Parafraseando Edmond Locard, o pai da ciência forense: “toda ação deixa uma marca”, seja em celulares, computadores ou até em outros dispositivos.
Neste artigo, decidi compartilhar uma análise que realizei no meu videogame, utilizando uma ferramenta avançada de recuperação de dados.
A pergunta que me fizeram quando contei sobre a situação foi: O que levaria alguém a analisar seu próprio dispositivo?
Se você trabalha com segurança da informação, certamente já sabe a resposta ou, pelo menos, já enfrentou essa preocupação. Se está apenas começando a explorar esse universo, a resposta virá com algumas explicações técnicas. E se você não está familiarizado com o assunto, mas ficou curioso, recomendo que, após ler este artigo, reavalie e adote alguns cuidados com seus dispositivos pessoais.
Este artigo, embora técnico, é um convite aberto a todos que possuem dispositivos eletrônicos, inclusive videogames.
Minha Motivação
Tudo começou quando decidi reutilizar o disco de 500GB que estava dentro de um Xbox One que não estava mais em uso.
O console foi lançado em dezembro de 2013, e o adquirimos em 2014 na Cidade do México. Infelizmente, tivemos alguns problemas com este console, incluindo três trocas de fontes de energia, o que nos levou a aposentá-lo.
Ele nunca havia sido aberto por nós antes. Cheguei a gravar um vídeo do momento em que abri o console e fiquei surpresa com a quantidade de poeira. Considerando que estava lacrado por 10 anos, era esperado encontrar algum acúmulo de sujeira.
Antes de seguir com a sanitização do disco, para garantir que os dados apagados não pudessem ser facilmente recuperados, decidi analisá-lo utilizando o Belkasoft Evidence Center X.
Durante a análise, fiz algumas descobertas curiosas usando a opção de data carving, incluindo links .onion e textos relacionados a atividades maliciosas. Todos esses achados precedem a data de lançamento do console.
Uma década depois, descobri que alguém já havia “mexido no meu queijo”.
Armazenamento de dados em videogames
Figura 1- Foto de um Xbox One aberto mostrando um HD Sata convencional
Antes de iniciarmos a análise, vamos fazer uma breve introdução sobre os videogames, também conhecidos como consoles.
Os videogames evoluíram de meros dispositivos de entretenimento para grandes redes de comunicação, marketplaces de jogos e uma fonte significativa de receita para as desenvolvedoras. Como ocorre com qualquer dispositivo que oferece opções de comunicação, essas funcionalidades abrem portas que podem ser exploradas para invasões em locais inesperados.
Entretanto, o hardware dedicado dos consoles possui algumas limitações, o que levou à adoção de HDs e SSDs para resolver questões de armazenamento e melhorar as velocidades de leitura e escrita.
Normalmente, quando você compra um videogame, ele já vem equipado com um HD ou SSD de diferentes tamanhos. Porém, isso nem sempre é suficiente, dado que os sistemas operacionais instalados exigem alguns gigabytes e os jogos estão ficando cada vez maiores. Vejamos alguns exemplos:
Console
Padrão
Sistema Operacional
Disponível para uso
Playstation 5
825 GB
100 GB
667 GB
Xbox Series X
1 TB
200 GB
802 GB
Xbox Series S
512 GB
148 GB
364 GB
Quando o espaço oferecido pelo console não atende ao perfil de uso, podemos recorrer a mídias de armazenamento comuns, como HDs e SSDs, que funcionam em computadores e laptops. Em teoria, um simples processo de formatação e a reconstrução da nova estrutura de arquivos no formato exigido pelo console são suficientes para viabilizar mais armazenamento. Na prática, o console realiza automaticamente o processo de formatação ao detectar uma nova mídia de armazenamento.
Nesse momento, você será questionado sobre o uso do armazenamento para fins de jogos e mídias. Ao aceitar, o console criará três partições: uma para jogos e aplicativos, outra para o sistema e uma terceira para cache. Essas partições são gerenciadas pelo console e não podem ser modificadas ou acessadas diretamente pelo usuário.
