ISOLAMENTO E PRESERVAÇÃO DE DISPOSITIVOS MOBILE
POR FADRIQUE BRITO GONÇALVES
Estudo acerca de Crimes Digitais para fins de documentação e criação de acervo de conteúdo voltado â Segurança Cibernética e Forense Digital na Academia de Forense Digital.
Orientador(a): Renan Cavalheiro.
FRUTAL – MG
2020
SUMÁRIO
INTRODUÇÃO
1 ISOLAMENTO E PRESERVAÇÃO
1.1 Equipamento ligado e desbloqueado
1.2 Equipamento ligado e bloqueado
1.3 Equipamento desligado
CONCLUSÃO
BIBLIOGRAFIA
INTRODUÇÃO
Se antes os jornais ocupavam a maioria dos assentos de metrôs, ônibus e afins, com seus leitores mergulhados naquele tipo de mídia, hoje os smartphones se encarregam dessa tarefa.
Assim, é completamente normal ver inúmeras pessoas olhando para uma tela de aproximadamente seis polegadas enquanto deslizam seu dedo verticalmente pelo dispositivo.
Um balanço feito pela Anatel, em julho de 2020, indicava que, no Brasil, havia cerca de 225,3 milhões de celulares, sendo uma média de 106,24 dispositivos mobile para cada 100 habitantes (TELECO, 2020).
Naturalmente, a inovação vem para todos, inclusive pessoas mal-intencionadas. Desse modo, o smartphone também passou a ser um dispositivo usado para ações ilegais, estando diretamente ou indiretamente ligado a diversas práticas, o que, por si só, o configuraria como um equipamento passível de análise para fins forenses.
Entretanto, os celulares também são um imenso acervo de dados (histórico de chamadas, lista de contatos, mensagens de texto, fotos, vídeos, histórico de internet, calendários, documentos, planilhas, senhas, geolocalização associadas a registros temporais, conexões WiFi efetuadas, aplicativos instalados, entre outros).
Logo, com tantas informações em um único equipamento, o foco dado aos smartphones, no tocante à forense digital, não poderia ter outra resposta se não um aumento exponencial.
Entretanto, sempre se volta ao fato de que, na forense digital, sempre há prós e contras, de modo que, se por um lado, os smartphones estão recheados de informações, por outro lado há muitas dificuldades em sua coleta e análise.
Então, em uma comparação com os computadores convencionais (computadores pessoais de mesa) que, via de regra, têm pouca variação de padrão, geralmente sendo sistemas Windows, Linux ou MacOS, os dispositivos mobile apresentam, além de uma grande variação em suas versões de sistema, um intervalo entre os lançamentos de diferentes versões demasiadamente pequeno.
Mesmo que os sistemas de smartphones mais utilizados sejam o Android Google e o Apple iOS, a forma como eles se atualizam é muito mais rápida do que a atualização das técnicas forenses (e também das ferramentas disponíveis).
Então, com efeito, a cada nova atualização dos sistemas há um incremento de pacotes de modificações maiores, com maiores camadas de segurança e barreiras contra o acesso sem permissão.
É sabido que essas atualizações visam a privacidade do usuário final, mas também é fato que se torna um empecilho em casos de investigação, quando necessário.
Outra dificuldade consiste no processo de isolamento e preservação dos dispositivos mobile. Há três cenários diferentes em que o smartphone pode ser encontrado e coletado e para todas elas há padrões e boas práticas a serem seguidas.
Isso porque um isolamento correto elimina a chance de fatores externos influenciarem na análise do material, o que poderia invalidar todo o processo.
Nesse sentido, ações como chamadas inesperadas, wipe remoto¹, mensagens de texto, alarme e afins podem influenciar na análise caso sejam feitas após a coleta do aparelho. Diante disso, ao longo deste artigo serão abordadas práticas para que se mitigue esse risco.
1 ISOLAMENTO E PRESERVAÇÃO
Existem três possíveis cenários nos quais os smartphones são comumente encontrados. A depender de como o aparelho estiver, diferentes práticas devem ser empregadas pelo profissional que tem o primeiro contato com ele. Abaixo serão abordados esses cenários.
