Documente Academic
Documente Profesional
Documente Cultură
FACULDADE DE TECNOLOGIA
DEPARTAMENTO DE ENGENHARIA ELTRICA
UNIVERSIDADE DE BRASLIA
FACULDADE DE TECNOLOGIA
DEPARTAMENTO DE ENGENHARIA ELTRICA
ii
FICHA CATALOGRFICA
SIMO, ANDR MORUM DE L.
Proposta de Mtodo para Anlise Pericial em Smartphone com Sistema Operacional Android
[Distrito Federal] 2011.
xiv, 96p, 297 mm (ENE/FT/UnB, Mestre, Engenharia Eltrica, 2011). Dissertao de
Mestrado Universidade de Braslia, Faculdade de Tecnologia. Departamento
de Engenharia Eltrica.
1. Percia Forense
3. Telefone Celular
5. Android
I. ENE/FT/UnB.
2. Anlise de Evidncia
4. Smartphone
II. Ttulo (Srie)
REFERNCIA BIBLIOGRFICA
SIMO, ANDR MORUM DE L. (2011). Proposta de Mtodo para Anlise Pericial em
Smartphone com Sistema Operacional Android. Dissertao de Mestrado em Engenharia
Eltrica, Publicao PPGENE.DM 081/2011, Departamento de Engenharia Eltrica,
Universidade de Braslia, Braslia, DF, 96p.
CESSO DE DIREITOS
NOME DO AUTOR: Andr Morum de Lima Simo
TTULO DA DISSERTAO: Proposta de Mtodo para Anlise Pericial em Smartphone
com Sistema Operacional Android.
GRAU: Mestre
ANO: 2011
iv
AGRADECIMENTOS
Ao meu orientador Prf. Dr. Flvio Elias Gomes de Deus, pela sua capacidade de coordenar
e transmitir de forma clara e objetiva os conhecimentos necessrios para a realizao deste
trabalho.
Ao Prof. Msc. Laerte Peotta de Melo, por acreditar na capacidade de seus alunos, pelo
incentivo, total disponibilidade e compartilhamento seu conhecimento sobre anlise
forense, necessrios para o desenvolvimento deste trabalho.
Ao colega de trabalho e Prof. Dr. Helvio Ferreira Peixoto que, sem demonstrar qualquer
abatimento diante das dificuldades, foi essencial para a realizao deste Mestrado,
mostrando-se como um exemplo de postura e determinao.
Ao colega de trabalho e amigo Fbio Cas Scoli, que sempre prestou apoio nos estudos
das disciplinas mais complexas, sendo um parceiro exemplar nos trabalhos de classe e um
timo revisor deste trabalho, tendo sempre a pacincia e destreza de um professor.
O presente trabalho foi realizado com o apoio do Departamento Polcia Federal DPF,
com recursos do Programa Nacional de Segurana Pblica com Cidadania PRONASCI,
do Ministrio da Justia.
RESUMO
PROPOSTA DE MTODO PARA ANLISE PERICIAL EM SMARTPHONE COM
SISTEMA OPERACIONAL ANDROID
Autor: Andr Morum de Lima Simo
Orientador: Flvio Elias Gomes de Deus
Programa de Ps-graduao em Engenharia Eltrica
Braslia, setembro de 2011
vi
ABSTRACT
PROPOSED METHOD FOR FORENSIC ANALISYS IN SMARTPHONE WITH
ANDROID OPERATING SYSTEM
Author: Andr Morum de Lima Simo
Supervisor: Flvio Elias Gomes de Deus
Programa de Ps-graduao em Engenharia Eltrica
Braslia, September of 2011
Although there are well documented and widespread approaches about forensic exam on
mobile devices and computers, they are not detailed enough to meet all the specificities of
an Android phone. The goal this work is, based on the actual guidelines of cell phones
forensic analysis, create a specific method for the ones with the Android operating system,
given the peculiarities of the platform and the situations that the forensic analyst will face.
With the increasing adoption of the Android operating system in mobile devices and the
evolution of the platform itself, there is a natural tendency of these devices increasingly
contain information that may be useful to the investigation process.
With this method, it was possible to map, through a workflow, real situations that forensic
analysts could face in the phases of cell phone seizure, data acquisition, exam and report,
giving the necessary knowledge to execute the forensic procedures in a correct way.
Case studies were proposed based on three different scenarios. The scenarios were created
from smartphones used routinely by users with different usage profiles. Thus, it was
possible to verify the work in this thesis from the application of the method in different
situations in which the analyst may come across.
vii
SUMRIO
1.
2.
INTRODUO ........................................................................................................... 1
1.1.
1.2.
JUSTIFICATIVA ................................................................................................ 3
1.3.
1.4.
METODOLOGIA................................................................................................ 6
1.5.
2.2.
3.
2.2.1.
2.2.2.
2.2.3.
2.2.4.
2.2.5.
2.3.
2.4.
3.2.
3.3.
3.4.
3.5.
3.6.
3.6.1.
3.7.
4.
3.7.1.
3.7.2.
3.7.3.
3.7.4.
APREENSO .................................................................................................... 48
viii
4.1.1.
4.1.2.
4.1.3.
4.2.
4.2.1.
4.2.2.
4.2.3.
4.2.4.
4.3.
5.
EXAME .............................................................................................................. 59
4.3.1.
4.3.2.
4.3.3.
4.3.4.
5.2.
5.2.1.
5.2.2.
Exame ......................................................................................................... 69
5.3.
5.3.1.
5.3.2.
Exame ......................................................................................................... 73
5.4.
6.
5.4.1.
5.4.2.
Exame ......................................................................................................... 83
5.5.
5.6.
CONCLUSES.......................................................................................................... 89
6.1.
ix
LISTA DE TABELAS
Tabela 3.1 - As verses da plataforma Android. ................................................................. 28
Tabela 3.2 - Comparao dos tamanhos dos arquivos Java. ............................................... 35
Tabela 3.3 - Principais diretrios dos dados do usurio do sistema Android. ..................... 41
Tabela 5.1 - Descrio dos cenrios propostos nos estudos de caso. .................................. 64
Tabela 6.1 - Cenrios utilizados para validar o mtodo proposto. ...................................... 88
LISTA DE FIGURAS
Figura 1.1 - Evoluo e previses de vendas de smartphones com os sistemas operacionais
descritos em nmeros absolutos. ........................................................................................... 4
Figura 3.1 - Evoluo dos telefones celulares ..................................................................... 22
Figura 3.2 - As camadas que compem o sistema Android (Google Inc, 2011f). .............. 27
Figura 3.3 - Ajuda da ferramenta ADB com lista de parmetros da ferramenta. ................ 38
Figura 3.4 - Comandos e filtros disponveis no logcat. ....................................................... 39
Figura 3.5 - Pontos de montagem do sistema Android. ...................................................... 39
Figura 3.6 - Comando mount do shell do Android. ............................................................. 40
Figura 3.7 - Comandos executados diretamente no shell de um Android verso 2.2.2. ..... 41
Figura 4.1 Fluxograma geral com as etapas do mtodo proposto .................................... 46
Figura 4.2 - A apreenso de um smartphone com o sistema Android................................. 48
Figura 4.3 - Etapa de aquisio dos dados de um telefone celular com o sistema
operacional Android. ........................................................................................................... 52
Figura 4.4 - Procedimentos iniciais na aquisio dos dados do dispositivo Android. ........ 54
Figura 4.5 Processos que envolvem um smartphone sem controle de acesso.................. 55
Figura 4.6 Processos que envolvem um smartphone com controle de acesso ativado. ... 58
Figura 4.7 - O exame de um smartphone com a plataforma Android. ................................ 59
Figura 5.1 Apreenso de um telefone celular sem a presena de um analista pericial. .... 63
Figura 5.2 - Aquisio de dados de um telefone sem bloqueio e sem permisses de super
usurio. ................................................................................................................................ 65
Figura 5.3 - Cpia dos dados contidos no carto de memria para a estao de trabalho do
perito. ................................................................................................................................... 66
Figura 5.4 - Ativao do modo de depurao USB para conexo via ADB. ...................... 67
Figura 5.5 - Instalao do aplicativo da Via Forensics por meio da ferramenta ADB do
SDK do Android. ................................................................................................................. 67
Figura 5.6 - Aplicativo da Via Forensics e as opes de extrao dos dados. .................... 68
Figura 5.7 Etapa de exame do cenrio 1 (Sony Ericsson Xperia X10 miniPro). ............. 70
Figura 5.8 - Fluxo do processo de aquisio de dados de um smartphone encaminhado
desligado, com bloqueio e sem acesso ADB. ...................................................................... 71
Figura 5.9 - Cpia do contedo do carto original para o carto do examinador. .............. 72
Figura 5.10 - Tentativa de acesso via ADB ao celular bloqueado. ..................................... 73
xi
xii
xiii
xiv
1. INTRODUO
O telefone celular um dispositivo usado comumente pela populao brasileira, que se
popularizou no decorrer dos anos. Pesquisa realizada pela Anatel (Agncia Nacional de
Telecomunicaes) (Anatel, 2011), informa que no ms de maio de 2011 o Brasil tinha 215
milhes de acessos na telefonia celular, apontando nos primeiros cinco meses do ano um
crescimento de 5,95%, indicando que h mais celulares habilitados do que habitantes no pas.
Esta mesma pesquisa mostra, um grande aumento do uso da rede mundial de computadores,
Internet, por meio da tecnologia de banda larga mvel 3G, com um crescimento neste ano de
27,28%. Com este nmero, o Brasil totalizava em maio de 2011 185.934.633 (cento e oitenta
e cinco milhes, novecentos e trinta e quatro mil e seiscentos e trinta e trs) terminais 3G
(Anatel, 2011). O sucesso dos dispositivos mveis de acesso Internet, a exemplo dos
smartphones, tablets, netbooks e equipamentos GPS (Global Positioning System), mostra
exatamente que a convergncia de tecnologias vem sendo bem aceita pelo mercado.
A partir da, com a popularizao da Internet, o advento das redes mveis e a disseminao
dos dispositivos mveis, nota-se que o mercado, com o apoio do avano tecnolgico, vem
apostando cada vez mais em dispositivos que ofeream convergncia destas tecnologias.
Com o avano tecnolgico, o mercado dos telefones celulares evoluiu de tal forma que
atualmente tm-se os smartphones. Esses so dispositivos que possuem um grande poder
computacional, oferecendo aos usurios uma grande diversidade de aplicaes que podem
utilizar recursos providos pela Internet. Os telefones celulares esto entre os dispositivos mais
populares, sendo os smartphones entre os objetos de maior desejo daqueles que gostam de
tecnologia e buscam facilitar o acesso a diversas fontes de informao.
Neste cenrio, os sistemas operacionais voltados para estes dispositivos aumentaram suas
funcionalidades a fim de suprir a necessidade do usurio. V-se dispositivos com 2GB de
memria RAM integrada, aceleradores grficos e processadores de mais de 1GHz, com
ncleo duplo, onde o sistema operacional atua de forma a prover todos os servios ao usurio.
Conforme citado por Jansen e Ayes (Jansen e Ayers, 2007), a comunidade forense se depara
com constantes desafios para se manter atualizada na busca por evidncias relevantes
investigao. Os telefones celulares so utilizados por muitas pessoas no seu dia-a-dia, tanto
para fins pessoais como profissionais, sendo uma potencial fonte de informao para um
determinado apuratrio.
O aumento dos recursos providos pelo SO dos dispositivos mveis, da capacidade de
processamento e armazenamento do hardware e a diminuio do seu custo, tornam os
smartphones grandes provedores de informao. A anlise pericial nesse tipo de dispositivo
pode trazer muitas informaes a respeito do seu usurio, uma vez que funcionalidades como
armazenamento de arquivos, histrico de Internet, agenda, contatos, e at mesmo acesso a
servios de computao em nuvem, estaro disponveis no smartphone. Do ponto de vista
pericial, medida que as caractersticas do hardware e, principalmente, do software do
smartphone forem compreendidas, possvel definir como ele deve ser manuseado e onde as
informaes relevantes esto presentes no dispositivo.
1.1.
DEFINIO DO PROBLEMA
A partir da evoluo dos telefones celulares para os chamados smartphones, pode-se notar
tambm a mudana nos perfis dos seus usurios. Desta forma so considerados trs diferentes
grupos (Speckmann, 2008):
O usurio normal: que utiliza apenas as aplicaes bsicas do telefone celular, tais
como servio de mensageria SMS (Short Message Service), realizao de chamadas,
calculadora, armazenamento de contatos e despertador;
Cada um dos usurios tem necessidades diferentes, sendo que a plataforma Android consegue
atingir todos estes grupos de usurios de forma indiscriminada, por conta da utilizao de um
ambiente altamente amigvel, portvel e com grande capacidade tecnolgica.
No dispositivo mvel com Android pode-se definir aplicaes nativas quelas que vm instaladas de fbrica no
sistema oferecido pela Google, ou seja: Gmail, Gtalk, Android Market, Cmera, Contatos, E-mail Corporativo,
Mapas, Relgio, Agenda, YouTube, Pesquisa, Calculadora e Galeria. Estes aplicativos so disponibilizados no
emulador do sistema operacional Android disponibilizado no seu SDK (Software Development Kit) e podem
sofrer alteraes a depender da sua verso.
2
Desta forma, os smartphones com a plataforma Android conseguem atingir uma grande
parcela dos usurios. Alm disso, devido capacidade da plataforma Android de prover um
grande nmero de funcionalidades, o dispositivo armazena valiosas informaes sobre seu
proprietrio, o que o configura como um repositrio de provas para fatos que se queira
elucidar ou, simplesmente, mais uma fonte para obter informaes a fim de subsidiar uma
investigao.
Diferentemente da abordagem de aquisio de dados em ambientes computacionais, em que
geralmente os dados so extrados no estado em que foram encontrados, ficando preservados
na sua integralidade, a extrao de dados dos smartphones normalmente necessita de alguma
iterao no dispositivo, que utiliza procedimentos diferentes a depender do sistema
operacional utilizado. Alm disso, nota-se que utilizam memrias embutidas, cujo acesso,
sendo direto ao hardware, delicado e complexo. Assim, preciso instalar aplicativos ou
utilizar ferramentas diretamente no dispositivo para que se proceda anlise pericial dos
dados armazenados de forma mais intuitiva.
