книги хакеры / журнал хакер / 188_Optimized

ICLOUD101

приложения используют его для синхронизации небольших

На самом деле iCloud — это не один сервис, это общее мар-

объемов данных (настройки, закладки и тому подобное). Каж-

кетинговое название для целого ряда облачных сервисов

дая сохраняемая этой службой запись ассоциируется с иден-

от Apple. Это и синхронизация настроек, документов и фото-

тификатором приложения (Bundle ID) и именем хранилища

графий, и Find My Phone для поиска потерянных или похищен-

(store). Соответственно, для получения сохраненных данных

ных устройств, и iCloud Backup для резервного копирования

от сервиса также необходимо предоставить эти идентифика-

в облако, и теперь вот iCloud Keychain для безопасной син-

WARNING

торы. В рамках iCloud Keychain данный сервис используется

хронизации паролей и номеров кредитных карт между устрой-

для синхронизации записей Keychain в зашифрованном виде.

ствами на базе iOS и OS X.

Вся информация

Достаточно подробно этот процесс описан в документе iOS

Каждая служба iCloud расположена на собственном доме-

Security в разделах Keychain syncing и How keychain syncing

не третьего уровня, таком как pXX-keyvalueservice.icloud.com,

предоставлена исклю-

works.

где XX — номер группы серверов, отвечающих за обработку

чительно в ознакоми-

СинхронизацияKeychain

запросов текущего пользователя; для различных Apple ID этот

тельных целях. Лица,

номер может быть разным; более новые учетные записи обыч-

использующие данную

Когда пользователь впервые включает iCloud Keychain,

но имеют большее значение этого счетчика.

информацию в противо-

устройство создает «круг доверия» (circle of trust) и ключи син-

КОДБЕЗОПАСНОСТИICLOUD

законных целях, могут

хронизации (syncing identity, состоит из открытого и закрытого

быть привлечены к от-

ключей) для текущего устройства. Открытый ключ этой пары

Прежде чем погружаться в анализ iCloud Keychain, обратим

ветственности.

помещается в «круг доверия», и этот «круг» дважды подписы-

внимание на то, каким образом эта служба конфигурируется.

вается: сперва закрытым ключом синхронизации устройства,

При включении iCloud Keychain пользователю предлагается

а затем асимметричным ключом (основанным на эллипти-

придумать и ввести код безопасности iCloud (iCloud Security

ческой криптографии), полученным из пароля пользователя

Code, далее — iCSC). По умолчанию форма ввода позволя-

на iCloud. Также в «круге» сохраняются параметры для вычис-

ет использовать четырехзначный цифровой код, но, перейдя

ления ключа из пароля, такие как соль и количество итераций.

по ссылке «Дополнительные параметры», все же можно ис-

Подписанный «круг» сохраняется в Key/Value-хранилище.

пользовать более сложный код или вовсе позволить устрой-

Он не может быть прочитан без знания пользовательского

ству сгенерировать стойкий случайный код.

пароля iCloud и не может быть изменен без знания закрытого

Теперь мы знаем, что данные в iCloud Keychain защищены

ключа одного из устройств, добавленных в «круг».

с помощью iCSC. Ну что же, попробуем разобраться, как имен-

Когда пользователь включает iCloud Keychain на дру-

но эта защита реализована!

гом устройстве, это устройство обращается к Key/Value-

ПЕРЕХВАТТРАФИКАИЛИMAN-IN-THE-MIDDLE

хранилищу в iCloud и замечает, что у пользователя уже есть

«круг доверия» и что новое устройство в него не входит.

Первым шагом при анализе сетевых сервисов зачастую явля-

Устройство генерирует ключи синхронизации и квитанцию

ется получение доступа к сетевому трафику между клиентом

для запроса членства в «круге». Квитанция содержит откры-

и сервером. В случае с iCloud для нас есть две новости: пло-

тый ключ синхронизации устройства и подписана ключом,

хая и хорошая. Плохая состоит в том, что весь (ну или по край-

полученным из пользовательского пароля iCloud с исполь-

ней мере подавляющая его часть) трафик защищен TLS/SSL,

зованием параметров генерации ключа, полученных из Key/

то есть он зашифрован и обычной пассивной атакой «прочи-

Value-хранилища. Подписанная квитанция затем помещается

тать» его не удастся. Хорошая же новость заключается в том,

в Key/Value-хранилище.

