UNIVERSIDADE PRESBITERIANA MACKENZIE

JÚLIO CÉSAR ROQUE BENATTO

GERAÇÃO DE IMAGEM FORENSE E EXTRAÇÃO DE DADOS EM IPAD UTILIZANDO ADAPTADOR USB

São Paulo 2013

UNIVERSIDADE PRESBITERIANA MACKENZIE PÓS-GRADUAÇÃO EM COMPUTAÇÃO FORENSE

JÚLIO CÉSAR ROQUE BENATTO

GERAÇÃO DE IMAGEM FORENSE E EXTRAÇÃO DE DADOS EM IPAD UTILIZANDO ADAPTADOR USB

Trabalho de Conclusão de Curso apresentado à Universidade Presbiteriana Mackenzie como requisito parcial à obtenção do diploma em Especialização em Computação Forense (Lato Sensu)

ORIENTADORA: Profa. Ma. Ana Cristina Azevedo

São Paulo 2013

A minha família e amigos, pela paciência, apoio e companheirismo, determinantes em nossas conquistas pessoais e profissionais.

Agradecimentos Ao Prof. Esp. Fernando Luiz Carbone, pelas experiências e conhecimento técnico

transmitido, preponderantes a este trabalho.

À Dra. Camilla do Vale Jimene, pelo domínio da regra e da palavra, e pela passagem de

cultura de forma tão clara e direta.

Ao Professor Domingo Montanaro, por ter transmitido o que é amar uma profissão, pela

honestidade em ensinar o que realmente importa sem rodeios, e sacrifícios em prol dos

alunos.

Aos amigos José Francci Neto e Rafael Leonardo Martin, pelos momentos

descontraídos, pela ajuda nos momentos críticos em que precisei, e pela total

disponibilidade nas horas difíceis.

À Profª. Mª. Ana Cristina Azevedo Pontes de Carvalho, pela clareza nas ideias, pela

coragem em mudar, pela força, e pela dedicação aos alunos.

“A motivação da vida científica é

composta pela vontade de descobrir

o desconhecido, aprimorar o

conhecido, concluir que este ciclo

não termina e jamais desistir.

Não há dinheiro no mundo que

pague o sabor de tais descobertas e

aprendizados.”

(Ulisses Thadeu Vieira Guedes)

RESUMO

O iPad da Apple é um dispositivo tablet popular hoje em dia, foi

apresentado pela Apple no início de 2010. Sua capacidade de

armazenamento de dados abre novas oportunidades no campo da

computação forense, dado que o seu design, tanto interno como externo, é

muito semelhante ao iPhone. A maneira mais fácil de obter uma imagem

forense sem utilizar ferramentas proprietárias, é instalar um servidor ssh, se

conectar ao dispositivo e transferir os dados via rede wireless a um host

remoto. Esta abordagem pode exigir até 20 horas, devido o tamanho do

dispositivo de armazenamento de dados do aparelho. Neste Trabalho é

apresentada uma nova abordagem que se aproveita de um recurso não

documentado para que seja possível usar um barato acessório do aparelho

iPad, o kit de conexão de câmera, possibilitando a criação da imagem

forense em um disco externo conectado via conexão USB, reduzindo o

tempo necessário para a transferência e criação do LEF (Logical Evidence

File)

Palavras-chave: Forense, iPad, cybercrime, Investigação Digital, Apple.

ABSTRACT

The Apple iPad is a tablet device popular nowadays, was presented by

Apple at the beginning of 2010. Your data storage capacity opens up new

opportunities in the field of computer forensics, since its design, both

internal and external, is very similar to the iPhone. The easiest way to get a

forensic image without using proprietary tools, is to install an ssh server,

connect to the device and transfer data via wireless network to a remote

host. This approach may require up to 8:0 pm, because of the size of the

data storage device. In this paper is presented a new approach that takes

advantage of a feature not documented so you can use a cheap device iPad

accessory, camera connection kit, enabling the creation of forensic image

on an external disk connected via USB connection, reducing the time

required for the transfer and creation of the LEF (Logical File Evidence)

Keywords: Forense, iPad, cybercrime, Digital Investigation, Apple.

SUMÁRIO

Sumário

1 INTRODUÇÃO ........................................................................................................... 10

1.1 Justificativa ........................................................................................................... 14

1.2 Problema e questão de pesquisa ........................................................................... 14

1.3 Objetivos ............................................................................................................... 15

2 VISÃO GERAL DA ARQUITETURA DO IPAD ..................................................... 15

2.1 Principais características .......................................................................................... 16

2.2 Botões e conectores .................................................................................................. 16

2.3 Esquema de partição ................................................................................................. 17

3. AQUISIÇÃO FORENSE DE DADOS DO DISPOSITIVO IPAD. ........................... 20

3.1 Configurações do dispositivo. .................................................................................. 20

3.2. Geração de imagem forense do dispositivo ............................................................ 24

3.3 Montagem do disco rígido USB ............................................................................... 24

4 Obtendo a imagem forense .......................................................................................... 28

4.1 Reconstruindo a imagem forense ............................................................................. 29

4.2 Resultados e desempenho ......................................................................................... 30

5 CONCLUSÃO ............................................................................................................. 32

6 REFERÊNCIAS .......................................................................................................... 33

ÍNDICE DE FIGURAS

Figura 1. Configuração dos botões do Ipad...............................................................................17

Figura 2. Conexão do iPad via Kit de conexão de câmera para Disco rígido externo...............26

Figura 3.Taxa de transferência do sistema de imagem do iPad de 64GB...................................31

1 INTRODUÇÃO

Dispositivos portáteis tornaram-se uma tecnologia muito importante em

nossa sociedade, permitindo o acesso a recursos de computação ou serviços

de forma onipresente. Sobre esse aspecto, os telefones móveis vêm

passando por uma grande transformação em seus últimos anos, se tornando

lentamente compactos computadores de bolso e que podem ser gerenciados

com uma mão. No entanto, como requisito a mais é incluso novas

funcionalidades além daquela que um celular realmente pode oferecer.