Assim, necessria a criao de um mtodo para realizar a correta extrao dos dados destes
equipamentos, dada as situaes que sero encontradas, devido aos diferentes perfis dos
usurios dos smartphones Android e das funcionalidades do dispositivo mvel, a fim de evitar
que informaes importantes investigao deixem de ser coletadas pela equipe de analistas
periciais que realizaro o exame pericial no telefone celular.
Dada a grande variedade de equipamentos que possui o sistema operacional Android, este
trabalho limita-se a realizar a pesquisa nos dispositivos mais bem aceitos pelo mercado, ou
seja, nos smartphones, onde o Android conseguiu se destacar. Isso no significa que o mtodo
a ser proposto no possa ser utilizado nos outros dispositivos, entretanto sugere-se sua
validao ou aplicao crtica, tendo em vista o foco da dissertao.
1.2.
JUSTIFICATIVA
Com relao aos smartphones, nota-se um fenmeno que foi anlogo ao que ocorreu com os
computadores h algumas dcadas. Inicialmente, cada telefone celular executava um sistema
embarcado prprio e especfico. Nos ltimos anos, est havendo uma popularizao de
plataformas comuns de software para diferentes telefones celulares.
Dentre os sistemas operacionais (SO) disponveis para este tipo de plataforma, esto o iOS
(sistema instalado nos dispositivos mveis da Apple), o Windows Phone, Symbian OS para
dispositivos Nokia, BlackBerry e o Android OS disponibilizado pela Open Handset Alliance.
Segundo pesquisas do Gartner Group (Pettey e Stevens, 2011), no final do ano de 2011 o
Android OS se tornar o sistema operacional mais popular no mundo, com 38,5% do
mercado, com previses de crescer mais 10,7%, chegando a 49,2% do mercado mundial em
2012. A Figura 1.1 mostra o crescimento da plataforma Android em nmeros absolutos. Outro
dado interessante nesta pesquisa referente popularizao dos smartphones, que segundo a
Gartner, em 2015 custaro menos de US$300,00, chegando a conquistar 67% do mercado.
Nesta pesquisa, foi possvel observar que o Android OS a plataforma que mais cresce.
Associando aos dados de outra pesquisa da Gartner feita em 2010 (Pettey e Tudor, 2010), em
2009 o Android OS possua apenas 3,9% do mercado americano, com os dados na nova
pesquisa, tem-se em 2010 o Android OS com 22,7% do mercado j conquistado a nvel
mundial, um crescimento considervel dado um perodo de apenas um ano.
Figura 1.1 - Evoluo e previses de vendas de smartphones com os sistemas operacionais descritos
em nmeros absolutos2.
Trata-a de um sistema aberto baseado em Linux, kernel 2.6, desde sua verso 1.5,
disponibilizada por grandes empresas de TI do mercado, que se uniram em um consrcio
chamado Open Handset Alliance (OHA), liderado pela Google. Alm disso, possui diversos
recursos, a exemplo de suporte a multimdia, Java, aplicaes 3D, SQLite, geolocalizao,
GSM (Global System for Mobile Communications), navegao web (Google Inc, 2011f).
Tem-se tambm nesta plataforma uma interface muito amigvel e de fcil portabilidade entre
diversos hardwares dos diferentes fabricantes de dispositivos mveis.
A partir do que foi demonstrado, temos na plataforma Android um smartphone com grande
aceitao no mercado mundial. Do ponto de vista pericial, vemos que a anlise forense de
telefones celulares a cincia de recuperao de informaes digitais destes dispositivos que,
assim como a cincia forense como um todo, tem que utilizar tcnicas bem fundamentadas e
aceitas pela comunidade forense. Assim, a criao de um mtodo de anlise forense de
dispositivos mveis com sistema operacional Android, baseado em modelos j aceitos pela
comunidade, descrevendo as peculiaridades do sistema, visa auxiliar o Perito a atuar de forma
correta com este tipo de dispositivo mvel, orientando-o a buscar as informaes disponveis
no sistema da forma menos invasiva possvel, por meio de um mtodo forense voltado para
ambiente mvel, a fim de que a evidncia possa ser extrada e analisada de forma a ser til e
incontestvel para o processo investigativo.
Segundo o NIST (National Institute of Standards and Technology), a anlise forense em
telefones celulares deve passar pelos processos de apreenso, aquisio, exame e relatrio
(Jansen e Ayers, 2007). Assim, algumas tcnicas devem ser estudadas e usadas, a depender da
configurao do dispositivo, a fim de se criar um mtodo para analisar as informaes
presentes.
Sero estudadas as caractersticas da plataforma Android sob o ponto de vista pericial, nas
etapas de apreenso, aquisio, exames e documentao (gerao do relatrio/laudo).
Tambm sero avaliados os aplicativos instalados na plataforma. Ser definido um mtodo
para extrao e anlise das informaes teis do sistema operacional. O mtodo ser
composto por um conjunto de regras e procedimentos que tem como finalidade obter a
informao armazenada no dispositivo, dada as diferentes situaes que o analista pode se
deparar, a exemplo de smartphone desbloqueado de um usurio comum, ou um smartphone
com permisses de super usurio, ou com acesso de depurao via USB (Universal Serial
Bus) ativado.
5
A partir da situao encontrada, ser realizada a extrao das informaes que puderem ser
acessadas, a exemplo dos histricos de Internet, mensagens de texto, mensagens eletrnicas,
lista de contatos e sua ligao com possveis redes sociais, registro de chamadas, imagens,
dentre outras, por meio do uso de tcnicas que possam ser adotadas como padres para anlise
pericial desses dispositivos.
1.3.
OBJETIVO DA DISSERTAO
Definir quais procedimentos a serem adotados para cada etapa do processo de anlise do
smartphone Android.
Sero mostradas que as abordagens existentes at a concluso deste tabalho para forense em
telefones celulares so deficientes ou incompletas a fim de se realizar uma anlise pericial em
um smartphone com o sistema operacional Android. Assim, ser proposto um mtodo para
orientar o analista pericial, que ter como misso extrair as informaes do dispositivo mvel
Android, fornecendo para equipe de investigao a informao possvel de ser obtida, dada
situao em que o mesmo foi encaminhado para anlise.
1.4.
METODOLOGIA
Para proposio do mtodo criado neste trabalho, optou-se por incialmente realizar uma
reviso da literatura sobre anlise pericial em telefones celulares e dispositivos mveis.
ORGANIZAO DO TRABALHO
Ante o exposto, a dissertao foi dividida em 6 (seis) captulos. Neste captulo foi realizada
uma introduo do trabalho, onde definido o problema a ser resolvido, sua justificativa e os
objetivos do trabalho. O captulo 2 fornece uma viso das abordagens usadas atualmente nos
Estados Unidos, Inglaterra e Holanda, para anlise de telefones celulares, atentando para o
fato da apreenso, aquisio da informao, exame e documentao do processo forense.
No captulo 3 descrita a plataforma Android, suas principais caractersticas, suas verses e
suas funcionalidades, fornecendo uma base para entendimento do sistema operacional.
Apresenta tambm a estrutura do sistema e da plataforma sob o ponto de visa forense, com
detalhes sobre o funcionamento do sistema e consequentemente, onde os dados esto
armazenados e como so acessados.
O captulo 4 apresenta de forma clara, objetiva e diagramada o mtodo proposto para extrao
da informao do smartphone com o sistema operacional Android, com a finalidade de
detalhar ao analista pericial como deve proceder nas etapas de apreenso, aquisio dos
dados, exames e gerao do relatrio/laudo (documentao);
No captulo 5 sero apresentados estudos de caso, aplicando o mtodo proposto em trs
cenrios distintos. Um com o celular ligado, sem bloqueio e sem permisses de super usurio;
outro cenrio com celular desligado, com bloqueio e sem acesso de depurao e; no ltimo
cenrio um celular bloqueado, com acesso de depurao restrito, e com permisses super
usurio.
Finalmente, o captulo 6: conclui o trabalho, apresentando uma sntese dos resultados obtidos
a partir da validao do mtodo proposto, descrevendo sua relevncia. Tambm so propostos
trabalhos futuros, as dificuldades encontradas, assim como apresenta formas de se dar
continuidade ao trabalho desenvolvido.
Estados Unidos (Ashcroft, 2001), ACPO (Association of Chief Police Officers, 2008) e NFI
(Netherlands Forensic Institute, 2007), uma vez que possuem procedimentos que so os mais
utilizados e aceitos atualmente, inclusive pela Polcia Federal do Brasil. Conhecendo estas
abordagens, possvel propor um mtodo para anlise forense especfico para a plataforma
Android, abrangendo as peculiaridades desse ambiente.
2.1.
TELEFONE CELULAR
Antes de efetivamente extrair os dados dos telefones celulares, deve-se fazer a correta
preservao do dispositivo para que chegue a um analista pericial na melhor condio
possvel para se realizar o exame. A apreenso tem por objetivo preservar as evidncias de tal
forma a evitar a perda ou alterao da prova a ser apreendida. Tambm envolve a busca por
mdias eletrnicas que possam possuir informao til a respeito do que esta sendo
investigado. A questo mais importante preservar de forma adequada os dispositivos que
forem apreendidos, documentando-os conforme preconiza o Cdigo de Processo Penal
Brasileiro (Brasil, 2003) e os normativos vigentes (DITEC/DPF, 2010).
Segundo o Departamento de Justia Norte Americano (Ashcroft, 2001), na etapa de
apreenso, a equipe tem o dever de avaliar e preservar a cena, document-la, coletar as
evidncias, realizar o acondicionamento, transporte e armazenamento da evidncia de forma
confivel, evitando danific-la, primando pela sua preservao.
Tanto o NIST (Jansen e Ayers, 2007), a ACPO (Association of Chief Police Officers, 2008),
quanto o NFI (Netherlands Forensic Institute, 2007), descrevem que ao se deparar com
dispositivos mveis, deve-se lidar com a evidncia de acordo com o que est sendo apurado.
Por exemplo, deve-se atentar para o fato que o dispositivo pode conter evidncias como DNA
ou impresses digitais, que podem ser destrudas ou contaminadas se este for indevidamente
manuseado. Deve-se tambm observar o fato que h casos em que a tela de descanso ativada
ou o telefone desligado e, para se obter acesso ao telefone, pode ser necessrio passar por
um sistema de autenticao, devendo assim avaliar a questo do desligamento ou no do
equipamento, devendo acondicion-lo de tal forma que no sofra acionamento das teclas de
forma acidental. Deve-se tambm observar os acessrios do equipamento, uma vez que no h
padronizao, por exemplo, do carregador.
10
Apesar de o NIST recomendar evitar entrar no local com dispositivos Wi-Fi e Bluetooth
ativados, para no ocorrer interaes indesejadas com o objeto da busca (Jansen e Ayers,
2007), o analista pericial pode avaliar a utilizao destes recursos para buscar por
equipamentos que possam estar utilizando destas tecnologias para facilitar a documentao e
at mesmo encontrar um equipamento escondido. Tambm devem ser arrecadados os
acessrios dos dispositivos, como baterias, carregadores, e docking stations, principalmente
quando se tratar de um telefone celular mais simples ou com baixa aceitao no mercado.
interessante buscar por cartes SIM (Subscriber Identity Module) e memrias removveis,
pois estas podem conter informaes teis ao apuratrio. Deve-se entrevistar os donos dos
equipamentos arrecadados a fim de obter possveis senhas de acesso.
No processo de busca e apreenso, a cena poder ser fotografada e, se houver a presena de
um perito na equipe, em havendo necessidade, ser realizado um laudo de local onde
constaro informaes acerca de todas as evidncias coletadas. Deve-se atentar tambm para
os dispositivos mveis que estiverem conectados s docking stations ou ao computador, pois
pode estar ocorrendo transferncias de dados que, caso sejam interrompidas, podero cessar a
transferncia de dados ou sincronizao (Jansen e Ayers, 2007).
As abordagens empregadas pelo NIST, ACPO e NFI descrevem a importncia de isolar o
dispositivo mvel da rede de comunicao. Assim, evita-se que dados recebidos pelo
dispositivo aps a sua apreenso no sobrescrevam dados j existentes. Pode-se citar o
exemplo das mensagens de texto SMS que, em alguns modelos de telefones celulares,
sobrescrevem automaticamente as mais antigas quando uma nova mensagem chega. Assim,
pode-se utilizar um invlucro que bloqueia o recebimento dos dados para acondicionamento
ou deve-se desligar o aparelho no momento em que for apreendido. Outra opo seria ativar o
modo avio (offline) nos dispositivos que tiverem tal opo, a fim de evitar o desligamento
completo do equipamento, inclusive economizando o consumo de bateria.
Cada uma das trs alternativas tem suas vantagens e desvantagens, que devem ser levadas em
considerao a depender do caso ou do alvo investigado. O desligamento do dispositivo pode
dificultar o seu acesso quando da realizao dos exames, uma vez que cdigos de autenticao
podem ser solicitados quando do seu religamento. J o isolamento em uma sacola de bloqueio
de sinal, pode aumentar significativamente o consumo da bateria do dispositivo, uma vez que
o mesmo aumentar a potncia de sua antena para tentar encontrar uma torre mais distante
(Association of Chief Police Officers, 2008). Finalizando, a ativao do modo avio exigir
11
uma interao de uma agente da lei com o dispositivo, sendo que nem sempre esta pessoa est
habilitada para realiz-la, o que feriria uma das premissas da preservao, uma vez que o
dispositivo s poderia ser manuseado por pessoa habilitada, ou at mesmo uma interao
antes da realizao dos exames pode no ser adequada.
2.2.
A Cadeia de Custdia um processo usado para manter e documentar a histria cronolgica da evidncia, para
garantir a idoneidade e o rastreamento das evidncias utilizadas em processos judiciais (Lopes, Gabriel e Bareta,
2007).
13
extrao fsica dos dados um procedimento mais complexo, uma vez que o carto possui
recursos de proteo.
Tanto a obteno e anlise dos dados do carto SIM como a extrao fsica dos dados de um
telefone celular no so objetos do mtodo proposto neste trabalho. Os mtodos de extrao
do carto SIM se encontram bem documentados e seguem padres bem definidos. J a
extrao fsica dos dados de um telefone celular algo que pode ser muito complexo, pois
depende de caractersticas de hardware do dispositivo, variando significativamente o mtodo
empregado a depender do fabricante e modelo.
2.2.4. Cdigos de segurana e controle de aceso
Muitos dispositivos mveis possuem formas de controle de acesso s suas funcionalidades.
