Notícias

8.05.2014 | admin

Parceria Nuix-Cellebrite é tema de matéria da Digital Forensics Magazine

A parceria entre Nuix e Cellebrite para a investigação e análise de dados extraídos de dispositivos móveis foi tema de matéria publicada na revista Digital Forensics Magazine. Ambas são parceiras da TechBiz Forense Digital.  Segue abaixo a nossa livre tradução. Se preferir, leia o arquivo original clicando aqui.

Uma ampla visualização das evidências

A Nuix, provedor mundial de tecnologias para gerenciamento de informações, e a Cellebrite, provedora global de soluções para extração, decodificação e análise de dados em dispositivos móveis, anunciaram a formação de uma parceria tecnológica para alavancar a forças investigações eletrônicas, envolvendo forense móvel e eDiscovery. A aliança permitirá que os investigadores forenses, agentes de forças da lei, militares, analistas de inteligência e praticantes de eDiscovery incorporem de forma forense dados de dispositivos móveis nas investigações e procedimentos legais envolvendo outros equipamentos.

Forense em telefones utilizando Cellebrite & Nuix

A penetração de mercado da telefonia móvel atingiu 90% globalmente. Na América do Norte e na Europa (Ocidental, Central e Oriental) existem mais contas de aparelhos móveis do que pessoa. Dados armazenados em dispositivos móveis são críticos em investigações e procedimentos legais. Canais de comunicação sem custo, instantaneamente disponíveis e anônimos ajudam os criminosos a se conectarem e trocarem informações, assim como a qualquer um de nós.

Redes criminosas fazem grande uso de aplicações para mensagens, ligações, SMS e e-mails. Esses canais demandam atenção considerável das forças da lei. Aparelhos móveis são, intrinsecamente, dispositivos pessoais que oferecem ricas informações sobre os indivíduos e seus hábitos, o que algumas vezes pode dar pistas para o encaminhamento de uma investigação.

O desafio para os investigadores é que os dispositivos móveis não oferecem facilmente o seu conteúdo. Eles foram desenvolvidos para a conveniência do usuário, e não para gerar evidências. Consequentemente, os investigadores interessados em extrair dados de dispositivos móveis devem estar equipados com uma boa dose de criatividade e um poderoso conjunto de ferramentas. Casos mais desafiadores também requerem um nível de experimentação. Felizmente, as tecnologias forenses estão caminhando juntamente com a grande variedade de aparelhos e formatos de comunicação.

Os dados dos dispositivos móveis tornam-se ainda mais valiosos aos investigadores quando é possível cruzar referências com outras fontes de evidência e gerar Inteligência a partir do que foi encontrado. Ter uma visão abrangente das evidências extraídas em dispositivos móveis e de outras fontes permite rastrear conexões entre indivíduos, eventos e fatos críticos.

Colete de dados com o UFED, processe dados com Nuix

Qualquer investigação implica na reunião de informações e na construção de imagens de suspeitos, eventos e fatos. A combinação das forças de investigação em dispositivos móveis do UFED da Cellebrite com o poder de indexação, pesquisa e análise do Nuix garante uma maneira rápida de juntar as partes de um quebra-cabeça. E mais, examinar todas as fontes relevantes de uma só vez pode gerar pistas alternativas para o investigador e o ajudará a identificar fatos-chaves dentro de uma investigação.

É muito fácil sobrecarregar-se em uma investigação digital, que exige a navegação por tantos dados, formatos, arquivos de sistemas associados a dispositivos móveis. A plataforma Cellebrite UFED, no entanto, oferece suporte a mais de 11 mil perfis de dispositivos móveis, incluindo a maior parte das plataformas de smartphones. A coleta combinada de dados móveis é um processo de muitas etapas que envolvem:

  • Conectar um aparelho a um equipamento de extração para acessar o seu armazenamento interno.
  • Utilizar o método de extração física da Cellebrite para obter dados existentes e deletados, juntamente com os metadados.
  • Exportar os dados do dispositivo utilizando o UFED Physical Analyzer.
  • Alimentar o Nuix com os dados recuperados com a velocidade e o rigor da Nuix.
  • Analisar os dados do dispositivo móvel em paralelo com todos os outros dados eletrônicos envolvidos na investigação.

Os softwares de investigação da Nuix podem, rapidamente, digerir e processar terabytes de evidências por dia e torná-las disponíveis para análise. A tecnologia avançada de investigação eletrônica da Nuix foi desenvolvida para pesquisar e correlacionar dados em meio a grandes quantidades de informações de forma rápida e eficiente. Pode-se extrair dados e metadados de e-mails, SMS, MMS, imagens, logs de ligações, contatos, aplicativos, caches de navegação na internet e outras evidências estruturadas e não estruturadas encontradas em dispositivos móveis e que podem ser vitais em uma investigação.

