Área do Aluno

J2 Extração Física com Cellebrite

Extraindo dados de forma artesanal

Willian Freitas Núncio

RESUMO

O presente artigo tem como objetivo explorar artefatos forense de um dispositivo móvel, cuja extração de dados fora realizada pela notória ferramenta Cellebrite UFED Touch. A extração a ser analisada é do tipo física, uma raridade hoje em dia, visto que a grande maioria das aquisições forenses em smartphone são de nível lógica e lógica avançada. O tipo de análise que veremos exige muito mais expertise técnica do perito, pois passaremos a analisar informações que a ferramenta de extração Cellebrite sozinha não é capaz de trazer ao conhecimento do investigador, de modo que tenham que ser extraídas de forma artesanal. Neste caso, é requerido um profundo conhecimento técnico do perito para extrair dados que venham a contribuir de forma relevante para a investigação em andamento. Deste modo, apresenta-se uma síntese dos principais artefatos, suas respectivas pastas onde estão localizados e seu significado para a investigação. Usaremos a ferramenta Cellebrite Physical Analyser versão 7.47 para realizar a análise forense da imagem fornecida para o estudo.

Palavras-chave: cellebrite; extração; análise; artefatos.

ABSTRACT

This article aims to explore forensic artifacts from a mobile device, whose data extraction was performed by the notorious Cellebrite UFED Touch tool. The extraction to be analyzed is of the physical type, which is a rarity nowadays, since the vast majority of forensic smartphone acquisitions are logic and advanced logic level. The type of analysis that we will see requires much more technical expertise from the expert, as we will now analyze information that the Cellebrite extraction tool alone is not able to bring to the attention of the investigator, so that it has to be extracted by hand. In this case, a deep technical knowledge of the expert is required to extract data that will contribute in a relevant way to the investigation in progress. In this way, a synthesis of the main artifacts, their respective folders where they are located and their significance for the investigation is presented. We will use the Cellebrite Physical Analyzer tool version 7.47 to perform forensic analysis of the image provided for the study.

1 INTRODUÇÃO

O uso de dispositivos móveis cresce a cada ano no Brasil. Segundo uma pesquisa realizada pela FGV “O Brasil tem 440 milhões de dispositivos digitais (computador, notebook, tablet e smartphone) em uso, ou seja, são dois por habitante, de acordo com a 32ª edição da Pesquisa Anual do FGVcia”. Não é novidade que este número tende a crescer cada vez mais, uma vez que a tecnologia invadiu o mundo globalizado em que vivemos, no qual hoje somos dependentes dela na grande maioria das tarefas em nosso trabalho, além de seu uso essencial para a comunicação entre pessoas e empresas.

Com o crescente uso dos dispositivos móveis e seu fácil acesso, também cresceu o número de golpes cometidos com o uso da tecnologia. Em paralelo, cresce no Brasil a forense digital, profissão que ajuda a desvendar crimes cibernéticos cometidos com o uso da tecnologia, de modo a obter provas de um fato que sejam perfeitamente válidas em um tribunal como elemento probatório. É possível demonstrar através da perícia os eventos ocorridos em um ambiente digital, uma vez que se tenha um profissional forense qualificado juntamente com as ferramentas adequadas que servirão de auxílio ao trabalho do perito.

Atualmente, as duas ferramentas forenses de alto gabarito e amplamente reconhecidas no mercado para a extração de dados pelas forças de lei são o Cellebrite (software israelense) e o XRY (do grupo MSAB).

De forma geral, é muito comum os investigadores, quando de posse de um dispositivo móvel apreendido, usarem o software forense de sua preferência e com apenas poucos cliques, quase que de forma “mágica” é extraído um conjunto de dados reunidos de forma automatizada pelo software que permitirá posteriormente sua análise pelo perito.

De acordo com o exposto acima, usaremos o software Cellebrite para demonstrar a análise de dados extraída de forma automatizada com a ferramenta e em paralelo realizaremos uma análise de dados de forma artesanal, mostrando os dados que a ferramenta não exibe em sua forma de extração automática, sendo necessária a intervenção do perito, além do conhecimento técnico profundo para interpretar estes dados.

