Wednesday, November 24, 2010

Advanced Forensics Format - AFF

Uma das novidades do FTK Imager 3.0 que eu comentei no post passado é o suporte ao formato de imagem AFF. Algumas pessoas me perguntaram sobre este formato e resolvi escrever este post de hoje.

O AFF (Advanced Forensics Format, ou Formato Forense Avançado) é um formato extensível aberto para o armazenamento de imagens de disco e de metadados relacionados à computação forense. Foi desenvolvido por Simson Garfinkel e a empresa Basis Technology.


Usando o AFF, o investigador não estará preso a um formato proprietário (E01, DD, A01), o que pode limitar a forma como este pode analisar os dados, como ferramentas incompatíveis com um formato ou outro.


AFF suporta dois algoritmos de compressão: zlib, que é rápido e razoavelmente eficiente, e LZMA, que é mais lento, mas muito mais eficiente. O zlib é o mesmo algoritmo de compactação usado pelo EnCase. Como resultado, arquivos AFF compactados com zlib são aproximadamente do mesmo tamanho que o arquivo  equivalente no formato EnCase. A grande vantagem é que arquivos AFF  podem ser "re-compactados" (!) utilizando o algoritmo LZMA. Esses arquivos tem um tamanho aproximado de 1/2 a 1/10 do tamanho do original AFF / arquivo EnCase.

Outra vantagem é que o formato AFF 2.0 suporta criptografia de imagens de disco. Ao contrário da senha implementadas pelo EnCase, imagens criptografadas não podem ser acessados sem a chave de criptografia.



Maiores informações estão disponíveis em http://afflib.org/ e http://www.basistech.com/digital-forensics/aff.html

Enquanto pesquisava sobre o tema para escrever este post, encontrei ótimas referencias em:




Recomendo a leitura!

Tuesday, November 23, 2010

FTK Imager 3.0

A AccessData, fornecedora do aclamado FTK, liberou recentemente a versão 3 do seu utilitário de aquisição de imagens forenses, o FTK Imager. O FTK Imager sempre foi considerado uma ferramenta muito importante para criação de imagens de discos, com uma interface limpa e simples.

Agora na versão 3, a AccessData adicionou alguns recursos interessantes, e eu gostaria de chamar a atenção para o que, na minha opinião é o melhor recurso: Image Mounting. Este recurso permite ao perito acessar as imagens como se fossem discos plugados ao computador. Imagens do tipo EnCase, Smart, AFF (Advanced Forensic Format) e DD são suportadas. Imagens lógicas do EnCase e da AccessData também podem ser acessadas desta forma. Antes que eu me esqueça, o FTK Imager não requer licenciamento, podendo ser utilizado por qualquer pessoa!




Monday, November 22, 2010

Números de celulares ultrapassa número de habitantes no Brasil

Dados recentes da ANATEL dão conta de mais de 194.439.250 linhas de telefones celulares ativas no Brasil. Esta informação foi contabilizada dia 30 de outubro deste ano, ultrapassando assim o numero total de habitantes que segundo o IBGE é de 193,595 milhões. A tendência é que esse numero aumente ainda mais em 2011, ainda mais com os novos smatphones  cada vez mais sofisticados e com preços  acessíveis.
Isso é muito bom, graças a privatização das teles, temos hoje uma facilidade de comunicação e uma mobilidade inédita! A questão que preocupa é: deste número, quantos estão nas mãos da nossa população carcerária?? Estarão as forças da lei preparadas para atuar com os devices apreendidos em ações nas penitenciarias (leia mais em http://www.clicrbs.com.br/especial/rs/diario-gaucho/19,0,3116994,Apreensoes-de-celulares-em-cadeias-alarmam-Justica.html) ou apreensões rotineiras?


Hoje no Brasil podemos citar quatro fortes fornecedores de produtos para perícia em telefones celulares, sendo duas empresas dedicadas (MSAB e Cellebrite) e dois grandes players de computação forense com dispositivos para forense de celulares (Guidance Software e AccessData):
  • ·         XRY / XACT (MSAB)
  • ·         UFED (Cellebrite)
  • ·         Neutrino (Guidance Software)
  • ·         MPE+ (AccessData)

Basicamente, estas soluções são compostas por um conjunto de cabos para conexão aos diferentes modelos de aparelhos celular e um software para análise das informações capturadas nos devices. Algumas soluções acompanham também interface bluetooth e/ou infra-red, ampliando ainda mais a gama de aparelhos atendidos, sem necessidade de um cabo de conexão. De uma forma geral, depois de estabelecida uma comunicação com o aparelho celular (via cabo ou via bluetooth/infrared), faz-se um “dump” das informações contidas nos aparelhos celulares e então se analisam os dados capturados em uma interface única. O que diferencia uma solução da outra é:

  • ·         Capacidades para interagir com diferentes modelos de telefones celulares? Algumas soluções simplesmente não funcionam com aparelhos iDEN, utilizados por operadoras de rádio, como a Nextel.
  • ·         Funcionalidades para aquisição de informações (Por exemplo, neste “dump” de memória realizado, o produto consegue capturar informações excluídas do telefone celular - dump de memória física? Outro exemplo: é necessário fazer o dump de toda memória ou é possível capturar apenas algumas informações pontuais, como contatos e lista de chamadas – imagine o tempo necessário para fazer um dump de um iPhone de 32GB?)

A grande vantagem de se trabalhar com estes produtos é a capacidade de, em uma única interface, poder se analisar diversos modelos de telefones celulares e smartphones. Imagine a quantidade de telefones disponíveis no mercado hoje. Cada um tem uma interface própria e uma maneira diferente de se navegar pelos menus e opções. Aprender a operar todos estes aparelhos é uma tarefa árdua. E desnecessária. Utilizando um destes produtos, o investigador sempre saberá onde estão as relações das chamadas recentes, chamadas não atendidas, SMSs/E-Mails enviados e recebidos, histórico de navegação na WEB (se houver).

Irei escrever aqui neste blog informações sobre cada um destes produtos, o mais detalhado possível. Mas já adianto que será complicado definir qual o melhor ou pior produto. De uma forma geral, são todos bons e cumprem o que promete. Se perícia em telefones celulares é uma tarefa crítica para você, recomendo ter pelo menos duas destas soluções em seu laboratório forense, pois uma solução completa a outra, uma solução cobre a “sombra” da outra.

Recentemente, a viaForensics publicou um white paper muito bom comparando várias outras soluções para forense para celulares, especificamente para investigações em iPhone: http://viaforensics.com/education/white-papers/iphone-forensics/

Wednesday, November 3, 2010

AccessData LAB



Quando falamos em computação forense, logo pensamos em complexas interfaces para investigação e análise de evidências. Essa idéia representa um desafio para o pessoal leigo (pessoas não técnicas) acessar e revisar as evidências dos casos. A equipe da AccessData conseguiu enxergar o óbvio: qual o software que praticamente todo mundo utiliza o tempo todo? Utiliza para acessar o Orkut, o Facebook, o Twitter, o Gmail e o Hotmail?? 



Combinando uma arquitetura de administração centralizada e o poder da computação distribuída, o AD LAB está preparado para enfrentar o crescimento de dados que desafia os investigadores de computação forense. A grande diferencial do LAB é a integração da interface WEB (chamada de Reviewer) com a interface do FTK (chamada de Examiner): um arquivo marcado com um flag na interface web, reflete imediatamente na tela do examinador. Isso é possível pois ambos os usuários do sistema (revisor e examinador) estão acessando a mesma base de dados Oracle:


Nesta arquitetura, é possível que mais de um examinador trabalhe no mesmo arquivo de evidência, simultaneamente, tal como vários revisores trabalhem no mesmo caso, mas limitando o acesso aos revisores, por exemplo: um revisor do caso 001 só terá permissão de acesso aos e-mails do caso, e o segundo revisor, trabalhando no mesmo caso 001, só terá permissão de acesso aos gráficos encontrados no caso.

Para os interessados, recomendo o Webinar da AccessData sobre o LAB. [Em inglês]

Maiores informações em http://accessdata.com/lab.html

AccessData Authorized Instructor


Quem me acompanha no Twitter já sabe, mas decidi anunciar aqui no blog também: participei de um treinamento da AccessData em Los Angeles - Califórnia nos dias 05, 06 e 07 de outubro e, desde então, estou autorizado oficialmente a repassar o treinamento AccessData Bootcamp em FTK 3 aqui no Brasil.

Já temos oito turmas agendadas por todo o Brasil! Maiores informações em forensedigital.com.br.