GERAÇÃO DE IMAGEM FORENSE E EXTRAÇÃO DE DADOS EM IPAD UTILIZANDO ADAPTADOR USB

873 visualizações

Publicada em

Trabalho de Conclusão do curso de pós graduação em Computação Forense da Universidade Mackenzie.
Ano de conclusão 2013

Publicada em: Tecnologia
0 comentários
0 gostaram
Estatísticas
Notas
  • Seja o primeiro a comentar

  • Seja a primeira pessoa a gostar disto

Sem downloads
Visualizações
Visualizações totais
873
No SlideShare
0
A partir de incorporações
0
Número de incorporações
7
Ações
Compartilhamentos
0
Downloads
21
Comentários
0
Gostaram
0
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

GERAÇÃO DE IMAGEM FORENSE E EXTRAÇÃO DE DADOS EM IPAD UTILIZANDO ADAPTADOR USB

  1. 1. UNIVERSIDADE PRESBITERIANA MACKENZIE JÚLIO CÉSAR ROQUE BENATTO GERAÇÃO DE IMAGEM FORENSE E EXTRAÇÃO DE DADOS EM IPAD UTILIZANDO ADAPTADOR USB São Paulo 2013
  2. 2. UNIVERSIDADE PRESBITERIANA MACKENZIE PÓS-GRADUAÇÃO EM COMPUTAÇÃO FORENSE JÚLIO CÉSAR ROQUE BENATTO GERAÇÃO DE IMAGEM FORENSE E EXTRAÇÃO DE DADOS EM IPAD UTILIZANDO ADAPTADOR USB Trabalho de Conclusão de Curso apresentado à Universidade Presbiteriana Mackenzie como requisito parcial à obtenção do diploma em Especialização em Computação Forense (Lato Sensu) ORIENTADORA: Profa . Ma . Ana Cristina Azevedo São Paulo 2013
  3. 3. A minha família e amigos, pela paciência, apoio e companheirismo, determinantes em nossas conquistas pessoais e profissionais.
  4. 4. Agradecimentos Ao Prof. Esp. Fernando Luiz Carbone, pelas experiências e conhecimento técnico transmitido, preponderantes a este trabalho. À Dra. Camilla do Vale Jimene, pelo domínio da regra e da palavra, e pela passagem de cultura de forma tão clara e direta. Ao Professor Domingo Montanaro, por ter transmitido o que é amar uma profissão, pela honestidade em ensinar o que realmente importa sem rodeios, e sacrifícios em prol dos alunos. Aos amigos José Francci Neto e Rafael Leonardo Martin, pelos momentos descontraídos, pela ajuda nos momentos críticos em que precisei, e pela total disponibilidade nas horas difíceis. À Profª. Mª. Ana Cristina Azevedo Pontes de Carvalho, pela clareza nas ideias, pela coragem em mudar, pela força, e pela dedicação aos alunos.
  5. 5. “A motivação da vida científica é composta pela vontade de descobrir o desconhecido, aprimorar o conhecido, concluir que este ciclo não termina e jamais desistir. Não há dinheiro no mundo que pague o sabor de tais descobertas e aprendizados.” (Ulisses Thadeu Vieira Guedes)
  6. 6. RESUMO O iPad da Apple é um dispositivo tablet popular hoje em dia, foi apresentado pela Apple no início de 2010. Sua capacidade de armazenamento de dados abre novas oportunidades no campo da computação forense, dado que o seu design, tanto interno como externo, é muito semelhante ao iPhone. A maneira mais fácil de obter uma imagem forense sem utilizar ferramentas proprietárias, é instalar um servidor ssh, se conectar ao dispositivo e transferir os dados via rede wireless a um host remoto. Esta abordagem pode exigir até 20 horas, devido o tamanho do dispositivo de armazenamento de dados do aparelho. Neste Trabalho é apresentada uma nova abordagem que se aproveita de um recurso não documentado para que seja possível usar um barato acessório do aparelho iPad, o kit de conexão de câmera, possibilitando a criação da imagem forense em um disco externo conectado via conexão USB, reduzindo o tempo necessário para a transferência e criação do LEF (Logical Evidence File) Palavras-chave: Forense, iPad, cybercrime, Investigação Digital, Apple.
  7. 7. ABSTRACT The Apple iPad is a tablet device popular nowadays, was presented by Apple at the beginning of 2010. Your data storage capacity opens up new opportunities in the field of computer forensics, since its design, both internal and external, is very similar to the iPhone. The easiest way to get a forensic image without using proprietary tools, is to install an ssh server, connect to the device and transfer data via wireless network to a remote host. This approach may require up to 8:0 pm, because of the size of the data storage device. In this paper is presented a new approach that takes advantage of a feature not documented so you can use a cheap device iPad accessory, camera connection kit, enabling the creation of forensic image on an external disk connected via USB connection, reducing the time required for the transfer and creation of the LEF (Logical File Evidence) Keywords: Forense, iPad, cybercrime, Digital Investigation, Apple.
