Abgabegespräch: Die Termine für das Abgabegespräch sowie die entsprechenden Anmeldemodalitäten werden zeitgerecht auf tuwel veröffentlicht.
Aufgabe
Ziel dieses Labs ist es, sich mit Daten-Forensik auseinanderzusetzen. Die für die Aufgabe notwendigen Dateien stehen in tuwel zum Herunterladen bereit.
Spezifikation Lab1a
In dieser Aufgabe sollen die "Data"-Verzeichnisse der installierten Apps ("/var/mobile/Containers/Data/Application") auf User:innen-Daten untersucht werden. User:innen-Daten können persönlich identifizierbare Informationen (z.B. Name, Geburtstag, E-Mail-Adresse etc.) sowie Login-Daten sein.
Im Abgabedokument soll kurz beschrieben werden, wo (z.B. App-Name, Pfad) und wie (z.B. welches Command oder welches Programm wurden verwendet) User-Daten gefunden wurden. Zusätzlich soll angeführt werden, um welchen lokalen Speicher (z.B. User Default, Core Data, Cache, ...) es sich handelt.
Hinweise:
Es gibt keine Keychain zum Analysieren!
Dateien mit ".ktx" Endung kann man unter Nicht-Mac Betriebssystemen (z. B. Windows) mit Hilfe dieses Skripts https://github.com/ydkhatri/MacForensics/tree/master/IOS_KTX_TO_PNG zu einem PNG-Bild umwandeln. Unter MacOS kann man ".ktx"-Dateien mit dem Apple Preview ansehen.
Datenbank-Dateien können beispielsweise entweder mit dem der Command Line Shell für SQLite oder mit einem SQLite Datenbank-Browser analysiert werden.
Spezifikation Lab1b
In dieser Aufgabe erhalten Sie ausgewählte Dateien eines Speicherabbildes einer Android-App (memdump.zip), den Heapdump einer Android Nachrichten App sowie den Ordner einer App mit den Shared Preferences, dem Cache und weiteren Inhalten (alles in dem Ordner team_0x.zip enthalten).
Eine Aufgabe ist, dass Sie mithilfe des Speicherabbildes herausfinden, welcher Wert basierend auf der Variable "secret" in einer der "Activity" Klassen gelogged wird. Das Ergebnis hat die Form "mobsec{\w+}".
Die zweite Aufgabe besteht darin, dass Sie den Heapdump einer App analysieren und nach Hinweisen suchen um die Flagge zu erhalten. Um zum Ergebnis zu kommen müssen Sie zum einen den Heapdump analysieren und zum anderen den Ordner einer Android Nachrichten App durchsuchen. Wie auch bei der erst genannten Aufgabe, hat die Flagge die Form "mobsec{\w+}".
TUWEL Abgabe
Sie müssen Ihre bearbeiteten Aufgaben dokumentieren und in tuwel abgeben.
Erstellen Sie eine gepackte (ZIP, GZIP, BZIP) Datei mit beliebigem Namen und einer DATEIENDUNG, die zip, tgz, tar.gz, tbz2 oder tar.bz2 sein kann, abhängig vom verwendeten Komprimierungsalgorithmus, in der folgende Datei(en) enthalten ist/sind:
Die Verwendung der Vorlage für das Abgabedokument ist freiwillig.
Sollten Sie die Vorlage nicht verwenden, sollte Ihre Abgabe möglichst genau wie eines der Beispiel-PDFs im Vorlagearchiv aussehen.
Bitte halten Sie die Abgabefrist ein. Für Abgaben, die verspätet sind, selbst wenn Sie bereits eine frühere korrekte Abgabe durchgeführt haben, gibt es nachfolgende Punkteabzüge:
max. 1 Tag Verspätung: max. 70% der Punkte für das lab können erreicht werden
max. 2 Tage Verspätung: max. 50% der Punkte für das lab können erreicht werden
ab 3 Tagen Verspätung können max. 0% der Punkte für das lab erreicht werden.
Es ist erforderlich, dass Sie die Namenskonventionen einhalten. Dokumente, die nicht den Namenskonventionen entsprechen, werden nicht gewertet.
Beim Abgabegespräch nicht anwesende Team-Mitglieder erhalten 0 Punkte.
Zusätzliche Hinweise
Bitte halten Sie die angegebene Abgabefrist ein. Andernfalls erhalten Sie einen Punkteabzug.
Die letzte in tuwel hochgeladene Version Ihrer Abgabe wird gewertet.
Für Team-Labs: Arbeitsteilung ist natürlich erlaubt, dennoch muss jedes Teammitglied über die gelösten Beispiele und deren theoretischen Hintergrund Bescheid wissen.
Bei Angabe von zu verwendenden Komprimierungsalgorithmen/-programmen für die Abgabe verwenden Sie ausschließlich diese. Sollten Sie Ihre Abgabe anders durchführen, wird diese mit 0 Punkten bewertet.
Wenn Sie Fragen haben, wenden Sie sich bitte zuerst an Ihre KollegInnen. Sie können auch das tuwel-Forum benutzen. Fragen, die nur Sie selbst betreffen, richten Sie bitte an lva.security@inso.tuwien.ac.at
Hinweis zu Foren: Wir antworten ausschließlich im tuwel-Forum -- andere Foren werden von uns nicht aktiv verfolgt.
Bitte erwarten Sie keine rechtzeitige Hilfe mehr, wenn Sie Ihre Fragen erst am letzten Tag vor Ende der Abgabefrist stellen.