MOBILE FORENSE – Um olhar técnico sobre extração de telefone

 

Neste artigo, examinamos a extração de telefones celulares, contando com as informações publicamente disponíveis e a experiência da Privacy International ao realizar a extração de telefones celulares usando um Celedbrite UFED Touch 2. Agradecemos a opinião de especialistas da área . Esta é uma área em rápido desenvolvimento. Assim como novos recursos de segurança são anunciados para os telefones, também são encontrados novos métodos para extrair dados.

[Todas as referências podem ser encontradas na versão pdf abaixo.]

Explicação geral da extração do telefone móvel – Mobile Forense

As tecnologias de extração de telefone celular, conhecidas também como forense móvel ou Mobile Forense, envolvem a conexão física do dispositivo móvel a ser analisado e um dispositivo que extrai, analisa e apresenta os dados contidos no telefone. Embora especialistas forenses, hackers e vendedores de spyware possam acessar e extrair dados, analisamos várias das empresas comerciais mais conhecidas que vendem seus produtos para a aplicação da lei, como Cellebrite, Oxygen Forensic Detective e MSAB.

Android e iOS

Nossa análise se concentra no Android e iOS ao analisar tecnologias extrativas. O Android é o principal sistema operacional para telefones em todo o mundo. “Segundo a IDC, no primeiro trimestre de 2017, o Android dominou o setor com uma participação de mercado de 85%.” O  iOS lidera o caminho em relação à segurança e apresenta o maior desafio forense. “… sem a senha, dificilmente podemos extrair algo do moderno dispositivo iOS”.  Por exemplo, o modo restrito USB do iOS, que apareceu pela primeira vez no iOS 11.4.1, desabilitou as comunicações USB após uma hora do último desbloqueio, o que causa problemas para quem está realizando uma extração. À medida que o modo restrito USB se desenvolve com as versões do iOS, para muitos no mundo forense, é simplesmente um desafio a ser superado. A extração de telefones celulares pode ser caracterizada como uma corrida armamentista, onde os fornecedores estão constantemente buscando superar obstáculos do aumento da segurança do telefone.

“Queremos começar com as más notícias: se você estiver examinando um iPhone com iOS 8 ou mais recente … as chances de desbloqueá-lo não são boas … No iOS 11, esse problema se torna ainda mais grave – mesmo se o dispositivo estiver sob o exame não é protegido por código de acesso, o examinador precisará do código de qualquer maneira, pois deve ser inserido para confirmar a confiança entre o dispositivo e sua estação de trabalho. ”

Um diferencial importante entre iOS e Android em termos de recursos forenses é que, embora a Apple possa enviar atualizações diretamente para seus usuários, corrigindo vulnerabilidades e explorações, os usuários do Android dependem predominantemente do fabricante e da operadora para fornecer atualizações. Isso faz com que muitos telefones Android executem versões mais antigas dos sistemas operacionais, o que significa que várias formas de extração são viáveis. “A variedade de versões do sistema operacional e as plataformas de hardware nas quais são usadas fornecem uma ampla variedade de métodos de extração de dados. “

Vulnerabilidades

Na avaliação das tecnologias MPE, este projeto analisa algumas das vulnerabilidades usadas para obter dados, principalmente para telefones Android, como o uso do Emergency Download Mode para dispositivos com o chipset Qualcomm.

Quais tecnologias atuais são usadas para acessar, extrair e analisar dados de telefones celulares?

“A análise forense de dispositivos móveis é provavelmente a disciplina de avanço mais rápido que a análise forense digital já viu ou verá, principalmente por causa das rápidas mudanças no ambiente dos dispositivos atuais. Os sistemas operacionais de dispositivos tornaram-se mais avançados e a capacidade de armazenamento nos dispositivos atuais é astronômica. Os dispositivos de hoje são plataformas de computação móvel, mas acessar os dados contidos nesses dispositivos é muito mais difícil do que acessar dados de qualquer outro dispositivo digital. ”

Acessar e extrair dados de telefones não é novidade. No entanto, à medida que o volume de dados nos telefones explode e  “o cenário móvel está mudando a cada dia que passa “,  a capacidade de acessar, extrair e analisar esses dados é cada vez mais difícil e complexa. As técnicas variam de acordo com o hardware e o software de um telefone, desde o chipset (Qualcomm, MediaTek) até a versão do sistema operacional. “Extrair dados de um dispositivo móvel é metade da batalha. O sistema operacional, os recursos de segurança e o tipo de smartphone determinarão a quantidade de acesso que você tem aos dados. ”

Criptografia e outras medidas de segurança apresentam desafios significativos.

“À medida que a tecnologia móvel continua amadurecendo, e a quantidade de segurança e criptografia continua se fortalecendo, está se tornando um desafio saber como acessar dados em smartphones protegidos por senha. No topo do desafio de criptografia estão as variantes de fabricação que podem criar diferentes obstáculos ao longo do caminho. ”

Existem três tipos genéricos de extração: lógico, sistema de arquivos e físico, que fornecem uma estrutura para considerar as tecnologias de extração. Nenhuma tecnologia pode acessar e extrair todos os dados de todos os telefones, e nenhum tipo de extração é garantido para ter sucesso. Conforme reconhecido pela MobilEdit, uma empresa de telefonia forense, ao comentar os resultados dos testes do Instituto Nacional de Padrões e Tecnologia dos EUA (NIST) para aquisição de dispositivos móveis:

“Os testes também mostraram que existem diferenças significativas nos resultados entre os tipos de dados individuais nas ferramentas competitivas testadas. Cada ferramenta foi capaz de demonstrar certos pontos fortes em relação às outras, e não existe uma ferramenta única que demonstre superioridade em todas as categorias de teste. Nossa conclusão é que há um aumento significativo na taxa de sucesso ao executar uma análise da ferramenta de referência cruzada. No mundo real, quando há um caso, cada evidência é importante. Com uma combinação de ferramentas, você pode obter até 89,6% de taxa de sucesso geral. ”

A aquisição física é geralmente o método preferido. Conforme extrai os dados brutos em nível binário, do armazenamento dos dispositivos. Mesmo que isso seja possível, há uma visão de que  “sempre deve ser obtida uma aquisição lógica, pois pode conter apenas os dados analisados ​​e fornecer indicadores para examinar a imagem da memória não processada”.

Fatores como o status do dispositivo móvel determinarão se a extração lógica ou física é tentada. O tipo de exame depende do status de energia do dispositivo e se ele está bloqueado, protegido por senha ou desativado (desmontado ou quebrado) … Nem todos os dispositivos móveis podem ser coletados fisicamente. Um iPhone 5 a X, por exemplo, não pode ser coletado fisicamente usando métodos não invasivos. ”

A realidade da realização da extração do telefone móvel é que você frequentemente precisará tentar todos os tipos de extração oferecidos pela ferramenta. No entanto, a capacidade de fazer isso será limitada por tempo, recursos e conhecimentos.

