quarta-feira, 10 de maio de 2017

NUIX - Criando filtro para localizar CPF e CNPJ



Olá pessoal, resolvi escrever este post para ajudar algumas pessoas que tem se deparado com o problema de como editar a entidade no Nuix, que realiza busca por CPF que por padrão vem configurado para encontrar somente o SSN US (CPF Americano), de antemão vou demonstrar o passo a passo para alterar somente este parâmetro mas, o procedimento serve para os demais filtros de ENTIDADES da ferramenta. Além disso o código foi desenvolvido para encontrar também padão de CNPJ.

Vale ressaltar que deve-se possuir privilégios administrativos no diretório de instalação do sistema.

Cabe destacar ainda que alguns filtros de entidade do NUIX funcionam com REGEX (Expressões Regulares), para quem não tem muito conhecimento sobre esta técnica de desenvolvimento segue o link para maiores detalhes: Aprenda REGEX. Este procedimento funciona para as versões 6 e 7 do produto. Então vamos lá !

1º Passo - Acessar o diretório C:\Program Files\NUIX\NUIX (versão)\user-data\Named Entities, caso tenha instalado no diretório padrão, caso contrário basta acessar o diretório de instalação do produto e procurar pelo diretório user-data\Named Entities.


2º Passo - Crie um arquivo utilizando o Bloco de Notas do Windows ou Notepad++, e cole o seguinte texto:

# Regular expressions matching CPF BRL numbers.
# TODO: add more CPF here.

# Matches CPF and CNPJ BRL
([0-9]{2}[\.]?[0-9]{3}[\.]?[0-9]{3}[\/]?[0-9]{4}[-]?[0-9]{2})|([0-9]{3}[\.]?[0-9]{3}[\.]?[0-9]{3}[-]?[0-9]{2})

Em seguida, salve o arquivo com o seguinte nome: CPF-CNPJ.regexp e cole o mesmo no diretório mencionado no passo anterior, para facilitar a localização do filtro dentro da ferramenta copie e cole o arquivo CPF.png (clique aqui para baixar) dentro deste mesmo diretório, este será o ícone mostrado ao selecionar o filtro no produto. Caso prefira você pode copiar o arquivo "personal-id-num" e editá-lo.

3º Passo - Continuando no diretório em questão localize o arquivo "regex.properties", abra o arquivo e insira o seguinte texto:

NamedEntities.CPF-CNPJ.group = Named Entities
NamedEntities.CPF-CNPJ.title = CPF-CNPJ
NamedEntities.CPF-CNPJ.icon = CPF.png



Salve e feche o arquivo.


4º Passo - Ao criar um caso no Nuix, marque as opções de processamento de texto conforme abaixo, para habilitar o filtro de entidades.



5º Passo - Ao término do processamento clique em "View by > Entities".


Em seguida será apresentado o filtro criado CPF-CNPJ


Selecione o mesmo para que sejam exibidos os resultados obtidos.


Pronto !

Esta solução valida os seguintes formatos: 00000000000, 00000000000000, 000.000.000-00, 00.000.000/0000-00 e 000000000-00 ou 00000000/0000-00, Os pontos e traços são opcionais em cada uma das posições.

O que não é aceito, por exemplo é o padrão: 000-000-000-00, que pode ser acrescentado sem nenhum problema.

Espero ter ajudado !

segunda-feira, 20 de março de 2017

Como extrair a chave e a base de dados do Whatsapp com crypt12 em dispositivos Android e analisar as conversas extraídas sem software forense



Neste post irei demonstrar como obter a chave de criptografia do Whatsapp com crypt12, e a base de dados das conversas, e como analisar os dados obtidos sem o uso de uma ferramenta forense.

Este método funciona somente com o Android 4.0 ou superior.

PRÉ REQUISITOS:

1. Computador com sistema operacional Windows, Linux ou Mac.
2. JAVA (clique aqui)
3. Depuração USB habilitada (Configurações > Opções de desenvolvedor > Depuração USB)



4. WhatsappKeyDBExtractorMaster (clique aqui)
5. Whatsapp Viewer (Clique aqui)

INSTRUÇÕES:

A. Extrair o conteúdo do arquivo WhatsApp-Key-DB-Extractor-master.zip para sua área de trabalho (mantenha a estrutura de diretórios).

B. Execute o arquivo WhatsAppKeyDBExtract.bat(Windows), ou WhatsAppKeyDBExtract.sh (Mac OS X / Linux).


C. Certifique-se que a tela do aparelho esteja desbloqueada e conecte o dispositivo utilizando o cabo USB, fazendo isso o sistema irá iniciar a extração da chave e da base de dados automaticamente. 
NOTA: Aceite qualquer mensagem que apareça na tela do aparelho.




D. Após a concluir a extração da chave será necessário a realização de um backup para se obter a base de dados da aplicação, nesse momento será exibido uma mensagem solicitando o desbloqueio novamente do aparelho (caso este não tenha sido desabilitado), portanto basta desbloquear o aparelho e clicar em "Fazer Backup dos meus dados" no próprio dispositivo e clicar em ENTER no programa.


