Uma abordagem prática sobre Computação Forense

Depois de um longo tempo ausente estamos de volta. Em um post de 2011 vimos como criar uma máquina virtual, a partir de uma imagem pericial de um dispositivo suspeito, utilizando o liveview, o VMware Disk Mount Utility, o VMware Server e o Java Runtime Environment. Recentemente  tive a necessidade de inicializar o sistema operacional de uma imagem pericial e como utilizo o VirtualBox, resolvi pesquisar por uma alternativa para resolver meu problema e tudo free preferencialmente. Pois bem, no VirtualBox podemos criar uma máquina virtual a partir de um dispositivo físico, através da linha de comando, de forma simples e descomplicada.

Os pré-requisitos para essa tarefa são:

• FTK Imager da AccessData;
• VirtualBox da Oracle, com Oracle VM VirtualBox Extension Pack instalado;
• Privilégios de administrador do sistema.

Após a instalação do FTK IMager e do VirtualBox faça as seguintes ações

1. No FTK Imager abra o menu File > Image Mounting… e selecione o arquivo E01 da imagem pericial desejada;
2. Em Mount Type selecione a opção Physical Only;
3. Em Mount Method selecione a opção Block Device/Writable;
4. Em Write Cache Folder escolha uma pasta para armazenar as alterações impostas pelo ambiente;
5. Clique em Mount;
6. Observe o destaque no retângulo vermelho, ele será utilizado na criação da máquina virtual.

Abra o prompt de comando como “administrador” e vá para a pasta do VirtualBox em “C:\Program Files\Oracle\VirtualBox”. Caso este caminho esteja nas sua variáveis de ambiente, não precisa ir até a pasta basta digitar o comando abaixo.

vboxmanage internalscommands createrawvmdk -filename "Path\Filename" -rawdisk \\.\PhysicalDriveN

No nosso caso PhysicalDrive10

Inicie o VirtualBox como administrador e crie uma nova máquina, dimensione a memória desejada e selecione “Utilizar um disco virtual existente” selecionando o arquivo vmdk criado, conforme as imagens abaixo.

Criada a máquina, carregue-a e voilá!

Até o próximo!

Recebi de um amigo um link para um post no Forensic Focus com o seguinte título: Charlatans in Digital Forensics. Tratava-se de um assunto bastante oportuno e portanto, resolvi trazê-lo até aqui.

Tenho visto com relativa frequência verdadeiros desastres com relação a perícias judiciais. A carreira de Perito está em destaque, em parte devido aos programas de TV e em parte pela possibilidade de ganhar dinheiro em processos cíveis/trabalhistas.

Primeiro vamos esclarecer algumas coisa sobre a profissão de Perito. Peritos Criminais são aqueles que ingressam nos órgãos oficiais de perícias estaduais e federais através de concurso público. Peritos Judiciais são os que foram nomeados pela Justiça para atuar em um processo e só têm esse título enquanto atuam no caso. Podem até ser nomeados com certa frequência mas só podem ser chamados de Peritos no curso do processo, como um Jurado convocado pelo Tribunal do Júri, que somente terá este título enquanto participa do julgamento. Nos demais casos são denominados por Assistentes Técnicos, contratados pelas partes, muitos com extensa bagagem e conhecimento e acostumados a atuar na Justiça.

Mas vamos nos ater a aqueles cujo comportamento pode afastar a verdade de um processo judicial, trazendo sérios riscos em inocentar culpados e atribuir responsabilidades a pessoas inocentes. Esses são considerados charlatães e é sobre eles que trata o post de James Zjalic. Ele define três tipos de charlatães: O inocente, o aliado ao dark-side e o nefasto.

O primeiro tipo é o bem intencionado, mas que não possui conhecimentos e/ou habilidades necessárias para exercer a função de perito ou de assistente técnico.

