Dicas para Auxiliar no Processo de Quebra de Senhas de Arquivos

Durante um processo de análise forense quase sempre nos deparamos com arquivos com senha, que muitas vezes impedem que se possa dar prosseguimento ao processo. Diante deste problema comum resolvi apresentar neste artigo algumas dicas que podem ser úteis neste cenário e podem ser utilizadas com um software forense ou não.

Muitas vezes nos deparamos com arquivos criptografados, protegidos por senhas simples ou complexas, e acabamos sem saber por onde começar não é mesmo ?

Sabemos que o este tipo de procedimento requer um hardware potente, um software de qualidade, mas isso de nada adianta se não temos a menor idéia de quantos caracteres essa senha possui minimamente, se possui letras, números, caractere especial, espaço ou todos estes, o que pode ocorrer em muitos casos. E mesmo assim o processo pode levar horas, dias, semanas, meses ou ainda muitos anos.

Para tentar dimunuir todo este tempo que para nós é precioso, seguem abaixo algumas dícas que podem ser úteis antes de se começar um processo de quebra de senha.

1ª Dica - Teste as senhas mais comuns primeiro: Ao final de cada ano, uma lista com as 25 senhas mais usadas no mundo é divulgada em diversos sites como o da própria fabricante de antivírus Karspesky. Veja o exemplo abaixo:

TOP 25 das senhas mais comuns em 2016:

•123456 •123456789 •qwerty •12345678 •111111 •1234567890 •1234567 •password •123123 •987654321 

•qwertyuiop •mynoob •123321 •666666 •18atcskd2w •7777777 •1q2w3e4r •654321 •555555 •3rjs1la7qe

•google •1q2w3e4r5t •123qwe •zxcvbnm •1q2w3e

Essas são as mais fáceis de serem adivinhadas, então evite utilizá-las em suas contas pessoais, mas utilize-as primeiro durante a tentativa de quebra de senha.

2ª Dica - Faça uso de truques comuns: Além de tentar usar as senhas mais óbvias, existem outros métodos utilizados por profissionais. Eles sabem, por exemplo, que há 50% de chance de que a senha tenha uma ou mais vogais.

Esses são alguns dos truques que você deve conhecer:

* Caso a senha tenha um número, ele provavelmente será "1" ou "2" e geralmente estará no fim da palavra.

* Caso haja uma letra maiúscula na senha, ela provavelmente estará no começo da palavra e normalmente será seguida por uma vogal. 

3ª Dica - Verifique se a senha deve cumprir algum requisito: Alguns sites ou programas requerem um determinado comprimento (as senhas normalmente precisam de pelo menos seis caracteres), além de pelo manos um número, símbolo ou caractere especial.

Caso não tenha certeza dos requisitos, experimente criar uma conta no site, ou baixar uma demo do programa para descobri-los.

4ª Dica - Peça uma dica: Caso a opção de "pergunta secreta" esteja disponível, utilize-a na adivinhação da senha.

A pergunta secreta normalmente é algo como "Qual o nome do meio de sua mãe?" ou "Qual o nome de seu primeiro animal de estimação?".

Mesmo que você não saiba o nome do animal de estimação da pessoa, experimente alguns nomes comuns.

A pergunta secreta pode diminuir sua pesquisa significativamente caso você conheça informações pessoais do dono da conta. Por exemplo, é possível que você saiba a resposta caso a pergunta seja "Onde você nasceu?".

5ª Dica - Utilize nomes pessoais: Muitas pessoas, principalmente as mulheres, incluem nomes em suas senhas. Quase ninguém colocará o próprio nome, mas tente utilizá-lo também.

Esses são alguns nomes que você pode utilizar em suas tentativas:
* O nome do parceiro/parceira.
* Os nomes dos irmãos/irmãs.
* O nome do animal de estimação atual ou favorito.
* O nome do atleta ou time, principalmente se a pessoa for homem.
* O apelido atual ou de infância.

6ª Dica - Utilize números importantes: Muitas pessoas colocam datas especiais ou números da sorte em suas senhas. Algumas senhas são compostas apenas por números.

Experimente as opções abaixo sozinhas ou combine-as com uma das palavras que já descobriu. Esses são alguns dos modos de se utilizar os números em suas tentativas de adivinhação:

Utilize das de aniversário. Por exemplo, caso ela tenha nascido em 18/12/75, digite "181275" ou "18121975".
* Utilize o número da casa da pessoa.
* Utilize o número da sorte da pessoa.
* Caso a pessoa já tenha praticado algum esporte, utilize o número da camisa dela como parte da senha.
* Utilize uma parte do número de telefone da pessoa.
* Utilize o ano de formação da faculdade ou do ensino médio da pessoa.

7ª Dica - Descubra as preferências da pessoa: Experimente uma das opções abaixo:

* O programa de TV preferido (Os personagens do Game of Thrones tem sido lider nesse quesito Rsrsrs)
* O filme preferido
* A comida preferida
* O livro preferido

E por fim você economizará muito tempo se souber quantas letras existem na senha ou ao menos tiver uma noção. Se você conhece bem a pessoa, pense nos interesses e hobbies dela para facilitar o processo.

A senha pode conter letras maiúsculas, minúsculas, caracteres especiais e números misturados. Lembre-se disso, muitas vezes as senhas contém verbos ao invés de substantivos.

Espero ter ajudado !

Até o próximo post.

NUIX - Criando filtro para localizar CPF e CNPJ

Olá pessoal, resolvi escrever este post para ajudar algumas pessoas que tem se deparado com o problema de como editar a entidade no Nuix, que realiza busca por CPF que por padrão vem configurado para encontrar somente o SSN US (CPF Americano), de antemão vou demonstrar o passo a passo para alterar somente este parâmetro mas, o procedimento serve para os demais filtros de ENTIDADES da ferramenta. Além disso o código foi desenvolvido para encontrar também padão de CNPJ.

Vale ressaltar que deve-se possuir privilégios administrativos no diretório de instalação do sistema.

Cabe destacar ainda que alguns filtros de entidade do NUIX funcionam com REGEX (Expressões Regulares), para quem não tem muito conhecimento sobre esta técnica de desenvolvimento segue o link para maiores detalhes: Aprenda REGEX. Este procedimento funciona para as versões 6 e 7 do produto. Então vamos lá !

1º Passo - Acessar o diretório C:\Program Files\NUIX\NUIX (versão)\user-data\Named Entities, caso tenha instalado no diretório padrão, caso contrário basta acessar o diretório de instalação do produto e procurar pelo diretório user-data\Named Entities.

2º Passo - Crie um arquivo utilizando o Bloco de Notas do Windows ou Notepad++, e cole o seguinte texto:

# Regular expressions matching CPF BRL numbers.
# TODO: add more CPF here.

# Matches CPF and CNPJ BRL
([0-9]{2}[\.]?[0-9]{3}[\.]?[0-9]{3}[\/]?[0-9]{4}[-]?[0-9]{2})|([0-9]{3}[\.]?[0-9]{3}[\.]?[0-9]{3}[-]?[0-9]{2})

Em seguida, salve o arquivo com o seguinte nome: CPF-CNPJ.regexp e cole o mesmo no diretório mencionado no passo anterior, para facilitar a localização do filtro dentro da ferramenta copie e cole o arquivo CPF.png (clique aqui para baixar) dentro deste mesmo diretório, este será o ícone mostrado ao selecionar o filtro no produto. Caso prefira você pode copiar o arquivo "personal-id-num" e editá-lo.

3º Passo - Continuando no diretório em questão localize o arquivo "regex.properties", abra o arquivo e insira o seguinte texto:

NamedEntities.CPF-CNPJ.group = Named Entities
NamedEntities.CPF-CNPJ.title = CPF-CNPJ
NamedEntities.CPF-CNPJ.icon = CPF.png

Salve e feche o arquivo.


4º Passo - Ao criar um caso no Nuix, marque as opções de processamento de texto conforme abaixo, para habilitar o filtro de entidades.

5º Passo - Ao término do processamento clique em "View by > Entities".

Em seguida será apresentado o filtro criado CPF-CNPJ

Selecione o mesmo para que sejam exibidos os resultados obtidos.

Pronto !

Esta solução valida os seguintes formatos: 00000000000, 00000000000000, 000.000.000-00, 00.000.000/0000-00 e 000000000-00 ou 00000000/0000-00, Os pontos e traços são opcionais em cada uma das posições.

O que não é aceito, por exemplo é o padrão: 000-000-000-00, que pode ser acrescentado sem nenhum problema.

Espero ter ajudado !

Como extrair a chave e a base de dados do Whatsapp com crypt12 em dispositivos Android e analisar as conversas extraídas sem software forense

Neste post irei demonstrar como obter a chave de criptografia do Whatsapp com crypt12, e a base de dados das conversas, e como analisar os dados obtidos sem o uso de uma ferramenta forense.

Este método funciona somente com o Android 4.0 ou superior.

PRÉ REQUISITOS:

1. Computador com sistema operacional Windows, Linux ou Mac.

2. JAVA (clique aqui)

3. Depuração USB habilitada (Configurações > Opções de desenvolvedor > Depuração USB)

4. WhatsappKeyDBExtractorMaster (clique aqui)

5. Whatsapp Viewer (Clique aqui)

INSTRUÇÕES:

A. Extrair o conteúdo do arquivo WhatsApp-Key-DB-Extractor-master.zip para sua área de trabalho (mantenha a estrutura de diretórios).

B. Execute o arquivo WhatsAppKeyDBExtract.bat(Windows), ou WhatsAppKeyDBExtract.sh (Mac OS X / Linux).

C. Certifique-se que a tela do aparelho esteja desbloqueada e conecte o dispositivo utilizando o cabo USB, fazendo isso o sistema irá iniciar a extração da chave e da base de dados automaticamente. 

NOTA: Aceite qualquer mensagem que apareça na tela do aparelho.

D. Após a concluir a extração da chave será necessário a realização de um backup para se obter a base de dados da aplicação, nesse momento será exibido uma mensagem solicitando o desbloqueio novamente do aparelho (caso este não tenha sido desabilitado), portanto basta desbloquear o aparelho e clicar em "Fazer Backup dos meus dados" no próprio dispositivo e clicar em ENTER no programa.

E. Verifique os arquivos extraídos na pasta do programa, diretório "extracted".

F. Para analisar os dados obtidos basta executar o Whatsapp Viewer, clicar em File > Open, e adicionar a base de dados (msgstore) e o arquivo (wa).

Pronto ! Agora é só navegar nas conversas extraídas. Vale ressaltar que o programa ainda permite a exportação dos dados obtidos nos formatos (.txt, html e JSON).

Boa Análise !!!

Forense Móvel

A Computação móvel é uma realidade no Brasil, são cerca de 270 milhões de telefones celulares. Ou seja, supera o número de habitantes. No mesmo caminho da computação móvel em 2014 a venda de Tablets superou a venda de Notebooks. Com a crescente demanda de perícia em aparelhos celulares e com o mercado em constante evolução, sendo lançados inúmeros modelos de aparelhos a cada ano, as perícias em celulares podem demorar dias, com o perito digitando mensagem por mensagem. Assim, faz-se necessário que o perito tenha acesso a ferramentas que extraiam as informações dos celulares com agilidade e segurança, e que ainda seja capaz de criar uma rede de contatos e ligações entre os celulares periciados, sendo possível traçar uma comunicação entre casos ou crimes que antes pareciam distintos. Além da necessidade de acompanhar a evolução tecnológica, os órgãos de perícia em computação forense necessitam de ferramentas forenses para atender as normas nacionais e internacionais. Nesse sentido é que se pretende adquirir os equipamentos para análise de dados de dispositivo móvel.

Uma dessas ferramentas é o UFED da Cellebrite, uma empresa israelense líder no mercado de forense móvel, e atualmente é a principal ferramenta utilizada pelas forças da lei do Brasil e do mundo. Sua plataforma permite que seja realizada a extração completa de um dispositivo móvel, seja esse um tablet, smartphone, modem 3G entre outros, mesmo que o dispositivo esteja bloqueado. Ele ainda possui a capacidade de analisar vínculos provenientes de múltiplas extrações, afim de identificar se existe algum tipo de relação entre os envolvidos, além de ter a capacidade de realizar extração de dispositivos com chipsets chineses, entre outras funcionalidades e aplicações.

Conheça mais sobre os produtos da Cellebrite em: http://www.cellebrite.com/pt 

Procedimento para download de enscripts do EnCase:

Acessar o portal da Guidance Software em: https://www.guidancesoftware.com/app , em seguida clicar em “APPS”, logo abaixo serão exibidos alguns exemplos de enscripts disponíveis.

Em seguida serão apresentados alguns exemplos, mas também é possível realizar uma busca por algum tema ou objeto específico, ao encontrar o enscript que melhor atenda sua necessidade clique sobre ele para dar início ao processo de download do mesmo.

Vale ressaltar que alguns enscripts são pagos, mas a grande maioria é gratuita, um outro ponto refere-se a questão da extensão de alguns destes scripts, existem alguns que estão no formato (.enpack) e outros no formato (.enscript), portanto ai vai a diferença entre eles:

* .ENSCRIPT: Estes scripts podem ser manipulados (desde que se tenha conhecimento), no Encase pelo usuário, ou seja, seu código é aberto e pode ser alterado e/ou incrementado afim de atender melhor a necessidade de cada situação.

* .ENPACK: Estes scripts não podem ser manipulados pelo usuário, pois o seu código não está aberto para alteração, ou seja, deverá ser usado para o fim especifico ao qual foi desenvolvido.

 Após selecionar o APP desejado clique sobre o mesmo para ser direcionado a página onde será realizado o download do mesmo, prossiga clicando em “Download Now”.

Note que serão exibidas as informações sobre as ações do enscript ao executa-lo.

Fazendo isso seu download será realizado automaticamente daí basta inserir o arquivo no seguinte diretório C:\Program Files (x86)\EnCase8\EnScript e executar através da aplicação.