Universidade Federal do Espírito Santo CCA UFES Universidade Federal do Espírito Santo Centro de Ciências Agrárias CCA UFES Departamento de Computação Análise em aparelhos de telefonia celular Computação Forense Site: http://jeiks.net E-mail: jacsonrcsilva@gmail.com
Universidade Federal do Espírito Santo CCA UFES Introdução Os aparelhos de celular são comuns nos dias atuais; A complexidade dos aparelhos tem transformado-os em minicomputadores portáteis; A análise desses aparelhos se assemelha aos exames em dispositivos de armazenamento computacionais; Porém, a forma de conseguir privilégios e de acessar o armazenamento completo desses aparelhos é mais complicada que outros dispositivos. 2
Universidade Federal do Espírito Santo CCA UFES Entendendo 1G, 2G, 3G, 4G e 5G A nomenclatura das gerações de celular (G) se referem a uma mudança na natureza do serviço, na forma de transmissão e nas bandas de frequência utilizadas. Novas gerações geralmente são apresentadas a cada ~10 anos: Em 1981: sistema analógico (1G); Em 1992: sistema digital (2G); Em 2001: suporte multimídia, transmissão com propagação de espectro, redes com picos de 200 kbits (3G); Em 2011: com redes de comutação de Ips, acesso ultra banda larga (velocidade gigabit) (4G) Em 2021?: maior banda de comunicação e aparelhos mais rápidos... 3
Universidade Federal do Espírito Santo CCA UFES 4
Universidade Federal do Espírito Santo CCA UFES Conceitos Gerais Os aparelhos possuem um número de identificação denominado IMEI: IMEI: International Mobile Equipment Identity. Possui 15 dígitos; Geralmente no formato: 000000/00/000000/0. Além disso, os celulares permitem a conexão de, pelo menos, um cartão SIM: SIM: Subscriber Identity Module. Identificado por um número único no mundo inteiro. Gravado na face externa do cartão. Possui de 19 ou 20 caracteres. Denominado ICCID: Integrated Circuit Chip Card Identification. 5
Universidade Federal do Espírito Santo CCA UFES Conceitos Gerais O número da linha não está armazenado no cartão SIM e nem no aparelho celular. O número do cartão é associado ao seu número de telefone. Isso é realizado nos sistemas das operadoras de celular. É possível então utilizar diferentes números de linhas telefônicas com um mesmo cartão SIM. A análise deve seguir quatro etapas: preservação, extração, análise e formalização. 6
Universidade Federal do Espírito Santo CCA UFES Etapa 1: Preservação Antes de iniciar uma análise, deve-se verificar se a bateria do aparelho está carregada. Porém, os aparelhos não tem um conector padrão. Então, deve-se ter e utilizar carregadores universais. 7
Universidade Federal do Espírito Santo CCA UFES Etapa 1: Preservação Depois de carregar a bateria, o celular deve ser ligado em uma sala protegida de sinais de telefonia celular. Isso deve ser feito para evitar que o aparelho receba novas mensagens e/ou novas chamadas durante a realização dos exames. Evitando a modificação dos dados presentes na memória do aparelho. Pode-se utilizar acessórios para este bloqueio. 8
Universidade Federal do Espírito Santo CCA UFES Etapa 1: Preservação Nem sempre é possível acessar e copiar todos os dados contidos na memória de um celular. Seu acesso é diferente de outros dispositivos de armazenamento de dados. Na maioria dos casos, o acesso aos dados dos celulares deve ser realizado com o uso do próprio aparelho. Deve-se então redobrar a atenção no manuseio do aparelho durante a realização dos exames. 9
Universidade Federal do Espírito Santo CCA UFES Fase 2: Extração Após a preservação do aparelho, deve-se realizar a extração dos dados: Contatos pessoais; Mensagens; Vídeos; Imagens; etc. A extração pode ser realizada de forma manual ou de forma automática. 10
Universidade Federal do Espírito Santo CCA UFES Fase 2: Extração manual Consiste em percorrer manualmente todo o conteúdo armazenado na memória do aparelho. Utilizando a navegação pelos menus do próprio aparelho. Os dados devem ser anotados para posterior confecção do laudo. Exige cuidados na preservação dos dados. Deve-se tomar cuidado para não apagar nenhum registro contido na memória do celular. Pode-se utilizar máquina fotográfica para registrar o conteúdo das telas. Também existem dispositivos próprios para isso. 11
