Se você assistiu CSI, Law and Order, ou qualquer outro procedimento policial, há uma boa chance de você ter visto uma versão na tela de uma investigação forense móvel. Normalmente, envolve o clique de alguns botões e as mensagens de texto e o histórico de chamadas dos usuários aparecem instantaneamente na tela.
A verdade é um pouco diferente. Mas o que, exatamente, um exame forense pode recuperar do seu telefone? Como isso é feito? Por que os dados excluídos podem ser retirados do armazenamento? Há muitas perguntas para responder, então fizemos algumas pesquisas para encontrar as respostas.
Por que as investigações forenses móveis acontecem
Por que um telefone ou tablet pode passar por uma investigação forense? Em muitos casos, as informações obtidas de um telefone podem ajudar a solucionar um crime. Em 2014, quando duas meninas do Minnesotan desapareceram, a perícia digital ajudou a polícia a encontrar o raptor. Muitos outros casos foram violados por informações tiradas do telefone da vítima ou do agressor.
Mesmo uma simples informação, como uma única mensagem de texto, poderia ajudar os investigadores a resolver um caso. Outras vezes, é um quadro mais complicado O que as agências de segurança do governo podem dizer dos metadados do seu telefone? O que as agências de segurança do governo podem dizer sobre os metadados do seu telefone? Leia Mais pintado por registros de chamadas excluídos, carimbos de tempo, dados de geolocalização e uso do aplicativo. O histórico de pesquisa pode ser incriminador. Muitos tipos de informações podem ajudar a polícia a solucionar um crime - e muitas dessas informações são armazenadas em nossos telefones.
É importante observar que seu dispositivo móvel pode ser investigado mesmo se você não for suspeito de um crime. Telefones pertencentes a vítimas de crimes também podem fornecer à polícia dados muito valiosos, especialmente se essas vítimas estiverem incapacitadas ou ausentes.
Tipos de Aquisição de Dados
Existem várias estratégias de aquisição que os investigadores forenses podem usar. O mais simples é conhecido como “aquisição manual” e envolve passar pela interface regular para examinar o conteúdo do dispositivo. Isso consome muito tempo e muitas vezes não é muito útil, porque tudo que foi excluído não é visível na interface padrão.
Uma aquisição lógica fornece dados mais detalhados. Esse tipo de aquisição envolve a transferência de tantos dados quanto possível por meio dos canais de transferência padrão, como aqueles que seriam usados para sincronizar um telefone com um computador. Esse tipo de transferência facilita para os investigadores forenses trabalhar com os dados no telefone, mas é improvável que recuperem muitas informações excluídas.
Quando os investigadores gostariam de ver os dados apagados, é necessária uma aquisição do sistema de arquivos. Veremos como esse tipo de aquisição pode recuperar itens excluídos em um momento. Dispositivos móveis são basicamente grandes bancos de dados, e uma aquisição de sistema de arquivos dá ao investigador acesso a todos os arquivos no banco de dados. Existem também muitas ferramentas forenses capazes de analisar este tipo de dados, facilitando o trabalho do investigador.
Finalmente, há uma aquisição física. Essa é a aquisição mais complexa e difícil, pois envolve a leitura dos dados físicos em um chip e sua transferência para outro dispositivo em que possa ser trabalhado. Isso geralmente requer ferramentas sofisticadas, como programadores de chips, e às vezes até ferramentas para remover o próprio chip do telefone. É muito difícil, mas também fornece aos investigadores mais dados para trabalhar.
Por que os arquivos excluídos podem ser recuperados?
Você pode estar se perguntando como um software pode encontrar arquivos que você excluiu. Se você souber como as unidades de armazenamento de computadores funcionam, você estará familiarizado com os princípios básicos. A memória flash em dispositivos móveis realmente não exclui arquivos Como excluir permanentemente dados de uma unidade flash Como excluir permanentemente dados de uma unidade flash Se você quiser destruir sua unidade flash para que nada seja recuperável, você precisará fazer açao. Aqui estão alguns métodos simples que você pode usar e que não exigem conhecimentos técnicos. Leia mais até que precise abrir espaço para algo novo. Ele simplesmente "desindexa", essencialmente esquecendo onde está. Ainda está armazenado, mas o telefone não sabe onde nem o que é.
Portanto, se esses dados não tiverem sido sobrescritos, outro software poderá encontrá-los. Identificar e decodificar nem sempre é fácil, mas a comunidade forense tem ferramentas extremamente poderosas que os ajudam nesse processo.
