导语:无论你是执行桌面还是云取证,云端数据都将成为越来越重要证据来源,并且有时是唯一证据来源。即使你不从事取证工作,云访问也可以帮助你访问已删除或以其他方式无法访问的数据。
无论你是执行桌面还是云取证,云端数据都将成为越来越重要证据来源,并且有时是唯一证据来源。即使你不从事取证工作,云访问也可以帮助你访问已删除或以其他方式无法访问的数据。
与智能手机或受密码保护的桌面类似,云访问权限应该只对合法的帐户所有者有效。这意味着取证人员需要云端数据的登录名和密码,有时可能还需要双重因素验证。在实际取证环境中,取证专家并不总是能得到这些登录凭据。事实上,就算他们能获取所有正确的登录凭据,访问存储在云中的所有内容也不是一件容易的事情。
Apple iCloud是目前市场上技术最先进的云解决方案之一,提供大量线上存储服务。其中包括全面的设备备份以及整个Apple生态系统的同步服务,比如Apple TV和Apple Watch设备、文件存储、密码管理、家庭物联网设备、健康数据等。
现在,让我们回顾一下使用或不使用密码访问Apple iCloud数据的所有可能性。
Apple可以通过法律要求向政府提供iCloud数据,由于Apple保留了所有数据,因此可以访问某些部分的数据。虽然所有数据都是加密的,但Apple还是拥有大多数云数据的加密密钥。目前只有最重要的信息(例如用户的密码、健康状况或消息)是在P2P模式下加密的,因此Apple无法访问这些内容。不过另一方面,P2P并不能完全保证Apple服务器上数据的绝对安全。苹果只需要用户的苹果ID、设备序列号或电话号码就可以访问数据。但问题是:
1.遵守规则并不容易,即使你为LEA工作;
2.由于信息量大,处理政府信息的速度很慢;
3.仍然没有返回所有数据(不包括p2p加密记录);
4.返回的数据很难解析和分析(需要特殊的软件和适当的技能)
所以,我们还是要了解一下其他访问iCloud的方法。
在没有双因素身份验证的情况获取取证凭据
之所以大家现在都必须采用双因素身份验证,是因为许多简单或常见的密码都可以轻易猜到,比如有些攻击者可以使用“暴力破解”的方式来猜出密码,还有就是网络钓鱼攻击变得越来越聪明,更绝的是,键盘嗅探器(不管是软件和硬件)可以窃取你输入的所有内容,实在不行,利用密码重用也是黑客的不二法门,是甚至可以经常恢复复杂密码的常见原因。
那密码重用是如何成为威胁的?
密码重用成为一种安全威胁是因为如果恶意行为者获取了一些可以识别用户身份的信息,他就可以对一个重复使用的密码加以利用。这通常发生在以下情形之一:
在第一种最常见的情况下,恶意行为者搜索用户的其它账号,并试图用同样的密码去登陆。有时,他们寻找一些个人账号,比如Facebook,Twitter,或者银行的网站。如果他们成功找到这些账号,而用户又使用了重复的密码,他们就能够以用户的身份登陆。有时,恶意者还会尝试识别用户的工作账号,并进行远程登陆,例如通过远程访问电子邮件或考勤卡的账号。
第二种涉及到恶意网站的情况比较少见,但仍然构成了威胁。在这种情况下,网络上的恶意者建立一个网站,并使其极其类似合法网站,要求用户输入电子邮件地址,密码或其它的信息来访问网站。一旦用户这样做了,恶意这就获取了用户的身份信息,进而可以搜索用户的其它账户,并使用相同密码登陆这些帐户。
如果没有双因素身份验证机制,黑客可以通过以下3种方法获取密码:
1.由于Windows密码可以保存在浏览器中,因此无论是Chrome,Mozilla Firefox,Microsoft IE,Edge,还是不太流行的Opera。只需使用Elcomsoft Internet Password Breaker即可发现所有已保存的密码,并查看用于apple.com或icloud.com的密码。
2.由于macOS系统使用了钥匙串,所以你可以使用内置钥匙串实用程序找到它,或使用Elcomsoft Password Digger进行分析;
3.在设备钥匙串中,使用Elcomsoft Phone Breaker访问钥匙串(使用加密的iTunes备份作为数据源,不过前提是备份密码应该已知或恢复)。如果你持有要取证的设备并且它有一个可以越狱的iOS版本,则可以使用iOS Forensic Toolkit获取密码。如果备份设置了密码,但密码未知且无法重置,则必须使用Elcomsoft Phone Breaker访问钥匙串。