Uma área em desenvolvimento é a extração em nuvem, que analisamos com mais detalhes em um artigo separado. Esse desenvolvimento cria uma leitura perturbadora, pois compreendemos quanto é mantido em servidores remotos e acessível a pessoas sem nenhuma habilidade forense, mas o dinheiro a pagar por tecnologias de botão que podem capturar tudo. A extração na nuvem, um salto do que está no telefone para o que é acessível a partir dele, é uma reação à criptografia e bloqueios de dispositivo que tornam difícil a análise forense do telefone celular tradicional, se não impossível, e uma resposta ao volume de informações armazenadas na nuvem.

“Os investigadores digitais de hoje não devem ignorar a importância dos dados armazenados em vários serviços em nuvem. Sem os dados da nuvem, as informações que podem ser coletadas de fontes tradicionais (como dispositivo móvel, mídia flash ou computador) são limitadas, inconclusivas ou simplesmente inatingíveis. ”

Depois que os dados são extraídos, existem alguns produtos impressionantes para ler e analisar os dados extraídos. Cada vez mais, eles são comercializados com recursos de inteligência artificial para ajudar os investigadores.

Análise: Acesso e extração: físico, lógico, sistema de arquivos na mobile forense

Primeiro, uma análise dos três principais tipos de extração: lógico, sistema de arquivos e físico e as ferramentas usadas para realizá-las. Esses métodos variam em tecnicidade e no tipo e volume de dados que eles podem extrair.

 

Tipos de dados que podem ser extraídos

Resumo dos tipos de dados que podem ser extraídos usando lógica, sistema de arquivos e extração física. Fonte: artigo da Cellebrite

Sob cada método genérico, as empresas podem diferir na maneira como conseguem a extração. Conforme exposto em um slide do Magnet Forensics (abaixo), é possível obter uma extração lógica por meio do backup do iTunes / ADB ou da instalação de um agente para obter dados adicionais; um sistema de arquivos usando acesso privilegiado, como root ou jailbreak; e Físico usando métodos de recuperação ou carregador de inicialização.

métodos de aquisição comuns

Métodos comuns de aquisição em mobile forense. Fonte: Magnet Forensics

Existem outros métodos invasivos para extrair dados de telefones. JTAG (Grupo de Ação de Teste Conjunto), ISP (In System Programming) e Chip-off (ou qualquer metodologia forense de hardware associada, como interceptação de comunicação entre chips –  Se você estiver desmontando o dispositivo, poderá interceptar os dados como ele viaja de um microcontrolador para outro / processador, por exemplo, I2C ou SPI, ignorando um modelo de segurança definido por software ) é mais dependente da habilidade forense em oposição à mais recente tecnologia e, portanto, são mencionados brevemente.

O JTAG é um método com o nome do padrão da indústria para verificar projetos e testar placas de circuito impresso após a fabricação. Isso envolve a conexão com a porta de teste padrão para transferir dados brutos dos chips de memória. “A técnica JTAG envolve investigar as portas de acesso de teste JTAG e os conectores de solda às portas JTAG para ler dados da memória do dispositivo.”  ISP  “é a prática de conectar-se a um chip de memória flash eMMC ou eMCP com o objetivo de baixar o conteúdo completo da memória de um dispositivo ” . O chip-off é um método destrutivo, baseado na remoção do chip de memória da placa do sistema e um leitor de chip é usado para extrair dados armazenados.

Por fim, extração manual que não requer ferramentas sofisticadas e:

“… envolve simplesmente percorrer os dados do dispositivo e visualizá-los diretamente no telefone, usando o teclado ou a tela sensível ao toque do dispositivo. As informações descobertas são então documentadas fotograficamente … Nesse nível, não é possível recuperar informações excluídas e capturar todos os dados. “

Cellebrite UFED Touch 2

Cellebrite UFED Touch 2. Fonte: Privacidade Internacional

Cellebrite UFED Touch 2 opções

Cellebrite UFED Touch 2 opções. Fonte: Privacidade Internacional

Extração lógica na mobile forense

“A aquisição lógica é extrair os objetos de armazenamento lógico, como arquivos e diretórios que residem no sistema de arquivos. A aquisição lógica de telefones celulares é realizada usando a interface de programação de aplicativos do fabricante do dispositivo para sincronizar o conteúdo do telefone com um computador. Muitas das ferramentas forenses realizam uma aquisição lógica … Uma aquisição lógica é fácil de executar e recupera apenas os arquivos em um telefone celular e não recupera dados contidos no espaço não alocado.”

O que é isso?

Dos três tipos de extração, a lógica é vista como a mais rápida, menos invasiva, mas mais limitada. Ele cria uma cópia dos arquivos acessíveis ao usuário  , como agenda telefônica, chamadas, mensagens, alguns dados de aplicativos e outros dados que você pode esperar de um backup do iTunes ou Android. ou seja, o que você pode ver se examinar manualmente cada tela do dispositivo.

A MSAB, que se descreve como  “pioneira em tecnologia forense para exame de dispositivos móveis”,  comercializa seu XRY Logical como  nossa solução básica para investigadores forenses e o ponto de partida para nossas opções de licença” .

“O XRY Logical permite ao usuário realizar extrações rápidas (de backup do iTunes, backup do Android, agente Android) e é voltado para exames de“ bombear e despejar ”.”

XRY Logical da MSAB

XRY Logical da MSAB. Fonte: site da MSAB

MSAB

MSAB XRY Logical. Fonte: site da MSAB

MSAB

MSAB XRY Logical. Fonte: site da MSAB

imagem de extração lógica

Extração lógica do iPhone SE do autor usando o Cellebrite UFED. Fonte: Privacidade Internacional. Os números vermelhos entre colchetes indicam a recuperação de itens excluídos. Extração lógica Cellebrite UFED pode, portanto, recuperar dados apagados.

 

A extração lógica pode excluir dados de certos aplicativos se esses aplicativos não fizerem backup nos arquivos que fazem parte da extração, por exemplo, a pasta padrão. Para acessar esses aplicativos, você precisaria acessar o sistema de arquivos.

webinar forense magnético

Webinar forense (Mobile Forense) da Magnet. Fonte: Magnet Forensics

“Nota para dispositivos Android: aplicativos Android que não são do sistema podem optar por desativar o backup (por exemplo, WhatsApp). Se o fabricante do aplicativo selecionar, nenhum dado do aplicativo será armazenado no backup; um método comumente usado para recuperação lógica de dados de dispositivos móveis “.

Assim, você obtém apenas o que está disponível por meio da API de um fornecedor. ou seja, o telefone pode restringir o que você pode acessar. No entanto, para telefones Android, pode ser possível obter dados do aplicativo fazendo o downgrade do aplicativo de destino para uma versão mais antiga em que o backup adb é permitido. A capacidade de fazer isso está bloqueada nas versões mais recentes do Android. Embora a atualização do Cellebrite UFED 7.16 no método APK Downgrade afirme que  “permite o acesso aos dados do sistema de arquivos de mais de 40 aplicativos no dispositivo Android executando a versão 6.0 e posterior”.

Extrações lógicas normalmente não incluem uma cópia bit a bit completa dos dados ou recuperam dados excluídos. No entanto, pode ser possível recuperar registros excluídos, incluindo SMS, chats e histórico de navegação, se os bancos de dados SQLite forem usados ​​para armazenar os dados usando, por exemplo, o SQLite Wizard da Cellebrite. Conforme observado por Reiber (2019: 159),  “dentro de um subconjunto de dispositivos, como dispositivos iOS e Android, uma extração lógica de arquivos geralmente pode conter dados excluídos”.

Como funciona?

A extração lógica envolve  “conectar o dispositivo móvel ao hardware forense ou a uma estação de trabalho forense via cabo USB, cabo RJ-45, infravermelho ou Bluetooth” .  Depois que o telefone é conectado, a ferramenta forense  “inicia um comando e o envia para o dispositivo, que é então interpretado pelo processador do dispositivo”. Ou  seja, as ferramentas forenses se comunicam com o sistema operacional do dispositivo móvel Os dados solicitados como resultado do uso de protocolos e consultas proprietários  são:

“… Recebido da memória do dispositivo e enviado de volta à estação de trabalho forense. Mais tarde, o examinador pode revisar os dados. A maioria das ferramentas forenses atualmente disponíveis funciona nesse nível do sistema de classificação. ”

O uso da interface de programação de aplicativos (“API”) é uma maneira de realizar a extração lógica. A Cellebrite, uma empresa líder em forense popular entre agências governamentais, afirma:  “Do ponto de vista técnico, a extração lógica baseada em API é fácil de implementar, e os resultados são fornecidos em um formato legível.”

O UFED Touch da Cellebrite (hardware com software UFED) e o UFED 4PC (software instalado em um computador) funcionam comunicando-se com o sistema operacional de um dispositivo usando a API.

“A extração lógica de dados é realizada, em grande parte, por meio de uma API designada, disponível no fornecedor do dispositivo. Assim como a API permite que aplicativos comerciais de terceiros se comuniquem com o sistema operacional do dispositivo, ela também permite extração de dados forense … Após a conexão, o UFED carrega a API do fornecedor relevante no dispositivo. O UFED faz chamadas de API somente leitura para solicitar dados do telefone. O telefone responde a solicitações válidas da API para extrair itens de conteúdo designados, como mensagens de texto (SMS), entradas da agenda telefônica, fotos etc. ”

A extração lógica em um iPhone usando um Cellebrite UFED Touch 2 funciona da mesma forma que o iTunes ou o iCloud pode fazer um backup. Ele exibe na tela do telefone as várias solicitações dos dados que estão sendo extraídos, por exemplo, ‘Backup Call Data ”(Sim / Não) .

Algumas ferramentas forenses instalam um aplicativo ou agente no dispositivo para tentar extrair dados adicionais.

“O melhor software forense móvel, como: UFED (Cellebrite), Oxygen Forensic, XRY (Microsystemation), Secure View (Susteen), MOBILedit Forensic pode extrair dados de dispositivos Android instalando um programa de agente no dispositivo.”

Conforme observado por Reiber (2019: 57), o MobileEdit Forensics, verifica o dispositivo conectado e, se um dispositivo Android for detectado, ele carrega um programa do agente Forensic Connector e, usando esse agente, extrai dados do dispositivo.

“Um exemplo … seria usar uma ferramenta de software em um dispositivo Android com um arquivo APK (pacote de aplicativo) Android … O APK consulta os bancos de dados internos do dispositivo Android e retorna os dados para a interface do software. Os dados são exibidos na interface do usuário do software. Este método não retorna um sistema de arquivos, mas os dados representados pelo conteúdo dos arquivos no dispositivo. ”

A extração lógica não é garantida para todos os dispositivos, mesmo que desbloqueados. As Atualizações de produtos da Cellebrite, por exemplo, listam os telefones suportados.

atualização de produto cellebrite

Atualização do produto Cellebrite. Fonte: site da Cellebrite

Usando vulnerabilidades

Como em todas as formas de extração, existem vários componentes que influenciarão se é possível. Primeiro é o sistema operacional. Se for Android, se a depuração USB estiver ativada, o que habilita o servidor ADB no dispositivo e as chaves RSA (prompt de segurança) foram aceitas e o computador pessoal (“PC”) e o telefone emparelhados, uma extração lógica pode ser realizada . Conforme observado, normalmente esse é um backup do ADB combinado com o envio de um APK do Android para o dispositivo e o uso de comandos disponíveis para extrair registros ativos como SMS / MMS, registros de chamadas e contatos.

Mikhaylov (2017: 39) afirma que são necessárias etapas diferentes para ativar o modo de depuração USB, dependendo da versão do Android que está sendo usada. Para ativar a depuração USB, a senha será necessária. Embora alguns dispositivos com Android, como o Innotab Max, que a Privacy International testou em 2016-17, pareçam ser enviados de fábrica com a depuração ativada por padrão . Uma pesquisa da Pen Test Partners confirmou que o Vtech Innotab Max está enraizado por padrão com o ADB (depuração automática) ativado desde o início.

O modo de depuração USB é um modo de desenvolvedor em telefones Android que permite que aplicativos recém-programados sejam copiados via USB no dispositivo para teste. Ele permite que um dispositivo Android receba comandos, arquivos e similares de um computador e permite que ele puxe informações cruciais, como arquivos de log, do dispositivo Android. A ativação da depuração USB deixa o dispositivo exposto. O ADB, Android Debug Bridge é um utilitário de linha de comando incluído no Android SDK do Google. O ADB pode controlar seu dispositivo via USB a partir de um computador.

Sem a depuração USB, é improvável que a extração lógica seja possível, a menos que uma vulnerabilidade possa ser usada. Uma extração lógica pode estar disponível dependendo de fatores como tipo de telefone, vulnerabilidade usada, versão do software e assim por diante. Outra maneira de analisar isso é considerar se os dados do usuário estão armazenados na memória flash interna e, se estiverem, se estão protegidos e requerem acesso root para leitura.

Um exemplo de vulnerabilidade usada para extração lógica, uma vez que só pode segmentar uma área específica do sistema de arquivos, é descrito por Christopher Vance, da Magnet Forensics.

“Como se trata de uma extração de MTP, apenas poderemos pegar o que está no diretório / media / na partição / data / ou / userdata /. Serão principalmente imagens e arquivos de vídeo. No entanto, o diretório / media / pode conter mais do que isso. Também pode incluir documentos, downloads de navegadores da Web, backups de bate-papo do WhatsApp e dados de aplicativos de terceiros que os desenvolvedores optam por armazenar aqui. ”

Extrair um Samsung Galaxy S7, SM-G930V criptografado e danificado (não foi possível digitar a senha ou ativar a depuração USB), usando o Media Transfer Protocol (“MTP”) foi uma opção para contornar senhas e autorizações. No entanto, enquanto disponível para alguns telefones Android, a Samsung v.6  “mudou o tipo de conexão padrão para“ Somente cobrança ”quando está conectado a um computador, portanto, teríamos que habilitar o MTP, o que não será possível sem o nosso tela [danificada] ”.  O Magnet AXIOM possui um ‘método avançado de desvio de MTP’:

“… Para obter uma imagem rápida da partição / media / no dispositivo para dispositivos Samsung que não receberam a atualização de segurança SMR-OCT-2017 ou SMR-NOV-2017 (a atualização exata na qual foi corrigido depende da modelo do dispositivo). Mesmo que este dispositivo não tenha o MTP ativado ou esteja bloqueado com uma senha, essa opção nos permitirá extrair alguns dados para análise. ”

IPhones bloqueados

Enquanto “… uma aquisição lógica pode ser obtida se o iPhone estiver desbloqueado”,  um iPhone bloqueado é problemático, pois existem dois avisos separados para lidar. Um ativa o modo de emparelhamento com o computador e permite um backup do iTunes e outro permite a transferência de mídia se o driver padrão fornecido pelo iTunes não puder ser encontrado e o padrão volta ao modo MTP (Media Transfer Protocol). Se o dispositivo tiver um registro de emparelhamento válido no PC em que a extração está ocorrendo, é possível obter um lógico (backup no estilo do iTunes) em um iPhone bloqueado. Sem isso, infelizmente, não pode ser obtido.

