E-mail, contas online e serviços em nuvem
Categoria: Nuvem, OSINT, contas online, telefonia e localização
Objetivo do tema
Consolidar orientações, limitações e achados recorrentes sobre e-mail, contas online e serviços em nuvem no contexto de exames de computação forense.
Contexto técnico consolidado
As conversas reunidas mencionam ferramentas/tecnologias como UFED, IPED, Autopsy, ODIN, WhatsApp. Os termos mais recorrentes neste tema incluem: email, ele, esse, celular, imagem, arquivo, whatsapp, tambem, pra, pelo. O conteúdo abaixo foi consolidado a partir de mensagens anonimizadas do grupo, preservando as discussões de origem para conferência.
Pontos consolidados
- Identificar conta, serviço e tipo de dado solicitado/coletado.
- Registrar necessidade de credenciais, autorização ou ordem judicial.
- Separar artefatos locais de dados obtidos em nuvem.
Ferramentas, sistemas ou marcas citadas
UFEDIPEDAutopsyODINWhatsAppPalavras-chave recorrentes
emaileleessecelularimagemarquivowhatsapptambemprapelonuvemgrupogooglevouversaoufedterscriptDiscussões de origem e mensagens relacionadas
Resumo gerado automaticamente a partir das mensagens anonimizadas. Conferir as mensagens de origem antes de uso em caso concreto.
Origem 001 — 03/02/2018 16:21 a 16:23 — O que vcs acham se eu criar um google form pra que vcs
*Pessoal o que vcs acham se eu criar um google form pra que vcs preencham nome, fone (daqui do whats) e e-mail funcional? Pensei em melhorar a segurança do grupo, na tentativa de certificar que somente peritos estão presentes. *
Se tiverem outra sugestão fiquem a vontade
Poderia mandar uma confirmacao depois no email funcional para verificar se sao vcs mesmos
Origem 002 — 18/05/2018 11:43 a 12:38 — Uso do IPED na triagem, indexação e análise
Pessoal, bom dia. As maquinas Z820 recebidas pela SENASP ainda estão contempladas pelo suporte técnico? Meu disco de 3 TB morreu. Se alguém souber dessa informação, agradeço desde já.
Depende do dia que recebeu. A minha tem suporte até 21.07.2018
O meu eu recebi em julho também. Contudo, já mandei email para a HP e eles não me respondem.
[MENCAO] Bom-dia! Sugiro que entre em contato via telefone, de forma a ficar com o protocolo de atendimento.
Foi assim que fiz quando precisei 👆🏻
O autopsy contempla bem a interpretação das informações?
Em tempo: a versão nova está com suporte _out of box_ para Linux/MacOS.
Vou fazer uns testes depois
Caro colega consegui contato por telefone e me informaram que a garantia expirou. Argumentei que ainda não havia expirado e me pediram para enviar o contrato de aquisição das máquinas. Alguém tem esse contrato?
[MENCAO] aqui eu tenho a nota fiscal e tenho a ata.
A ata posso te encaminhar por email.
A ata posso te encaminhar por email.
Chegou a instalar no linux?
Agradeço a ajuda. Meu email pessoal é [EMAIL].
Aqui no Piauí é do mesmo jeito. Só damos prazo quando somos cobrados. Não ficamos pedindo dilação de prazo tambem não, senão não anda.
Sim, na minha estação que uso em casa!
Vou procurar o contrato.
Uso o [NOME] 9 em um SSD, um repositório de 3TB em um SATA. Ah, também instalei o IPED/LED nessa estação Linux, os quais funcionam perfeitamente.
Origem 003 — 20/07/2018 11:45 a 11:49 — E-mail, contas online e serviços em nuvem
Bom dia amigos! Alguém tem o twrp do GT-I8552B?
aproveitando, qual o endreço daquele banco de twrp do grupo?
computacao.forense.brasil@gmail.com2vdgsttb
[EMAIL]
2vdgsttb
2vdgsttb
Origem 004 — 03/10/2018 11:28 a 12:02 — Extração e análise de mensagens do WhatsApp
[NOME], bom dia! Muito boa iniciativa, parabéns! Verifiquei aqui que não há o arquivo spi_ufed_whatsapp_email.py no pacote. Seria possível disponibiliza-lo?
Samuel. Esse arquivo é um dos primeiros nomes do arquivo de script na época em que foi feita a versão inicial. Infelizmente ainda não atualizei a imagem do manual. Sendo assim, onde estiver o nome dele, entenda como sendo referente ao spi_ufed_whatsapp_email_multiformat_v2. Vou colocar na minha lista de coisas para atualizar.
