Ficar em dia com a lista de aplicativos que cresce e se renova constantemente é um desafio permanente. Desde janeiro de 2018, são quase 6 milhões de aplicativos no Google Play e na Apple Store. Aplicativos populares como o Facebook ou o Telegram publicam atualizações frequentemente, e nos dias de hoje, os criminosos e até terroristas com bons conhecimentos tecnológicos muitas vezes recorrem a aplicativos menos conhecidos para ocultarem suas comunicações.

Embora a Cellebrite e outros fornecedores de grande porte invistam em recursos de análise sistemática e decodificação dos aplicativos mais populares, a maioria dos demais aplicativos não é suportada. Então, como é possível superar obstáculos à localização de provas críticas em meio à escuridão dos aplicativos desconhecidos?
 
O grupo de pesquisa forense da Cellebrite Cellebrite oferece aos peritos um pacote de ferramentas e métodos para acessar o ‘desconhecido’ com êxito. ssas ferramentas e métodos melhoram com o passar do tempo e compõem uma plataforma para lidar com aplicativos arbitrários desconhecidos em escala, sem comprometer a qualidade, a precisão e o desempenho.
 
Duas premissas estão no coração da abordagem que encara o desafio dos aplicativos desconhecidos. A primeira: os desenvolvedores de aplicativos utilizam bibliotecas, métodos e práticas comuns, que compartilham padrões reconhecíveis que podem ser alavancados. As ferramentas de vasculhamento de dados (carving) e o mecanismo de lógica Fuzzies da Cellebrite têm como base esta premissa. Vamos detalhar o processo mais à frente. A segunda premissa é a de que qualquer aplicativo pode decodificar sua própria base de dados. O novo recurso Virtual Analyzer da Cellebrite aplica esta premissa na prática.
 
Antes de se focar em ferramentas específicas, conheça o pacote completo de ferramentas da Cellebrite para exploração do ‘desconhecido’:
  • SQLite Wizard. Ferramenta com assistente de tela para mapear manualmente artefatos de uma base de dados em provas estruturadas.
  • Vasculhamento de dados (data carving). Ferramentas automáticas baseadas em padrões que destacam possíveis localizações e sequências de texto contidas tanto em espaços não alocados da mídia quanto não localizados por outros meios, não obstante à respectiva estrutura.
  • Mecanismo de modelagem de lógica fuzzy. Ferramenta automática baseada em princípios heurísticos e aprendizagem de máquinas, que produz evidências estruturadas a partir de dados desconhecidos, porém estruturados.
  • Virtual Analyzer.. O primeiro emulador forense do setor, que permite a análise dinâmica de provas com base em imagens.
Vamos analisar algumas das ferramentas para conhecermos seu poder de iluminar a escuridão das bases de dados e aplicativos desconhecidos.
O vasculhamento de dados, ou data carving, é uma prática comum, utilizada para recuperação de dados e investigações forenses. Na maioria dos casos, o termo file or ‘vasculhar/carving’ refere-se à composição de um arquivo ou objeto com base na combinação de padrões de um cabeçalho e/ou rodapé de tipos de arquivos conhecidos.
 
O UFED Physical Analyzer da Cellebrite contém carvers de arquivos que pesquisam espaços não alocados e também localizam arquivos embutidos em outros arquivos. Entretanto, o carving de artefatos desestruturados é uma tarefa diferente. Artefatos únicos únicos não têm cabeçalhos fixos; qualquer grupo de 4 bytes pode ser decodificado como dois valores de pontos flutuantes, possivelmente representando uma localização que se traduz em uma coordenada válida.
 
O desafio, além do desempenho, é a apuração de localizações reais com o mínimo de detecção falsa ou não detecção. Na Cellebrite, utilizamos um conjunto heurístico para produzir artefatos de localização de alta probabilidade, com base em localizações conhecidas. Essas localizações adicionais destacam aplicativos e bases de dados que ajudam os peritos a localizar provas importantes em meio a um mar de dados inúteis. Os carvers de artefatos pesquisam espaços intactos, excluídos e não alocados. Eles não presumem qualquer estrutura pré-existente, o que é um ponto forte, mas também um ponto fraco; os carvers são resilientes em relação a estruturas proprietárias. Por outro lado, artefatos fragmentados não podem ser reconstruídos e recuperados.
 
