取证供应商不愿说的那些事儿(二)
2023-8-18 11:6:46 Author: mp.weixin.qq.com(查看原文) 阅读量:5 收藏

本文由小茆同学编译,由陈裕铭、Roe校对,转载请注明。

近年来电子取证和事件响应(DFIR)领域不断面临新的挑战,全球供应商一直在努力简化和提升该领域专家的工作效率。不过有些事情你可能不太了解(或者从未注意过),我们在这个系列的第一部分中进行了讨论。今天,我们将讨论一些真实案例。

"黄色领骑衫"

黄色领骑衫来源于环法自行车比赛(Tour of France),这是欧洲乃至世界范围影响最广、规模最大、比赛水平最高的自行车比赛。总成绩领先的选手穿黄色领骑衫,他能让总成绩领先者在众多的比赛选手中被人识别出来。

一个惊人的现象是许多供应商流行自封领导者,他们的新闻稿中经常使用夸大的头衔。几乎每家公司都自称是数字取证和情报解决方案领域的“全球领导者”或“行业领先供应商”。以下是来自不同供应商新闻稿的真实引述:

公司A,数字情报解决方案的全球领导者...

公司B,移动设备调查的取证技术的全球领导者...

公司C是数字取证技术的全球领导者...

公司D,执法数字取证的全球领导者...

公司E,数字取证调查技术的行业领先供应商...

公司F是取证技术的世界领导者...

公司G是数字取证软件的全球领导者。

公司H是移动设备数字取证的领先供应商。

保密协议(NDA)

另一个耐人寻味的方面是围绕着某些产品的保密性。一些供应商要求客户签署保密协议,禁止讨论关于其产品功能等敏感话题。

禁止讨论通常受保密协议(NDA)保护的敏感话题,如产品的功能。

你能想象工具的功能和特性被NDA保护起来吗?这种限制背后的原因可能各不相同。其中一个动机可能是希望隐藏漏洞。曾有软件供应商透露,广泛披露漏洞会导致严重的反响,促使苹果公司限制了某些取证功能。另一个原因可能是担心竞争对手获得有价值的信息,从而导致创意或优势被窃取。以下是一个软件供应商的评论:

在一些案例中,这种广泛的公开披露引发了严重的后果,并引起了苹果公司方面的回应,直接导致了取证社区在披露之前拥有的功能不幸被关闭。

然而,这些保密协议背后的真正动机可能有所不同。供应商主要关注销售许可证,最好是通过长期合同,使客户最终习惯于所施加的限制。在我们看来,“因为在该领域可供选择的工具有限,所以他们会习惯的”这种方法几乎是欺骗性的。

无论何种原因,完整的产品规格,包括支持设备的详细列表,完整提取和恢复方法以及任何限制,通常被供应商扣留。你只能得到一些营销描述,比如“高级策略1”或“暴力破解”,不会提及任何具体的要求或限制。在某些情况下,即使获得了许可证,客户仍然可能错失关键信息,除非他们参加可能比许可证本身更昂贵的培训课程。

速度需求

在破解密码方面,透明度的缺乏变得更加明显。大多数供应商避免公开披露他们的工具破解密码的速度。相反,他们使用诸如“暴力破解”,“超音速暴力破解”等术语。唯一提供的数字通常以比较的方式呈现,例如“6位密码24小时内破解(其他供应商大约需要25年)”或“6个月内暴力破解6位数密码”。

显然,获取关于破解密码速度的准确和全面的信息非常具有挑战性。“超音速”暴力破解略高于5000APD(Attempts Per Day);虽然大多数其他供应商根本无法做到这个速度,但这绝对不能被称为“超音速”。

文字游戏

越大越好!在产品描述中,你可能会看到这样的文本:

X.Y版本支持超过N个设备型号,超过M个应用程序版本和P个云服务。

这些惊人的数字达到几万个。然而,仔细观察后发现,所谓的“不同”设备型号实际上是几乎相同的型号。夸大的数字包括了每个变体,如内存容量或颜色(它们确实有不同的型号标识符)。

对于支持的应用程序数量,情况更加复杂,每个发布的版本都被计算在内,即使它们的数据格式保持不变。云服务也是如此,例如,一些制造商从一个苹果iCloud服务中计算出十几个“不同”的服务,将每个数据类别(如联系人或日历)视为单独的服务。

当涉及到物证时,情况变得更加有趣。例如,在其中一款产品中查看我的iPhone备份内容时,我发现了大约7,000个Apple Wallet物证:

当我仔细检查它们时,计数器显示的数字要低得多,但即使在那里,数据也被严重夸大了(实际记录数少于300条):

同样的方法常常被应用于其他应用程序的数据上。绝大部分数据和文件,无论多么无用,都被视为“物证”。

这种夸张极大地阻碍了客户正确评估是否已提取和分析了所有数据的能力。通过比较不同程序的结果来验证结果变得更加困难。一个产品在某一类别中显示7,120个“物证”,一个产品可能显示两千个,而另一个产品仅显示288个(基于实际记录数)。由于这些“夸大”,评估哪个产品的表现更准确几乎是不可能的。