Os dispositivos GSM com PIN ativado um tipo de dispositivo bloqueado, cujo acesso s
concedido quelas pessoas que conhecem a senha de quatro dgitos a ser fornecida. Alm de
bloqueios fornecidos pelo carto SIM, h tambm aqueles fornecidos pelo sistema
operacional do equipamento. Entre exemplos de bloqueios realizados pelo sistema
operacional, est o cdigo de acesso do iOS da Apple no iPhone e o uso da combinao ttil
do SO Android e at mesmo o uso de biometria com o reconhecimento da impresso
datiloscpica.
Um carto SIM bloqueado s poder ser acessado atravs da digitao do cdigo PIN, que
normalmente configurado pelo usurio, e, caso este cdigo seja digitado incorretamente por
trs vezes, o carto solicitar o cdigo PUK. O PUK pr-configurado de fbrica e
fornecido no momento da aquisio do carto SIM. Outra forma de se obter o PUK por
meio de informao da operadora de telefonia ao qual o carto est vinculado. Caso o PUK
seja digitado errado dez vezes o carto SIM definitivamente bloqueado. Assim,
recomendvel que o analista pericial verifique a quantidade de vezes que o PIN foi digitado
incorretamente, e apenas tente a utilizao de cdigos PIN padro se no restar apenas uma
tentativa de erro. Com relao ao cdigo PUK, o recomendado no realizar nenhuma
tentativa, pois pode levar o carto SIM a um bloqueio definitivo (Association of Chief Police
Officers, 2008).
importante o examinador se atentar ao fato de manusear o mnimo possvel o equipamento a
ter os dados extrados. Alguns dispositivos, ao terem seu carto SIM substitudo, perdem
algumas informaes que estavam armazenadas em sua memria.
16
17
18
O exame a etapa onde o analista pericial extrara as informaes relevantes dos dados que
foram adquiridos na etapa anterior. H a necessidade que o especialista tenha o conhecimento
necessrio para lidar com a evidncia, devendo ter treinamento especfico para esta finalidade
(Ashcroft, 2001). Os exames realizados em telefones celulares devem ter um objetivo claro
daquilo que se est buscando, onde o examinador deve ter conhecimento do caso em questo.
Caso contrrio, o relatrio (laudo) descrevendo o resultado dos exames no passar de uma
simples extrao das informaes que estavam no telefone celular para outro tipo de suporte,
a exemplo do papel ou uma mdia tica.
Observando o que ocorre atualmente no processo investigativo brasileiro, a autoridade que
realiza a solicitao formal do exame deve buscar esclarecer ao mximo em tal documento o
motivo que ensejou o pedido. H casos que, a depender daquilo que se est sendo apurado, o
exame pode seguir paradigmas diferentes na anlise dos dados extrados do telefone celular.
Por exemplo, em um caso de abuso sexual infantil, o examinador deve iniciar o exame
buscando imagens e vdeos que possam ter relao com o objeto da solicitao. J em casos
de trfico de drogas, a troca de mensagens e relao dos contatos pode ser o primeiro passo.
importante esclarecer que exame em telefones celulares visa buscar evidncias que podem
ou no estar relacionada com o caso, e tambm complement-lo, ou ajudar em outros exames
19
que podem vir a ser solicitados. Exemplos desta situao so as anotaes de senhas e e-mails
que podem ser usados a posteriori.
A individualizao do telefone celular, associando-o ao seu proprietrio importante e
desejvel. A partir da identificao do proprietrio, seja no momento da aquisio e
identificao ou no momento do exame, buscando provas que apontem a propriedade para um
determinado indivduo, possvel determinar autoria. Deve-se considerar que h situaes em
que o proprietrio da linha pode no ser o usurio do telefone celular, podendo esse ser um
parente, sua linha clonada ou o carto SIM furtado (no caso de tecnologia GSM).
importante a caracterizao de propriedade por meios mais seguros e eficazes, a exemplo da
individualizao do telefone celular pela anlise dos dados extrados. No caso de telefones
celulares com a plataforma Android, possivelmente haver uma conta dos servios da Google
associado ao dispositivo, podendo o investigador obter informaes individualizadoras, a
exemplo do e-mail pessoal e fotos armazenadas no dispositivo.
Na anlise dos dados extrados, o examinador deve basicamente se atentar para configuraes
como data e hora, linguagem, configuraes regionais, contatos, agenda, mensagens textuais,
chamadas (realizadas, recebidas e no atendidas), imagens, vdeos, udio e mensagens
multimdias (Jansen e Ayers, 2007). Entretanto, com a evoluo dos telefones celulares, a
complexidade dos exames tem aumentado, uma vez que os analistas devem buscar tambm emails, histricos de navegao web, documentos, informaes do GPS, aplicativos
especficos, informaes relativas computao em nuvem, e tambm examinar a mdia
removvel que est sendo usada pelo telefone celular, devendo, a depender da situao,
fornecer subsdios autoridade que coordena a investigao para solicitar mais exames.
Ainda segundo Jansen e Ayers, o analisa pericial e o investigador devem buscar informaes
sobre os envolvidos (quem), determinar a natureza dos eventos (o que), buscar a cronologia
dos eventos (quando), determinar a motivao (por que) e como o ato delituoso ocorreu,
similarmente ao que ocorre em percias de computadores.
Dada a grande variedade de telefones celulares e sistemas operacionais voltados para estes
tipos de dispositivos, v-se ento que necessrio descrever mtodos de analise forense
especficos, que sero utilizados a depender da marca, modelo e sistema operacional do
dispositivo. Ante o exposto, necessrio que o examinador se especialize em especficos tipos
20
de telefones celulares, uma vez que o mtodo utilizado em uma situao pode no ser
adequado em outra (Ashcroft, 2001).
2.4.
O RELATRIO (LAUDO)
O relatrio deve ser um documento sucinto que contenha todas as informaes importantes do
processo de apreenso, aquisio e exame. Consideraes tcnicas a respeito dos
procedimentos e mtodos utilizados no processo de forense do telefone celular devem ser
documentadas e estar com uma linguagem clara e compreensvel mesmo por pessoas que no
sejam da rea de tecnologia. O examinador relator deve estar atento que o judicirio
composto por indivduos que normalmente no possuem grande afinidade com a rea de
tecnologia, devendo usar um linguajar simples e direto no relatrio, sem deixar de esclarecer
os procedimentos utilizados.
O momento para se redigir o relatrio quando o examinador j esgotou todas as
possibilidades de interpretar os dados extrados do telefone celular e j possui as concluses
pertinentes que devem ser agora documentadas de forma clara, objetiva e conclusiva. Todo o
recurso disponvel deve ser utilizado pelo examinador para poder passar aos leitores as
informaes obtidas no decorrer dos exames. Figuras, tabelas, anexos, mdias ticas com
vdeos extrados, devem ser utilizados para evitar que informaes importantes, evidenciadas
pelo examinador durante as outras etapas, no deixem de ser documentadas (Jansen e Ayers,
2007). O examinador deve ter em mente que o resultado de todo o seu trabalho o relatrio.
O relatrio deve conter, alm dos procedimentos e resultados obtidos, informaes claras a
respeito do caso, descrio do dispositivo examinado, identificao do examinador,
identificao do solicitante dos exames, a data de recebimento da solicitao, a data de
emisso do relatrio, e uma concluso clara e concisa a respeito daquilo que foi solicitado.
21
3. A PLATAFORMA ANDROID
Na Figura 3.1 apresentada a evoluo dos telefones celulares que, com o passar dos anos,
demonstra a crescente necessidade dos usurios em agregar cada vez mais informao nesta
tecnologia, o que leva ao momento que se vivencia atualmente com o advento dos
smartphones.
3.1.
O primeiro prottipo de telefone celular foi apresentado pela Motorola em 1973. Foi
desenvolvido por Martin Cooper (Farley, 2005). Se chamava DynaTAC 8000X, possua
aproximadamente 30 centmetros, pesava quase 1 quilo e custava US$ 3.995,00, colocado a
venda comercialmente dez anos mais tarde, em 1983, quando j possua bateria suficiente
para uma hora de conversao e memria para armazenar 30 nmeros telefnicos (Cassavo,
2007).
Em 1982, a empresa Nokia apresentou o primeiro telefone comercial. Seu nome era Mobira
Senator e pesava 8,6 quilos a mais que o seu concorrente da Motorola, lanado em 1983
22
(Speckmann, 2008). Apesar de ser lanado antes do telefone da Motorola, o seu uso era mais
voltado para automveis uma vez que era muito pesado (Cassavo, 2007).
Em 1993, a IBM (Bell South) apresentou o primeiro telefone celular com caractersticas de
PDA (Personal Data Assistant) (Cassavo, 2007), o Simon Personal, que possua funes de
pager, calculadora, calendrio, assim como fax e e-mail. Pesava em torno de 600 gramas e era
vendido por US$ 899,00.
Em 1996, a Motorola apresentou o seu modelo StarTac, com apenas 87 gramas, que foi um
sucesso por apresentar funcionalidades desejadas pelos usurios (agenda, registro e
identificador de chamadas) e ser um aparelho com uma esttica diferenciada, o que agradou o
mercado (Cassavo, 2007).
A Nokia obteve sucesso com os celulares com um desenho diferenciado (candybar-style) no
final de dcada de 90, com o lanamento do celular modelo 6160, no ano de 1998, com 170
gramas, e 8260, no ano de 2000, com 96 gramas (Cassavo, 2007). Esta linha de celulares j
apresentava funes como calendrio e despertador, com cabos de comunicao proprietrios
e comunicao infravermelha.
O primeiro telefone celular a possuir o sistema operacional Palm foi introduzido pela Kyocera
no ano de 2000, no modelo QCP6035. J em 2002, foi apresentado pela empresa americana
Danger Hiptop (T-Mobile Sidekick), um dos primeiros aparelhos celulares com navegador
web, mensagem eletrnica e mensageria instantnea (Speckmann, 2008).
Com toda a evoluo da tecnologia de telefonia celular, com melhorias na rede e aumento do
poder computacional, foram lanados vrios celulares com as caractersticas dos telefones
celulares convencionais da atualidade. Em 2002, a empresa Research In Motion (RIM),
lanou o BlackBerry 5810, com funcionalidades de mensageria eletrnica, organizador
pessoal, calendrio e teclado fsico. Em 2003, a Nokia lanou o N-Gage, que era um
aparelho celular que tambm funcionava como um videogame porttil. J a Motorola investiu
no design dos aparelhos celulares, obtendo ainda mais sucesso no seu fino telefone celular
RAZR v3 em 2004, popularizando o telefone celular, uma vez que era desejado por pessoas
que possuam diferentes utilidades para o uso do aparelho (Cassavo, 2007). J a RIM lanou
em 2006 seu primeiro equipamento com cmera embutida e tocador de udio e vdeo.
23
Em 2007, a empresa Apple provocou uma grande revoluo nos telefones celulares ao
apresentar o modelo iPhone. Aparelho que possua um grande poder computacional,
portabilidade e design, apresentando aos padres atuais os chamados smartphones.
Em 2008, a Open Handset Alliance (OHA) lanou oficialmente o sistema operacional para
dispositivos mveis Android. Foi uma reposta das empresas lderes do mercado de telefonia
celular, juntamente com a empresa Google, ao iPhone da Apple, apresentando uma
plataforma to funcional como a do concorrente, entretanto baseada em um sistema aberto e,
consequentemente, mais barato. O primeiro celular com o sistema operacional Android a ser
comercializado foi o HTC T-Mobile G1 em 2008.
Ainda em 2008, a Apple lanou seu novo modelo, o iPhone 3GS, com GPS e conectividade
3G integrados no aparelho. Em 2009 a Motorola lanou o seu modelo Droid (equivalente ao
modelo Milestone no Brasil) que fez frente ao modelo da Apple, apresentando uma
plataforma com um hardware to bom quanto o do concorrente.
Em 2010, foram lanados os modelos iPhone 4, Nexus S e Samsung Galaxy S, com
melhorias de desempenho, design e interface com o usurio. Neste ano nota-se que o mercado
de smartphones conseguiu acompanhar o desenvolvimento da at ento lder de mercado,
Apple, ao lanar dispositivos com funcionalidades to similares no mesmo perodo.
Em 2011, so disponibilizados no mercado os primeiros dispositivos mveis Android com a
tecnologia mvel de acesso a Internet 4G e HSPA+ (High Speed Packet Access), enquanto
ainda aguardado o lanamento do novo telefone da Apple iPhone 5.
J as empresas como Microsoft e Nokia, aquela sem sucesso em adotar sua plataforma
Windows Phone (antigo Windows CE) e essa perdendo mercado uma vez que seu sistema
operacional apresentou limitaes na evoluo das funcionalidades disponveis nos
dispositivos mveis, se uniram em 2011 para tentar ganhar mais espao no mercado dos
smartphones pertencente Apple e ao Android (Cavaleiro, 2011).
3.2.
24
26
Figura 3.2 - As camadas que compem o sistema Android (Google Inc, 2011f).
O sistema operacional Android foi escrito para prover ao usurio uma srie de
funcionalidades padres que so incorporadas no prprio sistema. A seguir, so listadas as
funcionalidades disponibilizadas pelo Android (Google Inc, 2011f):
5
6
Telefonia GSM6;
http://www.webkit.org/
Depende diretamente do hardware prover os recursos.
27
3.3.
VERSES DO ANDROID
A Android Inc. era uma pequena empresa localizada na Califrnia, EUA, fundada por Andy
Rubin e Rich Miner. O objetivo da empresa era desenvolver um sistema operacional para
dispositivos mveis (Bahareth, 2010).
Em 2005, a Google Inc. adquiriu a Android Inc. e manteve os principais funcionrios da
empresa, a exemplo dos seus fundadores Andy Rubin e Rich Miner. A aquisio deixou claro
a inteno da Google em entrar para o mercado de dispositivos mveis.
Em 2007, foi fundada a Open Handset Alliance, composta de vrias companhias que
trabalhavam no mercado de dispositivos mveis, dentre elas a Google Inc., com a finalidade
de desenvolver padres abertos para estes tipos de equipamentos. Desta forma, a adoo do
Android como plataforma principal para estabelecer tais padres, ampliou os investimentos na
plataforma.
A Tabela 3.1 mostra as verses da plataforma Android e uma breve descrio de suas
funcionalidades associadas (Google Inc, 2011c).
Tabela 3.1 - As verses da plataforma Android.
