Занимательная статья-гайд по сравнению надежности мессенджеров в части хранения сообщений, файлов и способы выковыривания данных из мессенджеров от шикарной компании "Elcomsoft".
Благодаря их блогу я в своё время узнал очень много полезной информации про анализ iOS приложений и, в целом, об устройстве этой операционной системы.
Статья актуальна как никогда! Признайтесь, вы же тоже отправляете кучу "черновиков и уж точно окончательно финальных версий рабочих документов" в Telegram или WhatsApp? :) Тогда эта статья точно вам понравится 😃
#iOS #Forensic #Messengers
https://blog.elcomsoft.com/2020/04/forensic-guide-to-imessage-whatsapp-telegram-signal-and-skype-data-acquisition/
Благодаря их блогу я в своё время узнал очень много полезной информации про анализ iOS приложений и, в целом, об устройстве этой операционной системы.
Статья актуальна как никогда! Признайтесь, вы же тоже отправляете кучу "черновиков и уж точно окончательно финальных версий рабочих документов" в Telegram или WhatsApp? :) Тогда эта статья точно вам понравится 😃
#iOS #Forensic #Messengers
https://blog.elcomsoft.com/2020/04/forensic-guide-to-imessage-whatsapp-telegram-signal-and-skype-data-acquisition/
ElcomSoft blog
Forensic guide to iMessage, WhatsApp, Telegram, Signal and Skype data acquisition
Instant messaging apps have become the de-facto standard of real-time, text-based communications. The acquisition of instant messaging chats and communication histories can be extremely important for an investigation. In this article, we compare the five…
Как мы знаем, для хранения важной информации в iOS присутствуют механизмы Keychain (сумка ключей). При записи в Keychain можно указать различные классы защиты информации, от которых будет зависеть, в какие моменты времени можно будет получить доступ к данным. Для защиты особенно важных данный есть классы , которые в конце имеют приписку "ThisDeviceOnly".
Очень часто я слышу противоречивые мнения, что означает и как влияет этот параметр на попадание в Backup (зашифрованый бекап содержит в себе и Keychain тоже). Попробуем разобраться, но для начала, ответьте, пожалуйста на простой вопрос 😀
#iOS #Keychain #Forensic
Очень часто я слышу противоречивые мнения, что означает и как влияет этот параметр на попадание в Backup (зашифрованый бекап содержит в себе и Keychain тоже). Попробуем разобраться, но для начала, ответьте, пожалуйста на простой вопрос 😀
#iOS #Keychain #Forensic
Mobile AppSec World
Попадают ли данные из KeyChain с отметкой "ThisDeviceOnly" в бекап?
Попробуем разобраться с этим интересным флагом "ThisDeviceOnly".
При создании зашифрованного бэкапа в него попадают также и значения из Keychain. Эти значения зашифрованы на производной от пароля, который задаётся во время создания бэкапа. То есть, если подобрать пароль, можно получить всё содержимое не только файловой системы, но и Keychain (в котором любят хранить всякие пароли и ключи 😍).
Но что же, всё-таки, означает этот флаг? Значит ли он, что при создании бекапа данные в него не попадут? Он же так интересно называется - "Только для этого устройства" 🤔
На самом деле, это работает немного не так. Значения с этим флагом также попадают в бекап! Но есть одно существенное отличие - помимо производной от пароля, они также защищены уникальным ключём данного устройства (UID) и могут быть восстановлены из бекапа только на том же устройстве, откуда были скопированы. То есть, просто так их не вытащить, но шансы есть всегда :)
Именно поэтому мы рекомендуем дополнительно шифровать данные, которые вы храните на устройстве, даже если они находятся в Keychain.
Об этих и других особенностях защиты данных на устройстве буду периодически писать :)
#iOS #Keychain #Backup #Forensic
При создании зашифрованного бэкапа в него попадают также и значения из Keychain. Эти значения зашифрованы на производной от пароля, который задаётся во время создания бэкапа. То есть, если подобрать пароль, можно получить всё содержимое не только файловой системы, но и Keychain (в котором любят хранить всякие пароли и ключи 😍).
