Área do Aluno
Área do Aluno

Resumo do Livro: Extração Avançada de Dados em Dispositivos Móveis

Resumo do Livro “Extração Avançada de Dados em Dispositivos Móveis”

Este resumo tem o objetivo de compartilhar a importância da leitura deste recém-lançado livro, que disserta sobre uma das técnicas mais avançadas explorada pela Forense Digital ao lidar com dispositivos móveis em condições adversas, possibilitando a extração de dados mesmo quando ferramentas de grande reconhecimento não conseguem. O livro pode ser adquirido na Amazon clicando aqui.

Introdução

Os autores Figueiredo e Júnior (2022) iniciam a introdução da obra Extração Avançada de Dados em Dispositivos Móveis explicando que os métodos conhecidos como extração avançada já eram utilizados desde os anos 90 em outros setores, com exceção da box, a qual começou a ser utilizada após a popularização dos smartphones nos anos 2000.

E, com isso, começaram a ser desenvolvidos estudos e métodos para comprovação da eficácia da aplicação dessas técnicas.

É importante ressaltar que este é o primeiro volume da obra, o qual possui como objetivo abordar os conceitos, fundamentos técnicos, diretrizes, métodos e documentos legais, sendo o foco principal o ambiente Android.

Do valor jurídico de relatórios técnicos enquanto meios inominados de prova em processo penal e suas distinções das perícias forenses

 

Conheça o Treinamento

Técnicas de Extração Avançada em Dispositivos Móveis

Clique aqui!

 

Neste capítulo, os autores Figueiredo e Júnior (2022) discorrem, inicialmente, sobre a evolução tecnológica, gerando, assim, um certo abandono do “papel”, com objetivo de demostrar que um documento físico é similar a um documento digital e como ambos possuem o mesmo valor.

O objetivo dos autores é demostrar que o “mundo digital” é apenas uma extensão do “mundo físico”, ou seja, um documento em sua forma física deve ser visto igualmente a um documento digital, porém com suas particularidades.

Em seguida, Figueiredo e Júnior (2022) comentam as legislações a respeito dos meios de provas e a diferença entre a perícia e a análise.

Em resumo, os autores expõem, por exemplo, que uma fotografia do local do crime não é uma perícia, porém, possui seu valor probatório.

Os autores apresentam ao leitor comentários e trechos de obras de outros autores, exemplificando as legislações a respeito da liberdade probatória, a legalidade da prova, exceções da perícia oficial, bem como outras legislações e jurisprudências.

A respeito da diferença entre perícia e análise, é descrito pelos autores que uma mera análise, seja de documentos em formatos físicos ou digitais, não é pericia, sendo que a perícia é a elucidação da materialidade do crime, ou seja, o trabalho de navegar pela evidência em busca de determinado conteúdo não é de fato uma perícia e sim uma análise de conteúdo.

E, para finalizar o capítulo os autores Figueiredo e Júnior (2022), comentam sobre a preservação da evidência, reforçam novamente os tipos de provas e destacam que a validação da prova não é exclusiva do laudo pericial, o qual pode ser substituído por relatórios técnicos, e, caso haja a necessidade fundamentada, que seja solicitada a perícia oficial e a contestação dos relatórios técnicos por meio de assistentes técnicos.

Modelo de pedido de extração avançada de dados em dispositivos móveis ao poder judiciário

O segundo capítulo da obra traz consigo um modelo de pedido de extração avançada de dados em dispositivos móveis ao poder judiciário.

Aqui é importante frisar que no corpo deste modelo existem explicações, analogias, métodos e possíveis consequências das chamadas extrações avançadas.

Nos próximos capítulos, os autores explicam a necessidade de obter autorização do juiz para realizar procedimentos considerados mais prejudiciais. (FIGUEIREDO; JÚNIOR, 2022)

Essa autorização é mais direcionada ao mundo jurídico, contudo, no mundo comercial é importante obter essa autorização do contratante.

O que é e como se operam os métodos clássicos de extração de dados em dispositivos móveis

No terceiro capítulo da obra, os autores começam frisando que a extração avançada não deve ser utilizada como a primeira opção, pelo contrário, deve-se utilizar os métodos denominados clássicos, e, consequentemente, caso não obtenha êxito, partir para os métodos de extração avançada. (FIGUEIREDO; JÚNIOR, 2022)

Os autores Figueiredo e Júnior (2022, p. 75) definem a extração clássica como:

Um conjunto de meios e métodos tecnológicos, providos por pessoa física e/ou jurídica, devidamente registrados nos canais legais, de origem nacional ou estrangeira, que se responsabilizam pela eficácia dos métodos e meios, desde que usados da forma adequada, onde há reduzida capacidade de interação humana em relação à execução do processo de extração em si, restando ao homem (operador) o papel de identificação da técnica e preparo do aparelho, para fins de execução da ferramenta sobre este.