  8. 8. SUMÁRIO Sumário 1 INTRODUÇÃO........................................................................................................... 10 1.1 Justificativa........................................................................................................... 14 1.2 Problema e questão de pesquisa ........................................................................... 14 1.3 Objetivos............................................................................................................... 15 2 VISÃO GERAL DA ARQUITETURA DO IPAD ..................................................... 15 2.1 Principais características .......................................................................................... 16 2.2 Botões e conectores .................................................................................................. 16 2.3 Esquema de partição................................................................................................. 17 3. AQUISIÇÃO FORENSE DE DADOS DO DISPOSITIVO IPAD............................ 20 3.1 Configurações do dispositivo. .................................................................................. 20 3.2. Geração de imagem forense do dispositivo............................................................ 24 3.3 Montagem do disco rígido USB ............................................................................... 24 4 Obtendo a imagem forense.......................................................................................... 28 4.1 Reconstruindo a imagem forense ............................................................................. 29 4.2 Resultados e desempenho......................................................................................... 30 5 CONCLUSÃO............................................................................................................. 32 6 REFERÊNCIAS .......................................................................................................... 33
  9. 9. ÍNDICE DE FIGURAS Figura 1. Configuração dos botões do Ipad...............................................................................17 Figura 2. Conexão do iPad via Kit de conexão de câmera para Disco rígido externo...............26 Figura 3.Taxa de transferência do sistema de imagem do iPad de 64GB...................................31
  10. 10. 1 INTRODUÇÃO Dispositivos portáteis tornaram-se uma tecnologia muito importante em nossa sociedade, permitindo o acesso a recursos de computação ou serviços de forma onipresente. Sobre esse aspecto, os telefones móveis vêm passando por uma grande transformação em seus últimos anos, se tornando lentamente compactos computadores de bolso e que podem ser gerenciados com uma mão. No entanto, como requisito a mais é incluso novas funcionalidades além daquela que um celular realmente pode oferecer. Tais dispositivos tentam chegar a um compromisso entre um alto grau de portabilidade, usabilidade e capacidade de fornecer tais funcionalidades avançadas (por exemplo, ser capaz de ler, criar ou processar documentos). O concorrente mais recente no campo dos dispositivos portáteis incorporado no mercado é o iPad da Apple, um computador tablet que tenta tirar proveito do sucesso do seu antepassado, o iPhone. Ele foi anunciado pela Apple em janeiro de 2010 e lançado nos Estados Unidos da América e na Europa entre abril e maio de 2010. “O iPad quebrou recordes da indústria no início de 2010, quando vendeu 3 milhões de unidades em seus primeiros 80 dias no mercado”(INFORMATIONWEEK..., 2010). Uma abordagem muito básica para a aquisição de dados do usuário pode ser feita conectando o dispositivo através do cabo USB padrão a um computador com iTunes, (player multimídia da Apple) que é responsável pela sincronização do conteúdo para o dispositivo. Usando seu protocolo AFC (Apple File Connect), o iTunes sincroniza as informações existentes (contatos, calendário, contas de e-mails e aplicações) e pode até mesmo recuperar um backup completo do dispositivo, no entanto esta ação apresenta dois problemas: O dispositivo precisa ser corretamente emparelhado com o software do iTunes para que a sincronização seja efetuada com sucesso.
  11. 11. Mesmo se o investigador tem acesso ao backup do dispositivo através do iTunes (instalado no computador pessoal do suspeito) não haverá acesso aos espaços não alocados que possam conter dados que fora apagados e que podem ser recuperados posteriormente. Consequentemente, os métodos mais sofisticados são obrigatórios. No entanto, o iPad é distribuído como um dispositivo fechado, ou seja, que o acesso aos seus arquivos e dados internos são limitados e apenas aplicações aprovados pela Apple podem ser instalados ou executados. Com este conjunto de restrições em vigor, é extremamente difícil adquirir qualquer tipo de dado forense. Felizmente mesmo sendo um dispositivo novo sua arquitetura é muito semelhante ao do iPhone e abordagens forenses podem ser facilmente portados para o iPad. Em 6 de julho de 2007, apenas uma semana após o iPhone ser lançado, (GEORGE HORTZ, 2007) anunciou a existência de um método para se obter um shell interativo e completo. Este foi o primeiro passo no sentido de contornar as restrições da Apple a seus dispositivos, tornando possível executar qualquer programa e não só os aprovados pela Apple; um processo que vem sendo chamado de “Jailbreaking”. Em outras plataformas móveis, como aquelas que executam sistemas operacionais como o Android do Google, existe um processo similar que é conhecido como “Rooting”. Vendedores normalmente não gostam desta técnica embora na maioria dos países seja legal ou pelo menos não definidamente ilegal. Se você precisar utilizar e defender esta técnica em um tribunal, você pode fazer uma breve explicação do por que do “Jailbreaking” no dispositivo; obtendo acesso total ao sistema e portanto tendo acesso as informações armazenadas nele, sendo fundamental em casos criminais que exigem análise forense destes tipos de dispositivos. O processo de “Jailbreaking” modifica a partição do sistema sem causar alteração na partição de dados, o que significa que não altera os dados do
