+1 (888) 440-2404

Ylikirjoitettu kryptolompakon avain palautettu

Ylikirjoitettu kryptolompakon avain palautettu

Laite:
MacBook Air

Omaisuuserä:
Itsehallinnoitu kryptolompakko (NEO/Neon-lompakko)

Arvioitu riskissä oleva arvo:
Noin 96 000 $ kryptovaluuttana

Ongelma:
Yksityinen avain ylikirjoitettiin muokkauksen/kopioinnin/liittämisen aikana

Avaimen sijainti:
Apple Notes (tallennettu tekstinä)

Asiakas menetti yllättäen pääsyn kryptolompakkoon, jossa oli noin 82 600 € arvosta kryptovaluuttaa, päivitettyään muistiinpanon tietokoneellaan. Hän säilytti lompakon tunnistetietoja Muistiinpanot-sovelluksessa. Muokkauksen aikana, todennäköisesti kopioi ja liitä -toiminnon yhteydessä, yksityinen avain ylikirjoitettiin vahingossa.

Asiakas kertoi käyttäneensä laitetta vain hyvin vähän virheen jälkeen eikä yrittäneensä käyttää tee-se-itse-palautustyökaluja, mikä auttoi säilyttämään parhaat mahdolliset edellytykset krypton palautukseen.

Haaste

Kryptoavaimet eivät salli “melkein oikein” -tilanteita. Yksi virheellinen, puuttuva tai ylimääräinen merkki voi estää pääsyn kokonaan.

Tässä tapauksessa asiakas ylikirjoitti alkuperäisen yksityisen avaimen Muistiinpanot-sovelluksessa samankaltaisella mutta katkaistulla versiolla, joten näkyvää muistiinpanoa ei voitu enää pitää luotettavana. Paras onnistumismahdollisuus oli tarkastella Muistiinpanot-käyttöliittymän taakse ja analysoida sovelluksen taustalla olevan tietokannan artefakteja, joihin aiempia versioita muokatusta tekstistä voi joskus jäädä.

Prosessi

Luottamuksellinen työnkulku

Työ suoritettiin korkean tietoturvatason mukaisella prosessilla eristetyssä järjestelmässä, joka oli erillään DriveSavers Data Recoveryn tavanomaisista verkotetuista ympäristöistä.

Rikospaikkatutkinnan kuvantaminen

Tiimi loi varmennetut levykuvat tietojen tallennusmedioista alkuperäisen tilan säilyttämiseksi, samalla kun analyysiä jatkettiin hallituilla kopioilla.

Kohdennettu artefaktien etsintä

Sen sijaan, että tiimi olisi luottanut siihen, mitä Muistiinpanot-sovellus näytti, se jäljitti, mihin sovellus tallentaa ja päivittää sisältöä taustalla — erityisesti Muistiinpanot-tietokantaan ja sen muutosten seurantatiedostoihin.

Insinööritiimi tarkasteli Muistiinpanot-sovelluksen olennaisia artefakteja matalalla tasolla ja etsi ehdokasmerkkijonoja, jotka vastasivat yksityisen avaimen odotettua rakennetta. Näin tiimi löysi useita esiintymiä avainehdokkaasta, joka vastasi odotettua rakennetta ja vaikutti olevan aiempi, vioittumaton versio.

Varmennus

Krypton palautuksessa validointi on ratkaisevaa. Avain on todella “palautettu” vasta, kun sen oikeellisuus voidaan todentaa.

Kryptografinen validointi

Notes-tietokannan artefakteista palautetut ehdokkaat yksityisiksi avaimiksi validoitiin johtamalla niihin liittyvä julkinen avain NEO-lompakon kryptografista algoritmia käyttäen.

Vastaavuus tunnetun julkisen avaimen kanssa

Jokainen johdettu julkinen avain verrattiin asiakkaan erikseen tallentamaan julkiseen avaimeen/lompakon osoitteeseen. Kun täsmällinen vastaavuus löytyi, tiimi pystyi varmistamaan varmasti, että oikea yksityinen avain oli palautettu.

Vähäinen palautus

Asiakas sai palautetun avaimen tekstimuodossa, rajattuna täsmälleen siihen, mikä oli tarpeen.

Tulos

Asiakas sai jälleen pääsyn lompakkoonsa ja vahvisti, että palautettu avain toimi odotetusti.

Minun oli oltava luova ja suoritettava levyn raakaa heksadesimaalianalyysiä löytääkseni aiemmat versiot Muistiinpanot-tietokannan merkinnöistä. Tunnistettuani mahdollisia yksityisen avaimen katkelmia varaamattomasta tilasta validoisin ne asiakkaan tunnettuun julkiseen avaimeen ja avasin lompakon.

– Will DeLisi
DriveSaversin data recovery -insinööri

Miksi tämä toimi

Kun avain ylikirjoitetaan, se voi kadota “front end” -näkymästä. Muistiinpanot-sovelluksen kaltaiset sovellukset perustuvat kuitenkin usein tietokantoihin, jotka luovat työskentelytiedostoja ja viimeaikaisiin muutoksiin liittyviä artefakteja. Vaikka lopullinen näkyvä muistiinpano olisi virheellinen, aiemman tekstin jälkiä voi joskus säilyä taustalla — erityisesti silloin, kun laitetta ei ole käytetty runsaasti sen jälkeen.

Tekninen syväluotaus

Jos mietit, miksi tämä ei ole niin yksinkertaista kuin tekstitiedoston tai asiakirjan etsiminen:

Tallennus tietokantaan

Muistiinpanot-sovellus tallentaa sisällön tietokantaan yksittäisen pelkän tekstitiedoston sijaan.

Muutosartefaktit

Tietokannat käyttävät yleisesti oheistiedostoja viimeaikaisten päivitysten seuraamiseen, ja nämä artefaktit voivat säilyttää aiempia tekstiversioita myös muokkausten jälkeen.

Manuaalinen palautus

Insinöörit tutkivat raakadataa löytääkseen ehdokkaita rakenteen ja mallin perusteella ja validoivat ne sen jälkeen lompakon toiminnan sekä julkisen avaimen vastaavuuden avulla.

Jos olet tässä tilanteessa

Jos epäilet ylikirjoittaneesi tai vioittaneesi yksityisen avaimen:

Lopeta laitteen käyttö: Uusi toiminta voi ylikirjoittaa jäljellä olevia artefakteja, jotka saattavat vielä sisältää aiempaa tekstiä.

Älä tee lisämuokkauksia: Toistuva kopiointi/liittäminen tai avaimen “korjaaminen” voi tuhota sen, mitä aiemmasta versiosta on vielä jäljellä.

Säilytä vahvistustiedot: Jos sinulla on julkinen avain/osoite tallennettuna muualla, säilytä se — se voi auttaa varmistamaan, että oikea yksityinen avain on löytynyt.

Seuraava vaihe: Säilytä laite nykyisessä tilassaan ja kerää kaikki jäljellä olevat lompakon tunnistetiedot (julkinen avain/osoite, lompakkosovelluksen nimi/versio, missä avain oli tallennettuna). Ota sitten yhteyttä DriveSaversiin. Data recovery -asiantuntijamme ovat tavoitettavissa 24/7.

Lue lisää kryptolompakon palautuksesta

Related Posts

DriveSaversin vanhempi markkinointipäällikkö
Kirjoitatko DriveSaversista, tietojen palautuksesta tai jostain muusta teknologiaan liittyvästä aiheesta?
Ota yhteyttä.

Twitter
Back To Top
Search