что Apple сделала всем желающим поисследовать iCloud по-

Первое устройство видит новую квитанцию и показывает

дарок и не использует фиксацию сертификата (certificate

пользователю сообщение о том, что новое устройство запра-

pinning), что позволяет достаточно просто организовать атаку

шивает добавление в «круг доверия». Пользователь вводит

«человек посередине» (man-in-the-middle) и расшифровывать

пароль iCloud, и подпись квитанции проверяется на коррект-

перехваченный трафик. Для этого достаточно:

ность. Это доказывает, что пользователь, генерировавший за-

1. Поместить подопытное iOS-устройство в одну Wi-

прос на добавление устройства, ввел верный пароль

Fi-сеть с компьютером, осуществляющим пере-

при создании квитанции.

хват.

После того как пользователь подтвердит до-

2. Установить на компьютере перехватывающий

бавление устройства к «кругу», первое устройство

прокси-сервер (такой как Burp, Charles Proxy или

добавляет открытый ключ синхронизации нового

любой аналогичный).

устройства в «круг» и вновь дважды подписывает его

3.

Импортировать на iOS-устройство TLS/SSL-

при помощи своего закрытого ключа синхронизации

сертификат установленного прокси-сервера (под-

и при помощи ключа, полученного из пароля iCloud-

робности в справке конкретного прокси).

пользователя. Новый «круг» сохраняется в iCloud,

4.

В настройках Wi-Fi-сети на iOS-устройстве (На-

и новое устройство аналогично подписывает его.

стройки o Wi-Fi o Имя сети o HTTP Прокси) ука-

КакработаетсинхронизацияKeychain

зать IP-адрес перехватывающего компьютера в Wi-

Fi-сети и порт, на котором слушает прокси-сервер.

Теперь в «круге доверия» два устройства, и каждое

из них знает открытые ключи синхронизации других

Если все сделано правильно, то весь трафик

устройств. Они начинают обмениваться записями

между устройством и iCloud’ом будет как на ладони.

Keychain через Key/Value-хранилище iCloud. В слу-

И из перехвата этого трафика будет отчетливо видно,

чае если одна и та же запись присутствует на обоих

что iCloud Keychain построен на базе двух сервисов

устройствах, приоритет будет отдан имеющей более

iCloud: com.apple.Dataclass.KeyValue и com.apple.

позднее время модификации. Если время модифи-

Dataclass.KeychainSync — и при первоначальном,

кации записи в iCloud и на устройстве совпадают,

и при повторном включениях на других устройствах

то запись не синхронизируется. Каждая синхронизи-

iOS обменивается данными с этими сервисами.

руемая запись зашифровывается специально для це-

Первый сервис не нов и был в числе первых воз-

левого устройства; она не может быть расшифрована

можностей iCloud; он широко используется прило-

другими устройствами или Apple. Кроме того, запись

жениями для синхронизации настроек. Второй же

не хранится в iCloud постоянно — она перезаписыва-

является новым и разработан, очевидно, специально

ется новыми синхронизируемыми записями.

для iCloud Keychain (хотя его функционал теоретиче-

Этот процесс повторяется для каждого нового

ски позволяет использовать его и для других целей).

устройства, добавляемого в «круг доверия». Напри-

Рассмотрим эти сервисы подробнее.

мер, если к «кругу» добавляется третье устройство,

COM.APPLE.DATACLASS.KEYVALUE

то запрос подтверждения будет показан на двух дру-

По умолчанию iOS предлагает исполь-

гих устройствах. Пользователь может подтвердить

Как было отмечено выше, это один из сервисов, ис-

зовать код безопасности, состоящий

добавление на любом из них. По мере добавления

пользуемых iCloud Keychain. Многие существующие

из четырех цифр

новых устройств каждое устройство из «круга» син-

Keychain только авторизованными пользователями и устрой-

ствами. Кластеры HSM защищают депонированные записи.