  12. 12. usuário, um requisito muito importante na conclusão do processo de cadeia de custódia. Esse método também pode ser aplicado a um iPad e de fato todas as duas grandes abordagens forense a fim de recuperar uma completa imagem do dispositivo baseando-se em ultima instância no “Jailbreaking”. A Abordagem principal foi proposta por ZDZIARSKI que observou que “[...] o iPhone pode se comunicar através de várias diferentes mídias, incluindo a porta serial, Wi-Fi 802.11 e Bluetooth. Devido às limitações do Bluetooth no iPhone, os dois preferiram métodos através da porta serial e Wi-Fi.” (ZDZIARSKI, 2008). Ele propôs um método básico para a obtenção de uma imagem forense do iPhone sem adulteração de dados do usuário, executando o Jailbreaking na partição do dispositivo e usando acesso SSH e as ferramentas padrões do UNIX, dd e netcat que com o tempo já havia sido portado como parte da comunidade de Jailbreaking do iPhone. Métodos similares são explorados por J.R. RABAIOTTI (2010) em um Xbox da Microsoft. No entanto não havia uma forma conhecida e pública para se comunicar com o dispositivo através de sua porta serial, então ZDZIARSKI, (2008) criar e envia uma imagem forense através da interface de dispositivo Wi-Fi, porém sendo muito lenta a transferência. Abordagens alternativas são oferecidas por alguns fornecedores de softwares (KATANA FORENSICS, 2010), (FORENSIC TELECOMMUNICATIONS), que desenvolveram soluções que usam técnicas bastante incomuns para obter uma extração da unidade de armazenamento do aparelho. É geralmente utilizando falhas conhecidas nas versões do iOS que se consegue acesso indevido e não aprovado ao sistema e com isso pode –se comprometer os dados extraídos em forma de imagem forense. No entanto, esses fornecedores não precisam instalar um conjunto completo de ferramentas no dispositivo, em vez disso, eles tendem a fazer um upload no aparelho, de um compacto agente que ira assumir o controle
  13. 13. do sistema, executar a extração do disco sólido através da porta serial (conector Dock) e, em seguida reiniciar o dispositivo sem copiar todos os dados da partição de armazenamento interno do iPad. Estes métodos oferecem algumas vantagens sobre a abordagem do jailbreaking, sendo um processo mais simples, mais fácil de executar e deixando pouco ou nenhum rastro de como adquiriu a extração dos dados do dispositivo. No entanto, também tem alguns pontos fracos. Primeiro e mais importante, qualquer método proprietário faz uso de um exploit contra vulnerabilidades de versões do sistema operacional do dispositivo, por que é a única maneira de tomar controle do sistema e contornar a restrição do fornecedor. Sendo assim cada atualização do iOS (Geralmente são baixados via iTunes a cada alguns meses), os softwares de análise forense também precisam ser atualizados já que em cada atualização do sistema operacional correções são efetuadas não permitindo a exploração da falha anterior novamente. JANSEN (2008) identifica “[...] a latência na cobertura dos modelos de telefones recentemente disponíveis nas ferramentas forenses” é um dos problemas em se trabalhar com softwares proprietários de análise forense, ao contrário do método jailbreak do iPad que se desenvolve em um curto período de tempo, entre 1 e 5 dias após o lançamento da atualização de um sistema iOS, ao passo que as ferramentas forenses proprietárias necessitam de mais tempo pra se atualizarem para novas versões do sistema operacional. Além disso, muitos destes métodos proprietários de análise forense estão fechados e carece de falta de documentação aberta ao público. Portanto eles são difíceis de auditar e não pode se garantir que não comprometeram a imagem forense ao extrair os dados, ponto em risco toda cadeia de custódia envolvida no caso. Embora até mesmo alguns métodos proprietários possam ser apropriados a uma análise forense no dispositivo, os fornecedores desses produtos podem
  14. 14. falhar em liberar alguma atualização pra novos dispositivos ou sistemas operacionais lançados no mercado, resultando em uma descontinuidade do produto por falta de atualização. A nossa abordagem através do Jailbreaking parece ser suscetível ao tempo, garantindo uma ampla variedade de versões do iOS, incluindo versões futuras do sistema. 1.1 Justificativa Dada a sua popularidade, evidencia-se que tais dispositivos estão se tornando cada vez mais comuns e já são relevantes fontes de evidência, de um ponto de vista de análise forense computacional, fornecendo dados sobre seus usuários. Tais dados podem se tornar muito importante em caso de investigação de crimes, onde ele pode ser usado como meio de prova para o tribunal ou pode fornecer pistas valiosas para os investigadores. 1.2 Problema e questão de pesquisa Estes avançados dispositivos portáteis são geralmente fechados, incorporando sistemas proprietários e não sendo totalmente idênticos a sistemas de computadores comuns. A aquisição de dados forenses nestes dispositivos apresenta alguns desafios interessantes, especialmente quando é necessário manter a integridade do sistema na qual a cadeia de custódia precisa ser mantida em perfeito estado. Atualmente o método mais fácil de obter uma imagem forense de um dispositivo iPad (pode ser aplicado à um dispositivo iPhone) sem utilizar ferramentas proprietárias (como Guidence Encase ou FTK), é instalar um servidor openssh, se conectar ao dispositivo e transferir os dados via rede wireless a um host remoto. Esta abordagem pode exigir até 20 horas, devido o tamanho do dispositivo de armazenamento de dados do aparelho.
  15. 15. 1.3 Objetivos Neste Trabalho é apresentado uma nova abordagem que se aproveita de um recurso não documentado para que seja possível usar um barato acessório do aparelho iPad, o kit de conexão de câmera, possibilitando a criação da imagem forense em um disco externo conectado via conexão USB, reduzindo o tempo necessário para a transferência e criação do LEF (Logical Evidênce File), além disso, como uma contribuição adicional, o trabalho apresentado se assegura que o volume de dados não é modificado durante o processo de aquisição. O trabalho esta estruturado da seguinte forma: Seção 2 fornece uma visão geral da arquitetura do iPad, focando nas características especialmente relevantes para uma análise do ponto de vista forense. Na seção 3, uma revisão da literatura apresentando atuais técnicas de análise forense em dispositivos da Apple. Na seção 4 é descrito a proposta do método de aquisição de dados forenses apresentado no presente experimento. Na seção 5 conclui-se o trabalho, apresentando contribuições para futuros artigos. 2 VISÃO GERAL DA ARQUITETURA DO IPAD A partir do ponto de vista externo, o Ipad é basicamente um iPhone (24x19cm) grande, com uma tela de 9,7”, proporcionando uma resolução de 1024x768. Enquanto seus hardwares internos são muito semelhantes aos de seu antecessor, por ser de maior dimensão o torna adequado para utilização de períodos mais longos, motivando a aparição de muitas aplicações diferentes de outros dispositivos e aparelhos smartphones. Por isso o iPad é capaz de executar tarefas anteriormente reservadas aos computadores comuns ou , até certo ponto, netbooks.
  16. 16. 2.1 Principais características Os hardwares internos do iPad basicamente são: • Processador: Processador personalizado Apple A4 ARM baseado em um single-core Cortex-A8, rodando a 1GHz. • Memória Volátil: 256 MB DRAM. • Memória não Volátil: 16, 32 ou 64 GB SSSD (Solid State Storage Drive) • Conexão Wireless: 802.11 a/b/g/n e bluetooth 2.1, o mesmo do iPhone. • Além disso, o modelo 3G possui uma A-GPS (GPS assistido) e o hardware de comunicação sobre UMTS/HSDPA (820, 1900 e 2100 MHz) e GSM/EDGE (850, 900, 1800 e 1900 MHz.) No processo descrito neste trabalho, iremos usar a rede wireless (802.11) e o conector “Dock” do iPad, descrito na próxima seção. 2.2 Botões e conectores Os conectores e botões do iPad são similares aos do iPhone, além disso o modelo 3G quando colocado na posição lateral pode-se identificar os seguintes botões. • Canto esquerdo superior: encaixe de 3,5” capaz de funcionar simultaneamente para várias funcionalidades de áudio. • Canto direito superior: Botão “Lock” • Margem direita próxima ao topo: Controles de volume e mudo. • Centro inferior da face frontal: Botão redondo “HOME” • Centro inferior na borda do aparelho (Abaixo do botão “HOME”): Conector padrão Apple de “Dock” 30 pinos, o mesmo usado no iPhone e maioria dos iPods. A figura 1 mostra a função de cada tecla. Nota-se que o botão “Lock” executa diversas funções, quando o dispositivo esta desligado ele irá ligar o aparelho, um curto toque vai ativar ou desativar o modo “sleep” no
  17. 17. aparelho, executando uma pressão mais longa irá mostrar uma caixa de dialogo informando o desligamento. Para maior clareza neste trabalho vamos fazer referência a esse botão apenas como “Lock”. A configuração do botão é importante, pois como será explicado na seção 4.1.1 pode ser necessário colocar o dispositivo em modo DFU (“Download Firmware Update”) para realizar a aquisição da imagem forense. Quando for necessário o software instalado em sua versão padrão instruirá o usuário a pressionar uma combinação de botões para que o dispositivo entre em modo DFU (“Download Firmware Update”). Figura 1. Configuração dos botões do Ipad (iOS 4 ou superior). 2.3 Esquema de partição Como observado por ZDZIARSKI (2008) todos os dispositivos que pertencem à família iPhone contém duas partições:
  18. 18. 1) Uma grande partição de dados de usuários, mantendo todas as aplicações extras instaladas, bem como todos os dados do usuário. 2) Uma pequena partição de sistema contendo o iOS e aplicações básicas. Do ponto de vista forense, tanto os dados do usuário quanto a partição em que estão rodando aplicativos do iPad, podem armazenar informações importantes de empresas ou softwares de edição de textos como o QuickOffice Connect Mobile Suite (QUICKOFFICE Inc., 2010) ou o software da Apple iWork Suite (APPLE COMPUTER Inc., 2010). Esses softwares podem conter documentos de textos ou folhas de cálculo, propensas a desvio de informações financeiras incluindo dados sensíveis. Embora aplicações similares existam no iPhone, permitindo a adição de documentos sem a necessidade de um computador externo, o fator iPad sem dúvida impulsionará a existência de documentos criados e armazenados apenas dentro do dispositivo (e não por exemplo, no computador principal do suspeito) sendo editado e que poderá nunca sair do iPad (Com a possível exceção de backups de dispositivos realizado pelo iTunes). Outra possível fonte de informação encontra-se dentro do framework Apple AirPrint lançado em novembro de 2010 como uma característica do iOS 4.2 (APPLE AIRPRINT, 2010), capaz de fornecer impressões nativas para o iPhone e iPad. Mas muito antes do AirPrint ser lançado outras aplicações tais como o PrintCentral (EUROSMARTZ LTD, 2010) já permitia enviar a maioria dos tipos de documentos para uma impressora remota (Ligado a um computador com software apropriado) Caches em disco destas aplicações são suscetíveis a armazenar informações relevantes, tais como cópias de documentos impressos. A Partição do sistema contém o iOS básico que vem dentro de cada atualização do software iOS. Este inclui o núcleo do sistema operacional e a interface gráfica do usuário, como o conjunto padrão de aplicativos
  19. 19. empacotados, tais como: Safari, Mail, calendário, iPod, etc. (isso explica o por que das centenas de megabytes destas atualizações) Note que apenas os binários do aplicativo se encontram dentro desta partição, já que os dados relevantes (por exemplo, e-mail do usuário) são armazenados na partição de dados.
  20. 20. 3. AQUISIÇÃO FORENSE DE DADOS DO DISPOSITIVO IPAD. Nesta seção será descrito um método rápido de extração de imagem forense através de uma conexão USB do dispositivo iPad. O método é divido em duas fases gerais: Instalação do dispositivo e imagem. Cada fase é também dividida em várias sub etapas, que devem ser sequencialmente seguidas a fim de ter o máximo de aproveitamento na aquisição. Este trabalho não tem o objetivo mostrar instruções detalhadas sobre como executar o Jailbreak no iPad. A descrição somente irá focar na técnica de extração para recuperar os dados do usuário de um iPad já com Jailbreak. 3.1 Configurações do dispositivo. Como mencionado na seção 3 antes de se tentar qualquer análise forense, uma configuração especial no dispositivo é necessário para contornar as restrições de acesso instaladas pelo fabricante uma vez que esse procedimento é de baixo nível liberando acesso ao sistema do dispositivo. Além disso, é necessário instalar alguns pacotes extras pra nossa abordagem proposta. O caminho para realizar o jailbreak varia dependendo da versão do iOS instalada no dispositivo. Um iPad rodando iOS 3.2.1 (o iOS versão inicial pré-instalada na maioria dos iPads) pode ser realizado o jailbreak apenas navegando até “http://www.jailbreakme.com”, um site que explora uma falha conhecida no safari para assumir o controle do sistema. A documentação desta falha pode ser encontradas em (COMEX..., 2010). Para uma completa ferramenta gráfica sobre Jailbreak para cada versão do iOS, veja (JAILBREAK MATRIX, 2010). Muitas ferramentas de jailbreak (redsn0w, Pwnage Tool, etc) exigirá que o usuário coloque o dispositivo em modo DFU, através de uma combinação
  21. 21. de pressão nos botões “Lock” e “Home”. Quando isso for necessário, o software vai dar ao usuário as instruções necessárias. É muito improvável que encontraremos um iOS não vulnerável a Jailbreak, exemplo é o iOS 4.2.1 (as primeiras versões iOS 4 para iPad) foi lançado em 22 de novembro de 2010, e a ferramenta para realização do Jailbreak (no caso a redsn0w) foi lançada no dia seguinte (IPHONE DEV TEAM..., 2010). Uma vez que fora lançado uma nova versão do iOS, os primeiros métodos de Jailbreak provavelmente serão limitados, significa que só será eficaz enquanto o sistema operacional estiver sendo executado, no momento em que o sistema for reinicializado o jaikbreak será perdido e o procedimento terá que ser repetido. Além disso, algumas ferramentas ou aplicativos internos (exemplo o Safari) não irão funcionar corretamente e no pior dos casos o dispositivo pode falhar e não funcionar corretamente. Novamente afirmo que isso é apenas temporário, até que uma ferramenta de jailbreak do aparelho seja atualizada ou recriada e seja compatível com as configurações do novo sistema operacional. Pode parecer óbvio, mas é necessário ter a bateria carregada pelo menos cerca de 20%. Isso ocorre por que durante o processo de geração da imagem, o conector “iPad Dock” será usado para transferência de dados via USB, então não vai ser possível ligar o dispositivo a um ponto de energia. Depois de executado o Jailbreak no aparelho, um novo aplicativo intitulado CYDIA (SAURIK, 2008) irá aparecer na tela inicial. Este é o gerenciador de software que permite a instalação de softwares não aprovados pela Apple. Quando executado pela primeira vez, o CYDIA inicializa o sistema de arquivos e saídas do dispositivo. Na próxima execução, ele apresenta um alerta, Quem é você? Oferecendo três opções; escolheremos a opção desenvolvedor (Sem Filtros), pois oferece a maior variedade de software.
  22. 22. Depois se houver atualizações disponíveis para instalação, recomenda-se realizar por completo as atualizações. O dispositivo irá reiniciar, reabriremos o CYDIA novamente e se houver alguma mensagem de upgrade, o processo terá que ser repetido. Uma vez que CYDIA terminou suas atualizações, usamos a função “pesquisar” para localizar e instalar os seguintes pacotes: OpenSSh – Este pacote contém o servidor SSH que iremos usar para acessar o iPad. Coreutils – Este pacote contém o comando “split” que é necessário cuja utilização será exposta mais tarde. A ferramenta mais importante para este procedimento é o “dd” que não precisa ser instalado, pois já esta dentro do pacote “coreutilsbin” instalado por padrão como parte do processo de Jailbreaking. É necessário conectar o iPad a uma rede sem fio. Outro computador nessa rede será usado para acessar o iPad via SSH. A comunicação entre o computador e o iPad será por SSH portanto criptografada. No entanto recomendamos usar criptografia no protocolo de rede sem fio e o ideal é usar a rede isolada somente entre o computador e o iPad. Isso ocorre por que há uma pequena janela de tempo em que o dispositivo será acessível com senhas padrão. Há pelo menos um worm conhecido que se aproveita dessa janela e penetra em dispositivos iOS com jailbreak, usando as credenciais padrão. (SOPHOS SECURITY..., 2009). Embora hoje em dia seja muito difícil encontrar esse worm rodando em computadores. Para se conectar a uma rede sem fio, usaremos a seção relevante dentro do aplicativo de “configurações”. Se nenhuma rede sem fio estiver disponível, um computador portátil pode ser usado para criar uma rede “AD-HOC” disponibilizando o sinal sem fio para o iPad. O botão azul ao lado do nome da rede revela o endereço IP em uso (geralmente adquirido via DHCP) e permite ao usuário especificar
  23. 23. manualmente um endereço IP se necessário. O endereço IP deve ser observado, pois com ele será necessário mais tarde utilizar para acessar o iPad do computador remoto. Ainda no aplicativo “Settings”, seção “Geral”, a opção “Auto-Lock” deve ser definida como “Nunca”. Isto impedirá o dispositivo de entrar em modo “Sleep” enquanto a imagem forense está sendo gerada, oque poderia interromper o processo. Quando não estiver em uso, o dispositivo deve ser bloqueado (Usando o botão de bloqueio; ver seção2) para economizar bateria. Não foi testado se a capacidade de multitarefa e Wi-Fi persistente no iOS4 permitiria que o processo de aquisição de imagem ocorra enquanto o dispositivo estiver bloqueado. De qualquer forma, devido o processo ser um pouco demorado para dispositivos com grande capacidade de armazenamento, recomenda-se manter o sistema ativo. Encontramos pelo menos duas maneiras de aplicar esse método sem usar um computador remoto, embora ambos apresentem complicações adicionais no processo. Por um lado é possível instalar o “Terminal Móvel” em vez do OpenSSH e usar o aplicativo terminal no iPad, montar o disco rígido e enviar a imagem para ele. No entanto até o momento o “Terminal Móvel” não funciona em versões do iOS 4.x e este software tem uma longa história de atrasos de atualização para dar suporte a versões antigas do iOS. Por outro lado, uma abordagem diferente seria instalar o “OpenSSH” e executar o cliente SSH no próprio iPad, embora manter este aplicativo em execução durante a geração da imagem forense é suscetível a alterações dos dados, comprometendo toda cadeia de custódia da evidencia extraída. Neste método também não é possível remontar a partição em “somente leitura” como será explicado na seção 4.2.1.
