V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
FutureApple
V2EX  ›  Windows

看到了一篇 bitlocker 被警方解密的文章

  •  1
     
  •   FutureApple · 2023-07-03 08:24:50 +08:00 · 21293 次点击
    这是一个创建于 538 天前的主题,其中的信息可能已经有所发展或是发生改变。

    https://mp.weixin.qq.com/s/lLTR0XI6br46lEyaDCzfXA

    同样这家企业还提供 Mac 的 T2 芯片解密和备份解密。 现在破解加密都不是直接破解了,都是通过这种间接利用系统 bug 来破解的。

    109 条回复    2023-12-11 15:19:26 +08:00
    1  2  
    FutureApple
        1
    FutureApple  
    OP
       2023-07-03 08:31:38 +08:00
    近日,我司接到某地市公安的案件技术协助请求,要求协助解密一台笔记本电脑硬盘的数据。该案件从去年开始立案侦查,通过前期排查,已将嫌疑人使用的笔记本电脑(HP Envy X360)进行扣押,该嫌疑人主要通过自己的电脑远程控制境外服务器进行违法活动,然而警方发现嫌疑人有案底,十分狡猾,具有很强的反侦察意识,电脑使用了 BitLocker 加密技术对硬盘进行加密,拒不承认自己与案件相关,不交代电脑的开机密码,案件陷入僵局。

    经过预检发现,硬盘系统分区有 Bitlocker 加密。警方通过多种方法尝试,联系了国内的多家电子数据取证公司,耗费一个多星期到各地寻找破解加密磁盘的方法,结果都无法解密加密磁盘的数据,最后辗转找到我司寻求技术支援。

    完成嫌疑人笔记本电脑的全盘镜像后,尝试使用我司的秘密武器 CSIR-5000 (临机绕密取证设备)对启用 TPM+PIN 保护的 BitLocker 加密的 Windows 10 系统进行破解。该设备采用内存直接访问(DMA)攻击技术,通过将内置的无线网卡替换为专用卡,使用专用软件进行内存扫描,刚开始遇到无法访问内存问题,发现该电脑默认启用了“快速启动“机制造成,经过调试,很快在十多分钟内就成功绕过 Windows 10 系统的锁屏密码,随意输入一个密码进入系统后,运行一个简单的命令行,成功获取到了该 BitLocker 加密磁盘的 48 位的恢复密钥。该绕密取证过程全程进行了录像,确保符合司法要求。

    使用我司的取证神探取证分析软件加载硬盘镜像,输入提取的 48 位 BitLocker 恢复密钥,成功解密了硬盘数据。经过对解密后的数据分析,我们发现嫌疑人有很强的反侦察经验,电脑上安装了反取证软件,经常对计算机痕迹进行擦除。经过我们不懈的努力,最终还是找到了连接服务器的历史记录,根据这些线索,把服务器等其他的线索串连起来,形成了证据链。此外,还在硬盘镜像中发现了 1 个 iPhone 手机备份及 1 个 iPad 备份、两个 iOS 设备的 Lockdown 密钥数据,并解析出了部分有价值的数据。
    recolic
        2
    recolic  
       2023-07-03 08:36:20 +08:00 via Android
    我连夜换用 dm-crypt
    mokiki
        3
    mokiki  
       2023-07-03 08:41:23 +08:00   ❤️ 7
    低情商:Bug
    高情商:法制友好机制
    xmumiffy
        4
    xmumiffy  
       2023-07-03 08:42:09 +08:00 via Android
    开机即解锁确实危险
    czyhd
        5
    czyhd  
       2023-07-03 08:43:23 +08:00
    直接读内存?
    dode
        6
    dode  
       2023-07-03 08:43:30 +08:00 via Android   ❤️ 1
    数据盘单独开加密,不开启自动解密
    cherryas
        7
    cherryas  
       2023-07-03 08:45:30 +08:00
    不会真的有人觉得靠 windows 自带的加密就特别安全了吧.
    ryd994
        8
    ryd994  
       2023-07-03 08:47:51 +08:00 via Android
    这个恐怕是启动盘没加密,然后又启用了自动解密(数据盘默认就是自动解密的)
    只设置了登入密码,没设置 preboot 加密
    解密之后内存里就有密钥数据了