Каждый кластер имеет собственный ключ шифрования, ис-

пользующийся для защиты записей.

Для восстановления Keychain пользователь должен аутен-

тифицироваться, используя имя пользователя и пароль iCloud,

и ответить на присланное SMS. Когда это выполнено, пользо-

ватель должен ввести код безопасности iCloud (iCSC). Кластер

HSM проверяет корректность iCSC, используя протокол SRP;

при этом iCSC не передается на серверы Apple. Каждый узел

кластера, независимо от других, проверяет, не превысил ли

пользователь максимально допустимое количество попыток

получения данных. Если на большей части узлов проверка за-

вершается успешно, то кластер расшифровывает депониро-

ванную запись и возвращает ее пользователю.

Далее устройство использует iCSC, чтобы расшифровать

депонированную запись и получить пароль, использованный

для шифрования записей Keychain. При помощи этого пароля

Keychain, полученная из Key/Value-хранилища, расшифровы-

вается и восстанавливается на устройство. Допускается лишь

десять попыток аутентификации и получения депонированных

данных. После нескольких неудачных попыток запись блокиру-

ется, и пользователь должен обратиться в службу поддержки

для разблокировки. После десятой неудачной попытки кластер

HSM уничтожает депонированную запись. Это обеспечивает

Схема подсистемы

При случайном коде подсистема депонирования пароля

защиту от брутфорс-атак, направленных на получение записи.

депонирования и вос-

не используется вообще. При этом случайный пароль, сгене-

К сожалению, проверить, используются ли HSM на самом

становления Keychain

рированный системой, и является iCSC, и задача пользова-

деле, не представляется возможным. Если все действительно

теля — его запомнить и безопасно хранить. Записи Keychain

так и HSM не позволяют прочитать хранящиеся в них данные,

все так же зашифровываются и сохраняются в Key/Value-

то можно утверждать, что данные iCloud Keychain защищены

хранилище com.apple.sbd3, но служба com.apple.Dataclass.

и от внутренних угроз. Но, повторюсь, к сожалению, доказать

KeychainSync не используется.

или опровергнуть использование HSM и невозможность чте-

ВЫВОДЫ

ния данных из них нельзя.

Остается еще один способ защиты данных от внутренней

Можно смело утверждать, что с технической точки зрения (то

угрозы — защита депонируемых данных на устройстве пе-

есть social engineering не рассматриваем) и по отношению

ред передачей на серверы Apple. Из описания Apple следует

к внешним угрозам (то есть не Apple) безопасность служ-

(и реверсинг это подтверждает), что такая защита применя-

бы депонирования iCloud Keychain находится на достаточ-

ется — депонируемый пароль предварительно зашифровы-

ном уровне: благодаря использованию протокола SRP даже

вается при помощи iCSC. Очевидно, что в этом случае уро-

при компрометации пароля iCloud злоумышленник не сможет

вень безопасности (от внутренней угрозы) напрямую зависит

получить доступ к записям Keychain, так как для этого допол-

от сложности iCSC и четырехсимвольный iCSC, используемый

нительно необходим код безопасности iCloud, а перебор этого

по умолчанию, не обеспечивает достаточной защиты.

кода существенно затруднен.

Итак, мы выяснили, как работают отдельные элементы си-

В то же время, используя другой механизм iCloud

стемы, и теперь самое время посмотреть на систему целиком.

Keychain — синхронизацию паролей, злоумышленник, ском-

PUTTINGITALLTOGETHER

прометировавший пароль iCloud и имеющий непродолжи-

тельный физический доступ к одному из устройств пользова-

На схеме представлена работа iCloud Keychain в части депони-

теля, может полностью скомпрометировать и iCloud Keychain:

рования и восстановления записей Keychain. Система работа-

для этого достаточно добавить устройство злоумышленника

ет следующим образом:

в «круг доверия» устройств пользователя, а для этого доста-

1. Устройство генерирует набор случайных ключей (в термино-

точно знать пароль iCloud и иметь кратковременный доступ

логии Apple — keybag) для шифрования записей Keychain.