Tais dispositivos tentam chegar a um compromisso entre um alto grau de

portabilidade, usabilidade e capacidade de fornecer tais funcionalidades

avançadas (por exemplo, ser capaz de ler, criar ou processar documentos).

O concorrente mais recente no campo dos dispositivos portáteis

incorporado no mercado é o iPad da Apple, um computador tablet que tenta

tirar proveito do sucesso do seu antepassado, o iPhone. Ele foi anunciado

pela Apple em janeiro de 2010 e lançado nos Estados Unidos da América e

na Europa entre abril e maio de 2010.

“O iPad quebrou recordes da indústria no início de 2010, quando vendeu

3 milhões de unidades em seus primeiros 80 dias no

mercado”(INFORMATIONWEEK..., 2010).

Uma abordagem muito básica para a aquisição de dados do usuário pode

ser feita conectando o dispositivo através do cabo USB padrão a um

computador com iTunes, (player multimídia da Apple) que é responsável

pela sincronização do conteúdo para o dispositivo. Usando seu protocolo

AFC (Apple File Connect), o iTunes sincroniza as informações existentes

(contatos, calendário, contas de e-mails e aplicações) e pode até mesmo

recuperar um backup completo do dispositivo, no entanto esta ação

apresenta dois problemas:

O dispositivo precisa ser corretamente emparelhado com o software do

iTunes para que a sincronização seja efetuada com sucesso.

Mesmo se o investigador tem acesso ao backup do dispositivo através do

iTunes (instalado no computador pessoal do suspeito) não haverá acesso

aos espaços não alocados que possam conter dados que fora apagados e que

podem ser recuperados posteriormente.

Consequentemente, os métodos mais sofisticados são obrigatórios. No

entanto, o iPad é distribuído como um dispositivo fechado, ou seja, que o

acesso aos seus arquivos e dados internos são limitados e apenas aplicações

aprovados pela Apple podem ser instalados ou executados.

Com este conjunto de restrições em vigor, é extremamente difícil adquirir

qualquer tipo de dado forense.

Felizmente mesmo sendo um dispositivo novo sua arquitetura é muito

semelhante ao do iPhone e abordagens forenses podem ser facilmente

portados para o iPad.

Em 6 de julho de 2007, apenas uma semana após o iPhone ser lançado,

(GEORGE HORTZ, 2007) anunciou a existência de um método para se

obter um shell interativo e completo. Este foi o primeiro passo no sentido

de contornar as restrições da Apple a seus dispositivos, tornando possível

executar qualquer programa e não só os aprovados pela Apple; um processo

que vem sendo chamado de “Jailbreaking”. Em outras plataformas móveis,

como aquelas que executam sistemas operacionais como o Android do

Google, existe um processo similar que é conhecido como “Rooting”.

Vendedores normalmente não gostam desta técnica embora na maioria dos

países seja legal ou pelo menos não definidamente ilegal.

Se você precisar utilizar e defender esta técnica em um tribunal, você pode

fazer uma breve explicação do por que do “Jailbreaking” no dispositivo;

obtendo acesso total ao sistema e portanto tendo acesso as informações

armazenadas nele, sendo fundamental em casos criminais que exigem

análise forense destes tipos de dispositivos.

O processo de “Jailbreaking” modifica a partição do sistema sem causar

alteração na partição de dados, o que significa que não altera os dados do

usuário, um requisito muito importante na conclusão do processo de cadeia

de custódia.

Esse método também pode ser aplicado a um iPad e de fato todas as duas

grandes abordagens forense a fim de recuperar uma completa imagem do

dispositivo baseando-se em ultima instância no “Jailbreaking”.

A Abordagem principal foi proposta por ZDZIARSKI que observou que

“[...] o iPhone pode se comunicar através de várias diferentes mídias,

incluindo a porta serial, Wi-Fi 802.11 e Bluetooth. Devido às limitações do

Bluetooth no iPhone, os dois preferiram métodos através da porta serial e

Wi-Fi.” (ZDZIARSKI, 2008).

Ele propôs um método básico para a obtenção de uma imagem forense do

iPhone sem adulteração de dados do usuário, executando o Jailbreaking na

partição do dispositivo e usando acesso SSH e as ferramentas padrões do

UNIX, dd e netcat que com o tempo já havia sido portado como parte da

comunidade de Jailbreaking do iPhone. Métodos similares são explorados

por J.R. RABAIOTTI (2010) em um Xbox da Microsoft. No entanto não

havia uma forma conhecida e pública para se comunicar com o dispositivo

através de sua porta serial, então ZDZIARSKI, (2008) criar e envia uma

imagem forense através da interface de dispositivo Wi-Fi, porém sendo

muito lenta a transferência.

Abordagens alternativas são oferecidas por alguns fornecedores de

softwares (KATANA FORENSICS, 2010), (FORENSIC

TELECOMMUNICATIONS), que desenvolveram soluções que usam

técnicas bastante incomuns para obter uma extração da unidade de

armazenamento do aparelho. É geralmente utilizando falhas conhecidas nas

versões do iOS que se consegue acesso indevido e não aprovado ao sistema

e com isso pode –se comprometer os dados extraídos em forma de imagem

forense. No entanto, esses fornecedores não precisam instalar um conjunto

completo de ferramentas no dispositivo, em vez disso, eles tendem a fazer

um upload no aparelho, de um compacto agente que ira assumir o controle

do sistema, executar a extração do disco sólido através da porta serial

(conector Dock) e, em seguida reiniciar o dispositivo sem copiar todos os

dados da partição de armazenamento interno do iPad.

Estes métodos oferecem algumas vantagens sobre a abordagem do

jailbreaking, sendo um processo mais simples, mais fácil de executar e

deixando pouco ou nenhum rastro de como adquiriu a extração dos dados

do dispositivo. No entanto, também tem alguns pontos fracos. Primeiro e

mais importante, qualquer método proprietário faz uso de um exploit contra

vulnerabilidades de versões do sistema operacional do dispositivo, por que

é a única maneira de tomar controle do sistema e contornar a restrição do

fornecedor. Sendo assim cada atualização do iOS (Geralmente são baixados

via iTunes a cada alguns meses), os softwares de análise forense também

precisam ser atualizados já que em cada atualização do sistema

operacional correções são efetuadas não permitindo a exploração da falha

anterior novamente.

JANSEN (2008) identifica “[...] a latência na cobertura dos modelos de

telefones recentemente disponíveis nas ferramentas forenses” é um dos

problemas em se trabalhar com softwares proprietários de análise forense,

ao contrário do método jailbreak do iPad que se desenvolve em um curto

período de tempo, entre 1 e 5 dias após o lançamento da atualização de um

sistema iOS, ao passo que as ferramentas forenses proprietárias necessitam

de mais tempo pra se atualizarem para novas versões do sistema

operacional.

Além disso, muitos destes métodos proprietários de análise forense estão

fechados e carece de falta de documentação aberta ao público. Portanto eles

são difíceis de auditar e não pode se garantir que não comprometeram a

imagem forense ao extrair os dados, ponto em risco toda cadeia de custódia

envolvida no caso.

Embora até mesmo alguns métodos proprietários possam ser apropriados a

uma análise forense no dispositivo, os fornecedores desses produtos podem

falhar em liberar alguma atualização pra novos dispositivos ou sistemas

operacionais lançados no mercado, resultando em uma descontinuidade do

produto por falta de atualização.

A nossa abordagem através do Jailbreaking parece ser suscetível ao tempo,

garantindo uma ampla variedade de versões do iOS, incluindo versões

futuras do sistema.

1.1 Justificativa

Dada a sua popularidade, evidencia-se que tais dispositivos estão se

tornando cada vez mais comuns e já são relevantes fontes de evidência, de

um ponto de vista de análise forense computacional, fornecendo dados

sobre seus usuários. Tais dados podem se tornar muito importante em caso

de investigação de crimes, onde ele pode ser usado como meio de prova

para o tribunal ou pode fornecer pistas valiosas para os investigadores.

1.2 Problema e questão de pesquisa

Estes avançados dispositivos portáteis são geralmente fechados,

incorporando sistemas proprietários e não sendo totalmente idênticos a

sistemas de computadores comuns. A aquisição de dados forenses nestes

dispositivos apresenta alguns desafios interessantes, especialmente quando

é necessário manter a integridade do sistema na qual a cadeia de custódia

precisa ser mantida em perfeito estado.

Atualmente o método mais fácil de obter uma imagem forense de um

dispositivo iPad (pode ser aplicado à um dispositivo iPhone) sem utilizar

ferramentas proprietárias (como Guidence Encase ou FTK), é instalar um

servidor openssh, se conectar ao dispositivo e transferir os dados via rede

wireless a um host remoto. Esta abordagem pode exigir até 20 horas,

devido o tamanho do dispositivo de armazenamento de dados do aparelho.

1.3 Objetivos

Neste Trabalho é apresentado uma nova abordagem que se aproveita de um

recurso não documentado para que seja possível usar um barato acessório

do aparelho iPad, o kit de conexão de câmera, possibilitando a criação da

imagem forense em um disco externo conectado via conexão USB,

reduzindo o tempo necessário para a transferência e criação do LEF

(Logical Evidênce File), além disso, como uma contribuição adicional, o

trabalho apresentado se assegura que o volume de dados não é modificado

durante o processo de aquisição.

O trabalho esta estruturado da seguinte forma:

Seção 2 fornece uma visão geral da arquitetura do iPad, focando nas

características especialmente relevantes para uma análise do ponto de vista

forense. Na seção 3, uma revisão da literatura apresentando atuais técnicas

de análise forense em dispositivos da Apple.

Na seção 4 é descrito a proposta do método de aquisição de dados forenses

apresentado no presente experimento.

Na seção 5 conclui-se o trabalho, apresentando contribuições para futuros

artigos.

2 VISÃO GERAL DA ARQUITETURA DO IPAD

A partir do ponto de vista externo, o Ipad é basicamente um iPhone

(24x19cm) grande, com uma tela de 9,7”, proporcionando uma resolução

de 1024x768. Enquanto seus hardwares internos são muito semelhantes

aos de seu antecessor, por ser de maior dimensão o torna adequado para

utilização de períodos mais longos, motivando a aparição de muitas

aplicações diferentes de outros dispositivos e aparelhos smartphones.

Por isso o iPad é capaz de executar tarefas anteriormente reservadas aos

computadores comuns ou , até certo ponto, netbooks.

2.1 Principais características

Os hardwares internos do iPad basicamente são:

• Processador: Processador personalizado Apple A4 ARM baseado em

um single-core Cortex-A8, rodando a 1GHz.

• Memória Volátil: 256 MB DRAM.

• Memória não Volátil: 16, 32 ou 64 GB SSSD (Solid State Storage

Drive)

• Conexão Wireless: 802.11 a/b/g/n e bluetooth 2.1, o mesmo do

iPhone.

• Além disso, o modelo 3G possui uma A-GPS (GPS assistido) e o

hardware de comunicação sobre UMTS/HSDPA (820, 1900 e 2100

MHz) e GSM/EDGE (850, 900, 1800 e 1900 MHz.)

No processo descrito neste trabalho, iremos usar a rede wireless (802.11) e

o conector “Dock” do iPad, descrito na próxima seção.

