Trabalho de Conclusão do curso de pós graduação em Computação Forense da Universidade Mackenzie. Ano de conclusão 2013

1. UNIVERSIDADE PRESBITERIANA MACKENZIE
JÚLIO CÉSAR ROQUE BENATTO
GERAÇÃO DE IMAGEM FORENSE E EXTRAÇÃO DE DADOS EM
IPAD UTILIZANDO ADAPTADOR USB
São Paulo
2013

2. UNIVERSIDADE PRESBITERIANA MACKENZIE
PÓS-GRADUAÇÃO EM COMPUTAÇÃO FORENSE
JÚLIO CÉSAR ROQUE BENATTO
GERAÇÃO DE IMAGEM FORENSE E EXTRAÇÃO DE DADOS EM
IPAD UTILIZANDO ADAPTADOR USB
Trabalho de Conclusão de Curso
apresentado à Universidade Presbiteriana
Mackenzie como requisito parcial à
obtenção do diploma em Especialização
em Computação Forense (Lato Sensu)
ORIENTADORA: Profa
. Ma
. Ana Cristina Azevedo
São Paulo
2013

3. A minha família e amigos, pela paciência,
apoio e companheirismo, determinantes em
nossas conquistas pessoais e profissionais.

4. Agradecimentos
Ao Prof. Esp. Fernando Luiz Carbone, pelas experiências e conhecimento técnico
transmitido, preponderantes a este trabalho.
À Dra. Camilla do Vale Jimene, pelo domínio da regra e da palavra, e pela passagem de
cultura de forma tão clara e direta.
Ao Professor Domingo Montanaro, por ter transmitido o que é amar uma profissão, pela
honestidade em ensinar o que realmente importa sem rodeios, e sacrifícios em prol dos
alunos.
Aos amigos José Francci Neto e Rafael Leonardo Martin, pelos momentos
descontraídos, pela ajuda nos momentos críticos em que precisei, e pela total
disponibilidade nas horas difíceis.
À Profª. Mª. Ana Cristina Azevedo Pontes de Carvalho, pela clareza nas ideias, pela
coragem em mudar, pela força, e pela dedicação aos alunos.

5. “A motivação da vida científica é
composta pela vontade de descobrir
o desconhecido, aprimorar o
conhecido, concluir que este ciclo
não termina e jamais desistir.
Não há dinheiro no mundo que
pague o sabor de tais descobertas e
aprendizados.”
(Ulisses Thadeu Vieira Guedes)

6. RESUMO
O iPad da Apple é um dispositivo tablet popular hoje em dia, foi
apresentado pela Apple no início de 2010. Sua capacidade de
armazenamento de dados abre novas oportunidades no campo da
computação forense, dado que o seu design, tanto interno como externo, é
muito semelhante ao iPhone. A maneira mais fácil de obter uma imagem
forense sem utilizar ferramentas proprietárias, é instalar um servidor ssh, se
conectar ao dispositivo e transferir os dados via rede wireless a um host
remoto. Esta abordagem pode exigir até 20 horas, devido o tamanho do
dispositivo de armazenamento de dados do aparelho. Neste Trabalho é
apresentada uma nova abordagem que se aproveita de um recurso não
documentado para que seja possível usar um barato acessório do aparelho
iPad, o kit de conexão de câmera, possibilitando a criação da imagem
forense em um disco externo conectado via conexão USB, reduzindo o
tempo necessário para a transferência e criação do LEF (Logical Evidence
File)
Palavras-chave: Forense, iPad, cybercrime, Investigação Digital, Apple.

7. ABSTRACT
The Apple iPad is a tablet device popular nowadays, was presented by
Apple at the beginning of 2010. Your data storage capacity opens up new
opportunities in the field of computer forensics, since its design, both
internal and external, is very similar to the iPhone. The easiest way to get a
forensic image without using proprietary tools, is to install an ssh server,
connect to the device and transfer data via wireless network to a remote
host. This approach may require up to 8:0 pm, because of the size of the
data storage device. In this paper is presented a new approach that takes
advantage of a feature not documented so you can use a cheap device iPad
accessory, camera connection kit, enabling the creation of forensic image
on an external disk connected via USB connection, reducing the time
required for the transfer and creation of the LEF (Logical File Evidence)
Keywords: Forense, iPad, cybercrime, Digital Investigation, Apple.

8. SUMÁRIO
Sumário
1 INTRODUÇÃO........................................................................................................... 10
1.1 Justificativa........................................................................................................... 14
1.2 Problema e questão de pesquisa ........................................................................... 14
1.3 Objetivos............................................................................................................... 15
2 VISÃO GERAL DA ARQUITETURA DO IPAD ..................................................... 15
2.1 Principais características .......................................................................................... 16
2.2 Botões e conectores .................................................................................................. 16
2.3 Esquema de partição................................................................................................. 17
3. AQUISIÇÃO FORENSE DE DADOS DO DISPOSITIVO IPAD............................ 20
3.1 Configurações do dispositivo. .................................................................................. 20
3.2. Geração de imagem forense do dispositivo............................................................ 24
3.3 Montagem do disco rígido USB ............................................................................... 24
4 Obtendo a imagem forense.......................................................................................... 28
4.1 Reconstruindo a imagem forense ............................................................................. 29
4.2 Resultados e desempenho......................................................................................... 30
5 CONCLUSÃO............................................................................................................. 32
6 REFERÊNCIAS .......................................................................................................... 33

9. ÍNDICE DE FIGURAS
Figura 1. Configuração dos botões do Ipad...............................................................................17
Figura 2. Conexão do iPad via Kit de conexão de câmera para Disco rígido externo...............26
Figura 3.Taxa de transferência do sistema de imagem do iPad de 64GB...................................31

