Vinnaren i pepparkakshustävlingen!
  1. Dator och IT
  2. IT-säkerhet

Stora tråden om polisbeslag och IT-forensik [/Mod]

Svara
2024-02-03, 07:32
  #1933
Lamron
Avstängd
Lamrons avatar
Citat:
Ursprungligen postat av Kip.Kinkel
På vilket sätt har en hackad server INTE att gör med IT-forensik? Kom igen, du gör bort dig totalt.

Jasså? Har dom hackat servern så har dom ju tillgång till all data redan. Det har ingenting med forensik att göra.
__________________
Senast redigerad av Lamron 2024-02-03 kl. 07:37.
Citera
2024-02-03, 07:40
  #1934
Kip.Kinkel
Medlem
Kip.Kinkels avatar
Citat:
Ursprungligen postat av Lamron
Jasså? Har dom hackat servern så har dom ju tillgång till all data redan. Det har ingenting med forensik att göra.

Hur menar du då polisen skulle säkra bevis från ett hackat system? Du är helt urspårad. Det sista jag någonsin skriver till dig.
Citera
2024-02-03, 08:02
  #1935
Lamron
Avstängd
Lamrons avatar
Angående iPhone. Det har funnits frågor om det..

Kod: 
The mystery and the CVE-2023-38606 vulnerability

What we want to discuss is related to the vulnerability that has been mitigated as CVE-2023-38606. Recent iPhone models have additional hardware-based security protection for sensitive regions of the kernel memory. This protection prevents attackers from obtaining full control over the device if they can read and write kernel memory, as achieved in this attack by exploiting CVE-2023-32434. We discovered that to bypass this hardware-based security protection, the attackers used another hardware feature of Apple-designed SoCs.

If we try to describe this feature and how the attackers took advantage of it, it all comes down to this: they are able to write data to a certain physical address while bypassing the hardware-based memory protection by writing the data, destination address, and data hash to unknown hardware registers of the chip unused by the firmware.

Our guess is that this unknown hardware feature was most likely intended to be used for debugging or testing purposes by Apple engineers or the factory, or that it was included by mistake. Because this feature is not used by the firmware, we have no idea how attackers would know how to use it.

We are publishing the technical details, so that other iOS security researchers can confirm our findings and come up with possible explanations of how the attackers learned about this hardware feature.

Vem var det som skrev att den som skrev om kernel exploit var efterbliven och frågade sig, kan det inte vara en kernel exploit på förra sidan? trollet svarar: "är du efterbliven"? Eh? Du ställer frågor som om att det finns svar för den som frågar frågan att ställa, den frågade ju om det inte KUNDE vara så, hur fan skulle han kunna veta det då? Troll!

Den som frågade om just det: Kan det vara så att man lär sig med Tamarin? Mja, kanske? Det gäller att hänga med.

https://github.com/stacksmashing/tamarin-c - Jo, det är klart att dom kan köra en kernel exploit bara. Det är ju bara frågan om rätt man på rätt plats. Men "bara" ?

Inte omöjligt väl?

Kod: 
I don't fully understand how it happened, perhaps some part of you imprinted on to me.
Something overwritten or copied. It is at this point irrelevant.
What matters is that whatever happened, happened for a reason.

Ja, man vet inte alltid svaren som efterfrågas i tråden, saker sker och ibland vet man inte varför det sker. Men här är en writedown.

https://github.com/felix-pb/kfd/blob...teups/smith.md

GrapheneOS har nyss gjort en summurize: https://www.bleepingcomputer.com/new...ware-exploits/

Mja mja mja...

Kod: 
The developers touch on the topic of PIN/password security and its relation to the device’s encryption and security systems, as these authentication methods are used as keys to encrypt device data.

Secure element throttling is vital for securing short PINs and passphrases against stealthy brute forcing that could unlock not just the screen but also the secure enclave on the device’s chip.

"Could unlock"? ... Det betyder ju att dom inte har låst upp den, utan dom tror att den kan låsa upp enheten. Det är bra, det är ju inga konstiga saker de jag tar upp direkt..

stealthy brute forcing - Nope.