Quanto mais recentemente você tiver excluído algo, menor a probabilidade de ele ter sido substituído. Se você apagou algo meses atrás e usa muito seu telefone, há uma boa chance de que o sistema de arquivos já o tenha sobrescrito. Se você excluiu apenas alguns dias atrás, as chances são maiores de que ainda existe em algum lugar.
Alguns dispositivos iOS, como os iPhones mais recentes, dão um passo adicional. Além de desindexar os dados, eles também o criptografam - e não há chave de decodificação conhecida. Isso vai ser extremamente difícil (se não impossível) de contornar.
Uma das maneiras pelas quais os analistas forenses podem obter dados excluídos é, na verdade, ignorar o próprio telefone e se dirigir para os backups. Muitos telefones são automaticamente copiados para o computador do usuário ou para a nuvem. Pode ser mais fácil extrair os dados desse backup do que o telefone. Obviamente, a eficácia dessa estratégia depende de como o backup do telefone foi feito recentemente e do serviço usado para armazenar os arquivos.
Quais tipos de arquivos podem ser recuperados?
Os tipos de arquivos recuperáveis podem depender do dispositivo em que um analista forense está trabalhando. No entanto, existem alguns tipos básicos que provavelmente serão recuperados:
- Mensagens de texto e iMessages
- Histórico de chamadas
- Emails
- Notas
- Contatos
- Eventos do calendário
- Imagens e vídeos
Também é possível que mensagens de serviços de mensagens alternativos, como WhatsApp ou Viber, também possam ser recuperadas. (Se essas mensagens são criptografadas, Como ativar a criptografia de segurança do WhatsApp Como ativar a criptografia de segurança do WhatsApp O chamado protocolo de criptografia de ponta a ponta promete que "somente você e a pessoa com quem você está se comunicando podem ler o que é enviado". Ninguém, nem mesmo o WhatsApp, tem acesso ao seu conteúdo. No entanto, os investigadores não poderão lê-los. Se você usar o Android para armazenamento de arquivos, esses arquivos ainda poderão estar disponíveis no armazenamento.
E quanto a criptografia?
Criptografia de dispositivos móveis 7 razões pelas quais você deve criptografar os dados do seu smartphone 7 razões pelas quais você deve criptografar os dados do seu smartphone Você está criptografando seu dispositivo? Todos os principais sistemas operacionais de smartphones oferecem criptografia de dispositivo, mas você deve usá-lo? Veja por que a criptografia de smartphone vale a pena e não afeta a maneira como você usa seu smartphone. Leia mais representa um grande problema para a análise forense. Se uma criptografia forte foi usada e não há como obter a chave de criptografia, será difícil ou impossível obter dados do telefone. O iTunes ainda pede aos usuários para criptografar os backups que eles fazem em seus computadores.
Embora isso torne os telefones menos úteis para os investigadores forenses, existem algumas maneiras de se obter criptografia. Alguns telefones possuem backdoors embutidos que permitem aos profissionais acessar os arquivos. Outros investigadores podem adivinhar ou decifrar sua senha.
Se não puderem, no entanto, esses arquivos criptografados causarão sérios problemas. Se você está preocupado com o exame forense de seu telefone (por exemplo, se você é um jornalista com fontes sensíveis), é recomendável usar as configurações de criptografia mais seguras possíveis.
Alguma de suas informações é realmente segura?
No final, não há garantias quando se trata de investigação forense móvel. Para ambos os lados. Não há como proteger completamente todos os dados do seu telefone contra um investigador comprometido e inteligente. E não há como acessar dados em todos os telefones.
Mas há uma grande variedade de ferramentas em constante evolução por aí. Eles são projetados especificamente para combater o cenário de proteção de dados em constante mudança. E, claro, há alguma sorte envolvida também.
Como sempre, recomendamos as mesmas coisas se você quiser manter seus dados seguros. Criptografar tudo. Seja esperto sobre onde e como você faz backup. Use senhas fortes Como gerar senhas fortes que combinam com sua personalidade Como gerar senhas fortes que correspondam à sua personalidade Sem uma senha forte, você pode se encontrar rapidamente no alvo de um crime cibernético. Uma maneira de criar uma senha memorável seria combiná-la com sua personalidade. Consulte Mais informação . E, se possível, não faça nada que o coloque na mira de uma investigação forense.
Você criptografa seu telefone? Você está preocupado com a investigação forense de seus dispositivos móveis? Compartilhe seus pensamentos nos comentários abaixo!