10. 1 INTRODUÇÃO
Dispositivos portáteis tornaram-se uma tecnologia muito importante em
nossa sociedade, permitindo o acesso a recursos de computação ou serviços
de forma onipresente. Sobre esse aspecto, os telefones móveis vêm
passando por uma grande transformação em seus últimos anos, se tornando
lentamente compactos computadores de bolso e que podem ser gerenciados
com uma mão. No entanto, como requisito a mais é incluso novas
funcionalidades além daquela que um celular realmente pode oferecer.
Tais dispositivos tentam chegar a um compromisso entre um alto grau de
portabilidade, usabilidade e capacidade de fornecer tais funcionalidades
avançadas (por exemplo, ser capaz de ler, criar ou processar documentos).
O concorrente mais recente no campo dos dispositivos portáteis
incorporado no mercado é o iPad da Apple, um computador tablet que tenta
tirar proveito do sucesso do seu antepassado, o iPhone. Ele foi anunciado
pela Apple em janeiro de 2010 e lançado nos Estados Unidos da América e
na Europa entre abril e maio de 2010.
“O iPad quebrou recordes da indústria no início de 2010, quando vendeu
3 milhões de unidades em seus primeiros 80 dias no
mercado”(INFORMATIONWEEK..., 2010).
Uma abordagem muito básica para a aquisição de dados do usuário pode
ser feita conectando o dispositivo através do cabo USB padrão a um
computador com iTunes, (player multimídia da Apple) que é responsável
pela sincronização do conteúdo para o dispositivo. Usando seu protocolo
AFC (Apple File Connect), o iTunes sincroniza as informações existentes
(contatos, calendário, contas de e-mails e aplicações) e pode até mesmo
recuperar um backup completo do dispositivo, no entanto esta ação
apresenta dois problemas:
O dispositivo precisa ser corretamente emparelhado com o software do
iTunes para que a sincronização seja efetuada com sucesso.

11. Mesmo se o investigador tem acesso ao backup do dispositivo através do
iTunes (instalado no computador pessoal do suspeito) não haverá acesso
aos espaços não alocados que possam conter dados que fora apagados e que
podem ser recuperados posteriormente.
Consequentemente, os métodos mais sofisticados são obrigatórios. No
entanto, o iPad é distribuído como um dispositivo fechado, ou seja, que o
acesso aos seus arquivos e dados internos são limitados e apenas aplicações
aprovados pela Apple podem ser instalados ou executados.
Com este conjunto de restrições em vigor, é extremamente difícil adquirir
qualquer tipo de dado forense.
Felizmente mesmo sendo um dispositivo novo sua arquitetura é muito
semelhante ao do iPhone e abordagens forenses podem ser facilmente
portados para o iPad.
Em 6 de julho de 2007, apenas uma semana após o iPhone ser lançado,
(GEORGE HORTZ, 2007) anunciou a existência de um método para se
obter um shell interativo e completo. Este foi o primeiro passo no sentido
de contornar as restrições da Apple a seus dispositivos, tornando possível
executar qualquer programa e não só os aprovados pela Apple; um processo
que vem sendo chamado de “Jailbreaking”. Em outras plataformas móveis,
como aquelas que executam sistemas operacionais como o Android do
Google, existe um processo similar que é conhecido como “Rooting”.
Vendedores normalmente não gostam desta técnica embora na maioria dos
países seja legal ou pelo menos não definidamente ilegal.
Se você precisar utilizar e defender esta técnica em um tribunal, você pode
fazer uma breve explicação do por que do “Jailbreaking” no dispositivo;
obtendo acesso total ao sistema e portanto tendo acesso as informações
armazenadas nele, sendo fundamental em casos criminais que exigem
análise forense destes tipos de dispositivos.
O processo de “Jailbreaking” modifica a partição do sistema sem causar
alteração na partição de dados, o que significa que não altera os dados do

12. usuário, um requisito muito importante na conclusão do processo de cadeia
de custódia.
Esse método também pode ser aplicado a um iPad e de fato todas as duas
grandes abordagens forense a fim de recuperar uma completa imagem do
dispositivo baseando-se em ultima instância no “Jailbreaking”.
A Abordagem principal foi proposta por ZDZIARSKI que observou que
“[...] o iPhone pode se comunicar através de várias diferentes mídias,
incluindo a porta serial, Wi-Fi 802.11 e Bluetooth. Devido às limitações do
Bluetooth no iPhone, os dois preferiram métodos através da porta serial e
Wi-Fi.” (ZDZIARSKI, 2008).
Ele propôs um método básico para a obtenção de uma imagem forense do
iPhone sem adulteração de dados do usuário, executando o Jailbreaking na
partição do dispositivo e usando acesso SSH e as ferramentas padrões do
UNIX, dd e netcat que com o tempo já havia sido portado como parte da
comunidade de Jailbreaking do iPhone. Métodos similares são explorados
por J.R. RABAIOTTI (2010) em um Xbox da Microsoft. No entanto não
havia uma forma conhecida e pública para se comunicar com o dispositivo
através de sua porta serial, então ZDZIARSKI, (2008) criar e envia uma
imagem forense através da interface de dispositivo Wi-Fi, porém sendo
muito lenta a transferência.
Abordagens alternativas são oferecidas por alguns fornecedores de
softwares (KATANA FORENSICS, 2010), (FORENSIC
TELECOMMUNICATIONS), que desenvolveram soluções que usam
técnicas bastante incomuns para obter uma extração da unidade de
armazenamento do aparelho. É geralmente utilizando falhas conhecidas nas
versões do iOS que se consegue acesso indevido e não aprovado ao sistema
e com isso pode –se comprometer os dados extraídos em forma de imagem
forense. No entanto, esses fornecedores não precisam instalar um conjunto
completo de ferramentas no dispositivo, em vez disso, eles tendem a fazer
um upload no aparelho, de um compacto agente que ira assumir o controle