    如果是 preboot 密码,那不知道密码应该是无法打开 TPM 的(除非 TPM 有 bug )

    另外,TPM intrusion detection 就是为了处理这种情况。如果有人开盖,TPM 自动上锁,需要 BIOS 管理员密码才能重置。
    FutureApple
        9
    FutureApple  
    OP
       2023-07-03 08:50:04 +08:00
    @ryd994 bitlocker 只有在启动盘设置了加密的情况下才能自动解密
    rockyzhang
        10
    rockyzhang  
       2023-07-03 08:50:39 +08:00
    应该是通过 PCIe 进去的吧,通过 PCIe 去读写 memory, TPM 也放不了
    xtreme1
        11
    xtreme1  
       2023-07-03 08:51:51 +08:00   ❤️ 2
    这个每季度都能在 V2 看到一次..
    spatxos
        12
    spatxos  
       2023-07-03 08:56:18 +08:00   ❤️ 2
    原来是卖设备的。。。。
    ryd994
        13
    ryd994  
       2023-07-03 08:56:52 +08:00 via Android   ❤️ 1
    @FutureApple 启动盘分 preboot 加密和 boot 之后 pin 解密
    boot 之后才用 pin 解密的话基本就等于没加密
    我自用电脑就是 pin 解密,少输一次密码比较方便,没什么敏感内容

    非 preboot 加密的主要意义是卖二手硬盘时只需要销毁密钥,有助于保护隐私。但是对于敏感数据来说是不够用的。

    公司电脑就是有 preboot+intrusion detection ,一旦开盖电脑就作废,只能用于处理非敏感工作内容。我就见过有人电脑摔了一下,然后就被锁了。
    ryd994
        14
    ryd994  
       2023-07-03 09:00:36 +08:00 via Android   ❤️ 2
    @rockyzhang TPM 确实防不了内存数据读取。但是核心问题是这个密钥在没有 TPM 密码的情况下就不应该出现在内存里。

    注意“十多分钟内就成功绕过 Windows 10 系统的锁屏密码,随意输入一个密码进入系统”其实到这一步就已经不行了。后面用 pcie 卡读密钥只是为了方便后面的取证。

    preboot 加密就是为了应对这个问题。
    churchmice
        15
    churchmice  
       2023-07-03 09:03:29 +08:00 via Android
    @recolic 不好意思,你去搜一下 dm-crypt 锅更大
    TOUJOURSER
        16
    TOUJOURSER  
       2023-07-03 09:06:12 +08:00   ❤️ 3
    有没有三天不登录自动销毁硬盘的工具
    tbc3211
        17
    tbc3211  
       2023-07-03 09:07:13 +08:00
    开源 pcileech 应用实践
    luhe
        18
    luhe  
       2023-07-03 09:25:01 +08:00 via iPhone
    所以 Mac T2 是怎么解密的
    abc0123xyz
        19
    abc0123xyz  
       2023-07-03 09:27:03 +08:00   ❤️ 1
    收藏了,研究刑法收入的时候用
    Tyuans
        20
    Tyuans  
       2023-07-03 09:28:53 +08:00   ❤️ 1
    @cherryas 前段时间甲方有个笔记本应该是原使用者走了,现在有新的使用者,但不知道密码。就找到我的项目经理,然后找到我,说重装系统也可以。我很烦,不想重装,甲方有负责装系统的部门,不找他们让我装,装坏了算谁的。我仔细问才告诉我是密码不知道,也不想去问。我直接拿我 u 盘里的 pe 把 win 密码删了。看完甲方和经理都震惊了,甲方领导还一个劲说太不安全了,难怪要搞国产系统什么的,我甚至怀疑他认为这个是美帝微软故意留得后门…
    dc3365
        21
    dc3365  
       2023-07-03 09:32:13 +08:00
    好家伙
    fairytale
        22
    fairytale  
       2023-07-03 09:34:20 +08:00 via Android   ❤️ 1
    tpm 加密的安全性是有条件的。bios 必须设置密码,secureboot 必须打开,iommu 必须打开。如果 biso 设置有变更(比如清除密码),或者 pcie 硬件有变更(比如 pcie 设备的 oprom 可以藏代码),或者启动引导有变更(比如 patch 过的 Windowsloader ),tpm 的 pcr 签名都会改变,就不自动解密了。 比如我电脑加增加或者移除一个 u.2 的 ssd ,开机就要重新输入超长解密密钥,最后解决方法是,拔掉,开机后再动态插上去。
    mmdsun
        23
    mmdsun  
       2023-07-03 09:35:23 +08:00
    这就是为啥 Win11 要 TPM 2.0 了。
    cslive
        24
    cslive  
       2023-07-03 09:38:01 +08:00
    现在哪有纯解密的,都是找漏洞
    Biggoldfish
        25
    Biggoldfish  
       2023-07-03 09:38:21 +08:00   ❤️ 13
    在天朝的局子里你还有不交出密码的选项?

    https://imgs.xkcd.com/comics/security.png
    iloveayu
        26
    iloveayu  
       2023-07-03 09:43:17 +08:00
    嗨,我是癫佬。
    这是我的取证神器,CSIR 是我的秘密武器。
    取证 5 分钟,镜像 800G 。
    嘘,不要告诉别人哦~
    c2const
        27
    c2const  
       2023-07-03 09:43:43 +08:00   ❤️ 1
    0..单独数据硬盘+VeraCrypt 之类的开源三方加密
    1.不管主力系统是 linux 还是 windows ,如果会相应的驱动开发,可以自己再套一层私有透明加密,虽然不能提高密码学安全性,但能提高逆向难度。
    2.现在硬件性能这么好,虚拟机放加密硬盘里再启动 :)
    fairytale
        28
    fairytale  
       2023-07-03 09:43:47 +08:00 via Android   ❤️ 2
    对了,Windows 还有个内存保护开关,就是很多人吐槽开启了会影响 vmware 使用的那个。但是那个也一定要打开。 [tpm2.0] [bios 密码] [secureboot] [bios 里 vt-d 与 iommu] [Windows 里内存保护] 同时开启,才能保证安全性。
    OwenY
        29
    OwenY  
       2023-07-03 09:48:23 +08:00
    @Tyuans #20 bitlocker 加密之后 PE 看磁盘是锁上的,无法读硬盘也就没办法修改 Windows 密码
    lwjef
        30
    lwjef  
       2023-07-03 09:52:39 +08:00 via iPhone
    @Tyuans #17 应该告诉领导国产系统密码也是随便改😅
    cosmain
        31
    cosmain  
       2023-07-03 09:53:22 +08:00
    @rockyzhang

    “通过将内置的无线网卡替换为专用卡,使用专用软件进行内存扫描”

    应该是的,通过特殊硬件插入 mini pcie 接口,然后通过 pcie 通道读取内存。
    gdcbhtd
        32
    gdcbhtd  
       2023-07-03 09:57:47 +08:00   ❤️ 8
    我怎么看着像编程随想的事件
    liantian
        33
    liantian  
       2023-07-03 09:58:51 +08:00 via iPhone
    @Biggoldfish 都你这么说,取证公司也别做生意了…
    ysc3839
        34
    ysc3839  
       2023-07-03 09:58:56 +08:00 via Android
    BitLocker 如果没使用外部密码,又没开启 Windows 的内核隔离,是有安全漏洞的。微软之前自己就出过一个演示视频,利用雷电接口的 DMA 功能就能绕过锁屏密码,因为 BitLocker 没有外部密码自动解锁,就等于被破解了。
    总而言之这个问题根本原因是微软没有像 Android iOS macOS 那样,把 BitLocker 解锁密码和用户密码绑定。一个系统不依赖外部密码,而是使用内部密码自解锁的话是不能保证安全的。
    pkoukk
        35
    pkoukk  
       2023-07-03 10:00:56 +08:00
    @Biggoldfish #25 看你所在的地方了。要是当地案子多,不缺你这一个 KPI ,那应该懒得给你上太多手段
    totoro625
        36
    totoro625  
       2023-07-03 10:05:53 +08:00
    绕过 Windows PIN 码之后就完蛋了,跟 BitLocker 加密没任何关系了
    allgy
        37
    allgy  
       2023-07-03 10:12:55 +08:00
    说了一堆,还是得用 mac 才行
    liantian
        38
    liantian  
       2023-07-03 10:14:49 +08:00 via iPhone
    @ysc3839 好奇一个问题…