Но что же, всё-таки, означает этот флаг? Значит ли он, что при создании бекапа данные в него не попадут? Он же так интересно называется - "Только для этого устройства" 🤔
На самом деле, это работает немного не так. Значения с этим флагом также попадают в бекап! Но есть одно существенное отличие - помимо производной от пароля, они также защищены уникальным ключём данного устройства (UID) и могут быть восстановлены из бекапа только на том же устройстве, откуда были скопированы. То есть, просто так их не вытащить, но шансы есть всегда :)
Именно поэтому мы рекомендуем дополнительно шифровать данные, которые вы храните на устройстве, даже если они находятся в Keychain.
Об этих и других особенностях защиты данных на устройстве буду периодически писать :)
#iOS #Keychain #Backup #Forensic
Очень часто при анализе приложений под Android приходится их декомпилировать и дизасемблировать, чтобы получить исходный код или набор smali файлов. С java все более-менее понятно, но вот нативный код иногда вызывает проблемы.
Специально для тех, кто хочет научиться разбирать приложения или подтянуть свои знания, есть шикарное, на мой взгляд обучение в виде репозитория на Github с детальным описанием. И, более того, еще цикл воркшопов идет! 😱
Так что можно выбрать, в зависимости от того, какой тип информации вы лучше усваиваете 😄
#Android #Revers #Forensic
https://maddiestone.github.io/AndroidAppRE/index.html
https://www.youtube.com/playlist?list=PL3jdfxUyXxoyG6qEkaTMq0iWaaVps2SLa
Специально для тех, кто хочет научиться разбирать приложения или подтянуть свои знания, есть шикарное, на мой взгляд обучение в виде репозитория на Github с детальным описанием. И, более того, еще цикл воркшопов идет! 😱
Так что можно выбрать, в зависимости от того, какой тип информации вы лучше усваиваете 😄
#Android #Revers #Forensic
https://maddiestone.github.io/AndroidAppRE/index.html
https://www.youtube.com/playlist?list=PL3jdfxUyXxoyG6qEkaTMq0iWaaVps2SLa
YouTube
Android App Reverse Engineering Workshop
Share your videos with friends, family, and the world
Learning Android Forensics.pdf
17.6 MB
Начал разбираться в своих завалах "книги, которые я обязательно потом прочитаю". Думаю, у всех есть такая папка 😁
И обнаружил, что у меня скопилось немало разнообразных книг по безопасности мобильных приложений (удивительно).
Первая из них, которой я бы хотел поделиться, называется "Learning Android Forensics". Даже если вы не сильно увлекаетесь этим направлением, рекомендую прочитать первую и третью главу, где расписано внутреннее строение системы Android и дано подробное описание структуры файловой системы.
Также приятно, что одним из авторов является наш соотечественник!
#Android #Books #Forensic
И обнаружил, что у меня скопилось немало разнообразных книг по безопасности мобильных приложений (удивительно).
Первая из них, которой я бы хотел поделиться, называется "Learning Android Forensics". Даже если вы не сильно увлекаетесь этим направлением, рекомендую прочитать первую и третью главу, где расписано внутреннее строение системы Android и дано подробное описание структуры файловой системы.
Также приятно, что одним из авторов является наш соотечественник!
#Android #Books #Forensic
Заметание следов с использованием Accessibility Services
Обычно я не пишу про новости об очередных троянах и вирусах, обнаруженных в GooglePlay и снова захвативших тысячи устройств. Это скучно, не интересно и я бы лучше сделал обзор, как эти штуки работают и что используют. Как правило, это просто различные модификации нескольких видов троянцев, которые несущественно видоизменены, чтобы их нельзя было обнаружить сигнатурным анализом. Бывают, конечно, уникальные малвари, но их единицы.