Uma abordagem complementar ao vasculhamento de ados (carving), projetada e implementada pela Cellebrite, é o mecanismo de modelos de fuzzy (Fuzzy Model Engine). A hipótese básica do mecanismo de fuzzy é que os aplicativos armazenam dados em uma base de dados estruturada: SQLite, Realm, LevelDB ou até arquivos json, plist ou bplist. Uma vez reconhecida uma base de dados para dispositivos móveis, o mecanismo fuzzy procura revelar o tipo e a estrutura das evidências que possam estar ocultas em seu interior.
 
O mecanismo depende da heurística e da aprendizagem de máquinas. Por exemplo, se um campo chamado “lon” for encontrado, deve haver um campo “lat” em algum lugar. Se ambos se relacionarem a um objeto, é muito provável que esses campos representem a localização do objeto.
 
O núcleo do mecanismo e a heurística representam efetivamente o conhecimento por trás da prática comum de informações de armazenamento. Este corpo de conhecimentos está sendo constantemente atualizado e otimizado para melhorar a precisão da coleta de provas estruturadas de qualquer base de dados arbitrária. Ao executar a ferramenta de modelagem fuzzy em uma extração de celular, possíveis contatos, localizações, mensagens, senhas e outros artefatos ocultos em todas as bases de dados estruturadas da extração serão revelados. Esses artefatos são expostos imediatamente, poupando tempo e esforço dos examinadores.
 
A abordagem final é o Virtual Analyzer; a primeira a única ferramenta do meio forense a oferecer análise dinâmica de dados forenses de dispositivos Android. Em seu núcleo, o Virtual Analyzer executa o aplicativo com seus dados privados de usuário, em um ambiente de emulação, utilizando o código do fornecedor para decodificar a bases de dados em questão. O aplicativo é executado em um ambiente de quarentena, o que evita que a conta ou imagem do celular sejam comprometidas.
 
Conforme descrito, a premissa subjacente é a de que todos os dados necessários para o processo de decodificação estejam presentes na imagem: os artefatos, as chaves de criptografia, etc. O aplicativo é capaz de descriptografar, desbloquear e decodificar as informações, apresentando-as ao usuário sob demanda e exibindo-as exatamente da forma como seriam exibidas no dispositivo móvel. Considerando se uma abordagem geral, esta abordagem pode funcionar com qualquer aplicativo Android, desde que os dados estejam na imagem e que não exija dados específicos fornecidos pelo usuário. A principal lacuna dessa abordagem é que ela gera somente dados cujo intuito é o de serem exibidos. Por exemplo, não seria possível exibir artefatos excluídos.
 
Os principais desafios da implementação do Virtual Analyzer resultam da injeção de código e dados em um dispositivo móvel diferentes daqueles do momento da criação. Os problemas variam de identificadores não localizados a diferenças entre sistemas operacionais. O grupo de pesquisa forense da Cellebrite já havia desenvolvido um sistema que mitiga a maioria das diferenças e não compromete a integridade dos dados. Entretanto, alguns desafios permanecem.
 
Por exemplo, embora os mecanismos de emulação para Android existam em abundância, não existe um emulador público de fato para iOS. Existem diversos simuladores que executam funções e têm uma aparência de iOS, mas o código binário dos aplicativo é compilado para um sistema operacional específico e sua arquitetura não pode ser executada em outro sistema. Além disto, o Virtual Analyzer é uma poderosa ferramenta capaz de decodificar praticamente qualquer aplicativo arbitrário Android, o que permite ao examinador monitorar e explorar qualquer pista das investigações imediatamente.
 
Para concluir, o grupo de pesquisa forense da Cellebrite está em constante evolução em relação aos novos métodos e ferramentas de desenvolvimento existentes, para produzir as provas mais significativas e relevantes extraídas do lado mais obscuro dos dispositivos móveis. Neste artigo, exploramos técnica e ferramentas complementares que podem iluminar essas trevas. Uma abordagem possível é automatizar de forma inteligente o processo de análise e produzir provas presumidas de qualidade , proporcionando ao perito novas fontes de evidências em potencial. Outra abordagem seria permitir ao perito efetivamente navegar pelo celular sem comprometer a integridade das contas ou das provas. 
 
Para ver as respostas a outras perguntas sobre as perícias digitais de última geração, fique de olho nas atualizações da Cellebrite e do UFED.
Share this post