2 ANÁLISE COM CELLEBRITE

Os tipos de extrações possíveis com a ferramenta Cellebrite são a lógica, sistemas de arquivos e física, na qual cada uma delas é possível extrair um conjunto específico de dados.

Fonte: https://privacyinternational.org/long-read/3256/technical-look-phone-extraction

Os tipos de extração mais comuns realizadas, são do tipo lógica e lógica avançada. Extrações do tipo física são raridade, mas não impossível de se obter.

Uma extração do tipo File System (sistema de arquivos) é possível usando acesso privilegiado como root ou jailbreak. Na extração física usando métodos de recuperação ou bootloader, JTAG, ISP, Chipoff é possível obter mais dados do dispositivo.

Em uma extração física são extraídos os dados brutos em nível binário, logo se o celular tem 64GB de memória interna, será gerada uma imagem na sua totalidade. Importante destacar que além de ser o método preferido de extração, nem sempre é possível, por ser muito invasivo e depender de uma série de fatores como bloqueado, protegido por senha, criptografado, nível de bateria estar em 100% entre outros.

Através da ferramenta Cellebrite Physical Analyzer demonstraremos nos tópicos seguintes as partições do celular, seus respectivos artefatos e significados.

2.1 Tela inicial do software

Ao executar o software de análise de evidências Physical Analyser, carregamos a imagem forense (formato ufdr) para extrair as informações do dispositivo móvel. Na figura abaixo, detalhe A, é possível visualizar o tipo de extração realizada (Física), no detalhe B são exibidas informações acerca do dispositivo como nome do dispositivo, operadora, IMEI, endereço bluetooth, marca, modelo, número de fábrica, versão do SO, etc. No detalhe C, é exibido o conteúdo extraído da imagem forense como bate papos, contas de usuário do dispositivo, contatos, histórico da web, e-mails, entre outros dados.

O modo mais rápido e fácil é acessar os dados exibidos pela ferramenta no detalhe C, onde é possível analisar o conteúdo do dispositivo móvel a ser periciado.
O objetivo deste artigo será explorar a guia Sistema de Arquivos, onde analisaremos informações que a ferramenta não apresenta na extração de seu conteúdo.
A figura 3 abaixo apresenta em sua guia lateral esquerda o ícone “Sistema de arquivo”, na qual exibe uma estrutura hierárquica de pastas com diversos conteúdos a serem analisados.
2.2 Partição EFS
Partição com informações relacionadas à segurança e certificados do aparelho.
Battery: informação relacionada a capacidade de amperes da bateria. Na imagem abaixo encontramos sua capacidade em 100%.
Ao clicar no arquivo teremos a informação ao lado “1000” que corresponde a 100% da bateria. Devemos desconsiderar o zero a mais na imagem, ficando em 100 e não 1000. Nas informações do arquivo também é possível obter a última data e hora do estado em que o hardware do aparelho se comunicou com o software informando que a bateria estava totalmente carregada. Veja abaixo:

Bluetooth: informação relacionada ao endereço de bluetooth do aparelho.

FactoryApp: informações relacionadas aos aplicativos de fábrica do aparelho.
Batt cable count: tem a função de informar quantas vezes a bateria foi recarregada. É importante quando você deseja saber se o aparelho foi pouco usado.
Batt discharge level: quantas vezes apresentou nível de descarga da bateria.
Earjack_count: informações a respeito de quantas vezes foi inserido o fone de ouvido, na qual obtemos como resposta o valor 94 vezes.
Factory mode: Caso esteja com o valor “ON”, significa que você tem autorização para retornar o aparelho ao modo de fábrica.

Fdata: Caso apareça “N0NN” significa que as informações de fabrica estão nesse formato número, letra, número, número.

Keystr: Caso esteja “ON” significa que no aparelho existem armazenamento de chaves.

Max_current: informações sobre a quantidade de boots que ele deu, boot e reboot. Obtemos o valor de 1178 vezes.
 
