Академический Документы
Профессиональный Документы
Культура Документы
FACULDADE DE TECNOLOGIA
DEPARTAMENTO DE ENGENHARIA ELTRICA
APROVADA POR:
ii
FICHA CATALOGRFICA
SIMO, ANDR MORUM DE L.
Proposta de Mtodo para Anlise Pericial em Smartphone com Sistema Operacional Android
[Distrito Federal] 2011.
xiv, 96p, 297 mm (ENE/FT/UnB, Mestre, Engenharia Eltrica, 2011). Dissertao de
Mestrado Universidade de Braslia, Faculdade de Tecnologia. Departamento
de Engenharia Eltrica.
REFERNCIA BIBLIOGRFICA
SIMO, ANDR MORUM DE L. (2011). Proposta de Mtodo para Anlise Pericial em
Smartphone com Sistema Operacional Android. Dissertao de Mestrado em Engenharia
Eltrica, Publicao PPGENE.DM 081/2011, Departamento de Engenharia Eltrica,
Universidade de Braslia, Braslia, DF, 96p.
CESSO DE DIREITOS
NOME DO AUTOR: Andr Morum de Lima Simo
TTULO DA DISSERTAO: Proposta de Mtodo para Anlise Pericial em Smartphone
com Sistema Operacional Android.
iii
Dedico este trabalho minha famlia, em
especial minha esposa, pessoa com a qual
divido todos os meus momentos de felicidade
e angstia. E a todos os Peritos Criminais do
Brasil que, mesmo sem a devida valorizao
da carreira, e com todas as adversidades
comuns ao servio pblico brasileiro,
conseguem produzir trabalhos de alto nvel e
de qualidade incontestvel.
iv
AGRADECIMENTOS
Ao meu orientador Prf. Dr. Flvio Elias Gomes de Deus, pela sua capacidade de coordenar
e transmitir de forma clara e objetiva os conhecimentos necessrios para a realizao deste
trabalho.
Ao Prof. Msc. Laerte Peotta de Melo, por acreditar na capacidade de seus alunos, pelo
incentivo, total disponibilidade e compartilhamento seu conhecimento sobre anlise
forense, necessrios para o desenvolvimento deste trabalho.
Ao colega de trabalho e Prof. Dr. Helvio Ferreira Peixoto que, sem demonstrar qualquer
abatimento diante das dificuldades, foi essencial para a realizao deste Mestrado,
mostrando-se como um exemplo de postura e determinao.
Ao colega de trabalho e amigo Fbio Cas Scoli, que sempre prestou apoio nos estudos
das disciplinas mais complexas, sendo um parceiro exemplar nos trabalhos de classe e um
timo revisor deste trabalho, tendo sempre a pacincia e destreza de um professor.
O presente trabalho foi realizado com o apoio do Departamento Polcia Federal DPF,
com recursos do Programa Nacional de Segurana Pblica com Cidadania PRONASCI,
do Ministrio da Justia.
v
RESUMO
A partir do mtodo proposto foram mapeadas, por meio da diagramao, as situaes reais
com que os peritos se deparam durante as etapas de apreenso, aquisio dos dados, exame
e documentao, fornecendo os subsdios necessrios para realizar os procedimentos
forenses da forma correta.
Foram propostos estudos de caso com base em trs cenrios distintos. Os cenrios foram
criados a partir de smartphones utilizados rotineiramente por usurios com perfis de
utilizao distintos. Assim, foi possvel verificar o trabalho desenvolvido nesta dissertao
a partir da aplicao do mtodo em diferentes situaes em que o analista pode se deparar.
vi
ABSTRACT
Although there are well documented and widespread approaches about forensic exam on
mobile devices and computers, they are not detailed enough to meet all the specificities of
an Android phone. The goal this work is, based on the actual guidelines of cell phones
forensic analysis, create a specific method for the ones with the Android operating system,
given the peculiarities of the platform and the situations that the forensic analyst will face.
With the increasing adoption of the Android operating system in mobile devices and the
evolution of the platform itself, there is a natural tendency of these devices increasingly
contain information that may be useful to the investigation process.
With this method, it was possible to map, through a workflow, real situations that forensic
analysts could face in the phases of cell phone seizure, data acquisition, exam and report,
giving the necessary knowledge to execute the forensic procedures in a correct way.
Case studies were proposed based on three different scenarios. The scenarios were created
from smartphones used routinely by users with different usage profiles. Thus, it was
possible to verify the work in this thesis from the application of the method in different
situations in which the analyst may come across.
vii
SUMRIO
1. INTRODUO ........................................................................................................... 1
1.1. DEFINIO DO PROBLEMA ......................................................................... 2
1.2. JUSTIFICATIVA ................................................................................................ 3
1.3. OBJETIVO DA DISSERTAO ...................................................................... 6
1.4. METODOLOGIA................................................................................................ 6
1.5. ORGANIZAO DO TRABALHO ................................................................. 7
viii
4.1.1. O papel do analista pericial ...................................................................... 49
4.1.2. Primando pela preservao ...................................................................... 50
4.1.3. Consideraes sobre a apreenso ............................................................. 51
4.2. AQUISIO DOS DADOS .............................................................................. 51
4.2.1. Aquisio e preservao dos dados do carto e do smartphone ............ 53
4.2.2. A aquisio dos dados de smartphone sem controle de acesso............... 54
4.2.3. A aquisio dos dados de smartphone com controle de acesso .............. 57
4.2.4. Consideraes sobre a aquisio .............................................................. 58
4.3. EXAME .............................................................................................................. 59
4.3.1. A individualizao do smartphone ........................................................... 60
4.3.2. A anlise dos dados do dispositivo ........................................................... 60
4.3.3. Aprofundando a investigao ................................................................... 61
4.3.4. Consideraes sobre o exame ................................................................... 62
6. CONCLUSES.......................................................................................................... 89
6.1. TRABALHOS FUTUROS ................................................................................ 90
ix
LISTA DE TABELAS
x
LISTA DE FIGURAS
xi
Figura 5.11 Etapa de exame do cenrio 2 (Motorola Milestone II). ................................ 75
Figura 5.12 - Fluxo do processo de aquisio de dados de um smartphone Android ligado,
bloqueado, com acesso ADB e permisses de super usurio. ............................................. 76
Figura 5.13 - Obteno de um shell via ADB no celular apreendido. Nota-se que no foi
possvel obter permisses de super usurio. ........................................................................ 77
Figura 5.14 - Instalao dos aplicativos Screen Lock Bypass e Android Forensics
Logical Application via ADB. ........................................................................................... 77
Figura 5.15 - Tela de configurao da conexo USB. ......................................................... 78
Figura 5.16 - Aplicativo Superuser: (a) programa no menu de aplicativos e (b) as
permisses configurados no telefone. .................................................................................. 78
Figura 5.17 - Copia das parties do sistema Android para o carto de memria. ............. 79
Figura 5.18 - Obteno de um shell no telefone apreendido com acesso a super usurio e
processos em execuo. ....................................................................................................... 80
Figura 5.19 - Aplicativo "Superuser": (a) programa no menu de aplicativos e (b) as
permisses configuradas no telefone. .................................................................................. 81
Figura 5.20 - Mostra o comando para listar os processos, termin-los de forma abrupta para
gerao do arquivo de dump e cpia destes arquivos para a estao pericial. .................... 82
Figura 5.21 - Comprovante de aplicao em poupana. ..................................................... 86
Figura 5.22 Etapa de exame do cenrio 3 (Motorola Milestone). .................................... 87
xii
LISTA DE SMBOLOS, NOMENCLATURA E ABREVIAES
xiii
NFC Near Field Communication
OS Operating System
SO Sistema Operacional
VM Virtual Machine
xiv
1. INTRODUO
Esta mesma pesquisa mostra, um grande aumento do uso da rede mundial de computadores,
Internet, por meio da tecnologia de banda larga mvel 3G, com um crescimento neste ano de
27,28%. Com este nmero, o Brasil totalizava em maio de 2011 185.934.633 (cento e oitenta
e cinco milhes, novecentos e trinta e quatro mil e seiscentos e trinta e trs) terminais 3G
(Anatel, 2011). O sucesso dos dispositivos mveis de acesso Internet, a exemplo dos
smartphones, tablets, netbooks e equipamentos GPS (Global Positioning System), mostra
exatamente que a convergncia de tecnologias vem sendo bem aceita pelo mercado.
A partir da, com a popularizao da Internet, o advento das redes mveis e a disseminao
dos dispositivos mveis, nota-se que o mercado, com o apoio do avano tecnolgico, vem
apostando cada vez mais em dispositivos que ofeream convergncia destas tecnologias.
Com o avano tecnolgico, o mercado dos telefones celulares evoluiu de tal forma que
atualmente tm-se os smartphones. Esses so dispositivos que possuem um grande poder
computacional, oferecendo aos usurios uma grande diversidade de aplicaes que podem
utilizar recursos providos pela Internet. Os telefones celulares esto entre os dispositivos mais
populares, sendo os smartphones entre os objetos de maior desejo daqueles que gostam de
tecnologia e buscam facilitar o acesso a diversas fontes de informao.
Neste cenrio, os sistemas operacionais voltados para estes dispositivos aumentaram suas
funcionalidades a fim de suprir a necessidade do usurio. V-se dispositivos com 2GB de
memria RAM integrada, aceleradores grficos e processadores de mais de 1GHz, com
ncleo duplo, onde o sistema operacional atua de forma a prover todos os servios ao usurio.
Conforme citado por Jansen e Ayes (Jansen e Ayers, 2007), a comunidade forense se depara
com constantes desafios para se manter atualizada na busca por evidncias relevantes
investigao. Os telefones celulares so utilizados por muitas pessoas no seu dia-a-dia, tanto
1
para fins pessoais como profissionais, sendo uma potencial fonte de informao para um
determinado apuratrio.
A partir da evoluo dos telefones celulares para os chamados smartphones, pode-se notar
tambm a mudana nos perfis dos seus usurios. Desta forma so considerados trs diferentes
grupos (Speckmann, 2008):
O usurio normal: que utiliza apenas as aplicaes bsicas do telefone celular, tais
como servio de mensageria SMS (Short Message Service), realizao de chamadas,
calculadora, armazenamento de contatos e despertador;
O usurio avanado: que utiliza outras aplicaes alm daquelas fornecidas
nativamente1 pelo telefone celular, integrando-o ao seu cotidiano;
O usurio expert: que utiliza a maioria dos recursos de hardware e software do
aparelho de telefonia celular, com conhecimentos para realizar a instalao de
customizaes, chegando at mesmo a desenvolver aplicaes especficas.
Cada um dos usurios tem necessidades diferentes, sendo que a plataforma Android consegue
atingir todos estes grupos de usurios de forma indiscriminada, por conta da utilizao de um
ambiente altamente amigvel, portvel e com grande capacidade tecnolgica.
1
No dispositivo mvel com Android pode-se definir aplicaes nativas quelas que vm instaladas de fbrica no
sistema oferecido pela Google, ou seja: Gmail, Gtalk, Android Market, Cmera, Contatos, E-mail Corporativo,
Mapas, Relgio, Agenda, YouTube, Pesquisa, Calculadora e Galeria. Estes aplicativos so disponibilizados no
emulador do sistema operacional Android disponibilizado no seu SDK (Software Development Kit) e podem
sofrer alteraes a depender da sua verso.
2
Desta forma, os smartphones com a plataforma Android conseguem atingir uma grande
parcela dos usurios. Alm disso, devido capacidade da plataforma Android de prover um
grande nmero de funcionalidades, o dispositivo armazena valiosas informaes sobre seu
proprietrio, o que o configura como um repositrio de provas para fatos que se queira
elucidar ou, simplesmente, mais uma fonte para obter informaes a fim de subsidiar uma
investigao.
Assim, necessria a criao de um mtodo para realizar a correta extrao dos dados destes
equipamentos, dada as situaes que sero encontradas, devido aos diferentes perfis dos
usurios dos smartphones Android e das funcionalidades do dispositivo mvel, a fim de evitar
que informaes importantes investigao deixem de ser coletadas pela equipe de analistas
periciais que realizaro o exame pericial no telefone celular.
Dada a grande variedade de equipamentos que possui o sistema operacional Android, este
trabalho limita-se a realizar a pesquisa nos dispositivos mais bem aceitos pelo mercado, ou
seja, nos smartphones, onde o Android conseguiu se destacar. Isso no significa que o mtodo
a ser proposto no possa ser utilizado nos outros dispositivos, entretanto sugere-se sua
validao ou aplicao crtica, tendo em vista o foco da dissertao.
1.2. JUSTIFICATIVA
Com relao aos smartphones, nota-se um fenmeno que foi anlogo ao que ocorreu com os
computadores h algumas dcadas. Inicialmente, cada telefone celular executava um sistema
embarcado prprio e especfico. Nos ltimos anos, est havendo uma popularizao de
plataformas comuns de software para diferentes telefones celulares.
3
Dentre os sistemas operacionais (SO) disponveis para este tipo de plataforma, esto o iOS
(sistema instalado nos dispositivos mveis da Apple), o Windows Phone, Symbian OS para
dispositivos Nokia, BlackBerry e o Android OS disponibilizado pela Open Handset Alliance.
Segundo pesquisas do Gartner Group (Pettey e Stevens, 2011), no final do ano de 2011 o
Android OS se tornar o sistema operacional mais popular no mundo, com 38,5% do
mercado, com previses de crescer mais 10,7%, chegando a 49,2% do mercado mundial em
2012. A Figura 1.1 mostra o crescimento da plataforma Android em nmeros absolutos. Outro
dado interessante nesta pesquisa referente popularizao dos smartphones, que segundo a
Gartner, em 2015 custaro menos de US$300,00, chegando a conquistar 67% do mercado.
Nesta pesquisa, foi possvel observar que o Android OS a plataforma que mais cresce.
Associando aos dados de outra pesquisa da Gartner feita em 2010 (Pettey e Tudor, 2010), em
2009 o Android OS possua apenas 3,9% do mercado americano, com os dados na nova
pesquisa, tem-se em 2010 o Android OS com 22,7% do mercado j conquistado a nvel
mundial, um crescimento considervel dado um perodo de apenas um ano.
Figura 1.1 - Evoluo e previses de vendas de smartphones com os sistemas operacionais descritos
em nmeros absolutos2.
2
Dados obtidos da pesquisa da Gartner (Pettey e Stevens, 2011)
4
Trata-a de um sistema aberto baseado em Linux, kernel 2.6, desde sua verso 1.5,
disponibilizada por grandes empresas de TI do mercado, que se uniram em um consrcio
chamado Open Handset Alliance (OHA), liderado pela Google. Alm disso, possui diversos
recursos, a exemplo de suporte a multimdia, Java, aplicaes 3D, SQLite, geolocalizao,
GSM (Global System for Mobile Communications), navegao web (Google Inc, 2011f).
Tem-se tambm nesta plataforma uma interface muito amigvel e de fcil portabilidade entre
diversos hardwares dos diferentes fabricantes de dispositivos mveis.
A partir do que foi demonstrado, temos na plataforma Android um smartphone com grande
aceitao no mercado mundial. Do ponto de vista pericial, vemos que a anlise forense de
telefones celulares a cincia de recuperao de informaes digitais destes dispositivos que,
assim como a cincia forense como um todo, tem que utilizar tcnicas bem fundamentadas e
aceitas pela comunidade forense. Assim, a criao de um mtodo de anlise forense de
dispositivos mveis com sistema operacional Android, baseado em modelos j aceitos pela
comunidade, descrevendo as peculiaridades do sistema, visa auxiliar o Perito a atuar de forma
correta com este tipo de dispositivo mvel, orientando-o a buscar as informaes disponveis
no sistema da forma menos invasiva possvel, por meio de um mtodo forense voltado para
ambiente mvel, a fim de que a evidncia possa ser extrada e analisada de forma a ser til e
incontestvel para o processo investigativo.
Sero estudadas as caractersticas da plataforma Android sob o ponto de vista pericial, nas
etapas de apreenso, aquisio, exames e documentao (gerao do relatrio/laudo).
Tambm sero avaliados os aplicativos instalados na plataforma. Ser definido um mtodo
para extrao e anlise das informaes teis do sistema operacional. O mtodo ser
composto por um conjunto de regras e procedimentos que tem como finalidade obter a
informao armazenada no dispositivo, dada as diferentes situaes que o analista pode se
deparar, a exemplo de smartphone desbloqueado de um usurio comum, ou um smartphone
com permisses de super usurio, ou com acesso de depurao via USB (Universal Serial
Bus) ativado.
5
A partir da situao encontrada, ser realizada a extrao das informaes que puderem ser
acessadas, a exemplo dos histricos de Internet, mensagens de texto, mensagens eletrnicas,
lista de contatos e sua ligao com possveis redes sociais, registro de chamadas, imagens,
dentre outras, por meio do uso de tcnicas que possam ser adotadas como padres para anlise
pericial desses dispositivos.
Sero mostradas que as abordagens existentes at a concluso deste tabalho para forense em
telefones celulares so deficientes ou incompletas a fim de se realizar uma anlise pericial em
um smartphone com o sistema operacional Android. Assim, ser proposto um mtodo para
orientar o analista pericial, que ter como misso extrair as informaes do dispositivo mvel
Android, fornecendo para equipe de investigao a informao possvel de ser obtida, dada
situao em que o mesmo foi encaminhado para anlise.
1.4. METODOLOGIA
Para proposio do mtodo criado neste trabalho, optou-se por incialmente realizar uma
reviso da literatura sobre anlise pericial em telefones celulares e dispositivos mveis.
6
Algumas das abordagens estudadas partem de premissas definidas para exames em
computadores, o que prejudica a anlise em um smartphone Android, pois a interao com o
dispositivo geralmente necessria. Isso impossibilita uma preservao da evidncia na sua
integralidade. Outro fator observado que os estudos relacionados forense em telefones
celulares que eles normalmente partem de aspectos gerais, devido a grande variedade de
fabricantes e modelos, perdendo aspectos especficos de cada plataforma.
Logo, o mtodo proposto para realizar uma anlise pericial em um smartphone com sistema
operacional Android baseado nas melhores prticas utilizadas atualmente pela Polcia
Federal do Brasil, pelo NIST (Jansen e Ayers, 2007), pelo Departamento de Justia dos
Estados Unidos (Ashcroft, 2001), polcia Inglesa (Association of Chief Police Officers, 2008)
e Instituto Forense da Holanda (Netherlands Forensic Institute, 2007), e busca diferenciar-se
adaptando essas melhores prticas s peculiaridades da plataforma Android.
Ante o exposto, a dissertao foi dividida em 6 (seis) captulos. Neste captulo foi realizada
uma introduo do trabalho, onde definido o problema a ser resolvido, sua justificativa e os
objetivos do trabalho. O captulo 2 fornece uma viso das abordagens usadas atualmente nos
Estados Unidos, Inglaterra e Holanda, para anlise de telefones celulares, atentando para o
fato da apreenso, aquisio da informao, exame e documentao do processo forense.
O captulo 4 apresenta de forma clara, objetiva e diagramada o mtodo proposto para extrao
da informao do smartphone com o sistema operacional Android, com a finalidade de
7
detalhar ao analista pericial como deve proceder nas etapas de apreenso, aquisio dos
dados, exames e gerao do relatrio/laudo (documentao);
Finalmente, o captulo 6: conclui o trabalho, apresentando uma sntese dos resultados obtidos
a partir da validao do mtodo proposto, descrevendo sua relevncia. Tambm so propostos
trabalhos futuros, as dificuldades encontradas, assim como apresenta formas de se dar
continuidade ao trabalho desenvolvido.
8
2. AS ABORDAGENS DE FORENSE EM TELEFONES CELULARES
Forense significa a arte ou estudo do discurso argumentativo em que a cincia usada para
fornecer ou demonstrar fatos, como por exemplo, aplicar a cincia ao direito (Owen, Thomas
e Mcphee, 2010). Analistas forenses extraem, analisam, identificam e reconstroem evidncias
a fim de obter concluses a respeito de um fato, usando a cincia para fornecer o devido
embasamento na concluso das suas argumentaes.
Como descreve a ACPO em seu segundo princpio, em um exame mais especfico onde h
necessidade de extrao da informao direta do dispositivo, o examinador deve ter as
competncias e expertise necessrias a fim de obter a informao e explicar a relevncia e
implicaes dos procedimentos utilizados. Como os telefones celulares possuem diferentes
softwares, hardwares e funcionalidades, v-se a necessidade de escrever procedimentos
especficos para diferentes categorias de aparelhos.
9
Estados Unidos (Ashcroft, 2001), ACPO (Association of Chief Police Officers, 2008) e NFI
(Netherlands Forensic Institute, 2007), uma vez que possuem procedimentos que so os mais
utilizados e aceitos atualmente, inclusive pela Polcia Federal do Brasil. Conhecendo estas
abordagens, possvel propor um mtodo para anlise forense especfico para a plataforma
Android, abrangendo as peculiaridades desse ambiente.
Antes de efetivamente extrair os dados dos telefones celulares, deve-se fazer a correta
preservao do dispositivo para que chegue a um analista pericial na melhor condio
possvel para se realizar o exame. A apreenso tem por objetivo preservar as evidncias de tal
forma a evitar a perda ou alterao da prova a ser apreendida. Tambm envolve a busca por
mdias eletrnicas que possam possuir informao til a respeito do que esta sendo
investigado. A questo mais importante preservar de forma adequada os dispositivos que
forem apreendidos, documentando-os conforme preconiza o Cdigo de Processo Penal
Brasileiro (Brasil, 2003) e os normativos vigentes (DITEC/DPF, 2010).
Tanto o NIST (Jansen e Ayers, 2007), a ACPO (Association of Chief Police Officers, 2008),
quanto o NFI (Netherlands Forensic Institute, 2007), descrevem que ao se deparar com
dispositivos mveis, deve-se lidar com a evidncia de acordo com o que est sendo apurado.
Por exemplo, deve-se atentar para o fato que o dispositivo pode conter evidncias como DNA
ou impresses digitais, que podem ser destrudas ou contaminadas se este for indevidamente
manuseado. Deve-se tambm observar o fato que h casos em que a tela de descanso ativada
ou o telefone desligado e, para se obter acesso ao telefone, pode ser necessrio passar por
um sistema de autenticao, devendo assim avaliar a questo do desligamento ou no do
equipamento, devendo acondicion-lo de tal forma que no sofra acionamento das teclas de
forma acidental. Deve-se tambm observar os acessrios do equipamento, uma vez que no h
padronizao, por exemplo, do carregador.
10
Apesar de o NIST recomendar evitar entrar no local com dispositivos Wi-Fi e Bluetooth
ativados, para no ocorrer interaes indesejadas com o objeto da busca (Jansen e Ayers,
2007), o analista pericial pode avaliar a utilizao destes recursos para buscar por
equipamentos que possam estar utilizando destas tecnologias para facilitar a documentao e
at mesmo encontrar um equipamento escondido. Tambm devem ser arrecadados os
acessrios dos dispositivos, como baterias, carregadores, e docking stations, principalmente
quando se tratar de um telefone celular mais simples ou com baixa aceitao no mercado.
interessante buscar por cartes SIM (Subscriber Identity Module) e memrias removveis,
pois estas podem conter informaes teis ao apuratrio. Deve-se entrevistar os donos dos
equipamentos arrecadados a fim de obter possveis senhas de acesso.
Cada uma das trs alternativas tem suas vantagens e desvantagens, que devem ser levadas em
considerao a depender do caso ou do alvo investigado. O desligamento do dispositivo pode
dificultar o seu acesso quando da realizao dos exames, uma vez que cdigos de autenticao
podem ser solicitados quando do seu religamento. J o isolamento em uma sacola de bloqueio
de sinal, pode aumentar significativamente o consumo da bateria do dispositivo, uma vez que
o mesmo aumentar a potncia de sua antena para tentar encontrar uma torre mais distante
(Association of Chief Police Officers, 2008). Finalizando, a ativao do modo avio exigir
11
uma interao de uma agente da lei com o dispositivo, sendo que nem sempre esta pessoa est
habilitada para realiz-la, o que feriria uma das premissas da preservao, uma vez que o
dispositivo s poderia ser manuseado por pessoa habilitada, ou at mesmo uma interao
antes da realizao dos exames pode no ser adequada.
Antes de realizar a extrao dos dados, o examinador deve evitar que o dispositivo se
comunique com a rede de telefonia ou realize conexes com a rede Wi-Fi, Bluetooth, IrDA
(infra vermelho). Para tanto, pode-se utilizar equipamentos especficos para isolar tal
comunicao ou realizar uma interveno direta no dispositivo, desabilitando tais servios,
atentando para o que j foi discutido na fase de apreenso e preservao.
Para realizar a extrao de forma adequada, deve-se observar que os dispositivos atuais
possuem, alm de memria interna, cartes de memria, e, a depender do dispositivo, dados
armazenados na Internet por meio de aplicativos instalados (computao em nuvem), que no
so citadas nas abordagens usadas atualmente. Assim o perito examinador deve levar em
conta o objetivo dos exames que sero realizados, para avaliar at onde poder extrair
informaes que se encontram disponveis na nuvem (Internet) e so disponibilizadas por
meio do dispositivo.
12
no funcionar adequadamente em alguns equipamentos, sendo necessria a extrao com a
utilizao dos aplicativos proprietrios dos fabricantes do dispositivo mvel ou uma extrao
manual do contedo, que deve ser realizada por analista pericial com conhecimentos
especficos sobre a plataforma do telefone celular em questo.
Segundo o NIST (Jansen e Ayers, 2007), alguns critrios so fundamentais para ferramentas
forenses, devendo: apresentar os dados de tal forma que sejam teis e necessrios ao
investigador, com a finalidade de determinar ou no autoria e culpabilidade; ser precisa,
determinstica, apresentando os mesmos resultados dada a mesma entrada, e; verificvel,
garantindo a preciso da sada, fornecendo acesso as etapas intermedirias e apresentao dos
resultados.
3
A Cadeia de Custdia um processo usado para manter e documentar a histria cronolgica da evidncia, para
garantir a idoneidade e o rastreamento das evidncias utilizadas em processos judiciais (Lopes, Gabriel e Bareta,
2007).
13
Ademais, acrescenta-se a estes critrios a compatibilidade, que a capacidade de agregar o
maior nmero possvel de equipamentos mveis disponveis no mercado, e a atualizao, que
a habilidade de se manter atualizada, haja vista que novos dispositivos so disponibilizados
no mercado.
Cada fabricante e modelo podem utilizar uma verso de sistema operacional, alterando a
forma com que so armazenadas informaes de agenda, textuais, imagens, vdeos,
calendrios e registros de chamadas. Informaes estas que usualmente so os focos das
extraes. Resumindo, os dados armazenados na memria dos telefones celulares nem sempre
esto armazenados da mesma forma, mudando de acordo com o fabricante e modelo do
telefone celular.
14
2.2.3. Consideraes sobre aquisio dos dados
No processo de aquisio lgica dos dados de um telefone celular, este tem a necessidade de
estar ligado. Quando se liga o equipamento, estruturas de hardware e software so requeridas
para que o processo de inicializao possa ser realizado. Assim, estruturas como registradores
e memria so utilizadas, o que provoca alterao nos dados armazenados no dispositivo.
Desta forma, quando se realiza a aquisio lgica de um dispositivo mvel que se encontrava
desligado, necessariamente o processo provocar alterao de algumas informaes
disponveis na memria, uma vez que o telefone celular ter que ser ligado. O examinador
deve ter cincia de quais dados podem ou no ser alterados, de tal forma que tente evitar
danificar o que pode ser interessante ao apuratrio. A extrao deve ser realizada com o
intuito de se modificar o mnimo possvel a informao armazenada no equipamento e,
quando os dados tiverem que ser modificados, o examinador deve ter o conhecimento
suficiente para saber se o dado a ser alterado importante ou no para o caso, fazendo as
devidas intervenes e documentando o processo.