  24. 24. 3.2. Geração de imagem forense do dispositivo Uma vez que o dispositivo está conectado a uma rede sem fio, outro computador na mesma rede é usado para conectar o iPad via SSH. Usando esta conexão, é possível remotamente emitir comandos para o dispositivo para iniciar o processo de extração da imagem. Neste momento, o iPad é acessível via senha padrão, que funciona para ambos os usuários, assim como o usuário root na qual tem acesso completo ao dispositivo. A maneira correta de proceder seria acessar o iPad via SSH com o usuário root e imediatamente alterar sua senha e a senha da conta do usuário móvel, usando o comando PASSWD. 3.3 Montagem do disco rígido USB Nesta etapa será usado o kit de conexão de câmera para iPad (APPLE COMPUTER Inc., 2010) a fim de acessar uma unidade de disco rígido externo via USB. De acordo com a Apple, “[...]o kit de conexão de câmera para iPad possibilita duas maneiras de importar vídeos e fotos de uma câmera digital: usando o cabo USB de sua câmera ou diretamente de um cartão SD” (APPLE COMPUTER Inc., 2010). Trata-se assim de dois adaptadores, um deles sendo um leitor de cartão SD e o outro um conector USB fêmea, ambos esses conectores podem ser plugados (um de cada vez) no conector Dock do iPad, abaixo do botão “HOME”. Informações iniciais do fornecedor sugeriram que o adaptador USB utiliza apenas o protocolo PTP (ISO, 2008) para acessar as imagens armazenadas em uma câmera, e que uma câmera real com seu cabo de transferência USB, deve ser ligada desse conector para o adaptador, sendo assim possível importar as imagens. Quando isso for feito, o aplicativo de foto é executado e permite ao usuário transferir fotos e vídeos dos meios de comunicação ligados a memória interna do iPad.
  25. 25. No entanto, sabe-se que o iPad implementa o protocolo de classe de dispositivo de armazenamento em massa USB. Assim, o iPad pode montar o disco inserido (independente de ser um disco rígido ou unidade de armazenamento em massa) para a procura de um diretório /DCIM conforme norma CIPA DCF (CAMERA & IMAGING..., 2010). Se esta pasta existe, o aplicativo de foto irá abrir, permitindo que o usuário importe o conteúdo; se a pasta não for encontrada, o dispositivo é desmontado e ignorado. É possível explorar este recurso não documentado para montar manualmente com parâmetros apropriados, um disco externo de armazenamento em massa via USB. Quanto aos sistemas de arquivos suportados, foi bem sucedido a montagem do sistema FAT e HFS+ (Sistema de arquivo padrão do Macintosh, que é utilizado para o armazenamento interno do iPad). Uma questão importante para usuários do Microsoft Windows é que seu sistema operacional vai se recusar a formatar uma unidade maior que 32 GB como FAT (MICROSOFT CORP..., 2007), embora ele normalmente possa montar uma partição FAT muito maior e trabalhar com perfeição. Os usuários do Microsoft Windows precisarão utilizar ferramentas externas como o Fat32Format (RIDGECROP..., 2009). Usuários de Mac e Linux não terão problemas com o padrão do utilitário de disco e a ferramenta mkfs.msdos. Quando ligado a unidade de disco externo via USB no iPad (Figura2), verifique sua presença dentro da sessão SSH executando o seguinte comando: ls /dev/disk1
  26. 26. Figura 2. Conexão do iPad via Kit de conexão de câmera para Disco rígido externo. O caminho do disco de armazenamento interno no sistema do iPad é atribuído em /dev/disk0 e o caminho /dev/disk1 significa que o disco externo foi conectado e reconhecido corretamente. Se a saída resultante do comando ls /dev não gerar a atribuição disk1, significa que o sistema não reconheceu o disco rígido externo plugado via USB. Foi observado em teste que ao conectar discos SSD (Solid State Disk) de grande capacidade de armazenamento, uma caixa de dialogo mostrava uma mensagem informando que “this device requires too much power”, isto ocorre por que a porta de conexão USB não emite 100mA de força, mas apenas cerca de 20mA (9TO6 MAC..., 2010) por isso recomenda-se que ao
  27. 27. utilizar o disco externo, seja com uma conexão auxiliar de força ou através de uma Dock. (como mostra a figura 2). Este comando monta a primeira partição do disco externo no diretório /mnt do dispositivo. mount -t msdos /dev/disk1s1 /mnt Foi possível montar a partição HFS+ usando o parâmetro –t hfs. Devido o suporte do Macintosh ao EFI, encontrar o nome correto para discos formatados em HFS pode ser complicado. Para ver a lista completa de partições disponíveis, usa-se o comando ls/dev/disk*, todas as opções foram montadas com sucesso. Assim que montada a partição, ZDZIARSKI (2008) recomenda imediatamente a remontagem da partição de dados em modo de somente leitura umount –f /private/var; mount -r /private/var antes de começar a extração e cópia dos dados. No entanto nos testes em laboratório foi constatado que tanto no iOS 3 quanto no iOS 4, o sistema travou quando a partição foi desmontada, mesmo forçando sua remontagem com o comando mount –fru o sistema não respondeu. Deve se notar que a imagem de uma partição montada, pode alterar a integridade do sistema de arquivos contido na imagem extraída do dispositivo. A fim de reduzir este risco, nenhuma outra atividade deve ocorrer no iPad (nem através da tela e nem através da rede) enquanto é gerada a extração dos dados. Depois que o disco foi montado, o comando df –h /mnt pode ser usado para mostrar o espaço em disco livre e se a unidade externa foi corretamente reconhecida.