Но вот эта статья про то, как некоторые зловреды используют Accessibility Services для сокрытия следов, что затрудняет их обнаружение, мне очень понравилась.
Автор рассказывает, что это за сервис такой, как его использовать и приводит несколько реальных кейсов, как при помощи него уводили деньги с крипто кошельков, в том числе с двухфакторной авторизацией. И описывает, с какими сложностями можно столкнуться при расследовании таких хищений.
Статья большая, но интересная 😁
#android #forensic #research #malware
Обычно я не пишу про новости об очередных троянах и вирусах, обнаруженных в GooglePlay и снова захвативших тысячи устройств. Это скучно, не интересно и я бы лучше сделал обзор, как эти штуки работают и что используют. Как правило, это просто различные модификации нескольких видов троянцев, которые несущественно видоизменены, чтобы их нельзя было обнаружить сигнатурным анализом. Бывают, конечно, уникальные малвари, но их единицы.
Но вот эта статья про то, как некоторые зловреды используют Accessibility Services для сокрытия следов, что затрудняет их обнаружение, мне очень понравилась.
Автор рассказывает, что это за сервис такой, как его использовать и приводит несколько реальных кейсов, как при помощи него уводили деньги с крипто кошельков, в том числе с двухфакторной авторизацией. И описывает, с какими сложностями можно столкнуться при расследовании таких хищений.
Статья большая, но интересная 😁
#android #forensic #research #malware
SpringerLink
Reducing the Forensic Footprint with Android Accessibility Attacks
Android accessibility features include a robust set of tools allowing developers to create apps for assisting people with disabilities. Unfortunately, this useful set of tools can also be abused and turned into an attack vector, providing malware with the…
Что и как хранит Snapchat на iOS?
Отличную статью про анализ данных Snapchat порекомендовал в нашем чате @testing_guy, спасибо!
На самом деле, после прочтения остался вопрос, почему Snapchat хранит столько информации в открытом виде и не использует более защищённые способы хранения,хотябы через NSFileProtection?
Очень сомневаюсь, что они настолько заморочились с генерацией токена для взаимодействия со своим API и забыли про локальные данные.
Скорее всего их политика такая же, как и у WhatsUp, который вообще всё хранит plaintext в базе :) Модель угроз, которая не учитывает локального нарушителя с доступом к устройству. То если что-то случилось с трубкой, то это ваши проблемы))
Также стоит отметить и первую статью автора про начало пути в форензике и анализе iOS приложений.
Ну и напоследок, если захочется поэкспериментировать и посмотреть, какие файлы вообще доступны на устройстве до момента первой разблокировки, у автора есть классная утилита для этого! Пойду ребутну тестовый айфон и посмотрю, кто ещё забивает на рекомендации по использованию iOS Data Protection 😁
#iOS #Snapchat #Forensic
Отличную статью про анализ данных Snapchat порекомендовал в нашем чате @testing_guy, спасибо!
На самом деле, после прочтения остался вопрос, почему Snapchat хранит столько информации в открытом виде и не использует более защищённые способы хранения,хотябы через NSFileProtection?
Очень сомневаюсь, что они настолько заморочились с генерацией токена для взаимодействия со своим API и забыли про локальные данные.
Скорее всего их политика такая же, как и у WhatsUp, который вообще всё хранит plaintext в базе :) Модель угроз, которая не учитывает локального нарушителя с доступом к устройству. То если что-то случилось с трубкой, то это ваши проблемы))
Также стоит отметить и первую статью автора про начало пути в форензике и анализе iOS приложений.
Ну и напоследок, если захочется поэкспериментировать и посмотреть, какие файлы вообще доступны на устройстве до момента первой разблокировки, у автора есть классная утилита для этого! Пойду ребутну тестовый айфон и посмотрю, кто ещё забивает на рекомендации по использованию iOS Data Protection 😁
#iOS #Snapchat #Forensic
Анализ приложения ProtonMail
Отличнейшая статья по анализу приложения ProtonMail, где наглядно и очень подробно расписаны и пояснены используемые принципы шифрования и защиты.
