quarta-feira, 29 de outubro de 2014

Workflow aprimorado para análise de dispositivos móveis

O blog da Magnet Forensics está publicando uma série de posts sobre a utilização do IEF (Internet Evidence Finder) e da tecnologia da Cellebrite para se obter mais evidências de dispositivos móveis em investigações de forense digital. A TechBiz Forense Digital fará, ao longo das próximas semanas, uma livre tradução desse conteúdo produzido pelo consultor forense da Magnet Forensics Jamie McQuaid. Aí vai o primeiro post. Boa leitura!

Encontrar e analisar evidências oriundas de dispositivos móveis é provavelmente uma das mais importantes habilidades que os examinadores forenses podem possuir na atualidade. Celulares, tablets e derivados estão enraizados em nossas vidas pessoais e profissionais; nos colocam em contato com o mundo exterior e é o modo primário com que nos conectamos com nossas redes de contato. Trocamos e-mails com colegas, batemos papo com amigos, navegamos na internet e realizamos transações bancárias cotidianas com os aplicativos de telefones e tablets. Consequentemente, dispositivos móveis (e os aplicativos neles contidos) transformaram-se em minas de ouro para a análise forense – muitas vezes mais importantes do que as máquinas pessoais e profissionais de um suspeito.

Quando se trata das ferramentas para dispositivos móveis, soluções da Cellebrite são capazes de processar a maioria dos casos. A Cellebrite é especialmente boa em aquisição do conteúdo proveniente de uma impressionante gama de modelos de aparelhos móveis. Mas, como o investigador pode encontrar evidências de aplicativos importantes de terceiros que estão nesses aparelhos?

Um fluxo de trabalho forense aprimorado 

Na primavera de 2012, ouvimos rumores de comunidades forenses de que era difícil recuperar evidências de uma série de aplicativos de terceiros em dispositivos iOS e Android. As ferramentas que estavam à época no mercado faziam um ótimo trabalho de coleta de uma grande variedade de dispositivos, mas a capacidade de analisar essas imagens e de abranger importantes artefatos se perdia. Foi quando nós, da Cognitech, decidimos adicionar um módulo para dispositivos móveis em nosso software de forense digital, o Internet Evidence Finder. Esse módulo permitiria ao investigador fazer uma busca  por centenas de aplicativos na imagem de dispositivo móvel gerada pelas tecnologias de extração.

Logo após o lançamento, o retorno dos clientes começou a aparecer. A nova capacidade do IEF alterou o fluxo de trabalho em investigações forenses de aparelhos móveis e permitiu aos clientes encontrar ainda mais evidências.  Veja como eles estão fazendo as investigações envolvendo aparelhos móveis.  

Passo 1: Capturam uma imagem com o Cellebrite UFED (ou outra ferramenta de coleta) 
Passo 2: rodam o IEF sobre essa imagem – nossa busca automatizada procurará por mais de 165 tipos de artefatos para dispositivos móveis.

 *Se você é capaz de fazer uma aquisição física, lógica ou dump de arquivo, o IEF suportará saídas do UFED para muitos dispositivos diferentes, incluindo dispositivos iOS e Android.

Passo 3: Iniciar a análise com o visualizador IEF Report, onde é possível analisar os resultados da pesquisa, que são organizados por categoria e contêm todos os campos importantes do artefato.

Passo 4: exportar os relatórios de forma a compartilhar insights preliminares, ou inclui-los em nosso relatório forense final sobre o que foi encontrado na investigação.

Para recapitular, aqui está um workflow visual:



Por que você deveria adicionar o IEF ao seu workflow de investigação de dispositivos móveis? 

Algumas pessoas podem questionar porque devem incorporar IEF em sua análise de evidências oriundas de dispositivos móveis após o estágio de aquisição, já que a tecnologia Cellebrite também obtém dados de aplicativos de terceiros. A resposta: cada ferramenta retorna resultados diferentes e são especializadas em diferentes áreas (como é o caso de todas as ferramentas de seu kit). A tecnologia Cellebrite é o que há de melhor para aquisição de imagens de dispositivos móveis de uma ampla variedade de dispositivos, enquanto o IEF oferece um retorno da maioria das evidências oriundas de aplicativos de terceiros utilizados nos aparelhos móveis.

Veja o feedback de alguns clientes:

“Já utilizamos ferramentas forenses para análise de dispositivos móveis, mas elas não recuperam apps baseados em internet, como o BBM. Eu, recentemente, investiguei um Samsung S4 mini, que não apresentava BBMs; mas com o IEF, consegui recuperar quase 7.000 mensagens que desvendaram o caso.” 

“Geralmente, o UFED Physical Analyzer realiza um bom trabalho de análise dos chips, mas ele não obtém os vídeos. O IEF é capaz de pegar um vídeo e realiza um melhor trabalho com os artefatos web, especialmente com o Kik Messenger.” 

A verdade é que você precisa ver para acreditar. Nós o desafiamos a utilizar a ferramenta de aquisição forense da sua escolha (como o UFED da Cellebrite) com o IEF para ver o que consegue fazer! No próximo post, mostrarei como usar exatamente o IEF e o Cellebrite para adquirir e analisar dispositivos Android para obter mais evidências digitais, depois iremos para o iOS.

Quaisquer dúvidas e sugestões: jamie.mcquaid@magnetforensics.com.

Jamie McQuaid é consultor forense da Magnet Forensics, parceira da TechBiz Forense Digital. 

quarta-feira, 1 de outubro de 2014

Como detectar o Bash ShellShock com o RSA Security Analytics?


Por Luiz Henrique Borges*
O que é o Bash ShellShock? 
O Bash ShellShock é uma grave vulnerabilidade encontrada no Bash, principal interpretador de comandos dos sistemas operacionais do tipo Unix-like. A vulnerabilidade explora a forma como o Bash processa as variáveis de ambiente, permitindo que códigos maliciosos sejam executados remotamente.

Como verificar se estou vulnerável? 
Execute o comando: curl https://shellshocker.net/shellshock_test.sh | bash