O segundo tipo é aquele com conhecimentos mas a falta de habilidade empresarial os levou a enfrentar dificuldades em obter remuneração adequada, fazendo-os produzir provas legítimas a baixo custo. Como consequência deixou de investir na carreira e nas ferramentas necessárias ao exercício da profissão, acabando por aderir ao lado sombrio, afastando-os cada vez mais da ciência.

O terceiro é o mais danoso de todos, pois na maioria dos casos não possui conhecimento/habilidades e o seu pensamento encontra-se focado no dinheiro. Normalmente abandonam a verdadeira ciência e torcem os resultados de tal forma, para atender ao seu cliente, distanciando-se cada vez mais da verdade. Não investe em capacitação, certificações e atualizações das ferramentas de trabalho, dedicando-se muitas vezes em apenas a contestar o trabalho sério.

O post dá algumas dicas de como reconhecer tais “profissionais” pois em geral não sabem valorar seu trabalho, cobrando honorários de forma irreal, algumas vezes muito baratos, outras vezes muito caros, oferecendo resultados quase sempre espetaculares.

A inexistência de um conselho que regule a atividade deixa-o à vontade, portando-se de forma irresponsável e não raramente trazendo prejuízo a seus clientes.

É complexo para alguém que não seja da área pericial avaliar se um profissional possui as qualidades necessárias para a realização dos trabalhos, particularmente na Computação Forense, uma área relativamente nova, que aos poucos vem se tornando conhecida.

Durante toda minha carreira, que começou como Perito Criminal em 1995, vi todo tipo de relatório técnico pericial, seja Laudo Pericial ou Parecer Técnico, em todas as áreas de atuação. Alguns confeccionam relatórios baseados apenas na leitura de Laudos Periciais oficiais, sem sequer examinar o objeto da perícia, atacando a integridade dos profissionais, colocando dúvidas sobre o caráter e o trabalho destes, o que fere a ética e isso definitivamente não é perícia, tampouco ciência.

Muitos dedicam mais da metade de seu relatório com fundamentos muitas vezes desatualizados, cópia de trechos de livros sem citar a fonte ou até mesmo se apropriam de citações de terceiros como se fossem de sua própria autoria. É comum encontrar no relatório mais informações sobre seu currículo, títulos, dotes, habilidades e experiência, muitas vezes irreais e não relacionados à área de atuação e difíceis de comprovar, do que sobre a própria perícia. Ao fim, concluem seu relatórios fazendo afirmações sem comprovação e completamente desvinculadas das premissas consideradas nos exames.

O trabalho do Perito é baseado na ciência e deve ser realizado utilizando conhecimento, técnicas e metodologia que possam ser comprovadamente reproduzidas a fim de garantir a confiabilidade do resultado.

Os charlatães por regra não tem ética. Ética, que vem do grego ethos, está relacionado ao caráter, aos valores e comportamentos perante à sociedade. Já a moral, apesar de estar bem próxima desse significado, está mais ligada aos costumes, à tradição e aos ensinamentos, o que pode produzir variações entre povos de costumes distintos. O Perito deve pautar-se de um comportamento ético, consciente que o seu papel é antes de tudo, estabelecer a verdade dos fatos e as verdades na Computação Forense tem caráter bastante objetivo, onde a prova será constituída e robustecida com cada vestígio encontrado. O Perito deve ater-se ao uso da ciência no seu trabalho, baseando sua análise nos fatos e achados, correlacionando-os, construindo a prova material.

Quando um Perito não se sente seguro, não é nenhuma vergonha consultar um colega mais experiente, alguém que possa lhe orientar na execução do seu mister, de forma que possa trazer a luz da verdade ao seu trabalho.

Se precisa de um Perito, em que área seja, consulte referências sobre o profissional, trabalhos já realizados, processos em que atuou e até o órgão de perícia oficial do seu estado, se for o caso.

Até o próximo!

Conforme vimos em posts anteriores, a extração da chave de criptografia do WhatsApp dependia de um script, do java e dos drivers do dispositivo de onde seria feita a extração, entretanto a chegada do Android 7 e 8 e de alguns patches de segurança vieram a bloquear a possibilidade de extração. Em dispositivos assim temos resultados conforme vemos a seguir:

=========================================================================
= This script will extract the WhatsApp Key file and DB on Android 4.0+ =
= You DO NOT need root for this to work but you DO need Java installed. =
= If your WhatsApp version is greater than 2.11.431 (most likely), then =
= a legacy version will be installed temporarily in order to get backup =
= permissions. You will NOT lose ANY data and your current version will =
= be restored at the end of the extraction process so try not to panic. =
= Script by: TripCode (Greets to all who visit: XDA Developers Forums). =
= Thanks to: dragomerlin for ABE and to Abinash Bishoyi for being cool. =
= ### Version: v4.7 (12/10/2016) ### =
=========================================================================

Please connect your Android device with USB Debugging enabled:
error: protocol fault (couldn't read status): Connection reset by peer
* daemon not running. starting it now on port 5037 *
* daemon started successfully *
Downloading legacy WhatsApp 2.11.431 to local folder
% Total % Received % Xferd Average Speed Time Time Time Current
Dload Upload Total Spent Left Speed
100 17.4M 100 17.4M 0 0 4639k 0 0:00:03 0:00:03 --:--:-- 4638k
WhatsApp 2.18.380 installed
Backing up WhatsApp 2.18.380
[100%] /data/app/com.whatsapp-GMfZAZ0j1Ba0_hGaxJCAGg==/base.apk
Backup complete
Removing WhatsApp 2.18.380 skipping data
Success
Removal complete
Installing legacy WhatsApp 2.11.431
Failed to install tmp/LegacyWhatsApp.apk: Failure [INSTALL_FAILED_VERSION_DOWNGRADE]
Install complete
Now unlock your device and confirm the backup operation...
Please enter your backup password (leave blank for none) and press Enter:
Exception in thread "main" java.lang.reflect.InvocationTargetException
at java.base/jdk.internal.reflect.NativeMethodAccessorImpl.invoke0(Native Method)
at java.base/jdk.internal.reflect.NativeMethodAccessorImpl.invoke(NativeMethodAccessorImpl.java:62)
at java.base/jdk.internal.reflect.DelegatingMethodAccessorImpl.invoke(DelegatingMethodAccessorImpl.java:43)
at java.base/java.lang.reflect.Method.invoke(Method.java:564)
at org.eclipse.jdt.internal.jarinjarloader.JarRsrcLoader.main(JarRsrcLoader.java:58)
Caused by: java.lang.RuntimeException: java.lang.IllegalArgumentException: Don't know how to process version 5
at org.nick.abe.AndroidBackup.extractAsTar(AndroidBackup.java:420)
at org.nick.abe.Main.main(Main.java:128)
... 5 more
Caused by: java.lang.IllegalArgumentException: Don't know how to process version 5
at org.nick.abe.AndroidBackup.extractAsTar(AndroidBackup.java:282)
... 6 more
tar: tmp/whatsapp.tar: Função open falhou: Arquivo ou diretório inexistente
tar: Error is not recoverable: exiting now
tar: tmp/whatsapp.tar: Função open falhou: Arquivo ou diretório inexistente
tar: Error is not recoverable: exiting now
tar: tmp/whatsapp.tar: Função open falhou: Arquivo ou diretório inexistente
tar: Error is not recoverable: exiting now
tar: tmp/whatsapp.tar: Função open falhou: Arquivo ou diretório inexistente
tar: Error is not recoverable: exiting now
tar: tmp/whatsapp.tar: Função open falhou: Arquivo ou diretório inexistente
tar: Error is not recoverable: exiting now
Saving whatsapp.cryptkey ...
cp: não foi possível obter estado de 'tmp/apps/com.whatsapp/f/key': Arquivo ou diretório inexistente
Saving msgstore.db ...
cp: não foi possível obter estado de 'tmp/apps/com.whatsapp/db/msgstore.db': Arquivo ou diretório inexistente
Saving wa.db ...
cp: não foi possível obter estado de 'tmp/apps/com.whatsapp/db/wa.db': Arquivo ou diretório inexistente
Saving axolotl.db ...
cp: não foi possível obter estado de 'tmp/apps/com.whatsapp/db/axolotl.db': Arquivo ou diretório inexistente
Saving chatsettings.db ...
cp: não foi possível obter estado de 'tmp/apps/com.whatsapp/db/chatsettings.db': Arquivo ou diretório inexistente
Pushing cipher key to: /sdcard/WhatsApp/Databases/.nomedia
adb: error: cannot stat 'tmp/apps/com.whatsapp/f/key': No such file or directory
Restoring WhatsApp 2.18.380
Success
Restore complete
Cleaning up temporary files ...
rm: não foi possível remover 'tmp/whatsapp.tar': Arquivo ou diretório inexistente
Done
Operation complete
Please press Enter to quit...

Quem sabe em breve tenhamos novos recursos para fazer frente a esses problemas?

Esse foi um ano corrido. Muito trabalho e pouco tempo para me dedicar ao blog. O aumento dessa demanda assustou a todos do nosso laboratório, por outro lado, o Estado reduziu o nível de investimentos a zero. E como era de se esperar, a campeã das requisições é o WhatsApp e tanto o Cellebrite UFED quanto o MSAB XRY, duas das soluções de extração de dados de dispositivos de telefonia móvel mais utilizadas, possibilitam a obtenção de conteúdo relacionados a instant messenger, mas não conseguem lidar com todos os modelos baseados em Android disponíveis, ainda que estejam desbloqueados e possibilitem a configuração necessária para a operação de aquisição. Somente para exemplificar, na versão 6.4.1 do UFED, liberada no começo de novembro desse ano, tínhamos a seguinte condição:

Mesmo desbloqueados muitos modelos não permitem a extração do conteúdo de mensagens de WhatsApp levando-nos a realizar a extração através da técnica descrita nos posts que fiz sobre o assunto. Ainda assim recebo muitas mensagens com dúvidas, assim sendo resolvi fazer um último post sobre o tema (Até que modifiquem a sistemática que temos adotado). Então começemos.

REQUISITOS (LINUX/WINDOWS):
Na estação de trabalho…

• Java instalado e atualizado;
• O Android do dispositivo deverá ser da versão 4.0 ou superior;
• Java instalado e atualizado;
  • Windows – Oracle Java
  • Linux (Adotando o Linux Mint/Ubuntu como sistema operacional);
    • $ sudo add-apt-repository ppa:webupd8team/java;
    • $ sudo apt-get update;
    • $ sudo apt-get install oracle-java8-installer;
• ADB (Android Debug Bridge);
  • Windows – XDA-Developers
  • Linux
    • $ sudo apt-get install android-tools-adb
• Drivers
  • Windows
    • Driver Universal ou …
    • Driver específico do fabricante de seu modelo (Pesquise no Google por “fabricante ADB driver download”;
• Scripts para extração
  • Windows ou Linux – XDA-Developers
  • Quando concluir o download, extraia o conteúdo para uma pasta de sua preferência e não altere a estrutura de subpastas.

No dispositvo Android…

• Ative a “Depuração USB” em “Programador/Opções do desenvolvedor”. Caso não apareça no menu, clique seguidamente na opção “Sobre o telefone\Número da versão” até efetuar o desbloqueio da “Programador/Opções do desenvolvedor”;
• Caso o dispositivo possua bloqueio, desative-o ou mantenha-o sem bloquear durante a extração. Ao bloquear, a comunicação do computador com o celular pode interromper;
• Selecione a opção “Permanecer ativa”;
• Ao conectar ao computador selecione a conexão USB MTP;
• Caso seja solicitado confirme”Permitir a depuração USB“, caso contrário clique sobre “Revogar autorizações de depuração USB“;
• Vá até a pasta onde descompactou os scripts e execute o arquivo correspondente. Antes será preciso dá permissões de execução ao script
  