    我看我的电脑,dell 4230 ,雷电安全性默认开启的。

    但是是不是 pcie 的默认安全性比雷电差。

    我看类似的事,都是从网卡下手的,或者说信任了 intel 网卡,是不是嗅探设备模拟成 intel 网卡就行了。
    loryyang
        39
    loryyang  
       2023-07-03 10:18:34 +08:00
    有点意思
    seeme
        40
    seeme  
       2023-07-03 10:21:01 +08:00
    christin
        41
    christin  
       2023-07-03 10:21:28 +08:00   ❤️ 2
    看了一下定价,是真便宜啊。原来个人的信息这么不值钱。


    3. 你们怎么收费呢?
    答:我们严格按照福建省物价局、福建省司法厅制定的司法鉴定收费标(闽价通告〔 2018 〕 32 号)准进行收费,上述文件没有覆盖的项目及疑难情况协商定价。

    电子数据搜索、提取 12 元/gb
    电子数据恢复 15 元/gb
    手机机身数据获取 1000/个
    密码破解 1500/个

    source:
    1. http://www.binarydata.cn/sfjd
    2. https://sft.fujian.gov.cn/sfyw/sfjd/tzl_5326/201810/t20181008_4530068.htm
    datou
        42
    datou  
       2023-07-03 10:30:18 +08:00
    最新版 win11 开启了内核隔离+安全启动+数据加密+CMOS 密码基本就安全了吧?
    Tilie
        43
    Tilie  
       2023-07-03 10:41:35 +08:00   ❤️ 1
    @TOUJOURSER #16 自己做个三天未登录物理烧毁硬盘的算了
    proxytoworld
        44
    proxytoworld  
       2023-07-03 10:44:27 +08:00
    @gdcbhtd 有案底明显不是
    shalingye
        45
    shalingye  
       2023-07-03 11:00:42 +08:00 via Android
    我还以为是 bitlocker 本身被破解了,有被吓到。
    ysc3839
        46
    ysc3839  
       2023-07-03 11:24:14 +08:00 via Android
    @liantian 具体情况说不清,反正按微软的态度,是必须开启内核隔离才能保证安全。
    另外真的有这么高的安全需求,更建议设置个独立的 BitLocker 解锁密码。
    424778940
        47
    424778940  
       2023-07-03 11:44:02 +08:00   ❤️ 1
    虽然是旧闻 但我还是看完了
    整体并不是 bitlocker 加密机制破解, 而是在不严格甚至是错误的配置下被绕过
    说实话现在消费级笔记本的 tpm 意义不大, 有的可能实现上不安全, 有的可能芯片本身实现是安全的但电路不安全, 有的可能前面都好了但软件上不安全, 所以不如不用
    我目前用的 bitlocker 都是用 password protector 的, 这个是不使用 tpm 的, 没有用户密码是无法解密的
    HelloAmadeus
        48
    HelloAmadeus  
       2023-07-03 11:47:10 +08:00
    还得是 truecrypt 啊,之前就声讨过 tpm+bitlocker 对用户安全并没有提升多少
    yhm2046
        49
    yhm2046  
       2023-07-03 11:49:32 +08:00
    记得多年前看到新闻美国 fbi 破解不了 iphone 开机密码找苹果公司被拒绝了,现在连 tg 的安防公司都能随便破解了?
    chinni
        50
    chinni  
       2023-07-03 11:55:33 +08:00 via Android
    我系统盘不加密…别的分区 yubikey 里的证书加密…应该没啥问题
    fairytale
        51
    fairytale  
       2023-07-03 12:00:08 +08:00 via Android
    @HelloAmadeus 微软有文档介绍 Bitlocker 的正确使用方法。锁再结实,为了方便把钥匙放门框上,也没用呀。
    x86
        52
    x86  
       2023-07-03 12:17:08 +08:00   ❤️ 4
    在网上嘴巴都是硬的,真进去了怕是交代的比谁都快。
    mooyo
        53
    mooyo  
       2023-07-03 12:23:06 +08:00
    商务本有物理防侵入功能,这加密感觉只加了一半。
    NoOneNoBody
        54
    NoOneNoBody  
       2023-07-03 13:30:18 +08:00   ❤️ 2
    我觉得我跟他们的区别就是“不交代电脑的开机密码”,我达不到这种境界,🐶
    zlfoxy
        55
    zlfoxy  
       2023-07-03 14:10:57 +08:00
    楼主所说的这个公众号是厦门的一家取证软件公司的。