  28. 28. 4 Obtendo a imagem forense Neste ponto o diretório de trabalho foi modificado para que, quando um disco externo for montado, o processo de geração de imagem inicia com o comando: dd if=/dev/rdisk0s2 bs=32M | split –b 4000m - part- O comando completo pode ser explicado a seguir: • dd – O comando dd é executado • if=/dev/rdisk0s2 – é o arquivo de entrada (ou seja, de leitura) o dispositivo rdisk0s2 corresponde a segunda partição de armazenamento de dados interno do iPad. O esquema de partição utilizado no Mac pode ser repetido no iOS sendo também utilizado como /dev/rdisk0s2s1 • bs=32M – Usando o tamanho de bloco de 32MB para gravação • | Split – comando para divisão por partes dos dados gravados • -b 4000m – dividir o tamanho do arquivo, em arquivos menores que 4GB (4000MB) cada parte. • _ Este traço significa a entrada do conteúdo que será divido e é proveniente do comando anterior, neste caso dd. • Part – Este comando é anexado ao nome dos arquivos de saída. O sufixo será duas letras, começando com aa. Como resultado, serão gerados vários arquivos com tamanhos de 4GB e nomeados como Parte-aa,Parte-ab, etc.. Não será necessário a divisão em diversas partes menores de 4GB quando a unidade formatada for em HFS (Mac). Quando terminar a cópia dos dados, a unidade de destino deve ser desmontada antes de desconecta-la do iPad. Isso pode ser feito saindo do diretório /mnt e executando o comando umount /mnt, ou desligando o iPad.
  29. 29. 4.1 Reconstruindo a imagem forense Para obter uma imagem completa que pode ser processada usando as principais ferramentas de análise forense por padrão, todos os fragmentos devem ser concatenados. Isso pode ser feito com uma variedade de ferramentas em diversos sistemas operacionais, mas um comando simples que irá funcionar no Windows, Mac e Linux seria: cat part-* > ipad.dmg A imagem resultante, em seguida pode ser tratada com métodos descritos em (ZDZIARSKI..., 2008) para recuperar dados, tais como: endereço de e- mails, contatos de agenda, fotos, vídeos, dados de mapas utilizando o Google Maps e assim por diante. No que diz respeito à reconstrução de imagem, deve-se notar que, a partir da versão 4 do iOS, a Apple introduziu uma camada de serviços de criptografia de hardware (APPLE COMPUTER INC..., 2010), que se ativado no dispositivo, resultará em uma parcial criptografia dos dados extraídos. No entanto, foi encontrada uma opção nova para proteger o comando de montagem, por padrão é aplicado à partição de dados. Não foi encontrada nenhuma documentação sobre esse parâmetro embora, curiosamente a sequencia de proteção aparece dentro do comando de montagem do Mac OS X. Neste cenário, os dados são extraídos e a imagem criada, porem não pode ser montada, possivelmente devido a uma camada de criptografia, e que pode ser decriptada se as chaves forem recuperadas no sistema, depois de ganhar acesso SSH. Ainda assim, ferramentas como Scalpel (LLC DIGITAL FORENSICS..., 2006), pode recuperar certo tipos de arquivos.
  30. 30. 4.2 Resultados e desempenho Foram realizados vários experimentos que medissem a taxa de velocidade na transferência dos dados via conexão USB, utilizando o kit de conexão de câmera. Como pôde ser visto na figura 3, o processo casual oferece uma média de 15,9 MB / ou 0,95 GB/min. Esta foi a maior taxa de transferência que poderia se conseguir com um conector padrão serial-ATA conectados em um disco rígido através dos adaptadores USB-to-SATA. A figura representa a saída da imagem de um iPad 64GB rodando o sistema iOS 4.2.1 para um disco externo ST3500418AS Seagate. Em comparação, foi testado o método Zdziarski através de uma rede AD- HOC 802.11n, operando a uma taxa máxima teórica de 108 Mbps, e foi obtido uma taxa de transferência de apenas 1Mb/s, oque significa que em um iPad de 16GB demoraria em torno de 5 horas e um de 64GB exigiria cerca de 20 horas. O presente trabalho mostra que a transferência via dispositivo USB resulta em um aumento de 15x a velocidade sobre a transferência tradicional via WI-FI. Fornecedores de softwares de análise forense não liberaram a especificações sobre o tempo necessário de transferência de uma imagem gerada do dispositivo, foi possível somente encontrar alguma informação em que Jonathan Zdziarski afirma (ZDZIARSKI, 2010) “[...] a versão mais recente do método Zdziarski, que é usado nas ferramentas automatizadas disponíveis gratuitamente para aplicação da lei em todo mundo”: “cerca de 15-30 minutos é tudo que toma, independente se você extrair uma imagem de um iPhone de 4GB ou um iPhone de 32 GB” Supondo que ele é capaz de transferir 32 GB em cerca de 30 minutos, podemos imaginar que em nosso experimento conseguimos atingir o limite, provavelmente é a taxa de transferência máxima da porta serial do dispositivo, embora seja difícil dizer se é um limite físico da porta ou uma questão de software que pode ser melhorado com o tempo em futuras versões.
  31. 31. Figura 3. Taxa de transferência do sistema de imagem do iPad de 64GB.
