Milhares de pessoas perceberam a grande utilidade desses dispositivos e estão fazendo uso de smartphones com sistema operacional Android. Palavras-chave: Perícia forense; Cyborg Hawk OS, Android OS, Android SDK Manager e AFLological-OSE.
Justificativa
Segundo pesquisa realizada pelo IBGE1 (apud Gomes, 2018), o Brasil encerrou 2016 com 116 milhões de pessoas conectadas à Internet, o equivalente a 64,7% da população com mais de dez anos. Outra pesquisa realizada em 2018 pela FGV (apud Demartini, 2018) afirma que há mais smartphones ativos pelas pessoas e que hoje existem 220 milhões de smartphones em uso, contra 207,6 milhões de habitantes.
Objetivos
Objetivos gerais
Objetivos especifico
Aspectos metodológicos
Outro problema observado é que os estudos relacionados à perícia computacional em dispositivos móveis com sistema operacional Android partem de características gerais devido à grande variedade de fabricantes e modelos e sistemas de segurança e controle de acesso em detrimento de aspectos específicos de cada plataforma. Por fim, foram examinados aspectos específicos dos dispositivos móveis com plataforma Android, mostrando características gerais do sistema, suas aplicações e suas ferramentas sob uma perspectiva forense utilizando práticas atuais propostas pelo NIST, pela Polícia Federal e outras instituições.
Estrutura do trabalho
Além de mostrar a importância da Máquina Virtual Dalvik para análise forense em smartphones Android, apresenta características do Kit de Desenvolvimento de Software Android, Dispositivos Virtuais Android e Depuração USB, sistemas de arquivos utilizados pelo sistema Android, partições do sistema de arquivos, log do sistema e da aplicação. Por fim, no Capítulo 10, será apresentado um estudo de caso final com um dispositivo conectado com bloqueio de tela padrão e com acesso à depuração USB habilitado.
Computação forense
Segundo a definição criada por Foltran e Shibatta (2011), a ciência forense é considerada multidisciplinar, pois utiliza diversos elementos de outras ciências para que seja realizada uma análise correta de um possível vestígio ou crime. A Ciência Forense fornece os princípios e técnicas que podem facilitar a investigação de um determinado crime ou de outra forma; A ciência forense é qualquer princípio ou técnica que pode ser usada para identificar, descobrir, recuperar, construir ou analisar provas durante uma investigação criminal.
Breve história da evolução da computação forense
O crime mais famoso da época foi ‘Crime de meio centavo’, que significa: ‘Crime de meio centavo’. 8 Um crime de meio cêntimo era um crime em que os bancos mantinham o dinheiro em contas com aproximadamente três casas decimais.
Profissionais da perícia forense computacional
Evidencias digitais
As provas digitais estão associadas a dispositivos eletrônicos e periféricos, esses dispositivos são instalados próximos ao computador e conectados à cena do crime. Os tribunais de outros países ainda estão a atualizar as suas leis para ter em conta as provas digitais.
Melhores prática para coleta de dados
30 Além de definir os fatores-chave e as principais responsabilidades, você também deve informar que o especialista em informática, ao conduzir investigações forenses, deve aplicar todos os princípios forenses e processuais gerais para o tratamento de evidências digitais; não realizar nenhuma ação que possa alterar as evidências, inclusive dados em mídias ou computadores; garantir que apenas pessoas qualificadas tenham acesso a provas digitais (ISFS, 2019). É dever do especialista responsável em Computação Forense garantir que qualquer pessoa que acesse as evidências cumpra esses princípios (ISFS, 2019).
Busca, Apreensão e Conservação
Pode ser necessário, em circunstâncias excepcionais, permitir que outras pessoas acessem os dados originais em um computador de destino ou em outra mídia. O perito forense deve documentar todo o processo de exame durante a obtenção das informações e, após o perito concluir a investigação, os resultados devem passar por algum tipo de revisão para garantir que os dados foram verificados e que a investigação foi concluída.
Aquisição dos dados
31 e os originais são difíceis de distinguir, pode ser necessária documentação para distinguir entre cópias e originais; Em situações que envolvem vários computadores idênticos com configurações idênticas, a documentação é fundamental para distinguir estes sistemas; e a documentação da localização original das provas pode ser útil na reconstrução de um crime. Portanto, antes de extrair os dados, o pesquisador deve evitar que o aparelho se comunique com a rede telefônica ou se conecte à rede WI-FI, Bluetooth, IrDA (infravermelho), pois esses equipamentos específicos podem ser utilizados para isolar a rede. intervenção pode ser realizada, como colocar o dispositivo no modo avião NIST.