2.2 Botões e conectores

Os conectores e botões do iPad são similares aos do iPhone, além disso o

modelo 3G quando colocado na posição lateral pode-se identificar os

seguintes botões.

• Canto esquerdo superior: encaixe de 3,5” capaz de funcionar

simultaneamente para várias funcionalidades de áudio.

• Canto direito superior: Botão “Lock”

• Margem direita próxima ao topo: Controles de volume e mudo.

• Centro inferior da face frontal: Botão redondo “HOME”

• Centro inferior na borda do aparelho (Abaixo do botão “HOME”):

Conector padrão Apple de “Dock” 30 pinos, o mesmo usado no

iPhone e maioria dos iPods.

A figura 1 mostra a função de cada tecla. Nota-se que o botão “Lock”

executa diversas funções, quando o dispositivo esta desligado ele irá ligar o

aparelho, um curto toque vai ativar ou desativar o modo “sleep” no

aparelho, executando uma pressão mais longa irá mostrar uma caixa de

dialogo informando o desligamento. Para maior clareza neste trabalho

vamos fazer referência a esse botão apenas como “Lock”.

A configuração do botão é importante, pois como será explicado na seção

4.1.1 pode ser necessário colocar o dispositivo em modo DFU (“Download

Firmware Update”) para realizar a aquisição da imagem forense.

Quando for necessário o software instalado em sua versão padrão instruirá

o usuário a pressionar uma combinação de botões para que o dispositivo

entre em modo DFU (“Download Firmware Update”).

Figura 1. Configuração dos botões do Ipad (iOS 4 ou superior).

2.3 Esquema de partição

Como observado por ZDZIARSKI (2008) todos os dispositivos que

pertencem à família iPhone contém duas partições:

1) Uma grande partição de dados de usuários, mantendo todas as

aplicações extras instaladas, bem como todos os dados do usuário.

2) Uma pequena partição de sistema contendo o iOS e aplicações

básicas.

Do ponto de vista forense, tanto os dados do usuário quanto a partição em

que estão rodando aplicativos do iPad, podem armazenar informações

importantes de empresas ou softwares de edição de textos como o

QuickOffice Connect Mobile Suite (QUICKOFFICE Inc., 2010) ou o

software da Apple iWork Suite (APPLE COMPUTER Inc., 2010). Esses

softwares podem conter documentos de textos ou folhas de cálculo,

propensas a desvio de informações financeiras incluindo dados sensíveis.

Embora aplicações similares existam no iPhone, permitindo a adição de

documentos sem a necessidade de um computador externo, o fator iPad

sem dúvida impulsionará a existência de documentos criados e

armazenados apenas dentro do dispositivo (e não por exemplo, no

computador principal do suspeito) sendo editado e que poderá nunca sair

do iPad (Com a possível exceção de backups de dispositivos realizado pelo

iTunes).

Outra possível fonte de informação encontra-se dentro do framework Apple

AirPrint lançado em novembro de 2010 como uma característica do iOS

4.2 (APPLE AIRPRINT, 2010), capaz de fornecer impressões nativas para

o iPhone e iPad. Mas muito antes do AirPrint ser lançado outras aplicações

tais como o PrintCentral (EUROSMARTZ LTD, 2010) já permitia enviar a

maioria dos tipos de documentos para uma impressora remota (Ligado a

um computador com software apropriado)

Caches em disco destas aplicações são suscetíveis a armazenar informações

relevantes, tais como cópias de documentos impressos.

A Partição do sistema contém o iOS básico que vem dentro de cada

atualização do software iOS. Este inclui o núcleo do sistema operacional e

a interface gráfica do usuário, como o conjunto padrão de aplicativos

empacotados, tais como: Safari, Mail, calendário, iPod, etc. (isso explica o

por que das centenas de megabytes destas atualizações)

Note que apenas os binários do aplicativo se encontram dentro desta

partição, já que os dados relevantes (por exemplo, e-mail do usuário) são

armazenados na partição de dados.

3. AQUISIÇÃO FORENSE DE DADOS DO DISPOSITIVO IPAD.

Nesta seção será descrito um método rápido de extração de imagem forense

através de uma conexão USB do dispositivo iPad.

O método é divido em duas fases gerais: Instalação do dispositivo e

imagem. Cada fase é também dividida em várias sub etapas, que devem ser

sequencialmente seguidas a fim de ter o máximo de aproveitamento na

aquisição.

Este trabalho não tem o objetivo mostrar instruções detalhadas sobre como

executar o Jailbreak no iPad. A descrição somente irá focar na técnica de

extração para recuperar os dados do usuário de um iPad já com Jailbreak.

3.1 Configurações do dispositivo.

Como mencionado na seção 3 antes de se tentar qualquer análise forense,

uma configuração especial no dispositivo é necessário para contornar as

restrições de acesso instaladas pelo fabricante uma vez que esse

procedimento é de baixo nível liberando acesso ao sistema do dispositivo.

Além disso, é necessário instalar alguns pacotes extras pra nossa

abordagem proposta.

O caminho para realizar o jailbreak varia dependendo da versão do iOS

instalada no dispositivo. Um iPad rodando iOS 3.2.1 (o iOS versão inicial

pré-instalada na maioria dos iPads) pode ser realizado o jailbreak apenas

navegando até “http://www.jailbreakme.com”, um site que explora uma

falha conhecida no safari para assumir o controle do sistema. A

documentação desta falha pode ser encontradas em (COMEX..., 2010).

Para uma completa ferramenta gráfica sobre Jailbreak para cada versão do

iOS, veja (JAILBREAK MATRIX, 2010).

Muitas ferramentas de jailbreak (redsn0w, Pwnage Tool, etc) exigirá que o

usuário coloque o dispositivo em modo DFU, através de uma combinação

de pressão nos botões “Lock” e “Home”. Quando isso for necessário, o

software vai dar ao usuário as instruções necessárias.

É muito improvável que encontraremos um iOS não vulnerável a Jailbreak,

exemplo é o iOS 4.2.1 (as primeiras versões iOS 4 para iPad) foi lançado

em 22 de novembro de 2010, e a ferramenta para realização do Jailbreak

(no caso a redsn0w) foi lançada no dia seguinte (IPHONE DEV TEAM...,

2010).

Uma vez que fora lançado uma nova versão do iOS, os primeiros métodos

de Jailbreak provavelmente serão limitados, significa que só será eficaz

enquanto o sistema operacional estiver sendo executado, no momento em

que o sistema for reinicializado o jaikbreak será perdido e o procedimento

terá que ser repetido. Além disso, algumas ferramentas ou aplicativos

internos (exemplo o Safari) não irão funcionar corretamente e no pior dos

casos o dispositivo pode falhar e não funcionar corretamente.

Novamente afirmo que isso é apenas temporário, até que uma ferramenta

de jailbreak do aparelho seja atualizada ou recriada e seja compatível com

as configurações do novo sistema operacional.

Pode parecer óbvio, mas é necessário ter a bateria carregada pelo menos

cerca de 20%.

Isso ocorre por que durante o processo de geração da imagem, o conector

“iPad Dock” será usado para transferência de dados via USB, então não vai

ser possível ligar o dispositivo a um ponto de energia.

Depois de executado o Jailbreak no aparelho, um novo aplicativo intitulado

CYDIA (SAURIK, 2008) irá aparecer na tela inicial. Este é o gerenciador

de software que permite a instalação de softwares não aprovados pela

Apple.

Quando executado pela primeira vez, o CYDIA inicializa o sistema de

arquivos e saídas do dispositivo. Na próxima execução, ele apresenta um

alerta, Quem é você? Oferecendo três opções; escolheremos a opção

desenvolvedor (Sem Filtros), pois oferece a maior variedade de software.

Depois se houver atualizações disponíveis para instalação, recomenda-se

realizar por completo as atualizações. O dispositivo irá reiniciar,

reabriremos o CYDIA novamente e se houver alguma mensagem de

upgrade, o processo terá que ser repetido.

Uma vez que CYDIA terminou suas atualizações, usamos a função

“pesquisar” para localizar e instalar os seguintes pacotes:

OpenSSh – Este pacote contém o servidor SSH que iremos usar para

acessar o iPad.

Coreutils – Este pacote contém o comando “split” que é necessário cuja

utilização será exposta mais tarde.

A ferramenta mais importante para este procedimento é o “dd” que não

precisa ser instalado, pois já esta dentro do pacote “coreutilsbin” instalado

por padrão como parte do processo de Jailbreaking.

É necessário conectar o iPad a uma rede sem fio. Outro computador nessa

rede será usado para acessar o iPad via SSH.

A comunicação entre o computador e o iPad será por SSH portanto

criptografada. No entanto recomendamos usar criptografia no protocolo de

rede sem fio e o ideal é usar a rede isolada somente entre o computador e o

iPad. Isso ocorre por que há uma pequena janela de tempo em que o

dispositivo será acessível com senhas padrão. Há pelo menos um worm

conhecido que se aproveita dessa janela e penetra em dispositivos iOS com

jailbreak, usando as credenciais padrão. (SOPHOS SECURITY..., 2009).

Embora hoje em dia seja muito difícil encontrar esse worm rodando em

computadores.

Para se conectar a uma rede sem fio, usaremos a seção relevante dentro do

aplicativo de “configurações”. Se nenhuma rede sem fio estiver disponível,

um computador portátil pode ser usado para criar uma rede “AD-HOC”

disponibilizando o sinal sem fio para o iPad.

O botão azul ao lado do nome da rede revela o endereço IP em uso

(geralmente adquirido via DHCP) e permite ao usuário especificar

manualmente um endereço IP se necessário. O endereço IP deve ser

observado, pois com ele será necessário mais tarde utilizar para acessar o

iPad do computador remoto.

Ainda no aplicativo “Settings”, seção “Geral”, a opção “Auto-Lock” deve

ser definida como “Nunca”. Isto impedirá o dispositivo de entrar em modo

“Sleep” enquanto a imagem forense está sendo gerada, oque poderia

interromper o processo. Quando não estiver em uso, o dispositivo deve ser

bloqueado (Usando o botão de bloqueio; ver seção2) para economizar

bateria.

Não foi testado se a capacidade de multitarefa e Wi-Fi persistente no iOS4

permitiria que o processo de aquisição de imagem ocorra enquanto o

dispositivo estiver bloqueado. De qualquer forma, devido o processo ser

um pouco demorado para dispositivos com grande capacidade de

armazenamento, recomenda-se manter o sistema ativo.

Encontramos pelo menos duas maneiras de aplicar esse método sem usar

um computador remoto, embora ambos apresentem complicações

adicionais no processo.

Por um lado é possível instalar o “Terminal Móvel” em vez do OpenSSH e

usar o aplicativo terminal no iPad, montar o disco rígido e enviar a imagem

para ele. No entanto até o momento o “Terminal Móvel” não funciona em

versões do iOS 4.x e este software tem uma longa história de atrasos de

atualização para dar suporte a versões antigas do iOS. Por outro lado, uma

abordagem diferente seria instalar o “OpenSSH” e executar o cliente SSH

no próprio iPad, embora manter este aplicativo em execução durante a

geração da imagem forense é suscetível a alterações dos dados,

comprometendo toda cadeia de custódia da evidencia extraída. Neste

método também não é possível remontar a partição em “somente leitura”

como será explicado na seção 4.2.1.