Utilizar a tecnologia UFED, da Cellebrite, para extrair dados armazenados em dispositivos móveis é o primeiro passo para contextualizar investigações complexas. A tecnologia fornece detalhes importantes como quem e o quê está envolvido em um caso, bem como a localização geográfica dos suspeitos. Por sua vez, o Nuix integrará esses dados dos aparelhos móveis com todos os demais dados que consegue processar, permitindo investigações mais eficientes ao evidenciar rapidamente as conexões entre as partes envolvidas.

Triagem forense baseada em conteúdo

Em casos em que o tempo é crucial, tais como sequestros, análises rápidas das evidências disponíveis são críticas. Mesmo em investigações não tão urgentes, organizações precisam encontrar uma maneira de percorrer tanto volume de dados ou enfrentarão o crescimento dos backlogs dos casos. Neste caso, ferramentas e metodologias tradicionais de forense não são suficientes. Em uma análise forense em profundidade, é preciso rodar cada dispositivo em processos trabalhosos e que consomem tempo.

Essa é a razão do porquê, nos anos recentes, forças da lei e investigadores corporativos adotaram uma triagem forense baseada em conteúdo . Essa abordagem envolve coletar todos os dados disponíveis em um único local de armazenamento e depois, usar uma combinação de técnicas forenses, de análise e gerenciamento de dados, e focar nas fontes de evidências mais críticas até que os fatos-chaves apareçam.

Esse processo de triagem forense baseado em conteúdo é simples e lógico. Começa com o abastecimento de todas as fontes de dados em um único repositório e, em seguida, realiza-se uma varredura “light” de metadados para tabular informações como quem enviou um email, o tamanho da mensagem, o formato, o assunto.

Depois, usando técnicas como diagramas de rede e linha de tempo, os investigadores podem realizar conexões e relações entre pessoas e evidências. Tendo identificado as fontes de evidências mais prováveis, os investigadores podem fazer a extração total dos textos e metadados com o uso de ferramentas avançadas de investigação. Podem extrair e sinalizar itens de inteligência, como nomes, endereços de email, endereços IP, número de cartões de crédito, números de contas bancárias e somas de dinheiro.

O cruzamento da inteligência por entre todas as evidências pode revelar rapidamente a relação entre pessoas e entidades, oferecer informações que podem provar ou ampliar a inteligência investigativa. Isso traz à luz conexões que os investigadores, sem o auxílio da tecnologia, poderiam deixar passar.

Finalmente, o processo permite que investigadores examinem apenas as fontes de dados mais relevantes. Na maioria dos casos, esse processo localiza os fatos críticos do caso. Se não, quase certamente oferecerá pistas sobre onde tais informações estão escondidas. Investigadores podem depois usar suas habilidades forenses para ir mais a fundo na fonte de evidência preferida. Desta forma, eles evitam perder incontáveis horas em análises forenses de material irrelevante.

Ajuste a extração de dados para propósitos específicos

A Cellebrite e a Nuix oferecem várias opções para níveis de extração de dados o que ajuda a selecionar as fontes relevantes de dados. Com a Cellebrite, a extração lógica entrega dados genéricos em um tempo muito mais rápido. A extração física oferece em detalhes a história dos dados do telefone suspeito, mas demanda mais tempo de extração e análise. A extração física é aconselhada para investigações altamente críticas, onde grandes volumes de evidência devem necessariamente ser recolhidos e triplamente checados. Essa varredura em profundidade, no entanto, deve apenas ser necessária em um pequeno número de dispositivos que os investigadores identificam como potencialmente contenedores de fatos-chaves para o caso.

O mesmo acontece com o Nuix, que pode fazer uma varredura superficial dos metadados de todos os dispositivos, depois uma varredura completa de texto nas fontes de evidências mais relevantes. Quando necessário, o Nuix pode conduzir análises forenses em profundidade apenas das fontes de evidência mais importantes.

Compartilhando o volume de trabalho

Os casos, em geral, se articulam em um tipo particular de evidência, como documentos, e-mails ou mensagens de texto e as conexões entre diferentes e múltiplas fontes.
Além disso, pessoas que possuem um expertise próprio devem revisar alguns tipos de evidência. É comum, no entanto, que um único investigador digital dê conta de todos os dispositivos envolvidos na investigação. Esse investigador forense costuma examinar cada dispositivo por vez, extrair as informações que pensa serem relevantes e depois preparar um relatório para o time investigativo.

Usando a metodologia em discussão nesta matéria, muitas organizações podem adotar um fluxo de trabalho mais colaborativo que reúna especialistas e evidências. Assim que o time investigativo escolher as fontes de evidência que são mais relevantes, eles podem depois processar esses dados seguindo uma série de padrões e configurações pré-acordados.

