 (54) 99645-0777  petter@periciacomputacional.

nal.com Início Contato | Sobre Blog Serviços Mídia (Revistas) Loja (Cursos & Livros) 3 Professor  0 Item

Início Contato | Sobre Blog Serviços Mídia (Revistas) Loja (Cursos & Livros) 3 Professor U

Mobile Forense – Um olhar técnico sobre extração de telefone

por Petter Lopes | jan 30, 2020 | Forense Digital, Investigação, Mobile, Mobile Forensics, Oxygen Forensics

Utilizamos cookies para garantir que você tenha a melhor experiência em nosso site. Se você continuar a usar este site, assumiremos que você está feliz com isso. Sim Não Política de privacidade

 digitalforense  Twitter  Google+  Gmail

 petter-anderson-lopes

MOBILE FORENSE – Um olhar técnico sobre extração de telefone

 

Neste artigo, examinamos a extração de telefones celulares, contando com as informações publicamente disponíveis e a experiência da Privacy International ao
realizar a extração de telefones celulares usando um Celedbrite UFED Touch 2. Agradecemos a opinião de especialistas da área . Esta é uma área em rápido
desenvolvimento. Assim como novos recursos de segurança são anunciados para os telefones, também são encontrados novos métodos para extrair dados.

[Todas as referências podem ser encontradas na versão pdf abaixo.]

Explicação geral da extração do telefone móvel – Mobile Forense

As tecnologias de extração de telefone celular, conhecidas também como forense móvel ou Mobile Forense, envolvem a conexão física do dispositivo móvel a ser
analisado e um dispositivo que extrai, analisa e apresenta os dados contidos no telefone. Embora especialistas forenses, hackers e vendedores de spyware possam
acessar e extrair dados, analisamos várias das empresas comerciais mais conhecidas que vendem seus produtos para a aplicação da lei, como Cellebrite, Oxygen
Forensic Detective e MSAB.

Android e iOS

Nossa análise se concentra no Android e iOS ao analisar tecnologias extrativas. O Android é o principal sistema operacional para telefones em todo o
mundo. “Segundo a IDC, no primeiro trimestre de 2017, o Android dominou o setor com uma participação de mercado de 85%.” O  iOS lidera o caminho em relação à
segurança e apresenta o maior desafio forense. “… sem a senha, di cilmente podemos extrair algo do moderno dispositivo iOS”.  Por exemplo, o modo restrito USB do
iOS, que apareceu pela primeira vez no iOS 11.4.1, desabilitou as comunicações USB após uma hora do último desbloqueio, o que causa problemas para quem está
realizando uma extração. À medida que o modo restrito USB se desenvolve com as versões do iOS, para muitos no mundo forense, é simplesmente um desafio a ser
superado. A extração de telefones celulares pode ser caracterizada como uma corrida armamentista, onde os fornecedores estão constantemente buscando superar
obstáculos do aumento da segurança do telefone.

“Queremos começar com as más notícias: se você estiver examinando um iPhone com iOS 8 ou mais recente … as chances de desbloqueá-lo não são boas … No iOS 11,
esse problema se torna ainda mais grave – mesmo se o dispositivo estiver sob o exame não é protegido por código de acesso, o examinador precisará do código de
qualquer maneira, pois deve ser inserido para con rmar a con ança entre o dispositivo e sua estação de trabalho. ”

Um diferencial importante entre iOS e Android em termos de recursos forenses é que, embora a Apple possa enviar atualizações diretamente para seus usuários,
corrigindo vulnerabilidades e explorações, os usuários do Android dependem predominantemente do fabricante e da operadora para fornecer atualizações. Isso faz
com que muitos telefones Android executem versões mais antigas dos sistemas operacionais, o que significa que várias formas de extração são viáveis. “A variedade
de versões do sistema operacional e as plataformas de hardware nas quais são usadas fornecem uma ampla variedade de métodos de extração de dados. “

Vulnerabilidades

Na avaliação das tecnologias MPE, este projeto analisa algumas das vulnerabilidades usadas para obter dados, principalmente para telefones Android, como o uso
do Emergency Download Mode para dispositivos com o chipset Qualcomm.

Quais tecnologias atuais são usadas para acessar, extrair e analisar dados de telefones celulares?

“A análise forense de dispositivos móveis é provavelmente a disciplina de avanço mais rápido que a análise forense digital já viu ou verá, principalmente por causa das
rápidas mudanças no ambiente dos dispositivos atuais. Os sistemas operacionais de dispositivos tornaram-se mais avançados e a capacidade de armazenamento nos
dispositivos atuais é astronômica. Os dispositivos de hoje são plataformas de computação móvel, mas acessar os dados contidos nesses dispositivos é muito mais difícil
do que acessar dados de qualquer outro dispositivo digital. ”

Acessar e extrair dados de telefones não é novidade. No entanto, à medida que o volume de dados nos telefones explode e  “o cenário móvel está mudando a cada dia
que passa “,  a capacidade de acessar, extrair e analisar esses dados é cada vez mais difícil e complexa. As técnicas variam de acordo com o hardware e o software de
um telefone, desde o chipset (Qualcomm, MediaTek) até a versão do sistema operacional. “Extrair dados de um dispositivo móvel é metade da batalha. O sistema
operacional, os recursos de segurança e o tipo de smartphone determinarão a quantidade de acesso que você tem aos dados. ”

Criptografia e outras medidas de segurança apresentam desafios significativos.

“À medida que a tecnologia móvel continua amadurecendo, e a quantidade de segurança e criptogra a continua se fortalecendo, está se tornando um desa o saber
como acessar dados em smartphones protegidos por senha. No topo do desa o de criptogra a estão as variantes de fabricação que podem criar diferentes obstáculos ao
longo do caminho. ”

Existem três tipos genéricos de extração: lógico, sistema de arquivos e físico, que fornecem uma estrutura para considerar as tecnologias de extração. Nenhuma
tecnologia pode acessar e extrair todos os dados de todos os telefones, e nenhum tipo de extração é garantido para ter sucesso. Conforme reconhecido pela
MobilEdit, uma empresa de telefonia forense, ao comentar os resultados dos testes do Instituto Nacional de Padrões e Tecnologia dos EUA (NIST) para aquisição de
dispositivos móveis:

“Os testes também mostraram que existem diferenças signi cativas nos resultados entre os tipos de dados individuais nas ferramentas competitivas testadas. Cada
ferramenta foi capaz de demonstrar certos pontos fortes em relação às outras, e não existe uma ferramenta única que demonstre superioridade em todas as categorias
de teste. Nossa conclusão é que há um aumento signi cativo na taxa de sucesso ao executar uma análise da ferramenta de referência cruzada. No mundo real, quando
há um caso, cada evidência é importante. Com uma combinação de ferramentas, você pode obter até 89,6% de taxa de sucesso geral. ”

A aquisição física é geralmente o método preferido. Conforme extrai os dados brutos em nível binário, do armazenamento dos dispositivos. Mesmo que isso seja
possível, há uma visão de que  “sempre deve ser obtida uma aquisição lógica, pois pode conter apenas os dados analisados e fornecer indicadores para examinar a
imagem da memória não processada”.