独一无二

我们都喜欢苹果公司的介绍,“惊人的”,“令人兴奋的”,“不可思议的”等等。但这样的公司只有苹果一个。

在竞争激烈的数字取证领域,供应商不断努力处于前沿,声称创新并首次引入突破性的功能。然而,现实并不总是与这些供应商的声称相一致。在社交媒体平台上,如Twitter和LinkedIn,我们经常看到矛盾的情况,其中一家公司宣称拥有一项据说是革命性的新功能,然后另一家公司声称他们在多年前就已经实施了该功能。这可能导致可疑的声明和试图重新定义创新以适应营销叙事的尝试。

一家公司公开声称他们是“云取证”的发明者,但是iCloud获取软件在10多年前就已经发布,市场总监回答说,“是的,我知道,但是我们支持更多的云源,所以我们的软件无论如何都值得称为‘第一’”。

另一家公司决定宣传他们是第二家实施某个功能的公司。那又怎样呢?这意味着潜在客户首先应该尝试声称自己是第一家的公司的解决方案,如果出于某种原因他们不喜欢,再选择第二家公司的解决方案吗?

创新和限制

有时,供应商在新闻稿中夸大了他们产品的功能,却忽略了关键的限制。有一家移动取证公司在2017年发布的新闻稿,大胆宣称他们“克服了Android设备上的数据加密”,并且“获得了对完整用户数据的直接访问,即使数据先前已被删除”,使得他们的工具成为“Android设备的最完整和最新的密码恢复和解密解决方案”。然而,经过仔细检查,很明显这些声明只适用于来自单个制造商的特定智能手机型号,并且具有一定限制。虽然这确实是一个强大的功能,但它没有达到新闻稿中承诺的高度。

一般来说,营销材料自然倾向于淡化或完全省略限制。有时,产品手册中可能包含详细说明某些条件的小字条款,但要找到完整的支持型号、操作系统和应用程序版本以及其他关键细节可能是一项艰巨的任务。

回到"创新",我最喜欢的是暗黑模式支持。毫无疑问,没有取证调查专家可以没有它。

在DFIR领域,真正的创新寥寥无几。其中一些例子包括MSAB的应用程序降级提取方法和checkm8漏洞利用,尽管没有归属于特定的取证调查供应商,但产生了重大影响。一些供应商可能在其高级版本中提供惊人的功能,但他们很少披露具体细节。

“终止”许可证

取证调查软件的许可条款通常是不明确的,这使得用户处于不确定状态。当许可证过期时,软件可能完全停止运行或严重限制其功能,强制用户进入只读模式或阻止他们保存报告。及时续订许可证可能具有挑战性,否则可能导致不利后果。此外,据报道,一些供应商保留在特定情况下终止许可证的权利,例如涉嫌非法使用或遵守法庭命令或法律。

该公司产品的用户协议中提到了 "禁用代码",并声称如果公司认为客户非法使用其设备,或遵守法院命令或法律,则公司保留远程关闭其设备的权利。

然而,消息来源表明,“非法使用设备”和“法律声明”并不是导致许可证终止的唯一因素。

关于试用版,请注意,试用版通常非常有限。以下是一个例子:

爱它,就放它自由

大多取证调查产品都在很大程度上依赖于社区开发和维护的开源代码。尽管这通常是可接受的,但取证调查供应商经常不承认。他们对GPLv3项目的贡献,比如与checkm8相关的项目,很少被供应商所承认,社区工作得不到认可令人担忧。这方面的一个很好的例子是由各种供应商开发的许多基于checkm8的提取工具。巧合的是,大多数取证调查供应商都标榜与checkm8提取方法的兼容性与checkra1n越狱相同。

营销至上

上述提到的一切绝不会削弱我们所讨论的取证调查产品的优点。它们都具备解锁、提取和分析数字证据所需的功能。它们的速度和易用性令人惊叹(当然,还有改进的空间)。

问题在于,市场营销和销售明显优先于研发。为了留住客户,制造商开始表现出不太诚实的一面,隐瞒缺陷及局限性(这是不可避免的),同时大幅夸大其功能和能力。这种“竞争”对取证行业绝对是有害的。

我们还没有提到的是漏洞和问题。不幸的是,其中一些漏洞和问题在数月乃至数年后仍未得到解决。制造商利用他们在某些市场上的垄断地位以及用户已经习惯了他们的解决方案的事实,从而迫使用户很难转向其他替代品。

总结

我想要告诉你们的是,关键需要明白,没有一个单一的软件解决方案可以完全满足DFIR领域的多样化需求。仅仅依靠宣传和营销资料是不明智的,核实和比较供应商说法真实性至关重要。如果一个供应商拒绝在达成交易前披露关键信息,则应该对其透明度和可靠性产生怀疑。真相在营销的外表之外,必须深入挖掘以确真实效果。

参考链接:

https://blog.elcomsoft.com/2023/06/what-forensic-vendors-dont-like-to-tell-their-customers-part-2/


文章来源: https://mp.weixin.qq.com/s?__biz=MzIyNzU0NjIyMg==&mid=2247487883&idx=1&sn=0313ca872a9a655b6363bc8f084bef3d&chksm=e85ed48adf295d9c9884bf9074b88bf456b55474c33fc83ae1c0556804e0a38ea8d86488b2fd&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh