如今,不法分子与时俱进,沟通方式越来越狡猾,为躲避侦察打击,他们会放弃一些“不太安全”的方式和国内APP,而专用其它带有强加密的沟通工具,给案件侦办带了一定的困难。
例如,此前介绍过的Telegram(电报),在香港这一年的事件中就被广泛使用。
解密和提取电报(Telegram)消息
而今天要介绍的Signal,也是一款端到端加密的社交APP,不论是文本、图片或视频都被严格地保护起来,这样,即使面中间人攻击(MITM),试图拦截传输中的会话也是徒劳的。
虽然从技术上讲,流量可以被拦截,但解密它则需要在终端用户设备上安装一个恶意应用程序(例如NSO Group间谍软件)。所以,如果没有GOV的干预和事先预留后门,几乎不可能通过这种攻击方式来拦截Signal消息。端到端加密为何如此被执法机构嫉恨、某些GOV部门(注意:我说的是美帝)为何会赤果果要求在科技公司留后门便于执法:可了解以下链接:国外执法者评出6大网络“反取证”头疼事项,你认可吗?
美国司法部要求高科技公司提供后门,以方便执法机构获取数据
所以,只要不是有意预留了后门,那么Signal的通信可以说就是安全无忧的。Signal针对MITM攻击实施了特殊的保护措施,使得证书欺骗变得无用,并使基于恶意软件的攻击复杂化。连斯诺登都忍不住为它代言:“我每一天都用Signal”。斯诺登用了都说好,于是,许多安全人士、社会活动家,政客,记者、律师……甚至政府机构都纷纷指定Signal为指定沟通工具。今年2月,欧盟委员会建议其成员改用Signal,以提高通信的安全性。另据资料统计,到今年已有超过30%的美国新闻媒体,包括《纽约时报》、《华盛顿邮报》和《华尔街日报》,都使用了Signal。 Signal核心理念的初衷是为用户提供最高级别的反监控能力,但不幸的是,这种安全的应用程序也可以被违法者用于犯罪活动中。根据欧洲刑警组织的年度报告"互联网有组织犯罪威胁评估",越多越多的犯罪正通过像Signal这样的即时通讯工具实施。例如:关于儿童的性犯罪,利用应用程序作为通讯方式以及在暗网市场发起恐怖主义行为 —— 香港有组织的街头暴力犯罪正是如此。* 其实老编认为”开源“也是Signal安全的一个重要原因,篇幅原因这个就不另外说了。但,真的就如此固若金汤,万无一失吗?不,我们至少可以尝试一下本地消息提取。国内外不少知名的取证公司都针对Telegram、Signal提供了专门的“解决方案”。今天就介绍一下来自Belkasoft的Signal本地取证方法。*为什么是本地取证,这里顺便说一下,有些童鞋可能还会想到备份云提取,例如WhatsApp,如果用户配置了应用程序,那么在iCloud云中能保存有会话历史记录——虽然还需要用户的钥匙串,但事实证明苹果现在也会配合执法者行动,而Signal则不保存这些东西,因此就果断放弃吧!言归正传,使用Belkasoft在iOS下提取Signal数据基本过程步骤如下:1、确定这台iPhone的型号注意:如果是iPhone5S--iPhone X运行12.3-13.4版本iOS的iPhone 型号,那么你可以使用基于checkm8的采集方法。对于其他iPhone机型,则必须利用相关的越狱,对于较旧的 iOS 版本,可以使用基于代理的采集功能。2、在电脑上打开Belkasoft,并通过USB3.0端口,使用Apple的原版电缆将iPhone连接到电脑。3、在Belkasoft中选择基于checkm8的采集方法。4、在iPhone上选择启用DFU模式此时,iPhone和Belkasoft应该就开始通信了,软件将应用利用checkm8漏洞,在执行相关操作时自动搜索钥匙串文件。图像采集任务将开始后,获取过程的结果以 .tar 文件的形式呈现。最后,当映像采集过程完成时,设备将被重新启动,设备上不会留下漏洞利用的痕迹。然后就可以开始分析获取的图像了。5、在分析阶段,Belkasoft将从钥匙串中提取信号加密密钥,并自动解密信号数据。在提取iOS完整文件系统后,"密码"节点将显示在界面窗口中:提取的Signal密码,有Base64加密:
提取的聊天记录:Signal的数据包含聊天历史记录、呼叫、视频、音频消息、共享图像和链接以及地理数据,这些都位于Signal messenger节点之下。地理数据位于Instant messengers节点下。好了,本地提取的基本步骤大致如下。有些同志可能不太满意或者是太贪心,想要像前头提到的那样在通讯中进行拦截……我想说还是知足吧,如果对方再谨慎狡猾一些,设置了disappearing messages,也就是“阅后即焚”的话,那么你可能连这点收货还都没有了。最后,攻与防的技术一直都在更新,我们一直在路上,保持关注和学习才是唯一的出路。来源:LBS
小众APP取证之路:默往(iOS)先导篇