.
Se você já assistiu a um programa policial antes, provavelmente já viu analistas extraindo dados de um telefone. Quão realistas são esses procedimentos e a polícia pode recuperar fotos, textos e arquivos excluídos de um telefone?
Vejamos o que um analista forense pode fazer com um telefone.
Por que as investigações forenses móveis acontecem
Uma investigação forense móvel ocorre quando os dados em um telefone são cruciais para um caso. Em 2014, quando duas meninas de Minnesota desapareceram, a perícia digital ajudou a polícia a encontrar seu sequestrador, conforme relatado pelo Star Tribune. Muitos outros casos foram descobertos pelas informações obtidas do telefone da vítima ou do perpetrador.
Mesmo uma simples informação, como uma única mensagem de texto, pode ajudar os investigadores a resolver um caso. Outras vezes, é uma imagem mais complicada pintada por registros de chamadas excluídos, carimbos de data/hora, dados de geolocalização e uso de aplicativos.
O histórico de pesquisa pode ser incriminador. Muitos tipos de informações podem ajudar a polícia a solucionar um crime – e os telefones armazenam muitos desses tipos de informações.
Mesmo que você não seja o principal suspeito, a polícia pode querer examinar seu telefone. Telefones pertencentes a vítimas de crimes podem fornecer dados valiosos à polícia, especialmente se essas vítimas estiverem incapacitadas ou desaparecidas.
O que a perícia da polícia pode encontrar?
Os analistas forenses podem realizar diferentes tipos de aquisição de dados. A mais simples é conhecida como “aquisição manual” e envolve a busca pelo telefone normalmente. Isso não revela dados excluídos, portanto, não informa muito aos analistas.
Uma “aquisição lógica” fornece dados mais detalhados. Isso envolve a transferência de dados do telefone para um PC. Essa transferência facilita o trabalho dos investigadores forenses com os dados, mas ainda é improvável que recuperem as informações excluídas.
Quando os investigadores querem ver dados ocultos, eles usam uma “aquisição de sistema de arquivos”. Dispositivos móveis são grandes bancos de dados, e uma aquisição de sistema de arquivos dá ao investigador acesso a todos os arquivos do banco de dados. Isso inclui arquivos ocultos e raiz, mas ainda sem dados excluídos.
Finalmente, há uma “aquisição física”. Esse é o tipo de aquisição mais difícil, pois precisa de ferramentas especiais para despejar uma cópia do armazenamento em um arquivo. No entanto, isso revela tudo – até mesmo arquivos excluídos. Isso permite que procedimentos como a recuperação forense de mensagens de texto ocorram.
A polícia pode recuperar mensagens de texto e mídia excluídas?
Você pode estar se perguntando como a polícia pode ler mensagens de texto que foram deletadas. Na verdade, quando você exclui algo do telefone, ele não desaparece instantaneamente.
A memória flash em dispositivos móveis não apaga arquivos até que precise abrir espaço para algo novo. Ele apenas o “desindexa”, basicamente esquecendo onde está. Ainda está armazenado, mas o telefone não sabe onde ou o que é.
Se o telefone não tiver substituído os dados excluídos, outro software poderá localizá-los. Identificá-lo e decodificá-lo nem sempre é fácil, mas a comunidade forense possui ferramentas extremamente poderosas que os auxiliam nesse processo.
Quanto mais recentemente você excluiu algo, menor a probabilidade de ter sido substituído. Se você excluiu algo meses atrás e usa muito o telefone, há uma boa chance de que o sistema de arquivos já o tenha substituído. Se você o excluiu apenas alguns dias atrás, as chances são maiores de que ainda esteja lá em algum lugar.
Alguns dispositivos iOS, como iPhones mais recentes, dão um passo adicional. Além de desindexar os dados, eles também os criptografam – e não há chave de descriptografia conhecida. Isso vai ser extremamente difícil (se não impossível) de contornar.
Muitos telefones fazem backup automaticamente no computador do usuário ou na nuvem. Pode ser mais fácil extrair os dados desse backup do que do telefone. A eficácia dessa estratégia depende de há quanto tempo o telefone realizou um backup e do serviço usado para armazenar os arquivos.
Quais tipos de arquivo podem ser recuperados?
