A maioria
dos investigadores está familiarizado com as capacidades de EnCase® Forensic ou
EnCase® Enterprise como uma ferramenta para investigação de computadores de escritório, servidores
e discos rígidos, mas você sabia que
desde que EnCase v7 foi introduzido proveu de suporte para sistemas operativos de telefones
inteligentes desde o momento em que foi tirado da caixa? Na versão 7.09, a
última atualização, EnCase melhora a aquisição de
telefones móveis, a capacidade de análise e informe ao agregar suporte para
dispositivos com iOS 7.
Como você
deve saber, o mercado de dispositivos móveis está dominado por iOS e Android.
Mais de 90% dos usuários de telefones inteligentes tem um dispositivo que
suporta Apple ou Google.
·
A
versão dos sistemas operativos de telefones inteligentes varia amplamente à
medida que as novas tecnologias são adotadas em diferentes magnitudes pelos
consumidores de dispositivos móveis.
·
Novos
dispositivos e capacidades de hardware são atualizados constantemente.
·
Os
dados podem apresentar-se-lhe de maneiras diferentes, resultando nas perguntas:
·
Deveria
uma imagem física ser obtida ou uma imagem lógica seria suficiente?
·
É
possível adquirir uma imagem física sem rootear e afetar o conteúdo do
dispositivo de maneira dramática?
·
Que
aplicações existem no dispositivo?
·
Como
se pode ter acesso aos dados desde um backup?
·
Que
acontece se o backup está protegido por uma senha?
Esses
fatores fazem com que a tarefa de investigar um dispositivo móvel seja
complexa. Para complicar ainda mais, é frequente que um caso envolva tablets,
computadores de escritório, telefones inteligentes, laptops e servidores de
rede. EnCase v7 le dá um amplo espectro de ferramentas e técnicas para
reduzir a complexidade e ajudá-lo a encontrar a maior quantidade de
evidência possível.
Investigações iOS dentro de alcance
Atualmente,
os investigadores podem usar EnCase v7.09 para adquirir dados lógicos
de dispositivos iOS da mesma maneira que ferramentas específicas para
dispositivos móveis o realizam. Para dispositivos iOS em particular, a
aquisição lógica é o único modo de realizar
uma aquisição sem alterar materialmente
o dispositivo (i.e. jailbreaking).
Pode
conectar um dispositivo iOS 7 a EnCase v7.09 por meio de um cabo USB para obter mensagens SMS eliminadas,
chats, histórico do navegador, contatos, registro de chamadas e inclusive dados
de aplicações de Apple Maps e Google
Plus. Isto poderá parecer um conceito simples, mas considere o seguinte: a
maioria dos investigadores NÃO tem uma ferramenta examinadora específica para
dispositivos a mão o tempo todo. Quando consideramos que muitos investigadores
têm acesso rápido a EnCase, o valor de ter capacidades de análises de telefones
inteligentes predeterminado, sempre pronto, onde queira que EnCase Forensic foi
instalado, imediatamente se faz
aparente.
Simplesmente
agregue evidência a seu caso…
…conecte o
dispositivo, estabeleça suas opções de aquisição...
Uma vez o
telefone inteligente é analisado, você poderá ver informes compreensivos e
realizar uma busca de palavras chave através da evidência, incluindo dispositivos
móveis ou computadores de escritório ou laptops. Você poderá ver informação de
localização, tais como localizações de mapas, de telefones e imagens geo –
etiquetadas diretamente em ferramentas como Google Earth.
Backups de iTunes protegidos por senhas
Os
investigadores nem sempre têm acesso físico ao dispositivo iOS. Talvez a única
evidência disponível seja um backup de iTunes e os usuários de iTunes podem
proteger com senhas seus arquivos de
backup. Com EnCase v7.09, você agora
pode adquirir estes arquivos de iTunes protegidos ou sem proteção com as credenciais apropriadas. Esta
capacidade é tipicamente vista em investigações de dispositivos móveis ou
ferramentas de recuperação de senhas. Mas no dia a dia, ter esta capacidade em
cada instalação de EnCase pode
ser de muita ajuda. De fato, pode significar a diferença entre ter dados
para examinar ou não tê-los em absoluto.
Investigações Eficientes de Múltiplos
Dispositivos
As
investigações de hoje incluem uma diversidade de tecnologias tais como:
telefones inteligentes, memórias USB, armazenamento adjunto por rede de tipo
RAID, como também o tradicional hard drive em computadores e laptops. Todos os
dados coletados na investigação podem estar em diferentes containers, mas está
todo relacionado com ser investigado. Realizar tarefas de investigação comum
como busca de palavras chave ou, inclusive, a revisão do histórico da internet
leva tempo completar através de distintas ferramentas. Quando os resultados são
gerados, você ainda tem que dar-se tempo para agregar e criar o informe final.
Poderia ser mais simples e eficiente realizar uma simples busca de palavras
chave através de TODA a evidência?
As
capacidades integradas de análise de telefones inteligentes e a criação de
informes em EnCase Forensic v7 expandem o poder de tarefas investigativas
comuns, como a busca de palavras chave através de um caso, incluindo todos os
dispositivos e todos os dados. Agora se podem realizar buscas através de muitos
tipos de dados: estruturas de registro em desktops, plists em dispositivos iOS
e arquivos eliminados em RAIDs reconstruídos são somente alguns exemplos. Todos
estes resultados podem ser analisados em conjunto, em contextos e logo marcados
e reportados.
Na vivência
dos quinze (15) anos de Guidance Software, EnCase Forensic tem sido consistente
em manter o foco e dar-lhe o que necessita para encontrar a maior quantidade de
evidência potencial da maneira mais
eficiente. Com a versão 7.09, todos nós de Guidance Software esperamos que os investigadores
como vocêpossam vislumbrar os benefícios da investigação de dispositivos móveis integrada.
Este artigo foi traduzido do original em inglês
EnCase Forensic 7.09: iOSInvestigations Out ofthe Box escrito por Ken Mizota, Gerente de Produto na Guidance Software. Siga
Ken no twitter, @kenm_encase
Se tiver
alguma dúvida ou comentário, escreva para nosso e-mail: sales-latam@encase.com
RELACIONADOS
Como Obter Evidencia Em Ajustes De Discos
No comments :
Post a Comment