    其实不是破解了加密算法。但是行文上干好像是干了一件很牛逼的事。
    主要还是为了推销自己的软件吧。
    amirobotics
        56
    amirobotics  
       2023-07-03 14:16:05 +08:00
    要方便,所以的安全措施都是自我安慰。
    TroyChen
        57
    TroyChen  
       2023-07-03 14:17:02 +08:00
    这个内容见过了,早有 V 友发过
    danhahaha
        58
    danhahaha  
       2023-07-03 14:24:53 +08:00   ❤️ 1
    其实应该有一个销毁密码,只要输入这个密码系统直接销毁所有数据,万一自己被逼迫要密码时候就给他这个
    buffzty
        59
    buffzty  
       2023-07-03 14:35:35 +08:00
    @danhahaha 我小时候看个电影 有个小孩黑客设置了电脑移动位置开机就直接销毁数据,就为了防止被 jc 拿走调查
    tril
        60
    tril  
       2023-07-03 14:46:29 +08:00
    如果不用 TPM 加密,而是使用密码+备份密钥的方式加密的 BitLocker 是不是就没法这么破解了?开机不会自动解锁,而是先要求输入 BitLocker 密码再输入锁屏密码。
    lB2cGz9OQ1agw7XK
        61
    lB2cGz9OQ1agw7XK  
       2023-07-03 14:47:57 +08:00
    都进去了,还到你不给密码了吗!!!
    wenhaoy
        62
    wenhaoy  
       2023-07-03 14:52:43 +08:00 via Android
    @fairytale bios 密码指的是 admin 密码吗?还是 user 密码?
    iridium945
        63
    iridium945  
       2023-07-03 14:59:50 +08:00
    @gdcbhtd #32 我一开始也以为是,后面一看这篇文章发布时间是 2020 年 7 月,那肯定不是他了。
    redsun368573607
        64
    redsun368573607  
       2023-07-03 15:15:34 +08:00 via Android
    学编程随想,进去前把密钥毁了,自己都进不去
    random1221
        65
    random1221  
       2023-07-03 15:33:07 +08:00
    @iridium945 #63
    编程随想被抓好久了吧,只是最近判决
    busier
        66
    busier  
       2023-07-03 16:03:14 +08:00
    都本地保存密码了,还有什么可谈的!