Os tipos de arquivos recuperáveis podem depender do dispositivo em que um analista forense está trabalhando. No entanto, existem alguns tipos básicos que provavelmente serão recuperados:
- Mensagens de texto e iMessages
- Histórico de chamadas
- E-mails
- Notas
- Contatos
- Eventos do calendário
- Imagens e vídeos
Também é possível que os investigadores possam rastrear as mensagens excluídas do WhatsApp, a menos que tenham sido criptografadas. Se você usa seu Android para armazenamento de arquivos, esses arquivos também podem estar no armazenamento.
Que tal criptografar os dados do seu telefone?
A criptografia de dispositivos móveis representa um desafio para as equipes forenses, mas não é de forma alguma uma fortaleza impenetrável. Embora a criptografia tenha destruído os planos dos investigadores, a importância das evidências forenses digitais nos dias de hoje deu origem a ferramentas que podem quebrá-las.
Alguns telefones têm backdoors integrados que permitem o acesso de profissionais aos arquivos. Outros investigadores podem adivinhar ou decifrar sua senha.
Se eles não puderem fazer nada disso, eles podem recorrer a um software externo. Por exemplo, a Cellebrite é uma empresa especializada em passar por defesas, criptografadas ou não. Você pode ler um estudo de caso no site da Cellebrite sobre como um detetive usou as ferramentas da empresa para obter 50 GB de evidências de uma conta de armazenamento em nuvem Mega criptografada.
E o WhatsApp?
O WhatsApp defende a privacidade, com seus serviços de criptografia de ponta a ponta e boas práticas de privacidade. Mas uma chamada do WhatsApp pode ser rastreada? E como a polícia recupera as mensagens apagadas do WhatsApp?
No momento em que escrevo, a página de privacidade do WhatsApp tem boas notícias para os entusiastas da privacidade:
Criptografia de ponta a ponta. Mensagens e chamadas ficam entre vocês. Ninguém mais pode lê-los ou ouvi-los, nem mesmo o WhatsApp.
Isso significa que quebrar as defesas do WhatsApp seria um desafio difícil para alguém que deseja colocar as mãos em suas informações.
Além disso, a Central de Ajuda do WhatsApp para informações para autoridades policiais afirma que o WhatsApp não armazena mensagens em seus servidores. A empresa atenderá às solicitações da polícia, mas apenas “antes que um usuário exclua esse conteúdo de nosso serviço”.
No entanto, não é perfeito. Por exemplo, a Ars Technica informou que, se alguém relatar o conteúdo como inadequado para a plataforma, o serviço descriptografará alguns dos logs de bate-papo e os enviará aos moderadores para verificação. E a aplicação da lei está interessada em examinar os metadados das comunicações para capturar criminosos.
Alguma de suas informações está segura?
No final, não há garantias quando se trata de investigação forense móvel. Não há como proteger completamente todos os dados do seu telefone contra um investigador comprometido e inteligente. Ao mesmo tempo, não há como acessar dados em todos os telefones.
No entanto, há uma grande variedade de ferramentas em constante evolução por aí. Isso leva em consideração o cenário em constante mudança da proteção de dados. E, claro, há alguma sorte envolvida também.
Como sempre, recomendamos as mesmas coisas se você quiser manter seus dados seguros. Criptografe tudo. Seja esperto sobre onde e como você faz o backup. Use senhas fortes. Por fim, não faça nada que o coloque na mira de uma investigação forense.
Como recuperar mensagens de texto excluídas
Se você quiser fazer uma análise forense de telefone celular faça você mesmo, poderá recuperar mensagens de texto excluídas em seu telefone. Existem algumas limitações que você terá que superar, mas é possível!
As etapas envolvidas são bastante longas, portanto, leia como recuperar mensagens de texto no Android ou iPhone para obter a imagem completa.
Mantendo seus dados seguros
Então, a polícia pode recuperar fotos, textos e arquivos excluídos de um telefone? A resposta é sim – usando ferramentas especiais, eles podem encontrar dados que ainda não foram substituídos. E hoje em dia, a criptografia não é exatamente a solução mágica que já foi. Como tal, a melhor maneira de manter as coisas seguras é nunca documentá-las digitalmente em primeiro lugar.
.
