segunda-feira, 25 de abril de 2016

UFED 5.0 diminui drasticamente o tempo para se chegar à evidência


A Cellebrite acaba de lançar a versão 5 do UFED Physical Analyzer que tem como principal diferencial a redução drástica do tempo de investigação e o foco nos dados que são de fato cruciais. Hana Gazoli nos contou no blog do fabricante quais são esses importantes "poupadores de tempo" que farão diferença no dia a dia de um perito, e nós, da TechBiz Forense Digital, fizemos a livre tradução do artigo original, que se encontra aqui. Boa leitura!

Peneirar dados é um processo que consome muito tempo – um usuário americano médio ocupa 10,8 GB da capacidade de armazenamento de seu dispositivo*, e levando-se em conta diferentes opções de recuperação de dados no UFED Physical Analyzer, esse processo pode levar várias horas para se completar. O UFED 5.0 foi lançado com grandes “poupadores de tempo”, recursos que drasticamente reduzem o tempo de investigação e permite ao investigador focar nos dados que são cruciais ao seu caso. A versão 5.0 traz cinco funcionalidades exclusivas e suporte a 19.203 perfis de dispositivos e 1.528 versões de app.


Mescle várias extrações em um relatório único e evite deduplicações 

Os clientes pediram, nós desenvolvemos. Com o UFED Physical Analyzer 5.0, é possível agora mesclar múltiplas extrações oriundas de múltiplos dispositivos em um projeto unificado, e incluir extrações lógica, física e de sistema de arquivo. Os dados extraídos são apresentados a partir de uma árvore de projeto que oferece um resumo unificado da extração com informações do dispositivo por extração, a habilidade de acessar cada extração separadamente e a indicação da fonte original da extração. Se requerido, você também pode combinar extrações de diferentes dispositivos.




 Essa poderosa funcionalidade poupa o seu tempo não apenas por combinar as extrações, mas também por remover as deduplicações (informações duplicadas e redundantes), e e agrupar registros similares e duplicados para análise rápida e eficiente. Os seguintes tipos de extração podem ser agrupados: lógica, sistema de arquivo lógico avançado, física, SIM card, JTAG, SD Card e UFED Camera Evidence.

“Ser capaz de instantaneamente navegar para onde está localizada cada parte do dado no dump de memória é extraordinário. Isso poupa horas em cada investigação complexa”, diz um investigador. 

Valide os seus dados da forma correta 

O processo de validação final poupa tempo e recursos ao oferecer a mais efetiva e eficiente forma de realizar um processo real e preciso ao validar os dados decodificados com o arquivo-fonte original; portanto, reduzindo a sua necessidade de usar outras ferramentas de forense móvel para extrações adicionais para comparar e validar os resultados.

Cada artefato recuperado possui uma fonte que é originalmente derivada e pode ser usada mais tarde para validar os dados. Se anteriormente você gastava seu tempo pesquisando manualmente a fonte original, o UFED Physical Analyzer 5.0 agora rastreia de volta o conteúdo automaticamente decodificado à sua fonte. Cada registro extraído agora inclui informações sobre a fonte de arquivo em uma visualização de tabela ou no painel à direita com a informação do dispositivo.

Cada link aponta aos dados de correção e incluem o nome do arquivo fonte, que pode ser incluído no relatório do UFED quando for necessário testemunhar em um processo jurídico. Por exemplo, utilizando o UFED Physical Analyzer 5.0, um investigador pode facilmente ver a partir do arquivo fonte original que um SMS recuperado era um artefato deletado, uma vez que ele foi recuperado da memória do dispositivo. O SMS também é visível e destacado em visualização hex, quando se clica na informação sobre a fonte do arquivo (o arquivo db de onde o SMS veio também é mostrado no painel da direita).



 Foque nos arquivos de mídia relevantes com filtros comuns de imagem 

 Outro poupador de tempo adicionado à versão 5.0 é a nova funcionalidade de filtro que economiza um enorme tempo nas investigações. O UFED Physical Analyzer 5.0 automaticamente filtra imagens comuns ou conhecidas, permitindo que você foque nas imagens que precisa para ter rápido acesso à evidência, em vez de perder tempo analisando milhares de imagens que são ícones padronizados dos dispositivos ou que venham como parte de uma instalação de aplicativos.

