EnCase® Forensic e EnCase® Enterprise v7.09: Investigações iOS de Maneira Imediata



A maioria dos investigadores está familiarizado com as capacidades de EnCase® Forensic ou  EnCase® Enterprise como uma ferramenta para investigação de computadores de escritório, servidores e discos rígidos, mas  você sabia que desde que EnCase  v7 foi introduzido proveu de suporte para sistemas operativos de telefones inteligentes desde o momento em que foi tirado da caixa? Na versão 7.09, a última atualização, EnCase melhora a aquisição de telefones móveis, a capacidade de análise e informe ao agregar suporte para dispositivos com iOS 7.

Como você deve saber, o mercado de dispositivos móveis está dominado por iOS e Android. Mais de 90% dos usuários de telefones inteligentes tem um dispositivo que suporta Apple ou Google. 
 Entretanto, dentro da maioria há múltiplos fatores que os investigadores como você devem considerar e, ultimamente, lidar, incluindo:

·         A versão dos sistemas operativos de telefones inteligentes varia amplamente à medida que as novas tecnologias são adotadas em diferentes magnitudes pelos consumidores de dispositivos móveis.
·         Novos dispositivos e capacidades de hardware são atualizados constantemente.
·         Os dados podem apresentar-se-lhe de maneiras diferentes, resultando nas perguntas:

·         Deveria uma imagem física ser obtida ou uma imagem lógica seria suficiente?
·         É possível adquirir uma imagem física sem rootear e afetar o conteúdo do dispositivo de maneira dramática?
·         Que aplicações existem no dispositivo?
·         Como se pode ter acesso aos dados desde um backup?
·         Que acontece se o backup está protegido por uma senha?

Esses fatores fazem com que a tarefa de investigar um dispositivo móvel seja complexa. Para complicar ainda mais, é frequente que um caso envolva tablets, computadores de escritório, telefones inteligentes, laptops e servidores de rede. EnCase v7 le dá um amplo espectro de ferramentas e técnicas para reduzir a complexidade e ajudá-lo a encontrar a maior quantidade de evidência  possível.

Investigações iOS dentro de alcance

Atualmente, os investigadores podem usar EnCase  v7.09 para adquirir dados lógicos de dispositivos iOS da mesma maneira que ferramentas específicas para dispositivos móveis o realizam. Para dispositivos iOS em particular, a aquisição lógica  é o único modo de realizar uma aquisição  sem alterar materialmente o dispositivo (i.e. jailbreaking).

Pode conectar um dispositivo iOS 7 a EnCase v7.09 por meio de um  cabo USB para obter mensagens SMS eliminadas, chats, histórico do navegador, contatos, registro de chamadas e inclusive dados de aplicações  de Apple Maps e Google Plus. Isto poderá parecer um conceito simples, mas considere o seguinte: a maioria dos investigadores NÃO tem uma ferramenta examinadora específica para dispositivos a mão o tempo todo. Quando consideramos que muitos investigadores têm acesso rápido a EnCase, o valor de ter capacidades de análises de telefones inteligentes predeterminado, sempre pronto, onde queira que EnCase Forensic foi instalado, imediatamente  se faz aparente.
Simplesmente agregue evidência a seu caso…





…conecte o dispositivo, estabeleça suas opções de aquisição...






Uma vez o telefone inteligente é analisado, você poderá ver informes compreensivos e realizar uma busca de palavras chave através da evidência, incluindo dispositivos móveis ou computadores de escritório ou laptops. Você poderá ver informação de localização, tais como localizações de mapas, de telefones e imagens geo – etiquetadas diretamente em ferramentas como Google Earth.




Backups de iTunes protegidos por senhas

Os investigadores nem sempre têm acesso físico ao dispositivo iOS. Talvez a única evidência disponível seja um backup de iTunes e os usuários de iTunes podem proteger  com senhas seus arquivos de backup. Com EnCase v7.09, você  agora pode adquirir estes arquivos de iTunes protegidos ou sem proteção  com as credenciais apropriadas. Esta capacidade é tipicamente vista em investigações de dispositivos móveis ou ferramentas de recuperação de senhas. Mas no dia a dia, ter esta capacidade em cada instalação de EnCase pode  ser de muita ajuda. De fato, pode significar a diferença entre ter dados para examinar ou não tê-los em absoluto.

Investigações Eficientes de Múltiplos Dispositivos

As investigações de hoje incluem uma diversidade de tecnologias tais como: telefones inteligentes, memórias USB, armazenamento adjunto por rede de tipo RAID, como também o tradicional hard drive em computadores e laptops. Todos os dados coletados na investigação podem estar em diferentes containers, mas está todo relacionado com ser investigado. Realizar tarefas de investigação comum como busca de palavras chave ou, inclusive, a revisão do histórico da internet leva tempo completar através de distintas ferramentas. Quando os resultados são gerados, você ainda tem que dar-se tempo para agregar e criar o informe final. Poderia ser mais simples e eficiente realizar uma simples busca de palavras chave através de TODA a evidência?

As capacidades integradas de análise de telefones inteligentes e a criação de informes em EnCase Forensic v7 expandem o poder de tarefas investigativas comuns, como a busca de palavras chave através de um caso, incluindo todos os dispositivos e todos os dados. Agora se podem realizar buscas através de muitos tipos de dados: estruturas de registro em desktops, plists em dispositivos iOS e arquivos eliminados em RAIDs reconstruídos são somente alguns exemplos. Todos estes resultados podem ser analisados em conjunto, em contextos e logo marcados e reportados.

Na vivência dos quinze (15) anos de Guidance Software, EnCase Forensic tem sido consistente em manter o foco e dar-lhe o que necessita para encontrar a maior quantidade de evidência  potencial da maneira mais eficiente. Com a versão 7.09, todos nós de Guidance Software esperamos que os investigadores como vocêpossam vislumbrar os benefícios da investigação  de dispositivos móveis integrada.

Este artigo foi traduzido do original em inglês EnCase Forensic 7.09: iOSInvestigations Out ofthe Box escrito por Ken Mizota, Gerente de Produto na Guidance Software. Siga Ken no twitter, @kenm_encase

Se tiver alguma dúvida ou comentário, escreva para nosso e-mail: sales-latam@encase.com


RELACIONADOS

Que Papel Desempenham Os Metadados Dentro De Uma Evidência?

Como Obter Evidencia Em Ajustes De Discos 








No comments :

Post a Comment