InsightHall Security

Home

Introdução à análise forense em dispositivos móveis

Nathan Geeksman  •  Segurança na Web  •  13/07/2017  •  39 visualizações
Introdução à análise forense em dispositivos móveis

O ecossistema de dispositivos móveis se desenvolveu de forma expressiva nos últimos anos. O número crescente de usuários — aliado ao hábito de se possuir múltiplos terminais para diferentes finalidades, como uso profissional e pessoal — fez com que a estimativa de dispositivos móveis em uso no mundo ultrapasse 7,5 bilhões de unidades, superando o número total de habitantes do planeta.

Esses dispositivos armazenam uma vasta gama de informações que podem ser vitais na resolução de incidentes de segurança, entre elas: histórico de chamadas realizadas e recebidas, mensagens de texto e multimídia, e-mails, histórico de navegação, fotos, vídeos, documentos, dados de redes sociais e informações armazenadas em serviços de nuvem. Vale destacar que informações previamente excluídas podem, em muitos casos, ser recuperadas por meio de técnicas especializadas.

Este artigo descreve a metodologia do processo forense aplicado a dispositivos móveis. Embora esse processo compartilhe características com outras modalidades de análise forense digital — como a de computadores —, existem particularidades importantes que devem ser consideradas.

Ainda que não exista uma metodologia padronizada e universalmente adotada com foco exclusivo na análise forense de dispositivos móveis, há um conjunto de guias reconhecidos que oferecem diretrizes sólidas para a condução correta do processo:

  • Guidelines on Mobile Device Forensics — NIST
  • Developing Process for Mobile Device Forensics — SANS
  • Best Practices for Mobile Phone Forensics — Scientific Working Group on Digital Evidence (SWGDE)
  • Good Practice Guide for Mobile Phone Seizure & Examination — Interpol
  • ISO/IEC 27037:2012 — Diretrizes para identificação, coleta, aquisição e preservação de evidências digitais
  • RFC 3227 — Embora não faça referência direta a dispositivos móveis, estabelece os fatores padrão do processo forense para computadores, cujas diretrizes básicas são aplicáveis a qualquer tipo de dispositivo

Fases do Processo Forense

Diferentes modelos descrevem as fases do processo forense, mas, de modo geral, as seguintes etapas se aplicam à maioria dos cenários:

1. Preservação

Esta fase consiste em identificar os dispositivos a serem analisados e garantir que nenhuma evidência passível de coleta seja perdida ou comprometida. A falta de atenção nesta etapa pode invalidar provas — por exemplo, ao se deixar de obter autorização expressa por escrito para a realização do processo, ou ao permitir que o terminal seja apagado remotamente.

Medidas simples e eficazes incluem manter o dispositivo em uma gaiola de Faraday, protegendo-o de qualquer tipo de sinal externo, ou ativar o modo avião imediatamente após a apreensão. Caso os materiais precisem ser transportados, isso deve ser feito com extremo cuidado, evitando exposição a temperaturas extremas ou campos eletromagnéticos que possam comprometer os dados.

2. Aquisição

Uma evidência digital é definida como qualquer elemento de prova que possa ser utilizado em um processo legal. Para que seja válida, ela deve atender obrigatoriamente aos seguintes critérios:

  • Autenticidade: deve ser verídica e não ter sido alterada de nenhuma forma.
  • Integridade: deve constituir prova sob um ponto de vista objetivo e técnico, sem considerações pessoais ou vieses.
  • Credibilidade: deve ser compreensível e inteligível.
  • Confiabilidade: os métodos utilizados para obtenção da evidência não devem lançar dúvidas sobre sua veracidade ou autenticidade.
  • Admissibilidade: deve possuir valor legal perante o ordenamento jurídico vigente.

Exemplos de evidências digitais incluem fotos, vídeos, documentos, histórico de chamadas, e-mails, mensagens de aplicativos como WhatsApp, entre outros. É importante ressaltar que os cartões de memória do dispositivo podem conter informações extremamente relevantes e, por isso, devem ser mantidos no lugar durante toda esta fase.

3. Análise

Durante a análise das informações coletadas, o tipo de incidente em questão deve ser levado em conta. A depender do caso, pode ser necessário aprofundar a investigação em aspectos específicos do dispositivo, como aplicativos instalados, padrões de localização, comunicações ou arquivos apagados.

