Cellebrite Reader: Como funciona a ferramenta de análise forense gratuita da Cellebrite

Autor: Willian Freitas Núncio

Introdução 

Cellebrite Reader, ferramenta de análise gratuita, é de uma Empresa Israelense de alta tecnologia fundada em 1999, há 23 anos, com sede principal em Petah Tikva – Israel. Segundo informações do site Wikipédia, até o ano de 2017 a empresa contava com 6 escritórios principais e mais de 400 empregados.

A principal linha de produto da empresa é o sistema UFED (Dispositivo Universal de Extração Forense), ferramenta a qual se destina ao setor de investigação digital, muito utilizada por autoridades policiais (Polícia Civil, Polícia Federal e Institutos de Criminalísticas). 

No presente caso, vamos contextualizar o uso da ferramenta Cellebrite Reader, de forma que seja compreensível em que momento se encaixa o uso do software por profissionais do Direito e Tecnologia da Informação.

Resumidamente, podemos dizer que a partir da apreensão de um smartphone e sua entrega para a perícia oficial, inicia-se um procedimento forense adequado para a extração dos dados que pode ser realizado com a ferramenta Cellebrite 4 PC (versão software instalada em uma estação forense) ou em sua versão Touch (Versão móvel com hardware e software acoplada em um único dispositivo portátil). 

As autoridades policiais ao extraírem os dados do aparelho, realizam o processamento e análise dessa evidência na ferramenta Cellebrite Physical Analyser, para posteriormente, quando solicitado pelo advogado de defesa, gerar um arquivo de imagem forense com a extensão (.UFDR), o qual é entregue ao seu defensor para que possa exercer o direito ao contraditório. Para que este arquivo seja aberto pela defesa, é necessário ter a ferramenta Cellebrite Reader, a qual será objeto de estudo em nosso projeto. 

É relevante para os profissionais tanto do Direito quanto da Tecnologia da Informação, a compreensão básica de configuração, bem como a compreensão dos elementos visuais de sua interface e funções, permitindo o uso pleno dos recursos disponíveis na ferramenta para auxiliar as atividades forense de investigação ou defesa.

Obtenção da ferramenta – Download do Cellebrite Reader

A ferramenta, quando não fornecida juntamente com a evidência digital do caso a ser analisado, poderá ser adquirida no seguinte endereço (https://community.cellebrite.com/s/), realizando um cadastro prévio, exibido a seguir.

Você poderá escolher entrar com uma das contas (Facebook, Google e Linkedin) ou então clicar no botão Inscrever-se.

Ao preencher seus dados, entre no e-mail cadastrado para validar sua conta e após volte a tela de login para realizar o acesso com a conta cadastrada. 

Ao acessar a plataforma, clique em Produtos e Licenças e logo em seguida Leitor Cellebrite.

Clique em Download e preencha algumas informações solicitadas e novamente clique em Download conforme figura abaixo.

Será exibido seu código de ativação na tela e o download começará.

Após extrairmos o arquivo baixado, basta executar e aguardar a tela inicial.

Configuração da ferramenta Cellebrite Reader

Após o download e execução do software, para o bom andamento das tarefas a seguir, devemos realizar alguns ajustes de configuração, além de explorar opções de personalização que o sistema oferece, o que fica a critério de cada usuário.

Clicar em Tools – Settings, conforme figura abaixo.

Uma nova janela será aberta, onde devemos configurar o idioma para Português do Brasil e o fuso horário podemos ajustar de acordo com a sua localização, no caso colocamos UTC -03:00 São Paulo.

Oportuno ainda mencionar que, em casos de evidências oriundas de outro Estado com fuso horário diferente do seu local, deve-se ajustar na ferramenta o fuso horário com o qual se originou a evidência.

 

Na sequência, marcamos a opção Alwais adjust timestamps to this time zone – Sempre ajustar as marcações de hora para este fuso horário (UTC -03:00 São Paulo) e de um ok.

Clicar em Sim e o programa será aberto novamente em português.

Na aba – Arquivo de Dados, podemos adicionar ou excluir assinaturas de arquivos conhecidos para que nosso sistema reconheça qualquer arquivo com tal assinatura ao abrir uma evidência digital.

Em linha do tempo marcar – Exibir tudo na seção – Campos de marcação de data e hora e Tipo de arquivos de dados.

Ajustes de marcação de tempo como data e hora em arquivos (imagens, vídeos, áudios) são de suma importância para análise do perito para reconstruir a história cronológica dos fatos ocorridos.

A próxima aba refere-se a interface, possibilitando a escolha entre a cor clara e escura.

A aba seguinte trata-se de customização de relatórios gerados automaticamente pela própria ferramenta. Nos EUA é muito usado relatórios gerados automaticamente pela ferramenta, mas no Brasil ocorre o contrário, cada perito produz seu relatório em forma de Laudo ou Parecer.

A última aba traz algumas opções de personalização de relatório, além de escolher o formato de geração (html, word, pdf, xml e ufdr).

 

Carregando uma evidência digital

A partir do recebimento do arquivo de imagem (.ufdr) para análise, devemos realizar o seu processamento na ferramenta Cellebrite Reader. Descreveremos a seguir um passo a passo explicativo de uma evidência digital com seus dados populares na ferramenta.

Clicar no menu Arquivo – Abrir arquivo UFDR. 

Selecionar o caminho onde está armazenado seu arquivo de imagem com a extensão .UFDR e clicar em abrir.

Após a evidência carregada, diversas informações são exibidas na tela inicial como: Tipo de extração realizada, data e hora de início e término da extração, informações preliminares do dispositivo e seu conteúdo por tópicos como bate papo, histórico da web, contatos da agenda, registro de chamadas, arquivos de banco de dados de aplicativos, etc.

Na guia Dados analisados, será exibido o conjunto de dados processados e interpretados pela ferramenta para que você possa realizar sua investigação, isto é, os dados coletados na extração aparecerão aqui. Este guia é de fácil interpretação e intuitiva, bastando o usuário clicar no que deseja saber.

No exemplo abaixo exploramos na barra de navegação o item Pesquisa e web (270) – Histórico de navegação, o qual retornou os dados pesquisados pelo usuário do dispositivo com data e hora.

A guia Sistemas de arquivos, representa o sistema de arquivos do sistema operacional do dispositivo analisado, o qual contém todas as informações referentes a partição de sistema, logs, registro de aplicações instaladas entre outros dados mais complexos sobre o dispositivo que geralmente requerem um conhecimento mais técnico para a sua correta interpretação.

Oportuno mencionar, que nesta guia, existem informações que somente serão encontradas aqui e não serão exibidas na guia inicial em Dados analisados. Em outro projeto podemos explorar e apresentar tais informações de forma mais específica, por hora, abordaremos o básico, propósito deste primeiro projeto sobre Cellebrite.

No exemplo abaixo exploramos na barra de navegação o item Pesquisa e web (270) – Histórico de navegação, o qual retornou os dados pesquisados pelo usuário do dispositivo com data e hora.

Conclusão

Este projeto, apresentou de forma simples e didática, informações básicas de obtenção e instalação da ferramenta, bem como as configurações iniciais e apresentação da interface, possibilitando assim um primeiro contato com a ferramenta.

Por fim, esperamos que qualquer profissional com uma evidência digital em formato (ufdr) possa realizar seu processamento e análise na ferramenta de forma a auxiliar seus trabalhos de investigação.

 

---

Sobre o autor do artigo

Nome: Willian Freitas Núncio

Perito em forense digital, inscrito no rol de peritos da Justiça Federal , do TJRS e de diversos outros Tribunais Estaduais, é Graduado em Análise e Desenvolvimento de Sistemas, Pós-Graduado em Segurança da Informação, Pós-Graduado em Forense Digital e Investigação Cibernética, Pós Graduando em Direito Penal e Processual Penal, Pós Graduando em Direito Probatório no Processo Penal pela ESMAFE – PR (Escola de Magistratura Federal do Paraná), além de diversos outros cursos de formação técnica e jurídica, atuante como colaborador em casos de grande repercussão como Perito Assistente Técnico de Defesa Criminal, desenvolvendo várias atividades de análise pericial, relacionadas a provas digitais de tipos diferentes (nuvens, smartphones, desktops, ERB), possui amplo conhecimento técnico em ferramentas forenses, entre elas a notória ferramenta Cellebrite, XRY desenvolvida pela MSAB, FTK desenvolvida pela AccesData, Autopsy, IPED (Indexador e Processador de Evidências Digitais) desenvolvida e utilizada pela Polícia Federal na Operação Lava Jato, entre outras ferramentas. Além disso, o autor é mantenedor do site WN Perícia Digital (https://wnpericiadigital.com.br).