E. Verifique os arquivos extraídos na pasta do programa, diretório "extracted".





F. Para analisar os dados obtidos basta executar o Whatsapp Viewer, clicar em File > Open, e adicionar a base de dados (msgstore) e o arquivo (wa).



Pronto ! Agora é só navegar nas conversas extraídas. Vale ressaltar que o programa ainda permite a exportação dos dados obtidos nos formatos (.txt, html e JSON).



Boa Análise !!!



sexta-feira, 10 de março de 2017

Forense Móvel


A Computação móvel é uma realidade no Brasil, são cerca de 270 milhões de telefones celulares. Ou seja, supera o número de habitantes. No mesmo caminho da computação móvel em 2014 a venda de Tablets superou a venda de Notebooks. Com a crescente demanda de perícia em aparelhos celulares e com o mercado em constante evolução, sendo lançados inúmeros modelos de aparelhos a cada ano, as perícias em celulares podem demorar dias, com o perito digitando mensagem por mensagem. Assim, faz-se necessário que o perito tenha acesso a ferramentas que extraiam as informações dos celulares com agilidade e segurança, e que ainda seja capaz de criar uma rede de contatos e ligações entre os celulares periciados, sendo possível traçar uma comunicação entre casos ou crimes que antes pareciam distintos. Além da necessidade de acompanhar a evolução tecnológica, os órgãos de perícia em computação forense necessitam de ferramentas forenses para atender as normas nacionais e internacionais. Nesse sentido é que se pretende adquirir os equipamentos para análise de dados de dispositivo móvel.

Uma dessas ferramentas é o UFED da Cellebrite, uma empresa israelense líder no mercado de forense móvel, e atualmente é a principal ferramenta utilizada pelas forças da lei do Brasil e do mundo. Sua plataforma permite que seja realizada a extração completa de um dispositivo móvel, seja esse um tablet, smartphone, modem 3G entre outros, mesmo que o dispositivo esteja bloqueado. Ele ainda possui a capacidade de analisar vínculos provenientes de múltiplas extrações, afim de identificar se existe algum tipo de relação entre os envolvidos, além de ter a capacidade de realizar extração de dispositivos com chipsets chineses, entre outras funcionalidades e aplicações.


Conheça mais sobre os produtos da Cellebrite em: http://www.cellebrite.com/pt 

quinta-feira, 9 de março de 2017

Procedimento para download de enscripts do EnCase:

Acessar o portal da Guidance Software em: https://www.guidancesoftware.com/app , em seguida clicar em “APPS”, logo abaixo serão exibidos alguns exemplos de enscripts disponíveis.



Em seguida serão apresentados alguns exemplos, mas também é possível realizar uma busca por algum tema ou objeto específico, ao encontrar o enscript que melhor atenda sua necessidade clique sobre ele para dar início ao processo de download do mesmo.





Vale ressaltar que alguns enscripts são pagos, mas a grande maioria é gratuita, um outro ponto refere-se a questão da extensão de alguns destes scripts, existem alguns que estão no formato (.enpack) e outros no formato (.enscript), portanto ai vai a diferença entre eles:

* .ENSCRIPT: Estes scripts podem ser manipulados (desde que se tenha conhecimento), no Encase pelo usuário, ou seja, seu código é aberto e pode ser alterado e/ou incrementado afim de atender melhor a necessidade de cada situação.

* .ENPACK: Estes scripts não podem ser manipulados pelo usuário, pois o seu código não está aberto para alteração, ou seja, deverá ser usado para o fim especifico ao qual foi desenvolvido.


 Após selecionar o APP desejado clique sobre o mesmo para ser direcionado a página onde será realizado o download do mesmo, prossiga clicando em “Download Now”.

Note que serão exibidas as informações sobre as ações do enscript ao executa-lo.




Fazendo isso seu download será realizado automaticamente daí basta inserir o arquivo no seguinte diretório C:\Program Files (x86)\EnCase8\EnScript e executar através da aplicação.

quinta-feira, 25 de agosto de 2016

Procedimento para Resolver Problemas de Processamento de Arquivos Lotus Notes no NUIX



Algumas pessoas tem enfrentado problemas ao tentar realizar o processamento de base de e-mail no formato NSF (Lotus Notes), no caso do Nuix apresentar algum erro ao abrir a base, ou mesmo processa-la porém não conseguir interpretar os arquivos, execute os procedimentos a seguir:

1º Inserir a base de dados e verificar se a mesma consegue ser aberta no “pré-filtro” da ferramenta.

Caso demore muito para abrir, pode ser que exista algum erro no arquivo, sendo assim siga as instruções abaixo:

2º Inserir o parâmetro (-DirectAccess=FALSE) no Target do atalho da aplicação no final da sintaxe existente.