Ferramentas de extração
De acordo com o NIST (2014), muitos dispositivos móveis oferecem a capacidade de bloquear ou limpar remotamente, simplesmente enviando uma mensagem de texto para o dispositivo móvel. Ainda de acordo com o NIST, os tipos de software disponíveis para dispositivos móveis incluem ferramentas comerciais e de código aberto, bem como ferramentas não forenses projetadas para gerenciar, testar e diagnosticar o dispositivo, bem como ferramentas projetadas para obter dados do sistema interno do dispositivo. memória. , sem alterar o conteúdo.
Memorias dos dispositivos móveis
Além disso, muitos dispositivos móveis com o mesmo sistema operacional podem diferir e diferir muito em sua implementação, resultando em um número infinito de versões do mesmo sistema, criando assim; um obstáculo para fabricantes e investigadores de ferramentas forenses móveis. Os investigadores forenses fazem uso dessas ferramentas, compilando um conjunto de softwares disponíveis no mercado, trabalhando em diversos dispositivos como diferentes plataformas, famílias de sistemas operacionais e até mesmo um único tipo de arquitetura de hardware.
Código de segurança e controle de acesso em dispositivos móveis
34 Ao contrário da RAM, o flash NAND16 não é volátil e, portanto, os dados são retidos mesmo quando o dispositivo é desligado ou reinicializado. Smartphones são dispositivos equipados com memória flash, que é um tipo de memória não volátil usada principalmente em cartões de memória e unidades USB para armazenamento em estado sólido.
Memórias removíveis
Com a ajuda da busca por voz, a home do Android proporcionou mais funcionalidades, facilitando a utilização do sistema operacional pelo usuário. Foi lançado em fevereiro de 2011 baseado no kernel Linux 2.6.36, com sistema operacional voltado para tablets e melhorando a experiência do usuário.
A arquitetura do sistema operacional android
Portanto, eles não são mais atribuídos automaticamente quando o usuário os baixa. Além disso, oferece suporte nativo para reconhecimento de impressão digital e também possui um novo sistema de gerenciamento de energia chamado “Dose.
A máquina virtual dalvik
O formato dex
O bytecode Dalvik, quando comparado ao bytecode Java, é mais adequado para ambientes com pouca memória e baixo processamento (TAMMA et al., 2018, tradução nossa). O bytecode Dalvik consiste em apenas um arquivo ".dex" e cada aplicativo Android executa sua própria instância de DVM (Máquina Virtual Dalvik).
Android software Development Kit
Android NDK
O NDK tornará esse processo de compilação muito mais fácil, pois fornece um conjunto de bibliotecas que o desenvolvedor pode usar. Segundo Hoog (2011), do ponto de vista forense e de segurança, a ferramenta de compilação cruzada, ou seja; compilar código em uma plataforma que visa outra) é um ponto importante de estudo, pois seus componentes podem ser reaproveitados.
Android virtual devices
Isso pode ser importante para validar seus resultados em um estudo ou para testar como uma ferramenta forense afeta um dispositivo Android. Além disso, antes de instalar uma ferramenta forense em um dispositivo real, o emulador AVD pode ser usado para testar como uma ferramenta funciona e modifica o conteúdo em um dispositivo Android.
Android debug bridge – ADB Tool
- USB Debugging (Depuração USB)
Isso pode ser importante para validar seus resultados em um estudo ou para testar como uma ferramenta forense afeta um dispositivo Android. 2018), um dispositivo virtual Android ou AVD é de grande importância do ponto de vista forense. Nas versões mais recentes do Android, quando um dispositivo tiver a depuração UBS habilitada e conectado via UBS, ele exibirá um aviso de segurança, conforme mostrado na Figura 5 abaixo.
Sistemas de arquivos
Fat32
51 operadores podem ler, modificar e excluir facilmente arquivos localizados na partição FAT32 de dispositivos que usam o sistema operacional Android. Conforme mencionado anteriormente, sistemas como Linux, Windows e macOS funcionam bem com esses sistemas de arquivos.
YAFFS2
A razão pela qual os sistemas de arquivos das partições usadas pelo usuário diferem das partições usadas pelo sistema operacional Android é a compatibilidade com outros sistemas operacionais. No Linux, as partições FAT32 são chamadas de VFAT, que é uma extensão dos sistemas de arquivos FAT16 e FAT32.
