quarta-feira, 12 de novembro de 2014

Busca de evidências em iOS com o IEF e o UFED Cellebrite

A TechBiz publica o terceiro e último post do blog da Magnet Forensics sobre o uso em conjunto do IEF (Internet Evidence Finder) e da tecnologia UFED Cellebrite para se obter mais evidências em investigações forenses de dispositivos móveis. No post anterior, o consultor forense Jamie McQuaid explicou como encontrar mais evidências em dispositivos Android utilizando o IEF e o Cellebrite. Hoje, ele fará o mesmo com o sistema operacional iOS.


"Os investigadores forense devem estar preparados para adquirir imagens de uma ampla gama de dispositivos móveis; depois, analisá-los para encontrar tanto dados nativos quanto dados de aplicativos de terceiros. Quanto mais eficiente for o seu fluxo de trabalho e o conjunto de ferramentas em cada momento da investigação, mais chances você terá de encontrar evidências. Nós o desafiamos a usar a ferramenta forense de aquisição da sua escolha (como o UFED, da Cellebrite) juntamente com o IEF e ver o que consegue", escreve Jamie McQuaid.


 Aqui está o fluxo de trabalho recomendado por McQuaid:



Tendo isso em mente, o consultor apresenta o passo a passo sobre como usar as duas tecnologias (IEF e Cellebrite) para adquirir e analisar dispositivos iOS, incluindo aquisições físicas e lógicas.

Aquisição física 

A tecnologia Cellebrite é capaz de realizar a aquisição física em iPhone 4 ou em modelos mais antigos utilizando o software Physical Analyzer, instalado na máquina examinadora. Para iniciar o processo de aquisição, abra o software e selecione “iOS Device Extraction” dentro da pasta “Extract”.



Um tutorial será iniciado, conduzindo-o aos passos da aquisição. Siga as instruções detalhadas na tela para o modo de recuperação. Carregue o bootloader customizado e inicie a extração.



Uma vez que tudo esteja carregado e preparado, a extração física irá começar.


Quando a extração estiver completa, você receberá um arquivo .ufd contendo detalhes sobre o equipamento e os resultados da busca. Em vez de usar uma variedade de arquivos .bin fragmentados como os da extração física em Android, a Cellebrite cria um arquivo grande .img para dispositivos iOS que pode ser carregado para a análise posterior do IEF.



Aquisição lógica 

Similar à aquisição em Android, a tecnologia Cellebrite possui opções lógicas para extrações de sistemas de arquivo (copiar um file system inteiro) e para file dumps (copiar apenas os dados relevantes dos usuários, tais como logs de ligações, contatos de SMS, fotos etc.). Como mencionado anteriormente, a aquisição lógica é a única opção para se obter uma imagem de um dispositivo iPhone 4s ou um mais recente. Como na aquisição lógica em Android, o UFED da Cellebrite carrega um software no dispositivo móvel para baixar os dados requisitados.

Para uma extração de arquivos de sistema, todos os dados lógicos são baixados do dispositivo iOS pelo UFED e apresentados em vários formatos como especificado abaixo.  Neste exemplo, fiz uma imagem lógica de um iPhone 5. Todo o conteúdo foi armazenado em arquivos zip e dependendo do tamanho da aquisição, você pode notar vários outros arquivos zip terminados em z01, z02, etc. Esses arquivos são fragmentados em pedaços de 2GB para suportar limitações de tamanhos de arquivos em certos sistemas de arquivos tais como FAT32. Você também irá encontrar um arquivo .ufd, , criado pela Cellebrite, que contém detalhes da aquisição.


Quando faz um dump de arquivo de um dispositivo iOS, o UFED recupera dados pertencentes a SMS, logs de ligação, imagens etc. Os resultados também incluem todos os dados de backup, bem como vários relatórios html que detalham os resultados dos arquivos recuperados. Na imagem abaixo estão os resultados obtidos a partir de um dump de arquivos realizado no mesmo iPhone 5 em que fiz a extração de sistema de arquivos.



Neste momento, podemos pegar as nossas imagens (no formato que quisermos) e colocá-las no IEF para a análise e a recuperação detalhada.

Análise do iOS com o IEF 

Para iniciar sua análise, carregue a recém-criada imagem gerada pelo UFED da Cellebrite no IEF. Se você gerou um dump físico, você deverá usar um arquivo .img durante a aquisição física. Se você criou uma imagem lógica, adicione primeiramente o arquivo zip da extração do sistema de arquivo ou carregue os arquivos relevantes do dump de arquivos que você deseja examinar.


Com o IEF aberto, selecione “Mobile” e escolha “iOS” como o sistema operacional. Para extrações físicas ou de sistemas de arquivo, selecione “Image” como a sua fonte. Isso permitirá que você selecione tanto os arquivos .img de uma aquisição física ou os arquivos .zip de uma extração de sistema de arquivo. Para um dump de arquivo, você deverá escolher “File Dump” e selecionar as pastas relevantes. Depois que sua imagem for carregada, você pode identificar quais artefatos você deseja procurar em um iOS e colocar quaisquer detalhes do caso que achar necessários. Finalmente, você pode selecionar o botão “Find Evidence” no IEF e iniciar sua pesquisa.


Quando a sua pesquisa estiver completa, você poderá analisar os seus dados como em qualquer outra investigação com o IEF. Os artefatos serão extraídos e categorizados pelo investigador e todos os detalhes serão classificados em colunas para fácil análise e organização.

Em caso de dúvidas ou comentários:
jamie.mcquaid@magnetforensics.com.

Leia também: "IEF supre o desafio da busca por evidências da web"

segunda-feira, 3 de novembro de 2014

Como usar o IEF e o Cellebrite para encontrar mais evidências em dispositivos Android

A TechBiz Forense Digital publica hoje o segundo post do consultor forense Jamie McQuaid, da Magnet Forensics, sobre como o IEF e a tecnologia Cellebrite podem juntas oferecer mais evidências nas investigações forenses de aparelhos móveis.

No primeiro post, McQuaid falou sobre a necessidade da comunidade forense em encontrar mais evidências na análise de dispositivos móveis, especialmente em aplicativos de terceiros e como a Magnet Forensics supriu essa demanda. Os investigadores mostravam-se satisfeitos com o processo de aquisição das evidências por ferramentas como o UFED, mas queriam saber como ir além na investigação de aplicativos de terceiros. Aqui está o workflow recomendado:



Tendo isso em mente, o consultor apresenta agora um passo a passo sobre como usar o IEF e a tecnologia Cellebrite juntos para adquirir e analisar dispositivos Android, incluindo aquisições físicas, arquivos de sistema e rápidos dumps de arquivos.

Aquisição física

Para demonstrar o processo de aquisição física, escolhi coletar fisicamente dados de um Samsung Galaxy S Relay 4G com o Cellebrite UFED (veja imagem abaixo).



Quando o UFED realiza uma aquisição física, todos os dados disponíveis no dispositivo móvel suspeito são copiados, incluindo todas as partições e espaços não alocados. Para iniciar o processo de aquisição, conecte o aparelho ao dispositivo UFED e selecione o modelo de aparelho a ser analisado. O sistema Cellebrite o conduzirá a uma série de opções, incluindo a definição de um local-alvo para armazenar os dados recuperados.

Quando todas as opções forem selecionadas, o UFED começará a puxar os dados do dispositivo. As imagens do telefone são armazenadas como dados brutos em arquivos .bin fragmentados, juntamente com arquivos contendo detalhes do caso com a extensão .ufd.

