取证:解密和提取Signal消息

澳门十大网赌网址:2020-05-23 澳门十大正规网站: 6679 次

如今,不法分子与时俱进,沟通方式越来越狡猾,为躲避侦察打击,他们会放弃一些“不太安全”的方式和国内APP,而专用其它带有强加密的沟通工具,给案件侦办带了一定的困难。

例如,此前先容过的Telegram(电报),在香港这一年的事件中就被广泛使用。

  • 解密和提取电报(Telegram)消息

而今天要先容的Signal,也是一款端到端加密的社交APP,不论是文本、图片或视频都被严格地保护起来,这样,即使面中间人攻击(MITM),试图拦截传输中的会话也是徒劳的。

虽然从技术上讲,流量可以被拦截,但解密它则需要在终端用户设备上安装一个恶意应用程序(例如NSO Group间谍App)。
所以,如果没有GOV的干预和事先预留后门,几乎不可能通过这种攻击方式来拦截Signal消息。
端到端加密为何如此被执法机构嫉恨、某些GOV部门(注意:我说的是美帝)为何会赤果果要求在科技企业留后门便于执法:可了解以下链接:
  • 国外执法者评出6大网络“反取证”头疼事项,你认可吗?

  • 美国司法部要求高科技企业提供后门,以方便执法机构获取数据

 
所以,只要不是有意预留了后门,那么Signal的通信可以说就是安全无忧的。
Signal针对MITM攻击实施了特殊的保护措施,使得证书欺骗变得无用,并使基于恶意App的攻击复杂化。

连斯诺登都忍不住为它代言:“我每一天都用Signal”。

斯诺登用了都说好,于是,许多安全人士、社会活动家,政客,记者、律师……甚至政府机构都纷纷指定Signal为指定沟通工具。

今年2月,欧盟委员会建议其成员改用Signal,以提高通信的安全性。
另据资料统计,到今年已有超过30%的美国资讯媒体,包括《纽约时报》、《华盛顿邮报》和《华尔街日报》,都使用了Signal。 
Signal核心理念的初衷是为用户提供最高级别的反监控能力,但不幸的是,这种安全的应用程序也可以被违法者用于犯罪活动中。
根据欧洲刑警组织的年度报告"互联网有组织犯罪威胁评估",越多越多的犯罪正通过像Signal这样的即时通讯工具实施。
例如:关于儿童的性犯罪,利用应用程序作为通讯方式以及在暗网市场发起恐怖主义行为 —— 香港有组织的街头暴力犯罪正是如此。
* 其实老编认为”开源“也是Signal安全的一个重要原因,篇幅原因这个就不另外说了。
但,真的就如此固若金汤,万无一失吗?不,大家至少可以尝试一下本地消息提取。
国内外不少知名的取证企业都针对Telegram、Signal提供了专门的“解决方案”。
今天就先容一下来自Belkasoft的Signal本地取证方法。
*为什么是本地取证,这里顺便说一下,有些童鞋可能还会想到备份云提取,例如WhatsApp,如果用户配置了应用程序,那么在iCloud云中能保存有会话历史记录——虽然还需要用户的钥匙串,但事实证明苹果现在也会配合执法者行动,而Signal则不保存这些东西,因此就果断放弃吧!
言归正传,使用Belkasoft在iOS下提取Signal数据基本过程步骤如下:
1、确定这台苹果的型号
注意:如果是苹果5S--苹果 X运行12.3-13.4版本iOS的苹果 型号,那么你可以使用基于checkm8的采集方法。对于其他苹果机型,则必须利用相关的越狱,对于较旧的 iOS 版本,可以使用基于代理的采集功能。
2、在电脑上打开Belkasoft,并通过USB3.0端口,使用Apple的原版电缆将苹果连接到电脑。
3、在Belkasoft中选择基于checkm8的采集方法。
4、在苹果上选择启用DFU模式
此时,苹果和Belkasoft应该就开始通信了,App将应用利用checkm8漏洞,在实行相关操作时自动搜索钥匙串文件。
图像采集任务将开始后,获取过程的结果以 .tar 文件的形式呈现。
最后,当映像采集过程完成时,设备将被重新启动,设备上不会留下漏洞利用的痕迹。
然后就可以开始分析获取的图像了。
5、在分析阶段,Belkasoft将从钥匙串中提取信号加密密钥,并自动解密信号数据。

在提取iOS完整文件系统后,"密码"节点将显示在界面窗口中:

提取的Signal密码,有Base64加密:

提取的聊天记录:

Signal的数据包含聊天历史记录、呼叫、视频、音频消息、共享图像和链接以及地理数据,这些都位于Signal messenger节点之下。地理数据位于Instant messengers节点下。
好了,本地提取的基本步骤大致如下。有些同志可能不太满意或者是太贪心,想要像前头提到的那样在通讯中进行拦截……我想说还是知足吧,如果对方再谨慎狡猾一些,设置了disappearing messages,也就是“阅后即焚”的话,那么你可能连这点收货还都没有了。

最后,攻与防的技术一直都在更新,大家一直在路上,保持关注和学习才是唯一的出路。

 

转自:困难群众 LBS

分享到:
×

微信扫一扫分享

XML 地图 | Sitemap 地图