13. do sistema, executar a extração do disco sólido através da porta serial
(conector Dock) e, em seguida reiniciar o dispositivo sem copiar todos os
dados da partição de armazenamento interno do iPad.
Estes métodos oferecem algumas vantagens sobre a abordagem do
jailbreaking, sendo um processo mais simples, mais fácil de executar e
deixando pouco ou nenhum rastro de como adquiriu a extração dos dados
do dispositivo. No entanto, também tem alguns pontos fracos. Primeiro e
mais importante, qualquer método proprietário faz uso de um exploit contra
vulnerabilidades de versões do sistema operacional do dispositivo, por que
é a única maneira de tomar controle do sistema e contornar a restrição do
fornecedor. Sendo assim cada atualização do iOS (Geralmente são baixados
via iTunes a cada alguns meses), os softwares de análise forense também
precisam ser atualizados já que em cada atualização do sistema
operacional correções são efetuadas não permitindo a exploração da falha
anterior novamente.
JANSEN (2008) identifica “[...] a latência na cobertura dos modelos de
telefones recentemente disponíveis nas ferramentas forenses” é um dos
problemas em se trabalhar com softwares proprietários de análise forense,
ao contrário do método jailbreak do iPad que se desenvolve em um curto
período de tempo, entre 1 e 5 dias após o lançamento da atualização de um
sistema iOS, ao passo que as ferramentas forenses proprietárias necessitam
de mais tempo pra se atualizarem para novas versões do sistema
operacional.
Além disso, muitos destes métodos proprietários de análise forense estão
fechados e carece de falta de documentação aberta ao público. Portanto eles
são difíceis de auditar e não pode se garantir que não comprometeram a
imagem forense ao extrair os dados, ponto em risco toda cadeia de custódia
envolvida no caso.
Embora até mesmo alguns métodos proprietários possam ser apropriados a
uma análise forense no dispositivo, os fornecedores desses produtos podem

14. falhar em liberar alguma atualização pra novos dispositivos ou sistemas
operacionais lançados no mercado, resultando em uma descontinuidade do
produto por falta de atualização.
A nossa abordagem através do Jailbreaking parece ser suscetível ao tempo,
garantindo uma ampla variedade de versões do iOS, incluindo versões
futuras do sistema.
1.1 Justificativa
Dada a sua popularidade, evidencia-se que tais dispositivos estão se
tornando cada vez mais comuns e já são relevantes fontes de evidência, de
um ponto de vista de análise forense computacional, fornecendo dados
sobre seus usuários. Tais dados podem se tornar muito importante em caso
de investigação de crimes, onde ele pode ser usado como meio de prova
para o tribunal ou pode fornecer pistas valiosas para os investigadores.
1.2 Problema e questão de pesquisa
Estes avançados dispositivos portáteis são geralmente fechados,
incorporando sistemas proprietários e não sendo totalmente idênticos a
sistemas de computadores comuns. A aquisição de dados forenses nestes
dispositivos apresenta alguns desafios interessantes, especialmente quando
é necessário manter a integridade do sistema na qual a cadeia de custódia
precisa ser mantida em perfeito estado.
Atualmente o método mais fácil de obter uma imagem forense de um
dispositivo iPad (pode ser aplicado à um dispositivo iPhone) sem utilizar
ferramentas proprietárias (como Guidence Encase ou FTK), é instalar um
servidor openssh, se conectar ao dispositivo e transferir os dados via rede
wireless a um host remoto. Esta abordagem pode exigir até 20 horas,
devido o tamanho do dispositivo de armazenamento de dados do aparelho.

15. 1.3 Objetivos
Neste Trabalho é apresentado uma nova abordagem que se aproveita de um
recurso não documentado para que seja possível usar um barato acessório
do aparelho iPad, o kit de conexão de câmera, possibilitando a criação da
imagem forense em um disco externo conectado via conexão USB,
reduzindo o tempo necessário para a transferência e criação do LEF
(Logical Evidênce File), além disso, como uma contribuição adicional, o
trabalho apresentado se assegura que o volume de dados não é modificado
durante o processo de aquisição.
O trabalho esta estruturado da seguinte forma:
Seção 2 fornece uma visão geral da arquitetura do iPad, focando nas
características especialmente relevantes para uma análise do ponto de vista
forense. Na seção 3, uma revisão da literatura apresentando atuais técnicas
de análise forense em dispositivos da Apple.
Na seção 4 é descrito a proposta do método de aquisição de dados forenses
apresentado no presente experimento.
Na seção 5 conclui-se o trabalho, apresentando contribuições para futuros
artigos.
2 VISÃO GERAL DA ARQUITETURA DO IPAD
A partir do ponto de vista externo, o Ipad é basicamente um iPhone
(24x19cm) grande, com uma tela de 9,7”, proporcionando uma resolução
de 1024x768. Enquanto seus hardwares internos são muito semelhantes
aos de seu antecessor, por ser de maior dimensão o torna adequado para
utilização de períodos mais longos, motivando a aparição de muitas
aplicações diferentes de outros dispositivos e aparelhos smartphones.
Por isso o iPad é capaz de executar tarefas anteriormente reservadas aos
computadores comuns ou , até certo ponto, netbooks.