Fatores como o status do dispositivo móvel determinarão se a extração lógica ou física é tentada. “O tipo de exame depende do status de energia do dispositivo e se
ele está bloqueado, protegido por senha ou desativado (desmontado ou quebrado) … Nem todos os dispositivos móveis podem ser coletados sicamente. Um
iPhone 5 a X, por exemplo, não pode ser coletado sicamente usando métodos não invasivos. ”

A realidade da realização da extração do telefone móvel é que você frequentemente precisará tentar todos os tipos de extração oferecidos pela ferramenta. No
entanto, a capacidade de fazer isso será limitada por tempo, recursos e conhecimentos.

Uma área em desenvolvimento é a extração em nuvem, que analisamos com mais detalhes em um artigo separado. Esse desenvolvimento cria uma leitura
perturbadora, pois compreendemos quanto é mantido em servidores remotos e acessível a pessoas sem nenhuma habilidade forense, mas o dinheiro a pagar por
tecnologias de botão que podem capturar tudo. A extração na nuvem, um salto do que está no telefone para o que é acessível a partir dele, é uma reação à
criptografia e bloqueios de dispositivo que tornam difícil a análise forense do telefone celular tradicional, se não impossível, e uma resposta ao volume de
informações armazenadas na nuvem.

“Os investigadores digitais de hoje não devem ignorar a importância dos dados armazenados em vários serviços em nuvem. Sem os dados da nuvem, as informações que
podem ser coletadas de fontes tradicionais (como dispositivo móvel, mídia ash ou computador) são limitadas, inconclusivas ou simplesmente inatingíveis. ”

Depois que os dados são extraídos, existem alguns produtos impressionantes para ler e analisar os dados extraídos. Cada vez mais, eles são comercializados com
recursos de inteligência artificial para ajudar os investigadores.

Análise: Acesso e extração: físico, lógico, sistema de arquivos na mobile forense

Primeiro, uma análise dos três principais tipos de extração: lógico, sistema de arquivos e físico e as ferramentas usadas para realizá-las. Esses métodos variam em
tecnicidade e no tipo e volume de dados que eles podem extrair.

Resumo dos tipos de dados que podem ser extraídos usando lógica, sistema de arquivos e extração física. Fonte: artigo da Cellebrite

Sob cada método genérico, as empresas podem diferir na maneira como conseguem a extração. Conforme exposto em um slide do Magnet Forensics (abaixo), é
possível obter uma extração lógica por meio do backup do iTunes / ADB ou da instalação de um agente para obter dados adicionais; um sistema de arquivos usando
acesso privilegiado, como root ou jailbreak; e Físico usando métodos de recuperação ou carregador de inicialização.

Métodos comuns de aquisição em mobile forense. Fonte: Magnet Forensics

Existem outros métodos invasivos para extrair dados de telefones. JTAG (Grupo de Ação de Teste Conjunto), ISP (In System Programming) e Chip-off (ou qualquer
metodologia forense de hardware associada, como interceptação de comunicação entre chips –  Se você estiver desmontando o dispositivo, poderá interceptar os
dados como ele viaja de um microcontrolador para outro / processador, por exemplo, I2C ou SPI, ignorando um modelo de segurança definido por software ) é mais
dependente da habilidade forense em oposição à mais recente tecnologia e, portanto, são mencionados brevemente.

O JTAG é um método com o nome do padrão da indústria para verificar projetos e testar placas de circuito impresso após a fabricação. Isso envolve a conexão com a
porta de teste padrão para transferir dados brutos dos chips de memória. “A técnica JTAG envolve investigar as portas de acesso de teste JTAG e os conectores de
solda às portas JTAG para ler dados da memória do dispositivo.”  ISP  “é a prática de conectar-se a um chip de memória ash eMMC ou eMCP com o objetivo de
baixar o conteúdo completo da memória de um dispositivo ” . O chip-off é um método destrutivo, baseado na remoção do chip de memória da placa do sistema e
um leitor de chip é usado para extrair dados armazenados.

Por fim, extração manual que não requer ferramentas sofisticadas e:

“… envolve simplesmente percorrer os dados do dispositivo e visualizá-los diretamente no telefone, usando o teclado ou a tela sensível ao toque do dispositivo. As
informações descobertas são então documentadas fotogra camente … Nesse nível, não é possível recuperar informações excluídas e capturar todos os dados. “

Cellebrite UFED Touch 2. Fonte: Privacidade Internacional

Cellebrite UFED Touch 2 opções. Fonte: Privacidade Internacional

Extração lógica na mobile forense

“A aquisição lógica é extrair os objetos de armazenamento lógico, como arquivos e diretórios que residem no sistema de arquivos. A aquisição lógica de telefones celulares
é realizada usando a interface de programação de aplicativos do fabricante do dispositivo para sincronizar o conteúdo do telefone com um computador. Muitas das
ferramentas forenses realizam uma aquisição lógica … Uma aquisição lógica é fácil de executar e recupera apenas os arquivos em um telefone celular e não recupera
dados contidos no espaço não alocado.”

O que é isso?

Dos três tipos de extração, a lógica é vista como a mais rápida, menos invasiva, mas mais limitada. Ele cria uma cópia dos arquivos acessíveis ao usuário  , como
agenda telefônica, chamadas, mensagens, alguns dados de aplicativos e outros dados que você pode esperar de um backup do iTunes ou Android. ou seja, o que
você pode ver se examinar manualmente cada tela do dispositivo.

A MSAB, que se descreve como  “pioneira em tecnologia forense para exame de dispositivos móveis”,  comercializa seu XRY Logical como  “nossa solução básica
para investigadores forenses e o ponto de partida para nossas opções de licença” .

“O XRY Logical permite ao usuário realizar extrações rápidas (de backup do iTunes, backup do Android, agente Android) e é voltado para exames de“ bombear e
despejar ”.”

XRY Logical da MSAB. Fonte: site da MSAB

MSAB XRY Logical. Fonte: site da MSAB

MSAB XRY Logical. Fonte: site da MSAB

Extração lógica do iPhone SE do autor usando o Cellebrite UFED. Fonte: Privacidade Internacional. Os números vermelhos entre colchetes indicam a recuperação
de itens excluídos. Extração lógica Cellebrite UFED pode, portanto, recuperar dados apagados.

A extração lógica pode excluir dados de certos aplicativos se esses aplicativos não fizerem backup nos arquivos que fazem parte da extração, por exemplo, a pasta
padrão. Para acessar esses aplicativos, você precisaria acessar o sistema de arquivos.

Webinar forense (Mobile Forense) da Magnet. Fonte: Magnet Forensics

“Nota para dispositivos Android: aplicativos Android que não são do sistema podem optar por desativar o backup (por exemplo, WhatsApp). Se o fabricante do aplicativo
selecionar, nenhum dado do aplicativo será armazenado no backup; um método comumente usado para recuperação lógica de dados de dispositivos móveis “.

Assim, você obtém apenas o que está disponível por meio da API de um fornecedor. ou seja, o telefone pode restringir o que você pode acessar. No entanto, para
telefones Android, pode ser possível obter dados do aplicativo fazendo o downgrade do aplicativo de destino para uma versão mais antiga em que o backup adb é
permitido. A capacidade de fazer isso está bloqueada nas versões mais recentes do Android. Embora a atualização do Cellebrite UFED 7.16 no método APK
Downgrade afirme que  “permite o acesso aos dados do sistema de arquivos de mais de 40 aplicativos no dispositivo Android executando a versão 6.0 e posterior”.