Universidade Federal do Espírito Santo CCA UFES Dispositivos para auxiliar o registro fotográfico das telas do celular Project-a-Phone 12
Universidade Federal do Espírito Santo CCA UFES Fase 2: Extração Automática Consiste em utilizar softwares e kits específicos para realizar a extração de dados contidos nos celulares. Tal procedimento copia todos os dados da memória dos aparelhos sem a necessidade da navegação manual. Principais meios de conexão dos celulares: Cabos de dados; e Tecnologias de transmissão sem fio: Bluetooth, Wireless e infravermelho. Quando possível, é melhor utilizar o acesso com cabos, pois é mais eficaz e seguro. O acesso por Bluetooth deve ser evitado, pois a transmissão pode gravar novos dados na memória do aparelho. 13
Universidade Federal do Espírito Santo CCA UFES Kits de acesso É ideal que o perito tenha os cabos de dados necessários. Uma solução possível é comprar um conjunto de cabos ou um kit, como o Paraben Device Seizure Toolbox e Paraben Recovery Tools. 14
CellDEK Universidade Federal do Espírito Santo CCA UFES Kits de acesso 15
Universidade Federal do Espírito Santo CCA UFES Fase 2: Extração Automática Softwares: Softwares: MOBILedit! MOBILedit! Forensic; Forensic; Oxygen Oxygen Forensics Forensics Suite; Suite; XRY; XRY; MPE+; MPE+;...... 16
Universidade Federal do Espírito Santo CCA UFES Fase 3: Análise A fase de análise costuma ser simples e rotineira: Deve-se descrever os dados presentes na memória do telefone. Costuma-se não efetuar a análise dos dados extraídos. Parte-se diretamente para a formalização dos dados extraídos. Porém, em algumas situações, torna-se necessária a análise de fotos e vídeos. Pode-se também ser necessário analisar quais foram as ligações e análises presentes, de forma a cruzar com outros números de aprelhos. 17
Universidade Federal do Espírito Santo CCA UFES Fase 4: Formalização O laudo deve conter a identificação/descrição do aparelho: O número do IMEI (para celulares do tipo GSM); Marca e modelo do aparelho celular; Estado de conservação; País de fabricação; Dados identificadores da bateria; Operadora de telefonia e número do cartão SIM (ICCID); Marca, modelo, capacidade e tipo de cartão de memória (se presente). Quando não for possível ler o IMEI da etiqueta, deve-se procurar por códigos que apresentem esse número, como: *#06#. Esses números, ao serem digitados no teclado do aparelho, apresentam na tela o número do IMEI do celular. Após a identificação, deve-se relatar os dados obtidos na extração, respondendo aos quesitos formulados. 18
Universidade Federal do Espírito Santo CCA UFES Número do aparelho Uma pergunta comum é sobre o número da linha telefônica do celular. Porém, esse número não se encontra no celular e sim no sistema da operadora. Uma forma de obtê-lo seria realizar uma ligação para um aparelho com identificador de chamadas, porém isso: Altera os dados da memória aparelho; Pode apagar a chamada mais antiga; Altera os registros de ligação na operadora de telefonia. Recomenda-se não efetuar essa chamada. Ao invés disso, deve-se descrever as considerações técnicas justificando a ausência de respostas referentes a isso. 19
Universidade Federal do Espírito Santo CCA UFES Últimas considerações Possíveis inconsistências entre os dados presentes na memória do aparelho e a realidade dos eventos. Informações de ligações: Ao realizar uma chamada e cancelá-la logo em seguida, antes da ligação ser completada, é gerado um registro na memória do aparelho que não corresponderá ao armazenado na operadora. As operadoras possuem histórico e outras informações não disponíveis no celular. O perito deve informar isso e recomendar que a autoridade realize a consulta às operadoras de telefonia celular para maior confiabilidade dos dados. 20