Verso
1.0
1.1
1.5 (Cupcake)
Funcionalidades
Disponibilizada no primeiro smartphone com Android, o T-Mobile G1,
da HTC, que foi colocado a venda em 22 de outubro de 2008. J
possua as funcionalidades: alarme, navegador web, calculadora,
cmera, contatos, discador, e-mail, mapas, mensageria, msicas,
imagens, Android Market e configuraes.
Lanada em fevereiro de 2009. Corrigiu vrios problemas encontrados
na verso anterior, adicionando algumas pequenas funcionalidades s
funes j existentes. Foi uma atualizao da verso 1.0 apenas para o
celular T-Mobile G1 da Google.
Lanada em maio de 2009, foram includas novas funcionalidades ao
sistema. Foi a primeira verso que teve uma boa aceitao comercial.
1.6 (Donut)
2.2 (Froyo)
3.4.
30
31
requerido pela aplicao, que est vinculado a compatibilidade com as verses do Android
(Google Inc, 2011b).
Dentre outras funes, o arquivo manifest utilizado para requerer ao usurio permisses de
acesso a recursos instalados no telefone celular, como por exemplo, ler os contatos ou realizar
escrita no carto SD e at mesmo os recursos de hardware, como acesso a cmera, bluetooth
ou tela multitouch.
3.5.
O ANDROID MARKET
A plataforma Java foi criada pela Sun em 1995. Desde sua publicao, seu objetivo era provar
uma plataforma de desenvolvimento e execuo com aplicativos portveis que pudessem ser
utilizados em vrios ambientes de execuo, ou seja, escreva uma vez, rode em qualquer
lugar (Ehringer, 2008).
A Google adotou o Java como plataforma de desenvolvimento e execuo do seu sistema
operacional para dispositivos mveis, o Android. Entretanto, optou por no utilizar a
tecnologia Java padro, optando pela Dalvik Virtual Machine (DMV), com uma
implementao limitada das bibliotecas padres.
32
Em ambiente de desktop, Java Standard Edition - JSE, e de servidor, Java Enterprise Edition
- JEE, a plataforma Java conseguiu atingir o seu objetivo. Entretanto, a implantao em
ambiente porttil de dispositivos pessoais mveis no teve a mesma receptividade. Apesar de
ter sido lanado o JME (Java Micro Edition), com o foco do mercado de dispositivos mveis,
oferecendo uma plataforma de desenvolvimento mais reduzida (dada a limitao de hardware
imposta), ele teve baixa aceitao.
A utilizao de uma tecnologia no padronizada pode trazer consequncias futuras que
acabam a enfraquecendo. Afinal, a utilizao daquilo que no condizente com o padro de
mercado acaba dividindo a tecnologia, o que leva, no caso do Java, a mudar o foco inicial da
sua criao, que seria sua fcil portabilidade (Ehringer, 2008). Entretanto, o pouco sucesso do
Java da Sun entre os desenvolvedores de tecnologias mveis, se d devido falta de uma
plataforma que pudesse oferecer um desempenho aceitvel em hardware de baixo
desempenho.
A Mquina Virtual Dalvik conseguiu utilizar vrias funcionalidades da JVM, assim como de
todas as bibliotecas padres Java, e ainda sim prover customizaes adequadas ao ambiente
mvel (Ehringer, 2008), motivo pelo qual a Google a adotou em seu sistema operacional
mvel.
A plataforma Android foi concebida para funcionar exclusivamente em dispositivos mveis, a
exemplo de telefones celulares e tablet PCs. Alguns requisitos mnimos de hardware foram
descritos e mudam dependendo da verso do Android a ser instalado no equipamento (Google
Inc, 2011d).
Dada a variedade de dispositivos mveis que podem suportar o sistema operacional Android,
a portabilidade da camada de aplicao, com abstrao do hardware, vital para a existncia
do sistema. Para poder manter a estabilidade e segurana do sistema Android, dada esta
diversidade de aplicaes que so desenvolvidas por diferentes desenvolvedores, importante
que os programas rodem em ambiente controlado, segregado e independente, de tal forma que
no influenciem na robustez do sistema e na estabilidade dos demais aplicativos.
Partindo da premissa da necessidade de se ter um sistema que possa ter um ambiente de
execuo com limitada velocidade de processador, sem espao para paginao, alimentado
por bateria, memria RAM limitada, grande variedade de dispositivos, e aplicaes que
rodem em espao independente e reservado, foi necessrio escolher a Mquina Virtual
33
Dalvik, pois consome pouca memria, consegue isolar as aplicaes em tempo de execuo e
usa a linguagem bem difundida Java.
Cada aplicao Android roda seu prprio processo, com sua prpria instncia da mquina
virtual Dalvik. A DVM foi desenvolvida para que cada dispositivo rode mltiplas mquinas
virtuais eficientemente. A fim de diminuir o consumo de memria, a DVM executa arquivos
no formato .dex (Dalvik Executable). uma mquina virtual register-based8 que roda
classes compiladas por um compilador Java que foram transformadas no formato .dex por
uma ferramenta chamada dx (Ehringer, 2008).
3.6.1. O formato .dex
No ambiente Java convencional, o bytecode Java produto da compilao de um cdigo fonte
Java e armazenado nos arquivos .class. Para cada classe referenciada dentro do cdigo
fonte Java, ser criado um arquivo .class.
Na plataforma Android que utiliza da mquina virtual Dalvik, os arquivos .class gerados a
partir de um cdigo fonte Java passam pela ferramenta dx. Esta ferramenta faz com que sua
sada, um arquivo .dex, contenha as mltiplas classes utilizadas no cdigo fonte original,
sendo este o executvel DVM (Ehringer, 2008).
A ferramenta dx realiza este processo com a finalidade de otimizar o uso da memria por
meio do compartilhamento dos dados. O formato .dex utiliza um pool de constantes e tipos
especficos como seu mecanismo primrio para conservar a memria
(Ehringer, 2008).
Assim, as constantes que antes eram armazenadas cada uma em sua classe especfica agora
so agrupadas em um nico pool quando os arquivos .class so submetidos ferramenta
dx, que elimina a duplicidade de constantes no processo de criao do executvel .dex
(Hashimi, Komatineni e Maclean, 2010).
A mquina virtual Dalvik, consegue por meio deste processo de criao do seu executvel
.dex, diminuir consideravelmente o consumo de memria, uma vez que, segundo Denis
Antonioli e Markus Pilz (Antonioli e Pilz, 2008), a maior parte de uma classe Java est no seu
Segundo estudos apresentados pelo Institute of Management Sciences (Khan, Khan, et al., 2009), a arquitetura
register-based requer 47% menos instrues do que uma arquitetura stack-based (predominante no mercado). O
cdigo daquela 25% maior, mas este aumento custa apenas um extra de 1,07% dos recursos de uma VM, sendo
sua performance 32,3% melhor do que uma stack-based.
34
pool de constantes (62%) e no na parte do mtodo que representa apenas 33% do tamanho do
arquivo. As outras partes do arquivo compartilham apenas 5% do seu tamanho.
No artigo de David Ehringer (Ehringer, 2008), exposta a Tabela 3.2 (Bornstein, 2008), que
demonstra o considervel ganho de memria no uso dos executveis da DVM.
Tabela 3.2 - Comparao dos tamanhos dos arquivos Java.
Cdigo
Bibliotecas do sistema
App de navegador web
App de alarme e relgio
Outro fator importante na mquina virtual Dalvik o processo de coleta de lixo da memria
(garbage collection) (Bornstein, 2008). A estratgia de coleta de lixo deve preservar o
compartilhamento da memria, quando um dado objeto no deve ser apagado se tiver sendo
usado por mais de um processo. Entretanto, na DVM cada aplicao roda um processo
separado e assim como o sistema de coleta de lixo, onde cada aplicao tem o seu. A soluo
para evitar que uma coleta de lixo de um processo no limpe um objeto que est sendo
compartilhado em memria foi a de utilizar bits de marcao, que indica que um determinado
objeto alcanvel e, portanto, no pode ser excludo da memria.
Para resolver o problema de lentido na inicializao dos aplicativos Java, assim como do
compartilhamento de cdigo que utilizado em vrios aplicativos, o Android usa o conceito
chamado Zigoto. O Zigoto assume que h um nmero significante de classes java e estruturas
que so usadas por vrios aplicativos (Ehringer, 2008). Assume que estas estruturas so
apenas de leitura, ou seja, jamais podero ser alteradas. Assim, consegue se aperfeioar o
compartilhamento da memria entre os processos.
Assim que o sistema Android inicializa, ainda durante o processo de boot, um processo
chamado Zigoto inicializado. Este processo carrega algumas classes de bibliotecas
primrias. Estas classes de bibliotecas primrias servem para fornecer a um processo um prcarregamento e compartilhamento, sendo apenas para leitura (Brady, 2008).
Assim que inicializa, o processo Zigoto fica em um estado de espera aguardando receber uma
solicitao em seu socket para realizar um fork de uma nova instncia baseada na sua
35
Nesta seo, sero apresentados alguns princpios bsicos de forense no sistema Android, a
fim de subsidiar o mtodo proposto no captulo 4, apresentando caractersticas especficas e
ferramentas que o analista pericial poder utilizar no processo forense. Antes de realizar uma
anlise forense de um smartphone com o sistema Android, deve-se ter alguns conceitos a
respeito da plataforma, suas ferramentas e funcionalidades. Assim, o analista pericial ter o
conhecimento necessrio sobre os recursos que poder utilizar e, juntamente com sua
expertise, realizar o exame no dispositivo.
3.7.1. O SDK do Android
O SDK do Android um conjunto de ferramentas que possuem como objetivo fornecer aos
desenvolvedores da plataforma um ambiente completo para criao e depurao dos
aplicativos Android. O aplicativo principal o SDK Manager, onde possvel baixar as APIs
referentes s diferentes verses do Android e executar emuladores do sistema. O SDK
tambm disponibiliza algumas outras ferramentas, a exemplo da ferramenta dx usada para
gerar o arquivo executvel Dalvik e da ADB (Android Debug Bridge), usada para se conectar
a um emulador ou dispositivo Android em modo de depurao USB e realizar algumas aes
no sistema via linha de comando.
36
37
Por meio do shell, possvel executar comandos como o dmesg, que imprime na tela
informaes de debug do Kernel do Linux; o dumpsys retorna informaes sobre o sistema e
os aplicativos9. Por meio deste comando, pode-se obter informaes do estado do Wi-Fi, das
janelas do sistema, da CPU, da memria, das atividades, dos processos, dentre outras (Paula,
2011).
O Android tambm fornece em seu shell o logcat (vide Figura 3.4). Por meio do logcat
possvel visualizar e filtrar as mensagens de debug do sistema e de aplicaes, armazenadas
pelo prprio sistema que utiliza buffers circulares (Google Inc, 2011e).
Usage: logcat [options] [filterspecs]
options include:
-s
Set default filter to silent.
Like specifying filterspec '*:s'
-f <filename>
Log to file. Default to stdout
-r [<kbytes>]
Rotate log every kbytes. (16 if unspecified). Requires
-f
-n <count>
Sets max number of rotated logs to <count>, default 4
-v <format>
Sets the log print format, where <format> is one of:
brief process tag thread raw time threadtime long
-c
clear (flush) the entire log and exit
-d
dump the log and then exit (don't block)
-t <count>
print only the most recent <count> lines (implies -d)
-g
get the size of the log's ring buffer and exit
-b <buffer>
request alternate ring buffer
('main' (default), 'radio', 'events')
-B
output the log in binary
filterspecs are a series of
<tag>[:priority]
where <tag> is a log component tag (or * for all) and priority is:
V
Verbose
D
Debug
I
Info
W
Warn
E
Error
F
Fatal
O comando dumpsys | grep DUMP retorma alguns dos parmetros especficos usados no dumsys.
38
10
Pode-se observar a partir da sada dos comandos cat /proc/mtd e mount que as parties
definidas para o sistema, para os dados do usurio e para o cache so respectivamente os
diretrios /system, /data e /cache (Hoog, 2009). Nota-se tambm que os aplicativos instalados
no carto de memria possuem pontos de montagem especficos. Assim possvel obter
facilmente quais os aplicativos encontram-se instalados no carto de memria11.
Obtendo diretamente um shell do sistema, possvel navegar pela estrutura do sistema de
arquivos. Na Figura 3.7 ilustrado os diretrios e arquivos listados em um shell de um celular
com o sistema Android verso 2.2.2 instalado.
$ pwd
/
$ ls -l
lrwxrwxrwx
drwxrwxrwt
drwxrwxr-x
drwxr-xr-x
-rw-r--r--rw-r--r-drwxrwx--x
lrwxrwxrwx
drwxr-xr-x
drwxrwxr-x
lrwxrwxrwx
lrwxrwxrwx
drwxr-xr-x
drwxr-xr-x
drwxr-x---
11
root
root
system
system
root
root
system
root
root
root
root
root
root
root
root
root
root
system
system
root
root
cache
root
root
system
root
root
root
root
root
2011-04-04
2011-04-04
2011-02-09
2010-02-11
14543 2011-04-04
16976 2011-04-04
2011-04-04
2011-04-04
2011-04-04
2011-04-04
2011-04-04
2011-04-04
2011-04-03
1969-12-31
1969-12-31
11:32
11:32
19:40
19:00
11:32
11:32
23:11
11:32
11:32
11:32
11:32
11:32
16:24
21:00
21:00
S possvel instalar nativamente aplicativos no carto removvel a partir da verso 2.2 do Android.
40
dr-xr-xr-x
-rwxr-x---rwxr-x---rwxr-x---rwxr-x---rw-r--r-drwxrwx--x
drwx-----drwxr-xr-x
root
root
root
root
root
root
system
root
root
root
root
root
root
root
root
system
root
root
453
6840
1677
108632
118
1969-12-31
1969-12-31
1969-12-31
1969-12-31
1969-12-31
1969-12-31
2011-04-04
2011-03-05
2011-04-04
21:00
21:00
21:00
21:00
21:00
21:00
11:32
06:17
11:32
proc
init_prep_keypad.sh
init.mapphone_cdma.rc
init.goldfish.rc
init
default.prop
data
root
dev
A Tabela 3.3 descreve os principais diretrios do sistema apresentando uma breve descrio
de cada um (Hoog, 2009).
Tabela 3.3 - Principais diretrios dos dados do usurio do sistema Android.
Diretrio
/data/
dalvik-cache/
anr/
app/
data/
misc/
system/
Descrio
Arquivos Dalvik Executable (.dex) das aplicaes
Java.
Abreviao para Application Not Responding.
Possui informaes de debug com os timestamps
dos arquivos de log gerados.
Arquivos .apk de aplicaes instaladas.
Armazena as configuraes e base de dados
SQLite das aplicaes. Cada aplicao tem sua
estrutura de diretrios.
Configuraes do usurio de DHCP, Wi-Fi,
bluetooth, VPN, dentre outras.
Armazena informaes sobre configuraes do
sistema relativas s aplicaes e seus usos. Lista
dos aplicativos em packages.list ou packages.xml.
41
sendo executado em segundo plano. Simplesmente faz leitura e escrita diretamente no sistema
de arquivos, possuindo uma estrutura completa de um banco de dados (tabelas, views,
triggers, ndices) em um nico arquivo (SQLite, 2011).
No sistema Android, os arquivos com a extenso .db se referem bancos de dados do tipo
SQLite. Cada aplicao s possui acesso ao seu banco de dados e, caso tenha que utilizar um
banco de outra aplicao, em tempo de execuo far uma solicitao ao sistema que,
verificando as devidas permisses realizar a consulta mostrando os resultados.
Para se acessar o banco de dados, basta que o sistema operacional fornea as permisses ao
arquivo. No h um controle de acesso definido pelo SQLite. Para o acesso a uma base
SQLite, a segurana reside nas permisses do sistema.
3.7.4. Permisses de super usurio (root) no sistema Android
O sistema operacional Android foi concebido para ser um sistema leve e robusto. Com a
finalidade de evitar que o proprietrio do dispositivo realize interaes com o sistema que
possam afetar a estabilidade e confiabilidade do Android. Os usurios usados por padro
pelos aplicativos, no possuem permisses que realizem modificaes no sistema no Android.
Esses usurios so bem restritivos e apenas interagem com permisses de realizar as
atividades especficas para aquele aplicativo, sem que modificar estruturas mais elaboradas do
sistema operacional.
Entretanto, proprietrios mais avanados dos celulares Android, viram a necessidade de obter
um maior controle sobre o sistema operacional. Atravs de tcnicas que buscam
vulnerabilidades no prprio sistema ou acesso aos bootloaders12 dos smartphones, possvel
obter permisses de super usurio (root). As tcnicas para se obter o acesso de super usurio
no Android variam conforme fabricante, modelo do telefone celular e verso do sistema,
sendo muitas vezes invasivas, podendo inclusive danificar os dados armazenados no aparelho.
A partir do acesso de super usurio, o proprietrio do dispositivo pode, por meio de um shell,
executar comandos com perfil de root, podendo realizar qualquer tarefa dentro do sistema
operacional, a exemplo de realizar overclocks, backups de aplicativos restritos, acessar
diretrios das parties do sistema. Desta forma, alguns aplicativos tambm podem ser
12
Programas especialmente construdo para que seja capaz de carregar outro programa que permite a iniciao
do sistema operacional (Hallinan, 2010)
42
executados com perfil de root, no estando mais limitados as permisses convencionais, onde
o prprio sistema blindava a aplicao para que ela no acessasse os dados das demais
aplicaes.
Sob o ponto de vista do analista pericial, um celular Android com permisses de acesso de
super usurio muito mais interessante. Isso porque poder realizar operaes no dispositivo
que antes no eram possveis, a exemplo de acessar parties de sistema e dados do usurio
atravs de um shell fornecido pela ferramenta ADB. Com permisses de super usurio, o
analista pericial pode espelhar todas as parties disponveis no sistema13 para uma anlise
post mortem, sem maiores intervenes no equipamento.
13
Conforme citado por Hoog (Hoog, 2009), a fim de espelhar as parties do telefone, deve fazer referncias aos
dispositivos /dev/mtd/mtdX e /dev/mtd/mtdXro.
43
4. O MTODO PROPOSTO
Este captulo integralmente dedicado a descrever o mtodo proposto para realizar uma
anlise pericial em um smartphone com sistema operacional Android. O mtodo baseado
nas melhores prticas utilizadas atualmente pela Polcia Federal do Brasil, pelo NIST (Jansen
e Ayers, 2007), pelo Departamento de Justia dos Estados Unidos (Ashcroft, 2001), polcia
Inglesa (Association of Chief Police Officers, 2008) e Instituto Forense da Holanda
(Netherlands Forensic Institute, 2007), e busca diferenciar-se adaptando essas melhores
prticas s peculiaridades da plataforma Android.
Telefones celulares com o sistema operacional Android oferecem muitas funcionalidades,
como navegar na Internet, armazenar imagens e vdeos, documentos, calendrio, contatos,
localizao GPS, mapas, dentre outras. A facilidade para desenvolver, publicar e instalar
aplicativos no sistema Android faz com que a plataforma possua funcionalidades que s sero
limitadas pela capacidade do desenvolvedor, enriquecendo as funcionalidades do smartphone.
Devido a esta grande capacidade de prover diversas funcionalidades, sob a tica forense, um
celular com o sistema Android pode armazenar grande quantidade de informao sobre o seu
usurio, sendo uma excelente testemunha para provar fatos, ou obter informaes para uma
investigao (Rossi, 2008).
Entretanto, uma anlise pericial em celulares difere da abordagem utilizada em computadores
pessoais. A aquisio da memria interna de um aparelho celular, inclusive daqueles com o
sistema Android, um processo mais complexo do que a abordagem de se retirar um disco
rgido do computador e espelh-lo (copi-lo). Em celulares, utilizada uma memria interna
para instalao do sistema operacional e suas principais funcionalidades, sendo sua remoo e
cpia, um procedimento mais complexo do que a de um disposto de memria no-voltil
como um disco rgido, um carto de memria ou um disco de estado slido (Solid State Disk SSD).
A abordagem de aquisio e exame dos dados, utilizada em ambientes de computadores
convencionais, onde as informaes contidas na memria podem ser preservadas na sua
totalidade, no se aplica em ambientes de smartphones e celulares; dada as dificuldades
expostas anteriormente, somada s peculiaridades, a exemplo de diferentes hardwares, que os
fabricantes disponibilizam e utilizam em seus dispositivos.
44
O sistema Android possui mecanismos de autenticao que podem ser ativados ou no pelo
usurio. Dentre estes mecanismos, podemos citar a tela bloqueada por senha ou por padro
tctil, onde o acesso ao sistema s ocorre se for colocada a sequncia correta de autenticao.
Ademais, a depender da verso e customizao do Android, a integrao com uma conta da
Google, por exemplo, pode ser maior, onde o desbloqueio pode ocorrer atravs da insero da
senha correta do usurio ou por meio da biometria (impresso datiloscpica).
Alm das especificidades descritas, como o Android um sistema aberto, existe aplicativos
que podem ser instalados que desbloqueiam o usurio do sistema. possvel executar
aplicativos e comandos com poder de super usurio (root), o que torna o sistema acessvel na
sua integralidade, apesar de tal procedimento no ser recomendvel pelos fabricantes dos
equipamentos celulares e pela Google, uma vez que o sistema pode ser totalmente modificado
pelo seu usurio e os aplicativos podem realizar qualquer funo dentro do sistema, o que fere
princpios de segurana.
O mtodo proposto objetiva mostrar ao analista pericial como proceder no momento da
apreenso, aquisio dos dados, exame e documentao (laudo/relatrio) de smartphones com
o sistema Android. A partir do conhecimento obtido a partir dos captulos anteriores,
possvel utilizar o mtodo descrito, com a finalidade de poder extrair o mximo de
informaes do dispositivo, de forma a resguardar e documentar adequadamente a evidncia
que est sendo processada.
A Figura 4.1 ilustra o fluxograma geral no tratamento de evidncias digitais a exemplo de
telefones celulares e computadores. A partir desse fluxograma, possvel visualizar as etapas
que os analistas periciais, ou equipes investigativas se depararo do momento em que o
smartphone encontrado at o encaminhamento do relatrio/laudo pericial, quando o trabalho
do especialista finalizado. O mtodo proposto para anlise pericial em smartphones com
sistema Android especificar as etapas de a. Apreenso, e. Aquisio dos dados, f.
Exame e, consequentemente, g. Gerao do Relatrio/Laudo Pericial.
Os subprocessos a. Apreenso, e. Aquisio de dados e f. Exame (vide Figura 4.1) so
os de maior complexidade e envolvem outros processos e decises mais especficos, e sero
esclarecidos nas sees 4.1, 4.2 e 4.3, respectivamente. Os demais processos fazem parte da
atividade administrativa da polcia e sero descritas a seguir a fim de fornecer um
entendimento basal ao leitor sobre o processamento de uma evidncia.
45
46
47
4.1.
APREENSO
removveis e cartes SIM, uma vez que podem ser utilizados no telefone. Normalmente, no
processo de busca e apreenso, testemunhas acompanham toda a ao da equipe, sendo
inclusive essencial para provar a idoneidade desta etapa. Se houver alguma avaria aparente no
equipamento, esta deve ser documentada na sua descrio, a fim de resguardar a equipe de
apreenso de ser acusada de ter provocado danos intencionalmente. Deve-se tambm
documentar onde o telefone se encontrava. Se estiver em posse de uma pessoa, deve ser
descrito no documento de apreenso (auto de apreenso) seu nome e identificao pessoal
(RG, CPF, CNH). Se for encontrado em um local, descrever no documento de apreenso
quais as pessoas que mais frequentavam quela regio ou cmodo.
Cabe a observao de que, a depender do local ou o motivo da busca, seja necessria a
preservao das provas materiais que podem ser contaminadas na apreenso, a exemplo de
uma impresso papiloscpica, ou um resto de tecido para realizao de exames de DNA.
Nestas situaes, importante a equipe atentar para preservao no sentido de utilizar os
equipamentos de proteo individual (EPI), como luvas, uniformes e toucas a fim de coletar
as evidncias.
4.1.1. O papel do analista pericial
Deve-se verificar se na equipe de apreenso h algum analista pericial com conhecimentos
sobre a plataforma Android (a.2). Caso um perito esteja presente na equipe, o smartphone
deve ser entregue a ele (a.3) para que possa dar prosseguimento apreenso. O perito, com
sua expertise, pode tomar as decises corretas estando o telefone ligado ou no (a.4). No caso
de estar ligado, ele pode avaliar se h algum bloqueio de acesso ao dispositivo (a.5), caso no
tenha nenhum bloqueio, sequer h a necessidade de se entrevistar o suspeito (que nem sempre
passa informaes verdicas) e avaliar a necessidade de realizar uma interveno manual ou
no no celular (a.8), a exemplo de isol-lo da rede ou analisar a sute de aplicativos instalados
no equipamento. Esta anlise dos aplicativos deve ir alm do menu de aplicativos do
dispositivo, devendo o perito observar tambm no menu de configurao e, a depender da
situao, nos aplicativos baixados do Android Market (se o telefone no tiver sido isolado da
rede). Isso porque alguns aplicativos podem no aparecer no menu de aplicativos, mas estaro
presentes no menu de configurao ou no Android Market.
Estando o smartphone bloqueado, o analista pericial deve entrevistar o suspeito caso esse
esteja presente (a.6) com a finalidade de obter os cdigos de desbloqueio do celular. Outras
49
50
A aquisio dos dados o momento mais tcnico, onde a habilidade do perito importante
para realizao dos procedimentos de extrao da forma apropriada. Este processo mais
complexo e necessita de um especialista com conhecimento especfico sobre a plataforma
Android, pois poder haver a necessidade de uma interveno manual para viabilizar a correta
aquisio da informao. O fluxograma ilustrado na Figura 4.3 detalha as decises e
processos que um analista pericial pode se deparar ao realizar a aquisio dos dados de um
smartphone com o sistema Android.
14
Seek droid, My Android Protection 2.0, Lookout Mobile Security, Norton, Wheres My Droid, Lost Phone, etc.
51
Figura 4.3 - Etapa de aquisio dos dados de um telefone celular com o sistema operacional Android.
52
Nesta etapa, o perito deve se preocupar em extrair a maior quantidade de informao com o
mnimo de interveno no sistema, que provavelmente ser inevitvel. Em um primeiro
momento (e.1), o analista pericial dever se inteirar sobre o processo de apreenso
(fluxograma da Figura 4.1, processo a), lendo a documentao produzida (auto de
apreenso e informaes tcnicas)15, e se informar a respeito do que est sendo solicitado nos
exames (fluxograma da Figura 4.1, processo b), a fim de subsidiar as decises a serem
tomadas no processo de extrao dos dados do sistema Android.
4.2.1. Aquisio e preservao dos dados do carto e do smartphone
A Figura 4.4 ilustra a etapa inicial na aquisio dos dados do dispositivo Android. Estando o
smartphone desligado, deve-se preocupar em extrair as informaes do carto de memria
que possam ser removidos do dispositivo (e.4), substituindo o carto original por um carto de
memria do examinador, espelhando aquele para esse. Cabe a ressalva que alguns modelos de
celulares Android no podem ter os dados do carto de memria copiados neste momento,
uma vez que so internos e no removveis (e.3). Para duplicar integralmente os dados do
carto de memria, pode-se utilizar a mesma abordagem utilizada em dispositivos de memria
do tipo USB, como os pendrives. Para a cpia pode-se utilizar ferramentas forenses e gerar o
hash dos dados duplicados. Ao trmino do procedimento, o carto de memria do examinar,
que contm a cpia, deve ser inserido no aparelho.
A prxima preocupao verificar se possvel isolar a rede de telefonia fisicamente (e.5),
por meio de uma sala com isolamento de sinais eletromagnticos, a fim de evitar a
comunicao do telefone com fontes externas antes de lig-lo (e.7). Caso no seja possvel
isolar fisicamente a rede, o analista pericial deve lig-lo (e.6) e imediatamente coloc-lo em
modo de avio16 (e.8). Se o telefone estiver ligado, o analista deve priorizar isolar a rede
fisicamente e, em no sendo possvel, ativar o modo de avio para dar prosseguimento
extrao.
15
Os documentos produzidos na fase de apreenso devem ser encaminhados junto com o telefone celular
apreendido no processo b. Encaminhar a exame do fluxograma da Figura 4.1.
16
Caso o telefone tenha recebido alguma mensagem, ou algum aplicativo ter realizado alguma iterao com a
rede de telefonia, o analista deve documentar o fato no seu relatrio/laudo pericial.
53
17
O analista pericial deve se atentar ao fato de que h no mercado aparelhos que possuem um carto de memria
externo, que pode ser removido do dispositivo, e outro interno, que no pode ser removido (eMMC Embedded
MultiMediaCard).
54
Com os dados do carto de memria original resguardados, assim como do sistema quando
for o caso, inicia-se o processo de extrao de dados do telefone (e.16). Neste processo o
carto que se encontra no aparelho deve estar devidamente preparado para realizar a extrao
dos dados do telefone, com espao suficiente para armazenar os dados que sero extrados.
55
18
O processo de realizar o dump de memria de um aplicativo citado por Cannon envolve a necessidade de
interromper abruptamente a sua execuo e consequente escrita do arquivo de dump na memria principal do
sistema. Este arquivo de dump deve ser copiado para uma estao pericial (por meio da ferramenta ADB) ou
para o carto de memria (caso seja um carto de memria do examinador).
56
19
Estas tcnicas, que no so o foco deste trabalho, envolveriam o acesso ao bootloader do dispositivo, que varia
a depender do aparelho e modelo, ou extrao da memria fsica do telefone celular. Uma vez que podem
danificar o equipamento, seria necessrio entrar em contato com a autoridade solicita para avaliar a necessidade
de realizao dos exames esclarecendo que o aparelho poderia ser definitivamente danificado, sem possibilidade
de recuperao.
20
Screen lock Bypass disponvel no Android Market.
57
Figura 4.6 Processos que envolvem um smartphone com controle de acesso ativado.
58
4.3.
EXAME
59
60
realizar a anlise. Tambm pode valer de disassemblers21 de arquivos dex para auditar
aplicativos instalados.
A fim de realizar a anlise do banco de dados extrados do carto de memria ou da memria
interna do telefone, o analista deve utilizar softwares do SQLite, uma vez que a plataforma
Android adotou este banco de dados relacional como padro (vide seo 3.7.3). A anlise dos
arquivos referentes ao SQLite so muito importantes, uma vez que praticamente todos os
dados armazenados pelos aplicativos esto neste gerenciador de banco de dados. Assim, a
depender da situao, possvel, por exemplo, obter informaes a respeito dos mapas
armazenados em cache pelo Google Maps Navigation (Hoog, 2010).
4.3.3. Aprofundando a investigao
Alm da grande capacidade de armazenamento de informao, os smartphones com o sistema
operacional Android instalado possuem muitas funcionalidades associadas computao em
nuvem. Dada esta caracterstica, pode ser interessante investigao que os exames sejam
aprofundados, buscando informaes que esto alm da barreira fsica imposta pelo
dispositivo.
Encontrando informaes como fotos, vdeos, arquivos, anotaes, contatos, e-mails,
favoritos, dentre outras, que esto armazenadas em servios oferecidos na Internet, o analista
pericial responsvel pelos exames deve avaliar a necessidade de informar a equipe de
investigao a utilidade que tais dados podem ter ao apuratrio (f.5). Ademais, pode haver a
situao em que os dados do telefone no puderam ser extrados, dada a inviabilidade de
desbloque-lo (processos e.11 e e.18 e.20 da Figura 4.3), podendo ser necessria a utilizao
de tcnicas mais invasivas para acesso ao telefone. Assim, quando for uma situao que o
examinador acredite ser essencial para complementao aos exames, este pode emitir um
documento informando a necessidade dos exames complementares (f.6). Assim, a autoridade
responsvel pela investigao poder avaliar, juntamente com o analista pericial, ciente das
informaes repassadas por esse, a necessidade de se providenciar os meios para que novos
exames sejam realizados, a exemplo de uma ordem judicial para ter acesso a uma caixa de emails ou a um repositrio de arquivos online, ou permisso para realizar procedimentos que
possam danificar o aparelho.
21
62
5. ESTUDO DE CASOS
A fim de validar o mtodo proposto no captulo 4, esta parte do trabalho dedicada a
apresentar estudo de casos a partir de trs smartphones com o sistema operacional Android
instalado.
Sero apresentados trs cenrios distintos. O primeiro e o segundo foram selecionados
objetivando relatar a realidade mais comum quando um telefone celular apreendido e tem
seus dados extrados e examinados. O terceiro cenrio objetiva visualizar uma situao mais
complexa que um analista pericial pode se deparar no momento de realizar a extrao e o
exame do celular, quando um telefone est bloqueado, com permisses de super usurio e
acesso de depurao habilitados.
5.1.
Os cenrios partem da premissa que a solicitao dos exames objetiva apenas extrair os dados
armazenados no dispositivo, e que no havia um analista pericial na equipe de apreenso.
Esta, normalmente, a realidade na casustica da Polcia Federal, onde so formadas equipes
de busca e apreenso com Agentes e Escrives sob a coordenao de um Delegado, sem a
presena de Peritos. A Figura 5.1 ilustra os processos e decises que uma equipe de busca se
deparar no caso em que no h a presena de um especialista.
63
Ser considerado como objetivo dos exames, a extrao das informaes julgadas como
relevantes pelo analista pericial, sejam elas mensagens, registros de chamadas, e-mails,
imagens, vdeos, dentre outras mais que possam alimentar o procedimento investigativo dado
o equipamento apreendido.
Nos cenrios propostos no sero utilizados invlucros de isolamento de sinal, salas de
isolamento de sinal ou gaiolas de Faraday, tendo em vista a ausncia destes dispositivos na
realizao dos testes.
Sero utilizados trs modelos distintos de smartphones em cada um dos cenrios propostos.
As caractersticas dos equipamentos encontram-se descritas na Tabela 5.1.
Tabela 5.1 - Descrio dos cenrios propostos nos estudos de caso.
Ligado
Bloqueado
Caractersticas do smartphone
Acesso de
Super usurio
depurao
Cenrio 1
Sim
No
No
No
Cenrio 2
No
Sim
No
No se aplica
Cenrio 3
Sim
Sim
Sim, restrito
Sim
5.2.
Descrio
Sony Ericsson, modelo Xperia
X10 miniPro U20a, Android
verso 2.1, de um usurio
normal22;
Motorola, modelo Milestone II
A953, Android verso 2.2.1, de
um usurio avanado23
Motorola, modelo Milestone
A853, Android verso 2.2.2, de
um usurio expert24
DE SUPER USURIO
Este cenrio tem como objetivo apresentar uma situao de exame de um smartphone de um
usurio normal que no se encontrava no local da apreenso e utiliza apenas as aplicaes
bsicas, sem controle de acesso ativado e tampouco permisses de super usurio instaladas.
O smartphone foi apreendido por uma equipe policial conforme ilustrado na Figura 5.1. Ser
considerado que o suspeito no se encontrava no local no momento da apreenso e que o
equipamento no foi desligado ao ter sido isolado da rede, sendo colocado em modo avio.
22
64
Figura 5.2 - Aquisio de dados de um telefone sem bloqueio e sem permisses de super usurio.
No processo e.1, o analista pericial obtm a informao de que o celular foi colocado em
modo avio, que o suspeito no se encontrava no local, assim como obter as descries do
dispositivo, aferindo que trata-se do mesmo equipamento que est sendo encaminhado para
extrao dos dados.
O analista constata que o telefone encontra-se ligado (e.2), no havendo necessidade de isollo da rede (e.8), pois j se encontrava com modo avio ativado, conforme descrito na
documentao do processo e.1.
No processo e.9, constata que o celular no se encontra bloqueado. A partir da, como os
dados do carto de memria ainda no foram extrados (e.10), este ser o momento para
realizar este procedimento. O modelo do smartphone deste cenrio, Sony Xperia X10 mini
65
Pro, no permite a remoo fsica do carto de memria. Isso justifica conectar o celular
estao de trabalho25 e selecionar, no sistema, o gerenciamento do carto de memria via
USB. Foi utilizada a ferramenta da Access Data, FTK Imager, verso 3.0.1, para realizar a
extrao dos dados do carto de memria (e.12). Abrindo a ferramenta FTK Imager,
possvel obter uma cpia no formado dd do carto de memria que foi denominada
cenario1.dd, ilustrado na Figura 5.3, gerando o respectivo cdigo de integridade.
Figura 5.3 - Cpia dos dados contidos no carto de memria para a estao de trabalho do perito.
25
(a)
(b)
Figura 5.4 - Ativao do modo de depurao USB para conexo via ADB.
Assim, possvel ao analista instalar aplicativos no telefone por meio da ferramenta ADB
disponibilizada pelo SDK do Android, conforme Figura 5.5.
C:\android-sdk\platform-tools>adb devices
List of devices attached
42593930303935485637
device
C:\android-sdk\platform-tools>adb
-s
42593930303935485637
AndroidForensics.apk
329 KB/s (31558 bytes in 0.093s)
pkg: /data/local/tmp/AndroidForensics.apk
Success
install
Figura 5.5 - Instalao do aplicativo da Via Forensics por meio da ferramenta ADB do SDK do
Android.
observado que o formato da data armazenada pelo Android Forensics Logical Application
segue um padro com 13 dgitos26, que foram comparados com as datas nos registros do
telefone.
A seguir todo o processo de extrao documentado (e.25), onde esclarecido que no cenrio
em questo no foi necessrio isolar o dispositivo da rede uma vez que este j se encontrava
em modo avio; que a extrao do carto de memria ocorreu sem falhas gerando um cdigo
de integridade; que no foi possvel substituir o carto original por um carto do examinador;
que foi instalado um aplicativo forense no telefone apreendido para extrao dos dados
armazenados e; que uma inspeo visual foi realizada com a finalidade de complementar os
dados extrados. Os dados extrados esto descritos na seo 5.2.2, que trata da realizao dos
exames.
No processo de documentao deve-se anotar as contas configuradas no dispositivo, assim
como informar que se encontrava sem sincronizao automtica. Tambm so colhidas
informaes sobre o telefone a partir no menu de configurao, como: o modelo, U20a;
verso do firmware, 2.1-update1; verso do kernel, 2.6.29SEMCUser@SEMCHost #1;
nmero da verso, 2.0.A.0.504; IMEI, 012343001959006 e; o momento em que foi ligado, dia
27/04/2011 05:54 (horrio de Braslia).
26
Este formato utilizado pelo sistema Android como um todo para armazenar as datas. No Microsoft Office
Excel 2010 foi necessrio formatar a clula para data, dividir o valor por 86400000 e somar 25569, para obter a
data em UTC.
68
Assim possvel fornecer subsdios fase de exame, bem como descrever os procedimentos
realizados e seus resultados no relatrio/laudo que ser redigido ao final do processo de
anlise pericial.
5.2.2. Exame
Definido que o objetivo dos exames a extrao completa de todas as informaes do
smartphone, busca-se determinar o indivduo que fazia o seu uso (processo f.2 da Figura 4.7).
Neste cenrio, a individualizao do telefone ocorreu no momento da extrao, quando foi
possvel obter a conta configurada no dispositivo, crissmunhozinni71@gmail.com27, que
aparenta ser o nome do proprietrio. Outra informao obtida encontra-se armazenada nos
contatos do telefone, onde h os registros Casa, Casa 2, Mame e Papai, que podem
facilmente ser associados a proprietrios de linhas de telefones.
Foi possvel obter imagens dos dados examinados do carto de memria (processo f.3 da
Figura 4.7), dentre elas, fotos tiradas que aparentam ser da famlia. No foi possvel obter dos
metadados das fotos as coordenadas GPS de onde elas foram tiradas. Tambm foram
encontrados arquivos de msica do tipo mp3.
A partir dos dados extrados do smartphone (processo f.4 da Figura 4.7), foi possvel obter os
contatos da agenda telefnica. Foi observado que o usurio fazia pouco uso das mensagens
SMS e usava o calendrio com registros de compromissos com frequncia, podendo inclusive
realizar um levantamento de quando supostamente esteve na academia, na farmcia e no
teatro. Alm disso, foram obtidos 500 registros de ligaes recebidas, realizadas e no
atendidas, assim como o contedo dos arquivos de texto obtidos a partir do aplicativo
Observaes no processo e.16 da Figura 5.2.
Uma vez que se trata de um smartphone de um usurio normal sem grandes conhecimentos
sobre a plataforma, no h informaes disponveis que possam justificar exames adicionais
(processo f.5 da Figura 4.7). Assim realizada a documentao das ferramentas e tcnicas
utilizadas no exame. A Figura 5.7 ilustra a etapa de realizao dos exames.
27
Figura 5.7 Etapa de exame do cenrio 1 (Sony Ericsson Xperia X10 miniPro).
Para realizao do exame, foi utilizada a ferramenta Forensic Toolkit da Access Data, verso
1.81, que possui um visualizador hexadecimal e sistema de busca indexada por palavraschave. No carto de memria foi possvel buscar os dados apagados que puderam ser
recuperados por meio da tcnica de carving. Entretanto, no foram encontrados dados
apagados relevantes para investigao. Os metadados das fotos obtidas do carto de memria
foram analisados com a ferramenta JPEGSnoop, verso 1.5. Entretanto, no foi possvel obter
as coordenadas GPS de onde foram tiradas. Tambm foram realizadas anlise diretamente no
smartphone buscando por informaes que pudessem estar armazenadas em aplicativos
especficos a exemplo do aplicativo Observaes, assim como foram analisados os
relatrios gerados pelo aplicativo Android Forensics Logical Application, que extraiu
informaes importantes do telefone apreendido.
70
5.3.
Figura 5.8 - Fluxo do processo de aquisio de dados de um smartphone encaminhado desligado, com
bloqueio e sem acesso ADB.
71
No processo e.1, o analista pericial obtm a informao de que o celular foi desligado no
momento da apreenso, que o suspeito no se encontrava no local, assim como obter as
descries do dispositivo, aferindo que trata-se do mesmo equipamento que est sendo
encaminhado para extrao dos dados.
O analista constata que o telefone encontra-se desligado (e.2) e verifica que neste modelo,
Motorola Milestone II, possvel remover o carto de memria para extrao dos dados antes
de ter que ligar o aparelho (e.3).
Assim o carto removido do dispositivo, inserido no leitor de carto e conectado porta
USB da estao pericial, com proteo de gravao. Abrindo a ferramenta FTK Imager,
possvel obter uma cpia no formado dd do carto de memria que foi denominada
cenario2.dd, similar ao ilustrado na Figura 5.3, gerando o respectivo cdigo de integridade
(e.4).
Aps a realizao da cpia integral do carto de memria original para o arquivo
cenario2.dd, o especialista deve clonar este contedo em um carto de memria do
examinador e verificar se h espao suficiente no carto de memria do examinador para
extrao dos dados do telefone, conforme Figura 5.9. Neste caso, foi utilizado o comando
dd, espelhando todo contedo do carto original para o carto do examinador, a partir da
ferramenta Cygwin para ambiente Windows.
$ dd if=cenario2.dd.001 of=\\.\PHYSICALDRIVE1
15548416+0 records in
15548416+0 records out
7960788992 bytes (8.0 GB) copied, 1425.82 s, 5.6 MB/s
Uma vez que o analista pericial no dispe de um laboratrio com isolamento de sinal (e.5),
necessrio ligar o smartphone (e.6) e coloc-lo imediatamente em modo avio a fim de isollo da rede de telefonia (e.8), documentando qualquer alterao que porventura ocorra neste
procedimento (por exemplo o recebimento de uma mensagem SMS), fato que no ocorreu no
cenrio em questo.
Com o celular ligado, observa-se que este se encontra bloqueado (e.9), e no possvel
desbloque-lo (e.11). Desta forma, tentou-se realizar uma conexo da estao pericial com o
telefone apreendido via ADB (Figura 5.10), entretanto sem sucesso (e.18).
72
C:\android-sdk\platform-tools>adb devices
* daemon not running. starting it now on port 5037 *
* daemon started successfully *
List of devices attached
C:\android-sdk\platform-tools>
Dado este cenrio em que o telefone encontra-se bloqueado sem possibilidade de acesso via
ADB, com o carto de memria j clonado, resta ao analista documentar o processo de
aquisio para dar prosseguimento ao exame. As informaes extradas esto descritas na
seo 5.3.2, que trata da realizao dos exames.
Logo, todo o processo de extrao documentado, quando esclarecido que no cenrio em
questo, o analista recebeu o telefone desligado, sendo providenciada a extrao dos dados do
carto de memria. Em seguida, o telefone foi ligado e colocado em modo avio para isolar o
dispositivo da rede de telefonia. Posteriormente, observou-se que ele encontrava-se bloqueado
e sem acesso via ADB, no sendo vivel realizar a extrao dos dados do telefone. Desta
forma o analista fornece subsdios fase de exame, assim como descreve os procedimentos
realizados e seus resultados no relatrio/laudo que ser redigido ao final do processo de
anlise pericial.
5.3.2. Exame
Aps definido que o objetivo dos exames a extrao completa do telefone celular de todas
as informaes teis ao apuratrio, a critrio do analista pericial, busca-se individualizar o
smartphone (processo f.2 da Figura 4.7).
Neste cenrio foi possvel observar que havia, na pasta bluetooth do carto de memria, 60
arquivos do tipo .vcf, denominados cartes de visita. Provavelmente haviam sido enviados
ao telefone apreendido via bluetooth e incorporados aos contatos do telefone. Foi possvel
observar o arquivo Casa.vcf com um telefone fixo armazenado, o que indica a possvel
residncia do proprietrio do smartphone (processo f.2 da Figura 4.7).
Partindo para uma anlise mais aprofundada dos dados do carto de memria (processo f.3 da
Figura 4.7), foram encontradas duas fotografias, tiradas em 20/04/2011 s 19:16 (horrio de
Braslia), que possuam em seus metadados as coordenadas geogrficas: latitude 15 48
0.000 sul e longitude 47 530.000 oeste, que apontam para uma regio localizada na cidade
de Braslia, prximo ao Setor de Autarquias Sul no incio do bairro da Asa Sul.
73
Tambm foram encontrados arquivos que dizem respeito ao aplicativo Busybox, o que
indica uma grande possibilidade do celular estar com permisses de super usurio instaladas,
uma vez que tal aplicativo utilizado somente em celulares com estas permisses
configuradas. Essa suspeita foi reforada ao ser encontrado na raiz do carto de memria o
aplicativo z4root.1.3.0.apk, que ao ser instalado habilita permisses de super usurio no
sistema.
Observou-se tambm que no carto de memria havia os arquivos de cache do Picasa, o
que significa que o usurio do telefone utiliza os servios da Google para armazenamento de
imagens da Internet (http://picasaweb.google.com).
Com relao aos dados armazenados no smartphone (processo f.4 da Figura 4.7), no foi
possvel analis-los, uma vez que o sistema de controle de acesso do Android encontrava-se
ativado e o acesso via ADB no se encontrava habilitado, inviabilizando a extrao dos dados.
Uma vez que se trata de um smartphone bloqueado, em que no foi possvel acessar os dados
contidos no telefone, pode ser necessria a utilizao de tcnicas mais invasivas de acesso
memria interna do equipamento. Este procedimento deve ser discutido e avaliado com a
autoridade solicitante dos exames uma vez que, a depender da marca e modelo, pode danificar
os dados armazenados no smartphone (processos f.5 e f.6 da Figura 4.7). A Figura 5.11 ilustra
a etapa de exame do cenrio descrito.
A fim de documentar as ferramentas e tcnicas utilizadas (processo f.7 da Figura 4.7),
necessrio esclarecer que, para a realizao do exame, foi utilizada a ferramenta Forensic
Toolkit da Access Data (AccessData, 2011), verso 1.81, que possui um visualizador
hexadecimal e sistema de busca indexada por palavras-chave. No carto de memria foi
possvel buscar os dados apagados que puderam ser recuperados por meio da tcnica de
carving. Entretanto, no foram encontrados dados apagados relevantes para investigao.
Foram encontradas fotografias com coordenadas geogrficas nos metadados, e concluiu-se
que o telefone provavelmente encontra-se com permisses de super usurio habilitadas. No
foram realizadas anlise diretamente no smartphone uma vez que o acesso encontrava-se
bloqueado. Deve-se, esclarecer quais informaes so necessrias para o desbloqueio e se h
possibilidade de desbloque-lo usando tcnicas mais intrusivas.
74
5.4.
Figura 5.12 - Fluxo do processo de aquisio de dados de um smartphone Android ligado, bloqueado,
com acesso ADB e permisses de super usurio.
Com o celular ligado, observa-se que este se encontra bloqueado (e.9), no sendo possvel
desbloque-lo (e.11). Neste cenrio, o analista consegue, com sucesso, realizar uma conexo
de depurao USB, da estao pericial com o telefone apreendido, via ADB (e.18).
76
Entretanto, isso se d sem acesso ao shell com permisses de super usurio (e.19), conforme
ilustrado na Figura 5.13.
C:\android-sdk\platform-tools>adb devices
List of devices attached
040140611301E014
device
C:\android-sdk\platform-tools>adb -s 040140611301E014 shell
$ su su Permission denied
$
Figura 5.13 - Obteno de um shell via ADB no celular apreendido. Nota-se que no foi possvel obter
permisses de super usurio.
Com o acesso ADB restrito, instalado o aplicativo Screen Lock Bypass (Cannon, 2011), e,
em seguida, o aplicativo Android Forensics Logical Application, conforme Figura 5.14,
com a finalidade de ignorar o sistema de autenticao por padro tctil do Android (e.20).
C:\android-sdk\platform-tools>adb -s 040140611301E014 install screenlockbypass.apk
224 KB/s (22797 bytes in 0.099s)
pkg: /data/local/tmp/screenlockbypass.apk
Success
C:\android-sdk\platform-tools>adb -s 040140611301E014 install AndroidForensics.apk
716 KB/s (31558 bytes in 0.043s)
pkg: /data/local/tmp/AndroidForensics.apk
Success
Figura 5.14 - Instalao dos aplicativos Screen Lock Bypass e Android Forensics Logical
Application via ADB.
Como ainda no foram extrados os dados do carto, dado que o processo de remoo do
mesmo poderia provocar perda de informaes que ainda no tinham sido extradas, nesse
momento, sero copiados integralmente os dados do carto (e.10).
O modelo do smartphone deste cenrio, Motorola Milestone A853, no permite a remoo
fsica do carto de memria sem a remoo da bateria, o que acarretaria o desligamento do
aparelho. Para evitar o desligamento desnecessrio, que no desejvel dado que se trata de
um telefone de um usurio expert, o celular foi conectado estao de trabalho 28 e foi
selecionado no sistema o gerenciamento do carto de memria via USB (Figura 5.15). Assim,
foi utilizada a ferramenta da Access Data, FTK Imager, verso 3.0.1, para realizar a extrao
dos dados do carto de memria conectado diretamente no aparelho (e.12). Abrindo a
ferramenta FTK Imager, possvel obter uma cpia no formado dd do carto de memria,
que foi denominada cenario3.dd, gerando o respectivo cdigo de integridade.
28
(a)
(b)
Figura 5.16 - Aplicativo Superuser: (a) programa no menu de aplicativos e (b) as permisses
configurados no telefone.
78
Desta forma, possvel realizar uma nova conexo via ADB e conseguir um shell de super
usurio para realizar o espelhamento das parties do sistema por meio do comando dd para o
carto de memria do examinador inserido no telefone (e.14), conforme Figura 5.17. Neste
cenrio so realizadas as cpias das parties system, cache e userdata. Entretanto, no h
impedimentos para realizao da cpia de todas as parties.
C:\Program Files\Android\android-sdk\platform-tools>adb -s 040140611301E014 shell
$ su # mount | grep mtd
/dev/block/mtdblock6 /system yaffs2 ro,relatime 0 0
/dev/block/mtdblock8 /data yaffs2 rw,nosuid,nodev,relatime 0 0
/dev/block/mtdblock7 /cache yaffs2 rw,nosuid,nodev,relatime 0 0
/dev/block/mtdblock5 /cdrom yaffs2 rw,relatime 0 0
/dev/block/mtdblock0 /pds yaffs2 rw,nosuid,nodev,relatime 0 0# cat /proc/mtd
cat /proc/mtd
dev:
size
erasesize name
mtd0: 00180000 00020000 "pds"
mtd1: 00060000 00020000 "cid"
mtd2: 00060000 00020000 "misc"
mtd3: 00380000 00020000 "boot"
mtd4: 00480000 00020000 "recovery"
mtd5: 008c0000 00020000 "cdrom"
mtd6: 0afa0000 00020000 "system"
mtd7: 06a00000 00020000 "cache"
mtd8: 0c520000 00020000 "userdata"
mtd9: 00180000 00020000 "cust"
mtd10: 00200000 00020000 "kpanic"
# ls /dev/mtd/mtd*
/dev/mtd/mtd6
/dev/mtd/mtd6ro
/dev/mtd/mtd7
/dev/mtd/mtd7ro
/dev/mtd/mtd8
/dev/mtd/mtd8ro
# df
/dev: 115788K total, 0K used, 115788K available (block size 4096)
/mnt/asec: 115788K total, 0K used, 115788K available (block size 4096)
/system: 179840K total, 118828K used, 61012K available (block size 4096)
/data: 201856K total, 172632K used, 29224K available (block size 4096)
/cache: 108544K total, 4908K used, 103636K available (block size 4096)
/dev: 115788K total, 0K used, 115788K available (block size 4096)
/mnt/asec: 115788K total, 0K used, 115788K available (block size 4096)
/cdrom: 8960K total, 8632K used, 328K available (block size 4096)
/tmp: 2048K total, 28K used, 2020K available (block size 4096)
/pds: 1536K total, 1356K used, 180K available (block size 4096)
/mnt/sdcard: 7770276K total, 5196760K used, 2573516K available (block size 4096)
# dd if=/dev/mtd/mtd6ro of=/mnt/sdcard/_PERICIA/mtd6ro_system.dd bs=4096
dd if=/dev/mtd/mtd6ro of=/mnt/sdcard/_PERICIA/mtd6ro_system.dd bs=4096
44960+0 records in
44960+0 records out
184156160 bytes transferred in 73.803 secs (2495239 bytes/sec)
# dd if=/dev/mtd/mtd7ro of=/mnt/sdcard/_PERICIA/mtd7ro_cache.dd bs=4096
dd if=/dev/mtd/mtd7ro of=/mnt/sdcard/_PERICIA/mtd7ro_cache.dd bs=4096
27136+0 records in
27136+0 records out
111149056 bytes transferred in 41.924 secs (2651203 bytes/sec)
# dd if=/dev/mtd/mtd8ro of=/mnt/sdcard/_PERICIA/mtd8ro_userdata.dd bs=4096
dd if=/dev/mtd/mtd8ro of=/mnt/sdcard/_PERICIA/mtd8ro_userdata.dd bs=4096
50464+0 records in
50464+0 records out
206700544 bytes transferred in 74.452 secs (2776292 bytes/sec)
# ls /mnt/sdcard/_PERICIA
ls /mnt/sdcard/_PERICIA
mtd6ro_system.dd
mtd7ro_cache.dd
mtd8ro_userdata.dd
Figura 5.17 - Copia das parties do sistema Android para o carto de memria.
79
importante o examinador usar o comando mount para anotar o tipo de sistema de arquivos
usado nestas parties espelhadas a fim de facilitar sua anlise no exame, que neste caso o
YAFFS2.
Nesta mesma shell, pode-se listar os processos dos aplicativos em execuo no sistema (e.15),
conforme Figura 5.1829, observando que h aplicativos que podem fornecer informaes
importantes quando em execuo.
C:\android-sdk\platform-tools>adb -s 040140611301E014 shell
$ su su # id
Id
uid=0(root) gid=0(root)
# ps | grep app
ps | grep app
USER
PID
PPID VSIZE RSS
WCHAN
PC
NAME
app_23
1703
1380
144116
11364
ffffffff
afd0ece8
S
com.android.inputmethod.latin
app_45
1712 1380 137784 12428 ffffffff afd0ece8 S com.motorola.usb
app_25
1717 1380 164352 24228 ffffffff afd0ece8 S com.android.launcher
app_18
1763 1380 171460 15656 ffffffff afd0ece8 S com.google.process.gapps
app_38
5767
1380
138112
10488
ffffffff
afd0ece8
S
smupdaterapp.service.UpdateCheckService
app_86
5797
1380
135828
10816
ffffffff
afd0ece8
S
se.catharsis.android.calendar
app_29
6199
1380
159552
12980
ffffffff
afd0ece8
S
com.google.android.apps.maps:NetworkLocationService
app_16
6221
1380
142064
10936
ffffffff
afd0ece8
S
com.google.android.apps.genie.geniewidget
app_68
6233 1380 142344 10464 ffffffff afd0ece8 S com.metago.astro
app_50
6290 1380 137964 10412 ffffffff afd0ece8 S nitro.phonestats
app_77
6309
1380
137940
10920
ffffffff
afd0ece8
S
net.rgruet.android.g3watchdog
app_73
6379 1380 144444 14796 ffffffff afd0ece8 S com.dropbox.android
app_13
6410 1380 136776 11448 ffffffff afd0ece8 S android.process.media
app_31
6429
1380
139204
11116
ffffffff
afd0ece8
S
com.google.android.apps.uploader
app_17
6440 1380 143804 12524 ffffffff afd0ece8 S com.google.android.gm
app_1
6445 1380 138592 13616 ffffffff afd0ece8 S android.process.acore
app_46
6453 1380 138096 12124 ffffffff afd0ece8 S com.android.vending
app_42
6504 1380 135668 15464 ffffffff afd0ece8 S com.noshufou.android.su
Figura 5.18 - Obteno de um shell no telefone apreendido com acesso a super usurio e processos em
execuo.