Organizações investigativas podem desenvolver melhores práticas ou fluxos de trabalho específicos para a condução de um caso, que automatizem tarefas que costumam demandar muito tempo e são passíveis de erro. Isso inclui filtragem por espaço de tempo (datas), pesquisas por palavras-chaves e marcações (tagging), identificação e reconhecimento de caracteres óticos (Optical Character Recognition – OCR) para documentos que não tenham texto. Esse fluxo de trabalho pode também incluir ações para filtrar informações irrelevantes como itens duplicados ou arquivos de sistema.

Essa abordagem reduz significativamente inconsistências e decisões em nível de operações sobre quais arquivos devem ser processados e como eles devem ser processados. A próxima fase deste fluxo investigativo envolve dividir as evidências processadas em conjuntos de revisões. O mais básico, pode ser uma forma de compartilhar o trabalho entre vários investigadores para cumprir a tarefa rapidamente. Também pode-se optar por dividir as evidências por intervalos de tempo, custodiantes, local, idioma ou conteúdo, mas existem muitas outras opções.

Em casos de fraude, por exemplo, os investigadores podem repassar registros financeiros para contadores forenses e atividades de internet para especialistas técnicos. Para investigação de imagens inapropriadas, os detetives podem agrupar imagens e vídeos relevantes para times especializados em proteção de crianças, enquanto deixam outros tipos de arquivo para os investigadores de forense digital. Em investigações multi-jurisdicional, os times investigativos podem produzir evidências ou pacotes de inteligência para terceiros revisarem, comentarem e depois retornarem.

Estudo de caso 1

Forense em dispositivos móveis oferece evidências chaves sobre suspeito de explodir uma bomba em Cali

Cali é a terceira maior cidade da Colômbia, com uma população de 2,5 milhões de habitantes. A cidade é um dos centros urbanos mais perigosos da Colômbia; de janeiro a dezembro de 2011, existia uma taxa recorde de homicídios de 1.870. A polícia judiciária de Cali (SIJIN) lida com um grande volume de casos, incluindo assassinatos, extorsão de celebridades, roubo, tráfico de drogas, roubo de armas e terrorismo, incluindo a explosão de uma bomba no quarteirão da central de polícia em 2008.

A plataforma UFED, da Cellebrite, é uma das principais armas da SIJIN em sua luta contra o crime. Enquanto investigava o caso da bomba de 2008, a SIJIN estava tendo dificuldade em provar o envolvimento direto de um suspeito. Utilizando o UFED da Cellebrite, a polícia reconstruiu as mensagens, informações e comandos de teclado, bem como dados já deletados de um celular. Eles foram capazes de provar o uso do dispositivo pelo suspeito para comunicar-se com outros conspiradores e, inclusive, detonar, remotamente, os explosivos. A ferramenta da Cellebrite permitiu a condenação bem-sucedida do suspeito.

Estudo de caso 2

United Kingdom Serious Fraud Offi ce (SFO) , escritório que atua em casos de fraude, processa 20 vezes mais dados ao utilizar fluxos colaborativos do software Nuix


Ao combinar as ferramentas da Nuix com um modelo colaborativo de investigação e um fluxo de trabalho de laboratório, o United Kingdom Serious Fraud Offi ce (SFO) aumentou a sua capacidade de processamento de dados em 20 vezes e passou oferecer respostas a tempo para as demandas judiciais. De 2009 para 2010, o SFO padronizou e simplificou seus processos investigativos. O SFO reduziu o seu foco em análise forense em profundidade, criou um fluxo de trabalho investigativo automatizado e desenvolveu uma abordagem mais colaborativa.

Essa mudança de abordagem ajudou a transformar suas capacidades. “Enquanto as técnicas tradicionais de forense computacional vão à fundo na análise de computadores, o SFO pode agora rapidamente refinar o grande volume de dados capturado em nossas operações de busca e focar no material que mais provavelmente apresentará evidências potenciais”, escreveu o CFO da SFO no Relatório Anual 2010-11. “Nós podemos agora lidar com mais de 100GB de novas informações por dia, um aumento de 2.000% ano a ano. Também podemos responder rapidamente às requisições dos tribunais; em um caso, conseguimos identificar e produzir mais de 47 mil e-mails em uma noite para atender ao pedido de um juiz. Tal velocidade na resposta seria impossível anteriormente.”

Conclusão

Em um mundo de imunologias, cientistas precisam criar novas vacinas regularmente com as mutações dos vírus. Da mesma forma, métodos investigativos devem levar em conta as alterações das circunstâncias.

Com a maturidade dos métodos de comunicação e sua proliferação, os investigadores devem pensar fora da caixa para caminharem na mesma velocidade que os criminosos. O mesmo vale para a indústria global de forense digital, que deve estar sempre um passo à frente dos métodos e tecnologias que os ilegais utilizam para se comunicar. Só assim os investigadores estarão equipados com o que há de mais novo em softwares capazes de revelar o que os criminosos tentam esconder.

Share:

| More

Press agent

Roberta Maia - roberta.maia@techbiz.com.br
(21) 3736-7058/ (21) 98290-4653