    养成直接用 Linux Live 的习惯!
    busier
        67
    busier  
       2023-07-03 16:12:41 +08:00
    @zlfoxy 难道是那个在每个国产 Android 手机都植入“MFSocket”取证终端的“美亚柏科”公司 :)
    ericwoflskin
        68
    ericwoflskin  
       2023-07-03 16:26:55 +08:00   ❤️ 4
    老爷:“你们讨论这么多,以为没有证据我就不能判了?幼稚”
    zhilvyun1
        69
    zhilvyun1  
       2023-07-03 16:56:37 +08:00
    能破解 MAC 的加密吗?能的话 给你们点个赞
    FenixVu
        70
    FenixVu  
       2023-07-03 17:25:40 +08:00
    神 tm 不交代开机密码,你知道啥叫躲猫猫么?
    silencil
        71
    silencil  
       2023-07-03 17:52:45 +08:00
    @x86 还真不能交代,之前看 v 站好像有个帖子就是老实交代反倒比不交代的倒了霉,出事了还是尽快想办法联系律师才对。
    silencil
        72
    silencil  
       2023-07-03 17:54:45 +08:00
    @danhahaha 还得是物理销毁,防止找回
    nuk
        73
    nuk  
       2023-07-03 18:15:34 +08:00
    @churchmice 好奇是什么锅,搜了下只找到在内存搜索密钥的
    fairytale
        74
    fairytale  
       2023-07-03 18:21:55 +08:00 via Android
    @wenhaoy 随便,目的是,如果别人把 bios 设置动了后,比如关了 vtd ,关了 iommu ,开了 opron……,要让 pcr 签名失效。(但不确定各家 bios 哪些地方做了 pcr 签名。但设了密码,那拆电池,一定失效。)
    crackidz
        75
    crackidz  
       2023-07-03 18:22:34 +08:00
    就是 CIA 来了他也是这么搞...
    Eule
        76
    Eule  
       2023-07-03 19:33:51 +08:00
    BBCCBB
        77
    BBCCBB  
       2023-07-03 19:35:11 +08:00
    IOS 都能破解!
    kawaii303
        78
    kawaii303  
       2023-07-03 19:35:29 +08:00
    @Tyuans #20 通过 PE 可以删除原来的 win 密码吗?那 win 密码岂不是形同虚设了
    tuwulin365
        79
    tuwulin365  
       2023-07-03 19:45:21 +08:00
    @kawaii303 #78 删的是登录密码。都物理接触了,明文硬盘数据还不是随便考。
    suoyita
        80
    suoyita  
       2023-07-03 20:33:15 +08:00   ❤️ 6
    当地公安明明可以选择大记忆恢复术,但是还是选择了通过技术手段来攻破,真的,我哭死
    hellomynameis
        81
    hellomynameis  
       2023-07-03 20:48:50 +08:00
    @gdcbhtd 编程随想用的是 Linux 啊,而且是 keyfile
    pianozcl
        82
    pianozcl  
       2023-07-03 22:39:38 +08:00
    说 mac 破解我是不信的,芯片级别的加密,可以这样说,能破解的人能力要远高于制造 apple 芯片的人
    endy
        83
    endy  
       2023-07-03 22:42:49 +08:00
    现在用的 PGP desktop , 不知道安全不
    iridium945
        84
    iridium945  
       2023-07-03 22:52:34 +08:00 via iPhone
    @random1221 21 年抓的
    wenhaoy
        85
    wenhaoy  
       2023-07-04 00:22:36 +08:00 via Android
    @fairytale 感谢解答,我是 intel nuc 。今天设了 bios admin/user 密码
    ryd994
        86
    ryd994  
       2023-07-04 01:10:25 +08:00 via Android   ❤️ 2
    @gdcbhtd 应该不是他
    他反对用 Windows ,建议用 Linux
    他反对用 VPN ,建议用 tor
    他建议用 keyfile 做磁盘加密

    @liantian 几乎所有的软件防护( BIOS 也是软件)在硬件入侵的面前都没用。有一些技术可以应对硬件入侵,比如游戏机的 DRM 。但是一般需要配合专用 CPU 和操作系统。

    @zhilvyun1
    @luhe
    mac 也是基于 x86 硬件,同样支持 dma 。pcie 卡一样可以扫内存。没有 intrusion detection 就是没戏。一楼就说了这个公司也提供破解 mac 的服务。新的 Apple silicon 如果用 TPM 的话也是没戏,但是也可能有专门对应的设计。

    编程随想就讨论过为什么 Linux 比 mac 更安全
    https://program-think.blogspot.com/2017/03/Why-Linux-Is-More-Secure-Than-Windows-and-macOS.html