Extrações lógicas normalmente não incluem uma cópia bit a bit completa dos dados ou recuperam dados excluídos. No entanto, pode ser possível recuperar
registros excluídos, incluindo SMS, chats e histórico de navegação, se os bancos de dados SQLite forem usados para armazenar os dados usando, por exemplo, o
SQLite Wizard da Cellebrite. Conforme observado por Reiber (2019: 159),  “dentro de um subconjunto de dispositivos, como dispositivos iOS e Android, uma extração
lógica de arquivos geralmente pode conter dados excluídos”.

Como funciona?

A extração lógica envolve  “conectar o dispositivo móvel ao hardware forense ou a uma estação de trabalho forense via cabo USB, cabo RJ-45, infravermelho ou
Bluetooth” .  Depois que o telefone é conectado, a ferramenta forense  “inicia um comando e o envia para o dispositivo, que é então interpretado pelo processador do
dispositivo”. Ou  seja, as ferramentas forenses se comunicam com o sistema operacional do dispositivo móvel . Os dados solicitados como resultado do uso de
protocolos e consultas proprietários  são:

“… Recebido da memória do dispositivo e enviado de volta à estação de trabalho forense. Mais tarde, o examinador pode revisar os dados. A maioria das ferramentas
forenses atualmente disponíveis funciona nesse nível do sistema de classi cação. ”

O uso da interface de programação de aplicativos (“API”) é uma maneira de realizar a extração lógica. A Cellebrite, uma empresa líder em forense popular entre
agências governamentais, afirma:  “Do ponto de vista técnico, a extração lógica baseada em API é fácil de implementar, e os resultados são fornecidos em um formato
legível.”

O UFED Touch da Cellebrite (hardware com software UFED) e o UFED 4PC (software instalado em um computador) funcionam comunicando-se com o sistema
operacional de um dispositivo usando a API.

“A extração lógica de dados é realizada, em grande parte, por meio de uma API designada, disponível no fornecedor do dispositivo. Assim como a API permite que
aplicativos comerciais de terceiros se comuniquem com o sistema operacional do dispositivo, ela também permite extração de dados forense … Após a conexão, o UFED
carrega a API do fornecedor relevante no dispositivo. O UFED faz chamadas de API somente leitura para solicitar dados do telefone. O telefone responde a solicitações
válidas da API para extrair itens de conteúdo designados, como mensagens de texto (SMS), entradas da agenda telefônica, fotos etc. ”

A extração lógica em um iPhone usando um Cellebrite UFED Touch 2 funciona da mesma forma que o iTunes ou o iCloud pode fazer um backup. Ele exibe na tela do
telefone as várias solicitações dos dados que estão sendo extraídos, por exemplo, ‘Backup Call Data ”(Sim / Não) .

Algumas ferramentas forenses instalam um aplicativo ou agente no dispositivo para tentar extrair dados adicionais.

“O melhor software forense móvel, como: UFED (Cellebrite), Oxygen Forensic, XRY (Microsystemation), Secure View (Susteen), MOBILedit Forensic pode extrair dados de
dispositivos Android instalando um programa de agente no dispositivo.”

Conforme observado por Reiber (2019: 57), o MobileEdit Forensics, verifica o dispositivo conectado e, se um dispositivo Android for detectado, ele carrega um
programa do agente Forensic Connector e, usando esse agente, extrai dados do dispositivo.

“Um exemplo … seria usar uma ferramenta de software em um dispositivo Android com um arquivo APK (pacote de aplicativo) Android … O APK consulta os bancos de
dados internos do dispositivo Android e retorna os dados para a interface do software. Os dados são exibidos na interface do usuário do software. Este método não
retorna um sistema de arquivos, mas os dados representados pelo conteúdo dos arquivos no dispositivo. ”

A extração lógica não é garantida para todos os dispositivos, mesmo que desbloqueados. As Atualizações de produtos da Cellebrite, por exemplo, listam os telefones
suportados.

Atualização do produto Cellebrite. Fonte: site da Cellebrite

Usando vulnerabilidades

Como em todas as formas de extração, existem vários componentes que influenciarão se é possível. Primeiro é o sistema operacional. Se for Android, se a depuração
USB estiver ativada, o que habilita o servidor ADB no dispositivo e as chaves RSA (prompt de segurança) foram aceitas e o computador pessoal (“PC”) e o telefone
emparelhados, uma extração lógica pode ser realizada . Conforme observado, normalmente esse é um backup do ADB combinado com o envio de um APK do
Android para o dispositivo e o uso de comandos disponíveis para extrair registros ativos como SMS / MMS, registros de chamadas e contatos.

Mikhaylov (2017: 39) afirma que são necessárias etapas diferentes para ativar o modo de depuração USB, dependendo da versão do Android que está sendo
usada. Para ativar a depuração USB, a senha será necessária. Embora alguns dispositivos com Android, como o Innotab Max, que a Privacy International testou em
2016-17, pareçam ser enviados de fábrica com a depuração ativada por padrão . Uma pesquisa da Pen Test Partners confirmou que o Vtech Innotab Max está
enraizado por padrão com o ADB (depuração automática) ativado desde o início.

O modo de depuração USB é um modo de desenvolvedor em telefones Android que permite que aplicativos recém-programados sejam copiados via USB no
dispositivo para teste. Ele permite que um dispositivo Android receba comandos, arquivos e similares de um computador e permite que ele puxe informações
cruciais, como arquivos de log, do dispositivo Android. A ativação da depuração USB deixa o dispositivo exposto. O ADB, Android Debug Bridge é um utilitário de
linha de comando incluído no Android SDK do Google. O ADB pode controlar seu dispositivo via USB a partir de um computador.

Sem a depuração USB, é improvável que a extração lógica seja possível, a menos que uma vulnerabilidade possa ser usada. Uma extração lógica pode estar
disponível dependendo de fatores como tipo de telefone, vulnerabilidade usada, versão do software e assim por diante. Outra maneira de analisar isso é considerar
se os dados do usuário estão armazenados na memória flash interna e, se estiverem, se estão protegidos e requerem acesso root para leitura.

Um exemplo de vulnerabilidade usada para extração lógica, uma vez que só pode segmentar uma área específica do sistema de arquivos, é descrito por Christopher
Vance, da Magnet Forensics.

“Como se trata de uma extração de MTP, apenas poderemos pegar o que está no diretório / media / na partição / data / ou / userdata /. Serão principalmente imagens e
arquivos de vídeo. No entanto, o diretório / media / pode conter mais do que isso. Também pode incluir documentos, downloads de navegadores da Web, backups de
bate-papo do WhatsApp e dados de aplicativos de terceiros que os desenvolvedores optam por armazenar aqui. ”

Extrair um Samsung Galaxy S7, SM-G930V criptografado e danificado (não foi possível digitar a senha ou ativar a depuração USB), usando o Media Transfer Protocol
(“MTP”) foi uma opção para contornar senhas e autorizações. No entanto, enquanto disponível para alguns telefones Android, a Samsung v.6  “mudou o tipo de
conexão padrão para“ Somente cobrança ”quando está conectado a um computador, portanto, teríamos que habilitar o MTP, o que não será possível sem o nosso tela
[dani cada] ”.  O Magnet AXIOM possui um ‘método avançado de desvio de MTP’:

“… Para obter uma imagem rápida da partição / media / no dispositivo para dispositivos Samsung que não receberam a atualização de segurança SMR-OCT-2017 ou
SMR-NOV-2017 (a atualização exata na qual foi corrigido depende da modelo do dispositivo). Mesmo que este dispositivo não tenha o MTP ativado ou esteja bloqueado
com uma senha, essa opção nos permitirá extrair alguns dados para análise. ”

IPhones bloqueados

Enquanto “… uma aquisição lógica pode ser obtida se o iPhone estiver desbloqueado”,  um iPhone bloqueado é problemático, pois existem dois avisos separados para
lidar. Um ativa o modo de emparelhamento com o computador e permite um backup do iTunes e outro permite a transferência de mídia se o driver padrão
fornecido pelo iTunes não puder ser encontrado e o padrão volta ao modo MTP (Media Transfer Protocol). Se o dispositivo tiver um registro de emparelhamento
válido no PC em que a extração está ocorrendo, é possível obter um lógico (backup no estilo do iTunes) em um iPhone bloqueado. Sem isso, infelizmente, não pode
ser obtido.