  32. 32. 5 CONCLUSÃO Neste trabalho, foi apresentado uma nova abordagem que se aproveita de um recurso não documentado do adaptador USB do iPad de modo que é possível usar um acessório universal para aquisição da imagem do dispositivo diretamente de um USB ligado a ele. A Principal contribuição é que o resultado mostra o aumento de velocidade do processo de aquisição da imagem forense, superando as tradicionais abordagens existentes através do WI-FI, com isso, aperfeiçoa todo o processo e poupa tempo na hora da transferência. Até o presente momento, a taxa de transferência semelhante só pode ser alcançada usando ferramentas comerciais que são pagas ou restritas a autoridades policiais. Portanto difícil de avaliar o que realmente se passa durante o processo de geração da imagem e se os dados originais são de algum modo alterado. No que diz respeito à análise forense do iPad, um método rápido de geração e transferência de imagens forense abrem algumas linhas de investigação interessante para o futuro. O que é bastante interessante são os despejos de memória on live do dispositivo, o estudo do sistema de criptografia do iOS 4 e a geração de imagem forense do iPad através do dispositivo USB eliminando a necessidade de uma rede WI-FI.
  33. 33. 6 REFERÊNCIAS InformationWeek, “iPad is top selling tech gadget ever”, 2010, http://www.informationweek.com/showArticle.jhtml?articleID=227700347 . Acessado em 10 de mar. 2013, 19h:22min. Jonathan Zdziarski, iPhone Forensics: Recovering Evidence, Personal Data, and Corporate Assets, O’Reilly, 2008. Quickoffice Inc., “Quickoffice Connect Mobile Suite for iPad on the iTunes App Store”, 2010, http://itunes.apple.com/us/app/quickoffice- connect-mobile/id376212724. Acessado em 06 de mar. 2013, 09h:18min. Apple Computer Inc, “Pages for iPad on the iTunes App Store”, 2010, http://itunes.apple.com/us/app/pages/id361309726 Acessado em 06 de mar. 2013, 09h:25min. Apple Computer Inc, “Numbers for iPad on the iTunes App Store”, 2010, http://itunes.apple.com/us/app/numbers/id361304891 Acessado em 06 de mar. 2013, 13h:42min. Apple Computer Inc., “Apple’s AirPrint Wireless Printing for iPad, iPhone and iPod touch Coming to Users in November”, 2010, http://www.apple.com/pr/library/2010/09/15airprint.html Acessado em 06 de mar. 2013, 14h:02min. EuroSmartz Ltd., “PrintCentral for iPad on the iTunes App Store”, 2010, http://itunes.apple.com/us/app/printcentral-for-ipad/id366020849 Acessado em 06 de mar. 2013, 17h:56min.
  34. 34. George Hotz, “iPhone serial hacked, full interactive shell”, 2007, http://www.hackint0sh.org/f127/1408.htm Acessado em 06 de mar. 2013, 17h:33min. J.R. Rabaiotti and C.J. Hargreaves, “Using a software exploit to image RAM on an embedded system ”, Digital Investigation, vol. 6, pp. 95–103, 2010. Katana Forensics, “Lantern”, http://katanaforensics.com/use-our- tools/lantern/ Acessado em 09 de mar. 2013, 20h:19min. Forensic Telecommunications Services Ltd., “iXAM – Advanced iPhone Forensics Imaging Software”, http://www.ixam-forensics.com/ Acessado em 16 de mar. 2013, 11h:44min. Moenner L. Jansen W, Delaitre A, “Overcoming impediments to cell phone forensics”, in In Proceedings of the 41st Annual Hawaii International Conference on System Sciences. 2008, pp. 483 – 483, IEEE CSP. Comex, “Comex ‘star’ GIT repository”, 2010, http://github.com/comex/star Acessado em 16 de mar. 2013, 13h:02min. “Jailbreak Matrix”, 2010, http://www.jailbreakmatrix.com/iPhone- iTouch-Jailbreak Acessado em 16 de mar. 2013, 16h:25min iPhone Dev Team, “Thanksgiving with Apple”, 2010, http://blog.iphone-dev.org/post/1652053923/thanksgiving-with-apple. Acessado em 17 de mar. 2013, 18h:51min Jay Freeman ‘Saurik’, “Bringing Debian APT to the iPhone”,2008, http://www.saurik.com/id/1 Acessado em 17 de mar. 2013, 19h:13min
  35. 35. Sophos Security, “First iPhone worm discovered - ikee changes wallpaper to Rick Astley photo”, 2009, http://nakedsecurity.sophos.com/2009/11/08/iphone-worm-discovered- wallpaper-rick-astley-photo/ Acessado em 17 de mar. 2013, 22h:29min Apple Computer Inc, “Apple iPad Camera Connection Kit”,2010, http://store.apple.com/us/product/MC531ZM/A Acessado em 18 de mar. 2013, 19h:12min International Organization for Standarization (ISO), “ISO 15740:2008 – Electronic still picture imaging – Picture transfer protocol (PTP) for digital still photography devices ”, 2008. Camera & Imaging Products Association, “Design rule for Camera File system: DCF version 2.0”, 2010. Microsoft Corp, “Limitations of the FAT32 File System in Windows XP”, 2007, http://support.microsoft.com/kb/314463/ Acessado em 18 de mar. 2013, 22h:33min Ridgecrop Consultants Ltd., “Fat32Format”, 2009, http://www.ridgecrop.demon.co.uk/index.htm?fat32format.htm Acessado em 18 de mar. 2013, 22h:49min 9to5 Mac, “iOS 4.2 emits less USB power on iPad, Camera Connection Kit crippled?”, 2010, http://www.9to5mac.com/40091/ios-4-2- emits-less-usb-power-on-ipad-camera-connection-kit-crippled Acessado em 20 de mar. 2013, 18h:58min Apple Computer Inc, “iOS 4: Understanding data protection”, 2010, http://support.apple.com/kb/HT4175 Acessado em 21 de mar. 2013, 20h:06min LLC Digital Forensics Solutions, “Scalpel: A Frugal, High Performance File Carver”, 2006, http://www.digitalforensicssolutions.com/Scalpel Acessado em 21 de mar. 2013, 21h:19min Jonathan Zdziarski, “iPhone Insecurity”, 2010, http://www. iphoneinsecurity.com Acessado em 21 de mar. 2013, 23h:43min

×