Introdução à análise forense em dispositivos móveis
O ecossistema de dispositivos móveis se desenvolveu de forma expressiva nos últimos anos. O número crescente de usuários — aliado ao hábito de se possuir múltiplos terminais para diferentes finalidades, como uso profissional e pessoal — fez com que a estimativa de dispositivos móveis em uso no mundo ultrapasse 7,5 bilhões de unidades, superando o número total de habitantes do planeta.
Esses dispositivos armazenam uma vasta gama de informações que podem ser vitais na resolução de incidentes de segurança, entre elas: histórico de chamadas realizadas e recebidas, mensagens de texto e multimídia, e-mails, histórico de navegação, fotos, vídeos, documentos, dados de redes sociais e informações armazenadas em serviços de nuvem. Vale destacar que informações previamente excluídas podem, em muitos casos, ser recuperadas por meio de técnicas especializadas.
Este artigo descreve a metodologia do processo forense aplicado a dispositivos móveis. Embora esse processo compartilhe características com outras modalidades de análise forense digital — como a de computadores —, existem particularidades importantes que devem ser consideradas.
Ainda que não exista uma metodologia padronizada e universalmente adotada com foco exclusivo na análise forense de dispositivos móveis, há um conjunto de guias reconhecidos que oferecem diretrizes sólidas para a condução correta do processo:
- Guidelines on Mobile Device Forensics — NIST
- Developing Process for Mobile Device Forensics — SANS
- Best Practices for Mobile Phone Forensics — Scientific Working Group on Digital Evidence (SWGDE)
- Good Practice Guide for Mobile Phone Seizure & Examination — Interpol
- ISO/IEC 27037:2012 — Diretrizes para identificação, coleta, aquisição e preservação de evidências digitais
- RFC 3227 — Embora não faça referência direta a dispositivos móveis, estabelece os fatores padrão do processo forense para computadores, cujas diretrizes básicas são aplicáveis a qualquer tipo de dispositivo
Fases do Processo Forense
Diferentes modelos descrevem as fases do processo forense, mas, de modo geral, as seguintes etapas se aplicam à maioria dos cenários:
1. Preservação
Esta fase consiste em identificar os dispositivos a serem analisados e garantir que nenhuma evidência passível de coleta seja perdida ou comprometida. A falta de atenção nesta etapa pode invalidar provas — por exemplo, ao se deixar de obter autorização expressa por escrito para a realização do processo, ou ao permitir que o terminal seja apagado remotamente.
Medidas simples e eficazes incluem manter o dispositivo em uma gaiola de Faraday, protegendo-o de qualquer tipo de sinal externo, ou ativar o modo avião imediatamente após a apreensão. Caso os materiais precisem ser transportados, isso deve ser feito com extremo cuidado, evitando exposição a temperaturas extremas ou campos eletromagnéticos que possam comprometer os dados.
2. Aquisição
Uma evidência digital é definida como qualquer elemento de prova que possa ser utilizado em um processo legal. Para que seja válida, ela deve atender obrigatoriamente aos seguintes critérios:
- Autenticidade: deve ser verídica e não ter sido alterada de nenhuma forma.
- Integridade: deve constituir prova sob um ponto de vista objetivo e técnico, sem considerações pessoais ou vieses.
- Credibilidade: deve ser compreensível e inteligível.
- Confiabilidade: os métodos utilizados para obtenção da evidência não devem lançar dúvidas sobre sua veracidade ou autenticidade.
- Admissibilidade: deve possuir valor legal perante o ordenamento jurídico vigente.
Exemplos de evidências digitais incluem fotos, vídeos, documentos, histórico de chamadas, e-mails, mensagens de aplicativos como WhatsApp, entre outros. É importante ressaltar que os cartões de memória do dispositivo podem conter informações extremamente relevantes e, por isso, devem ser mantidos no lugar durante toda esta fase.
3. Análise
Durante a análise das informações coletadas, o tipo de incidente em questão deve ser levado em conta. A depender do caso, pode ser necessário aprofundar a investigação em aspectos específicos do dispositivo, como aplicativos instalados, padrões de localização, comunicações ou arquivos apagados.