Max_temp: informações sobre o máximo de tempo de uso ininterrupto do aparelho e minutos. Obtemos como resultado 468 minutos.
Prepay: Caso seja exibido “FALSE” significa que o celular não é pré-pago.
Serial_no: informações relativas ao número de serial do aparelho. Importante destacar que este deve ser o mesmo número que está na nota fiscal, no casco do aparelho, bem como em outras áreas. Algumas partes do número foram omitidas. Em perícia civil é muito usado em caso de dano ou adulteração de aparelho.
Wifi: informações sobre o endereço MAC da placa de rede. Encontramos dois arquivos, “mac.cob” que se referem as informações que estão gravadas no banco e “mac.info” que são as informações exibidas para o usuário. Destaca-se que o endereço MAC deve ser igual nos dois arquivos (mac.cob e mac.info).
2.3 Pasta Procdata.zip
No arquivo “cpuinfo” é possível obter informações acerca do processador do aparelho.
2.4 Partição System
Esta partição corresponde ao próprio sistema operacional.
Etc/Bluetooth: Na partição system, dentro da pasta bluetooth, através do arquivo “iop_device_list.conf” obtemos informações sobre os veículos que este dispositivo trocou informações via bluetooth.
Para melhor visualização, devemos salvar o arquivo e abrir em um bloco de notas.
Este banco acima é muito usado em fins periciais para saber com quais carros o dispositivo em questão trocou informação.
            Exemplo: // 64:D4:BD = 2015 Volvo XC60
            Nesta linha obtemos a informação de que o final da chave “64:D4:BD” no ano de 2015 trocou informações com um Volvo XC60.
            Destaca-se que a versão do sistema operacional Android que estamos usando é a 6.0.1, a qual não informa a data e hora de conexão, entretanto no Android 8,9 e 10 mostrará a data e hora.
 
3 CONSIDERAÇÕES FINAIS
Por fim, podemos mencionar que o uso de ferramentas avançadas para extração de dados em dispositivos móveis, jamais realizará todo o trabalho pericial sem que a intervenção do perito seja necessária, principalmente no que se refere aos detalhes da investigação que somente serão obtidos com um olhar minucioso do perito sobre os dados.

REFERÊNCIAS

Retrospectiva 2021: Brasil tem dois dispositivos digitais por habitante, revela pesquisa da FGV. Disponível em: <https://portal.fgv.br/noticias/retrospectiva-2021-brasil-tem-dois-dispositivos-digitais-habitante-revela-pesquisa-fgv>

Acesso em: 19/05/2022

Uma visão técnica da extração de telefone. Disponível em: <https://privacyinternational.org/long-read/3256/technical-look-phone-extraction>

 Acesso em: 23/05/2022

Curso Livre de Formação em Perícia aplicada a Dispositivos Móveis ministrado pelo professor Jorge Ramos de Figueiredo. WB Educacional. Ano 2022.

Fórum MacroDroid. Disponível em: <https://www.tapatalk.com/groups/macrodroid/interesting-ideas-for-variables-t4331.html?sid=883f222ce9388788b90a733e9e7e6b73>

Acesso em: 31/05/2022

Conheça nossos treinamentos

Análise Forense de Malware

Recuperação de Dados Starter

Próximos Eventos

Evento

Recuperação de Dados Starter

Dia 27 de Julho. Clique para saber mais

Continue Lendo

Evento

Autopsy Forensics: do Zero ao Avançado

Dia 14 de Julho. Clique para saber mais

Continue Lendo

Evento

Análise de Malware Starter

Dia 22 de Junho. Clique para saber mais

Continue Lendo

  • Siga-nos:
  • Copyright © 2021. Todos os direitos reservados

Contato

Atendimento Comercial

Seg – Sex: 09:00 – 18:00

Endereço:

Rua São Bento, 365, 8o andar, Centro,
São Paulo-SP

Telefone:

+55 11 98594-6809

Menu

  • Siga-nos:
Voltar ao topo
  • Copyright © 2021. Todos os direitos reservados
Área do Aluno