3.2. Geração de imagem forense do dispositivo

Uma vez que o dispositivo está conectado a uma rede sem fio, outro

computador na mesma rede é usado para conectar o iPad via SSH. Usando

esta conexão, é possível remotamente emitir comandos para o dispositivo

para iniciar o processo de extração da imagem.

Neste momento, o iPad é acessível via senha padrão, que funciona para

ambos os usuários, assim como o usuário root na qual tem acesso completo

ao dispositivo. A maneira correta de proceder seria acessar o iPad via SSH

com o usuário root e imediatamente alterar sua senha e a senha da conta do

usuário móvel, usando o comando PASSWD.

3.3 Montagem do disco rígido USB

Nesta etapa será usado o kit de conexão de câmera para iPad (APPLE

COMPUTER Inc., 2010) a fim de acessar uma unidade de disco rígido

externo via USB. De acordo com a Apple, “[...]o kit de conexão de câmera

para iPad possibilita duas maneiras de importar vídeos e fotos de uma

câmera digital: usando o cabo USB de sua câmera ou diretamente de um

cartão SD” (APPLE COMPUTER Inc., 2010). Trata-se assim de dois

adaptadores, um deles sendo um leitor de cartão SD e o outro um conector

USB fêmea, ambos esses conectores podem ser plugados (um de cada vez)

no conector Dock do iPad, abaixo do botão “HOME”.

Informações iniciais do fornecedor sugeriram que o adaptador USB utiliza

apenas o protocolo PTP (ISO, 2008) para acessar as imagens armazenadas

em uma câmera, e que uma câmera real com seu cabo de transferência

USB, deve ser ligada desse conector para o adaptador, sendo assim possível

importar as imagens. Quando isso for feito, o aplicativo de foto é executado

e permite ao usuário transferir fotos e vídeos dos meios de comunicação

ligados a memória interna do iPad.

No entanto, sabe-se que o iPad implementa o protocolo de classe de

dispositivo de armazenamento em massa USB. Assim, o iPad pode montar

o disco inserido (independente de ser um disco rígido ou unidade de

armazenamento em massa) para a procura de um diretório /DCIM

conforme norma CIPA DCF (CAMERA & IMAGING..., 2010). Se esta

pasta existe, o aplicativo de foto irá abrir, permitindo que o usuário importe

o conteúdo; se a pasta não for encontrada, o dispositivo é desmontado e

ignorado.

É possível explorar este recurso não documentado para montar

manualmente com parâmetros apropriados, um disco externo de

armazenamento em massa via USB.

Quanto aos sistemas de arquivos suportados, foi bem sucedido a montagem

do sistema FAT e HFS+ (Sistema de arquivo padrão do Macintosh, que é

utilizado para o armazenamento interno do iPad). Uma questão importante

para usuários do Microsoft Windows é que seu sistema operacional vai se

recusar a formatar uma unidade maior que 32 GB como FAT

(MICROSOFT CORP..., 2007), embora ele normalmente possa montar

uma partição FAT muito maior e trabalhar com perfeição. Os usuários do

Microsoft Windows precisarão utilizar ferramentas externas como o

Fat32Format (RIDGECROP..., 2009).

Usuários de Mac e Linux não terão problemas com o padrão do utilitário de

disco e a ferramenta mkfs.msdos. Quando ligado a unidade de disco

externo via USB no iPad (Figura2), verifique sua presença dentro da

sessão SSH executando o seguinte comando:

ls /dev/disk1

Figura 2. Conexão do iPad via Kit de conexão de câmera para Disco rígido externo.

O caminho do disco de armazenamento interno no sistema do iPad é

atribuído em /dev/disk0 e o caminho /dev/disk1 significa que o disco

externo foi conectado e reconhecido corretamente.

Se a saída resultante do comando ls /dev não gerar a atribuição disk1,

significa que o sistema não reconheceu o disco rígido externo plugado via

USB.

Foi observado em teste que ao conectar discos SSD (Solid State Disk) de

grande capacidade de armazenamento, uma caixa de dialogo mostrava uma

mensagem informando que “this device requires too much power”, isto

ocorre por que a porta de conexão USB não emite 100mA de força, mas

apenas cerca de 20mA (9TO6 MAC..., 2010) por isso recomenda-se que ao

utilizar o disco externo, seja com uma conexão auxiliar de força ou através

de uma Dock. (como mostra a figura 2).

Este comando monta a primeira partição do disco externo no diretório /mnt

do dispositivo.

mount -t msdos /dev/disk1s1 /mnt

Foi possível montar a partição HFS+ usando o parâmetro –t hfs. Devido o

suporte do Macintosh ao EFI, encontrar o nome correto para discos

formatados em HFS pode ser complicado. Para ver a lista completa de

partições disponíveis, usa-se o comando ls/dev/disk*, todas as opções

foram montadas com sucesso.

Assim que montada a partição, ZDZIARSKI (2008) recomenda

imediatamente a remontagem da partição de dados em modo de somente

leitura umount –f /private/var; mount -r /private/var antes de começar a

extração e cópia dos dados.

No entanto nos testes em laboratório foi constatado que tanto no iOS 3

quanto no iOS 4, o sistema travou quando a partição foi desmontada,

mesmo forçando sua remontagem com o comando mount –fru o sistema

não respondeu.

Deve se notar que a imagem de uma partição montada, pode alterar a

integridade do sistema de arquivos contido na imagem extraída do

dispositivo.

A fim de reduzir este risco, nenhuma outra atividade deve ocorrer no iPad

(nem através da tela e nem através da rede) enquanto é gerada a extração

dos dados.

Depois que o disco foi montado, o comando df –h /mnt pode ser usado para

mostrar o espaço em disco livre e se a unidade externa foi corretamente

reconhecida.