4. Documentação
A documentação é uma parte fundamental do processo forense e deve ser conduzida de forma metódica e detalhada. Entre as ações que compõem esta fase, destacam-se:
- Fotografar o dispositivo e registrar marca, modelo e informações de identificação como IMEI e IMSI, além do estado original — se estava ligado ou desligado, bloqueado ou desbloqueado.
- Documentar todos os passos executados durante o procedimento, mantendo um registro com data e hora de cada ação realizada sobre a evidência, e anotando as ferramentas utilizadas.
- Elaborar dois tipos de relatórios de achados: um executivo, voltado à alta gestão, e um técnico, destinado às equipes especializadas.
5. Apresentação
A fase de apresentação das informações é tão importante quanto as anteriores — senão mais — pois as conclusões obtidas no processo de análise forense precisam ser acessíveis e compreensíveis para diferentes públicos. Para isso, recomenda-se:
- Preparar uma apresentação informativa e de fácil compreensão.
- Descrever as conclusões alcançadas de forma clara e objetiva.
- Explicar detalhadamente os passos seguidos para obtenção das evidências.
- Evitar julgamentos de valor ou afirmações que não possam ser fundamentadas tecnicamente.
- Desenvolver conclusões objetivas, baseadas exclusivamente nos dados apurados.
É importante destacar que essas fases não ocorrem de forma linear e isolada, mas de maneira interligada. A fase de documentação, por exemplo, tem início já durante a preservação.
Cadeia de Custódia
Paralelamente a todas as fases, deve ser mantido um registro contínuo de todas as ações realizadas sobre o material, de modo que o processo permaneça juridicamente válido. Para isso, é imprescindível a presença de um agente certificador — como um escrivão ou tabelião — capaz de atestar a cadeia de custódia, garantindo a integridade física e lógica das evidências. Essa cadeia tem início no momento em que a evidência é identificada e obtida, e se estende pelo registro, armazenamento, transferência, análise e eventual entrega às autoridades competentes.
As Perguntas Fundamentais da Investigação
Assim como em qualquer análise forense digital, ao final do processo é necessário buscar respostas para as seguintes questões essenciais:
- O quê? — Identificar com clareza e objetividade o que exatamente ocorreu.
- Quem? — Coletar e registrar informações sobre os envolvidos no incidente.
- Quando? — Estabelecer uma linha do tempo de todos os eventos ocorridos.
- Por quê? — Embora nem sempre seja simples, deve-se tentar identificar as motivações dos responsáveis.
- Como? — Determinar de que forma o terminal foi comprometido ou utilizado para cometer o ilícito, o que é fundamental para a resolução do incidente e para a prevenção de ocorrências futuras.
Desafios e Dificuldades da Forense em Dispositivos Móveis
A análise forense de dispositivos móveis apresenta uma série de complicações que a diferenciam de outras modalidades forenses. Os principais desafios incluem:
- Grande variedade de modelos: um levantamento da empresa OpenSignal identificou mais de 24.000 modelos diferentes de terminais rodando o sistema operacional Android — um aumento de 30% em relação a anos anteriores. Essa diversidade de hardware e tecnologia exige que analistas forenses estejam em constante atualização.
- Diferentes sistemas operacionais: embora o Android seja o mais difundido, sistemas como iOS, Windows Phone e BlackBerry OS também possuem presença relevante no mercado. O conhecimento aprofundado de cada um deles é indispensável para a coleta adequada de evidências.
- Mecanismos de segurança: todos os sistemas operacionais modernos possuem recursos de proteção — bloqueios por padrão gráfico, PIN ou senha — que podem dificultar o acesso às informações durante a investigação.
- Diversidade de aplicativos instalados: usuários costumam instalar inúmeros aplicativos, entre redes sociais, mensageiros instantâneos, jogos e ferramentas de saúde e bem-estar, cada um com seus próprios formatos de armazenamento de dados.
- Considerações legais: é imprescindível agir sempre em conformidade com a legislação vigente para que as provas permaneçam juridicamente válidas. A presença do agente certificador e a manutenção da cadeia de custódia são requisitos inegociáveis.
- Técnicas antiforenses: assim como em outros dispositivos, é possível que ações deliberadas sejam tomadas para dificultar a identificação de evidências, incluindo a destruição, ocultação ou falsificação de dados.