Friday, February 18, 2011

Comparativo soluções mobile forensics

Já escrevi alguns artigos neste blog sobre os desafios da forense em dispositivos mobiles, e agora volto a falar sobre o tema. Desta vez trago um comparativo que eu fiz entre XRY e UFED.


               

  

Ambos os produtos vem com uma maleta de transporte bem resistente e um conjunto de cabos para suportar todos os aparelhos compatíveis.

 Escolhi estes dois produtos por alguns motivos, dentre os quais destaco os principais:
  • XRY e UFED não são os produtos, são as empresas. Explico melhor: o core business destas empresas são estes produtos, diferente da AccessData que tem o MPE ou Guidance Software que tem o EnCase Neutrino, além de toda uma gama de produtos para computação forense. MSAB e Cellebrite não são empresas de forense, são empresas de mobile forense. Resumindo: FOCO
  • São os produtos que estão a mais tempo no mercado de mobile forense, estão bem maduros
  • Eram os equipamentos que eu tinha em mão =)
Como é um teste comparativo, primeiro vamos definir alguns itens, como objetivo e regras:
  • Objetivo: capturar as informações lógicas de um Motorola RAZR V3xx. 

  • Regras do jogo:
    1. Escolha de um aparelho celular "popular" (Motorola V3) que ambos os dispositivos declaram capturar dados (lógico e físico)
    2. Não vou realizar dump físico, apesar de ambos os equipamentos suportarem esta função para este aparelho celular. Apenas uma captura de dados lógico;
    3. Ambos os dispositivos foram configurados para detectar automaticamente o aparelho celular
    4. O aparelho celular já está plugado no dispositivo com o cabo correto
    5. O aparelho celular já está ligado, código PIN introduzido e sem bloqueio de segurança definido
    6. Quero capturar todas as informações possíveis do telefone celular, via captura de dados lógico.
    7. Para qualquer "questão de múltipla escolha" que apareça, selecionarei a opção default apresentada pelas soluções.
Quero lembrar também que o objetivo deste post não é ser um comparativo comercial. Estou analisando as ferramentas como técnico e investigador forense. Estas ferramentas podem ter limitações para alguns modelos de aparelhos celulares. Leve em consideração a matriz de compatibilidade dos fabricantes para avaliar o que melhor atende as suas necessidades. Só avalio aqui a usabilidade das ferramentas.

Vamos aos testes? Já peço desculpas pela péssima qualidade das imagens, não estava esperando pela oportunidade de realizar este teste =)

XRY                                        
Por uma questão de praticidade, o primeiro teste será com o XRY. O XRY, fornecido pela MSAB, é uma solução concebida para pericias de dispositivos móveis em laboratório forense. Para que a MSAB não fique em desvantagem com relação ao Cellebrite UFED, estou utilizando a solução para campo do XRY, o Field Version. O Field Version é um Panasonic CF-U1, uma espécie de tablet (??) rodando Windows XP com teclado físico e tela sensível a toque.

Vamos aos testes do XRY Field Version, bem passo a passo:
  1. Ligar o Field Mode
  2. Iniciar o XRY (ícone disponível no desktop)
  3. Clicar na opção "Extract Data" na barra de ferramentas
  4. Abre a janela "Welcome" informando sobre a validade da chave de licença do produto. Clicar em "Next"
  5. Conectar o telefone ao Field Version com o cabo correto
  6. Abre a janela "Select Device Type". Clicar na opção "Phone"
  7. Abre a janela "Select Identification Method". Clicar na opção "Automatic"
  8. Abre a janela “Select Connection Media”. Clicar na opção "Cable"
  9. Abre a janela "Select Connection". Confirme que o dispositivo está aparecendo clicando no ícone referente à conexão
  10. Abre a janela "Select Device". Confirme o modelo do telefone clicando no ícone referente ao aparelho.
  11. Abre a janela "Select Action". Selecionar a opção "Logical"
  12. Abre a janela "Device Overview". Clicar em "Next"
  13. Abre a janela "Process Options". Selecionar a opção "Full Read"
  14. Abre a janela "Select File". Aceite a sugestão do nome para gravação do arquivo e clicar em "Next"
  15. O processo de captura das informações inicia e, ao término da captura, é exibido a janela de "Report". Clicar em "Next"
  16. O sistema volta automaticamente para a janela "Select Action" (para uma captura física, por exemplo). Clicar em "Finish"
  17. Após, o XRY processa as informações e exibe o relatório da captura automaticamente.

UFED                                      
O UFED é o equipamento de forense para dispositivos móveis fornecido pela Cellebrite. Para posicionar o seu produto no mercado, a Cellebrite focou o equipamento para trabalhos em campo, eliminando a necessidade de um computador para a aquisição dos dados.

Vamos agora aos testes do UFED, também descrito aqui passo a passo:
  1. Ligar o UFED
  2. Selecionar “Extract Phone Data”. Pressione “OK”
  3. Conectar o telefone ao UFED com o cabo correto
  4. Pressione "V" uma vez no menu para selecionar a opção "Auto Detect". Confirme pressionando “OK”
  5. Confirme "Motorola 3Vxx" pressionando “OK”
  6. Selecionar "Source Memory" pressionando “ >”  (Next)
  7. Selecionar "Target" pressionando "V". Confirme o destino como "USB Flash Drive" pressionando “OK”
  8. Selecionar as opções desejadas em "Content type" pressionando "V" e "OK" para selecionar. 
  9. while not EOF do {
    1. Tick the box
    2. Scroll down one step } //brincadeiras a parte, não entendi o por que não deixaram estas opções marcadas por default.....
  10. Confirme que você deseja extrair todos os dados pressionando “>”
  11. O UFED informa qual o cabo deverá ser utilizado. Pressione “>”
  12. O sistema exibe algumas instruções. Pressione “V” para rolar a tela e ler a mensagem.
  13. Confirme o início da captura dos dados pressionando “>”
  14. O processo se inicia. O UFED verifica o conteúdo do telefone e exibe uma estimativa de tempo para conclusão do trabalho. Confirme a ação pressionando “>”. 
  15. O processo demorou um pouco mais que o previsto, pouco mais de 4 minutos. Pressione ">" para continuar.
  16. O relatório com as informações do celular foram capturadas para o pendrive conectado ao UFED. Para visualizar o arquivo HTML gerado, abra-o em um Internet Explorer, por exemplo.

Conclusão                                        
São dois dispositivos muito competentes e cumprem bem o trabalho a que se propuseram. O Cellebrite UFED chama muito a atenção devido a portabilidade e por dispensar o uso do computador para a captura das informações, mas esta "independência" trás também algumas limitações ao produto... Já o XRY Field Version roda sob plataforma Windows, o que parece adicionar uma inteligência ao produto, como integração com Excel e Google Earth. O XRY tem uma interface mais amigável e se mostrou mais rápido para a captura das informações dos aparelhos celulares, mas a tela reduzida do Field Version pode atrapalhar um pouco algumas operações, problema que se resolve facilmente com o "cradle" (berço, lembra-se do Palm??) fornecido com o dispositivo, transformando o equipamento em uma estação de trabalho completa:

 

2 comments:

APOTEC said...

Estas informações são muito uteis para nós peritos que trabalhamos na área e ficamos muito tempo esperando que as secretarias comprem determinado produto, e que nem sempre são aqueles que realmente realizarão os trabalhos que desejamos que faça em virtude de mais informações dos fabricantes.
Araney
Perito Criminal

André Braga said...

As informações são excelentes. Pena que nem todo Estado possui condições de qualificar seus peritos para fazerem a tarefa.

Post a Comment