Com a estrutura de arquivos criada, você terá um armazenamento funcional e pronto para jogar. Simples assim.
Quem mexeu no meu Xbox One?
Como mencionei anteriormente, adquiri este console como novo em uma loja no exterior, poucos meses após o lançamento. A caixa estava lacrada e continha todos os acessórios.
Ao investigar o dispositivo, descobri que o HD estava particionado em cinco unidades, e não apenas três, como é comum.
Essa descoberta não foi o principal problema. Refleti que, há 10 anos, eu também não tomava certos cuidados e não realizava processos de sanitização de dados.
Hoje, a curiosidade e a necessidade de buscar rastros digitais me tornaram mais cautelosa.
Se preciso vender, doar ou me desfazer de algum dispositivo, e tenho a possibilidade de realizar uma formatação profunda, certamente o farei e recomendarei essa prática a todos.
Mesmo que os dispositivos ofereçam opções de formatação profunda e “demorada”, é comum que pessoas mais apressadas optem pelo método mais rápido, talvez acreditando que, caso se arrependam, poderão usar ferramentas de recuperação. Uma ferramenta antiga e muito simples que sempre me ajudou em recuperações é o Recuva, que ainda hoje é muito funcional!
Para responder à pergunta sobre quem mexeu no meu Xbox One, decidi explorar a opção de data carving, que veremos a seguir.
Data carving
De forma resumida, data carving é uma técnica utilizada para recuperar arquivos ou fragmentos de dados em dispositivos de armazenamento.
A técnica funciona analisando os dados brutos e buscando padrões conhecidos de assinaturas dos arquivos em cabeçalhos e rodapés. Dessa forma, as ferramentas conseguem recuperar arquivos inteiros ou partes deles, indicando uma possível evidência.
Para ilustrar, considere a tabela abaixo com alguns padrões conhecidos e o exemplo de uma imagem em jpg.
Note que a imagem do logo da AFD foi analisada pelo Belkasoft X, que confirmou a assinatura do arquivo como sendo um jpg.
Figura 2- Imagem de uma análise hexadecimal de um arquivo jpg
Agora, convido você a fazer uma análise no trecho abaixo considerando o mesmo método aplicado acima e responder: “porque não foi possível abrir o arquivo pdf”?
Figura 3- Imagem de uma análise hexadecimal de um arquivo supostamente no formato pdf
A explicação é simples: o arquivo foi salvo com a extensão .pdf, mas a análise hexadecimal revela que, na verdade, é um arquivo .jpg. Vale destacar que a recuperação de dados por meio de data carving nem sempre restaura o arquivo original de forma perfeita. Portanto, é essencial analisar também os dados brutos, sempre que necessário.
Além disso, a visualização hexadecimal pode ser uma ferramenta valiosa para obter contextos e extrair trechos de informações relevantes. Foi assim que descobri a “vida pregressa” do meu HD, como veremos a seguir.
Modus Operandi
Depois de remover o HD do console, instalei-o no meu notebook. O Windows, automaticamente, montou as unidades, permitindo que eu explorasse visualmente as cinco partições e seus conteúdos, embora eles estejam formatados de maneira que apenas o sistema do Xbox One consiga ler.
Figura 4- Partições que estavam criadas no HD do Xbox One
A ferramenta escolhida foi o Belkasoft Evidence Center X, que tem sido muito útil em algumas análises. Caso tenha curiosidade em saber mais sobre a ferramenta, escrevi um artigo sobre o processo de instalação que se encontra no link: Saiba tudo sobre Evidence Center-X da Belkasoft – Academia de Forense Digital.
Figura 5- Inicialização da ferramenta Belkasoft Evidence Center X
Após iniciar a ferramenta, selecionei as unidades como fontes de dados, configurei as opções de data carving e então aguardei o término do processamento.