在存在双因素身份验证的情况获取取证凭据
苹果很久以前就开始使用双因素身份验证作为额外的安全措施,不过最初2SV是不负责保护iCloud备份的。 不过Celebgate事件发生后,Apple被迫为备份引入了2SV保护。直到最近,Apple实施了全功能和安全的双因素身份验证(2FA),并强制将2SV升级到2FA。
注:Celebgate事件指的是美国一名高中教师Brannan因参与社交媒体和云储存黑客活动,该活动被称为“Celebgate”。
虽然苹果公司没有提供使用双因素身份验证的帐户数量的统计信息,但他们正尽力推广此安全措施。如果你今天设置了一个新的Apple ID并单击配置向导,则会自动启用双因素身份验证机制。而且你不能轻易将其关闭,因为一些与iCloud相关的功能现在都需要设置2FA。
不过根据民间机构的统计,目前只有约30%的iCloud用户开启了双因素身份验证。虽然有一些消息来源称,双因素身份验证机制的使用率高达60%,但我个人认为这个数字是被高估了。
有关双因素身份验证的更多信息,请点击此处查看。通常第二个验证因素可能很难获得,因为你需要受信任的设备本身,或者能够接收带有短信的设备 ,归根结底你实际上需要一张对方的SIM卡。
如果(并且仅当)2FA被启用,并且手机受密码保护(不过你知道密码),则手机将成为取证的关键。只使用手机和密码,你就可以更改iCloud密码(无需原始密码),甚至可以添加或替换可信的电话号码,更多信息请点击这里。
最后,你可以在没有密码的情况下访问iCloud。有研究人员早在五年前就发现了这种方法,具体的请参考《无需密码即可访问iCloud》。
什么是身份验证令牌以及如何获取它们?
身份验证令牌是类似于登录Web网站时Web浏览器保存的cookie,这意味着,令牌是标准凭据(登录,密码和第二个验证因素)的备用方案从技术上讲,令牌是服务器在成功验证之后生成的二进制数据的一小部分。它可用于通过该服务器而不是密码进行身份验证,不过无法从令牌返回登录名或密码,此外,令牌可能会在一段时间后过期,这个时间可能是几秒也可能是几个月。
让我们从持有的现有设备本身开始,由于令牌保存在iO
S钥匙串中,所以可以很容易地找到com.apple.account.AppleAccount.token记录。
这是第一个问题,另外对于需要双因素身份验证的帐户,Apple会将令牌添加到该特定设备。如果你提取令牌并尝试在其他设备(另一台iPhone,Windows或Mac计算机)上使用它,系统将提示你输入密码。但是,对于没有使用双因素身份验证的帐户,令牌可以用作登录名和密码的有限替代方案。不过,有些数据只能通过真实的登录名和密码从iCloud下载。
在Windows上,令牌隐藏在系统深处,并进行加密。不过有研究人员开发了一个工具来提取和解密它,这个工具使用起来非常简单,只要运行它,令牌就会保存到一个文本(XML)文件中,可以与Elcomsoft Phone Breaker一起使用。
不幸的是,Windows目前保存的令牌数量有限且固定在特定设备上,就像iOS一样。不过,你仍然可以在那台电脑上运行Elcomsoft Phone Breaker来使用这个令牌。
而macOS的情况则不同,大约一年前,苹果实施了一种更强大的保护策略,就是把开启双因素身份验证帐户的动态令牌标记为固定令牌。不过对于取证人员来说,他们最近还是找到了一种方法来提取和解密不受限制的令牌。为了以防万一,研究人员提取了两个令牌,受限令牌和不受限令牌。
如此一来,获取令牌就像运行命令行程序一样简单。我们可以将两个令牌保存到同一个XML文件中。请注意,受限令牌只能在此计算机上使用,而不受限制的令牌可以转移到另一台计算机使用,这种方法同时适用于Windows和Mac环境。
你可以使用钥匙串提取工具从iOS上的相同记录中获取macOS钥匙串中的令牌:com.apple.account.AppleAccount.token。
你不仅可以从实时系统中提取令牌,而且还可以从磁盘映像中提取令牌,详细信息,请参阅Elcomsoft Phone Breaker使用手册。
最后,在Elcomsoft Phone Breaker中使用令牌。具体用法就是在身份验证页面上,将选项卡从“密码”切换为“令牌”,然后在文本框中输入令牌(长字符串)即可。
使用身份验证令牌取证时有哪些限制?
与使用密码获取的数据相比,你可以使用令牌可以获得相同的数据集吗?在没有使用双因素身份验证的帐户中,这两种方法获取的数据是差不多的。但对于使用双因素身份验证的帐户,与使用密码获取的数据相比,使用身份验证令牌获取的数据就会少很多。
长期以来,苹果是不允许使用令牌下载iCloud备份的。即使在没有使用双因素身份验证的帐户中,令牌也可以在非常有限的时间内工作,不过只有大概一个小时。不过不久前,已经有人可以使用令牌下载iCloud中的所有数据,包括设备备份,而且没有任何时间限制。不过目前该方法还在试验中,这意味着,你只能没有使用双因素身份验证的帐户中,使用令牌访问Apple帐户中的备份,而且只能在创建令牌之后的一个小时内使用。
无论帐户是否受双因素身份验证的保护,令牌都可用于获取以下数据:
1.iCloud照片;
2.来自iCloud Drive的所有文件,包括许多第三方应用程序容器(1Password,WhatsApp,Viber等);
3.FileVailt2加密驱动器的恢复令牌;
4.许多其他同步数据,包括联系人、日历、笔记、钱包卡等;
5.Safari的浏览历史记录;
6.通话记录;
7.在云端存储的邮件;
不够有些数据则不能获取,其中就包括iCloud 钥匙串、消息、健康数据、homekit(苹果2014年发布的智能家居平台)相关数据、屏幕时间统计数据等。如上所述,所有这些数据都是加密的,只有受信任的设备才能访问。当然使用Elcomsoft Phone Breaker也是可以获取的。不过前提是,你必须提供登录名和密码,且通过双重身份的验证,最后提供其中一个可信设备的屏幕锁定密码。
使用Find My Phone可以获取Apple iCloud帐户的信息吗?
iPhone的防盗功能一直用户所关注的,而苹果公司在这方面也做的很好。强大的“Find My iPhone”功能能够确保当用户在iPhone上启用了密码或者指纹保护时,即使手机丢失或者被窃之后用户也能轻松找回,而现在这一功能变得更好用了。根据苹果公司近期获得的技术专利,哪怕iPhone处于关机状态用户也能激活“Find My iPhone”功能,以便于用户更容易定位被窃手机的位置。
首先,Find My iPhone功能允许机主通过iCloud帐号来定位手机,不过当手机处于关机状态且SIM卡移除的情况下是无法执行追踪的。不过在苹果申请了高级版Find My iPhone功能后,不管手机当前处于什么状态用户都能进行定位。根据描述,iPhone内部将会启动专用的计时器,每隔一段时间自动打开Find My iPhone功能,向机主发送当前的位置信息。这项功能使用了无电力状态,对iPhone的续航不会产生太大的影响,所以哪怕在没电关机的情况下依然能够使用Find My iPhone功能。
不过Find My iPhone功能不仅允许你查找丢失的设备或锁定或删除其数据,还具有出厂重置保护(也称为iCloud 锁),可防止使用其他Apple ID激活后续设备。
关闭“Find My iPhone”功能需要用户输入其Apple ID密码,第二个因素不是必需的,你只需要密码。icloud.com上的Find My iPhone也是一样,这个功能只需要密码,但不需要第二个验证因素,但不能接收推送通知和短信。
那么是否可以使用令牌解锁iCloud中的所有数据?答案是不可以,因为你必须得使用密码。
还有其他方法可以禁用iCloud锁,所有这些方法都列在Apple网站上。你可以与Apple合作以重新获得对Apple帐户的控制权,也可以访问Apple Store并提供该设备的购买凭证。
如何保护你的iCloud帐户?
以下建议可帮助你保护iCloud帐户:
1.使用强密码;
2.确保此密码不是重用密码;
3.确保你选择的密码不在已经泄露密码的列表中,否则你可能会成为反向暴力攻击的受害者;
4.使用双因素身份验证;
5.确保在Apple帐户中保持你可信赖的电话号码是最新的,以接收第二个验证代码;
6.将你的Apple帐户密码保存在安全的地方,无论是你的储物柜中的一张纸还是密码管理器数据库中的记录;
7.保护你的现有或曾经访问的Apple帐户的所有设备,包括智能手机,台式机,笔记本电脑和物联网设备;
8.即使你启用了双因素身份验证,也不要在公共设备登录你的iCloud帐户。