Nas versões anteriores do iOS, era possível obter apenas extrações MTP de um iPhone bloqueado, mas isso foi corrigido e é o motivo do segundo prompt. Sem
aceitar esse prompt (oculto pela tela de bloqueio), você não poderá obter uma extração MTP do dispositivo.

Extração do sistema de arquivos na mobile forense

O que é isso

A extração do sistema de arquivos na mobile forense, geralmente é tecnicamente vista como um tipo de extração lógica. Como em todas as formas de extração, os
recursos de uma extração de sistema de arquivos serão específicos do dispositivo. A extração do sistema de arquivos é um pouco mais rica em dados do que uma
extração lógica; na extração do sistema de arquivos, todo o sistema de arquivos é retirado do telefone.

Ele  “… contém muito mais informações do que a coleção lógica de nida e deve ser considerado um passo à frente de uma coleção lógica. Um sistema de arquivos contém os
arquivos e pastas que o dispositivo usa para preencher aplicativos, con gurações do sistema e con gurações do usuário, juntamente com as áreas de armazenamento do
usuário. ”

Inclui arquivos não acessíveis diretamente ao usuário através da interface do dispositivo e requer ferramentas especializadas para acessar os artefatos do sistema de
arquivos. Não extrai espaço não alocado.

“As informações contidas [em uma extração do sistema de arquivos] excedem em muito os dados coletados na superfície. Coletar os dados lógicos “super ciais” junto com
a recuperação do sistema de arquivos é o que todo exame deve se esforçar para realizar. Esse tipo de coleção deve ser chamado de coleção do sistema de arquivos, não
apenas uma extração lógica. ” 

“Os telefones comuns que usam sistemas de arquivos proprietários podem ter seus sistemas de arquivos coletados e exibidos para mostrar arquivos do sistema, bancos
de dados do usuário, mídia, arquivos do usuário, logs, con gurações do usuário e muito mais. … Esses arquivos são os contêineres reais consultados e analisados pelo
software lógico e exibidos na interface do software. Ao possuir o arquivo real, você pode realizar uma análise mais detalhada, que deve ser considerada muito mais
valiosa do que o que “lógico” de ne “.

A extração do sistema de arquivos geralmente é feita por um usuário root, por isso requer (geralmente de forma suave) fazer o root do telefone. Um usuário root é
um superusuário, em que um superusuário tem permissão para fazer qualquer coisa com qualquer arquivo em qualquer lugar do sistema do telefone. ou seja,
controle privilegiado sobre o telefone. Enraizamento de um telefone é o processo para obter acesso root.

A ‘extração lógica avançada’ do Cellebrite UFED combina extrações lógicas e de sistema de arquivos para dispositivos iOS e Android e é uma alternativa para onde a
extração física não é possível.

“As aquisições lógicas avançadas são iguais às aquisições de sistemas de arquivos nas quais o acesso aos dados do sistema de arquivos é fornecido. A aquisição física em
dispositivos iOS usando os chips A5-A11 (iPhone 4s e mais recentes) não é possível usando esta ferramenta. Portanto, o método avançado de aquisição lógica é o melhor
suporte e extrairá o máximo de dados desses dispositivos se eles estiverem desbloqueados (mesmo que não sejam desbloqueados). Se o dispositivo for desbloqueado,
dados adicionais podem ser extraídos. ”

Como funciona?

A extração do sistema de arquivos é menos identificada como uma forma distinta de extração pelas empresas. Quase exclusivamente, a Cellebrite promove a
extração do sistema de arquivos do UFED e está entre os poucos que se referem ao método:

“A extração do sistema de arquivos com o UFED Physical Analyzer é quase idêntica à extração física, pois depende de um gerenciador de inicialização para acessar a
memória do dispositivo; no entanto, em vez de obter uma imagem bit a bit incluindo espaço não alocado, o software extrai apenas o sistema de arquivos do
dispositivo. Esse processo de extração é proprietário e não depende da API da Apple. ”

O MSAB não possui um produto específico para o sistema de arquivos, simplesmente o XRY Logical e o XRY Physical. O Oxygen Forensic refere-se à obtenção de uma
coleção de sistemas de arquivos como parte da ‘lógica clássica’. A ferramenta Adquirir do Magnet permite escolher um processo de extração, oferecendo uma
‘extração rápida’ de todos os dispositivos iOS e Android ou ‘extração completa através de uma imagem física de dispositivos Android enraizados ou imagens lógicas
do sistema de arquivos de dispositivos iOS com jailbreak’.

“Se o dispositivo estiver enraizado, você poderá criar um despejo físico. Se o dispositivo não estiver enraizado, um backup do dispositivo será criado e todos os arquivos
que estão no cartão de memória do dispositivo serão extraídos. ”

A aquisição do sistema de arquivos é, no entanto, uma alternativa em que a extração física de dispositivos iOS não é mais possível. Infelizmente, a senha é
necessária.

“Desde o iOS 8, remover a senha é inútil, mesmo em dispositivos de 32 bits. A chave criptográ ca necessária para descriptografar a partição de dados é calculada
dinamicamente com base na entrada do usuário (a senha) e nas chaves do Secure Enclave. Sem a senha correta, o iPhone permanecerá criptografado; simplesmente não
há maneira de contornar isso. ”

O Secure Enclave  ” é um gerenciador de chaves baseado em hardware, isolado do processador principal, para fornecer uma camada extra de segurança”.  A conseqüência
é que as chaves de criptografia são protegidas pelo Secure Enclave e não são mais acessíveis, mesmo que o dispositivo esteja com jailbreak . No entanto, uma
extração do sistema de arquivos pode ser obtida se você desbloquear o dispositivo. Para fazer isso, você precisa inicializar e desbloquear o dispositivo usando a
senha. “Em outras palavras, a senha deve ser conhecida para realizar a aquisição (limitada) física de todos os dispositivos iPhone começando com o iPhone 5s.”

“O Secure Enclave trouxe novos desa os para os examinadores forenses do iOS. Agora, não podemos extrair as chaves de criptogra a necessárias para descriptografar a
imagem do dispositivo; portanto, a aquisição física é inútil. Mas aqui vem a aquisição do sistema de arquivos. Infelizmente, ele exige que o dispositivo iOS seja
desbloqueado.”

Ao contrário de uma extração lógica, uma vez obtido o sistema de arquivos, ele precisará ser decodificado.

“O processo de decodi cação converte os dados brutos em um arquivo de banco de dados para um formato reconhecível. Os dados extraídos por APIs e backups não
exigem decodi cação, pois são intrínsecos a esses métodos, que apresentam arquivos de mídia, como fotos e vídeos, como são vistos no dispositivo. No entanto, os dados
em outros arquivos de banco de dados, como aqueles que contêm mensagens de texto, devem ser decodi cados separadamente para analisar as mensagens. O UFED
Physical Analyzer executa automaticamente esse processo de decodi cação, apresentando dados decodi cados em formato legível por humanos e como dados brutos
são armazenados na memória do dispositivo.”

Usando vulnerabilidades na mobile forense

A Cellebrite alega que a extração completa do sistema de arquivos de um dispositivo iOS, usando o ‘Cellebrite Advanced Services’ de seus laboratórios internos, pode
obter 21 GB de uma memória Flash de 32 GB. A Cellebrite promove seus ‘Serviços Avançados’ em vez de liberar vulnerabilidades valiosas no UFED, pois isso, por
exemplo, dará à Apple a chance de corrigir explorações. Portanto, quais vulnerabilidades são usadas para realizar uma extração completa do sistema de arquivos de
um dispositivo iOS não são divulgadas publicamente.

Serviços avançados da Cellebrite. Fonte: webinar Cellebrite

“Qual é o benefício de executar uma extração completa do sistema de arquivos em vez de um sistema lógico de arquivos ou até mesmo uma extração lógica
avançada? Existem três benefícios principais. Obter dados de aplicativos de terceiros é o primeiro. WhatsApp, Facebook Messenger, telegrama. Os dados não podem ser
recuperados, a menos que uma extração completa do sistema de arquivos seja executada. Esses aplicativos e muitos outros podem conter informações críticas que
podem ajudar a fechar o seu caso.”

Ou seja, uma extração completa do sistema de arquivos pode obter aplicativos de terceiros excluídos de um backup do iTunes. Ele também pode identificar locais de
interesse do dispositivo, revelar logs do sistema e dados de log do aplicativo.

Comparação Cellebrite entre iOS avançada extração lógica e completa do sistema de arquivos. Fonte: webinar Cellebrite

O uso dos Serviços Avançados da Cellebrite não foi isento de controvérsias. Em junho, foi relatado que o laboratório de evidências digitais do Reino Unido, Sytech,
perdeu seu credenciamento depois que um ex-funcionário relatou preocupações sobre o tratamento de evidências nos negócios. Isso incluía telefones sendo
“enviados ao exterior para serem descriptografados sem o conhecimento da polícia”. Um ex-funcionário disse que “uma força policial, entendida como a polícia de
Greater Manchester, levantou preocupações com a Sytech no ano passado depois de saber que os telefones haviam sido enviados para o exterior para serem
desbloqueados pela empresa japonesa Cellebrite, fundada em Israel”.

A Magnet Forensics também afirma que pode obter um sistema de arquivos completo. Ele fez uma parceria com a GrayKey para oferecer  “a solução mais avançada
para recuperar dados de um dispositivo iOS, incluindo o sistema de arquivos completo, chave descriptografada e memória de processo, enquanto outras ferramentas são
limitadas apenas a um backup do iTunes.” A  GrayKey pode desbloquear dispositivos iOS e obter no modo restrito USB.

O Magnet Forensics informa que eles podem obter dados de aplicativos de terceiros, ao contrário de um backup do iTunes, aspectos dos dados do Apple Mail, cache
da web e cache de aplicativos, dados do sistema operacional, dados de localização, dados de chaveiro e algumas mensagens excluídas:

“A GrayKey pode obter uma imagem completa do sistema do dispositivo, o que signi ca que os arquivos temporários ou de suporte existentes com nossos artefatos
padrão estão agora disponíveis para revisão. Um excelente exemplo disso é o arquivo sms.db-wal que vive no mesmo diretório que o sms.db. O sms.db permite que os
examinadores recuperem e analisem iMessages, mensagens SMS e mensagens MMS. No entanto, como esse banco de dados utiliza a funcionalidade “write ahead log” do
SQLite, as mensagens são realmente gravadas no arquivo sms.db-wal antes de serem con rmadas no principal sms.db. Isso pode causar problemas na recuperação de
mensagens potencialmente excluídas, dependendo de quanto tempo as mensagens permaneceram no dispositivo antes de serem excluídas. Se as mensagens forem
excluídas assim que forem enviadas / recebidas, é muito menos provável que você possa recuperar essas mensagens a partir de uma extração no estilo padrão do
iTunes. Contudo, há pouca informação sobre a extração do sistema de arquivos, talvez devido ao valor das vulnerabilidades do iPhone. Também não há muito sobre
outros sistemas operacionais, como o Android, talvez porque ainda seja possível realizar a extração física preferida.

Extração física na mobile forense

O que é isso?

A extração física pode obter  “dados de serviço, aplicativos e dados do usuário. Os arquivos excluídos podem ser restaurados do dump físico. ”  A extração física é uma
cópia bit a bit do armazenamento físico / sistema de arquivos inteiro / memória do dispositivo ou como um dump hexadecimal. Geralmente, requer cabeamento
específico e envolve a inicialização do telefone em um sistema operacional personalizado ou recuperação. A extração física geralmente leva muito tempo, porque
também gera espaço livre; no entanto, o espaço livre pode conter informações excluídas e, portanto, pode valer a pena do ponto de vista dos pesquisadores.

“A extração física tem sido um método ideal de extração forense para telefones celulares e dispositivos embarcados. Este método tradicionalmente inclui acesso físico ao chip
de memória para obter uma leitura bruta dos blocos ash subjacentes. Esse método não apenas permite o acesso aos dados digitais, mas a análise do armazenamento físico
revela rapidamente áreas e blocos não utilizados que podem conter dados excluídos e manter um valor forense signi cativo. “

É a mais abrangente e invasiva de todas as extrações e inclui todo o espaço não alocado no telefone, motivo pelo qual pode incluir arquivos excluídos.

“A capacidade de extração física da Cellebrite acessa as camadas de dados adicionais, no espaço alocado e não alocado, que constroem a memória física do telefone. Essas
camadas incluem três grupos diferentes de conteúdo pertinentes aos pesquisadores:

Conteúdo “lógico” indisponível através da API (por exemplo, registros de chamadas em smartphones e feature phones)

Conteúdo excluído

Conteúdo que o telefone coleta sem nenhuma ação do usuário (e às vezes sem o conhecimento do usuário). Por exemplo: redes wi- , localizações GPS, histórico da web,
cabeçalhos de e-mail e dados EXIF em imagens e dados do sistema. ”

XRY físico da MSAB. Fonte: site da MSAB

Como funciona

“Um dump hexadecimal, também conhecido como extração física, é obtido conectando o dispositivo à estação de trabalho forense e inserindo código não assinado
ou um gerenciador de inicialização no telefone e instruindo o telefone a descarregar a memória do telefone para o computador. Como a imagem bruta resultante
está no formato binário, é necessário conhecimento técnico para analisá-la. O processo … fornece mais dados ao examinador e permite a recuperação de arquivos
excluídos do espaço não alocado no dispositivo na maioria dos dispositivos.”

A MSAB declara que seu produto físico XRY acessa os dados ignorando o sistema operacional para acessar todos os dados do sistema e excluídos. Eles podem
superar os desafios de segurança e criptografia em (certos) dispositivos bloqueados.

“A coleta física dos dados de um dispositivo móvel deve implicar que a comunicação direta com o armazenamento interno de dados de um dispositivo seja feita
para coletar uma representação dos dados conforme eles são armazenados na memória ash real do dispositivo. Esses dados são um instantâneo na área do
armazenamento de memória ash que é acessível usando ferramentas e métodos especializados.”

“… com a criptogra a ativada no disco completo, no nível do bloco, toda a leitura física se torna inutilizável, a menos que um examinador possa recuperar a chave
de criptogra a de um dispositivo.”

O complemento XRY Physical para o XRY Logical permite que o usuário realize o desvio de senha de alguns dispositivos Android, leituras de chips de memória integradas e
outras tarefas forenses móveis avançadas. ”

Em  um telefone Android, esse método geralmente requer a remoção da bateria e o desligamento do telefone; também o cabo geralmente é específico para esse
método, em vez de usar o cabo de carregamento padrão. O Cellebrite orienta sobre quais etapas devem ser executadas e quando, incluindo quais botões precisam
ser mantidos na inicialização para ativar o FastBoot, Bootloader, Recovery, Factory Reset etc., dependendo de quais dispositivos estão sendo extraídos.

Quando o dispositivo estiver no modo de inicialização rápida, o Cellebrite funcionará de maneira bastante automatizada. Às vezes, você poderá solicitar opções na
tela do telefone ou reiniciar o telefone.

A extração física, que fizemos no iPhone 4, usa um bug no processo de inicialização do iOS que permite a execução de código não assinado (é uma técnica usada
para desbloquear iDevices mais antigos), o Cellebrite executa seu próprio  SO em vez do iOS e extrai o dados do telefone.

A extração física pode usar o modo de resgate ou download do telefone. “Operando nesse modo, os telefones celulares são projetados para permitir a inserção de um
pequeno pedaço de código, chamado bootloaders, na RAM durante a inicialização.”  O bootloader lê o conteúdo da memória do dispositivo e o envia de volta ao
dispositivo de extração. . A Cellebrite afirma que:

“… Durante o estágio inicial de inicialização do dispositivo, o UFED envia o carregador de inicialização para a memória RAM do dispositivo. O dispositivo começará
a executar o carregador de inicialização, mas não continuará seu procedimento de inicialização regular no sistema operacional. Os carregadores de inicialização
da Cellebrite executam ações “somente leitura” que extraem evidências de dispositivos móveis e não deixam artefatos para trás “.

Extração física usando um gerenciador de inicialização. Fonte: artigo da Cellebrite

Os gerenciadores de inicialização da Cellebrite são projetados internamente em torno de cada plataforma de dispositivo individual, levando em consideração as
variedades de chipsets, periféricos, interfaces de chip de memória e controladores USB. Os clientes precisarão enviar determinados telefones para a Cellebrite.

“O UFED obteve a permissão para acessar internamente os sistemas operacionais depois que os dados já foram descriptografados. Em seguida, ele pode extrair a leitura
bruta, no nível do bloco, na forma descriptografada. Isso é feito, novamente, explorando vulnerabilidades identi cadas pela Cellebrite. Essas vulnerabilidades raramente
estão disponíveis ao público após serem descobertas. Muitas vezes, os laboratórios de pesquisa de segurança da Cellebrite têm conhecimento exclusivo sobre
vulnerabilidades e oportunidades que oferecem.
Esse conhecimento só se tornará mais valioso; À medida que o software iOS e Android progride e as proteções de privacidade, os mecanismos de isolamento de sandbox e
as atenuações de segurança avançam. ”

O desa o do iOS para a Mobile Forense

O iOS da Apple apresenta o maior obstáculo para extrações físicas. Antes do iPhone 4S, era possível realizar uma extração física em um iPhone. Mas desde o iPhone
4S e de fato para outros dispositivos que entraram no mercado, é extremamente difícil, se não impossível, entrar no dispositivo devido à criptografia de
hardware. Embora vários fornecedores afirmem que podem.

“A aquisição física tem o maior potencial para recuperar dados de dispositivos iOS; no entanto, os recursos de segurança atuais e em evolução (cadeia de inicialização segura,
criptogra a de armazenamento e código de acesso) nesses dispositivos podem prejudicar a acessibilidade dos dados durante a aquisição forense. Pesquisadores e
fornecedores de ferramentas forenses comerciais estão continuamente tentando novas técnicas para ignorar os recursos de segurança e realizar aquisições físicas em
dispositivos iOS, mas para o modelo mais recente, a única opção disponível é o jailbreak, e mesmo isso não ajudará você a adquirir sicamente dispositivos com o Secure
Enclave …

O Elcomsoft iOS Forensic Toolkit 5.0 afirma que pode obter extração física do iOS 12. Isso soa semelhante à extração completa do sistema de arquivos da Cellebrite
descrita acima. Ele pode extrair o conteúdo do sistema de arquivos e descriptografar senhas e credenciais de autenticação armazenadas no chaveiro do iOS. É
possível em dispositivos suportados pelo ‘jailbreak sem raiz’.

“O Elcomsoft iOS Forensic Toolkit suporta todas as opções possíveis para extrair e descriptografar dados de dispositivos de 64 bits com jailbreak e não com jailbreak, incluindo
as últimas gerações de hardware e software da Apple. Sem um jailbreak, os especialistas podem realizar extração lógica através de backups do sistema iOS, extrair dados de
aplicativos e arquivos de mídia compartilhados. Em certos casos, a extração lógica é possível mesmo se o iPhone estiver bloqueado. Se um jailbreak puder ser instalado, os
especialistas poderão criar imagens do sistema de arquivos dos iPhones de 64 bits, extrair dados de aplicativos protegidos e conjuntos de dados de trabalho. ”

“A aquisição física oferece vários benefícios em comparação com todas as outras opções de aquisição, permitindo o acesso a partes protegidas do sistema de arquivos e
extraindo dados que não são sincronizados com o iCloud ou incluídos em backups locais: Em particular, a aquisição física é o único método para descriptografar itens de
chaveiro visando a classe de proteção mais alta. A extração do sistema de arquivos obtém acesso total às caixas de proteção de aplicativos e a todas as áreas do sistema,
extrai chats secretos e recupera mensagens excluídas. Mensagens de email baixadas, bancos de dados de bate-papo e segredos de aplicativos de autenticação de dois fatores,
logs do sistema e dados detalhados de localização são apenas algumas das coisas que estão disponíveis exclusivamente com a extração do sistema de arquivos. ”

“… quebras na prisão pública para obter acesso ao sistema de arquivos do dispositivo, contornar as medidas de segurança do iOS e acessar segredos do dispositivo,
permitindo descriptografar todo o conteúdo do chaveiro, incluindo itens de chaveiro protegidos com a mais alta classe de proteção”.

De fato, Reiber (2019: 342) afirma que:

“Com os dispositivos iOS atuais que contêm chipsets A5 e posteriores, uma coleção física bit a bit sem jailbreak usando um USB é impossível; portanto, uma coleção lógica
de sistema de arquivos é o único método disponível … Algumas fontes relatam que uma coleção física pode ser obtida usando ferramentas como o Elcomsoft iOS Forensic
Toolkit, GrayKey by Grayshift ou o programa CAIS de serviços pro ssionais da Cellebrite, mas isso não é totalmente preciso. Essas ferramentas não podem ser usadas para
executar uma coleção de partições físicas, como acontece com os chipsets A4; eles simplesmente permitem coletar o sistema de arquivos interno de um dispositivo com
jailbreak. Quando o dispositivo está em um estado no qual um sistema de arquivos bruto pode ser coletado, a maioria das ferramentas comerciais, incluindo o UFED
Touch 2, o Oxygen Forensic Detective e o XRY, podem coletar o sistema de arquivos e os artefatos. ”

A aquisição física de dispositivos iOS 11 pelo Elcomsoft iOS Forensics Toolkit usa o jailbreak clássico.