1.1 Equipamento ligado e desbloqueado
Este é o melhor cenário para a análise que será feita posteriormente; em contrapartida, é o que necessita de maiores cuidados para que não se comprometa o processo de análise que será efetuado.
Deve-se levar em conta, primeiramente, que deixar o aparelho conectado à internet ou à rede de telecomunicações (caso ele tenha um chip telefônico) é um risco que deve ser imediatamente eliminado.
Então, para isso, é necessário colocar o dispositivo em modo avião ou em um invólucro bloqueador de sinais de rádio, a fim de garantir que sinais de telefonia, rádio, bluetooth e GPS não sejam capazes de chegar ao aparelho.
Manter o celular conectado pode acarretar novas chamadas telefônicas, mensagens de textos e comandos de wipe remoto, como dito anteriormente, o que comprometeria a integridade das provas.
Logo em seguida, deve ser analisado se o aparelho está configurado com uma senha de bloqueio do usuário (PIN, senha, reconhecimento facial, etc.).
Em caso negativo, o celular poderá ser desligado e, se possível, deve ser retirada a bateria, haja vista que funções como alarme podem voltar a ligar o aparelho. Se o dispositivo estiver configurado com bloqueio e não for possível desativá-lo, deverá ser configurado o autobloqueio para o maior tempo disponível e, a cada instante, manter interação com a tela (algum toque na tela) para que o aparelho não se autobloqueie.
Vale ressaltar também que, no caso de o aparelho estar configurado com autobloqueio, desligá-lo irá acarretar o seu bloqueio quando voltar a ser ligado, portanto, é importante mantê-lo ligado e em modo avião (ou no invólucro bloqueador de sinais) e fazer constante interação com a tela.
É importante ativar o modo USB Debugging, que será necessário para a aquisição física da memória interna do aparelho em questão. Também é recomendável que se mantenha o dispositivo carregando, mesmo que seja em uma alimentação de bateria móvel, enquanto em trânsito para o local de análise.
1.2 Equipamento ligado e bloqueado
Com o equipamento ligado e já bloqueado, a primeira ação deve ser isolá-lo de qualquer conectividade, colocando-o em modo avião ou em um invólucro bloqueador de sinais.
Além disso, também se recomenda o desligamento, uma vez que o aparelho já se encontra bloqueado, portanto, desligá-lo não resultaria nessa complicação.
Além disso, a retirada da bateria ainda é uma prática recomendada, apesar de nem sempre ser possível, pois em alguns aparelhos ela é componente fixo do hardware.
Portanto, além de desligá-lo, também é recomendado a remoção de todos os cartões SIM, para o caso de o aparelho vir a ser ligado por alarmes.
1.3 Equipamento desligado
Este cenário é mais simplista, tendo as mesmas recomendações da remoção de bateria (se possível) e dos cartões SIM do aparelho.
Além disso, não é recomendável que o smartphone seja ligado sem estar totalmente isolado, haja vista que poderia receber um comando de wipe remoto que foi agendado previamente, além de ficar passível de ligações e mensagens de texto pendentes.
CONCLUSÃO
A forense digital, por si só, é um ramo novo da perícia. A forense mobile, em dispositivos mobile, por sua vez, acaba sendo mais recente ainda.
Por isso, é repleta de desafios. A grande demanda de atualizações, novos recursos e sistemas nos smartphones também não alivia a dificuldade que já é grande.
Contudo, mesmo diante de várias barreiras, a recompensa da forense mobile é grande, entregando artefatos valiosíssimos para qualquer investigação.
E para que isso seja feito de maneira lícita, os processos de isolamento e preservação devem ser feitos corretamente, a fim de se manter a originalidade dos dados, sem riscos de comprometer a prova.
BIBLIOGRAFIA
VILAR, Gustavo P. et. al. Tratado de Computação Forense. 1. ed. São Paulo: Millennium, 2016.
TELECO. Estatísticas de Celulares no Brasil. Teleco. Disponível em: <https://www.teleco.com.br/ncel.asp>. Acesso em: 7 set. 2020.
[1] Um Wipe Remoto é um comando enviado pelo dono/administrator do aparelho, via internet, que irá deletar todos os dados do dispositivo. É constantemente usado quando o aparelho é furtado, perdido e etc. O aparelho não precisa estar fisicamente com a pessoa, daí o termo “remoto”.
