Perícia em smartphones.

Cellebrite_UFED
Foto ilustrativa do equipamento UFED da empresa Cellebrite.

O serviços de análise forense em aparelhos padrão smartphones  (denotado por alguns de forensics mobile) tem ganhado grande relevância dentro da esfera forense judicial, tínhamos em 2014, uma faixa de 137 aparelhos celulares para cada grupo de 100 habitantes no Brasil. Resta claro que o aparelho celular há muito substituiu diversas tarefas de armazenamento e processamento de dados que antes eram destinadas ao Notebook.

O acesso e ou desbloqueio de criptografia de um aparelho celular sem a autorização do poder judiciário e ou do seu proprietário ou (representante legal)  são classificadas como crime na legislação penal.

Tenha o cuidado e a devida atenção ao solicitar a abertura de aparelhos celulares, antes de qualquer atitude impensada e ou equivocada, converse com um perito credenciado  (84) 988182862.

As atividades de perícia em aparelhos celulares já eram executadas pelo Prof.º Jorge Figueiredo bem antes dos modelos padrão smartphones, na época, os objetos de análise eram aparelhos CMDA / TDMA, sendo as informações de maior relevância a serem retiradas dos aparelhos listas de contatos, agendas, fotos, listagem de registros de ligações. Hoje o foco do objeto pericial nos aparelhos celulares se dá pelos registros em redes sociais, aplicativos de comunicação instantânea (face, allo, whats-app, telegram, etc), registros de e-mail, registros de GPS, vídeos, fotografias digitais, conteúdos da internet dentre outros.

ETAPAS PARA A FORENSE MOBILE.

Os serviços de forense em dispositivos móveis dependem de condições mínimas (em contrário ao que o leigo pensa, não é somente apertar um botão) seja dentro da esfera trabalhista ou da cível. É necessário ter a consciência de que o aparelho celular é uma evidência computacional que possui mídias (dispositivos internos), onde o aparelho em si representa a mídia (zero) e os demais as mídias assessorias, tais como cartões Micro-SD e Chips Sim-Card, todos esses devem ser catalogados fotografados e descritos. O acesso ao aparelho celular evidência de um processo depende das condições, características, modelo e sistema operacional. O acesso aos dados sempre será mais difícil quando o proprietário se negar a informar a senha de acesso ao mesmo, ou quando os dados contidos no aparelho possuírem níveis de criptografia elevados que impedem o acesso aos dados (ou mesmo quando capturados) estes ficam imprestáveis sem a chave criptográfica registrada pelo hardware do telefone.

DETERMINE AS CONDIÇÕES DO TELEFONE

A primeira missão do perito é constatar em que condições o aparelho está, e se este é capaz de receber carga elétrica, pois sem o funcionamento pleno em muito será prejudicada a análise pericial.

DETERMINE AS CONDIÇÕES CRIPTOGRÁFICAS DO TELEFONE

Verificamos se o aparelho possui barreiras de criptografia ativas, quais são, e se ele pode receber interações (troca de dados) via protocolo MTP, ou  por meio de ADB, Android backup, ou mesmo outra forma de troca de dados como os métodos avançados ISP, Flashing Box e Chip Off. Se o aparelho se encontra totalmente “fechado” se torna impossível a análise plena dos dados.

TIPOS DE EXTRAÇÕES DE DADOS.

Via regra geral a forense em dispositivos móveis opera com duas abordagens, uma em que se denomina extração de dados parciais, onde como o nome explica, dados de relevante conteúdo, não foram extraídos, dentre eles as chaves de abertura dos bancos de dados do Whats-app, dados de redes sem fio, dados de posicionamento GPS dentre outros. Em geral a extração de dados parcial ocorre tendo em vista a ausência de permissão total ou padrão ROOT  no aparelho. Em contrário a extração total ou completa do aparelho, é plena de informações relevantes que podem ser processadas de forma exitosa desde que como já dito, não hajam criptografias provenientes do próprio hardware do telefone celular como ocorre em alguns aparelhos da Motorola, Samsung e Lg, dentre outros.

INTERVENÇÃO POR SOFTWARE (BOX).

Intervenção por meio de hardware técnico denominado de BOX, através do uso de protocolos e configurações manuais no aparelho, podendo se fazer uso de acessos MPT, ADB, MODEM. A Interação ocorre por conexão da porta USB onde serão alterados todo ou parte dos softwares instalados no aparelhos para cada fim específico através de imagens binárias denominadas COMBINATION (firmwares), seja em modo normal e ou em modo de FLASH (DOWNLOAD), o aparelho pode ou não estar com poderes de ROOT, e pode ou não estar com barreiras de senha. Este método de forma isolada não é eficaz para aparelhos em que haja sistemas Android 7 e acima associados com criptografia de container FDE e ou nos casos em que as chamadas travas de segurança e ou “cães de guarda” estejam ativos como KNOX, FRP dentre outros.