Nas versões anteriores do iOS, era possível obter apenas extrações MTP de um iPhone bloqueado, mas isso foi corrigido e é o motivo do segundo prompt. Sem aceitar esse prompt (oculto pela tela de bloqueio), você não poderá obter uma extração MTP do dispositivo.

Extração do sistema de arquivos na mobile forense

O que é isso

A extração do sistema de arquivos na mobile forense, geralmente é tecnicamente vista como um tipo de extração lógica. Como em todas as formas de extração, os recursos de uma extração de sistema de arquivos serão específicos do dispositivo. A extração do sistema de arquivos é um pouco mais rica em dados do que uma extração lógica; na extração do sistema de arquivos, todo o sistema de arquivos é retirado do telefone.

Ele  “… contém muito mais informações do que a coleção lógica definida e deve ser considerado um passo à frente de uma coleção lógica. Um sistema de arquivos contém os arquivos e pastas que o dispositivo usa para preencher aplicativos, configurações do sistema e configurações do usuário, juntamente com as áreas de armazenamento do usuário. ”

Inclui arquivos não acessíveis diretamente ao usuário através da interface do dispositivo e requer ferramentas especializadas para acessar os artefatos do sistema de arquivos. Não extrai espaço não alocado.

“As informações contidas [em uma extração do sistema de arquivos] excedem em muito os dados coletados na superfície. Coletar os dados lógicos “superficiais” junto com a recuperação do sistema de arquivos é o que todo exame deve se esforçar para realizar. Esse tipo de coleção deve ser chamado de coleção do sistema de arquivos, não apenas uma extração lógica. ” 

“Os telefones comuns que usam sistemas de arquivos proprietários podem ter seus sistemas de arquivos coletados e exibidos para mostrar arquivos do sistema, bancos de dados do usuário, mídia, arquivos do usuário, logs, configurações do usuário e muito mais. … Esses arquivos são os contêineres reais consultados e analisados ​​pelo software lógico e exibidos na interface do software. Ao possuir o arquivo real, você pode realizar uma análise mais detalhada, que deve ser considerada muito mais valiosa do que o que “lógico” define “.

A extração do sistema de arquivos geralmente é feita por um usuário root, por isso requer (geralmente de forma suave) fazer o root do telefone. Um usuário root é um superusuário, em que um superusuário tem permissão para fazer qualquer coisa com qualquer arquivo em qualquer lugar do sistema do telefone. ou seja, controle privilegiado sobre o telefone. Enraizamento de um telefone é o processo para obter acesso root.

A ‘extração lógica avançada’ do Cellebrite UFED combina extrações lógicas e de sistema de arquivos para dispositivos iOS e Android e é uma alternativa para onde a extração física não é possível.

“As aquisições lógicas avançadas são iguais às aquisições de sistemas de arquivos nas quais o acesso aos dados do sistema de arquivos é fornecido. A aquisição física em dispositivos iOS usando os chips A5-A11 (iPhone 4s e mais recentes) não é possível usando esta ferramenta. Portanto, o método avançado de aquisição lógica é o melhor suporte e extrairá o máximo de dados desses dispositivos se eles estiverem desbloqueados (mesmo que não sejam desbloqueados). Se o dispositivo for desbloqueado, dados adicionais podem ser extraídos. ”

Como funciona?

A extração do sistema de arquivos é menos identificada como uma forma distinta de extração pelas empresas. Quase exclusivamente, a Cellebrite promove a extração do sistema de arquivos do UFED e está entre os poucos que se referem ao método:

“A extração do sistema de arquivos com o UFED Physical Analyzer é quase idêntica à extração física, pois depende de um gerenciador de inicialização para acessar a memória do dispositivo; no entanto, em vez de obter uma imagem bit a bit incluindo espaço não alocado, o software extrai apenas o sistema de arquivos do dispositivo. Esse processo de extração é proprietário e não depende da API da Apple. ”

O MSAB não possui um produto específico para o sistema de arquivos, simplesmente o XRY Logical e o XRY Physical. O Oxygen Forensic refere-se à obtenção de uma coleção de sistemas de arquivos como parte da ‘lógica clássica’. A ferramenta Adquirir do Magnet permite escolher um processo de extração, oferecendo uma ‘extração rápida’ de todos os dispositivos iOS e Android ou ‘extração completa através de uma imagem física de dispositivos Android enraizados ou imagens lógicas do sistema de arquivos de dispositivos iOS com jailbreak’.

“Se o dispositivo estiver enraizado, você poderá criar um despejo físico. Se o dispositivo não estiver enraizado, um backup do dispositivo será criado e todos os arquivos que estão no cartão de memória do dispositivo serão extraídos. ”

A aquisição do sistema de arquivos é, no entanto, uma alternativa em que a extração física de dispositivos iOS não é mais possível. Infelizmente, a senha é necessária.

“Desde o iOS 8, remover a senha é inútil, mesmo em dispositivos de 32 bits. A chave criptográfica necessária para descriptografar a partição de dados é calculada dinamicamente com base na entrada do usuário (a senha) e nas chaves do Secure Enclave. Sem a senha correta, o iPhone permanecerá criptografado; simplesmente não há maneira de contornar isso. ”

O Secure Enclave  ” é um gerenciador de chaves baseado em hardware, isolado do processador principal, para fornecer uma camada extra de segurança”.  A conseqüência é que as chaves de criptografia são protegidas pelo Secure Enclave e não são mais acessíveis, mesmo que o dispositivo esteja com jailbreak . No entanto, uma extração do sistema de arquivos pode ser obtida se você desbloquear o dispositivo. Para fazer isso, você precisa inicializar e desbloquear o dispositivo usando a senha. “Em outras palavras, a senha deve ser conhecida para realizar a aquisição (limitada) física de todos os dispositivos iPhone começando com o iPhone 5s.”

“O Secure Enclave trouxe novos desafios para os examinadores forenses do iOS. Agora, não podemos extrair as chaves de criptografia necessárias para descriptografar a imagem do dispositivo; portanto, a aquisição física é inútil. Mas aqui vem a aquisição do sistema de arquivos. Infelizmente, ele exige que o dispositivo iOS seja desbloqueado.”