  • Linux
    • $ sudo chmod +x WhatsAppKeyDBExtract.sh
    • $ ./WhatsAppKeyDBExtract.sh
  • Windows – C:\WhatsApp-Key-DB-Extractor-master\WhatsAppKeyDBExtract.bat
• Ao iniciar a execução do script lhe será solicitado realizar o backup do aplicativo. Clique em “Fazer backup dos meus dados”

Os arquivos extraídos serão copiados na pasta /Extracted, criada na pasta onde o conteúdo dos scripts foi extraído. Dentro dessa pasta você terá cinco arquivos, sendo o msgstore.db o arquivo com os diálogos, wa.db o arquivo com a agenda de contatos e o arquivo whatsapp.cryptkey a chave de criptografia para descriptografar os arquivos msgstore-yyyy-mm-dd.x.db.crypt12 presentes na pasta /sdcard/WhatsApp/Databases.

Pronto a extração foi realizada.

você terá (no Linux) a seguinte saída dos comando executados pelo script

$ ./WhatsAppKeyDBExtract.sh

=========================================================================
= This script will extract the WhatsApp Key file and DB on Android 4.0+ =
= You DO NOT need root for this to work but you DO need Java installed. =
= If your WhatsApp version is greater than 2.11.431 (most likely), then =
= a legacy version will be installed temporarily in order to get backup =
= permissions. You will NOT lose ANY data and your current version will =
= be restored at the end of the extraction process so try not to panic. =
= Script by: TripCode (Greets to all who visit: XDA Developers Forums). =
= Thanks to: dragomerlin for ABE and to Abinash Bishoyi for being cool. =
= ### Version: v4.7 (12/10/2016) ### =
=========================================================================

Please connect your Android device with USB Debugging enabled:

* daemon not running. starting it now on port 5037 *
* daemon started successfully *

Downloading legacy WhatsApp 2.11.431 to local folder

% Total % Received % Xferd Average Speed Time Time Time Current
Dload Upload Total Spent Left Speed
100 17.4M 100 17.4M 0 0 3130k 0 0:00:05 0:00:05 --:--:-- 3375k

WhatsApp 2.17.395 installed

Backing up WhatsApp 2.17.395
5990 KB/s (30782098 bytes in 5.018s)
Backup complete

Removing WhatsApp 2.17.395 skipping data
Success
Removal complete

Installing legacy WhatsApp 2.11.431
7948 KB/s (18329558 bytes in 2.251s)
pkg: /data/local/tmp/LegacyWhatsApp.apk
Success
Install complete

Now unlock your device and confirm the backup operation.

Please enter your backup password (leave blank for none) and press Enter:

apps/com.whatsapp/f/key
apps/com.whatsapp/db/msgstore.db
apps/com.whatsapp/db/wa.db
apps/com.whatsapp/db/axolotl.db
apps/com.whatsapp/db/chatsettings.db

Saving whatsapp.cryptkey ...
Saving msgstore.db ...
Saving wa.db ...
Saving axolotl.db ...
Saving chatsettings.db ...

Pushing cipher key to: /sdcard/WhatsApp/Databases/.nomedia
2 KB/s (158 bytes in 0.053s)

Restoring WhatsApp 2.17.395
4947 KB/s (30782098 bytes in 6.075s)
pkg: /data/local/tmp/base.apk
Success
Restore complete

Cleaning up temporary files ...
Done

Operation complete

Please press Enter to quit...

Só para lembrar, eu utilizo preferencialmente o Linux como ambiente para realizar as extrações. E mais, NÃO é possível abrir os arquivos criptografados sem a chave utilizada para a codificação.

Até o próximo.