TRUE: Copia novamente a base do arquivo NSF
FALSE: Não copia a base existente, utilizando apenas a base já existente




3º Utilizar apenas 02 workers, e disponibilizar mais memória de modo que exista harmonia de memória entre SISTEMA OPERACIONAL, WORKERS E APLICAÇÂO.

Neste exemplo utilizaremos a estação forense HARPIA com 64GB de RAM como modelo:

20GB de memória para aplicação
02 WORKERS com 20GB CADA
4GB de RAM para o S.O

E por fim Inserir os parâmetros abaixo no Target do atalho da aplicação

-Dnuix.processing.worker.timeout=720000
-Dnuix.nsf.notesExtractorTimeout=720000

Executando este procedimento sua base NSF será processada com sucesso, e os dados serão disponibilizados na interface do Sistema, possibilitando a análise das informações.


NOTA: Lembrando que no caso da base de dados exigir senha ou criptografia para abertura, esta deve ser inserida na parte de Descriptografia no menu de configurações de processamento, dúvidas sobre este procedimento podem ser obtidas no manual do produto. 

Diretrizes para Coleta e Preservação de Evidências Digitais




REFERÊNCIAS:
·         Norma Complementar nº 08/IN01/DSIC/GSIPR
·         ABNT NBR ISO/IEC 27037:2013
·         RFC 3227

TRATAMENTO: 
  
  

 IDENTIFICAÇÃO:

·         Envolve a busca, reconhecimento e documentação
·         Priorização com base na importância do ativo e na volatilidade da evidência digital
·         Possibilidade de evidências ou ativos ocultos (pendrives, partições criptografadas, etc)


ORDEM DE VOLATILIDADE:

1.Registradores, memória cache
2.Tabela de rotas, cache ARP, tabela de processos, RAM
3.Disco rígido

  
COLETA/AQUISIÇÃO:

·         Obtenção dos dispositivos computacionais envolvidos e geração de cópia da evidência digital
·         Disco rígido inteiro, partição ou arquivos selecionados
·         De acordo com o caso, acondicionar apropriadamente o dispositivo para futura aquisição
·         Evitar sempre que possível métodos que alterem a evidência digital
·         Documentar o processo
·         Outros materiais (papéis com senhas, cabos de alimentação, etc)

Impossibilidade de cópia da mídia completa:
·         –Ex.: disco muito grande, storage, serviço crítico, etc

Solução:
·         –Aquisição lógica (partições, diretórios ou arquivos relacionados ao incidente)


•Duas situações:
–dispositivo ligado
–dispositivo desligado


PRESERVAÇÃO:

·         Manutenção da integridade e (se for o caso) do sigilo dos dados coletados
·         Uso de funções de verificação:
–resumo criptográfico (hash)

·         Acondicionamento apropriado:
–Proteção contra choque, calor, umidade e magnetismo
  
REQUISITOS IMPORTANTES:

·         Fonte de tempo confiável (NTP / ON)
·         Registro de eventos dos ativos de informação
·         Registros de eventos (logs) armazenados por no mínimo 6 (seis) meses

·         Registro de auditoria armazenados remotamente

segunda-feira, 22 de agosto de 2016

Como utilizar Passware Kit Forensic com EnCase





Todos os usuários do EnCase podem utilizar o Passware Kit Forensic para detectar e decifrar arquivos criptografados em um caso, esta integração permite detectar mais de 250 tipos de arquivos criptografados e iniciar um processo de recuperação de senha, se necessário em poucos cliques.

Pré-requisitos:

  • EnCase 7.x ou posterior.
  • Passware Kit Forensic ( "Instalar para todos os usuários" opção selecionada).
How-To para EnCase v7 e Superior

1. Inicie o EnCase, crie um caso e abra sua evidência.
2. Clique em "Process Evidence". As informações sobre arquivos criptografados serão exibidos nas colunas "protection complexity" do EnCase.
3. Clique com o botão direito do mouse sobre o arquivo que você gostaria de abrir:



4. Escolha Open With -> Passware Kit . Uma sessão do Passware Kit Forensic será iniciada como um visualizador de arquivos e o processo de recuperação de senha será iniciado automaticamente bastando selecionar o tipo de ataque a ser utilizado.
5. Depois que o arquivo for descriptografado ou a senha for recuperada, você poderá abrir o arquivo diretamente no Passware Kit Forensic.

How-To para EnCase v6

Se você estiver usando o EnCase v6, você ainda pode usar os recursos de detecção de criptografia de Passware Kit Forensic via Enscript. A amostra marcadores enscript ou arquivos criptografados para posterior análise -.Passware Kit Forensic 10.3 ou posterior é necessária neste caso.
1. Inicie o EnCase, crie um caso e abra sua evidência.
2. Adicione C: \ Arquivos de Programas (x86) \ Passware \ Passware Kit \ EnCase \ PasswareSample.EnScript
3. Selecione as entradas que você gostaria de scanear.
4. Execute PasswareSample.EnScript
5. Todos arquivos criptografados ou protegidos por senha referentes as entradas serão marcados e as informações adicionais serão gravados no Console: