Certificação e treinamento Cellebrite Certified Mobile Examiner




Está na dúvida se vale ou não fazer o treinamento da Cellebrite e obter as certificações CCLO e CCPA? O especialista forense Clark Walton passou por essa experiência e deu a sua opinião no artigo da revista digital Forensics Focus. E, claro, nós, da TechBiz Forense Digital, parceiros da Cellebrite, traduzimos aqui as impressões de Walton. 


 Em Janeiro de 2014, participei dos treinamentos Cellebrite Certified Logical Operator (CCLO) e Cellebrite Certified Physical Analyst (CCPA), em um curso de uma semana realizado em Washington, DC e ministrado pelo instrutor certificado da Cellebrite, Joe Duke. Os treinamentos CCLO e CCPA são predicados necessários para para a certificação Cellebrite Certified Mobile Examiner (CCME), a principal certificação forense da Cellebrite. O curso capacita os investigadores e analistas a realizar extrações de sistemas de arquivo, extrações físicas, bypasses de senhas e análise avançada de itens de evidência utilizando o software UFED Physical Analyzer.

 Em junho de 2015 eu fiz a revisão de meio dia da Cellebrite para o exame CCME, e tirei a certificação CCME no mesmo dia. O objetivo dessas três certificações, cada uma desenvolvida a partir da outra, é determinar a proficiência e domínio em forense e análise de dispositivos móveis com a solução de primeira linha da Cellebrite.

 Background 

 Mesmo tendo treinamento anterior na área, do começo ao fim, achei o treinamento da Cellebrite inestimável, tanto para entendimento sobre os fundamentos de funcionamento de um dispositivo móvel, quanto para entender os princípios da captura, exame e testemunho sobre evidências digitais, bem como para entender os aspectos práticos sobre a operação do software UFED (Cellebrite Universal Forensic Extraction Device) Touch e UFED 4PC. Apesar de os cursos CCLO e CCPA sejam agora oferecidos online, participei da edição presencial e vivenciei o hands-on, e tive a oportunidade de ter o instrutor ao meu lado para responder questões complexas e resolver problemas.  
O material escrito e os manuais fornecidos em cada curso também foram bastante úteis e impressionantes. Em cada curso recebi pastas impressas com guias e apêndices que cobrem todos os slides e cada passo de todos os processos nos cursos CLO e CCPA. Mesmo após dois anos, eu ainda busco referências neste material quando me deparo com questões específicas ao examinar um dispositivo móvel com o Cellebrite.


 Cellebrite Certified Logical Operator (CCLO) 

 O curso CCLO representa os dois primeiros dias do treinamento (meu programa de treinamento incluiu o CCPA imediatamente após o CCLO). Joe Duke, nosso instrutor, passou cuidadosamente por cada módulo do programa (oito ao todo), em cada caso buscando exemplos do mundo real e oferecendo ponteiros práticos que não teriam tanto impacto se fossem apenas oferecidos por escrito. As principais áreas cobertas no curso foram as seguintes:

 1. Introdução (administração geral do curso, materiais e similares).
 2. Visão geral sobre a tecnologia dos dispositivos móveis e tendências (visão geral sobre a tecnologia dos dispositivos móveis, fatores diferentes dos formatos de dispositivos móveis, as bases dos celulares e a tecnologia wireless e como os dados são armazenados nesses dispositivos. Discussões sobre os fatores que modelam as mudanças nas tecnologias, volume de dados móveis e tendências em aplicativos, desenvolvimento e impacto em forense).
 3. Ciência forense e os dispositivos móveis (visão geral sobre a importância de, procedimentos para, melhores práticas, técnicas e documentação relacionadas à forense e dispositivos móveis. Ênfase na preservação da evidência e manutenção da integridade da evidência.)
 4. UFED Touch Overview (Tour geral sobre o dispositivo UFED Touch e suas funcionalidades. À parte: eu inicialmente usei o UFED 4PC na minha prática e ainda acho útil e aplicável. Mesmo que sua organização use o UFED 4PC, entender o dispositivo touch ainda é de grande valor).
 5. Logical Analyzer (Como utilizar o software Cellebrite Logical Analyzer para abrir e trabalhar com extração lógica de evidência. Usuários experientes da tecnologia Cellebrite notarão que o Logical Analyzer é uma versão limitada do Physical Analyzer, abordado no curso CCPA).
 6. Geração de relatórios com as ferramentas Cellebrite e uso do UFED Reader.