Ao contrário de uma extração lógica, uma vez obtido o sistema de arquivos, ele precisará ser decodificado.

“O processo de decodificação converte os dados brutos em um arquivo de banco de dados para um formato reconhecível. Os dados extraídos por APIs e backups não exigem decodificação, pois são intrínsecos a esses métodos, que apresentam arquivos de mídia, como fotos e vídeos, como são vistos no dispositivo. No entanto, os dados em outros arquivos de banco de dados, como aqueles que contêm mensagens de texto, devem ser decodificados separadamente para analisar as mensagens. O UFED Physical Analyzer executa automaticamente esse processo de decodificação, apresentando dados decodificados em formato legível por humanos e como dados brutos são armazenados na memória do dispositivo.”

Usando vulnerabilidades na mobile forense

A Cellebrite alega que a extração completa do sistema de arquivos de um dispositivo iOS, usando o ‘Cellebrite Advanced Services’ de seus laboratórios internos, pode obter 21 GB de uma memória Flash de 32 GB. A Cellebrite promove seus ‘Serviços Avançados’ em vez de liberar vulnerabilidades valiosas no UFED, pois isso, por exemplo, dará à Apple a chance de corrigir explorações. Portanto, quais vulnerabilidades são usadas para realizar uma extração completa do sistema de arquivos de um dispositivo iOS não são divulgadas publicamente.

webinar cellebrite

Serviços avançados da Cellebrite. Fonte: webinar Cellebrite

“Qual é o benefício de executar uma extração completa do sistema de arquivos em vez de um sistema lógico de arquivos ou até mesmo uma extração lógica avançada? Existem três benefícios principais. Obter dados de aplicativos de terceiros é o primeiro. WhatsApp, Facebook Messenger, telegrama. Os dados não podem ser recuperados, a menos que uma extração completa do sistema de arquivos seja executada. Esses aplicativos e muitos outros podem conter informações críticas que podem ajudar a fechar o seu caso.

Ou seja, uma extração completa do sistema de arquivos pode obter aplicativos de terceiros excluídos de um backup do iTunes. Ele também pode identificar locais de interesse do dispositivo, revelar logs do sistema e dados de log do aplicativo.

Sistema de arquivos lógico vs completo do CASComparação Cellebrite entre iOS avançada extração lógica e completa do sistema de arquivos. Fonte: webinar Cellebrite

O uso dos Serviços Avançados da Cellebrite não foi isento de controvérsias. Em junho, foi relatado que o laboratório de evidências digitais do Reino Unido, Sytech, perdeu seu credenciamento depois que um ex-funcionário relatou preocupações sobre o tratamento de evidências nos negócios. Isso incluía telefones sendo “enviados ao exterior para serem descriptografados sem o conhecimento da polícia”. Um ex-funcionário disse que “uma força policial, entendida como a polícia de Greater Manchester, levantou preocupações com a Sytech no ano passado depois de saber que os telefones haviam sido enviados para o exterior para serem desbloqueados pela empresa japonesa Cellebrite, fundada em Israel”.

A Magnet Forensics também afirma que pode obter um sistema de arquivos completo. Ele fez uma parceria com a GrayKey para oferecer  “a solução mais avançada para recuperar dados de um dispositivo iOS, incluindo o sistema de arquivos completo, chave descriptografada e memória de processo, enquanto outras ferramentas são limitadas apenas a um backup do iTunes.” A  GrayKey pode desbloquear dispositivos iOS e obter no modo restrito USB.

O Magnet Forensics informa que eles podem obter dados de aplicativos de terceiros, ao contrário de um backup do iTunes, aspectos dos dados do Apple Mail, cache da web e cache de aplicativos, dados do sistema operacional, dados de localização, dados de chaveiro e algumas mensagens excluídas:

“A GrayKey pode obter uma imagem completa do sistema do dispositivo, o que significa que os arquivos temporários ou de suporte existentes com nossos artefatos padrão estão agora disponíveis para revisão. Um excelente exemplo disso é o arquivo sms.db-wal que vive no mesmo diretório que o sms.db. O sms.db permite que os examinadores recuperem e analisem iMessages, mensagens SMS e mensagens MMS. No entanto, como esse banco de dados utiliza a funcionalidade “write ahead log” do SQLite, as mensagens são realmente gravadas no arquivo sms.db-wal antes de serem confirmadas no principal sms.db. Isso pode causar problemas na recuperação de mensagens potencialmente excluídas, dependendo de quanto tempo as mensagens permaneceram no dispositivo antes de serem excluídas. Se as mensagens forem excluídas assim que forem enviadas / recebidas, é muito menos provável que você possa recuperar essas mensagens a partir de uma extração no estilo padrão do iTunes. Contudo, há pouca informação sobre a extração do sistema de arquivos, talvez devido ao valor das vulnerabilidades do iPhone. Também não há muito sobre outros sistemas operacionais, como o Android, talvez porque ainda seja possível realizar a extração física preferida.

Extração física na mobile forense

O que é isso?

A extração física pode obter  “dados de serviço, aplicativos e dados do usuário. Os arquivos excluídos podem ser restaurados do dump físico. ”  A extração física é uma cópia bit a bit do armazenamento físico / sistema de arquivos inteiro / memória do dispositivo ou como um dump hexadecimal. Geralmente, requer cabeamento específico e envolve a inicialização do telefone em um sistema operacional personalizado ou recuperação. A extração física geralmente leva muito tempo, porque também gera espaço livre; no entanto, o espaço livre pode conter informações excluídas e, portanto, pode valer a pena do ponto de vista dos pesquisadores.

“A extração física tem sido um método ideal de extração forense para telefones celulares e dispositivos embarcados. Este método tradicionalmente inclui acesso físico ao chip de memória para obter uma leitura bruta dos blocos flash subjacentes. Esse método não apenas permite o acesso aos dados digitais, mas a análise do armazenamento físico revela rapidamente áreas e blocos não utilizados que podem conter dados excluídos e manter um valor forense significativo. “

É a mais abrangente e invasiva de todas as extrações e inclui todo o espaço não alocado no telefone, motivo pelo qual pode incluir arquivos excluídos.

“A capacidade de extração física da Cellebrite acessa as camadas de dados adicionais, no espaço alocado e não alocado, que constroem a memória física do telefone. Essas camadas incluem três grupos diferentes de conteúdo pertinentes aos pesquisadores:

Conteúdo “lógico” indisponível através da API (por exemplo, registros de chamadas em smartphones e feature phones)

Conteúdo excluído

Conteúdo que o telefone coleta sem nenhuma ação do usuário (e às vezes sem o conhecimento do usuário). Por exemplo: redes wi-fi, localizações GPS, histórico da web, cabeçalhos de e-mail e dados EXIF ​​em imagens e dados do sistema. ”

MSAB XRY Physical

XRY físico da MSAB. Fonte: site da MSAB

Como funciona

“Um dump hexadecimal, também conhecido como extração física, é obtido conectando o dispositivo à estação de trabalho forense e inserindo código não assinado ou um gerenciador de inicialização no telefone e instruindo o telefone a descarregar a memória do telefone para o computador. Como a imagem bruta resultante está no formato binário, é necessário conhecimento técnico para analisá-la. O processo … fornece mais dados ao examinador e permite a recuperação de arquivos excluídos do espaço não alocado no dispositivo na maioria dos dispositivos.”

A MSAB declara que seu produto físico XRY acessa os dados ignorando o sistema operacional para acessar todos os dados do sistema e excluídos. Eles podem superar os desafios de segurança e criptografia em (certos) dispositivos bloqueados.

“A coleta física dos dados de um dispositivo móvel deve implicar que a comunicação direta com o armazenamento interno de dados de um dispositivo seja feita para coletar uma representação dos dados conforme eles são armazenados na memória flash real do dispositivo. Esses dados são um instantâneo na área do armazenamento de memória flash que é acessível usando ferramentas e métodos especializados.”

“… com a criptografia ativada no disco completo, no nível do bloco, toda a leitura física se torna inutilizável, a menos que um examinador possa recuperar a chave de criptografia de um dispositivo.”

O complemento XRY Physical para o XRY Logical permite que o usuário realize o desvio de senha de alguns dispositivos Android, leituras de chips de memória integradas e outras tarefas forenses móveis avançadas. ”

Em  um telefone Android, esse método geralmente requer a remoção da bateria e o desligamento do telefone; também o cabo geralmente é específico para esse método, em vez de usar o cabo de carregamento padrão. O Cellebrite orienta sobre quais etapas devem ser executadas e quando, incluindo quais botões precisam ser mantidos na inicialização para ativar o FastBoot, Bootloader, Recovery, Factory Reset etc., dependendo de quais dispositivos estão sendo extraídos.

Quando o dispositivo estiver no modo de inicialização rápida, o Cellebrite funcionará de maneira bastante automatizada. Às vezes, você poderá solicitar opções na tela do telefone ou reiniciar o telefone.

A extração física, que fizemos no iPhone 4, usa um bug no processo de inicialização do iOS que permite a execução de código não assinado (é uma técnica usada para desbloquear iDevices mais antigos), o Cellebrite executa seu próprio  SO em vez do iOS e extrai o dados do telefone.

tela cellebrite

A extração física pode usar o modo de resgate ou download do telefone. “Operando nesse modo, os telefones celulares são projetados para permitir a inserção de um pequeno pedaço de código, chamado bootloaders, na RAM durante a inicialização.”  O bootloader lê o conteúdo da memória do dispositivo e o envia de volta ao dispositivo de extração. . A Cellebrite afirma que:

“… Durante o estágio inicial de inicialização do dispositivo, o UFED envia o carregador de inicialização para a memória RAM do dispositivo. O dispositivo começará a executar o carregador de inicialização, mas não continuará seu procedimento de inicialização regular no sistema operacional. Os carregadores de inicialização da Cellebrite executam ações “somente leitura” que extraem evidências de dispositivos móveis e não deixam artefatos para trás “.

extração física usando o gerenciador de inicialização

Extração física usando um gerenciador de inicialização. Fonte: artigo da Cellebrite

Os gerenciadores de inicialização da Cellebrite são projetados internamente em torno de cada plataforma de dispositivo individual, levando em consideração as variedades de chipsets, periféricos, interfaces de chip de memória e controladores USB. Os clientes precisarão enviar determinados telefones para a Cellebrite.

“O UFED obteve a permissão para acessar internamente os sistemas operacionais depois que os dados já foram descriptografados. Em seguida, ele pode extrair a leitura bruta, no nível do bloco, na forma descriptografada. Isso é feito, novamente, explorando vulnerabilidades identificadas pela Cellebrite. Essas vulnerabilidades raramente estão disponíveis ao público após serem descobertas. Muitas vezes, os laboratórios de pesquisa de segurança da Cellebrite têm conhecimento exclusivo sobre vulnerabilidades e oportunidades que oferecem.

Esse conhecimento só se tornará mais valioso; À medida que o software iOS e Android progride e as proteções de privacidade, os mecanismos de isolamento de sandbox e as atenuações de segurança avançam. ”

O desafio do iOS para a Mobile Forense

O iOS da Apple apresenta o maior obstáculo para extrações físicas. Antes do iPhone 4S, era possível realizar uma extração física em um iPhone. Mas desde o iPhone 4S e de fato para outros dispositivos que entraram no mercado, é extremamente difícil, se não impossível, entrar no dispositivo devido à criptografia de hardware. Embora vários fornecedores afirmem que podem.

“A aquisição física tem o maior potencial para recuperar dados de dispositivos iOS; no entanto, os recursos de segurança atuais e em evolução (cadeia de inicialização segura, criptografia de armazenamento e código de acesso) nesses dispositivos podem prejudicar a acessibilidade dos dados durante a aquisição forense. Pesquisadores e fornecedores de ferramentas forenses comerciais estão continuamente tentando novas técnicas para ignorar os recursos de segurança e realizar aquisições físicas em dispositivos iOS, mas para o modelo mais recente, a única opção disponível é o jailbreak, e mesmo isso não ajudará você a adquirir fisicamente dispositivos com o Secure Enclave …

O Elcomsoft iOS Forensic Toolkit 5.0 afirma que pode obter extração física do iOS 12. Isso soa semelhante à extração completa do sistema de arquivos da Cellebrite descrita acima. Ele pode extrair o conteúdo do sistema de arquivos e descriptografar senhas e credenciais de autenticação armazenadas no chaveiro do iOS. É possível em dispositivos suportados pelo ‘jailbreak sem raiz’.

“O Elcomsoft iOS Forensic Toolkit suporta todas as opções possíveis para extrair e descriptografar dados de dispositivos de 64 bits com jailbreak e não com jailbreak, incluindo as últimas gerações de hardware e software da Apple. Sem um jailbreak, os especialistas podem realizar extração lógica através de backups do sistema iOS, extrair dados de aplicativos e arquivos de mídia compartilhados. Em certos casos, a extração lógica é possível mesmo se o iPhone estiver bloqueado. Se um jailbreak puder ser instalado, os especialistas poderão criar imagens do sistema de arquivos dos iPhones de 64 bits, extrair dados de aplicativos protegidos e conjuntos de dados de trabalho. ”

“A aquisição física oferece vários benefícios em comparação com todas as outras opções de aquisição, permitindo o acesso a partes protegidas do sistema de arquivos e extraindo dados que não são sincronizados com o iCloud ou incluídos em backups locais: Em particular, a aquisição física é o único método para descriptografar itens de chaveiro visando a classe de proteção mais alta. A extração do sistema de arquivos obtém acesso total às caixas de proteção de aplicativos e a todas as áreas do sistema, extrai chats secretos e recupera mensagens excluídas. Mensagens de email baixadas, bancos de dados de bate-papo e segredos de aplicativos de autenticação de dois fatores, logs do sistema e dados detalhados de localização são apenas algumas das coisas que estão disponíveis exclusivamente com a extração do sistema de arquivos. ”

“… quebras na prisão pública para obter acesso ao sistema de arquivos do dispositivo, contornar as medidas de segurança do iOS e acessar segredos do dispositivo, permitindo descriptografar todo o conteúdo do chaveiro, incluindo itens de chaveiro protegidos com a mais alta classe de proteção”.

De fato, Reiber (2019: 342) afirma que:

“Com os dispositivos iOS atuais que contêm chipsets A5 e posteriores, uma coleção física bit a bit sem jailbreak usando um USB é impossível; portanto, uma coleção lógica de sistema de arquivos é o único método disponível … Algumas fontes relatam que uma coleção física pode ser obtida usando ferramentas como o Elcomsoft iOS Forensic Toolkit, GrayKey by Grayshift ou o programa CAIS de serviços profissionais da Cellebrite, mas isso não é totalmente preciso. Essas ferramentas não podem ser usadas para executar uma coleção de partições físicas, como acontece com os chipsets A4; eles simplesmente permitem coletar o sistema de arquivos interno de um dispositivo com jailbreak. Quando o dispositivo está em um estado no qual um sistema de arquivos bruto pode ser coletado, a maioria das ferramentas comerciais, incluindo o UFED Touch 2, o Oxygen Forensic Detective e o XRY, podem coletar o sistema de arquivos e os artefatos. ”

A aquisição física de dispositivos iOS 11 pelo Elcomsoft iOS Forensics Toolkit usa o jailbreak clássico.

“Os especialistas forenses usam jailbreak por razões muito diferentes em comparação com usuários entusiasmados. Uma vulnerabilidade de segurança aberta é exatamente o que eles querem expor o sistema de arquivos do dispositivo, contornar a proteção da caixa de areia do iOS e acessar dados protegidos. O jailbreak extrai o maior conjunto de dados do dispositivo. Durante o jailbreak, muitas restrições de software impostas pelo iOS são removidas pelo uso de explorações de software. 

Além dos dados de aplicativos em área restrita (que incluem histórico de conversas e correio baixado), os especialistas também podem extrair e descriptografar as chaves, um armazenamento em todo o sistema para senhas on-line, tokens de autenticação e chaves de criptografia. Ao contrário dos itens de chaveiro obtidos de um backup local protegido por senha, a extração física de um dispositivo desbloqueado obtém acesso a itens de chaveiro protegidos com a mais alta classe de proteção. ”

Android – Usando vulnerabilidades: Modo de Download de Emergência

“Pode parecer incomum, mas é possível fazer um despejo físico de um dispositivo Android sem fazer root e não requer métodos JTAG e Chip-off”.

O modo Download de Emergência (EDL) é uma vulnerabilidade usada por vários fornecedores para realizar extrações físicas. Funciona em alguns dispositivos, mas não em todos os que possuem o chipset Qualcomm. EDL é o modo de recuperação da Qualcomm para diagnóstico e reparo de telefone, que é exposto por vários gatilhos ou quando um dispositivo não pode inicializar. Ele  “foi projetado para permitir acesso de baixo nível ao chipset para análise, reparo ou re-thrashing do dispositivo”.

A Cellebrite possui uma ampla gama de ‘programadores’ prontos, que são  “software que contém a funcionalidade de leitura / gravação em flash bruto”.  Os programadores podem ser assinados digitalmente com uma assinatura de fornecedor que é verificada pelo dispositivo, para que a EDL aceite e verifique um programador, ele deve corresponder, mas o requisito de hardware e assinatura.

Quando o UFED da Cellebrite inicia o fluxo de extração de EDL, ele tenta automaticamente corresponder um programador existente ao requisito de hardware e assinatura. Se houver uma correspondência, ela terá acesso de leitura flash. Se não houver um requisito de assinatura para um telefone específico, ele corresponderá ao hardware. Segundo a Cellebrite, o UFED possui uma exploração proprietária para ignorar o requisito de assinatura de vários chipsets.

Além disso, o acesso flash bruto permitirá o acesso ao conteúdo criptografado, no entanto, sem acesso às chaves de criptografia. Para solucionar esse problema, o Cellebrite UFED tentará inicializar completamente o dispositivo antes do início da extração.

A maneira como você coloca um dispositivo no modo EDL varia de acordo com o telefone e varia de técnicas que várias tecnologias, como o UFED da Cellebrite, podem suportar, a técnicas mais invasivas que exigem habilidade forense. Se o EDL for suportado pela Cellebrite, o UFED poderá orientá-lo no que você precisa fazer, por exemplo, mantenha o volume acima e abaixo.

usando o modo EDL

Usando o modo EDL. Fonte: webinar Cellebrite

O UFED da Cellebrite possui uma opção de extração de EDL descriptografada e não descriptografada. Ambos funcionam em dispositivos bloqueados por padrão ou por senha (se o dispositivo for suportado), se o dispositivo estiver criptografado. A extração de descriptografia para dispositivos criptografados exigirá que o dispositivo seja inicializado para que o UFED possa aplicar o carregador de descriptografia, o que não é necessário para a extração de EDL não descriptografada. Nas duas opções, ao usar o UFED, o usuário poderá escolher colocar o dispositivo no DFU (interface de diagnóstico do aparelho) FTM (modo de teste de fábrica). Ambos usam métodos EDL.

Um exemplo de uso do modo EDL, a opção bootloader é a solução de desvio físico EDL da Cellebrite para determinados dispositivos Samsung com o chipset Qualcomm. A maioria dos telefones modernos com Android é criptografada imediatamente. Nesse método, a Cellebrite usa cabos especificados para dispositivos com uma conexão de porta de dados específica. Quando o dispositivo está sendo executado no modo do carregador de inicialização, o sistema operacional não é executado. Ignora qualquer bloqueio do usuário.  Quando você seleciona o telefone que deseja baixar, o UFED solicitará que você faça várias coisas para colocar o telefone no modo de download e ativar a extração.

Outros métodos para obter o modo EDL incluem o uso do cabo 523, ‘abd reboot edl’, ‘fastboot oem edl’, ponto de teste e injeção de falhas eMMC (curto-circuito). Os dois últimos exigem experiência com ISP e Chip Off.

A Cellebrite não é o único fornecedor que extrai uma imagem física para dispositivos com chipsets Qualcomm via modo EDL. A Magnet Forensics e a Oxygen Forensic fazem isso usando o método ADB. Ambos observam que o acesso ao ADB deve estar ativado. Para fazer isso, o telefone deve ser desbloqueado e a depuração USB ativada  “para que você possa enviar e receber comandos ADB para o telefone… o método funciona muito bem em cenários em que o telefone já está desbloqueado e você só deseja obter uma aquisição melhor. ”A  Oxygen Forensics também usa ‘fastboot’ e descreve a entrada de dispositivos nesse modo usando combinações de teclas, por exemplo, mantendo Power e Vol- ao mesmo tempo.