Ele não seria apenas para criar o arquivo contacts.txt? Por mesmo considerando ele como sendo o script que mencionei, deu erro
Não. Somente um arquivo de script é utilizado. Atentar que primeiro vc faz carga do diretório e depois vc executa o script que deve estar localizado no diretorio imediatamente acima do "EmailWhatsApp" que contém os arquivos exportados. Inclusive o contacs.txt
Caso sua exportação por email esteja sem contacs.txt, existe uma versão do script que ainda nao publiquei para esse caso. Mas, caso vc esteja usando o apk do Paraná para exportar, ele gera obcontacts.txt
Assim que possível coloco a versão sem contacts ou tratando esse casos
Origem 005 — 25/07/2019 08:15 a 08:23 — Extração e análise de mensagens do WhatsApp
o de guedes houve ligações do proprio numero também né
pode ter havido tentativa...
O meu amigo q disse ter recebido chamadas do próprio número
whats, facebook, instagram também devem possuir envio de código por voz na verificação em duas etapas, por exemplo
Whatsapp tem
Pablo é o prioritário do celular
até a conta google deve ter envio de código por voz... muito perigoso
Origem 006 — 30/08/2019 08:41 a 08:41 — / Eu tenho algumas
Pessoal. Bom dia. Eu vou fazer uma apresentação numa faculdade privada aqui de Maceió sobre a área de atuação Computação Forense. Alguém do grupo teria alguma apresentação já feita que possa servir de base/modelo para a que vou elaborar? Se sim, agradeceria bastante se pudesse enviar por aqui ou por email ([EMAIL]). Valeu pessoal.
Bom dia!
Eu tenho algumas
Eu tenho algumas
Origem 007 — 27/12/2019 15:59 a 16:11 — E-mail, contas online e serviços em nuvem
Qual o teu e-mail, posso te encaminhar o e-mail que ele me enviou
[EMAIL]
Boa tarde, estou com caso semelhante, se puder me encaminhar o email tb no endereço [EMAIL]
Muito obrigado
Muito obrigado
Boa tarde! Também gostaria. [EMAIL]. Muito obrigada!
Origem 008 — 28/01/2020 12:22 a 12:29 — Bloqueio FRP e conta Google em dispositivo Android
entre na conta Google e https://groups.google.com/forum/?hl=pt-BR#!forum/mobile-device-forensics-and-analysis, aí requisita para entrar no grupo
<Mídia oculta>
Exagero de parafusos esse xt1640....
Exagero de parafusos esse xt1640....
Origem 009 — 07/07/2020 10:10 a 10:10 — E-mail, contas online e serviços em nuvem
Pessoal, alguém poderia adicionar um colega no grupo, por favor?
Ele tbm é perito de SP aqui em Pres. Prudente.
.
Sérgio Camilo
[EMAIL]
Ele tbm é perito de SP aqui em Pres. Prudente.
.
Sérgio Camilo
[EMAIL]
Não sei quais dados mais são necessários...
Origem 010 — 22/04/2021 16:47 a 17:32 — Extração e limitações em dispositivos Motorola
Esse aí é o com codinome de moto "sanders"?
Aqui (https://romdevelopers.com/index.php?a=downloads&b=folder&id=26371) tem 3 firehoses, mas creio que não são para o 'sanders'
Se bater o hardware com a versão brasileira, talvez esses programmers funcione
https://arstechnica.com/information-technology/2021/04/in-epic-hack-signal-developer-turns-the-tables-on-forensics-firm-cellebrite/
boa tarde, alguem tem o contato do desenvolvedor do Forensic Tools??
[EMAIL]
[EMAIL]
ja mandei email e nao respondem
Origem 011 — 13/07/2022 09:19 a 09:20 — Faz a requisição por esse e-mail
Bom dia! [EMAIL]
faz a requisição por esse e-mail: [EMAIL]
[MENCAO] [MENCAO] obrigado
Origem 012 — 05/10/2023 15:54 a 16:18 — Cálculo e verificação de hashes em grande volume de arquivos
Vc tem o celular no caso e a imagem está lá, né isso?
n tenho o celular! Mas o usuário disse que mandou pro email dele como back up
e agora precisamos comprovar que a captura de tela foi realizada utilizando o telefone que ele tinha
e agora precisamos comprovar que a captura de tela foi realizada utilizando o telefone que ele tinha
Vc comparou a hash do arquivo do email com qual arquivo?
ah isso foi um teste que eu mesmo fiz
perdoe-me por ter esquecido de informar isso
É importante ter acesso as imagens do celular e do e-mail.
se n tiver do celular, aí já era, certo?