Aquisição lógica 

A aquisição lógica em dispositivos Android deve ser escolhida quando não for possível realizar uma aquisição física ou essa não for requisitada. Com o Cellebrite UFED, você poderá escolher “Extract Phone Data” (extrair dados de telefone) ou “File System Extraction” (extração de arquivos de sistema), caso você queira ou não recuperar apenas os arquivos de usuário ou o todo o file system. 

Semelhante ao processo de aquisição física, é preciso selecionar o modelo de telefone e a saída alvo no UFED. Para um dump de arquivo, você precisa selecionar quais itens gostaria de copiar (logs de ligações, SMS, calendário, contatos, etc.) e a Cellebrite fará então o upload do software para o dispositivo, permitindo baixar esses dados como backup. Para demonstrar uma aquisição lógica, escolhi o HTC One e fiz o dump dos dados em um pen drive. Uma vez que o processo esteja completo, o investigador recebe uma pasta contendo os dados abaixo.



Para a aquisição de arquivos de sistema, você receberá um arquivo .ufd e um arquivo zip com o conteúdo do dispositivo.



Aquisição lógica e dumps de arquivos retornam uma boa quantidade de arquivos para o investigador; no entanto, a aquisição física é sempre mais recomendada para maximizar a recuperação de qualquer dado potencial deletado e que se encontra em um espaço não alocado. Uma aquisição física, no entanto, é sempre recomendada para maximizar a recuperação de qualquer dado potencial deletado e armazenado em espaço não alocado.

A análise com o IEF

Uma vez que os dados foram adquiridos com o UFED, é possível carregá-los para o IEF e iniciar a análise. Esse processo se diferencia um pouco, dependendo do tipo da imagem adquirida (física, file system ou dump). Em caso de uma extração física, abra o IEF e selecione “Mobile.” Depois escolha o sistema operacional relacionado à sua captura (em nosso exemplo, selecionaríamos Android”) e clique em “Image”.



Para a aquisição física, você encontrará uma pasta com uma quantidade de arquivos .bin e .ufd (como mencionado anteriormente). Os arquivos .ufd são usados pelo software da Cellebrite para carregar detalhes e imagens do caso. Para fazer a análise com o IEF, você precisará acessar os arquivos .bin. Se os arquivos estiverem fragmentados devido ao seu tamanho, selecione o primeiro deles e o IEF automaticamente carregará os arquivos bin adicionais.




Se você está realizando aquisições de arquivos de sistema, você precisará localizar e selecionar os arquivos zip que foram criados pelo Cellebrite. O IEF irá extrair depois esse arquivo e automaticamente pesquisará pelo conteúdo recuperado.

Finalmente, se você escolher extrair dados do telefone como um dump de arquivo você terá que escolher “File Dump” em vez de “Image” ao completar as opções de setup, depois navegar até a pasta contendo os dados que foram extraídos por dump.


Assim que a imagem desejada for carregada é possível fazer a análise como qualquer outro exame com o IEF. Tenha certeza de que todos os artefatos que você deseja pesquisar incluem quaisquer detalhes do caso relevantes à sua investigação. O IEF rodará essa pesquisa e carregará os resultados no IEF Report Viewer para a análise.

Pelo Report Viewer, os resultados serão ordenados e categorizados para o investigador. Além de recuperar dados de aplicativos nativos, o IEF também puxará artefatos de aplicativos terceiros instalados no dispositivo.



Encontre mais evidências de dispositivos móveis com IEF e Cellebrite UFED 

Investigadores forense precisam estar preparados para adquirir imagens de uma ampla gama de dispositivos móveis; depois analisá-los para encontrar tanto os dados de aplicativos nativos quanto de terceiros. Quanto mais efetivo for o seu workflow e suas ferramentas, mais chances terá de encontrar evidências móveis.

Nós o desafiamos a usar a ferramenta de aquisição da sua escolha (como o UFED) combinada com o IEF e ver o que consegue obter!

Quaisquer dúvidas, comentários ou sugestões jamie. mcquaid@magnetforensics.com.

Jamie McQuaid é consultor forense da Magnet Forensics