 O valor de hash MD5 está agora disponível para cada dado de arquivo extraído, e é visível na interface de usuário e no relatório de saída como parte do processo de decodificação. Os valores de hash também podem ser exportados em um Excel para facilmente comparar valores de hash suspeitos ou não identificados com as suas bases de dados.

 Como você pode usar essa útil funcionalidade? Digamos que você tenha 200 valores de hash de imagens indecentes em sua própria base de dados. Você pode facilmente criar uma “watch list” para todos os valores de hash da sua base de dados, e rodar a “watchlist” para encontrar uma pesquisa páreo para as mesmas imagens no dispositivo. Em caso de uma combinação, uma foto de nu, por exemplo, será detectada na dispositivo. Outra possibilidade é exportar os valores de hash do dispositivo ao excel e rodar uma combinação com a sua base de dados, bem como expandir sua lista com novos valores de hash que pertencem a fotos suspeitas contendo nudez.

 Como mostrado na imagem abaixo, se fosse anteriormente você tinha que analisar 24.998 imagens, agora você tem menos de 900 imagens para analisar.  Para visualizar todas as imagens, clique em filter reset ou remova a opção de auto-filtro nas Configurações.



 Acesse dados de aplicativos bloqueados com a extração de sistema de arquivo 

 A versão 5.0 introduz outra capacidade exclusiva ao oferecer acesso a dados de aplicativos bloqueados quando a extração física não está disponível para um dispositivo específico. A introdução de novas versões de aplicativos também trazem novos desafios, como o fato de eles não estarem mais disponíveis para backup usando o método Android de backup, uma vez que estão bloqueados para serviços de backup. O UFED supera essa limitação com a nova opção chamada método de downgrade APK, também disponível via extração de sistema de arquivo. Este método temporariamente faz o downgrade do app (ou arquivo .apk) para uma versão anterior que é compatível ao backup Android. O UFED apresentará a lista de apps instalada no dispositivo e aquelas disponíveis para downgrade. Abra a extração no UFED Physical Analyzer para decodificar os dados decodificados e intactos de aplicativos. O suporte a Apps populares inclui WhatsApp, Facebook, Facebook Messenger, Line, Telegram, Gmail, KIK e mais.

 Extraia dados usando Temporary root (ADB) e reforce o método bootloader 

 A solução Temporary root (ADB) foi aprimorada para suporta dispositivos Android 110 rodando OS 4.3-5.1.1 para sistemas de arquivo e métodos extrações físicas (quando o ADB está ativado). Extrações físicas é a solução mais abrangente. Extração lógica de dados de apps também está disponível para dispositivos listados usando a solução de root temporário. Como parte de sua investigação, você precisa ter acesso a todos os dados armazenados em um dispositivo móvel.

A solução de root temporário (ADB) permite uma extração física para dispositivos 110 Android, e elimina a necessidade de se fazer o root no dispositivo manualmente usando uma ferramenta externa. Ferramentas de terceiros oferecem um root permanente, enquanto a solução temporária de root da Cellebrite é removida após ser reiniciada e garante a extração forense. Com um comprometimento constante aos consumidores, a Cellebrite continua a superar os desafios de extração e evitar as limitações dos dispositivos ao oferecer as últimas capacidades para se extrair dados. O método bootloader foi melhorado na versão 5. Esta solução de bloqueio de bypass única está agora disponível para 27 dispositivos adicionais (chipset APQ8084), incluindo Galaxy Note 4, Note Edge e Note 4 Duos.

 A versão 5.0 também introduz extração física e suporte a decodificação para uma nova família de dispositivos TomTom; bem como sistemas de arquivo e extração lógica e a decodificação também foi adicionada aos dispositivos recentemente lançados, incluindo iPhone SE, Samsung Galaxy S7 e LG G5. Assista ao vídeo abaixo para saber mais sobre os destaques do novo UFED 5.0.


https://www.youtube.com/watch?v=zu444PZzC6Y

Um comentário:

  1. This blog provides useful information about new techniques and concepts.very impressive lines are given which is very attractive.
    informatica training in chennai

    ResponderExcluir