“Os especialistas forenses usam jailbreak por razões muito diferentes em comparação com usuários entusiasmados. Uma vulnerabilidade de segurança aberta é exatamente
o que eles querem expor o sistema de arquivos do dispositivo, contornar a proteção da caixa de areia do iOS e acessar dados protegidos. O jailbreak extrai o maior conjunto
de dados do dispositivo. Durante o jailbreak, muitas restrições de software impostas pelo iOS são removidas pelo uso de explorações de software. 

Além dos dados de aplicativos em área restrita (que incluem histórico de conversas e correio baixado), os especialistas também podem extrair e descriptografar as chaves, um
armazenamento em todo o sistema para senhas on-line, tokens de autenticação e chaves de criptogra a. Ao contrário dos itens de chaveiro obtidos de um backup local
protegido por senha, a extração física de um dispositivo desbloqueado obtém acesso a itens de chaveiro protegidos com a mais alta classe de proteção. ”

Android – Usando vulnerabilidades: Modo de Download de Emergência

“Pode parecer incomum, mas é possível fazer um despejo físico de um dispositivo Android sem fazer root e não requer métodos JTAG e Chip-o ”.

O modo Download de Emergência (EDL) é uma vulnerabilidade usada por vários fornecedores para realizar extrações físicas. Funciona em alguns dispositivos, mas
não em todos os que possuem o chipset Qualcomm. EDL é o modo de recuperação da Qualcomm para diagnóstico e reparo de telefone, que é exposto por vários
gatilhos ou quando um dispositivo não pode inicializar. Ele  “foi projetado para permitir acesso de baixo nível ao chipset para análise, reparo ou re-thrashing do
dispositivo”.

A Cellebrite possui uma ampla gama de ‘programadores’ prontos, que são  “software que contém a funcionalidade de leitura / gravação em ash bruto”.  Os
programadores podem ser assinados digitalmente com uma assinatura de fornecedor que é verificada pelo dispositivo, para que a EDL aceite e verifique um
programador, ele deve corresponder, mas o requisito de hardware e assinatura.

Quando o UFED da Cellebrite inicia o fluxo de extração de EDL, ele tenta automaticamente corresponder um programador existente ao requisito de hardware e
assinatura. Se houver uma correspondência, ela terá acesso de leitura flash. Se não houver um requisito de assinatura para um telefone específico, ele
corresponderá ao hardware. Segundo a Cellebrite, o UFED possui uma exploração proprietária para ignorar o requisito de assinatura de vários chipsets.

Além disso, o acesso flash bruto permitirá o acesso ao conteúdo criptografado, no entanto, sem acesso às chaves de criptografia. Para solucionar esse problema, o
Cellebrite UFED tentará inicializar completamente o dispositivo antes do início da extração.

A maneira como você coloca um dispositivo no modo EDL varia de acordo com o telefone e varia de técnicas que várias tecnologias, como o UFED da Cellebrite,
podem suportar, a técnicas mais invasivas que exigem habilidade forense. Se o EDL for suportado pela Cellebrite, o UFED poderá orientá-lo no que você precisa
fazer, por exemplo, mantenha o volume acima e abaixo.

Usando o modo EDL. Fonte: webinar Cellebrite

O UFED da Cellebrite possui uma opção de extração de EDL descriptografada e não descriptografada. Ambos funcionam em dispositivos bloqueados por padrão ou
por senha (se o dispositivo for suportado), se o dispositivo estiver criptografado. A extração de descriptografia para dispositivos criptografados exigirá que o
dispositivo seja inicializado para que o UFED possa aplicar o carregador de descriptografia, o que não é necessário para a extração de EDL não descriptografada. Nas
duas opções, ao usar o UFED, o usuário poderá escolher colocar o dispositivo no DFU (interface de diagnóstico do aparelho) FTM (modo de teste de fábrica). Ambos
usam métodos EDL.

Um exemplo de uso do modo EDL, a opção bootloader é a solução de desvio físico EDL da Cellebrite para determinados dispositivos Samsung com o chipset
Qualcomm. A maioria dos telefones modernos com Android é criptografada imediatamente. Nesse método, a Cellebrite usa cabos especificados para dispositivos
com uma conexão de porta de dados específica. Quando o dispositivo está sendo executado no modo do carregador de inicialização, o sistema operacional não é
executado. Ignora qualquer bloqueio do usuário.  Quando você seleciona o telefone que deseja baixar, o UFED solicitará que você faça várias coisas para colocar o
telefone no modo de download e ativar a extração.

Outros métodos para obter o modo EDL incluem o uso do cabo 523, ‘abd reboot edl’, ‘fastboot oem edl’, ponto de teste e injeção de falhas eMMC (curto-circuito). Os
dois últimos exigem experiência com ISP e Chip Off.

A Cellebrite não é o único fornecedor que extrai uma imagem física para dispositivos com chipsets Qualcomm via modo EDL. A Magnet Forensics e a Oxygen Forensic
fazem isso usando o método ADB. Ambos observam que o acesso ao ADB deve estar ativado. Para fazer isso, o telefone deve ser desbloqueado e a depuração USB
ativada  “para que você possa enviar e receber comandos ADB para o telefone… o método funciona muito bem em cenários em que o telefone já está desbloqueado e você só
deseja obter uma aquisição melhor. ”A  Oxygen Forensics também usa ‘fastboot’ e descreve a entrada de dispositivos nesse modo usando combinações de teclas, por
exemplo, mantendo Power e Vol- ao mesmo tempo.

A Cellebrite também promove sua capacidade de usar o ADB ‘inteligente’:

“Com esse recurso inovador, a Cellebrite restaura o acesso de extração física a muitos novos dispositivos com a criptogra a de disco completo ativada, quando o ADB
pode ser ativado. O método requer o Android 6 e superior e possui uma ampla cobertura genérica para muitos fornecedores. ”

O Oxygen Forensic Detective afirma que o uso do modo EDL  “permite que os investigadores utilizem essa técnica não invasiva de aquisição física e o desvio de bloqueio de
tela em mais de 400 dispositivos exclusivos quando o telefone pode ser colocado com sucesso no modo EDL. “

Como colocar um dispositivo no modo EDL. Fonte: webinar Cellebrite

Extração física do HTC Desire do autor usando o Cellebrite UFED. Fonte: Privacidade Internacional

Análise: análise de dados extraídos

Diversas ferramentas com impressionantes capacidades analíticas estão disponíveis para ajudar os investigadores a lidar com os dados extraídos.

“Existem muitas ferramentas para análise de despejos físicos e backups de dispositivos móveis com sistemas operacionais Android. Essas ferramentas incluem todas as
melhores ferramentas forenses móveis, como UFED Physical Analyzer (Cellebrite), Oxygen Forensics (Oxygen Forensics, Inc), XRY (MSAB), MOBILedit Forensic Express
(COMPELSON Labs) e Secure View (Susteen). ”
“O exame e a análise usando ferramentas de terceiros geralmente são realizados importando o despejo de memória do dispositivo em uma ferramenta forense móvel que
recuperará automaticamente os resultados”.