Então, há uma imagem no e-mail e outra imagem de backup em outro celular?
infelizmente não há mais o celular
apenas um email que foi enviado pelo próprio usuário
ele mandou um email pra ele mesmo (gmail.com)
porém, após um tempo ele perdeu o celular
mas manteve o email
apenas um email que foi enviado pelo próprio usuário
ele mandou um email pra ele mesmo (gmail.com)
porém, após um tempo ele perdeu o celular
mas manteve o email
Origem 013 — 22/11/2023 14:07 a 14:07 — Enrico Ferrari, perito criminal 3 classe polícia civil SP
[NOME] Enrico [NOME] Ferrari, perito criminal 3 classe polícia civil SP.
[EMAIL]
Poderiam adicionar o colega Perito no grupo, por favor!
Origem 014 — 13/08/2024 18:23 a 20:39 — Análise de Registro Windows e arquivo NTUSER.DAT
Boa tarde!
Aproveitando o tópico, alguém, digo alguma seção de computação forense, que tenha implementado a tramitação online de vestígios digitais, mormente os de registros visuais ou sonoros digitais?
Aproveitando o tópico, alguém, digo alguma seção de computação forense, que tenha implementado a tramitação online de vestígios digitais, mormente os de registros visuais ou sonoros digitais?
Boa noite! Aqui em Alagoas usamos nuvem cedida pelo TJ. Ilimitada. Talvez seja um caminho pra vcs tbm. Pelo Estado é complicado.
Aqui no DF para esses vestígios digitais (arquivos de áudio e video) realizamos pelo PJe. Para as extrações temos um sistema para download das extrações pela intranet.
E também tramitamos para a nuvem do MPDFT quando eles solicitam
Quem fornece o pen-drive? <Mensagem editada>
Compramos uma boa quantidade. Fizemos uma licitação.
Aqui no PI é no DVD
Casos excepcionais é solicitado a autoridade encaminhar um hd externo ou pen-drive, mas ja existe resistência. Judiciário não quer mais nem receber os dvd
Aqui já está indo pra esse rumo. Estamos procurando uma solução melhor.
Aqui no Ceará entregamos em dvd ou pendrive. Fizemos um projeto de nuvem e entenderam ser melhor entregar em DVD 😬
O caminho é a nuvem mesmo... Problema é normatizar a disponibilidade desse material, por quanto tempo, quem tem acessso, implantar auditoria, etc...
Aqui em SP normalmente mandamos em DVD.
Temos uma recomendação da Superintendência para não utilizar a nuvem pra essa finalidade.
Parece que estão ensaiando alguma mudança nesse sentido.
Parece que estão ensaiando alguma mudança nesse sentido.
Essa é minha preocupação. A respeito do sigilo dos dados tmb. Outra coisa. Vai subir arquivos de pornografia infantil na nuvem?
Cifrando o material com AES256CBC com uma chave bem composta e restrita ao destinatário, acho difícil o google monitorar o conteúdo.
E bota o material disponível por um período limitado
Pois num é. E o pior de tudo é q n tem nada definido nacionalmente dentro de central se custódia e assim cada estado faz do jeito q bem entender..
aqui no RN eu sou o primeiro a ser contra qualquer coisa que dependa de pagamentos sucessivos pelo governo.
sabe como é, cobertor curto...
e como a perícia não tem moral nenhuma, o nosso cobertor é ainda mais curto.
devido ao volume dos dados, os DVDs não estamos comportando, temos solicitado HDs externos para o envio das informações, e guardamos uma copia na computação
sabe como é, cobertor curto...
e como a perícia não tem moral nenhuma, o nosso cobertor é ainda mais curto.
devido ao volume dos dados, os DVDs não estamos comportando, temos solicitado HDs externos para o envio das informações, e guardamos uma copia na computação
A cópia forense vocês guardam no storage ou em outro HD cedido pela autoridade solicitante?
no "storage" do proprio setor de computação
Origem 015 — 16/10/2024 12:50 a 12:50 — Bloqueio FRP e conta Google em dispositivo Android
Pessoal, boa tarde. Um colega da seção teve sua conta Google bloqueado quando estava salvando uma mídia anexa para o MP. Alguém já passou por essa situação? E se sim como fez pra recuperar a conta Google?