Allt där vet jag hur det fungerar, det är bara det att jag skriver saker på mitt sätt. Trollet sa ju att kompetensen inte finns på flashback till den andra användaren? Tydligen gör den det, bara att den inte skriver som hen vill att det skall stå?

Citat:
as these authentication methods are used as keys to encrypt device data.

Exakt, det är ju inte konstigt. Kan man inte prova låsa upp telefonen med API som jag har skrivit? Teorier?

Detta är saker dom senaste 2 månaderna. Högst aktuellt.
__________________
Senast redigerad av Lamron 2024-02-03 kl. 08:38.
Citera
2024-02-03, 08:05
  #1936
Lamron
Avstängd
Lamrons avatar
Citat:
Ursprungligen postat av Kip.Kinkel
Hur menar du då polisen skulle säkra bevis från ett hackat system? Du är helt urspårad. Det sista jag någonsin skriver till dig.

Hur dom skulle säkra bevis över ett hackat system? What!

Ja, dom kan ju köra dd direkt på /dev/ filerna till sin egen server? Done? Bevisen säkrade. Svårt? Vill dom kan dom väl besöka valfritt datacenter och gå in via kvm panelerna och göra detta på andra sidan? Ja sakerna, behöver inte "hackas" direkt?

Vill dom, kan dom väl placera bakdörrar bäst dom vill, det är inte forensik. Har dom gjort det, hackat systemet som du menar på? Mja, det kan man ju göra, right? Då kan man ju placera bakdörrar och läsa av /dev/tty och /dev/pty i realtid. Skrev jag inte det för några inlägg sen? Du sa ju att jag var helt tappad?... Då kan dom ju läsa av varje gång du skriver in din key och klona den till en binär fil, med mkfifo och voila! Dom kan låsa upp din dator... Jag frågade ju dig hur du skriver in din nyckel? Du svarade inte på frågan, du sa att det var orelevant? Det är det inte alls det är så jag hade klonat din key, för att låsa upp den!? Nu är operationen klar.

Du hade raderat ".bash_history" haha och alla loggar? Du säger att jag är helt tappad och är allmänt dum i huvudet.

Nyckeln sparas inte ens i ".bash_history" - Eh?

Har du kollat /proc/pid/cmd ... När du skriver in en nyckel? Eller "ps -A"? Nope. Det kanske syns där? Vem vet? Har du provat köra lsof -c cryptsetup när du skriver in lösenordet? Nej, det har du inte du har inte ens tänkt på dom 3 mest OBVIOUSLY sakerna som finns att kolla ens. Finns det inte där? Finns typ 100 saker till man kan göra. Skriver du inte till mig? Nähä, då får du inte svar heller eller tips på vad man kan göra.. Tråkigt för dig?

Harre gud..

Jag måste bara säga hur är du funtad? Det går ju så enkelt att köra netcat direkt på din "bash" binary fil och sedan redirecta den ut till en annan server så ser dom ju varenda liten sak du gör i realtid? Detta är inte forensik, dettta är hur unix/linux fungerar. Har du provat kommandot "script" någon gång? Behärskar du det med? Nej, det har du inte heller de spelar in allting du gör i bash vare sig du vill eller inte? Hur har detta med forensik att göra om man hackar en server eller inte? Nej, det är bra du inte svarar mer så håller vi oss till forensik, hur polisen kan hantera beslagtagna saker och hur dom arbetar eventuellt hur dom kan ta sig in i system? Frågorna är ju hur många som helst? "Varför"/"Varför inte"frågas ju hela tiden? Det finns ju massa sätt man kan spekulera i och nu gör jag det? Vem vet, det kanske dyker upp någon som har teori om hur dom kan arbeta? Hurvida dom säkrar bevis från en "hackad" server... ? Eh?

Sen som personen skrev, det är ju knappast ett prioterat område? Vem bryr sig om det.

"Du gör bort dig"
__________________
Senast redigerad av Lamron 2024-02-03 kl. 08:49.
Citera
Svara

Stöd Flashback

Flashback finansieras genom donationer från våra medlemmar och besökare. Det är med hjälp av dig vi kan fortsätta erbjuda en fri samhällsdebatt. Tack för ditt stöd!

Stöd Flashback