4 Obtendo a imagem forense

Neste ponto o diretório de trabalho foi modificado para que, quando um

disco externo for montado, o processo de geração de imagem inicia com o

comando:

dd if=/dev/rdisk0s2 bs=32M | split –b 4000m - part-

O comando completo pode ser explicado a seguir:

• dd – O comando dd é executado

• if=/dev/rdisk0s2 – é o arquivo de entrada (ou seja, de leitura) o

dispositivo rdisk0s2 corresponde a segunda partição de

armazenamento de dados interno do iPad. O esquema de partição

utilizado no Mac pode ser repetido no iOS sendo também utilizado

como /dev/rdisk0s2s1

• bs=32M – Usando o tamanho de bloco de 32MB para gravação

• | Split – comando para divisão por partes dos dados gravados

• -b 4000m – dividir o tamanho do arquivo, em arquivos menores que

4GB (4000MB) cada parte.

• _ Este traço significa a entrada do conteúdo que será divido e é

proveniente do comando anterior, neste caso dd.

• Part – Este comando é anexado ao nome dos arquivos de saída. O

sufixo será duas letras, começando com aa.

Como resultado, serão gerados vários arquivos com tamanhos de 4GB e

nomeados como Parte-aa,Parte-ab, etc..

Não será necessário a divisão em diversas partes menores de 4GB quando a

unidade formatada for em HFS (Mac).

Quando terminar a cópia dos dados, a unidade de destino deve ser

desmontada antes de desconecta-la do iPad. Isso pode ser feito saindo do

diretório /mnt e executando o comando umount /mnt, ou desligando o iPad.

4.1 Reconstruindo a imagem forense

Para obter uma imagem completa que pode ser processada usando as

principais ferramentas de análise forense por padrão, todos os fragmentos

devem ser concatenados. Isso pode ser feito com uma variedade de

ferramentas em diversos sistemas operacionais, mas um comando simples

que irá funcionar no Windows, Mac e Linux seria:

cat part-* > ipad.dmg

A imagem resultante, em seguida pode ser tratada com métodos descritos

em (ZDZIARSKI..., 2008) para recuperar dados, tais como: endereço de e-

mails, contatos de agenda, fotos, vídeos, dados de mapas utilizando o

Google Maps e assim por diante.

No que diz respeito à reconstrução de imagem, deve-se notar que, a partir

da versão 4 do iOS, a Apple introduziu uma camada de serviços de

criptografia de hardware (APPLE COMPUTER INC..., 2010), que se

ativado no dispositivo, resultará em uma parcial criptografia dos dados

extraídos.

No entanto, foi encontrada uma opção nova para proteger o comando de

montagem, por padrão é aplicado à partição de dados.

Não foi encontrada nenhuma documentação sobre esse parâmetro embora,

curiosamente a sequencia de proteção aparece dentro do comando de

montagem do Mac OS X.

Neste cenário, os dados são extraídos e a imagem criada, porem não pode

ser montada, possivelmente devido a uma camada de criptografia, e que

pode ser decriptada se as chaves forem recuperadas no sistema, depois de

ganhar acesso SSH.

Ainda assim, ferramentas como Scalpel (LLC DIGITAL FORENSICS...,

2006), pode recuperar certo tipos de arquivos.

4.2 Resultados e desempenho

Foram realizados vários experimentos que medissem a taxa de velocidade

na transferência dos dados via conexão USB, utilizando o kit de conexão de

câmera. Como pôde ser visto na figura 3, o processo casual oferece uma

média de 15,9 MB / ou 0,95 GB/min. Esta foi a maior taxa de transferência

que poderia se conseguir com um conector padrão serial-ATA conectados

em um disco rígido através dos adaptadores USB-to-SATA.

A figura representa a saída da imagem de um iPad 64GB rodando o

sistema iOS 4.2.1 para um disco externo ST3500418AS Seagate.

Em comparação, foi testado o método Zdziarski através de uma rede AD-

HOC 802.11n, operando a uma taxa máxima teórica de 108 Mbps, e foi

obtido uma taxa de transferência de apenas 1Mb/s, oque significa que em

um iPad de 16GB demoraria em torno de 5 horas e um de 64GB exigiria

cerca de 20 horas. O presente trabalho mostra que a transferência via

dispositivo USB resulta em um aumento de 15x a velocidade sobre a

transferência tradicional via WI-FI.

Fornecedores de softwares de análise forense não liberaram a

especificações sobre o tempo necessário de transferência de uma imagem

gerada do dispositivo, foi possível somente encontrar alguma informação

em que Jonathan Zdziarski afirma (ZDZIARSKI, 2010) “[...] a versão

mais recente do método Zdziarski, que é usado nas ferramentas

automatizadas disponíveis gratuitamente para aplicação da lei em todo

mundo”: “cerca de 15-30 minutos é tudo que toma, independente se você

extrair uma imagem de um iPhone de 4GB ou um iPhone de 32 GB”

Supondo que ele é capaz de transferir 32 GB em cerca de 30 minutos,

podemos imaginar que em nosso experimento conseguimos atingir o limite,

provavelmente é a taxa de transferência máxima da porta serial do

dispositivo, embora seja difícil dizer se é um limite físico da porta ou uma

questão de software que pode ser melhorado com o tempo em futuras

versões.

Figura 3. Taxa de transferência do sistema de imagem do iPad de 64GB.

5 CONCLUSÃO

Neste trabalho, foi apresentado uma nova abordagem que se aproveita de

um recurso não documentado do adaptador USB do iPad de modo que é

possível usar um acessório universal para aquisição da imagem do

dispositivo diretamente de um USB ligado a ele. A Principal contribuição é

que o resultado mostra o aumento de velocidade do processo de aquisição

da imagem forense, superando as tradicionais abordagens existentes através

do WI-FI, com isso, aperfeiçoa todo o processo e poupa tempo na hora da

transferência.

