证职员只需运用暗码即可立即从iPhone重置Apple ID暗码。他们可以在不晓得iCloud暗码的情况下禁用“Find My iPhone”。取证专家在双要素身份验证方面找到了一些有效的功用,只要具有双要素身份验证的帐户才实行以下操纵:

1. 经由过程iCloud同步暗码(iCloud 钥匙串);

2. 同步音讯(SMS和iMessage);

3. 同步康健数据;

4. 同步屏幕时候数据。

在某种程度上,双要素身份验证关于取证职员来说是一种上风,由于与未受庇护的帐户比拟,具有双要素身份验证的帐户经由过程iCloud同步更多信息。经由过程双要素身份验证提醒可以像猎取用户的SIM卡一样简朴,并在另一个装备中运用它来吸收带有一次性代码的文本音讯。或许,可以运用身份验证令牌完全跳过双要素身份验证提醒,这就是取证职员取证时遭到限定的处所。

运用令牌和双要素身份验证时的取证限定

最初研讨职员在研讨iCloud身份验证令牌时,可以运用它们来猎取云中的统统内容(包括备份)都没有题目。然则如今,苹果限定了运用身份验证令牌。你没法再运用身份验证令牌来接见运用双要素身份验证的帐户的iCloud备份。虽然你依然可以运用令牌从非双要素身份验证帐户下载iCloud备份,但这些令牌的生命周期仅限于建立令牌后的一小时。

不管双要素身份验证状况怎样,你依然可以运用身份验证令牌(没有显著的时候限定)来接见以下种别的同步数据:

1. 很多种别的同步数据,包括联系人、日历和笔记;

2. Safari阅读汗青纪录和翻开标签页;

3. 钱包卡;

4. 通话纪录;

5. iCloud的照片;

6. 来自iCloud Drive的文件包括很多第三方应用程序容器(1Password,WhatsApp,Viber等);

7. 用于filevailt2加密驱动器的恢复令牌;

8. 云端存储的邮件。

假如启用双要素身份验证,则没法运用令牌接见iCloud备份;假如未启用双要素身份验证,则可以运用令牌接见iCloud备份,但只能在令牌建立后的1小时内接见。

不过就算是运用身份验证令牌,以下内容也是不可接见的:

1. 暗码(iCloud 钥匙串);

2. 康健数据;

3. Screen Time,苹果在iOS 12中推出了Screen Time,指在为您供应有关怎样在iPhone和iPad上运用时候的信息;

4. 音讯(SMS和iMessage)。

注重,假如未启用iCloud的音讯同步设置,则音讯将存储在iCloud备份中。

Windows与macOS的取证环境

虽然苹果为Windows和Mac用户供应响应版本的iCloud软件,但在这些平台上建立的身份验证令牌却差别。

在Windows盘算机上,令牌被隐藏在文件体系中。别的它还运用用户凭证加密,因而你必需可以登录用户的帐户(或最少晓得他们的登录名和暗码)才解密令牌。 Elcomsoft Phone Breaker可以自动完成令牌的猎取事情,并令牌将保存到文本(XML)文件中,随时可以与EPB一同运用。

虽然你可以从Windows盘算机中提取令牌,解密它并与Elcomsoft Phone Breaker一同运用以接见iCloud中的数据,然则你只能在建立令牌的统一台盘算机上实行统统这些操纵。你以至没法从用户磁盘映像建立的虚拟机中运用它,所以研讨职员将这些代令牌称为受限令牌。

假如用户运用的是Mac,除了受限令牌外,你还可以提取完全的,不受限定的令牌。在其受掌握的生态体系中,Apple可以实行更壮大的庇护(对双要素身份验证帐户的令牌举行牢固)。不过研讨职员照样可以运用Elcomsoft Phone Breaker绕过这类庇护,从而提取、发送和运用这些完全的身份验证令牌。

提取并运用身份验证令牌

如今,有5种计划可用于提取身份验证令牌:

1. Windows盘算机,从当前登录的帐户中提取受限令牌;

2. Windows盘算机,从其他帐户中提取受限令牌;

3. macOS盘算机,从当前用户中提取受限和不受限定的令牌(须要钥匙串暗码);

4. macOS盘算机,从钥匙串数据库中提取受限和不受限定的令牌(须要钥匙串暗码);

5. iOS装备,钥匙串可以从受暗码庇护的备份或经由过程物理体式格局猎取。

本文翻译自:https://blog.elcomsoft.com/2019/07/accessing-icloud-with-and-without-a-password-in-2019/


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明云端数据提取的生长进程
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址