16. 2.1 Principais características
Os hardwares internos do iPad basicamente são:
• Processador: Processador personalizado Apple A4 ARM baseado em
um single-core Cortex-A8, rodando a 1GHz.
• Memória Volátil: 256 MB DRAM.
• Memória não Volátil: 16, 32 ou 64 GB SSSD (Solid State Storage
Drive)
• Conexão Wireless: 802.11 a/b/g/n e bluetooth 2.1, o mesmo do
iPhone.
• Além disso, o modelo 3G possui uma A-GPS (GPS assistido) e o
hardware de comunicação sobre UMTS/HSDPA (820, 1900 e 2100
MHz) e GSM/EDGE (850, 900, 1800 e 1900 MHz.)
No processo descrito neste trabalho, iremos usar a rede wireless (802.11) e
o conector “Dock” do iPad, descrito na próxima seção.
2.2 Botões e conectores
Os conectores e botões do iPad são similares aos do iPhone, além disso o
modelo 3G quando colocado na posição lateral pode-se identificar os
seguintes botões.
• Canto esquerdo superior: encaixe de 3,5” capaz de funcionar
simultaneamente para várias funcionalidades de áudio.
• Canto direito superior: Botão “Lock”
• Margem direita próxima ao topo: Controles de volume e mudo.
• Centro inferior da face frontal: Botão redondo “HOME”
• Centro inferior na borda do aparelho (Abaixo do botão “HOME”):
Conector padrão Apple de “Dock” 30 pinos, o mesmo usado no
iPhone e maioria dos iPods.
A figura 1 mostra a função de cada tecla. Nota-se que o botão “Lock”
executa diversas funções, quando o dispositivo esta desligado ele irá ligar o
aparelho, um curto toque vai ativar ou desativar o modo “sleep” no

17. aparelho, executando uma pressão mais longa irá mostrar uma caixa de
dialogo informando o desligamento. Para maior clareza neste trabalho
vamos fazer referência a esse botão apenas como “Lock”.
A configuração do botão é importante, pois como será explicado na seção
4.1.1 pode ser necessário colocar o dispositivo em modo DFU (“Download
Firmware Update”) para realizar a aquisição da imagem forense.
Quando for necessário o software instalado em sua versão padrão instruirá
o usuário a pressionar uma combinação de botões para que o dispositivo
entre em modo DFU (“Download Firmware Update”).
Figura 1. Configuração dos botões do Ipad (iOS 4 ou superior).
2.3 Esquema de partição
Como observado por ZDZIARSKI (2008) todos os dispositivos que
pertencem à família iPhone contém duas partições:

18. 1) Uma grande partição de dados de usuários, mantendo todas as
aplicações extras instaladas, bem como todos os dados do usuário.
2) Uma pequena partição de sistema contendo o iOS e aplicações
básicas.
Do ponto de vista forense, tanto os dados do usuário quanto a partição em
que estão rodando aplicativos do iPad, podem armazenar informações
importantes de empresas ou softwares de edição de textos como o
QuickOffice Connect Mobile Suite (QUICKOFFICE Inc., 2010) ou o
software da Apple iWork Suite (APPLE COMPUTER Inc., 2010). Esses
softwares podem conter documentos de textos ou folhas de cálculo,
propensas a desvio de informações financeiras incluindo dados sensíveis.
Embora aplicações similares existam no iPhone, permitindo a adição de
documentos sem a necessidade de um computador externo, o fator iPad
sem dúvida impulsionará a existência de documentos criados e
armazenados apenas dentro do dispositivo (e não por exemplo, no
computador principal do suspeito) sendo editado e que poderá nunca sair
do iPad (Com a possível exceção de backups de dispositivos realizado pelo
iTunes).
Outra possível fonte de informação encontra-se dentro do framework Apple
AirPrint lançado em novembro de 2010 como uma característica do iOS
4.2 (APPLE AIRPRINT, 2010), capaz de fornecer impressões nativas para
o iPhone e iPad. Mas muito antes do AirPrint ser lançado outras aplicações
tais como o PrintCentral (EUROSMARTZ LTD, 2010) já permitia enviar a
maioria dos tipos de documentos para uma impressora remota (Ligado a
um computador com software apropriado)
Caches em disco destas aplicações são suscetíveis a armazenar informações
relevantes, tais como cópias de documentos impressos.
A Partição do sistema contém o iOS básico que vem dentro de cada
atualização do software iOS. Este inclui o núcleo do sistema operacional e
a interface gráfica do usuário, como o conjunto padrão de aplicativos

19. empacotados, tais como: Safari, Mail, calendário, iPod, etc. (isso explica o
por que das centenas de megabytes destas atualizações)
Note que apenas os binários do aplicativo se encontram dentro desta
partição, já que os dados relevantes (por exemplo, e-mail do usuário) são
armazenados na partição de dados.

20. 3. AQUISIÇÃO FORENSE DE DADOS DO DISPOSITIVO IPAD.
Nesta seção será descrito um método rápido de extração de imagem forense
através de uma conexão USB do dispositivo iPad.
O método é divido em duas fases gerais: Instalação do dispositivo e
imagem. Cada fase é também dividida em várias sub etapas, que devem ser
sequencialmente seguidas a fim de ter o máximo de aproveitamento na
aquisição.
Este trabalho não tem o objetivo mostrar instruções detalhadas sobre como
executar o Jailbreak no iPad. A descrição somente irá focar na técnica de
extração para recuperar os dados do usuário de um iPad já com Jailbreak.
3.1 Configurações do dispositivo.
Como mencionado na seção 3 antes de se tentar qualquer análise forense,
uma configuração especial no dispositivo é necessário para contornar as
restrições de acesso instaladas pelo fabricante uma vez que esse
procedimento é de baixo nível liberando acesso ao sistema do dispositivo.
Além disso, é necessário instalar alguns pacotes extras pra nossa
abordagem proposta.
O caminho para realizar o jailbreak varia dependendo da versão do iOS
instalada no dispositivo. Um iPad rodando iOS 3.2.1 (o iOS versão inicial
pré-instalada na maioria dos iPads) pode ser realizado o jailbreak apenas
navegando até “http://www.jailbreakme.com”, um site que explora uma
falha conhecida no safari para assumir o controle do sistema. A
documentação desta falha pode ser encontradas em (COMEX..., 2010).
Para uma completa ferramenta gráfica sobre Jailbreak para cada versão do
iOS, veja (JAILBREAK MATRIX, 2010).
Muitas ferramentas de jailbreak (redsn0w, Pwnage Tool, etc) exigirá que o
usuário coloque o dispositivo em modo DFU, através de uma combinação

21. de pressão nos botões “Lock” e “Home”. Quando isso for necessário, o
software vai dar ao usuário as instruções necessárias.
É muito improvável que encontraremos um iOS não vulnerável a Jailbreak,
exemplo é o iOS 4.2.1 (as primeiras versões iOS 4 para iPad) foi lançado
em 22 de novembro de 2010, e a ferramenta para realização do Jailbreak
(no caso a redsn0w) foi lançada no dia seguinte (IPHONE DEV TEAM...,
2010).
Uma vez que fora lançado uma nova versão do iOS, os primeiros métodos
de Jailbreak provavelmente serão limitados, significa que só será eficaz
enquanto o sistema operacional estiver sendo executado, no momento em
que o sistema for reinicializado o jaikbreak será perdido e o procedimento
terá que ser repetido. Além disso, algumas ferramentas ou aplicativos
internos (exemplo o Safari) não irão funcionar corretamente e no pior dos
casos o dispositivo pode falhar e não funcionar corretamente.
Novamente afirmo que isso é apenas temporário, até que uma ferramenta
de jailbreak do aparelho seja atualizada ou recriada e seja compatível com
as configurações do novo sistema operacional.
Pode parecer óbvio, mas é necessário ter a bateria carregada pelo menos
cerca de 20%.
Isso ocorre por que durante o processo de geração da imagem, o conector
“iPad Dock” será usado para transferência de dados via USB, então não vai
ser possível ligar o dispositivo a um ponto de energia.
Depois de executado o Jailbreak no aparelho, um novo aplicativo intitulado
CYDIA (SAURIK, 2008) irá aparecer na tela inicial. Este é o gerenciador
de software que permite a instalação de softwares não aprovados pela
Apple.
Quando executado pela primeira vez, o CYDIA inicializa o sistema de
arquivos e saídas do dispositivo. Na próxima execução, ele apresenta um
alerta, Quem é você? Oferecendo três opções; escolheremos a opção
desenvolvedor (Sem Filtros), pois oferece a maior variedade de software.

22. Depois se houver atualizações disponíveis para instalação, recomenda-se
realizar por completo as atualizações. O dispositivo irá reiniciar,
reabriremos o CYDIA novamente e se houver alguma mensagem de
upgrade, o processo terá que ser repetido.
Uma vez que CYDIA terminou suas atualizações, usamos a função
“pesquisar” para localizar e instalar os seguintes pacotes:
OpenSSh – Este pacote contém o servidor SSH que iremos usar para
acessar o iPad.
Coreutils – Este pacote contém o comando “split” que é necessário cuja
utilização será exposta mais tarde.
A ferramenta mais importante para este procedimento é o “dd” que não
precisa ser instalado, pois já esta dentro do pacote “coreutilsbin” instalado
por padrão como parte do processo de Jailbreaking.
É necessário conectar o iPad a uma rede sem fio. Outro computador nessa
rede será usado para acessar o iPad via SSH.
A comunicação entre o computador e o iPad será por SSH portanto
criptografada. No entanto recomendamos usar criptografia no protocolo de
rede sem fio e o ideal é usar a rede isolada somente entre o computador e o
iPad. Isso ocorre por que há uma pequena janela de tempo em que o
dispositivo será acessível com senhas padrão. Há pelo menos um worm
conhecido que se aproveita dessa janela e penetra em dispositivos iOS com
jailbreak, usando as credenciais padrão. (SOPHOS SECURITY..., 2009).
Embora hoje em dia seja muito difícil encontrar esse worm rodando em
computadores.
Para se conectar a uma rede sem fio, usaremos a seção relevante dentro do
aplicativo de “configurações”. Se nenhuma rede sem fio estiver disponível,
um computador portátil pode ser usado para criar uma rede “AD-HOC”
disponibilizando o sinal sem fio para o iPad.
O botão azul ao lado do nome da rede revela o endereço IP em uso
(geralmente adquirido via DHCP) e permite ao usuário especificar

23. manualmente um endereço IP se necessário. O endereço IP deve ser
observado, pois com ele será necessário mais tarde utilizar para acessar o
iPad do computador remoto.
Ainda no aplicativo “Settings”, seção “Geral”, a opção “Auto-Lock” deve
ser definida como “Nunca”. Isto impedirá o dispositivo de entrar em modo
“Sleep” enquanto a imagem forense está sendo gerada, oque poderia
interromper o processo. Quando não estiver em uso, o dispositivo deve ser
bloqueado (Usando o botão de bloqueio; ver seção2) para economizar
bateria.
Não foi testado se a capacidade de multitarefa e Wi-Fi persistente no iOS4
permitiria que o processo de aquisição de imagem ocorra enquanto o
dispositivo estiver bloqueado. De qualquer forma, devido o processo ser
um pouco demorado para dispositivos com grande capacidade de
armazenamento, recomenda-se manter o sistema ativo.
Encontramos pelo menos duas maneiras de aplicar esse método sem usar
um computador remoto, embora ambos apresentem complicações
adicionais no processo.
Por um lado é possível instalar o “Terminal Móvel” em vez do OpenSSH e
usar o aplicativo terminal no iPad, montar o disco rígido e enviar a imagem
para ele. No entanto até o momento o “Terminal Móvel” não funciona em
versões do iOS 4.x e este software tem uma longa história de atrasos de
atualização para dar suporte a versões antigas do iOS. Por outro lado, uma
abordagem diferente seria instalar o “OpenSSH” e executar o cliente SSH
no próprio iPad, embora manter este aplicativo em execução durante a
geração da imagem forense é suscetível a alterações dos dados,
comprometendo toda cadeia de custódia da evidencia extraída. Neste
método também não é possível remontar a partição em “somente leitura”
como será explicado na seção 4.2.1.

24. 3.2. Geração de imagem forense do dispositivo
Uma vez que o dispositivo está conectado a uma rede sem fio, outro
computador na mesma rede é usado para conectar o iPad via SSH. Usando
esta conexão, é possível remotamente emitir comandos para o dispositivo
para iniciar o processo de extração da imagem.
Neste momento, o iPad é acessível via senha padrão, que funciona para
ambos os usuários, assim como o usuário root na qual tem acesso completo
ao dispositivo. A maneira correta de proceder seria acessar o iPad via SSH
com o usuário root e imediatamente alterar sua senha e a senha da conta do
usuário móvel, usando o comando PASSWD.
3.3 Montagem do disco rígido USB
Nesta etapa será usado o kit de conexão de câmera para iPad (APPLE
COMPUTER Inc., 2010) a fim de acessar uma unidade de disco rígido
externo via USB. De acordo com a Apple, “[...]o kit de conexão de câmera
para iPad possibilita duas maneiras de importar vídeos e fotos de uma
câmera digital: usando o cabo USB de sua câmera ou diretamente de um
cartão SD” (APPLE COMPUTER Inc., 2010). Trata-se assim de dois
adaptadores, um deles sendo um leitor de cartão SD e o outro um conector
USB fêmea, ambos esses conectores podem ser plugados (um de cada vez)
no conector Dock do iPad, abaixo do botão “HOME”.
Informações iniciais do fornecedor sugeriram que o adaptador USB utiliza
apenas o protocolo PTP (ISO, 2008) para acessar as imagens armazenadas
em uma câmera, e que uma câmera real com seu cabo de transferência
USB, deve ser ligada desse conector para o adaptador, sendo assim possível
importar as imagens. Quando isso for feito, o aplicativo de foto é executado
e permite ao usuário transferir fotos e vídeos dos meios de comunicação
ligados a memória interna do iPad.

25. No entanto, sabe-se que o iPad implementa o protocolo de classe de
dispositivo de armazenamento em massa USB. Assim, o iPad pode montar
o disco inserido (independente de ser um disco rígido ou unidade de
armazenamento em massa) para a procura de um diretório /DCIM
conforme norma CIPA DCF (CAMERA & IMAGING..., 2010). Se esta
pasta existe, o aplicativo de foto irá abrir, permitindo que o usuário importe
o conteúdo; se a pasta não for encontrada, o dispositivo é desmontado e
ignorado.
É possível explorar este recurso não documentado para montar
manualmente com parâmetros apropriados, um disco externo de
armazenamento em massa via USB.
Quanto aos sistemas de arquivos suportados, foi bem sucedido a montagem
do sistema FAT e HFS+ (Sistema de arquivo padrão do Macintosh, que é
utilizado para o armazenamento interno do iPad). Uma questão importante
para usuários do Microsoft Windows é que seu sistema operacional vai se
recusar a formatar uma unidade maior que 32 GB como FAT
(MICROSOFT CORP..., 2007), embora ele normalmente possa montar
uma partição FAT muito maior e trabalhar com perfeição. Os usuários do
Microsoft Windows precisarão utilizar ferramentas externas como o
Fat32Format (RIDGECROP..., 2009).
Usuários de Mac e Linux não terão problemas com o padrão do utilitário de
disco e a ferramenta mkfs.msdos. Quando ligado a unidade de disco
externo via USB no iPad (Figura2), verifique sua presença dentro da
sessão SSH executando o seguinte comando:
ls /dev/disk1

26. Figura 2. Conexão do iPad via Kit de conexão de câmera para Disco rígido externo.
O caminho do disco de armazenamento interno no sistema do iPad é
atribuído em /dev/disk0 e o caminho /dev/disk1 significa que o disco
externo foi conectado e reconhecido corretamente.
Se a saída resultante do comando ls /dev não gerar a atribuição disk1,
significa que o sistema não reconheceu o disco rígido externo plugado via
USB.
Foi observado em teste que ao conectar discos SSD (Solid State Disk) de
grande capacidade de armazenamento, uma caixa de dialogo mostrava uma
mensagem informando que “this device requires too much power”, isto
ocorre por que a porta de conexão USB não emite 100mA de força, mas
apenas cerca de 20mA (9TO6 MAC..., 2010) por isso recomenda-se que ao

27. utilizar o disco externo, seja com uma conexão auxiliar de força ou através
de uma Dock. (como mostra a figura 2).
Este comando monta a primeira partição do disco externo no diretório /mnt
do dispositivo.
mount -t msdos /dev/disk1s1 /mnt
Foi possível montar a partição HFS+ usando o parâmetro –t hfs. Devido o
suporte do Macintosh ao EFI, encontrar o nome correto para discos
formatados em HFS pode ser complicado. Para ver a lista completa de
partições disponíveis, usa-se o comando ls/dev/disk*, todas as opções
foram montadas com sucesso.
Assim que montada a partição, ZDZIARSKI (2008) recomenda
imediatamente a remontagem da partição de dados em modo de somente
leitura umount –f /private/var; mount -r /private/var antes de começar a
extração e cópia dos dados.
No entanto nos testes em laboratório foi constatado que tanto no iOS 3
quanto no iOS 4, o sistema travou quando a partição foi desmontada,
mesmo forçando sua remontagem com o comando mount –fru o sistema
não respondeu.
Deve se notar que a imagem de uma partição montada, pode alterar a
integridade do sistema de arquivos contido na imagem extraída do
dispositivo.
A fim de reduzir este risco, nenhuma outra atividade deve ocorrer no iPad
(nem através da tela e nem através da rede) enquanto é gerada a extração
dos dados.
Depois que o disco foi montado, o comando df –h /mnt pode ser usado para
mostrar o espaço em disco livre e se a unidade externa foi corretamente
reconhecida.