    保护个人隐私,和保护高价值敏感数据,难度天上地下。商业产品有正规的解决方案。消费级产品就别凑热闹了。

    最后,数据安全最重要的始终是人。如果你没有良好的安全意识,而是沉溺于对某个硬件或软件的的信任(或者说优越感)。那你是不可能做到数据安全的。
    Nnq
        87
    Nnq  
       2023-07-04 01:49:37 +08:00
    如果我没记错的话,原来工作接触这块儿,这个东西本来就能解开,最后那段明文显示需要拍照获取,因为解锁密钥较长。
    Jirajine
        88
    Jirajine  
       2023-07-04 02:47:05 +08:00
    @ryd994 真没什么用,这个人的 bitlocker 需要破解,本身就说明了这个人没犯太严重的事。
    在反取证这方面,也就只有 plausible deniability 有那么一丢丢帮助,只要不能隐藏你有密码这件事,你就不可能存在不交出密码的选项,除非你提前销毁了密钥。
    Jirajine
        89
    Jirajine  
       2023-07-04 02:48:12 +08:00
    @ryd994 TPM/bitlocker/dm-crypt 这些方案,他们的威胁模型就不包括反取证这种情况。
    ryd994
        90
    ryd994  
       2023-07-04 03:14:50 +08:00 via Android
    @Jirajine 如果是你这个逻辑的话那什么都没用,因为某些情况并不需要证据
    我只是来讨论技术的,我也没有否认社工的作用
    5 块钱的扳手基本也可以归类到社工的范围里
    gggccc44
        91
    gggccc44  
       2023-07-04 03:38:37 +08:00
    所以说 fbi 破解不了 iphone 开机密码就是个笑话吧,有人会认为 FBI 不如 tg 一家公司?
    Jirajine
        92
    Jirajine  
       2023-07-04 03:39:35 +08:00
    @ryd994 我只是说在这种情况下,TPM/bitlocker 安不安全、有没有后门,都是无关紧要的事情。
    数据安全最重要的是明确威胁模型,哪些情况是需要防备的,哪些情况不是。
    确实有些情况不需要证据,有足够嫌疑就直接定罪。所以我才说 plausible deniability 只有一丢丢帮助而已,至少它能降低一点嫌疑程度。

    或者换一种说法:对于无法隐藏加密存在这件事的加密方案而言,能否被有能力让你交出密码的实体解密根本不重要。
    ryd994
        93
    ryd994  
       2023-07-04 03:49:53 +08:00 via Android
    @Jirajine 都能强迫你交出密码的人,还需要证据?
    在你的威胁模型里,就不包括需要取证的情况
    ryd994
        94
    ryd994  
       2023-07-04 04:12:23 +08:00 via Android
    @gggccc44 其实现在大部分手机的安全性比电脑好。大部分手机是从 bootloader 开始一步步签名,key 写死在 SoC 里。你不 root/越狱的话还真就问题不大。

    电脑理论上可以做到这个程度,但是默认没有启用。自己一条条设置太麻烦,而且很容易出错。企业用的是审计过的模板,所有涉密设备都可以追溯。
    suhaocong
        95
    suhaocong  
       2023-07-04 04:23:50 +08:00
    @BBCCBB 数据在贵州
    BBCCBB
        96
    BBCCBB  
       2023-07-04 09:42:06 +08:00
    @suhaocong 我是说国外啊.. 之前美国抓了一个罪犯, 苹果不给开, 找以色列的公司破解的..
    Dipous
        97
    Dipous  
       2023-07-04 10:16:46 +08:00
    @gdcbhtd 文章里面图片被取证电脑桌面有 QQ ,编程随想不会干这种事情吧
    Kenshiro
        98
    Kenshiro  
       2023-07-04 13:04:25 +08:00
    关键字 [快速启动] ,不被拿到 key 才奇怪
    raysonx
        99
    raysonx  
       2023-07-04 13:51:23 +08:00
    没有绝对的安全。在分析信息安全的问题时,一定要先列出来威胁模型是什么,再进行防范。
    如果已经有商业公司能“破解”(不管是真的破解还是由于配置不当产生的问题) bitlocker 硬盘加密了,说明类以的方法早就在黑客、黑产圈流传了,我们需要引起重视并寻找应对的方法。

    普通人需要担心的是自己的电脑假如被偷、被借、修理、或者无人看管时被坏人盗取信息。至于楼上有人提到能不能防警方取证之类的,这根本不是技术讨论的范围。
    ltq918
        100
    ltq918  
       2023-07-04 16:56:46 +08:00
    取证公司对于知识版权侵权相关的,对云服务器似乎可以直接取证相关目录和文件,然后可以使用该证据发律师函
    1  2  
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   929 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 29ms · UTC 22:41 · PVG 06:41 · LAX 14:41 · JFK 17:41
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.