Partições do sistema de arquivos
Logs das aplicações do sistema
Log do Kernel do Linux
O kernel do sistema operacional Linux controla todo o hardware de um computador, alocando memória conforme necessário e executando um aplicativo conforme necessário. De acordo com HOOG 2011, o kernel Linux é uma interface de baixo nível do sistema operacional Linux, que fornece acesso ao hardware de um dispositivo como smartphones.
Log dos Apps
Na próxima tela temos que selecionar a opção “criar um novo disco virtual agora”, esta opção permite a criação de um disco rígido. Na próxima tela, “Tipo de arquivo do disco rígido” aparecerá, solicitando que você selecione o tipo de arquivo do disco rígido. Devemos selecionar VDI (VirtualBox Disk Imager) e clicar em "Avançar (N)" .
Configurando e atualizando o SDK Manager
63 Para atualizar o SDK Manager, marque as caixas ao lado do pacote Ferramentas na opção Pacotes do SDK Manager.
Emulando um dispositivo virtual
64 Para criar e gerenciar um dispositivo virtual, execute o Android SDK Manager, uma lista de pacotes com diferentes versões do Android será exibida. Depois que seu AVD for criado, clique em "Ok", selecione o AVD criado e clique em "Iniciar", selecione as opções apropriadas em "Opções de inicialização" e clique em "Iniciar".
Verificando e executando o android debug bridge (ADB)
Verificando e executando o ADB Devices
Por sua vez, o servidor faz conexões com todas as instâncias de emulador/dispositivo em execução. O servidor encontra as instâncias do emulador verificando as portas ímpares no intervalo de 5555 a 5585 usadas pelo dispositivo emulador.
Ativando a depuração do ADB do dispositivo emulado
Para instalar o AFLogical-OSE_1.5.2, o dispositivo deve ser reconhecido pela máquina virtual "CyborgForense", então precisamos ir até a opção: dispositivo "Oracle VM VirtualBox" e certificar-se de que o mesmo foi reconhecido, conforme mostra a imagem 25 abaixo. Em seguida, precisamos inserir AFLogical-OSE_1.5.2 no dispositivo emulado utilizando a ferramenta ADB, utilizando o comando: "sudo adb devices".
Resultado 1 - Aparelho ligado, desbloqueado e sem permissões de super
Exame dos Arquivos Obtidos Via Aflogical_Ose
Após extrair os dados através da aplicação "AFLogical_OSE", podemos ver no diretório: ~/Desktop/AFLogical_Phone_Data$ alguns arquivos salvos em formato ".csv" que podem ser utilizados por um analista especialista. No arquivo “Contacts Phone.csv”, conforme Figura 40 abaixo, também foi possível recuperar uma lista com todos os nomes de contatos armazenados no smartphone. Essas informações podem ser facilmente vinculadas a outros proprietários de linhas telefônicas.
Exames de Arquivos-Fotos obtidos via inspeção manual
Portanto, a ferramenta “FotoForenscis” conseguiu extrair informações importantes da imagem, como: tipo de extensão da imagem, data e hora da modificação, nome da câmera, entre outras informações. Desta forma foi possível determinar de forma satisfatória o local onde a imagem foi tirada, conforme mostra a Figura 44.
Resultado 2: Aparelho ligado, sem bloqueio de tela padrão e com acesso a
Exames de arquivos (Fotos) obtidas via inspeção manual
Também foi possível encontrar um total de 50 imagens em formato JPG na memória interna do aparelho na pasta de miniaturas. Embora o smartphone possuísse bloqueio de tela padrão, foi possível estabelecer uma conexão de depuração UBS da estação especializada “CyborgForense” com o smartphone analisado, conforme Figura 60 abaixo.
Instalação da ferramenta Aflogical-Ose nos Smartphone Samsung J1
Portanto, para análise do cartão de memória, repetimos os testes utilizados no RESULTADO 01 e no RESULTADO 02, que consistem em uma inspeção manual e visual através da navegação entre as pastas do dispositivo. Como se sabe que o dispositivo analisado foi reconhecido pela delegacia, conforme mostra a Figura 60, podemos concluir que o dispositivo já possui a opção de depuração USB ativada, portanto procedemos à instalação da ferramenta AFLogical-OSE.
Exames dos dados extraídos via Aflogical-OSE
No mesmo diretório: /home/cyborg/Desktop/AFLogical_Phone_Data foi possível observar o arquivo SMS.csv, um registro de mensagens trocadas pelo usuário. Por fim, não foi possível categorizar nenhuma informação em outros arquivos criados a partir da extração de informações através do AFLogical-OSE.
Extração Manual
Disponível em:
