https://mp.weixin.qq.com/s/lLTR0XI6br46lEyaDCzfXA
同样这家企业还提供 Mac 的 T2 芯片解密和备份解密。 现在破解加密都不是直接破解了,都是通过这种间接利用系统 bug 来破解的。
1
FutureApple OP 近日,我司接到某地市公安的案件技术协助请求,要求协助解密一台笔记本电脑硬盘的数据。该案件从去年开始立案侦查,通过前期排查,已将嫌疑人使用的笔记本电脑(HP Envy X360)进行扣押,该嫌疑人主要通过自己的电脑远程控制境外服务器进行违法活动,然而警方发现嫌疑人有案底,十分狡猾,具有很强的反侦察意识,电脑使用了 BitLocker 加密技术对硬盘进行加密,拒不承认自己与案件相关,不交代电脑的开机密码,案件陷入僵局。
经过预检发现,硬盘系统分区有 Bitlocker 加密。警方通过多种方法尝试,联系了国内的多家电子数据取证公司,耗费一个多星期到各地寻找破解加密磁盘的方法,结果都无法解密加密磁盘的数据,最后辗转找到我司寻求技术支援。 完成嫌疑人笔记本电脑的全盘镜像后,尝试使用我司的秘密武器 CSIR-5000 (临机绕密取证设备)对启用 TPM+PIN 保护的 BitLocker 加密的 Windows 10 系统进行破解。该设备采用内存直接访问(DMA)攻击技术,通过将内置的无线网卡替换为专用卡,使用专用软件进行内存扫描,刚开始遇到无法访问内存问题,发现该电脑默认启用了“快速启动“机制造成,经过调试,很快在十多分钟内就成功绕过 Windows 10 系统的锁屏密码,随意输入一个密码进入系统后,运行一个简单的命令行,成功获取到了该 BitLocker 加密磁盘的 48 位的恢复密钥。该绕密取证过程全程进行了录像,确保符合司法要求。 使用我司的取证神探取证分析软件加载硬盘镜像,输入提取的 48 位 BitLocker 恢复密钥,成功解密了硬盘数据。经过对解密后的数据分析,我们发现嫌疑人有很强的反侦察经验,电脑上安装了反取证软件,经常对计算机痕迹进行擦除。经过我们不懈的努力,最终还是找到了连接服务器的历史记录,根据这些线索,把服务器等其他的线索串连起来,形成了证据链。此外,还在硬盘镜像中发现了 1 个 iPhone 手机备份及 1 个 iPad 备份、两个 iOS 设备的 Lockdown 密钥数据,并解析出了部分有价值的数据。 |
2
recolic 2023-07-03 08:36:20 +08:00 via Android
我连夜换用 dm-crypt
|
3
mokiki 2023-07-03 08:41:23 +08:00 7
低情商:Bug
高情商:法制友好机制 |
4
xmumiffy 2023-07-03 08:42:09 +08:00 via Android
开机即解锁确实危险
|
5
czyhd 2023-07-03 08:43:23 +08:00
直接读内存?
|
6
dode 2023-07-03 08:43:30 +08:00 via Android 1
数据盘单独开加密,不开启自动解密
|
7
cherryas 2023-07-03 08:45:30 +08:00
不会真的有人觉得靠 windows 自带的加密就特别安全了吧.
|
8
ryd994 2023-07-03 08:47:51 +08:00 via Android
这个恐怕是启动盘没加密,然后又启用了自动解密(数据盘默认就是自动解密的)
只设置了登入密码,没设置 preboot 加密 解密之后内存里就有密钥数据了 如果是 preboot 密码,那不知道密码应该是无法打开 TPM 的(除非 TPM 有 bug ) 另外,TPM intrusion detection 就是为了处理这种情况。如果有人开盖,TPM 自动上锁,需要 BIOS 管理员密码才能重置。 |
9
FutureApple OP @ryd994 bitlocker 只有在启动盘设置了加密的情况下才能自动解密
|
10
rockyzhang 2023-07-03 08:50:39 +08:00
应该是通过 PCIe 进去的吧,通过 PCIe 去读写 memory, TPM 也放不了
|
11
xtreme1 2023-07-03 08:51:51 +08:00 2
这个每季度都能在 V2 看到一次..