INTERVENÇÃO ELETRÔNICA JTAG.

Criada para que se pudesse aferir (investigar) problemas de hardware em placas e ou dispositivos eletrônicos (recuperação de dados e teste de performance), sendo capaz de se comunicar em duas vias, sendo uma para ler e outra para gravar dados, foi desenvolvida pelo Joint Test Action Group em 1985 para desenvolver um método de verificação de projetos e teste de placas de circuito impresso após a fabricação. Em 1990, o Instituto de Engenheiros Elétricos e Eletrônicos codificou os resultados do esforço do IEEE Standard 1149.1-1990, intitulado Standard Test Access Port e Boundary-Scan Architecture. 

Ressaltamos que esse método em questão requer habilidades eletrônicas do analista, além do uso de microscópio digital de boa qualidade para a execução do trabalho de micro solda, ele é considerado de baixo grau destrutivo tendo em vista que há somente o acesso a placa e aos pontos de teste. Em relação a sua aplicação é destinado a todos os aparelhos que fazem uso da tecnologia EMMC de armazenamento, em aparelhos com Android até o 7, desde que não haja o emprego de criptografia por container. Seu uso com o tempo tornou-se limitado pela baixa velocidade de troca de dados e o maior número de pontos de acesso em relação ao seu predecessor ISP.

INTERVENÇÃO ELETRÔNICA ISP.

In-System Programming, ou ISP, se refere a uma técnica de programação e troca de dados entre dispositivos eletrônicos usando protocolos de baixo nível com capacidade de velocidades maiores que JTAG e podendo ser aplicada a outros padrões de memória mais modernos além do EMMC como EMCP e UFS, sua rapidez e eficiência são devidos ao fato de que com essa técnica o analista pode LER e ESCREVER dados direto na memória do aparelho sem a intervenção do processador como ocorre no JTAG. Ressaltamos que esse método em questão requer habilidades eletrônicas do analista, além do uso de microscópio digital de boa qualidade para a execução do trabalho de micro solda, ele é considerado de baixo grau destrutivo tendo em vista que há somente o acesso a placa e aos pontos de teste. É empregada em aparelhos com Android até o 6 de forma direta, desde que não haja o emprego de criptografia por container (FDE). 

Micro solda em pontos específicos de uma placa de telefone móvel para intervenção por meio de ISP.

Intervenção por calor para extração da memória de armazenamento.

LOCAIS DE ATUAÇÃO.

Atuamos em todo o território nacional, diante de juízo cível ou trabalhista, onde podemos receber evidências para análise mediante consulta prévia e o posterior envio da mesma pelo serviço de correios ou similar.

APLICAÇÕES PARA FORENSE MOBILE.

Nas esferas de juízo cível ou trabalhista, os operadores do direito devem ter em mente que a preservação do aparelho é de fundamental relevância para seu uso como prova em processo. O aparelho celular ao ser anexado como prova, deve estar acompanhado de todas as mídias a ele pertencentes, como SIM-CARD, MICRO-SD e outros, bem como, se o aparelho armazena provas relevantes o ideal é NÃO FAZER uso do mesmo até que seja analisado pelo perito do Juiz (O assistente da parte, carece de credibilidade processual para conduzir a duplicação de dados do aparelho), onde após  resultado dos dados e ou da imagem forense coletada, a mesma deve ser assinada por hash matemático e os resultados registrados em Laudo próprio. Dentre outras verificações, as mais relevantes aos aparelhos celulares são:

  • Verificação de propriedade do aparelho.
  • Contatar termos de promessas e ou troca de propostas contratuais.
  • Constatação em casos de ameaças, Lei Maria da Penha, assédio moral e sexual dentre outros.
  • Constatação de registros visando comprovar alienação parental.
  • Linha do tempo de atividades.
  • Constatar posição GPS.
  • Extração de contatos, inclusive os apagados.
  • Extração de mensagens em redes sociais.
  • Extração de mídias (áudios, vídeos e fotos).
  • Histórico de uso da internet.
  • Constatação de aplicativos instalados.
  • Extração de mensagens de texto.
  • Extração de mensagens via e-mail.

 mantenha contato conosco.

Um comentário em “Perícia em smartphones.

  1. Gostaria de saber qual o custo de uma perícia em smartphone (para fins de perícia judicial) para determinar se o celular teve seu chip clonado ou não e ainda como ocorreu a invasão e acesso aos seus dados.
    Obs.: ainda não sei o modelo do aparelho, mas gostaria de uma estimativa.

    Curtir

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair /  Alterar )

Foto do Google

Você está comentando utilizando sua conta Google. Sair /  Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair /  Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair /  Alterar )

Conectando a %s

Este site utiliza o Akismet para reduzir spam. Saiba como seus dados em comentários são processados.