Tenho recebido inúmeros contatos sobre problemas com a extração da chave de criptografia do WhatsApp utilizando o Microsoft Windows. Particularmente, eu não o utilizo, preferindo o Linux para tal tarefa e, muitas, muitas outras. Com o Microsoft Windows, recomendo sempre baixar os drivers originais do fabricante e instalá-los antes de tentar a extração, pois os drivers baixados pelo Windows Update invariavelmente apresentam problemas. Isso entre outros tantos problemas que acontecem durante operação. Assim resolvi escrever este pequeno tutorial para realizar a extração com o Linux. Como muitos não possuem experiência com Linux optei por uma distro baseada no Ubuntu, leve e eficiente, além de prover uma instalação simples e descomplicada. Então vamos lá.

Vá ao site do Linux Mint e baixe a versão que melhor se adequa ao seu equipamento, ou seja, a de 32 ou 64 bits. Particularmente prefiro a Mate, mas sintam-se livres para escolher.

REQUISITOS:

• Sistema operacional Linux;
• Java;
• ADB (Android Debug Bridge);

No dispositvo Android

• Ative a “Depuração USB” em “Opções do desenvolvedor”. Caso não apareça no menu, clique seguidamente na opção “Sobre o telefone\Número da versão” até efetuar o desbloqueio da “Opções do desenvolvedor”;
• O Android deve ter a versão 4.0 ou superior.

Após baixar o Linux você pode instalar em seu computador ou utilizá-lo através da live (seja em CD ou USB). Caso queira preparar um pendrive USB, utilize o Rufus para fazer via Microsoft Windows ou o gravador de imagens ISO em USB da própria distro Linux que você baixou.

Se você desejar o Linux Live não terá problemas, entretanto se reiniciar o sistema perderá todas as instalações que serão feitas em seguida, a não ser que tenha um pendrive persistente, mas para não complicar vamos seguir.

A instalação do Linux Mint é bem simples bastando fornecer as resposta solicitadas e escolhendo a opção de instalação em uma única partição (Para iniciantes).

Após a instalação reinicie o sistema e vamos lá. Abra o navegador e baixe os arquivos necessários aqui.

Abra um sessão do Terminal (Menu\Terminal). Em seguida instale o Java 8 da seguinte maneira:

• $ sudo add-apt-repository ppa:webupd8team/java (Digite a sua senha definida na instalação)
• $ sudo apt-get update
• $ sudo apt-get install oracle-java8-installer

Em seguida instale o Android ADB Tools da seguinte maneira:

• $ sudo apt-get install android-tools-adb

Após concluir as instalações, siga os passos do post e lembre: Quando descompactar o arquivo WhatsApp-Key-DB-Extractor-master.zip não altere a estrutura de pasta e nome dos arquivos.

Em seguida abra o Caja conforme a imagem abaixo:

Clique a pasta Downloads ou aquela onde você fez o download e extração do arquivo WhatsApp-Key-DB-Extractor-master.zip e dê um clique com o botão direito sobre o arquivo WhatsAppKeyDBExtract.sh e selecione “Propriedades”, marcando “Permitir execução do arquivo como um programa”.

Na pasta onde descompactou  digite “$  ./WhatsAppKeyDBExtract.sh” prosseguindo de acordo com as orientações do script (O $ é o sinal da linha de comandos no shell ou Terminal). Conecte o dispositivo quando solicitado. Os arquivos extraídos serão copiados na pasta /Extracted dentro da pasta onde o conteúdo foi extraído. Dentro dessa pasta você terá cinco arquivos, sendo o msgstore.db o arquivo com os diálogos, wa.db o arquivo com a agenda de contatos e o arquivo whatsapp.cryptkey a chave de criptografia para descriptografar os arquivos msgstore-yyyy-mm-dd.x.db.crypt12 presentes na pasta /sdcard/WhatsApp/Databases.

Pronto a extração foi realizada.

Abraços a todos e Feliz Ano Novo.