к устройству пользователя, чтобы подтвердить запрос на до-

2. Устройство зашифровывает записи Keychain (имеющие

бавление нового устройства к «кругу».

установленный атрибут kSecAttrSynchronizable) с по-

Если же рассматривать защиту от внутренних угроз (то есть

мощью набора ключей, сгенерированного на предыдущем

Apple или кто-либо с доступом к серверам Apple), то в этом

шаге, и сохраняет зашифрованные записи в Key/Value-

случае безопасность службы депонирования выглядит не так

хранилище com.apple.sbd3 (ключ com.apple.securebackup.

радужно. Утверждения Apple об использовании HSM и невоз-

record).

можности чтения данных из них не имеют неопровержимых

3. Устройство генерирует случайный пароль, состоящий

доказательств, а криптографическая защита депонируемых

из шести групп по четыре символа (энтропия такого паро-

данных завязана на код безопасности iCloud, при настройках

ля — около 124 бит), зашифровывает набор ключей, сгене-

по умолчанию является крайне слабой и позволяет любому,

рированный на шаге 1, при помощи этого пароля и сохра-

кто в состоянии извлечь с серверов (или из HSM) Apple депо-

няет зашифрованный набор ключей в Key/Value-хранилище

нированные записи, практически моментально восстановить

com.apple.sbd3 (ключ BackupKeybag).

четырехзначный код безопасности iCloud.

4. Устройство зашифровывает случайный пароль, сгенериро-

В случае использования сложного алфавитно-цифрового

ванный на предыдущем шаге, с помощью ключа, получен-

кода эта атака становится сложнее, так как возрастает коли-

ного из кода безопасности iCloud пользователя, и депони-

чество возможных паролей. Если же iCloud Keychain сконфи-

рует зашифрованный пароль службе com.apple.Dataclass.

гурирован использовать случайный код, то служба депониро-

KeychainSync.

вания вообще не привлекается, что фактически делает этот

вектор атаки невозможным.

При настройке iCloud Keychain пользователь может при-

Максимальный уровень безопасности (не считая полного

менять сложный или случайный iCSC вместо предлагаемого

отключения iCloud Keychain, конечно) обеспечивается при ис-

по умолчанию четырехзначного кода. В случае использова-

пользовании случайного кода — и не столько потому, что такой

ния сложного кода механизм работы системы депонирования

код сложнее подобрать, сколько потому, что при этом не за-

не меняется; отличие лишь в том, что ключ для шифрования

действована подсистема депонирования паролей, а следова-

случайного пароля будет вычислен не из четырехзначного

тельно, уменьшается и attack surface. Но удобство этого вари-

iCSC, а из более сложного, введенного пользователем.

анта, конечно, оставляет желать лучшего.

Проект radare начал разрабатывать хакер с ником pancake

в 2006 году, и долгое время, по сути, он был единственным

разработчиком. Созданный фреймворк обладал простым кон-

сольным интерфейсом для работы как шестнадцатеричный

редактор, поддерживающий 64-битную архитектуру. Это по-

зволяло находить и восстанавливать данные с жестких дисков.

Поэтому его еще называли инструментом для компьютерной

криминалистической экспертизы. Но в 2010 году произошел

«редизайн» фреймворка, после чего проект стал разрастаться

и пополняться новым функционалом, позволяющим исполь-

зовать его не только как редактор, но и как дизассемблер с

анализатором кода. На данный момент этот фреймворк ис-

пользуют знаменитые CTF-команды и вирусные аналитики

1

(MalwareMustDie и AlienVault), причем последние представляют

его на своем воркшопе на Black Hat. Список тех, кто исполь-

зует radare2, с примерами представлен в блоге проекта (bit.

ly/1ubW5xV).