Особенно приятно, что ребята сделали проект открытым и его исходники доступны на github. Вот он, принцип Керкгоффса в действии!
В статье рассказано, как устроено локальное шифрование файлов, использование пин-кода и что делают специалисты, чтобы всё-таки получить исходные письма :)
На самом деле, можно многое почерпнуть как из статьи, так и из исходников по принципам хранения данных локально на устройстве.
За ссылку спасибо большое @EZ3K1EL
#iOS #forensic #protonmail
Отличнейшая статья по анализу приложения ProtonMail, где наглядно и очень подробно расписаны и пояснены используемые принципы шифрования и защиты.
Особенно приятно, что ребята сделали проект открытым и его исходники доступны на github. Вот он, принцип Керкгоффса в действии!
В статье рассказано, как устроено локальное шифрование файлов, использование пин-кода и что делают специалисты, чтобы всё-таки получить исходные письма :)
На самом деле, можно многое почерпнуть как из статьи, так и из исходников по принципам хранения данных локально на устройстве.
За ссылку спасибо большое @EZ3K1EL
#iOS #forensic #protonmail
Medium
ProtonMail : forensic decryption of iOS App
ProtonMail is a full PGP end-to-end encrypted email provider who is claiming privacy, anonymity and security. As forensic examiners, we…
Вдогонку к предыдущему посту
Посмотрите на блог автора целиком, там очень много всего интересного.
Особенно он понравится тем, кто увлекается извлечением данных, форензикой и прочими вещами, достаточно много материала на эту тему.
Особенно занятные вещи
- Восстановление очищенной истории браузера (я узнаю, что ты смотрел на новогодних каникулах)
- Форензика буфера обмена
- Атаки на Office 365
И очень много материала про Azure и его сервисы/ключи/бэкдоры
Так что приятного чтения, думаю вы найдете много интересных идей)
#blog #forensic #azure #clipboard
Посмотрите на блог автора целиком, там очень много всего интересного.
Особенно он понравится тем, кто увлекается извлечением данных, форензикой и прочими вещами, достаточно много материала на эту тему.
Особенно занятные вещи
- Восстановление очищенной истории браузера (я узнаю, что ты смотрел на новогодних каникулах)
- Форензика буфера обмена
- Атаки на Office 365
И очень много материала про Azure и его сервисы/ключи/бэкдоры
Так что приятного чтения, думаю вы найдете много интересных идей)
#blog #forensic #azure #clipboard
Inversecos
Recovering Cleared Browser History - Chrome Forensics
iOS Forensic by Elcomsoft
Вот очень люблю этих ребят, их блог это просто находка :)
И даже в статье про работу с их инструментом по извлечению данных с iOS (насколько я понимаю, платного), они дают и теорию и много отсылок к другим опенсорс инструментам и статьям. Так что читая этот материал можно почерпнуть много нового и полезного из ссылок по тексту.
Настоятельно рекомендую посмотреть :)
#ios #elcomsoft #forensic
Вот очень люблю этих ребят, их блог это просто находка :)
И даже в статье про работу с их инструментом по извлечению данных с iOS (насколько я понимаю, платного), они дают и теорию и много отсылок к другим опенсорс инструментам и статьям. Так что читая этот материал можно почерпнуть много нового и полезного из ссылок по тексту.
Настоятельно рекомендую посмотреть :)
#ios #elcomsoft #forensic
ElcomSoft blog
iOS Forensic Toolkit Tips & Tricks
For forensic experts dealing with mobile devices, having a reliable and efficient forensic solution is crucial. Elcomsoft iOS Forensic Toolkit is an all-in-one software that aids in extracting data from iOS devices, yet it is still far away from being a one…