本文由小茆同学编译,陈裕铭、Roe校对,转载请注明。
备份是保存数据的主要方式。一般来说,智能设备的备份由操作系统自动处理。Windows缺乏权威的备份应用程序,不过市面上有许多第三方工具可用,然而其中一些具有强加密功能。如果这些强加密密码可被破解,那么这些备份将会为调查取证提供非常有价值的证据。
移动端备份
对于智能手机和平板电脑等移动端设备,备份通常不是问题。Apple用户享受全自动且高度全面的iCloud备份的便利(可选择通过iTunes或 Finder创建本地加密备份)。Google Android同样也提供备份,但Google的解决方案主要依赖于同步数据而不是备份。自Android 9起,Google备份都是使用用户密码进行端到端加密。另一方面,Apple并未对iOS云备份采用端到端加密,但该技术被用来保护某些类型的同步数据(例如用户密码)。
在本地备份方面,Apple提供了利用iTunes应用程序(或现代版macOS中的Finder)以创建普通备份或受密码保护的备份的方式。与未加密的备份相比,受密码保护的备份包含更多可用的数据信息,但iOS备份的加密性非常强。即使使用高性能的GPU,破解本地iOS备份密码的速度也只有每秒10到50个密码。虽然可以重置备份密码,但这需要访问设备本身,并且必须输入其屏幕锁定密码。如果只有备份,只能无可奈何。
计算机备份
macOS计算机拥有时间机器(Time Machine)这个非常出色的备份系统。 时间机器备份可以使用密码进行保护并很难被破解。
Windows操作系统缺乏权威的内置备份工具。备份和还原 (Windows 7) 的功能受到严重限制,而且根本不支持加密(如果安全性很重要,Microsoft建议将备份保存到BitLocker加密的磁盘上)。由于缺乏内置备份工具,许多第三方开发人员发布了自己的Windows备份工具。由于种类众多,可能需要花费一定时间找到最合适的一款。
加密备份:解密
如上所述,即使使用高端GPU来加速密码破解过程,暴力破解方法也不足以破解这些备份。可尝试针对用户“人为因素”的方式来增加密码被破解的机率。“人为因素”包括使用基于已知密码的目标字典、基于泄露密码的字典、自动突变等智能攻击。
同时,可以尝试从其Google或iCloud帐户、macOS或iOS钥匙串或用户的Microsoft 帐户中提取用户密码。(用户现有的密码会提示其可能使用的字符组)
总结
备份是数字证据的宝贵来源。备份通常受密码保护;即使使用现有先进的配套硬件,强大的加密方法也会使破解速度变慢。访问加密数字证据需要结合使用硬件加速和针对人为因素的智能攻击。
原文链接:
https://blog.elcomsoft.com/2021/12/digital-evidence-in-encrypted-backups/
原文始发于微信公众号(数据安全与取证):加密备份中的数字证据
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论