Os autores Figueiredo e Júnior (2022) continuam o capítulo comentando a respeito da criptografia nos dispositivos móveis, por exemplo, a criptografia padrão na pasta do usuário (userdata) a partir do Android 7, assim como explicações sobre as tecnologias FDE e FBE.

Em seguida, os autores Figueiredo e Júnior (2022) classificam as extrações clássicas em: extração manual/lógica, extração via backup e sistema de arquivo, e extração física.

  • Extração Manual/Logica

A extração manual/lógica é descrita como o acesso ao vestígio, de forma que a barreira da criptografia seja superada, por exemplo, por fornecimento da senha de acesso e, portanto, seja realizado a cópia dos dados relevantes. É importante frisar que este método possui muitas limitações. (FIGUEIREDO; JÚNIOR, 2022).

  • Extração via Backup e Sistemas de Arquivos

A extração por backup e sistemas de arquivos é um conjunto de duas técnicas, na qual utiliza-se do sistema de backup do aparelho e a instalação de um software no dispositivo móvel. (FIGUEIREDO; JÚNIOR, 2022).

  • Extração Física

A extração física é definida pelos autores como o cenário perfeito, onde será possível ter acesso a todos os dados do aparelho, a qual irá permitir realizar a cópia de todos os bits do armazenamento. (FIGUEIREDO; JÚNIOR, 2022).

O que é extração avançada e seus fundamentos dentro das ciências forenses

No quarto capítulo da obra, os autores Figueiredo e Júnior (2022) iniciam demostrando que apesar da forense mobile sofrer influência da computação forense, a mesma possui suas particularidades, e, ainda, dissertam a respeito das evoluções tecnológicas e de que modo elas influenciam na forense mobile.

Os autores Figueiredo e Júnior (2022, p. 89) definem a extração avançada como:

“Análises e técnicas de intervenção por softwares e/ou por hardware, ou ambos ao mesmo tempo, que devem ser implementados em um vestígio sempre que os métodos forenses tradicionais (automatizados) não tiverem sido eficazes e/ou não possam ser empregados.”

Destacam os autores Figueiredo e Júnior (2022, p. 97) a necessidade de escolher a “melhor extração pelo menor risco”, e complementam que os procedimentos que possam causar danos físicos ou lógicos ao dispositivo móvel, devem ser previamente autorizados pelo juiz.

Os autores Figueiredo e Júnior (2022) classificam as extrações avançadas em:

  • Técnicas Pré-Avançada (Manutenção Corretiva)

A manutenção corretiva consiste literalmente na manutenção do dispositivo móvel que apresente algum problema, o objetivo principal é evitar partir direto para as técnicas avançadas. (FIGUEIREDO; JÚNIOR, 2022).

  • Extração via software (flash)

Os autores Figueiredo e Júnior (2022, p. 102) definem esta essa extração como:

Aplicação de uma atualização (alteração) de software em área e/ou áreas especificas do aparelho investigado, a qual visa dar acesso aos dados do userdata sem a barreira de criptografia e/ou dar ao analista forense poderes de root.

  • Extração via intervenção eletrônica (JTAG)

Em resumo, essa técnica irá utilizar de micro soldas nos pontos de teste, deve ser utilizada nos dispositivos que utilizam a tecnologia de armazenamento eMMC, até o Android 5, desde que este não possua criptografia por container. Sendo considerada de baixo grau destrutivo. (FIGUEIREDO; JÚNIOR, 2022).

  • Extração via Intervenção eletrônica (ISP) 

Similar ao JTAG, o método de extração avançada via ISP, utiliza de micro soldas nos pontos de teste. Os principais diferenciais deste método é a capacidade de ser utilizada com outros padrões de memória, tais como eMMC, EMCP e UFS e maior velocidade de transferência de dados em relação ao JTAG, sendo aplicável até o Android 6, deste que este não possua criptografia por container. É considerada uma técnica de baixo grau destrutivo. (FIGUEIREDO; JÚNIOR, 2022).

A partir da extração avançada via ISP, é possível aplicar uma técnica denominada pelos autores de “intervenção mista”, que consiste em realizar alterações de dados no dispositivo, com o objetivo de burlar sistemas de segurança, como a senha de bloqueio ou obter acesso root. É considerada uma das técnicas mais modernas sendo aplicável para os Android 7 e superiores. (FIGUEIREDO; JÚNIOR, 2022).

  • Extração via Intervenção eletrônica (EDL) 

Nos dispositivos com processadores Qualcomm é possível ativar o modo EDL (Emergency Download), em resumo, a partir do modo EDL é possível montar o aparelho com toda a estrutura de pasta.

Caso o dispositivo possua criptografia por container, são necessárias ferramentas forenses próprias, as quais irão utilizar de vulnerabilidades do sistema para obterem acesso aos dados, ou se o aparelho não possuir criptografia, é possível montar a estrutura de pastas por meio de um loader. (FIGUEIREDO; JÚNIOR, 2022).

  • Extração avançada via remoção do chip (Chip-off)

Essa técnica é considerada de alto risco, a qual deve ser o último recurso a ser empregado, poia ela consiste na remoção do componente de memória, a qual deve passar por um processo de limpeza e reballing, para que seja possível realizar a leitura do chip, seja por meio de um adaptador ou por box, assim, obtendo acesso aos dados. Esta técnica é utilizada em padrões de armazenamento eMMC ou UFS, desde que estes não estejam criptografados. (FIGUEIREDO; JÚNIOR, 2022).

  • Extração via micro leitura

O processo de extração via micro leitura é pouco comentado pelos autores, contudo na obra “Practical Mobile Forensics” dos autores Tamma, Skulkin, Mahalik e Bommisetty (2018) é explicado que consiste em interpretar o estado dos bits das portas físicas do chip, com o auxílio de um microscópio.

Finalizando o capítulo, os autores Figueiredo e Júnior (2022) comentam sobre os padrões de memória e suas características, mais especificamente dos padrões de memória eMMC e UFS. Em especial os autores comentam que, diferente dos computadores, os dispositivos móveis possuem apenas uma memória, que é dividida em RAM e ROM.

Fundamentação Legal para extração avançada e aplicação das normas de cadeia de custódia

No quinto capítulo, os autores Figueiredo e Júnior (2022) comentam a respeito dos procedimentos em relação a preservação e a cadeia de custódia da evidência na coleta, no lacre, no transporte e transferência.

  • Métodos básicos de identificação e triagem de vestígios aplicados à extração avançada em dispositivos móveis

Neste capítulo, os autores Figueiredo e Júnior (2022) comentam sobre a identificação do dispositivo e suas características, de modo que o analista escolha o melhor método a ser aplicado em cada situação.

  • Modelo de termo de referência para a execução do processo de compra de um laboratório de extração avançada

Neste capítulo, os autores Figueiredo e Júnior (2022) tecem comentários a respeito do processo de compra de um laboratório de extração avançada e finalizam com um modelo de termo de referência. Este capítulo é voltado para instruções aos servidores públicos, para obtenção de compra de laboratório de extração avançada.

O que esperar do volume 2

No último capítulo da obra, os autores Figueiredo e Júnior (2022) realizam uma visão geral do próximo volume da obra, o qual, segundo eles, serão abordados os temas mais profundamente, com uma perspectiva de um manual técnico.

Conclusão

Como visto na obra, os dispositivos móveis estão em constante mudança, e cada vez mais impõem desafios para os peritos, os quais devem utilizar a tecnologia para supri-los.

Além de que, é de suma importância ter a visão de que o mundo digital é a extensão do mundo físico, lembrando dos devidos cuidados e procedimentos que devem ser adotados para garantir a preservação da evidência, bem como as respectivas fundamentações legais.

Sobre o autor do artigo

João Tsukahara

Nome: João Tsukahara (https://www.linkedin.com/in/joaotsukahara/)

Sua Mini Biografia: Pesquisador de forense digital e segurança da informação.

Treinamentos que concluídos na AFD: 

      • Forense em Dispositivos Móveis;
      • Forense em Internet e OSINT;
      • Computação Forense;
      • Fundamentos de Forense Digital.

Referências Bibliográficas

  • FIGUEIREDO, Jorge Ramos de; FRANÇA JÚNIOR, Fausto Faustino de. Extração Forense Avançada de Dados em Dispositivos Móveis: Volume 1. Rio de Janeiro: Brasport, 2022.
  • TAMMA, Rohit; SKULKIN, Oleg; MAHALIK, Heather; BOMMISETTY, Satish. Practical Mobile Forensics – Third Edition: a hands-on guide to mastering mobile forensics for the ios, android, and the windows phone platforms. 3. ed.: Packt Publishing, 2018.

Conheça nossos treinamentos

Introdução a Cripto Ativos

Metodologias Nacionais de Perícia Digital

Perícia Digital Para Advogados

Mitre Attack

Triagem de Malware

Passware Kit Forensics: Do Zero ao Avançado
Gratuito para Law Enforcement

logotipo

Contato

Atendimento Comercial

Seg – Sex: 09:00 – 18:00

Endereço:

Rua São Bento, 365, 8º andar, Centro, São Paulo-SP

Telefone:

+55 11 98594-6809

Menu

  • Copyright © 2023. Todos os direitos reservados