|
12
spatxos 2023-07-03 08:56:18 +08:00 2
原来是卖设备的。。。。
|
13
ryd994 2023-07-03 08:56:52 +08:00 via Android 1
@FutureApple 启动盘分 preboot 加密和 boot 之后 pin 解密
boot 之后才用 pin 解密的话基本就等于没加密 我自用电脑就是 pin 解密,少输一次密码比较方便,没什么敏感内容 非 preboot 加密的主要意义是卖二手硬盘时只需要销毁密钥,有助于保护隐私。但是对于敏感数据来说是不够用的。 公司电脑就是有 preboot+intrusion detection ,一旦开盖电脑就作废,只能用于处理非敏感工作内容。我就见过有人电脑摔了一下,然后就被锁了。 |
14
ryd994 2023-07-03 09:00:36 +08:00 via Android 2
@rockyzhang TPM 确实防不了内存数据读取。但是核心问题是这个密钥在没有 TPM 密码的情况下就不应该出现在内存里。
注意“十多分钟内就成功绕过 Windows 10 系统的锁屏密码,随意输入一个密码进入系统”其实到这一步就已经不行了。后面用 pcie 卡读密钥只是为了方便后面的取证。 preboot 加密就是为了应对这个问题。 |
15
churchmice 2023-07-03 09:03:29 +08:00 via Android
@recolic 不好意思,你去搜一下 dm-crypt 锅更大
|
16
TOUJOURSER 2023-07-03 09:06:12 +08:00 3
有没有三天不登录自动销毁硬盘的工具
|
17
tbc3211 2023-07-03 09:07:13 +08:00
开源 pcileech 应用实践
|
18
luhe 2023-07-03 09:25:01 +08:00 via iPhone
所以 Mac T2 是怎么解密的
|
19
abc0123xyz 2023-07-03 09:27:03 +08:00 1
收藏了,研究刑法收入的时候用
|
20
Tyuans 2023-07-03 09:28:53 +08:00 1
@cherryas 前段时间甲方有个笔记本应该是原使用者走了,现在有新的使用者,但不知道密码。就找到我的项目经理,然后找到我,说重装系统也可以。我很烦,不想重装,甲方有负责装系统的部门,不找他们让我装,装坏了算谁的。我仔细问才告诉我是密码不知道,也不想去问。我直接拿我 u 盘里的 pe 把 win 密码删了。看完甲方和经理都震惊了,甲方领导还一个劲说太不安全了,难怪要搞国产系统什么的,我甚至怀疑他认为这个是美帝微软故意留得后门…
|
21
dc3365 2023-07-03 09:32:13 +08:00
好家伙
|
22
fairytale 2023-07-03 09:34:20 +08:00 via Android 1
tpm 加密的安全性是有条件的。bios 必须设置密码,secureboot 必须打开,iommu 必须打开。如果 biso 设置有变更(比如清除密码),或者 pcie 硬件有变更(比如 pcie 设备的 oprom 可以藏代码),或者启动引导有变更(比如 patch 过的 Windowsloader ),tpm 的 pcr 签名都会改变,就不自动解密了。 比如我电脑加增加或者移除一个 u.2 的 ssd ,开机就要重新输入超长解密密钥,最后解决方法是,拔掉,开机后再动态插上去。
|
23
mmdsun 2023-07-03 09:35:23 +08:00
这就是为啥 Win11 要 TPM 2.0 了。
|
24
cslive 2023-07-03 09:38:01 +08:00
现在哪有纯解密的,都是找漏洞
|
25
Biggoldfish 2023-07-03 09:38:21 +08:00 13
|
26
iloveayu 2023-07-03 09:43:17 +08:00
嗨,我是癫佬。
这是我的取证神器,CSIR 是我的秘密武器。 取证 5 分钟,镜像 800G 。 嘘,不要告诉别人哦~ |
27
c2const 2023-07-03 09:43:43 +08:00 1
0..单独数据硬盘+VeraCrypt 之类的开源三方加密
1.不管主力系统是 linux 还是 windows ,如果会相应的驱动开发,可以自己再套一层私有透明加密,虽然不能提高密码学安全性,但能提高逆向难度。 2.现在硬件性能这么好,虚拟机放加密硬盘里再启动 :) |
28
fairytale 2023-07-03 09:43:47 +08:00 via Android 2
对了,Windows 还有个内存保护开关,就是很多人吐槽开启了会影响 vmware 使用的那个。但是那个也一定要打开。 [tpm2.0] [bios 密码] [secureboot] [bios 里 vt-d 与 iommu] [Windows 里内存保护] 同时开启,才能保证安全性。
|
31