 Cada módulo envolve ações hands-on e o suporte de apostilas para os exercícios práticos. A prática inclui resolução de casos encontrados no mundo real tais como o uso do software Cellebrite Phone Detective para identificar certos dispositivos, obtendo extrações lógicas de dispositivos móveis, clone de SIM cards, extração de SIM cards e senhas e pesquisa avançada no Logical Analyzer. 

Competências da matéria foram testadas ao final dos dois dias de curso a partir de um exame com questões por escrito e exercícios hands-on que valiam a certificação Cellebrite CCLO.

 Cellebrite Certified Physical Analyzer (CCPA) 

 O curso CCPA representa a segunda parte da semana, com aproximadamente três dias de treinamento. O curso CCPA, como deveria ser, é muito mais profundo, e fornece uma visão intensa dos dados brutos capturados em dispositivos móveis – a extração física de dispositivos requerendo uma compreensão dos códigos binários, representação hexadecimal e, em última análise, outros tipos de codificação comumente encontradas em telefones tais como Short Messaging Service (SMS) Packet Digital Unit (PDU).

 O layout do curso CCPA é similar em formato ao curso CCLO, mas, outra vez, trata-se um mergulho mais profundo nas camadas de dados armazenados em dispositivos móveis e em como analisar esses dados - não apenas “os frutos mais fáceis de serem colhidos”, mas outras camadas que podem ser menos óbvias. O curso inclui as seguintes seções, em extensão ao que não é coberto no treinamento CCLO:

 1) Media system files e codificação (explorando vários sistemas de arquivo de celular, memória flash e tipos de codificação de dados).
 2) Visão geral sobre o UFED Touch e sobre o software Cellebrite Physical Analyzer.
 3) Técnicas avançadas de pesquisa.
 4) Verificação e validação de achados técnicos (particularmente valiosos, eu acho, para aqueles que vão testemunhar sobre o que foi encontrado).
 5) Relatando os achados técnicos.

 Em cada caso, como no CCLO, o instrutor fornece exemplos do mundo real para referir-se aos muitos pontos endereçados nos módulos de treinamento. As tabelas de ações passo-a-passo para o CCPA também enfatizam exercícios tangíveis para permitir que estudantes realizem muitos dos conceitos fornecidos no curso, incluindo, mas não limitados a, data carving, verificação de malware, análise de vários tipos de imagens em dispositivos físicos e outras funções de pesquisa mais complexas.

 O teste para obter a certificação CCPA consiste em uma combinação de exames em papel e exames hands-on de extrações físicas de vários tipos de dispositivos. Achei o teste para a certificação CCPA adequado para a minha preparação e para os os conceitos demonstrados no curso.


Conclusão 

 Eu, pessoalmente, achei a principal certificação da Cellebrite, os cursos CCLO e CCPA, inestimáveis para se tirar o maior proveito da suíte de software da Cellebrite (além de serem pré-requisitos para a certificação CCME). A série UFED da Cellebrite é amigável e permite que os usuários sigam intuitivamente as instruções e analisem desde as informações mais fáceis de coletar até o ambiente mais selvagem de um grande volume de dispositivos móveis. No entanto, para realizar verdadeiramente uma análise forense digital rigorosa e testemunhar em corte as evidências encontradas a partir de uma investigação baseada, eu, pessoalmente não me imaginaria realizando tais tarefas sem ter o treinamento em sala de aula e as práticas do hands-on oferecidas pelo programa de treinamento das certificações CCLO e CCPA. Nossa empresa continua utilizando os principais pontos de análise de dispositivos móveis aprendidos nesses cursos diariamente. Eu realmente aconselho o programa de treinamentos e certificações da Cellebrite para todos os níveis de usuários, de iniciantes a avançados examinadores de forense móvel.

 Clark Walton, EnCE, CCME, é especialista forense e em cibersegurança da Reliance Forensics, e advogado licenciado. Walton é ex-procurador federal especial e ex-analista de ameaça cibernética e gerente de projeto técnico da Comunidade de Inteligência dos EUA. Neste papel, Walton informava à Casa Branca e fornecia análises de inteligência a consumidores de alto nível, incluindo o diretor do FBI, o advogado geral dos Estados Unidos e ao Escritório da Secretaria de Defesa. Twitter @clarkwalton.

Comentários