28. 4 Obtendo a imagem forense
Neste ponto o diretório de trabalho foi modificado para que, quando um
disco externo for montado, o processo de geração de imagem inicia com o
comando:
dd if=/dev/rdisk0s2 bs=32M | split –b 4000m - part-
O comando completo pode ser explicado a seguir:
• dd – O comando dd é executado
• if=/dev/rdisk0s2 – é o arquivo de entrada (ou seja, de leitura) o
dispositivo rdisk0s2 corresponde a segunda partição de
armazenamento de dados interno do iPad. O esquema de partição
utilizado no Mac pode ser repetido no iOS sendo também utilizado
como /dev/rdisk0s2s1
• bs=32M – Usando o tamanho de bloco de 32MB para gravação
• | Split – comando para divisão por partes dos dados gravados
• -b 4000m – dividir o tamanho do arquivo, em arquivos menores que
4GB (4000MB) cada parte.
• _ Este traço significa a entrada do conteúdo que será divido e é
proveniente do comando anterior, neste caso dd.
• Part – Este comando é anexado ao nome dos arquivos de saída. O
sufixo será duas letras, começando com aa.
Como resultado, serão gerados vários arquivos com tamanhos de 4GB e
nomeados como Parte-aa,Parte-ab, etc..
Não será necessário a divisão em diversas partes menores de 4GB quando a
unidade formatada for em HFS (Mac).
Quando terminar a cópia dos dados, a unidade de destino deve ser
desmontada antes de desconecta-la do iPad. Isso pode ser feito saindo do
diretório /mnt e executando o comando umount /mnt, ou desligando o iPad.

29. 4.1 Reconstruindo a imagem forense
Para obter uma imagem completa que pode ser processada usando as
principais ferramentas de análise forense por padrão, todos os fragmentos
devem ser concatenados. Isso pode ser feito com uma variedade de
ferramentas em diversos sistemas operacionais, mas um comando simples
que irá funcionar no Windows, Mac e Linux seria:
cat part-* > ipad.dmg
A imagem resultante, em seguida pode ser tratada com métodos descritos
em (ZDZIARSKI..., 2008) para recuperar dados, tais como: endereço de e-
mails, contatos de agenda, fotos, vídeos, dados de mapas utilizando o
Google Maps e assim por diante.
No que diz respeito à reconstrução de imagem, deve-se notar que, a partir
da versão 4 do iOS, a Apple introduziu uma camada de serviços de
criptografia de hardware (APPLE COMPUTER INC..., 2010), que se
ativado no dispositivo, resultará em uma parcial criptografia dos dados
extraídos.
No entanto, foi encontrada uma opção nova para proteger o comando de
montagem, por padrão é aplicado à partição de dados.
Não foi encontrada nenhuma documentação sobre esse parâmetro embora,
curiosamente a sequencia de proteção aparece dentro do comando de
montagem do Mac OS X.
Neste cenário, os dados são extraídos e a imagem criada, porem não pode
ser montada, possivelmente devido a uma camada de criptografia, e que
pode ser decriptada se as chaves forem recuperadas no sistema, depois de
ganhar acesso SSH.
Ainda assim, ferramentas como Scalpel (LLC DIGITAL FORENSICS...,
2006), pode recuperar certo tipos de arquivos.

30. 4.2 Resultados e desempenho
Foram realizados vários experimentos que medissem a taxa de velocidade
na transferência dos dados via conexão USB, utilizando o kit de conexão de
câmera. Como pôde ser visto na figura 3, o processo casual oferece uma
média de 15,9 MB / ou 0,95 GB/min. Esta foi a maior taxa de transferência
que poderia se conseguir com um conector padrão serial-ATA conectados
em um disco rígido através dos adaptadores USB-to-SATA.
A figura representa a saída da imagem de um iPad 64GB rodando o
sistema iOS 4.2.1 para um disco externo ST3500418AS Seagate.
Em comparação, foi testado o método Zdziarski através de uma rede AD-
HOC 802.11n, operando a uma taxa máxima teórica de 108 Mbps, e foi
obtido uma taxa de transferência de apenas 1Mb/s, oque significa que em
um iPad de 16GB demoraria em torno de 5 horas e um de 64GB exigiria
cerca de 20 horas. O presente trabalho mostra que a transferência via
dispositivo USB resulta em um aumento de 15x a velocidade sobre a
transferência tradicional via WI-FI.
Fornecedores de softwares de análise forense não liberaram a
especificações sobre o tempo necessário de transferência de uma imagem
gerada do dispositivo, foi possível somente encontrar alguma informação
em que Jonathan Zdziarski afirma (ZDZIARSKI, 2010) “[...] a versão
mais recente do método Zdziarski, que é usado nas ferramentas
automatizadas disponíveis gratuitamente para aplicação da lei em todo
mundo”: “cerca de 15-30 minutos é tudo que toma, independente se você
extrair uma imagem de um iPhone de 4GB ou um iPhone de 32 GB”
Supondo que ele é capaz de transferir 32 GB em cerca de 30 minutos,
podemos imaginar que em nosso experimento conseguimos atingir o limite,
provavelmente é a taxa de transferência máxima da porta serial do
dispositivo, embora seja difícil dizer se é um limite físico da porta ou uma
questão de software que pode ser melhorado com o tempo em futuras
versões.

31. Figura 3. Taxa de transferência do sistema de imagem do iPad de 64GB.

32. 5 CONCLUSÃO
Neste trabalho, foi apresentado uma nova abordagem que se aproveita de
um recurso não documentado do adaptador USB do iPad de modo que é
possível usar um acessório universal para aquisição da imagem do
dispositivo diretamente de um USB ligado a ele. A Principal contribuição é
que o resultado mostra o aumento de velocidade do processo de aquisição
da imagem forense, superando as tradicionais abordagens existentes através
do WI-FI, com isso, aperfeiçoa todo o processo e poupa tempo na hora da
transferência.
Até o presente momento, a taxa de transferência semelhante só pode ser
alcançada usando ferramentas comerciais que são pagas ou restritas a
autoridades policiais. Portanto difícil de avaliar o que realmente se passa
durante o processo de geração da imagem e se os dados originais são de
algum modo alterado.
No que diz respeito à análise forense do iPad, um método rápido de
geração e transferência de imagens forense abrem algumas linhas de
investigação interessante para o futuro. O que é bastante interessante são os
despejos de memória on live do dispositivo, o estudo do sistema de
criptografia do iOS 4 e a geração de imagem forense do iPad através do
dispositivo USB eliminando a necessidade de uma rede WI-FI.

33. 6 REFERÊNCIAS
InformationWeek, “iPad is top selling tech gadget ever”, 2010,
http://www.informationweek.com/showArticle.jhtml?articleID=227700347
. Acessado em 10 de mar. 2013, 19h:22min.
Jonathan Zdziarski, iPhone Forensics: Recovering Evidence,
Personal Data, and Corporate Assets, O’Reilly, 2008.
Quickoffice Inc., “Quickoffice Connect Mobile Suite for iPad on the
iTunes App Store”, 2010, http://itunes.apple.com/us/app/quickoffice-
connect-mobile/id376212724. Acessado em 06 de mar. 2013, 09h:18min.
Apple Computer Inc, “Pages for iPad on the iTunes App Store”,
2010, http://itunes.apple.com/us/app/pages/id361309726 Acessado em 06
de mar. 2013, 09h:25min.
Apple Computer Inc, “Numbers for iPad on the iTunes App Store”,
2010, http://itunes.apple.com/us/app/numbers/id361304891 Acessado em
06 de mar. 2013, 13h:42min.
Apple Computer Inc., “Apple’s AirPrint Wireless Printing for iPad,
iPhone and iPod touch Coming to Users in November”, 2010,
http://www.apple.com/pr/library/2010/09/15airprint.html Acessado em 06
de mar. 2013, 14h:02min.
EuroSmartz Ltd., “PrintCentral for iPad on the iTunes App Store”,
2010, http://itunes.apple.com/us/app/printcentral-for-ipad/id366020849
Acessado em 06 de mar. 2013, 17h:56min.

34. George Hotz, “iPhone serial hacked, full interactive shell”, 2007,
http://www.hackint0sh.org/f127/1408.htm Acessado em 06 de mar. 2013,
17h:33min.
J.R. Rabaiotti and C.J. Hargreaves, “Using a software exploit to
image RAM on an embedded system ”, Digital Investigation, vol. 6, pp.
95–103, 2010.
Katana Forensics, “Lantern”, http://katanaforensics.com/use-our-
tools/lantern/ Acessado em 09 de mar. 2013, 20h:19min.
Forensic Telecommunications Services Ltd., “iXAM – Advanced
iPhone Forensics Imaging Software”, http://www.ixam-forensics.com/
Acessado em 16 de mar. 2013, 11h:44min.
Moenner L. Jansen W, Delaitre A, “Overcoming impediments to cell
phone forensics”, in In Proceedings of the 41st Annual Hawaii
International Conference on System Sciences. 2008, pp. 483 – 483, IEEE
CSP.
Comex, “Comex ‘star’ GIT repository”, 2010,
http://github.com/comex/star Acessado em 16 de mar. 2013, 13h:02min.
“Jailbreak Matrix”, 2010, http://www.jailbreakmatrix.com/iPhone-
iTouch-Jailbreak Acessado em 16 de mar. 2013, 16h:25min
iPhone Dev Team, “Thanksgiving with Apple”, 2010,
http://blog.iphone-dev.org/post/1652053923/thanksgiving-with-apple.
Acessado em 17 de mar. 2013, 18h:51min
Jay Freeman ‘Saurik’, “Bringing Debian APT to the iPhone”,2008,
http://www.saurik.com/id/1 Acessado em 17 de mar. 2013, 19h:13min

35. Sophos Security, “First iPhone worm discovered - ikee changes
wallpaper to Rick Astley photo”, 2009,
http://nakedsecurity.sophos.com/2009/11/08/iphone-worm-discovered-
wallpaper-rick-astley-photo/ Acessado em 17 de mar. 2013, 22h:29min
Apple Computer Inc, “Apple iPad Camera Connection Kit”,2010,
http://store.apple.com/us/product/MC531ZM/A Acessado em 18 de mar.
2013, 19h:12min
International Organization for Standarization (ISO), “ISO
15740:2008 – Electronic still picture imaging – Picture transfer protocol
(PTP) for digital still photography devices ”,
2008.
Camera & Imaging Products Association, “Design rule for Camera
File system: DCF version 2.0”, 2010.
Microsoft Corp, “Limitations of the FAT32 File System in Windows
XP”, 2007, http://support.microsoft.com/kb/314463/ Acessado em 18 de
mar. 2013, 22h:33min
Ridgecrop Consultants Ltd., “Fat32Format”, 2009,
http://www.ridgecrop.demon.co.uk/index.htm?fat32format.htm Acessado
em 18 de mar. 2013, 22h:49min
9to5 Mac, “iOS 4.2 emits less USB power on iPad, Camera
Connection Kit crippled?”, 2010, http://www.9to5mac.com/40091/ios-4-2-
emits-less-usb-power-on-ipad-camera-connection-kit-crippled Acessado
em 20 de mar. 2013, 18h:58min
Apple Computer Inc, “iOS 4: Understanding data protection”, 2010,
http://support.apple.com/kb/HT4175 Acessado em 21 de mar. 2013,
20h:06min
LLC Digital Forensics Solutions, “Scalpel: A Frugal, High
Performance File Carver”, 2006,
http://www.digitalforensicssolutions.com/Scalpel Acessado em 21 de mar.
2013, 21h:19min
Jonathan Zdziarski, “iPhone Insecurity”, 2010, http://www.
iphoneinsecurity.com Acessado em 21 de mar. 2013, 23h:43min