cosmain 2023-07-03 09:53:22 +08:00
|
32
gdcbhtd 2023-07-03 09:57:47 +08:00 8
我怎么看着像编程随想的事件
|
33
liantian 2023-07-03 09:58:51 +08:00 via iPhone
@Biggoldfish 都你这么说,取证公司也别做生意了…
|
34
ysc3839 2023-07-03 09:58:56 +08:00 via Android
BitLocker 如果没使用外部密码,又没开启 Windows 的内核隔离,是有安全漏洞的。微软之前自己就出过一个演示视频,利用雷电接口的 DMA 功能就能绕过锁屏密码,因为 BitLocker 没有外部密码自动解锁,就等于被破解了。
总而言之这个问题根本原因是微软没有像 Android iOS macOS 那样,把 BitLocker 解锁密码和用户密码绑定。一个系统不依赖外部密码,而是使用内部密码自解锁的话是不能保证安全的。 |
35
pkoukk 2023-07-03 10:00:56 +08:00
@Biggoldfish #25 看你所在的地方了。要是当地案子多,不缺你这一个 KPI ,那应该懒得给你上太多手段
|
36
totoro625 2023-07-03 10:05:53 +08:00
绕过 Windows PIN 码之后就完蛋了,跟 BitLocker 加密没任何关系了
|
37
allgy 2023-07-03 10:12:55 +08:00
说了一堆,还是得用 mac 才行
|
38
liantian 2023-07-03 10:14:49 +08:00 via iPhone
@ysc3839 好奇一个问题…
我看我的电脑,dell 4230 ,雷电安全性默认开启的。 但是是不是 pcie 的默认安全性比雷电差。 我看类似的事,都是从网卡下手的,或者说信任了 intel 网卡,是不是嗅探设备模拟成 intel 网卡就行了。 |
39
loryyang 2023-07-03 10:18:34 +08:00
有点意思
|
40
seeme 2023-07-03 10:21:01 +08:00
|
41
christin 2023-07-03 10:21:28 +08:00 2
看了一下定价,是真便宜啊。原来个人的信息这么不值钱。
3. 你们怎么收费呢? 答:我们严格按照福建省物价局、福建省司法厅制定的司法鉴定收费标(闽价通告〔 2018 〕 32 号)准进行收费,上述文件没有覆盖的项目及疑难情况协商定价。 电子数据搜索、提取 12 元/gb 电子数据恢复 15 元/gb 手机机身数据获取 1000/个 密码破解 1500/个 source: 1. http://www.binarydata.cn/sfjd 2. https://sft.fujian.gov.cn/sfyw/sfjd/tzl_5326/201810/t20181008_4530068.htm |
42
datou 2023-07-03 10:30:18 +08:00
最新版 win11 开启了内核隔离+安全启动+数据加密+CMOS 密码基本就安全了吧?
|
43
Tilie 2023-07-03 10:41:35 +08:00 1
@TOUJOURSER #16 自己做个三天未登录物理烧毁硬盘的算了
|
44
proxytoworld 2023-07-03 10:44:27 +08:00
@gdcbhtd 有案底明显不是
|
45
shalingye 2023-07-03 11:00:42 +08:00 via Android
我还以为是 bitlocker 本身被破解了,有被吓到。
|
46
ysc3839 2023-07-03 11:24:14 +08:00 via Android
@liantian 具体情况说不清,反正按微软的态度,是必须开启内核隔离才能保证安全。
另外真的有这么高的安全需求,更建议设置个独立的 BitLocker 解锁密码。 |
47
424778940 2023-07-03 11:44:02 +08:00 1
虽然是旧闻 但我还是看完了
整体并不是 bitlocker 加密机制破解, 而是在不严格甚至是错误的配置下被绕过 说实话现在消费级笔记本的 tpm 意义不大, 有的可能实现上不安全, 有的可能芯片本身实现是安全的但电路不安全, 有的可能前面都好了但软件上不安全, 所以不如不用 我目前用的 bitlocker 都是用 password protector 的, 这个是不使用 tpm 的, 没有用户密码是无法解密的 |
48
HelloAmadeus 2023-07-03 11:47:10 +08:00
还得是 truecrypt 啊,之前就声讨过 tpm+bitlocker 对用户安全并没有提升多少
|
49
yhm2046 2023-07-03 11:49:32 +08:00
记得多年前看到新闻美国 fbi 破解不了 iphone 开机密码找苹果公司被拒绝了,现在连 tg 的安防公司都能随便破解了?
|
50
chinni 2023-07-03 11:55:33 +08:00 via Android
我系统盘不加密…别的分区 yubikey 里的证书加密…应该没啥问题
|
51
fairytale 2023-07-03 12:00:08 +08:00 via Android
@HelloAmadeus 微软有文档介绍 Bitlocker 的正确使用方法。锁再结实,为了方便把钥匙放门框上,也没用呀。
|
52
x86 2023-07-03 12:17:08 +08:00 4
在网上嘴巴都是硬的,真进去了怕是交代的比谁都快。
|
53
mooyo 2023-07-03 12:23:06 +08:00
商务本有物理防侵入功能,这加密感觉只加了一半。
|
54
NoOneNoBody 2023-07-03 13:30:18 +08:00 2
我觉得我跟他们的区别就是“不交代电脑的开机密码”,我达不到这种境界,🐶
|
55
zlfoxy 2023-07-03 14:10:57 +08:00
楼主所说的这个公众号是厦门的一家取证软件公司的。
其实不是破解了加密算法。但是行文上干好像是干了一件很牛逼的事。 主要还是为了推销自己的软件吧。 |
56
amirobotics 2023-07-03 14:16:05 +08:00
要方便,所以的安全措施都是自我安慰。
|
57
TroyChen 2023-07-03 14:17:02 +08:00
这个内容见过了,早有 V 友发过
|
58
danhahaha 2023-07-03 14:24:53 +08:00 1
其实应该有一个销毁密码,只要输入这个密码系统直接销毁所有数据,万一自己被逼迫要密码时候就给他这个
|
60
tril 2023-07-03 14:46:29 +08:00
如果不用 TPM 加密,而是使用密码+备份密钥的方式加密的 BitLocker 是不是就没法这么破解了?开机不会自动解锁,而是先要求输入 BitLocker 密码再输入锁屏密码。
|
61
lB2cGz9OQ1agw7XK 2023-07-03 14:47:57 +08:00
都进去了,还到你不给密码了吗!!!
|
63
iridium945 2023-07-03 14:59:50 +08:00
@gdcbhtd #32 我一开始也以为是,后面一看这篇文章发布时间是 2020 年 7 月,那肯定不是他了。
|
64
redsun368573607 2023-07-03 15:15:34 +08:00 via Android
学编程随想,进去前把密钥毁了,自己都进不去
|
65
random1221 2023-07-03 15:33:07 +08:00
@iridium945 #63
编程随想被抓好久了吧,只是最近判决 |
66
busier 2023-07-03 16:03:14 +08:00
都本地保存密码了,还有什么可谈的!
养成直接用 Linux Live 的习惯! |
68
ericwoflskin 2023-07-03 16:26:55 +08:00 4
老爷:“你们讨论这么多,以为没有证据我就不能判了?幼稚”
|
69
zhilvyun1 2023-07-03 16:56:37 +08:00
能破解 MAC 的加密吗?能的话 给你们点个赞
|
70
FenixVu 2023-07-03 17:25:40 +08:00
神 tm 不交代开机密码,你知道啥叫躲猫猫么?
|
73
nuk 2023-07-03 18:15:34 +08:00
@churchmice 好奇是什么锅,搜了下只找到在内存搜索密钥的
|
74
fairytale 2023-07-03 18:21:55 +08:00 via Android
@wenhaoy 随便,目的是,如果别人把 bios 设置动了后,比如关了 vtd ,关了 iommu ,开了 opron……,要让 pcr 签名失效。(但不确定各家 bios 哪些地方做了 pcr 签名。但设了密码,那拆电池,一定失效。)
|
75
crackidz 2023-07-03 18:22:34 +08:00
就是 CIA 来了他也是这么搞...
|
76
Eule 2023-07-03 19:33:51 +08:00
veracrypt 有提到内存保护的方案
https://www.veracrypt.fr/en/Unencrypted%20Data%20in%20RAM.html |
77
BBCCBB 2023-07-03 19:35:11 +08:00
IOS 都能破解!
|
79
tuwulin365 2023-07-03 19:45:21 +08:00
@kawaii303 #78 删的是登录密码。都物理接触了,明文硬盘数据还不是随便考。
|
80
suoyita 2023-07-03 20:33:15 +08:00 6
当地公安明明可以选择大记忆恢复术,但是还是选择了通过技术手段来攻破,真的,我哭死
|
81
hellomynameis 2023-07-03 20:48:50 +08:00
@gdcbhtd 编程随想用的是 Linux 啊,而且是 keyfile
|
82
pianozcl 2023-07-03 22:39:38 +08:00
说 mac 破解我是不信的,芯片级别的加密,可以这样说,能破解的人能力要远高于制造 apple 芯片的人
|
83
endy 2023-07-03 22:42:49 +08:00
现在用的 PGP desktop , 不知道安全不
|
84
iridium945 2023-07-03 22:52:34 +08:00 via iPhone
@random1221 21 年抓的
|
85
wenhaoy 2023-07-04 00:22:36 +08:00 via Android
@fairytale 感谢解答,我是 intel nuc 。今天设了 bios admin/user 密码
|
86
ryd994 2023-07-04 01:10:25 +08:00 via Android 2
@gdcbhtd 应该不是他
他反对用 Windows ,建议用 Linux 他反对用 VPN ,建议用 tor 他建议用 keyfile 做磁盘加密 @liantian 几乎所有的软件防护( BIOS 也是软件)在硬件入侵的面前都没用。有一些技术可以应对硬件入侵,比如游戏机的 DRM 。但是一般需要配合专用 CPU 和操作系统。 @zhilvyun1 @luhe mac 也是基于 x86 硬件,同样支持 dma 。pcie 卡一样可以扫内存。没有 intrusion detection 就是没戏。一楼就说了这个公司也提供破解 mac 的服务。新的 Apple silicon 如果用 TPM 的话也是没戏,但是也可能有专门对应的设计。 编程随想就讨论过为什么 Linux 比 mac 更安全 https://program-think.blogspot.com/2017/03/Why-Linux-Is-More-Secure-Than-Windows-and-macOS.html 保护个人隐私,和保护高价值敏感数据,难度天上地下。商业产品有正规的解决方案。消费级产品就别凑热闹了。 最后,数据安全最重要的始终是人。如果你没有良好的安全意识,而是沉溺于对某个硬件或软件的的信任(或者说优越感)。那你是不可能做到数据安全的。 |
87
Nnq 2023-07-04 01:49:37 +08:00
如果我没记错的话,原来工作接触这块儿,这个东西本来就能解开,最后那段明文显示需要拍照获取,因为解锁密钥较长。
|
88
Jirajine 2023-07-04 02:47:05 +08:00
@ryd994 真没什么用,这个人的 bitlocker 需要破解,本身就说明了这个人没犯太严重的事。
在反取证这方面,也就只有 plausible deniability 有那么一丢丢帮助,只要不能隐藏你有密码这件事,你就不可能存在不交出密码的选项,除非你提前销毁了密钥。 |
90
ryd994 2023-07-04 03:14:50 +08:00 via Android
|
91
gggccc44 2023-07-04 03:38:37 +08:00
所以说 fbi 破解不了 iphone 开机密码就是个笑话吧,有人会认为 FBI 不如 tg 一家公司?
|
92
Jirajine 2023-07-04 03:39:35 +08:00
@ryd994 我只是说在这种情况下,TPM/bitlocker 安不安全、有没有后门,都是无关紧要的事情。
数据安全最重要的是明确威胁模型,哪些情况是需要防备的,哪些情况不是。 确实有些情况不需要证据,有足够嫌疑就直接定罪。所以我才说 plausible deniability 只有一丢丢帮助而已,至少它能降低一点嫌疑程度。 或者换一种说法:对于无法隐藏加密存在这件事的加密方案而言,能否被有能力让你交出密码的实体解密根本不重要。 |
94
ryd994 2023-07-04 04:12:23 +08:00 via Android
@gggccc44 其实现在大部分手机的安全性比电脑好。大部分手机是从 bootloader 开始一步步签名,key 写死在 SoC 里。你不 root/越狱的话还真就问题不大。
电脑理论上可以做到这个程度,但是默认没有启用。自己一条条设置太麻烦,而且很容易出错。企业用的是审计过的模板,所有涉密设备都可以追溯。 |
98
Kenshiro 2023-07-04 13:04:25 +08:00
关键字 [快速启动] ,不被拿到 key 才奇怪
|
99
raysonx 2023-07-04 13:51:23 +08:00
没有绝对的安全。在分析信息安全的问题时,一定要先列出来威胁模型是什么,再进行防范。
如果已经有商业公司能“破解”(不管是真的破解还是由于配置不当产生的问题) bitlocker 硬盘加密了,说明类以的方法早就在黑客、黑产圈流传了,我们需要引起重视并寻找应对的方法。 普通人需要担心的是自己的电脑假如被偷、被借、修理、或者无人看管时被坏人盗取信息。至于楼上有人提到能不能防警方取证之类的,这根本不是技术讨论的范围。 |
100
ltq918 2023-07-04 16:56:46 +08:00
取证公司对于知识版权侵权相关的,对云服务器似乎可以直接取证相关目录和文件,然后可以使用该证据发律师函
|