A Cellebrite também promove sua capacidade de usar o ADB ‘inteligente’:

“Com esse recurso inovador, a Cellebrite restaura o acesso de extração física a muitos novos dispositivos com a criptografia de disco completo ativada, quando o ADB pode ser ativado. O método requer o Android 6 e superior e possui uma ampla cobertura genérica para muitos fornecedores. ”

O Oxygen Forensic Detective afirma que o uso do modo EDL  “permite que os investigadores utilizem essa técnica não invasiva de aquisição física e o desvio de bloqueio de tela em mais de 400 dispositivos exclusivos quando o telefone pode ser colocado com sucesso no modo EDL. “

como colocar um dispositivo no modo edl

Como colocar um dispositivo no modo EDL. Fonte: webinar Cellebrite

extração física do telefone do autor

Extração física do HTC Desire do autor usando o Cellebrite UFED. Fonte: Privacidade Internacional

Análise: análise de dados extraídos

Diversas ferramentas com impressionantes capacidades analíticas estão disponíveis para ajudar os investigadores a lidar com os dados extraídos.

“Existem muitas ferramentas para análise de despejos físicos e backups de dispositivos móveis com sistemas operacionais Android. Essas ferramentas incluem todas as melhores ferramentas forenses móveis, como UFED Physical Analyzer (Cellebrite), Oxygen Forensics (Oxygen Forensics, Inc), XRY (MSAB), MOBILedit Forensic Express (COMPELSON Labs) e Secure View (Susteen). ”

“O exame e a análise usando ferramentas de terceiros geralmente são realizados importando o despejo de memória do dispositivo em uma ferramenta forense móvel que recuperará automaticamente os resultados”.

O Analisador Físico da Cellebrite é um software fácil de usar, projetado para organizar dados extraídos em diferentes tipos de arquivos, de XML, CSV, TXT a CDR, mídia e texto. Ele pode reunir conjuntos de dados de diferentes dispositivos, reconhecer e categorizar mídias digitais. O Analisador Físico pode exibir todas as informações extraídas. Ele também possui recursos consideráveis ​​de visualização e mergulho de dados.

“O sistema de análise unifica todos os dados de drones, dispositivos móveis, nuvem, computadores e telecomunicações em uma visão centralizada, para que você não perca tempo com ferramentas separadas.”

A análise de links é usada para analisar chamadas telefônicas, mensagens de texto por e-mail e dados de localização, a fim de descobrir associações entre indivíduos através de diferentes tipos de dados. Como observado pelo professor Peter Sommer em evidência ao Parlamento do Reino Unido:

“Também são feitas técnicas de visualização de dados / análise de links para demonstrar frequências ao longo do tempo de contatos entre números de telefone e entre endereços IP, transações financeiras e cronologias de eventos, entre outros.”

A polícia do Reino Unido está testando as ferramentas de aprendizado de máquina da Cellebrite para interpretar imagens, combinar rostos e analisar padrões de comunicação. A Cellebrite afirma que:

“… os dados podem ser extraídos juntamente com outras fontes de informações críticas, como atividades on-line de contas de email e mídias sociais. Essas fontes podem ser filtradas, comparadas e analisadas usando inteligência artificial e aprendizado de máquina para gerar insights acionáveis, como locais … Dados extraídos podem ser combinados com dados de fontes públicas – como sites ou contas de mídia social – para encontrar informações cruciais e fazer comparações. Os investigadores podem usar os dados combinados para criar perfis de atacantes, seus contatos e membros de células terroristas mais amplas. Os dados também podem criar cronogramas de eventos, ajudando os investigadores a determinar exatamente o que aconteceu e a compilar as evidências certas para uma acusação. ”

O Magnet AXIOM também está utilizando técnicas de aprendizado de máquina:

“… com recursos como Connections e Magnet.AI, você pode gerar automaticamente insights que podem levar a descobertas importantes em seus exames.

“O aprendizado de máquina, via Magnet.AI, oferece … um aparelho preditivo” treinado “para reconhecer mensagens que se enquadram em … categorias”.

“Com o lançamento do AXIOM 2.0, o módulo Magnet.AI agora identifica imagens que podem conter representações de abuso sexual infantil, nudez, armas e drogas. Também expandimos nosso modelo de classificação de texto para detectar possíveis conversas sexuais, além de atrair crianças. ”

Em agosto de 2017, a Cellebrite introduziu o que chamou de “tecnologia avançada de aprendizado de máquina” para sua plataforma de análise, que pode ser usada para analisar dados extraídos da nuvem e que inclui reconhecimento de rosto e correspondência.

A partir de julho de 2019, o módulo Oxygen Forensics JetEngine, incorporado ao Oxygen Forensic Detective, fornece a capacidade de categorizar rostos humanos usando sua própria tecnologia. Eles não apenas fornecem a categorização e a correspondência de rostos nos dados extraídos, mas também a análise facial inclui reconhecimento de gênero, raça e emoção . Lee Reiber, diretor de operações da Oxygen, disse que a ferramenta pode  “procurar um rosto específico em um conjunto de evidências ou agrupar imagens da mesma pessoa. Eles também podem filtrar rostos por raça ou faixa etária e emoções como “alegria” e “raiva”. “

forense de oxigênio

Oxygen Forensic. Fonte: Oxygen Forensic

Conclusão 

À medida que o uso da extração de telefones celulares se prolifera, seja usado pela aplicação da lei ou pela segurança nas fronteiras, os dados desses dispositivos serão usados ​​para desafiar um indivíduo, seja em procedimentos e procedimentos criminais, civis ou de imigração. Há pouca informação técnica disponível para os indivíduos, para aqueles que podem representá-los e aqueles que fazem campanha nessas questões. Embora o forense móvel seja um campo em rápida mudança, essa é uma tentativa de analisar o que está acontecendo quando aqueles que usam ferramentas poderosas de extração buscam dados nos dispositivos.

O uso de análise forense móvel levanta questões complexas relacionadas à confiabilidade dos dados extraídos como forma de evidência, principalmente se forem utilizados por indivíduos não qualificados que confiam nas tecnologias de botões de pressão, mas não são analistas forenses digitais.

“O que estou vendo em campo é que policiais regulares estão tentando ser analistas forenses digitais porque recebem essas ferramentas mágicas bastante sofisticadas que fazem tudo, e um policial regular, por melhor que seja, não é um analista forense digital. Eles estão apertando alguns botões, obtendo alguma saída e, com muita freqüência, está sendo examinada pelo oficial encarregado do caso, que não tem mais treinamento nisso e provavelmente menos do que ele. Eles tiram conclusões precipitadas sobre o que isso significa porque estão sendo pressionados a fazê-lo e não possuem os recursos ou o treinamento para poder fazer as inferências corretas a partir desses resultados. Isso vai bater na frente da quadra.

A entrega da justiça depende da integridade e precisão das evidências e da confiança que a sociedade possui nela. Esperamos que, ao começar a desvendar algumas das complexidades desse campo, possamos informar o debate sobre esse tópico.

 

 

Referências:

Este artigo é uma livre tradução de: https://privacyinternational.org/long-read/3256/technical-look-phone-extraction

Um olhar técnico sobre Extração telefônica FINAL.pdf 

Aprenda mais no curso CFID

Gostou do artigo? Conheça o curso Computação Forense e Investigação Digital.

Este curso tem como objetivo apresentar os conceitos da Computação Forense e métodos de Investigação Digital, sendo baseado no conteúdo apresentado nas certificações mais conhecidas do mercado.

Hospedagem de site

digitalocean, excelente custo benefício.

Clique abaixo e aproveite!