Até o presente momento, a taxa de transferência semelhante só pode ser

alcançada usando ferramentas comerciais que são pagas ou restritas a

autoridades policiais. Portanto difícil de avaliar o que realmente se passa

durante o processo de geração da imagem e se os dados originais são de

algum modo alterado.

No que diz respeito à análise forense do iPad, um método rápido de

geração e transferência de imagens forense abrem algumas linhas de

investigação interessante para o futuro. O que é bastante interessante são os

despejos de memória on live do dispositivo, o estudo do sistema de

criptografia do iOS 4 e a geração de imagem forense do iPad através do

dispositivo USB eliminando a necessidade de uma rede WI-FI.

6 REFERÊNCIAS

InformationWeek, “iPad is top selling tech gadget ever”, 2010,

http://www.informationweek.com/showArticle.jhtml?articleID=227700347

. Acessado em 10 de mar. 2013, 19h:22min.

Jonathan Zdziarski, iPhone Forensics: Recovering Evidence,

Personal Data, and Corporate Assets, O’Reilly, 2008.

Quickoffice Inc., “Quickoffice Connect Mobile Suite for iPad on the

iTunes App Store”, 2010, http://itunes.apple.com/us/app/quickoffice-

connect-mobile/id376212724. Acessado em 06 de mar. 2013, 09h:18min.

Apple Computer Inc, “Pages for iPad on the iTunes App Store”,

2010, http://itunes.apple.com/us/app/pages/id361309726 Acessado em 06

de mar. 2013, 09h:25min.

Apple Computer Inc, “Numbers for iPad on the iTunes App Store”,

2010, http://itunes.apple.com/us/app/numbers/id361304891 Acessado em

06 de mar. 2013, 13h:42min.

Apple Computer Inc., “Apple’s AirPrint Wireless Printing for iPad,

iPhone and iPod touch Coming to Users in November”, 2010,

http://www.apple.com/pr/library/2010/09/15airprint.html Acessado em 06

de mar. 2013, 14h:02min.

EuroSmartz Ltd., “PrintCentral for iPad on the iTunes App Store”,

2010, http://itunes.apple.com/us/app/printcentral-for-ipad/id366020849

Acessado em 06 de mar. 2013, 17h:56min.

George Hotz, “iPhone serial hacked, full interactive shell”, 2007,

http://www.hackint0sh.org/f127/1408.htm Acessado em 06 de mar. 2013,

17h:33min.

J.R. Rabaiotti and C.J. Hargreaves, “Using a software exploit to

image RAM on an embedded system ”, Digital Investigation, vol. 6, pp.

95–103, 2010.

Katana Forensics, “Lantern”, http://katanaforensics.com/use-our-

tools/lantern/ Acessado em 09 de mar. 2013, 20h:19min.

Forensic Telecommunications Services Ltd., “iXAM – Advanced

iPhone Forensics Imaging Software”, http://www.ixam-forensics.com/

Acessado em 16 de mar. 2013, 11h:44min.

Moenner L. Jansen W, Delaitre A, “Overcoming impediments to cell

phone forensics”, in In Proceedings of the 41st Annual Hawaii

International Conference on System Sciences. 2008, pp. 483 – 483, IEEE

CSP.

Comex, “Comex ‘star’ GIT repository”, 2010, http://github.com/comex/star Acessado em 16 de mar. 2013, 13h:02min.

“Jailbreak Matrix”, 2010, http://www.jailbreakmatrix.com/iPhone-iTouch-Jailbreak Acessado em 16 de mar. 2013, 16h:25min

iPhone Dev Team, “Thanksgiving with Apple”, 2010, http://blog.iphone-dev.org/post/1652053923/thanksgiving-with-apple. Acessado em 17 de mar. 2013, 18h:51min

Jay Freeman ‘Saurik’, “Bringing Debian APT to the iPhone”,2008, http://www.saurik.com/id/1 Acessado em 17 de mar. 2013, 19h:13min

Sophos Security, “First iPhone worm discovered - ikee changes

wallpaper to Rick Astley photo”, 2009, http://nakedsecurity.sophos.com/2009/11/08/iphone-worm-discovered-wallpaper-rick-astley-photo/ Acessado em 17 de mar. 2013, 22h:29min

Apple Computer Inc, “Apple iPad Camera Connection Kit”,2010, http://store.apple.com/us/product/MC531ZM/A Acessado em 18 de mar. 2013, 19h:12min

International Organization for Standarization (ISO), “ISO 15740:2008 – Electronic still picture imaging – Picture transfer protocol (PTP) for digital still photography devices ”, 2008.

Camera & Imaging Products Association, “Design rule for Camera File system: DCF version 2.0”, 2010.

Microsoft Corp, “Limitations of the FAT32 File System in Windows

XP”, 2007, http://support.microsoft.com/kb/314463/ Acessado em 18 de mar. 2013, 22h:33min

Ridgecrop Consultants Ltd., “Fat32Format”, 2009,

http://www.ridgecrop.demon.co.uk/index.htm?fat32format.htm Acessado em 18 de mar. 2013, 22h:49min

9to5 Mac, “iOS 4.2 emits less USB power on iPad, Camera

Connection Kit crippled?”, 2010, http://www.9to5mac.com/40091/ios-4-2-emits-less-usb-power-on-ipad-camera-connection-kit-crippled Acessado em 20 de mar. 2013, 18h:58min

Apple Computer Inc, “iOS 4: Understanding data protection”, 2010,

http://support.apple.com/kb/HT4175 Acessado em 21 de mar. 2013, 20h:06min

LLC Digital Forensics Solutions, “Scalpel: A Frugal, High

Performance File Carver”, 2006, http://www.digitalforensicssolutions.com/Scalpel Acessado em 21 de mar. 2013, 21h:19min

Jonathan Zdziarski, “iPhone Insecurity”, 2010, http://www.

iphoneinsecurity.com Acessado em 21 de mar. 2013, 23h:43min