Figura 6- Tela de Tarefas mostrando as fontes processadas
Talvez você tenha notado que a unidade E:\ levou 3 horas e 50 minutos para ser processada. O motivo disso é que o data carving é um processo demorado porque, como mencionei anteriormente, ele se baseia na recuperação a partir de assinaturas dos arquivos. No caso desta partição, estamos lidando também com a unidade que contém a estrutura de jogos, aplicativos e outras informações.
Figura 7- Tela de Tarefas mostrando algumas etapas executadas em uma das partições
Ao término, temos a visualização organizada dos artefatos como é mostrado abaixo, listando as partições e a quantidade de artefatos localizados.
Figura 8- Tela do Painel mostrando todas as fontes e quantidade de artefatos obtidos
A partir da visualização do Painel, podemos navegar entre as unidades e expandir para analisar os artefatos obtidos em relação àquela fonte de dados.
Figura 9- Visão dos achados da partição E:
Ao clicar duas vezes em cima do item relacionado a URLs, será aberta uma guia com as informações catalogadas.
Na tela abaixo temos algumas informações relevantes que despertaram a minha curiosidade acerca do uso anterior do HD.
Um dos achados refere-se ao link de um site .onion que contém uma mensagem ameaçadora, sendo registrada na data de 08/01/2009.
Figura 10- Visualização da lista de URLs acessadas via Tor
Expandindo a visão para hexadecimal podemos visualizar mais claramente a mensagem e outros metadados. O Belkasoft X retornou a data, informações do IPV4 e IPV6. Uma rápida busca em um site de geolocalização mostrou uma localidade.
Figura 11- Visualização da mensagem em hexadecimal e alguns metadados
Segui analisando outros achados .onion e descobri uma página que citava HelloKitty. Se fosse em outros navegadores comerciais, não chamaria a minha atenção. Apesar do nome “fofo”, HelloKitty não tem nada a ver com aquela personagem infantil. Trata-se de um tipo de ransomware. Para aqueles que não estão familiarizados, ransomware é um tipo de software malicioso que, ao infectar um sistema, criptografa os arquivos do usuário e exige um pagamento em troca da chave de descriptografia.
Figura 12- Visualização de uma análise de uma URL via Tor
Analisei também as imagens que foram recuperadas utilizando de um recurso simples e acessível a todos: o Google Lens. Busquei uma comparação com algo que pudesse estar publicado.
Figura 13- Imagens recuperadas por data carving
A pesquisa de imagens retornou à localização pública de todas as imagens semelhantes a que foi submetida. Bingo!
Figura 14- Imagens localizadas usando o Google Lens
Um item curioso, para o qual ainda não encontrei explicação, é o da foto abaixo. Trata-se de uma imagem recente, capturada há apenas dois dias, que foi possivelmente gravada e excluída da unidade sem que eu tivesse realizado qualquer ação nela. Se fosse um caso profissional, seria necessário tomar precauções adicionais, como o bloqueio de escrita e a manutenção da cadeia de custódia, entre outras medidas. No entanto, confesso que não segui esses procedimentos desta vez.
Conclusão
Após a análise, descobri alguns achados significativos que reforçam a necessidade da prática de sanitização de dados em qualquer dispositivo que armazene informações, seja ele um celular, laptop ou videogame. Esses achados, revelados com o uso de data carving, expõem a realidade de que as informações apagadas podem ser recuperadas, mesmo as que estão nos “cantos” mais obscuros de nossos dispositivos. Em conclusão, a sanitização de dados não deve ser subestimada! Invista tempo buscando soluções que realizem uma limpeza profunda, garantindo que seus dados sejam devidamente sanitizados, protegendo suas informações pessoais e confidenciais de possíveis ameaças.
analista de operações, formada em Redes de Computadores e Pós-graduada em Gestão de Projetos. Possui mais de 15 anos de experiência em diversos segmentos e projetos voltados a tecnologia. Dentro desta área conseguiu expandir horizontes, levar soluções e promover constantes melhorias em processos e sistemas.
Apaixonada por tecnologia, investigações e games busca constantemente superar as limitações estudando e promovendo interações entre as áreas de conhecimento.