Рис. 1. Первый запуск

Благодаря тому что фреймворком заинтересовались ви-

В общем, фреймворк тихими шагами догоняет нашу люби-

radare2 на OS X

русные аналитики и появилась поддержка утилиты yara. По-

мую IDA. А пока рассмотрим его особенности, которые разра-

мимо поддержки самой утилиты, было встроено много правил.

ботаны на данный момент.

Некоторые из них, например, позволяют определить большое

Начнем с поддержки большого количества архитектур —

количество упаковщиков. Ниже я привел такой пример для од-

есть даже для Gameboy, видео по анализу популярной игры

ного из сэмплов вредоносной программы:

Pokemon для которого опубликовал на канале YouTube (bit.

[ɥ ɥɥɫɥɪɩɫƄʴ

ly/1kpcn6j) один из исследователей.

Ключевая особенность фреймворка radare2 — его модуль-

ɏ ɩɏ ɏ

ность и встраиваемость (так как нет никаких зависимостей,

WWW

ɏ ɏ

а yara и libewf опциональны). Другая полезная фишка — под-

УСТАНОВКА

держка многих скриптовых языков. Помимо популярных Python

Официальный сайт

с Perl, которые поддерживаются в других дизассемблерах,

Так как radare2 не является версией 1.0 (на момент написания

есть также Vala, Go, Guile, Ruby, Lua (о его плюсах и минусах

проекта:

статьи она была 0.9.8), разработчики советуют использовать

я писал ранее), Java, JavaScript (Node.js и ducktape), sh и мно-

rada.re

свой фреймворк: скачать и собрать его из исходников с GitHub

гие другие.

Официальный блог

(заодно вспомним, как работать с Git):

Также многим пригодится поддержка типов. Особенно

ɛ śŵŵ Ŝ ŵ ŵ ɩŜ

это важно при анализе C++ программ. Достаточно создать

проекта:

*.h-файл с описанием и подключить его. Ниже я привел пример

radare.today

из официальной документации фреймворка. Вот содержимое

Книга по radare2 от Maijin

Если же у тебя исходники были уже скачаны, то нужно их об-

файла с описанием структуры:

новить следующей командой:

[0x00000000]> cat test.h

(находится в процессе

ɛ

написания, поэтому по-

ɤ º ɪɩɏ

стоянно обновляется):

typedef addr {

bit.ly/1t2WphQ

Для автоматической компиляции можешь воспользоваться

char street[ɨɩɮ];

встроенным скриптом:

charƃ40];

Сравнение фреймворка

ɪɩɏ Ś

с другими популяр-

ɛ ŵ Ŝ

ƈ ɏ Ś

ными инструментами

для реверсинга — IDA Pro

Если же он выдал ошибку, то попробуй сделать вручную:

Подключаем файл и помечаем область со структурой:

и Hopper:

ɛ Ŝŵ º ŞŞ º ʰŵ

bit.ly/1yrbsVz

[0x00000000]> to test.h

ɛ

[0x00000000]> tl addr 0x4000

Список докладов

ɛ

[0x00000000]> tf 0x4000

по radare2:

addr

bit.ly/1jPu271

Или вместо gmake используй утилиту make (для OS X мне

{

так и пришлось сделать). А после перезагрузки я увидел долго-

street : 0x00004000 = "Wallaby Way"

Использование radare2

жданное окно (рис. 1).

ś0x00004000 = ɑ ɑ

для анализа BIOS:

Можно поставить radare2 из macports или использовать

ś0x00004008 = ɩɥɥɥ

bit.ly/1okzD0b

утилиту homebrew (там версии иногда отстают.) Если ты ис-

}

Пример анализа

пользуешь Kali Linux, советую удалить встроенный radare2

и поставить фреймворк из исходников, как я описал выше.

Существует поддержка отладки. Причем ты можешь про-

вредоносной программы

Для Windows бинарный файл можно скомпилировать с по-

водить как прямую отладку, так и и работу с протоколами gdb,

ZeroAccess:

мощью какой-либо *nix-платформы или воспользоваться ка-

winedbg.

bit.ly/1kHSQy8

ким-нибудь mingw-компилятором ().