O Analisador Físico da Cellebrite é um software fácil de usar, projetado para organizar dados extraídos em diferentes tipos de arquivos, de XML, CSV, TXT a CDR,
mídia e texto. Ele pode reunir conjuntos de dados de diferentes dispositivos, reconhecer e categorizar mídias digitais. O Analisador Físico pode exibir todas as
informações extraídas. Ele também possui recursos consideráveis de visualização e mergulho de dados.

“O sistema de análise uni ca todos os dados de drones, dispositivos móveis, nuvem, computadores e telecomunicações em uma visão centralizada, para que você não
perca tempo com ferramentas separadas.”

A análise de links é usada para analisar chamadas telefônicas, mensagens de texto por e-mail e dados de localização, a fim de descobrir associações entre indivíduos
através de diferentes tipos de dados. Como observado pelo professor Peter Sommer em evidência ao Parlamento do Reino Unido:

“Também são feitas técnicas de visualização de dados / análise de links para demonstrar frequências ao longo do tempo de contatos entre números de telefone e entre
endereços IP, transações nanceiras e cronologias de eventos, entre outros.”

A polícia do Reino Unido está testando as ferramentas de aprendizado de máquina da Cellebrite para interpretar imagens, combinar rostos e analisar padrões de
comunicação. A Cellebrite afirma que:

“… os dados podem ser extraídos juntamente com outras fontes de informações críticas, como atividades on-line de contas de email e mídias sociais. Essas fontes podem
ser ltradas, comparadas e analisadas usando inteligência arti cial e aprendizado de máquina para gerar insights acionáveis, como locais … Dados extraídos podem ser
combinados com dados de fontes públicas – como sites ou contas de mídia social – para encontrar informações cruciais e fazer comparações. Os investigadores podem
usar os dados combinados para criar per s de atacantes, seus contatos e membros de células terroristas mais amplas. Os dados também podem criar cronogramas de
eventos, ajudando os investigadores a determinar exatamente o que aconteceu e a compilar as evidências certas para uma acusação. ”

O Magnet AXIOM também está utilizando técnicas de aprendizado de máquina:

“… com recursos como Connections e Magnet.AI, você pode gerar automaticamente insights que podem levar a descobertas importantes em seus exames.
“O aprendizado de máquina, via Magnet.AI, oferece … um aparelho preditivo” treinado “para reconhecer mensagens que se enquadram em … categorias”.
“Com o lançamento do AXIOM 2.0, o módulo Magnet.AI agora identi ca imagens que podem conter representações de abuso sexual infantil, nudez, armas e
drogas. Também expandimos nosso modelo de classi cação de texto para detectar possíveis conversas sexuais, além de atrair crianças. ”

Em agosto de 2017, a Cellebrite introduziu o que chamou de “tecnologia avançada de aprendizado de máquina” para sua plataforma de análise, que pode ser usada
para analisar dados extraídos da nuvem e que inclui reconhecimento de rosto e correspondência.

A partir de julho de 2019, o módulo Oxygen Forensics JetEngine, incorporado ao Oxygen Forensic Detective, fornece a capacidade de categorizar rostos humanos
usando sua própria tecnologia. Eles não apenas fornecem a categorização e a correspondência de rostos nos dados extraídos, mas também a análise facial inclui
reconhecimento de gênero, raça e emoção . Lee Reiber, diretor de operações da Oxygen, disse que a ferramenta pode  “procurar um rosto especí co em um
conjunto de evidências ou agrupar imagens da mesma pessoa. Eles também podem ltrar rostos por raça ou faixa etária e emoções como “alegria” e “raiva”. “

Oxygen Forensic. Fonte: Oxygen Forensic

Conclusão 

À medida que o uso da extração de telefones celulares se prolifera, seja usado pela aplicação da lei ou pela segurança nas fronteiras, os dados desses dispositivos
serão usados para desafiar um indivíduo, seja em procedimentos e procedimentos criminais, civis ou de imigração. Há pouca informação técnica disponível para os
indivíduos, para aqueles que podem representá-los e aqueles que fazem campanha nessas questões. Embora o forense móvel seja um campo em rápida mudança,
essa é uma tentativa de analisar o que está acontecendo quando aqueles que usam ferramentas poderosas de extração buscam dados nos dispositivos.

O uso de análise forense móvel levanta questões complexas relacionadas à confiabilidade dos dados extraídos como forma de evidência, principalmente se forem
utilizados por indivíduos não qualificados que confiam nas tecnologias de botões de pressão, mas não são analistas forenses digitais.

“O que estou vendo em campo é que policiais regulares estão tentando ser analistas forenses digitais porque recebem essas ferramentas mágicas bastante so sticadas
que fazem tudo, e um policial regular, por melhor que seja, não é um analista forense digital. Eles estão apertando alguns botões, obtendo alguma saída e, com muita
freqüência, está sendo examinada pelo o cial encarregado do caso, que não tem mais treinamento nisso e provavelmente menos do que ele. Eles tiram conclusões
precipitadas sobre o que isso signi ca porque estão sendo pressionados a fazê-lo e não possuem os recursos ou o treinamento para poder fazer as inferências corretas a
partir desses resultados. Isso vai bater na frente da quadra.

A entrega da justiça depende da integridade e precisão das evidências e da confiança que a sociedade possui nela. Esperamos que, ao começar a desvendar algumas
das complexidades desse campo, possamos informar o debate sobre esse tópico.

Referências:
Este artigo é uma livre tradução de: https://privacyinternational.org/long-read/3256/technical-look-phone-extraction

Um olhar técnico sobre Extração telefônica FINAL.pdf

Conheça o curso CFID

Conheça o curso Computação Forense e Investigação Digital.
Este curso tem como objetivo apresentar os conceitos da Computação Forense e métodos de Investigação Digital, sendo baseado no conteúdo
apresentado nas certificações mais conhecidas do mercado.

Conheça

Hospedagem de site
digitalocean, excelente custo benefício.
Clique abaixo e aproveite!

Obter desconto

Computação Forense e Curso Tópicos em Mobile Forense Engenharia Reversa na Forense Fundamentos da Computação
Investigação Digital – Udemy CFID (CFID) Digital Forense
(completo, 4 módulos)

Pós Graduação EAD – BluEAD

Impressão colorida – DOT NET
Engenharia Reversa e o Software
Seguro – Amazon

Pesquisa

Postagens recentes
Forense Digital No apoio à
Investigação de Fraudes
Corporativas – Congresso
Internacional de Proteção de
Dados

OWASP Top 10 – 2021

Combate a disseminação de
Material de Abuso Sexual Infantil
(CSAM)

últimos posts
Forense Digital No apoio à
Investigação de Fraudes
Corporativas – Congresso
Internacional de Proteção de
Dados

OWASP Top 10 – 2021

Combate a disseminação de
Material de Abuso Sexual
Infantil (CSAM)

MFA – Autenticação Multifator

Virtual Patch – O que é, qual sua

importância segundo a OWASP?

Início Contato | Sobre Blog Serviços Mídia (Revistas) Loja (Cursos & Livros) Professor

Projetado por Elegant Themes | Desenvolvido por WordPress    