4. Documentação

A documentação é uma parte fundamental do processo forense e deve ser conduzida de forma metódica e detalhada. Entre as ações que compõem esta fase, destacam-se:

  • Fotografar o dispositivo e registrar marca, modelo e informações de identificação como IMEI e IMSI, além do estado original — se estava ligado ou desligado, bloqueado ou desbloqueado.
  • Documentar todos os passos executados durante o procedimento, mantendo um registro com data e hora de cada ação realizada sobre a evidência, e anotando as ferramentas utilizadas.
  • Elaborar dois tipos de relatórios de achados: um executivo, voltado à alta gestão, e um técnico, destinado às equipes especializadas.

5. Apresentação

A fase de apresentação das informações é tão importante quanto as anteriores — senão mais — pois as conclusões obtidas no processo de análise forense precisam ser acessíveis e compreensíveis para diferentes públicos. Para isso, recomenda-se:

  • Preparar uma apresentação informativa e de fácil compreensão.
  • Descrever as conclusões alcançadas de forma clara e objetiva.
  • Explicar detalhadamente os passos seguidos para obtenção das evidências.
  • Evitar julgamentos de valor ou afirmações que não possam ser fundamentadas tecnicamente.
  • Desenvolver conclusões objetivas, baseadas exclusivamente nos dados apurados.

É importante destacar que essas fases não ocorrem de forma linear e isolada, mas de maneira interligada. A fase de documentação, por exemplo, tem início já durante a preservação.

Cadeia de Custódia

Paralelamente a todas as fases, deve ser mantido um registro contínuo de todas as ações realizadas sobre o material, de modo que o processo permaneça juridicamente válido. Para isso, é imprescindível a presença de um agente certificador — como um escrivão ou tabelião — capaz de atestar a cadeia de custódia, garantindo a integridade física e lógica das evidências. Essa cadeia tem início no momento em que a evidência é identificada e obtida, e se estende pelo registro, armazenamento, transferência, análise e eventual entrega às autoridades competentes.

As Perguntas Fundamentais da Investigação

Assim como em qualquer análise forense digital, ao final do processo é necessário buscar respostas para as seguintes questões essenciais:

  • O quê? — Identificar com clareza e objetividade o que exatamente ocorreu.
  • Quem? — Coletar e registrar informações sobre os envolvidos no incidente.
  • Quando? — Estabelecer uma linha do tempo de todos os eventos ocorridos.
  • Por quê? — Embora nem sempre seja simples, deve-se tentar identificar as motivações dos responsáveis.
  • Como? — Determinar de que forma o terminal foi comprometido ou utilizado para cometer o ilícito, o que é fundamental para a resolução do incidente e para a prevenção de ocorrências futuras.

Desafios e Dificuldades da Forense em Dispositivos Móveis

A análise forense de dispositivos móveis apresenta uma série de complicações que a diferenciam de outras modalidades forenses. Os principais desafios incluem:

  • Grande variedade de modelos: um levantamento da empresa OpenSignal identificou mais de 24.000 modelos diferentes de terminais rodando o sistema operacional Android — um aumento de 30% em relação a anos anteriores. Essa diversidade de hardware e tecnologia exige que analistas forenses estejam em constante atualização.
  • Diferentes sistemas operacionais: embora o Android seja o mais difundido, sistemas como iOS, Windows Phone e BlackBerry OS também possuem presença relevante no mercado. O conhecimento aprofundado de cada um deles é indispensável para a coleta adequada de evidências.
  • Mecanismos de segurança: todos os sistemas operacionais modernos possuem recursos de proteção — bloqueios por padrão gráfico, PIN ou senha — que podem dificultar o acesso às informações durante a investigação.
  • Diversidade de aplicativos instalados: usuários costumam instalar inúmeros aplicativos, entre redes sociais, mensageiros instantâneos, jogos e ferramentas de saúde e bem-estar, cada um com seus próprios formatos de armazenamento de dados.
  • Considerações legais: é imprescindível agir sempre em conformidade com a legislação vigente para que as provas permaneçam juridicamente válidas. A presença do agente certificador e a manutenção da cadeia de custódia são requisitos inegociáveis.
  • Técnicas antiforenses: assim como em outros dispositivos, é possível que ações deliberadas sejam tomadas para dificultar a identificação de evidências, incluindo a destruição, ocultação ou falsificação de dados.
Artigos relacionados

O que é Escuta Clandestina (Eavesdropping)? Definição e Tipos

04/07/2017

Injeção de SQL: Vulnerabilidades e Como Se Prevenir

31/05/2017

Como funciona o SSL? (Aquele 's' do https)

31/05/2017
Voltar
Categorias
Mais acessados
Newsletter

Inscreva-se para receber novidades!