29
Foi utilizado o comando ps | grep app para limitar a sada dos processos em execuo no sistema.
80
(a)
(b)
Figura 5.19 - Aplicativo "Superuser": (a) programa no menu de aplicativos e (b) as permisses
configuradas no telefone.
A partir do exposto na Figura 5.20, possvel obter os dados em memria dos aplicativos em
execuo no sistema (e.17). Como a finalidade do cenrio validar o mtodo proposto, sero
obtidos os dados da memria somente dos aplicativos Gmail (app_17, PID 6440), Dropbox
(app_73, PID 6379), Mapas (app_29 PID 6199) e Calendrio (app_86, PID 5797), usando a
tcnica apresentada por Thomas Cannon (Cannon, 2010), conforme Figura 5.18. Os arquivos
de dump dos respectivos aplicativos so copiados para a estao pericial para posterior exame.
Para extrao dos dados do telefone (e.16), foram copiados os contedos dos diretrios
/data/system, /data/misc e /data/data para o carto de memria (vide seo 3.7.2), com a
finalidade de facilitar a extrao das configuraes do sistema, configuraes de hardware e
informaes dos aplicativos e seus bancos de dados, assim como os arquivos de imagem das
parties do sistema que foram gravados no carto de memria (vide Figura 5.17).
Depois se utilizou o aplicativo da Via Forensics, Android Forensics Logical Application
(Hoog, 2010), instalado anteriormente no sistema; e inspeo visual de forma manual por
meio da navegao pelo sistema.
Executando o Android Forensics Logical Application, este fornece um menu de opes
daquilo que ser extrado do sistema, similar ao ilustrado na Figura 5.6, gerando arquivos
.csv (comma-separated values) no carto de memria do examinador, em uma pasta
denominada forensics.
81
Figura 5.20 - Mostra o comando para listar os processos, termin-los de forma abrupta para gerao do
arquivo de dump e cpia destes arquivos para a estao pericial.
A fim de complementar qualquer informao adicional que por ventura possa haver, esses
arquivos gerados pelo aplicativo forense so analisados, realizando uma comparao com
aquilo que pode ser extrado manualmente do telefone. Neste cenrio, foi observado que o
proprietrio do celular usava com frequncia seu calendrio, sendo que a ferramenta da Via
Forensics no extraiu essas informaes. Por meio de inspeo manual, foi possvel extrair as
informaes relevantes do calendrio do smartphone. Alternativamente, como o telefone
possui acesso de super usurio, o banco de dados do aplicativo poderia ser obtido a partir da
imagem gerada do sistema. Outra informao interessante que no foi extrada do sistema se
refere aplicao 3G Watchdog, que possui o histrico de uso dos dados 3G do telefone,
oferecendo inclusive a opo de exportar os dados para um arquivo .csv, que foi gerado e
copiado para a estao pericial. Tambm foram obtidos os dados sobre a localizao dos seus
amigos cadastrados no aplicativo Latitude, obtendo a localizao do proprietrio do
telefone, Andr Morum, que se encontrava em Braslia/DF, SQS 303, no dia 26/04/2011, e
dos seus amigos Juliana Simo e Marcos Munhoz, que tambm se encontravam em
82
83
30
Yahoo
(http://m.login.yahoo)
Mercado
Livre
foi
possvel
obter
nome
do
usurio
configurado
85
86
O LAUDO/RELATRIO PERICIAL
31
O mtodo proposto foi testado por meio de sua aplicao no exame de trs smartphones
Android que abordavam diferentes situaes que um analista pode se deparar, como exposto
nos cenrios apresentados e resumidos na Tabela 5.2. Os dois primeiros cenrios buscaram
simular a situao real com que os celulares so apreendidos e encaminhados aos setores
periciais na Polcia Federal. J o terceiro cenrio buscou uma das situaes mais complexas
com que o analista pericial pode enfrentar. Os trs cenrios apresentaram resultados
satisfatrios da anlise dos smartphones, em que foram extradas de informaes do
dispositivo, resguardando e documentando as evidncias processadas.
Tabela 5.2 - Cenrios utilizados para validar o mtodo proposto.
Apreenso
Analista
Suspeito
no local
no local
Aquisio
Ligado
Carto
Removvel
Cenrio 1
No
No
Sim
No
No
Desbloquevel
No se
aplica
Bloqueado
Cenrio 2
No
No
No
Sim
Sim
No
Cenrio 3
No
No
Sim
Sim
Sim
Sim
Super
usurio
Exame
Exames
adicionais
No
No
Provvel
Sim
Sim*
Sim**
Os resultados obtidos a partir do mtodo proposto foram importantes, dado que nos modelos
atualmente propostos de anlise forense em telefones celulares, pouco se discute as
peculiaridades de cada plataforma. A partir da especificao de um mtodo para a plataforma
Android, foram mapeadas as dificuldades encontradas pelos analistas periciais, preparando-os
e auxiliando-os a realizar uma anlise da evidncia, evitando imprevistos no decorrer do
processo pericial, dada as diversas situaes com que podem se deparar, o que poderia
acarretar a perda de provas materiais.
88
6. CONCLUSES
Com os conhecimentos necessrios a respeito de forense em telefones celulares e da
plataforma Android, foi apresentado um mtodo capaz de auxiliar o perito em tecnologia da
informao desde o momento da apreenso do smartphone at a gerao do relatrio/laudo
pericial.
A partir da diagramao dos processos e decises que o analista pericial pode se deparar,
foram mapeadas as situaes que ele encontrar no decorrer de uma anlise de um
smartphone com o sistema Android. Assim, foi apresentado de forma clara e objetiva um
mtodo eficiente para a extrao das informaes armazenadas no equipamento por meio da
utilizao de procedimentos e tcnicas forenses aplicveis na anlise de dispositivos mveis.
Com o conhecimento adquirido a partir das tcnicas descritas em abordagens utilizadas
internacionalmente, agregando a elas as especificidades da plataforma Android, foi possvel
descrever como o perito pode atuar ao se deparar com um smartphone, com sistema de
controle de acesso, ou com cartes de memria embutidos, ou acesso de super usurio, e at
mesmo como ele pode utilizar o modo de depurao USB para obteno dos vestgios
armazenados no dispositivo.
Mais especificamente, a partir do estudo das abordagens existentes de anlise em telefones
celulares e das caractersticas da plataforma Android, alm de se propor um mtodo que
identificou as diferentes situaes que um analista pericial enfrentar em um exame de um
smartphone com sistema Android, foi possvel: extrair as informaes presentes no aparelho,
dada cada situao apresentada; preservar da forma mais adequada os dados presentes no
celular; documentar os procedimentos e tcnicas utilizados, justificando sua aplicao e;
consequentemente, fornecer ao processo investigativo evidncias obtidas de forma
incontestvel a partir do dispositivo analisado.
O mtodo proposto definiu um workflow flexvel, capaz de adequar as diferentes tcnicas e
abordagens ao fato investigado. Assim, o analista pericial pode suprir a equipe de
investigao das informaes com as informaes que podem ser imediatamente extradas e
analisadas, podendo informar a necessidade da realizao de outros exames, ou at mesmo da
possibilidade de extrair mais informao do smartphone apreendido a partir de tcnicas mais
invasivas de acesso ao sistema.
89
TRABALHOS FUTUROS
A partir do que foi estudado nesta dissertao e com a finalidade de dar continuidade ao
trabalho desenvolvido seria interessante aperfeioar as tcnicas de extrao dos dados
armazenados no smartphone por meio do desenvolvimento de mtodos, ainda mais
especficos, que consigam extrair a maior quantidade de informao do sistema operacional,
dada sua verso e sistema de arquivos, assim como aplicaes mais eficientes para este fim.
Outro trabalho interessante de se desenvolver seria uma ferramenta, ainda no disponvel,
para exame forense com suporte ao sistema de arquivos YAFFS2. A criao desta ferramenta
pericial poderia facilitar a fase de extrao dos dados armazenados na memria interna do
telefone, pois no haveria necessidade do analista se preocupar com a forma que os dados
sero examinados a partir de uma imagem gerado do sistema. Assim, facilitaria a fase do
exame, uma vez que seria possvel acessar as imagens geradas do sistema de forma similar ao
que realizado atualmente com imagens de discos rgidos formatados com os sistemas de
arquivos mais utilizados (FAT32, NTFS, EXT3).
Outro trabalho que poderia ser desenvolvido seria de avaliar o mtodo proposto neste trabalho
ou, se for o caso, propor um especfico, para anlise pericial de dispositivos do tipo Tablet PC
com o Android 3.x, tendo em vista a crescente presena deste equipamento no mercado
mundial.
Com base em informaes presentes neste trabalho, foi submetido um artigo intitulado
Aquisio de Evidncias Digitais em Smartphones Android ICoFCS 2011 (The Sixth
90
International Conference on Forensic Computer Science), que foi publicado nos anais dessa
conferncia e apresentado na VIII Conferncia Internacional de Percias em Crimes
Cibernticos (ICCyber 2011) no perodo de 05 a 07 de outubro de 2011.
91
REFERNCIAS BIBLIOGRFICAS
AccessData. Forensic Toolkit (FTK) Computer Forensics Software. Stio da internet da
AccessData,
2011.
Disponivel
em:
<http://accessdata.com/products/computer-
de
Telecomunicaes,
2011.
Disponivel
em:
<http://www.anatel.gov.br/Portal/exibirPortalPaginaEspecialPesquisa.do?acao=&tipoC
onteudoHtml=1&codNoticia=22917>. Acesso em: 08 ago. 2011.
Antonioli, D.; Pilz, M. Analysis of the Java Class Format. [S.l.]. 2008. (98.4).
Ashcroft, J. Eletronic Crime Scene Investigation: A Guide for First Responders U.S.
Department of Justice. DoJ. Washington, DC, p. 82. 2001.
Association of Chief Police Officers. Good Practice Guide for Computer-Based
Electronic Evidence - Verso 4.0. [S.l.]. 2008.
Bahareth, M. iSay - Kings of the Internet. 1a. ed. [S.l.]: Trafford, 2010.
Bornstein, D. Dalvik VM Internals. 2008 Google I/O Session, 2008. Disponivel em:
<http://sites.google.com/site/io/dalvik-vm-internals>. Acesso em: 12 abril 2011.
Brady, P. Anatomy & Physiology of an Android. 2008 Google I/O Session, 2008.
Disponivel em: <http://sites.google.com/site/io/anatomy--physiology-of-an-android>.
Acesso em: 12 abril 2011.
Brasil. Lei no. 3.189, de 3 de outubro de 1941, alterada pela lei 10.695, de 1 de julho de
2003. Cdigo de Processo Penal, artigos 530-C e 530-D. Braslia: [s.n.], 2003.
Burnette, E. Hello, Android. [S.l.]: Pragmatic Bookshelf, 2008. ISBN 978-1-934356-173.
Cannon, T. Android Reverse Engineering. Thomas Cannon, 2010. Disponivel em:
<http://thomascannon.net/projects/android-reversing/>. Acesso em: 23 maro 2011.
92
Cannon, T. Android Lock Screen Bypass. Thomas Cannon, 2011. Disponivel em:
<http://thomascannon.net/blog/2011/02/android-lock-screen-bypass/>. Acesso em: 23
maro 2011.
Cassavo, L. In Pictures: A History of Cell Phones. PCWorld, 7 maio 2007. Disponivel
em:
<http://www.pcworld.com/article/131450/in_pictures_a_history_of_cell_phones.html>.
Acesso em: 22 maro 2011.
Cavaleiro, D. Nokia e Microsoft confirmam parceria para enfrentar Apple e Google.
Jornal
de
Negcios,
11
fevereiro
2011.
Disponivel
em:
<http://www.jornaldenegocios.pt/home.php?template=SHOWNEWS_V2&id=468017>.
Acesso em: 22 maro 2011.
Cellebrite. Mobile Forensics and Data transfer solutions. Cellebrite, 2011. Disponivel
em:
<http://www.cellebrite.com/forensic-products/forensic-products.html?loc=seg>.
em:
<http://davidehringer.com/software/android/The_Dalvik_Virtual_Machine.pdf>.
Acesso em: 17 fevereiro 2011.
Farley, T. Mobile Telephone History. Telektronikk, v. 3, p. 22 a 34, abril 2005.
Gadhavi, B. Analysis of the Emerging Android Market. The Faculty of the Department
of General Engineering, San Jose State University. [S.l.], p. 88. 2010.
Google Inc. Android Debug Bridge. Android Developers, 2011a. Disponivel em:
<http://developer.android.com/guide/developing/tools/adb.html>. Acesso em: 4 abril
2011.
93
Inc.
Android
SDK.
Android
Developers,
2011c.
Disponivel
em:
Inc.
Logcat.
Android
Developers,
2011e.
Disponivel
em:
em:
<http://viaforensics.com/wiki/doku.php?id=aflogical:com.google.android.apps.maps>.
Acesso em: 20 abril 2011.
94
Hoog, A. Android Forensics - Investigation, Analisys and Mobile Security for Google
Android. 1a. ed. [S.l.]: Syngress, 2011.
Jansen, W.; Ayers, R. Guidelines on Cell Phone Forensics - Recomendations of the
National Institute of Standards and Technology. [S.l.]. 2007.
Khan, S. et al. Analysis of Dalvik Virtual Machine and Class Path Library. Security
Engineering Research Group, Institute of Management Sciences. Peshawar, Pakistan, p.
33. 2009.
Knijff, R. V. D. Handbook of Computer Crime Investigation, Chapter 11 Embedded
Systems Analysis. [S.l.]: Academic Press, 2001.
Lessard, J.; Kessler, G. C. Android Forensics: Simplifying Cell Phone Examinations.
Small Scale Digital Device Forensics Journal, setembro 2010.
linux-mtd.infradead.org. General MTD documentation. Memory Technology Devices,
14
outubro
2008.
Disponivel
em:
<http://www.linux-
Acesso
95
About
SQLite.
SQLite,
2011.
Disponivel
em:
96