Nos casos de dispositivos que utilizam a rede GSM, o carto SIM tambm objeto de
aquisio de dados, pois armazena dados de agenda e mensagens SMS (Short Message
Service). A melhor forma de se obter estes dados atravs de um leitor de cartes SIM. Uma
ferramenta forense de aquisio pode enviar diretivas APDUs (Application Protocol Data
Units) diretamente para o carto, extraindo os dados logicamente, atentando para o status dos
cdigos de segurana PIN (Personal Identification Number) e PUK (PIN Unlock Key). A
15
extrao fsica dos dados um procedimento mais complexo, uma vez que o carto possui
recursos de proteo.
Tanto a obteno e anlise dos dados do carto SIM como a extrao fsica dos dados de um
telefone celular no so objetos do mtodo proposto neste trabalho. Os mtodos de extrao
do carto SIM se encontram bem documentados e seguem padres bem definidos. J a
extrao fsica dos dados de um telefone celular algo que pode ser muito complexo, pois
depende de caractersticas de hardware do dispositivo, variando significativamente o mtodo
empregado a depender do fabricante e modelo.
Um carto SIM bloqueado s poder ser acessado atravs da digitao do cdigo PIN, que
normalmente configurado pelo usurio, e, caso este cdigo seja digitado incorretamente por
trs vezes, o carto solicitar o cdigo PUK. O PUK pr-configurado de fbrica e
fornecido no momento da aquisio do carto SIM. Outra forma de se obter o PUK por
meio de informao da operadora de telefonia ao qual o carto est vinculado. Caso o PUK
seja digitado errado dez vezes o carto SIM definitivamente bloqueado. Assim,
recomendvel que o analista pericial verifique a quantidade de vezes que o PIN foi digitado
incorretamente, e apenas tente a utilizao de cdigos PIN padro se no restar apenas uma
tentativa de erro. Com relao ao cdigo PUK, o recomendado no realizar nenhuma
tentativa, pois pode levar o carto SIM a um bloqueio definitivo (Association of Chief Police
Officers, 2008).
16
J os controles de acesso fornecidos em nvel de sistema operacional, em alguns modelos de
dispositivos, podem ser contornados a fim de fornecer o acesso ao telefone. Desta forma, caso
o examinador se depare com este tipo de bloqueio deve pesquisar sobre o modelo do
dispositivo e seu SO, a fim de tentar burlar o sistema de controle de acesso, ou buscar
solues alternativas, a exemplo de interrogar o proprietrio do equipamento.
A tcnica investigativa pode ser bem utilizada pela equipe que vai a campo arrecadar o
material a ser examinado. Quando o equipamento apreendido e seu suposto dono encontra-
se no local, prudente perguntar ao suspeito possveis senhas que sejam utilizadas para ter
17
acesso ao dispositivo. Na busca e apreenso o momento em que o suspeito normalmente no
se deu conta do que est ocorrendo e facilita o fornecimento de informaes desta natureza.
Outra forma de obteno de senhas buscar por informaes escritas em pedaos de papel ou
coladas no equipamento, dentro da carteira do suspeito, etc. Em ltimo caso, podem-se tentar
senhas comuns ao proprietrio do telefone celular, como datas importantes, e senhas padro
no caso de PIN. Pode-se tambm buscar junto s operadoras de telefonia, cdigos de
desbloqueio, a exemplo do PUK, citado anteriormente.
Uma forma mais agressiva de se burlar os mecanismos de controle de acesso a aquisio por
hardware, que apesar de no ser objeto deste trabalho importante ser citada. Esta tcnica
tambm varia muito para cada equipamento e normalmente usada em conjunto com a
tcnica de software para obteno dos dados. Para se realizar o acesso por hardware, o
especialista busca possveis vulnerabilidades em interfaces de configurao, teste e
manuteno, para ter acesso memria principal. Um exemplo a interface JTAG (Joint Task
Action Group), que alguns dispositivos utilizam.
Outra forma seria ler o chip de memria diretamente do circuito de memria (Knijff, 2001).
Nesta abordagem, a especificao de hardware do equipamento influencia na forma como os
dados sero obtidos, sendo mais complexa tanto no processo de obteno como no de anlise
dos dados obtidos, uma vez que devero ser reorganizados em um ambiente diferente do
disponibilizado pelo dispositivo mvel.
As memrias removveis so muito utilizadas nos telefones celulares atuais. Isso se deve em
razo do custo deste tipo de memria ter reduzido, assim como sua capacidade de
armazenamento ter aumentado e seu tamanho diminudo. Com tamanhos reduzidos, que no
ocupam muito espao fsico no telefone celular, e grande capacidade de armazenamento
18
(podendo superar 32GiB), as memrias removveis so a opo para se armazenar grande
parte dos dados do dispositivo mvel.
A aquisio das informaes presentes nestas memrias pode se dar atravs de ferramentas
utilizadas comumente em percias de computadores. Nem todas as ferramentas forenses de
extrao de dados de telefone celular possuem a capacidade de obter as informaes
armazenadas no carto de memria (Jansen e Ayers, 2007), devendo o examinador saber o
funcionamento destas ferramentas e complementar a aquisio dos dados, quando for o caso,
utilizando outros meios.
Deve-se atentar que as boas prticas exigem que na aquisio dos dados de memrias
removveis, utilize-se leitor de cartes compatveis com a mdia em questo, devendo o
examinador proteger a memria da escrita indesejada usando bloqueadores de escrita, seja por
software ou por hardware.
O exame a etapa onde o analista pericial extrara as informaes relevantes dos dados que
foram adquiridos na etapa anterior. H a necessidade que o especialista tenha o conhecimento
necessrio para lidar com a evidncia, devendo ter treinamento especfico para esta finalidade
(Ashcroft, 2001). Os exames realizados em telefones celulares devem ter um objetivo claro
daquilo que se est buscando, onde o examinador deve ter conhecimento do caso em questo.
Caso contrrio, o relatrio (laudo) descrevendo o resultado dos exames no passar de uma
simples extrao das informaes que estavam no telefone celular para outro tipo de suporte,
a exemplo do papel ou uma mdia tica.
importante esclarecer que exame em telefones celulares visa buscar evidncias que podem
ou no estar relacionada com o caso, e tambm complement-lo, ou ajudar em outros exames
19
que podem vir a ser solicitados. Exemplos desta situao so as anotaes de senhas e e-mails
que podem ser usados a posteriori.
Na anlise dos dados extrados, o examinador deve basicamente se atentar para configuraes
como data e hora, linguagem, configuraes regionais, contatos, agenda, mensagens textuais,
chamadas (realizadas, recebidas e no atendidas), imagens, vdeos, udio e mensagens
multimdias (Jansen e Ayers, 2007). Entretanto, com a evoluo dos telefones celulares, a
complexidade dos exames tem aumentado, uma vez que os analistas devem buscar tambm e-
mails, histricos de navegao web, documentos, informaes do GPS, aplicativos
especficos, informaes relativas computao em nuvem, e tambm examinar a mdia
removvel que est sendo usada pelo telefone celular, devendo, a depender da situao,
fornecer subsdios autoridade que coordena a investigao para solicitar mais exames.
Ainda segundo Jansen e Ayers, o analisa pericial e o investigador devem buscar informaes
sobre os envolvidos (quem), determinar a natureza dos eventos (o que), buscar a cronologia
dos eventos (quando), determinar a motivao (por que) e como o ato delituoso ocorreu,
similarmente ao que ocorre em percias de computadores.
Dada a grande variedade de telefones celulares e sistemas operacionais voltados para estes
tipos de dispositivos, v-se ento que necessrio descrever mtodos de analise forense
especficos, que sero utilizados a depender da marca, modelo e sistema operacional do
dispositivo. Ante o exposto, necessrio que o examinador se especialize em especficos tipos
20
de telefones celulares, uma vez que o mtodo utilizado em uma situao pode no ser
adequado em outra (Ashcroft, 2001).
O relatrio deve ser um documento sucinto que contenha todas as informaes importantes do
processo de apreenso, aquisio e exame. Consideraes tcnicas a respeito dos
procedimentos e mtodos utilizados no processo de forense do telefone celular devem ser
documentadas e estar com uma linguagem clara e compreensvel mesmo por pessoas que no
sejam da rea de tecnologia. O examinador relator deve estar atento que o judicirio
composto por indivduos que normalmente no possuem grande afinidade com a rea de
tecnologia, devendo usar um linguajar simples e direto no relatrio, sem deixar de esclarecer
os procedimentos utilizados.
O relatrio deve conter, alm dos procedimentos e resultados obtidos, informaes claras a
respeito do caso, descrio do dispositivo examinado, identificao do examinador,
identificao do solicitante dos exames, a data de recebimento da solicitao, a data de
emisso do relatrio, e uma concluso clara e concisa a respeito daquilo que foi solicitado.
21
3. A PLATAFORMA ANDROID
Na Figura 3.1 apresentada a evoluo dos telefones celulares que, com o passar dos anos,
demonstra a crescente necessidade dos usurios em agregar cada vez mais informao nesta
tecnologia, o que leva ao momento que se vivencia atualmente com o advento dos
smartphones.
O primeiro prottipo de telefone celular foi apresentado pela Motorola em 1973. Foi
desenvolvido por Martin Cooper (Farley, 2005). Se chamava DynaTAC 8000X, possua
aproximadamente 30 centmetros, pesava quase 1 quilo e custava US$ 3.995,00, colocado a
venda comercialmente dez anos mais tarde, em 1983, quando j possua bateria suficiente
para uma hora de conversao e memria para armazenar 30 nmeros telefnicos (Cassavo,
2007).
Em 1982, a empresa Nokia apresentou o primeiro telefone comercial. Seu nome era Mobira
Senator e pesava 8,6 quilos a mais que o seu concorrente da Motorola, lanado em 1983
22
(Speckmann, 2008). Apesar de ser lanado antes do telefone da Motorola, o seu uso era mais
voltado para automveis uma vez que era muito pesado (Cassavo, 2007).
Em 1993, a IBM (Bell South) apresentou o primeiro telefone celular com caractersticas de
PDA (Personal Data Assistant) (Cassavo, 2007), o Simon Personal, que possua funes de
pager, calculadora, calendrio, assim como fax e e-mail. Pesava em torno de 600 gramas e era
vendido por US$ 899,00.
Em 1996, a Motorola apresentou o seu modelo StarTac, com apenas 87 gramas, que foi um
sucesso por apresentar funcionalidades desejadas pelos usurios (agenda, registro e
identificador de chamadas) e ser um aparelho com uma esttica diferenciada, o que agradou o
mercado (Cassavo, 2007).
O primeiro telefone celular a possuir o sistema operacional Palm foi introduzido pela Kyocera
no ano de 2000, no modelo QCP6035. J em 2002, foi apresentado pela empresa americana
Danger Hiptop (T-Mobile Sidekick), um dos primeiros aparelhos celulares com navegador
web, mensagem eletrnica e mensageria instantnea (Speckmann, 2008).
Com toda a evoluo da tecnologia de telefonia celular, com melhorias na rede e aumento do
poder computacional, foram lanados vrios celulares com as caractersticas dos telefones
celulares convencionais da atualidade. Em 2002, a empresa Research In Motion (RIM),
lanou o BlackBerry 5810, com funcionalidades de mensageria eletrnica, organizador
pessoal, calendrio e teclado fsico. Em 2003, a Nokia lanou o N-Gage, que era um
aparelho celular que tambm funcionava como um videogame porttil. J a Motorola investiu
no design dos aparelhos celulares, obtendo ainda mais sucesso no seu fino telefone celular
RAZR v3 em 2004, popularizando o telefone celular, uma vez que era desejado por pessoas
que possuam diferentes utilidades para o uso do aparelho (Cassavo, 2007). J a RIM lanou
em 2006 seu primeiro equipamento com cmera embutida e tocador de udio e vdeo.
23
Em 2007, a empresa Apple provocou uma grande revoluo nos telefones celulares ao
apresentar o modelo iPhone. Aparelho que possua um grande poder computacional,
portabilidade e design, apresentando aos padres atuais os chamados smartphones.
Em 2008, a Open Handset Alliance (OHA) lanou oficialmente o sistema operacional para
dispositivos mveis Android. Foi uma reposta das empresas lderes do mercado de telefonia
celular, juntamente com a empresa Google, ao iPhone da Apple, apresentando uma
plataforma to funcional como a do concorrente, entretanto baseada em um sistema aberto e,
consequentemente, mais barato. O primeiro celular com o sistema operacional Android a ser
comercializado foi o HTC T-Mobile G1 em 2008.
Ainda em 2008, a Apple lanou seu novo modelo, o iPhone 3GS, com GPS e conectividade
3G integrados no aparelho. Em 2009 a Motorola lanou o seu modelo Droid (equivalente ao
modelo Milestone no Brasil) que fez frente ao modelo da Apple, apresentando uma
plataforma com um hardware to bom quanto o do concorrente.
J as empresas como Microsoft e Nokia, aquela sem sucesso em adotar sua plataforma
Windows Phone (antigo Windows CE) e essa perdendo mercado uma vez que seu sistema
operacional apresentou limitaes na evoluo das funcionalidades disponveis nos
dispositivos mveis, se uniram em 2011 para tentar ganhar mais espao no mercado dos
smartphones pertencente Apple e ao Android (Cavaleiro, 2011).
24
novembro de 2007, a Open Handset Alliance (OHA), que um consrcio de mais de 80
grandes empresas do mercado de dispositivos mveis, como por exemplo, Motorola,
Samsung, Sony Ericsson e LG, foi fundada e tem investido e colaborado para o
desenvolvimento da plataforma Android. O cdigo fonte do Android foi disponibilizado sob a
licena Apache, verso 2.0 de janeiro de 20044.
Uma vez que todo o hardware envolvendo os telefones celulares tende a utilizar memrias
flash nos sistemas embarcados, o Android utiliza o sistema de arquivos YAFFS2 (Yet Another
Flash File System 2), na partio principal no sistema, j que um sistema de arquivos aberto,
voltado para memrias flash e suas peculiaridades, possuindo um desempenho aceitvel.
Entretanto, a partir do final de 2010 o sistema de arquivos EXT (extended file system)
comeou a aparecer nos celulares com Android (Hoog, 2011), o que significa uma migrao
para este sistema de arquivos. Esta mudana se justifica pela falta de suporte do YAFFS2 a
multitarefa, uma vez que os processadores esto cada vez mais rpidos, inclusive com ncleos
mltiplos, assim como pela adoo das memrias eMMC (Embedded MultiMediaCard) que
trabalham simulando dispositivos de armazenamento em bloco. Cabe tambm a observao
que os sistemas de arquivos citados so os utilizados no Android disponibilizado pela Google.
Algumas empresas optam por realizar mudanas, a exemplo do aparelho Samsung Galaxy
S9000 que possui o sistema de arquivos RFS (Robust FAT File System) em seu Android 2.1.
Conforme ilustra a Figura 3.2, a pilha de software dividida em quatro camadas, incluindo
cinco grupos diferentes:
4
Pode ser visualizada no stio da intenet http://www.apache.org/licenses.
25
sistema multitarefa, o que permite ao usurio, por exemplo, ouvir msica
enquanto navega na Internet, sendo as aplicaes todas escritas em Java (Google
Inc, 2011f).
2) O framework de aplicaes: um framework de desenvolvimento padronizado e
aberto que permite, com a ajuda de provedores de contedo e outros servios, a
reutilizao das funes das aplicaes e seus recursos. Todas as API (Application
Program Interface) disponveis para o sistema principal tambm esto disponveis
para o desenvolvimento das aplicaes, o que fornece ao desenvolvedor todos os
recursos disponveis do ambiente (Google Inc, 2011f).
3) As bibliotecas: so escritas em C/C++ e chamadas atravs de uma interface Java.
As funcionalidades disponibilizadas pelas bibliotecas so acessadas atravs do
framework de aplicaes. Dentre as bibliotecas, esto presentes as que gerenciam
as janelas (surface manager), grficos 2D e 3D, media (codecs), base de dados
SQLite e a WebKit para o navegador web (usada no Google Chrome e Apple
Safari) (Hashimi, Komatineni e Maclean, 2010).
4) O ambiente de execuo (runtime): O ambiente de execuo do Android possui
um conjunto de bibliotecas que fornece todas as funcionalidades disponveis nas
bibliotecas Java referente verso do sistema operacional. Estas bibliotecas
aumentam suas funcionalidades medida que as verses do Android so lanadas.
A mquina virtual Dalvik trabalha interpretando o cdigo Java e traduzindo para
uma linguagem compreensvel pelo SO. Ela foi desenvolvida para poder executar
mltiplas mquinas virtuais de forma eficiente que, rodando executveis no
formado Dalvik executable (.dex), consegue otimizar o uso da memria
(Ehringer, 2008).
5) O kernel: o kernel 2.6 do Linux utilizado pelo sistema operacional Android. Age
como uma camada de abstrao entre o hardware e a pilha de software, sendo
responsvel pela gerncia de processos no dispositivo (drivers model),
gerenciamento da memria, gerenciamento da rede e segurana do sistema
(Burnette, 2008).
26
Figura 3.2 - As camadas que compem o sistema Android (Google Inc, 2011f).
O sistema operacional Android foi escrito para prover ao usurio uma srie de
funcionalidades padres que so incorporadas no prprio sistema. A seguir, so listadas as
funcionalidades disponibilizadas pelo Android (Google Inc, 2011f):
5
http://www.webkit.org/
6
Depende diretamente do hardware prover os recursos.
27
Ambiente de desenvolvimento com emulador de dispositivo, ferramentas de
depurao, anlise de consumo de memria e desempenho, e um plugin para o Eclipse
IDE7.
A Android Inc. era uma pequena empresa localizada na Califrnia, EUA, fundada por Andy
Rubin e Rich Miner. O objetivo da empresa era desenvolver um sistema operacional para
dispositivos mveis (Bahareth, 2010).
Em 2007, foi fundada a Open Handset Alliance, composta de vrias companhias que
trabalhavam no mercado de dispositivos mveis, dentre elas a Google Inc., com a finalidade
de desenvolver padres abertos para estes tipos de equipamentos. Desta forma, a adoo do
Android como plataforma principal para estabelecer tais padres, ampliou os investimentos na
plataforma.
A Tabela 3.1 mostra as verses da plataforma Android e uma breve descrio de suas
funcionalidades associadas (Google Inc, 2011c).
7
Ambiente de desenvolvimento integrado que rene caractersticas e ferramentas de apoio ao desenvolvimento
de software com o objetivo de agilizar este processo.
28
Teve melhorias na interface com o usurio e no desempenho. Algumas
das funcionalidades adicionadas foram:
Kernel verso 2.6.27;
Gravao e visualizao de vdeos;
Upload de vdeos para o Youtube e imagens para o Picasa;
Um novo teclado com sugesto de palavras na digitao (text-
prediction);
Bluetooth A2DP (Advanced Audio Distribution Profile) e AVRCP
(Audio/Video Remote Control Profile);
Conectar automaticamente a dispositivo Bluetooth;
Novos widgets e pastas que podiam ser colocadas na tela principal
(home screen);
Transio animada de tela.
1.6 (Donut) O SDK foi lanado em 15 de setembro de 2009. Algumas das
funcionalidades includas foram:
Kernel verso 2.6.29;
Melhorias no sistema de busca;
Integrao da cmera, galeria de fotos e gravao de vdeos;
Atualizaes no Android Market;
Suporte a reconhecimento de voz convertendo em texto (text-to-
speech);
Suporte s tecnologias VPN (802.1x) e CDMA;
2.0 / 2.1 (Eclair) O SDK foi lanado em novembro de 2009. Sistema baseado no kernel
2.6.29. Apresentou uma interface com usurio renovada e melhora na
velocidade do sistema. Outras melhorias implementadas foram:
Suporte a vrias resolues e tamanhos de telas;
Suporte a HTML5 com nova interface do navegador;
Nova lista de contatos;
Maior taxa de contraste para melhorar visualizao da tela;
Suporte a sincronizao ao Exchange Server;
Possibilidade de usar flash integrado na cmera;
Zoom digital, macro, balano de branco e modos de cena;
Interface do teclado remodelada;
Suporte a multi-touch no teclado;
Bluetooth 2.1;
2.2 (Froyo) O SDK foi lanado em maio de 2010. Sua ltima verso a 2.2.2. As
mudanas incluram:
Kernel verso 2.6.32;
Mudana na tela inicial do sistema (home screen);
Melhorias na segurana do dispositivo, com a utilizao de senhas
com caracteres alfanumricos e possibilidade de restaurar
configuraes de fbrica remotamente;
Compartilhamento da rede 3G pela rede Wi-Fi (3G hotspot) e pela
USB (USB tethering);
Aperfeioamento no consumo de memria e energia e do
29
desempenho do sistema operacional;
Utilizao da compilao JIT (Just In Time), que melhorou o
desempenho das aplicaes JAVA;
Suporte a instalao de aplicaes no carto de memria;
Suporte ao Adobe Flash Player 10.1+;
Suporte a resolues de tela com maior definio.
2.3 (Gingerbread) O SDK foi lanado em dezembro de 2010. Apresentou novas
funcionalidades para o desenvolvedor, ao usurio com insero de
novas tecnologias. Sua ltima verso a 2.3.3. As mudanas
incluram:
Kernel verso 2.6.35;
Modificada a interface com o usurio e a entrada de texto;
Melhoria no suporte a telas maiores com melhores resolues
(WXGA e superior);
Suporte nativo a telefonia SIP VoIP;
Melhorias no suporte a vdeos e udio;
Melhorias nas funcionalidades de desenvolvimento de jogos;
Melhorias no desempenho do garbage collection (limpeza das reas
apagadas do sistema de armazenamento memria flash) e drivers
de vdeo;
Suporte a mais sensores a exemplo do giroscpio e barmetros;
Melhoria no gerenciamento de memria e das aplicaes;
Suporte nativo a mltiplas cmeras e NFC (Near Field
Communication);
3.0 / 3.1 / 3.2 O SDK foi lanado em fevereiro de 2011, voltado exclusivamente para
(Honeycomb) tablets. As mudanas incluram:
Otimizao do sistema para utilizao em tablets;
rea de trabalho em trs dimenses com widgets redesenhados e tela
inicial customizvel;
Sistema multitarefa refinado;
Melhorias no navegador como a utilizao de guias (tabs),
autopreenchimento, sincronizao de favoritos com o Google
Chrome e navegao privada;
Acelerao por hardware de grficos 2D;
Suporte a processadores com vrios ncleos.
30
Os aplicativos so compilados com todas as referncias, recursos e dados em um arquivo com
a extenso .apk, denominado Android Package, que utilizado para realizar a instalao do
programa no sistema operacional (Hashimi, Komatineni e Maclean, 2010).
Como o sistema multiusurio, possvel cada aplicao ser executada com seu prprio
usurio. A fim de restringir o acesso aos arquivos de cada aplicao, o sistema utiliza um ID
de usurio nico para cada programa, que usado para configurar as permisses nos arquivos
referentes aplicao. Ademais, cada processo roda em uma mquina virtual independente,
assim o cdigo em execuo isolado do acesso das demais aplicaes. Cada aplicao
possui seu processo, que inicializado quando solicitado pelo sistema, liberando o espao
reservado em memria quando o processo no mais requerido (Google Inc, 2011b).
31
requerido pela aplicao, que est vinculado a compatibilidade com as verses do Android
(Google Inc, 2011b).
Dentre outras funes, o arquivo manifest utilizado para requerer ao usurio permisses de
acesso a recursos instalados no telefone celular, como por exemplo, ler os contatos ou realizar
escrita no carto SD e at mesmo os recursos de hardware, como acesso a cmera, bluetooth
ou tela multitouch.
Por meio do Android Market, aplicativo gratuito fornecido pela Google, o usurio do sistema
pode buscar aplicaes desenvolvidas por terceiros e instal-las no dispositivo, sejam elas
pagas ou sem custo. Alm disso, gerencia todas as compras realizadas pelo usurio,
vinculando os aplicativos adquiridos a sua conta Google. Tambm mantm o sistema
atualizado, fornecendo ao usurio informaes a respeito da atualizao de verses dos
aplicativos j baixados.
Para que uma empresa ou um indivduo possa disponibilizar uma aplicao no Android
Market, ele deve ter uma conta Google, criar uma conta de distribuidor (publisher), pagar uma
taxa e concordar com os termos de uso (Hashimi, Komatineni e Maclean, 2010).
A plataforma Java foi criada pela Sun em 1995. Desde sua publicao, seu objetivo era provar
uma plataforma de desenvolvimento e execuo com aplicativos portveis que pudessem ser
utilizados em vrios ambientes de execuo, ou seja, escreva uma vez, rode em qualquer
lugar (Ehringer, 2008).
32
Em ambiente de desktop, Java Standard Edition - JSE, e de servidor, Java Enterprise Edition
- JEE, a plataforma Java conseguiu atingir o seu objetivo. Entretanto, a implantao em
ambiente porttil de dispositivos pessoais mveis no teve a mesma receptividade. Apesar de
ter sido lanado o JME (Java Micro Edition), com o foco do mercado de dispositivos mveis,
oferecendo uma plataforma de desenvolvimento mais reduzida (dada a limitao de hardware
imposta), ele teve baixa aceitao.
A Mquina Virtual Dalvik conseguiu utilizar vrias funcionalidades da JVM, assim como de
todas as bibliotecas padres Java, e ainda sim prover customizaes adequadas ao ambiente
mvel (Ehringer, 2008), motivo pelo qual a Google a adotou em seu sistema operacional
mvel.
Dada a variedade de dispositivos mveis que podem suportar o sistema operacional Android,
a portabilidade da camada de aplicao, com abstrao do hardware, vital para a existncia
do sistema. Para poder manter a estabilidade e segurana do sistema Android, dada esta
diversidade de aplicaes que so desenvolvidas por diferentes desenvolvedores, importante
que os programas rodem em ambiente controlado, segregado e independente, de tal forma que
no influenciem na robustez do sistema e na estabilidade dos demais aplicativos.
33
Dalvik, pois consome pouca memria, consegue isolar as aplicaes em tempo de execuo e
usa a linguagem bem difundida Java.
Cada aplicao Android roda seu prprio processo, com sua prpria instncia da mquina
virtual Dalvik. A DVM foi desenvolvida para que cada dispositivo rode mltiplas mquinas
virtuais eficientemente. A fim de diminuir o consumo de memria, a DVM executa arquivos
no formato .dex (Dalvik Executable). uma mquina virtual register-based8 que roda
classes compiladas por um compilador Java que foram transformadas no formato .dex por
uma ferramenta chamada dx (Ehringer, 2008).
Na plataforma Android que utiliza da mquina virtual Dalvik, os arquivos .class gerados a
partir de um cdigo fonte Java passam pela ferramenta dx. Esta ferramenta faz com que sua
sada, um arquivo .dex, contenha as mltiplas classes utilizadas no cdigo fonte original,
sendo este o executvel DVM (Ehringer, 2008).
A ferramenta dx realiza este processo com a finalidade de otimizar o uso da memria por
meio do compartilhamento dos dados. O formato .dex utiliza um pool de constantes e tipos
especficos como seu mecanismo primrio para conservar a memria (Ehringer, 2008).
Assim, as constantes que antes eram armazenadas cada uma em sua classe especfica agora
so agrupadas em um nico pool quando os arquivos .class so submetidos ferramenta
dx, que elimina a duplicidade de constantes no processo de criao do executvel .dex
(Hashimi, Komatineni e Maclean, 2010).
A mquina virtual Dalvik, consegue por meio deste processo de criao do seu executvel
.dex, diminuir consideravelmente o consumo de memria, uma vez que, segundo Denis
Antonioli e Markus Pilz (Antonioli e Pilz, 2008), a maior parte de uma classe Java est no seu
8
Segundo estudos apresentados pelo Institute of Management Sciences (Khan, Khan, et al., 2009), a arquitetura
register-based requer 47% menos instrues do que uma arquitetura stack-based (predominante no mercado). O
cdigo daquela 25% maior, mas este aumento custa apenas um extra de 1,07% dos recursos de uma VM, sendo
sua performance 32,3% melhor do que uma stack-based.
34
pool de constantes (62%) e no na parte do mtodo que representa apenas 33% do tamanho do
arquivo. As outras partes do arquivo compartilham apenas 5% do seu tamanho.
No artigo de David Ehringer (Ehringer, 2008), exposta a Tabela 3.2 (Bornstein, 2008), que
demonstra o considervel ganho de memria no uso dos executveis da DVM.
Outro fator importante na mquina virtual Dalvik o processo de coleta de lixo da memria
(garbage collection) (Bornstein, 2008). A estratgia de coleta de lixo deve preservar o
compartilhamento da memria, quando um dado objeto no deve ser apagado se tiver sendo
usado por mais de um processo. Entretanto, na DVM cada aplicao roda um processo
separado e assim como o sistema de coleta de lixo, onde cada aplicao tem o seu. A soluo
para evitar que uma coleta de lixo de um processo no limpe um objeto que est sendo
compartilhado em memria foi a de utilizar bits de marcao, que indica que um determinado
objeto alcanvel e, portanto, no pode ser excludo da memria.
Para resolver o problema de lentido na inicializao dos aplicativos Java, assim como do
compartilhamento de cdigo que utilizado em vrios aplicativos, o Android usa o conceito
chamado Zigoto. O Zigoto assume que h um nmero significante de classes java e estruturas
que so usadas por vrios aplicativos (Ehringer, 2008). Assume que estas estruturas so
apenas de leitura, ou seja, jamais podero ser alteradas. Assim, consegue se aperfeioar o
compartilhamento da memria entre os processos.
Assim que o sistema Android inicializa, ainda durante o processo de boot, um processo
chamado Zigoto inicializado. Este processo carrega algumas classes de bibliotecas
primrias. Estas classes de bibliotecas primrias servem para fornecer a um processo um pr-
carregamento e compartilhamento, sendo apenas para leitura (Brady, 2008).
Assim que inicializa, o processo Zigoto fica em um estado de espera aguardando receber uma
solicitao em seu socket para realizar um fork de uma nova instncia baseada na sua
35
mquina virtual. Assim possvel j obter todas as classes de bibliotecas primrias j
carregadas em uma nova VM que rodar em um processo independente, isolado e
consequentemente seguro.
Nesta seo, sero apresentados alguns princpios bsicos de forense no sistema Android, a
fim de subsidiar o mtodo proposto no captulo 4, apresentando caractersticas especficas e
ferramentas que o analista pericial poder utilizar no processo forense. Antes de realizar uma
anlise forense de um smartphone com o sistema Android, deve-se ter alguns conceitos a
respeito da plataforma, suas ferramentas e funcionalidades. Assim, o analista pericial ter o
conhecimento necessrio sobre os recursos que poder utilizar e, juntamente com sua
expertise, realizar o exame no dispositivo.
O SDK do Android um conjunto de ferramentas que possuem como objetivo fornecer aos
desenvolvedores da plataforma um ambiente completo para criao e depurao dos
aplicativos Android. O aplicativo principal o SDK Manager, onde possvel baixar as APIs
referentes s diferentes verses do Android e executar emuladores do sistema. O SDK
tambm disponibiliza algumas outras ferramentas, a exemplo da ferramenta dx usada para
gerar o arquivo executvel Dalvik e da ADB (Android Debug Bridge), usada para se conectar
a um emulador ou dispositivo Android em modo de depurao USB e realizar algumas aes
no sistema via linha de comando.
36
O ADB prov uma interface ao dispositivo Android conectado ao computador ou a um
emulador Android gerenciado pelo SDK Manager. Normalmente encontra-se instalado no
diretrio <sdk>/plataform-tools.
uma ferramenta que trabalha na arquitetura cliente-servidor com trs componentes (Google
Inc, 2011a):
O servidor inicializado quando um cliente faz uma chamada para realizar uma conexo a um
dispositivo Android (Google Inc, 2011a). A partir do momento que o servidor consegue
estabelecer uma conexo com o servio no dispositivo ou emulador, comandos ADB podem
ser utilizados para gerenciar o dispositivo. Diferentemente de conexes realizadas a
emuladores Android, s possvel realizar uma conexo com o servio em um dispositivo
fsico se estiver habilitada a opo Depurao USB nas suas configuraes. Caso a
depurao USB no esteja habilitada, no possvel realizar conexo ADB com o dispositivo.
Por meio ADB, via do modo de depurao, possvel conectar ao dispositivo Android e obter
um shell. Pode-se instalar aplicativos, copiar arquivos, obter informaes do sistema e obter
informaes de log (logcat). A Figura 3.3 possui alguns dos comandos que podem ser
executados a partir da ferramenta ADB. Por meio de um shell no dispositivo, podem ser
executados comandos nativos do ambiente GNU/Linux diretamente no dispositivo ou
emulador. Alguns exemplos de comandos que podem ser executados no shell so: ls, cd,
rmdir, mkdir, cp, rm, cat, pwd. Entretanto um shell bsico, sem comandos mais avanados.
Por padro, a conexo via ADB em um dispositivo fsico realizada com o usurio shell
(uid=2000), que muito restritivo; nas conexes feitas para um emulador a permisso de
super usurio (root). Para se ter o acesso a um shell com permisses de super usurio em um
dispositivo fsico, preciso que o sistema esteja com acesso root instalado, que ser
explicado adiante.
37
Android Debug Bridge version 1.0.26
device commands:
adb push <local> <remote> - copy file/dir to device
adb pull <remote> [<local>] - copy file/dir from device
adb shell - run remote shell interactively
adb shell <command> - run remote shell command
adb logcat [ <filter-spec> ] - View device log
adb install [-l] [-r] [-s] <file> - push this package file to the device and install it
('-l' means forward-lock the app)
('-r' means reinstall the app, keeping its data)
('-s' means install on SD card instead of internal storage)
adb uninstall [-k] <package> - remove this app package from the device
adb help - show this help message
adb version - show version num
Por meio do shell, possvel executar comandos como o dmesg, que imprime na tela
informaes de debug do Kernel do Linux; o dumpsys retorna informaes sobre o sistema e
os aplicativos9. Por meio deste comando, pode-se obter informaes do estado do Wi-Fi, das
janelas do sistema, da CPU, da memria, das atividades, dos processos, dentre outras (Paula,
2011).
O Android tambm fornece em seu shell o logcat (vide Figura 3.4). Por meio do logcat
possvel visualizar e filtrar as mensagens de debug do sistema e de aplicaes, armazenadas
pelo prprio sistema que utiliza buffers circulares (Google Inc, 2011e).
where <tag> is a log component tag (or * for all) and priority is:
V Verbose
D Debug
I Info
W Warn
E Error
F Fatal
9
O comando dumpsys | grep DUMP retorma alguns dos parmetros especficos usados no dumsys.
38
S Silent (supress all output)
Os celulares com sistema Android utilizam memria flash. A fim de que a memria flash
possa ser tratada de forma convencional pelo sistema, necessrio haver uma camada de
firmware chamada FTL (Flash Translation Layer), com a finalidade de, juntamente com o
subsistema MTD (Memory Technology Device), permitir ao sistema trabalhar com a memria
como se ela fosse um dispositivo de blocos convencional, a exemplo de um disco rgido,
funcionado como um tradutor de requisies (linux-mtd.infradead.org, 2008).
10
O sistema cria os dispositivos /dev/mtd/mtdX e /dev/mtd/mtdXro.
39
tmpfs /dev tmpfs rw,relatime,mode=755 0 0
devpts /dev/pts devpts rw,relatime,mode=600 0 0
tmpfs /mnt/asec tmpfs rw,relatime,mode=755,gid=1000 0 0
none /dev/cpuctl cgroup rw,relatime,cpu 0 0
/dev/block/mtdblock5 /cdrom yaffs2 rw,relatime 0 0
tmpfs /tmp tmpfs rw,relatime,size=2048k 0 0
/dev/block/mtdblock0 /pds yaffs2 rw,nosuid,nodev,relatime 0 0
/dev/block/vold/179:1 /mnt/sdcard vfat rw,dirsync,nosuid,nodev,noexec,relatime,u
id=1000,gid=1015,fmask=0702,dmask=0702,allow_utime=0020,codepage=cp437,iocharset
=iso8859-1,shortname=mixed,utf8,errors=remount-ro 0 0
/dev/block/vold/179:1 /mnt/secure/asec vfat rw,dirsync,nosuid,nodev,noexec,relat
ime,uid=1000,gid=1015,fmask=0702,dmask=0702,allow_utime=0020,codepage=cp437,ioch
arset=iso8859-1,shortname=mixed,utf8,errors=remount-ro 0 0
tmpfs /mnt/sdcard/.android_secure tmpfs ro,relatime,size=0k,mode=000 0 0
/dev/block/dm-0 /mnt/asec/uk.co.nickfines.RealCalc-1 vfat ro,dirsync,nosuid,node
v,noexec,relatime,uid=1000,fmask=0222,dmask=0222,codepage=cp437,iocharset=iso885
9-1,shortname=mixed,utf8,errors=remount-ro 0 0
/dev/block/dm-1 /mnt/asec/com.halfbrick.fruitninja-1 vfat ro,dirsync,nosuid,node
v,noexec,relatime,uid=1000,fmask=0222,dmask=0222,codepage=cp437,iocharset=iso885
9-1,shortname=mixed,utf8,errors=remount-ro 0 0
/dev/block/dm-2 /mnt/asec/com.ArtInGames.AirAttackHDLite-1 vfat ro,dirsync,nosui
d,nodev,noexec,relatime,uid=1000,fmask=0222,dmask=0222,codepage=cp437,iocharset=
iso8859-1,shortname=mixed,utf8,errors=remount-ro 0 0
/dev/block/dm-3 /mnt/asec/com.reigndesign.Pigrush-1 vfat ro,dirsync,nosuid,nodev
,noexec,relatime,uid=1000,fmask=0222,dmask=0222,codepage=cp437,iocharset=iso8859
-1,shortname=mixed,utf8,errors=remount-ro 0 0
/dev/block/dm-4 /mnt/asec/zok.android.dots-1 vfat ro,dirsync,nosuid,nodev,noexec
,relatime,uid=1000,fmask=0222,dmask=0222,codepage=cp437,iocharset=iso8859-1,shor
tname=mixed,utf8,errors=remount-ro 0 0
Figura 3.6 - Comando mount do shell do Android.
Pode-se observar a partir da sada dos comandos cat /proc/mtd e mount que as parties
definidas para o sistema, para os dados do usurio e para o cache so respectivamente os
diretrios /system, /data e /cache (Hoog, 2009). Nota-se tambm que os aplicativos instalados
no carto de memria possuem pontos de montagem especficos. Assim possvel obter
facilmente quais os aplicativos encontram-se instalados no carto de memria11.
$ pwd
/
$ ls -l
lrwxrwxrwx root root 2011-04-04 11:32 config -> /pds
drwxrwxrwt root root 2011-04-04 11:32 tmp
drwxrwxr-x system system 2011-02-09 19:40 pds
drwxr-xr-x system system 2010-02-11 19:00 cdrom
-rw-r--r-- root root 14543 2011-04-04 11:32 init.rc
-rw-r--r-- root root 16976 2011-04-04 11:32 init.mapphone_umts.rc
drwxrwx--x system cache 2011-04-04 23:11 cache
lrwxrwxrwx root root 2011-04-04 11:32 sdcard -> /mnt/sdcard
drwxr-xr-x root root 2011-04-04 11:32 acct
drwxrwxr-x root system 2011-04-04 11:32 mnt
lrwxrwxrwx root root 2011-04-04 11:32 d -> /sys/kernel/debug
lrwxrwxrwx root root 2011-04-04 11:32 etc -> /system/etc
drwxr-xr-x root root 2011-04-03 16:24 system
drwxr-xr-x root root 1969-12-31 21:00 sys
drwxr-x--- root root 1969-12-31 21:00 sbin
11
S possvel instalar nativamente aplicativos no carto removvel a partir da verso 2.2 do Android.
40
dr-xr-xr-x root root 1969-12-31 21:00 proc
-rwxr-x--- root root 453 1969-12-31 21:00 init_prep_keypad.sh
-rwxr-x--- root root 6840 1969-12-31 21:00 init.mapphone_cdma.rc
-rwxr-x--- root root 1677 1969-12-31 21:00 init.goldfish.rc
-rwxr-x--- root root 108632 1969-12-31 21:00 init
-rw-r--r-- root root 118 1969-12-31 21:00 default.prop
drwxrwx--x system system 2011-04-04 11:32 data
drwx------ root root 2011-03-05 06:17 root
drwxr-xr-x root root 2011-04-04 11:32 dev
Figura 3.7 - Comandos executados diretamente no shell de um Android verso 2.2.2.
A Tabela 3.3 descreve os principais diretrios do sistema apresentando uma breve descrio
de cada um (Hoog, 2009).
A plataforma Android optou por utilizar o banco de dados SQLite para prover s aplicaes
um gerenciador de banco de dados relacional, leve, robusto e de simples utilizao. O SQLite
foi criado por Richard Hipp em 2000. um banco de dados que no necessita de
configuraes. utilizado pela Apple, Nokia, Mozilla Firefox, Skype, Adobe, Solaris, etc
(Burnette, 2008). No h restries para o uso do banco de dados, sendo de domnio pblico,
com cdigo aberto.
Utilizando uma biblioteca compacta, que, segundo informaes obtidas do stio do SQLite,
possui no mximo 300 KiB, ocupando apenas 4 KiB na pilha de execuo, tornou-se uma
plataforma muito utilizada em dispositivos com recursos de hardware limitados, a exemplos
dos smartphones. O SQLite no possui um servidor associado, com um servio dedicado
41
sendo executado em segundo plano. Simplesmente faz leitura e escrita diretamente no sistema
de arquivos, possuindo uma estrutura completa de um banco de dados (tabelas, views,
triggers, ndices) em um nico arquivo (SQLite, 2011).
No sistema Android, os arquivos com a extenso .db se referem bancos de dados do tipo
SQLite. Cada aplicao s possui acesso ao seu banco de dados e, caso tenha que utilizar um
banco de outra aplicao, em tempo de execuo far uma solicitao ao sistema que,
verificando as devidas permisses realizar a consulta mostrando os resultados.
Para se acessar o banco de dados, basta que o sistema operacional fornea as permisses ao
arquivo. No h um controle de acesso definido pelo SQLite. Para o acesso a uma base
SQLite, a segurana reside nas permisses do sistema.
O sistema operacional Android foi concebido para ser um sistema leve e robusto. Com a
finalidade de evitar que o proprietrio do dispositivo realize interaes com o sistema que
possam afetar a estabilidade e confiabilidade do Android. Os usurios usados por padro
pelos aplicativos, no possuem permisses que realizem modificaes no sistema no Android.
Esses usurios so bem restritivos e apenas interagem com permisses de realizar as
atividades especficas para aquele aplicativo, sem que modificar estruturas mais elaboradas do
sistema operacional.
Entretanto, proprietrios mais avanados dos celulares Android, viram a necessidade de obter
um maior controle sobre o sistema operacional. Atravs de tcnicas que buscam
vulnerabilidades no prprio sistema ou acesso aos bootloaders12 dos smartphones, possvel
obter permisses de super usurio (root). As tcnicas para se obter o acesso de super usurio
no Android variam conforme fabricante, modelo do telefone celular e verso do sistema,
sendo muitas vezes invasivas, podendo inclusive danificar os dados armazenados no aparelho.
A partir do acesso de super usurio, o proprietrio do dispositivo pode, por meio de um shell,
executar comandos com perfil de root, podendo realizar qualquer tarefa dentro do sistema
operacional, a exemplo de realizar overclocks, backups de aplicativos restritos, acessar
diretrios das parties do sistema. Desta forma, alguns aplicativos tambm podem ser
12
Programas especialmente construdo para que seja capaz de carregar outro programa que permite a iniciao
do sistema operacional (Hallinan, 2010)
42
executados com perfil de root, no estando mais limitados as permisses convencionais, onde
o prprio sistema blindava a aplicao para que ela no acessasse os dados das demais
aplicaes.
Sob o ponto de vista do analista pericial, um celular Android com permisses de acesso de
super usurio muito mais interessante. Isso porque poder realizar operaes no dispositivo
que antes no eram possveis, a exemplo de acessar parties de sistema e dados do usurio
atravs de um shell fornecido pela ferramenta ADB. Com permisses de super usurio, o
analista pericial pode espelhar todas as parties disponveis no sistema13 para uma anlise
post mortem, sem maiores intervenes no equipamento.
13
Conforme citado por Hoog (Hoog, 2009), a fim de espelhar as parties do telefone, deve fazer referncias aos
dispositivos /dev/mtd/mtdX e /dev/mtd/mtdXro.
43
4. O MTODO PROPOSTO
Este captulo integralmente dedicado a descrever o mtodo proposto para realizar uma
anlise pericial em um smartphone com sistema operacional Android. O mtodo baseado
nas melhores prticas utilizadas atualmente pela Polcia Federal do Brasil, pelo NIST (Jansen
e Ayers, 2007), pelo Departamento de Justia dos Estados Unidos (Ashcroft, 2001), polcia
Inglesa (Association of Chief Police Officers, 2008) e Instituto Forense da Holanda
(Netherlands Forensic Institute, 2007), e busca diferenciar-se adaptando essas melhores
prticas s peculiaridades da plataforma Android.
Devido a esta grande capacidade de prover diversas funcionalidades, sob a tica forense, um
celular com o sistema Android pode armazenar grande quantidade de informao sobre o seu
usurio, sendo uma excelente testemunha para provar fatos, ou obter informaes para uma
investigao (Rossi, 2008).
44
O sistema Android possui mecanismos de autenticao que podem ser ativados ou no pelo
usurio. Dentre estes mecanismos, podemos citar a tela bloqueada por senha ou por padro
tctil, onde o acesso ao sistema s ocorre se for colocada a sequncia correta de autenticao.
Ademais, a depender da verso e customizao do Android, a integrao com uma conta da
Google, por exemplo, pode ser maior, onde o desbloqueio pode ocorrer atravs da insero da
senha correta do usurio ou por meio da biometria (impresso datiloscpica).
Alm das especificidades descritas, como o Android um sistema aberto, existe aplicativos
que podem ser instalados que desbloqueiam o usurio do sistema. possvel executar
aplicativos e comandos com poder de super usurio (root), o que torna o sistema acessvel na
sua integralidade, apesar de tal procedimento no ser recomendvel pelos fabricantes dos
equipamentos celulares e pela Google, uma vez que o sistema pode ser totalmente modificado
pelo seu usurio e os aplicativos podem realizar qualquer funo dentro do sistema, o que fere
princpios de segurana.
45
Figura 4.1 Fluxograma geral com as etapas do mtodo proposto
46
No processo c. Somente exame de extrao de dados, a secretaria administrativa do setor de
percias, ou at mesmo o analista pericial designado para realizao dos exames, deve
verificar, no momento do recebimento da solicitao de pericia, se necessria a realizao
de outros exames alm dos dados armazenados no dispositivo (c. Somente exame de
extrao de dados?). Havendo a necessidade de demais exames (d. Encaminhar celular para
realizao de demais exames), estes devem preceder o de extrao, uma vez que o
manuseamento do equipamento pode destruir evidncias que poderiam ser coletadas.
Entretanto, os exames que sero realizados antes da extrao tambm devem ser conduzidos
de forma a no prejudicar a aquisio dos dados, a exemplo da utilizao de produtos de
revelao de impresses papilares que podem prejudicar o funcionamento do telefone celular,
podendo ser discutido qual procedimento pericial dever ser realizado prioritariamente.
47
4.1. APREENSO
48
removveis e cartes SIM, uma vez que podem ser utilizados no telefone. Normalmente, no
processo de busca e apreenso, testemunhas acompanham toda a ao da equipe, sendo
inclusive essencial para provar a idoneidade desta etapa. Se houver alguma avaria aparente no
equipamento, esta deve ser documentada na sua descrio, a fim de resguardar a equipe de
apreenso de ser acusada de ter provocado danos intencionalmente. Deve-se tambm
documentar onde o telefone se encontrava. Se estiver em posse de uma pessoa, deve ser
descrito no documento de apreenso (auto de apreenso) seu nome e identificao pessoal
(RG, CPF, CNH). Se for encontrado em um local, descrever no documento de apreenso
quais as pessoas que mais frequentavam quela regio ou cmodo.
Estando o smartphone bloqueado, o analista pericial deve entrevistar o suspeito caso esse
esteja presente (a.6) com a finalidade de obter os cdigos de desbloqueio do celular. Outras
49
informaes como e-mail e senha da conta Google, uso do sistema de geolocalizao,
expertise do suspeito no sistema Android, podem ser teis no momento do exame. Toda
interveno realizada no celular deve ser documentada (a.9), assim como o estado do telefone
(a.10), se est bloqueado ou no, se o suspeito forneceu a senha ou no, se tem algum
aplicativo que possa influenciar no exame, se o aparelho estava desligado, IMEI, nmero do
SIM, etc.
O perito que estiver no local deve realizar intervenes no sentido de buscar informaes a
respeito do uso da plataforma Android pelo proprietrio do smartphone (a.8), isolando-o da
rede de telefonia no momento mais conveniente. Essa interveno justificvel em situaes
em que a no realizao desse procedimento possa acarretar em perda de informao ou
inviabilizao da extrao dos dados do smartphone, que ser realizada em um segundo
momento. Inclusive, sempre que o dispositivo estiver ligado, interessante configur-lo em
modo de avio (offline). Ademais, o especialista deve observar, no momento da apreenso, se
possuem aplicativos que podem sobrescrever informaes importantes armazenadas no
smartphone como, por exemplo, uma ferramenta de backup e que pode ter uma tarefa
agendada para restaurar o sistema em um momento futuro anterior fase de extrao dos
dados.
50
ou realizar restauraes de cpias de segurana feitas em um momento anterior14. Apenas
depois de o aparelho estar isolado da rede e, consequentemente, preservado, a equipe deve
entrevistar o suspeito caso ele esteja no local (a.13), tentando obter possveis cdigos de
acesso do telefone celular, senhas, endereo de e-mail, usurios de Internet usados no telefone
e outros dados mais, a depender da experincia do entrevistador (a.14).
Todo o processo de apreenso deve ser devidamente documentado (a.9) para posterior
descrio do equipamento de forma mais detalhada (a.10), e acondicionamento para
encaminh-lo a exame (a.11). A documentao da apreenso importante para as fases
seguintes, pois o incio da cadeia de custdia e preservao do histrico da evidncia.
Muitas informaes s podem ser obtidas nesta etapa e influenciaro as decises a serem
tomadas nas demais fases, podendo inclusive viabilizar uma percia se estiver documentado,
por exemplo, um cdigo de desbloqueio fornecido pelo suspeito no momento da apreenso,
ou a desativao de um aplicativo que apaga informaes importantes antes da extrao dos
dados do sistema.
A aquisio dos dados o momento mais tcnico, onde a habilidade do perito importante
para realizao dos procedimentos de extrao da forma apropriada. Este processo mais
complexo e necessita de um especialista com conhecimento especfico sobre a plataforma
Android, pois poder haver a necessidade de uma interveno manual para viabilizar a correta
aquisio da informao. O fluxograma ilustrado na Figura 4.3 detalha as decises e
processos que um analista pericial pode se deparar ao realizar a aquisio dos dados de um
smartphone com o sistema Android.
14
Seek droid, My Android Protection 2.0, Lookout Mobile Security, Norton, Wheres My Droid, Lost Phone, etc.
51
Figura 4.3 - Etapa de aquisio dos dados de um telefone celular com o sistema operacional Android.
52
Nesta etapa, o perito deve se preocupar em extrair a maior quantidade de informao com o
mnimo de interveno no sistema, que provavelmente ser inevitvel. Em um primeiro
momento (e.1), o analista pericial dever se inteirar sobre o processo de apreenso
(fluxograma da Figura 4.1, processo a), lendo a documentao produzida (auto de
apreenso e informaes tcnicas)15, e se informar a respeito do que est sendo solicitado nos
exames (fluxograma da Figura 4.1, processo b), a fim de subsidiar as decises a serem
tomadas no processo de extrao dos dados do sistema Android.
A Figura 4.4 ilustra a etapa inicial na aquisio dos dados do dispositivo Android. Estando o
smartphone desligado, deve-se preocupar em extrair as informaes do carto de memria
que possam ser removidos do dispositivo (e.4), substituindo o carto original por um carto de
memria do examinador, espelhando aquele para esse. Cabe a ressalva que alguns modelos de
celulares Android no podem ter os dados do carto de memria copiados neste momento,
uma vez que so internos e no removveis (e.3). Para duplicar integralmente os dados do
carto de memria, pode-se utilizar a mesma abordagem utilizada em dispositivos de memria
do tipo USB, como os pendrives. Para a cpia pode-se utilizar ferramentas forenses e gerar o
hash dos dados duplicados. Ao trmino do procedimento, o carto de memria do examinar,
que contm a cpia, deve ser inserido no aparelho.
15
Os documentos produzidos na fase de apreenso devem ser encaminhados junto com o telefone celular
apreendido no processo b. Encaminhar a exame do fluxograma da Figura 4.1.
16
Caso o telefone tenha recebido alguma mensagem, ou algum aplicativo ter realizado alguma iterao com a
rede de telefonia, o analista deve documentar o fato no seu relatrio/laudo pericial.
53
Figura 4.4 - Procedimentos iniciais na aquisio dos dados do dispositivo Android.
17
O analista pericial deve se atentar ao fato de que h no mercado aparelhos que possuem um carto de memria
externo, que pode ser removido do dispositivo, e outro interno, que no pode ser removido (eMMC Embedded
MultiMediaCard).
54
Figura 4.5 Processos que envolvem um smartphone sem controle de acesso.
Com os dados do carto de memria original resguardados, assim como do sistema quando
for o caso, inicia-se o processo de extrao de dados do telefone (e.16). Neste processo o
carto que se encontra no aparelho deve estar devidamente preparado para realizar a extrao
dos dados do telefone, com espao suficiente para armazenar os dados que sero extrados.
55
Em no havendo espao suficiente no carto de memria para extrair as informaes
necessrias, o analista pericial poder, se possvel, providenciar um carto de maior
capacidade, espelhando o carto original para este novo carto. Em ltimo caso, nas situaes
e quem no foi possvel substituir o carto apreendido junto com o aparelho por um do
examinador, pode-se avaliar o que pode ser apagado do carto de memria para liberar espao
de armazenamento para extrao. Todo o procedimento dever ser documentado com as
devidas ressalvas. Outra opo utilizar as ferramentas para extrao forense de dados de
telefones celulares disponveis no mercado, a exemplo da Cellebrite UFED (Cellebrite, 2011).
Caso o sistema tenha permisses de super usurio, nesta fase de extrao de dados do telefone
(e.16), apesar de j ter sido realizada a cpia integral dos dados do sistema, recomenda-se
copiar os arquivos de banco de dados, cache das aplicaes e os arquivos de configurao do
sistema, e at mesmo realizar uma inspeo visual, a fim de facilitar o acesso a estas
informaes na etapa de exame, assim como arquivos gerados nos processos anteriores a
exemplo dos arquivos de dump de memria18. Isso porque para a anlise posterior dos dados
extrados, o analista pericial deve ter um ambiente de exames com ferramentas para montar
imagens com suporte ao sistema de arquivos utilizado no dispositivo, geralmente o YAFFS2,
que no se encontram disponveis no mercado. A criao desta redundncia poder ser til no
momento dos exames, principalmente em situaes que no seja necessrio aprofundar a
anlise das parties do sistema. Ademais, alguns aplicativos podem estar ativos no sistema, e
uma simples inspeo visual pode prover informao que seria de difcil acesso por meio da
anlise da imagem gerada.
Para realizar a extrao dos dados do telefone (e.16) de forma mais amigvel e eficiente,
necessria a instalao de um ou mais aplicativos no smartphone. Em sendo possvel, esta
instalao deve ser realizada por meio da ferramenta ADB (vide seo 3.7.1), com o
dispositivo configurando para aceitar conexo USB no modo de depurao. Outra forma de
instal-los por meio de um gerenciador de aplicativos que permita a navegao no carto de
memria, onde eles devero estar armazenados, com o telefone configurado para aceitar
instalaes de aplicativos que no so do Android Market. Ao instalar um aplicativo forense
no telefone celular, os dados do aparelho so modificados. Entretanto, esta abordagem
18
O processo de realizar o dump de memria de um aplicativo citado por Cannon envolve a necessidade de
interromper abruptamente a sua execuo e consequente escrita do arquivo de dump na memria principal do
sistema. Este arquivo de dump deve ser copiado para uma estao pericial (por meio da ferramenta ADB) ou
para o carto de memria (caso seja um carto de memria do examinador).
56
interessante para se conseguir extrair todos os dados acessveis ao usurio no telefone,
devendo assim ter acesso manual ao telefone. Para isso, o aplicativo forense ter no arquivo
AndroidManifest.xml (vide seo 3.4) todas as permisses necessrias para realizar a
extrao.
A fim de complementar a extrao dos dados do telefone (e.16), o analista pericial poder
navegar pelo sistema Android sob a perspectiva do seu proprietrio, podendo inclusive
observar a forma com que ele utilizava os aplicativos instalados, conferindo as ltimas
ligaes efetuadas e recebidas, analisando as mensagens de e-mail e de texto, dentre outras
atividades. Inclusive, recomenda-se ao analista pericial comparar os dados obtidos a partir da
extrao do aplicativo forense com os dados efetivamente armazenados no telefone celular
com a finalidade de auditar as informaes colhidas e complement-las quando necessrio.
No caso de smartphone com restrio de acesso (e.9), em que no foi possvel desbloque-los
(e.11), o perito pode ainda tentar realizar uma conexo USB com a estao pericial e tentar
acess-los via ADB (e.17). Se o acesso via ADB no estiver liberado, no ser vivel ao
analista pericial extrair os dados contidos no sistema do telefone, a no ser que utilize tcnicas
de extrao mais agressivas19 (que devem ser discutidas na realizao do exame), restando ao
analista pericial realizar a extrao do carto de memria apreendido juntamente com o
telefone, caso ainda no tenha sido realizada (e.22, e.23 e e.24).
Caso contrrio, o perito poder tentar obter um shell com permisses de super usurio (e.19),
e, em sendo possvel, prosseguir com aquisio dos dados. Caso o especialista consiga utilizar
a ferramenta ADB, mas no consiga permisses de super usurio, poder ainda tentar
configurar o sistema para ignorar o sistema de autenticao (e.20), instalando aplicativo para
este fim (Cannon, 2011)20. Na tcnica descrita por Cannon, necessrio que a senha da conta
Google esteja cadastrada no dispositivo Android, assim como habilitado o acesso Internet, o
19
Estas tcnicas, que no so o foco deste trabalho, envolveriam o acesso ao bootloader do dispositivo, que varia
a depender do aparelho e modelo, ou extrao da memria fsica do telefone celular. Uma vez que podem
danificar o equipamento, seria necessrio entrar em contato com a autoridade solicita para avaliar a necessidade
de realizao dos exames esclarecendo que o aparelho poderia ser definitivamente danificado, sem possibilidade
de recuperao.
20
Screen lock Bypass disponvel no Android Market.
57
que desaconselhvel. Desta forma, recomenda-se obter o aplicativo a partir de outro
dispositivo Android e instal-lo via ADB no dispositivo mvel examinado.
A Figura 4.6 ilustra os processos de extrao dos dados de um dispositivo Android com
controle de acesso ativado.
Figura 4.6 Processos que envolvem um smartphone com controle de acesso ativado.
Todo o processo de aquisio dos dados deve ser documentado (e.25) com suas
particularidades e ressalvas, descrevendo tambm as informaes sobre o sistema Android,
como sua verso e kernel. A correta documentao de todos os procedimentos ser essencial
para o processo de exame (f. Exame) que ser a etapa seguinte, conforme ilustrado no
fluxograma da Figura 4.1, sendo tambm necessrio estar descrito no relatrio/laudo todos os
procedimentos realizados com a finalidade de esclarecer s partes a forma como os dados
foram adquiridos do equipamento apreendido.
58
4.3. EXAME
59
4.3.1. A individualizao do smartphone
Definido os objetivos do exame, o especialista deve buscar nos dados extrados, e at mesmo
no prprio smartphone quando necessrio, informaes que possam definir o proprietrio do
aparelho, individualizando-o (f.2). So realizadas buscas nos dados extrados, a exemplo do
nome de usurio da conta Google usada, nome do endereo de e-mail, usurios de
comunicadores instantneos, anotaes da agenda, cartes de visita digitais, dentre outras.
Esta individualizao do telefone determina quem o usurio do aparelho, podendo assim
vincular as evidncias e provas encontradas na anlise a um suspeito de forma inquestionvel.
Como os telefones celulares com o sistema Android possuem cartes de memria, a anlise
deve iniciar pelos dados extrados destas mdias (f.3). A partir de uma imagem do carto de
memria, que foi obtida na fase de aquisio (fluxograma da Figura 4.2), possvel utilizar as
ferramentas forenses normalmente utilizadas para computadores para visualizao da
estrutura de arquivos, realizar buscas por palavras chave, buscas por expresses regulares,
visualizao das imagens e vdeos, ou seja, realizar o exame buscando atingir o objetivo
definido.
A partir da, o exame dos dados extrados do smartphone (f.4) pode variar a depender da
forma como foram obtidos. Se foram extrados a partir de uma ferramenta forense, deve-se
analisar a sada produzida, observando o relatrio gerado e os arquivos gerados e recuperados.
Normalmente, ferramentas especficas para uma determinada plataforma conseguem atingir
bons resultados, uma vez que simula a extrao manual, automatizando o processo.
Entretanto, na fase de aquisio, o analista deve ter realizado uma comparao daquilo que foi
extrado pelo aplicativo com as informaes constante no telefone, complementando o
relatrio gerado pela ferramenta forense.
Se os dados extrados foram obtidos a partir de uma imagem do sistema por meio de um
acesso de super usurio, o examinador pode-se valer de editores hexadecimais e ferramentas
forenses usadas para anlise do carto de memria, e outras tcnicas periciais, a fim de
60
realizar a anlise. Tambm pode valer de disassemblers21 de arquivos dex para auditar
aplicativos instalados.
21
Alguns exemplos so: dex2jar (http://code.google.com/p/dex2jar), baksmali (http://code.google.com/p/smali),
dedexer (http://dedexer.sourceforge.net); acessados em 22/05/2011.
61
4.3.4. Consideraes sobre o exame
Assim como no processo de apreenso e de aquisio dos dados, todo o processo de exame
deve ser documentado (f.7). Ao relatar o que foi realizado no exame, o especialista deve usar
uma linguagem bem clara e objetiva, pois o que foi encontrado nesta etapa dar os subsdios
para formao da concluso do trabalho.
62
5. ESTUDO DE CASOS
Os cenrios partem da premissa que a solicitao dos exames objetiva apenas extrair os dados
armazenados no dispositivo, e que no havia um analista pericial na equipe de apreenso.
Esta, normalmente, a realidade na casustica da Polcia Federal, onde so formadas equipes
de busca e apreenso com Agentes e Escrives sob a coordenao de um Delegado, sem a
presena de Peritos. A Figura 5.1 ilustra os processos e decises que uma equipe de busca se
deparar no caso em que no h a presena de um especialista.
63
Ser considerado como objetivo dos exames, a extrao das informaes julgadas como
relevantes pelo analista pericial, sejam elas mensagens, registros de chamadas, e-mails,
imagens, vdeos, dentre outras mais que possam alimentar o procedimento investigativo dado
o equipamento apreendido.
Nos cenrios propostos no sero utilizados invlucros de isolamento de sinal, salas de
isolamento de sinal ou gaiolas de Faraday, tendo em vista a ausncia destes dispositivos na
realizao dos testes.
Sero utilizados trs modelos distintos de smartphones em cada um dos cenrios propostos.
As caractersticas dos equipamentos encontram-se descritas na Tabela 5.1.
Este cenrio tem como objetivo apresentar uma situao de exame de um smartphone de um
usurio normal que no se encontrava no local da apreenso e utiliza apenas as aplicaes
bsicas, sem controle de acesso ativado e tampouco permisses de super usurio instaladas.
O smartphone foi apreendido por uma equipe policial conforme ilustrado na Figura 5.1. Ser
considerado que o suspeito no se encontrava no local no momento da apreenso e que o
equipamento no foi desligado ao ter sido isolado da rede, sendo colocado em modo avio.
22
Utiliza apenas as aplicaes bsicas do telefone celular.
23
Utiliza outras aplicaes alm daquelas fornecidas por padro pelo telefone celular, integrando-o ao seu
cotidiano.
24
Utiliza todos os recursos de hardware e software do aparelho de telefonia celular, com conhecimentos para
instalao de customizaes no sistema, podendo at mesmo a desenvolver aplicaes especficas.
64
5.2.1. A aquisio dos dados
A Figura 5.2 ilustra o fluxo a ser seguido no processo de aquisio dos dados ante o cenrio
descrito, onde o telefone no possui bloqueio nem permisses de super usurio.
Figura 5.2 - Aquisio de dados de um telefone sem bloqueio e sem permisses de super usurio.
No processo e.1, o analista pericial obtm a informao de que o celular foi colocado em
modo avio, que o suspeito no se encontrava no local, assim como obter as descries do
dispositivo, aferindo que trata-se do mesmo equipamento que est sendo encaminhado para
extrao dos dados.
O analista constata que o telefone encontra-se ligado (e.2), no havendo necessidade de isol-
lo da rede (e.8), pois j se encontrava com modo avio ativado, conforme descrito na
documentao do processo e.1.
No processo e.9, constata que o celular no se encontra bloqueado. A partir da, como os
dados do carto de memria ainda no foram extrados (e.10), este ser o momento para
realizar este procedimento. O modelo do smartphone deste cenrio, Sony Xperia X10 mini
65
Pro, no permite a remoo fsica do carto de memria. Isso justifica conectar o celular
estao de trabalho25 e selecionar, no sistema, o gerenciamento do carto de memria via
USB. Foi utilizada a ferramenta da Access Data, FTK Imager, verso 3.0.1, para realizar a
extrao dos dados do carto de memria (e.12). Abrindo a ferramenta FTK Imager,
possvel obter uma cpia no formado dd do carto de memria que foi denominada
cenario1.dd, ilustrado na Figura 5.3, gerando o respectivo cdigo de integridade.
Figura 5.3 - Cpia dos dados contidos no carto de memria para a estao de trabalho do perito.
Primeiramente deve ser instalada a aplicao no sistema Android. Para isso, foi ativado o
modo de depurao USB, no menu de configuraes de aplicativos, desenvolvimento, opo
depurao USB (Figura 5.4 a e b).
25
A porta USB deve estar configurada para proteger o dispositivo de escrita.
66
(a) (b)
Figura 5.4 - Ativao do modo de depurao USB para conexo via ADB.
Assim, possvel ao analista instalar aplicativos no telefone por meio da ferramenta ADB
disponibilizada pelo SDK do Android, conforme Figura 5.5.
C:\android-sdk\platform-tools>adb devices
List of devices attached
42593930303935485637 device
Estes arquivos gerados pelo aplicativo forense so analisados, realizando uma comparao
com aquilo que pode ser extrado manualmente do telefone, a fim de complementar qualquer
informao adicional que por ventura possa ter. No cenrio em questo foram encontradas
vrias anotaes textuais no aplicativo Observaes que no foram extradas pelo aplicativo
da Via Forensics. As anotaes foram extradas manualmente uma vez que possuam
informaes a respeito de reserva em pousada, um telefone de uma pessoa que no se
encontrava nos contatos e cupons de reserva em um restaurante da cidade. Tambm foi
67
observado que o formato da data armazenada pelo Android Forensics Logical Application
segue um padro com 13 dgitos26, que foram comparados com as datas nos registros do
telefone.
A seguir todo o processo de extrao documentado (e.25), onde esclarecido que no cenrio
em questo no foi necessrio isolar o dispositivo da rede uma vez que este j se encontrava
em modo avio; que a extrao do carto de memria ocorreu sem falhas gerando um cdigo
de integridade; que no foi possvel substituir o carto original por um carto do examinador;
que foi instalado um aplicativo forense no telefone apreendido para extrao dos dados
armazenados e; que uma inspeo visual foi realizada com a finalidade de complementar os
dados extrados. Os dados extrados esto descritos na seo 5.2.2, que trata da realizao dos
exames.
26
Este formato utilizado pelo sistema Android como um todo para armazenar as datas. No Microsoft Office
Excel 2010 foi necessrio formatar a clula para data, dividir o valor por 86400000 e somar 25569, para obter a
data em UTC.
68
Assim possvel fornecer subsdios fase de exame, bem como descrever os procedimentos
realizados e seus resultados no relatrio/laudo que ser redigido ao final do processo de
anlise pericial.
5.2.2. Exame
Foi possvel obter imagens dos dados examinados do carto de memria (processo f.3 da
Figura 4.7), dentre elas, fotos tiradas que aparentam ser da famlia. No foi possvel obter dos
metadados das fotos as coordenadas GPS de onde elas foram tiradas. Tambm foram
encontrados arquivos de msica do tipo mp3.
A partir dos dados extrados do smartphone (processo f.4 da Figura 4.7), foi possvel obter os
contatos da agenda telefnica. Foi observado que o usurio fazia pouco uso das mensagens
SMS e usava o calendrio com registros de compromissos com frequncia, podendo inclusive
realizar um levantamento de quando supostamente esteve na academia, na farmcia e no
teatro. Alm disso, foram obtidos 500 registros de ligaes recebidas, realizadas e no
atendidas, assim como o contedo dos arquivos de texto obtidos a partir do aplicativo
Observaes no processo e.16 da Figura 5.2.
Uma vez que se trata de um smartphone de um usurio normal sem grandes conhecimentos
sobre a plataforma, no h informaes disponveis que possam justificar exames adicionais
(processo f.5 da Figura 4.7). Assim realizada a documentao das ferramentas e tcnicas
utilizadas no exame. A Figura 5.7 ilustra a etapa de realizao dos exames.
27
O e-mail foi alterado a fim de preservar o endereo verdadeiro.
69
Figura 5.7 Etapa de exame do cenrio 1 (Sony Ericsson Xperia X10 miniPro).
Para realizao do exame, foi utilizada a ferramenta Forensic Toolkit da Access Data, verso
1.81, que possui um visualizador hexadecimal e sistema de busca indexada por palavras-
chave. No carto de memria foi possvel buscar os dados apagados que puderam ser
recuperados por meio da tcnica de carving. Entretanto, no foram encontrados dados
apagados relevantes para investigao. Os metadados das fotos obtidas do carto de memria
foram analisados com a ferramenta JPEGSnoop, verso 1.5. Entretanto, no foi possvel obter
as coordenadas GPS de onde foram tiradas. Tambm foram realizadas anlise diretamente no
smartphone buscando por informaes que pudessem estar armazenadas em aplicativos
especficos a exemplo do aplicativo Observaes, assim como foram analisados os
relatrios gerados pelo aplicativo Android Forensics Logical Application, que extraiu
informaes importantes do telefone apreendido.
70
5.3. CENRIO 2: APARELHO DESLIGADO, COM BLOQUEIO E SEM ACESSO
DE DEPURAO USB (ADB)
Este cenrio tem como objetivo apresentar uma situao de exame de um smartphone de um
usurio avanado, que no se encontrava no local da apreenso, e utiliza outras aplicaes
alm daquelas fornecidas por padro pelo smartphone, integrando-o ao seu cotidiano, com
controle de acesso ativado e sem acesso de depurao USB ativado (ADB).
O telefone celular foi apreendido por uma equipe policial conforme ilustrado na Figura 5.1.
Ser considerado que o suspeito no se encontrava no local no momento da apreenso e que o
equipamento foi desligado para ser sido isolado da rede.
A Figura 5.8 ilustra o fluxo a ser seguido no processo de aquisio dos dados, dado o cenrio
descrito, em que o telefone possui bloqueio e no tem permisso de super usurio habilitada.
Figura 5.8 - Fluxo do processo de aquisio de dados de um smartphone encaminhado desligado, com
bloqueio e sem acesso ADB.
71
No processo e.1, o analista pericial obtm a informao de que o celular foi desligado no
momento da apreenso, que o suspeito no se encontrava no local, assim como obter as
descries do dispositivo, aferindo que trata-se do mesmo equipamento que est sendo
encaminhado para extrao dos dados.
O analista constata que o telefone encontra-se desligado (e.2) e verifica que neste modelo,
Motorola Milestone II, possvel remover o carto de memria para extrao dos dados antes
de ter que ligar o aparelho (e.3).
Uma vez que o analista pericial no dispe de um laboratrio com isolamento de sinal (e.5),
necessrio ligar o smartphone (e.6) e coloc-lo imediatamente em modo avio a fim de isol-
lo da rede de telefonia (e.8), documentando qualquer alterao que porventura ocorra neste
procedimento (por exemplo o recebimento de uma mensagem SMS), fato que no ocorreu no
cenrio em questo.
Com o celular ligado, observa-se que este se encontra bloqueado (e.9), e no possvel
desbloque-lo (e.11). Desta forma, tentou-se realizar uma conexo da estao pericial com o
telefone apreendido via ADB (Figura 5.10), entretanto sem sucesso (e.18).
72
C:\android-sdk\platform-tools>adb devices
* daemon not running. starting it now on port 5037 *
* daemon started successfully *
List of devices attached
C:\android-sdk\platform-tools>
Figura 5.10 - Tentativa de acesso via ADB ao celular bloqueado.
Dado este cenrio em que o telefone encontra-se bloqueado sem possibilidade de acesso via
ADB, com o carto de memria j clonado, resta ao analista documentar o processo de
aquisio para dar prosseguimento ao exame. As informaes extradas esto descritas na
seo 5.3.2, que trata da realizao dos exames.
5.3.2. Exame
Aps definido que o objetivo dos exames a extrao completa do telefone celular de todas
as informaes teis ao apuratrio, a critrio do analista pericial, busca-se individualizar o
smartphone (processo f.2 da Figura 4.7).
Neste cenrio foi possvel observar que havia, na pasta bluetooth do carto de memria, 60
arquivos do tipo .vcf, denominados cartes de visita. Provavelmente haviam sido enviados
ao telefone apreendido via bluetooth e incorporados aos contatos do telefone. Foi possvel
observar o arquivo Casa.vcf com um telefone fixo armazenado, o que indica a possvel
residncia do proprietrio do smartphone (processo f.2 da Figura 4.7).
Partindo para uma anlise mais aprofundada dos dados do carto de memria (processo f.3 da
Figura 4.7), foram encontradas duas fotografias, tiradas em 20/04/2011 s 19:16 (horrio de
Braslia), que possuam em seus metadados as coordenadas geogrficas: latitude 15 48
0.000 sul e longitude 47 530.000 oeste, que apontam para uma regio localizada na cidade
de Braslia, prximo ao Setor de Autarquias Sul no incio do bairro da Asa Sul.
73
Tambm foram encontrados arquivos que dizem respeito ao aplicativo Busybox, o que
indica uma grande possibilidade do celular estar com permisses de super usurio instaladas,
uma vez que tal aplicativo utilizado somente em celulares com estas permisses
configuradas. Essa suspeita foi reforada ao ser encontrado na raiz do carto de memria o
aplicativo z4root.1.3.0.apk, que ao ser instalado habilita permisses de super usurio no
sistema.
Com relao aos dados armazenados no smartphone (processo f.4 da Figura 4.7), no foi
possvel analis-los, uma vez que o sistema de controle de acesso do Android encontrava-se
ativado e o acesso via ADB no se encontrava habilitado, inviabilizando a extrao dos dados.
Uma vez que se trata de um smartphone bloqueado, em que no foi possvel acessar os dados
contidos no telefone, pode ser necessria a utilizao de tcnicas mais invasivas de acesso
memria interna do equipamento. Este procedimento deve ser discutido e avaliado com a
autoridade solicitante dos exames uma vez que, a depender da marca e modelo, pode danificar
os dados armazenados no smartphone (processos f.5 e f.6 da Figura 4.7). A Figura 5.11 ilustra
a etapa de exame do cenrio descrito.
74
Figura 5.11 Etapa de exame do cenrio 2 (Motorola Milestone II).
Este cenrio tem como objetivo apresentar uma situao de exame de um smartphone de um
usurio expert, que no se encontrava no local da apreenso, e utilizava bem os recursos de
hardware e software do smartphone, com conhecimentos para instalao de customizaes no
sistema, com controle de acesso ativado, acesso de depurao (ADB) ativado, mas restrito, e
com permisses de super usurio instaladas.
O telefone celular foi apreendido por uma equipe policial, conforme ilustrado na Figura 5.1.
Ser considerado que o suspeito no se encontrava no local no momento da apreenso e que o
equipamento no foi desligado ao ter sido isolado da rede, sendo colocado em modo avio.
No ser considerado o uso de invlucro de isolamento de sinal, uma vez que no comum as
equipes de apreenso ter este tipo de material disponvel, principalmente quando no h um
especialista presente.
75
5.4.1. A aquisio dos dados
A Figura 5.12 ilustra o fluxo a ser seguido no processo de aquisio dos dados, dado o cenrio
descrito, em que o telefone possui bloqueio, mas com acesso via ADB com usurio do
sistema shell e com permisses de super usurio instaladas.
No processo e.1, o analista pericial obtm a informao de que o celular foi colocado em
modo avio, que o suspeito no se encontrava no local, assim como obter as descries do
dispositivo, aferindo que trata-se do mesmo equipamento que est sendo encaminhado para
extrao dos dados.
O analista constata que o telefone encontra-se ligado (e.2), no havendo necessidade de isol-
lo da rede (e.8), pois j se encontrava com modo avio ativado conforme descrito na
documentao do processo e.1.
Figura 5.12 - Fluxo do processo de aquisio de dados de um smartphone Android ligado, bloqueado,
com acesso ADB e permisses de super usurio.
Com o celular ligado, observa-se que este se encontra bloqueado (e.9), no sendo possvel
desbloque-lo (e.11). Neste cenrio, o analista consegue, com sucesso, realizar uma conexo
de depurao USB, da estao pericial com o telefone apreendido, via ADB (e.18).
76
Entretanto, isso se d sem acesso ao shell com permisses de super usurio (e.19), conforme
ilustrado na Figura 5.13.
C:\android-sdk\platform-tools>adb devices
List of devices attached
040140611301E014 device
Com o acesso ADB restrito, instalado o aplicativo Screen Lock Bypass (Cannon, 2011), e,
em seguida, o aplicativo Android Forensics Logical Application, conforme Figura 5.14,
com a finalidade de ignorar o sistema de autenticao por padro tctil do Android (e.20).
C:\android-sdk\platform-tools>adb -s 040140611301E014 install screenlockbypass.apk
224 KB/s (22797 bytes in 0.099s)
pkg: /data/local/tmp/screenlockbypass.apk
Success
Como ainda no foram extrados os dados do carto, dado que o processo de remoo do
mesmo poderia provocar perda de informaes que ainda no tinham sido extradas, nesse
momento, sero copiados integralmente os dados do carto (e.10).
28
A porta USB deve estar protegida contra escrita.
77
Figura 5.15 - Tela de configurao da conexo USB.
(a) (b)
Figura 5.16 - Aplicativo Superuser: (a) programa no menu de aplicativos e (b) as permisses
configurados no telefone.
78
Desta forma, possvel realizar uma nova conexo via ADB e conseguir um shell de super
usurio para realizar o espelhamento das parties do sistema por meio do comando dd para o
carto de memria do examinador inserido no telefone (e.14), conforme Figura 5.17. Neste
cenrio so realizadas as cpias das parties system, cache e userdata. Entretanto, no h
impedimentos para realizao da cpia de todas as parties.
C:\Program Files\Android\android-sdk\platform-tools>adb -s 040140611301E014 shell
$ su -
# mount | grep mtd
/dev/block/mtdblock6 /system yaffs2 ro,relatime 0 0
/dev/block/mtdblock8 /data yaffs2 rw,nosuid,nodev,relatime 0 0
/dev/block/mtdblock7 /cache yaffs2 rw,nosuid,nodev,relatime 0 0
/dev/block/mtdblock5 /cdrom yaffs2 rw,relatime 0 0
/dev/block/mtdblock0 /pds yaffs2 rw,nosuid,nodev,relatime 0 0# cat /proc/mtd
cat /proc/mtd
dev: size erasesize name
mtd0: 00180000 00020000 "pds"
mtd1: 00060000 00020000 "cid"
mtd2: 00060000 00020000 "misc"
mtd3: 00380000 00020000 "boot"
mtd4: 00480000 00020000 "recovery"
mtd5: 008c0000 00020000 "cdrom"
mtd6: 0afa0000 00020000 "system"
mtd7: 06a00000 00020000 "cache"
mtd8: 0c520000 00020000 "userdata"
mtd9: 00180000 00020000 "cust"
mtd10: 00200000 00020000 "kpanic"
# ls /dev/mtd/mtd*
/dev/mtd/mtd6
/dev/mtd/mtd6ro
/dev/mtd/mtd7
/dev/mtd/mtd7ro
/dev/mtd/mtd8
/dev/mtd/mtd8ro
# df
/dev: 115788K total, 0K used, 115788K available (block size 4096)
/mnt/asec: 115788K total, 0K used, 115788K available (block size 4096)
/system: 179840K total, 118828K used, 61012K available (block size 4096)
/data: 201856K total, 172632K used, 29224K available (block size 4096)
/cache: 108544K total, 4908K used, 103636K available (block size 4096)
/dev: 115788K total, 0K used, 115788K available (block size 4096)
/mnt/asec: 115788K total, 0K used, 115788K available (block size 4096)
/cdrom: 8960K total, 8632K used, 328K available (block size 4096)
/tmp: 2048K total, 28K used, 2020K available (block size 4096)
/pds: 1536K total, 1356K used, 180K available (block size 4096)
/mnt/sdcard: 7770276K total, 5196760K used, 2573516K available (block size 4096)
# dd if=/dev/mtd/mtd6ro of=/mnt/sdcard/_PERICIA/mtd6ro_system.dd bs=4096
dd if=/dev/mtd/mtd6ro of=/mnt/sdcard/_PERICIA/mtd6ro_system.dd bs=4096
44960+0 records in
44960+0 records out
184156160 bytes transferred in 73.803 secs (2495239 bytes/sec)
# dd if=/dev/mtd/mtd7ro of=/mnt/sdcard/_PERICIA/mtd7ro_cache.dd bs=4096
dd if=/dev/mtd/mtd7ro of=/mnt/sdcard/_PERICIA/mtd7ro_cache.dd bs=4096
27136+0 records in
27136+0 records out
111149056 bytes transferred in 41.924 secs (2651203 bytes/sec)
# dd if=/dev/mtd/mtd8ro of=/mnt/sdcard/_PERICIA/mtd8ro_userdata.dd bs=4096
dd if=/dev/mtd/mtd8ro of=/mnt/sdcard/_PERICIA/mtd8ro_userdata.dd bs=4096
50464+0 records in
50464+0 records out
206700544 bytes transferred in 74.452 secs (2776292 bytes/sec)
# ls /mnt/sdcard/_PERICIA
ls /mnt/sdcard/_PERICIA
mtd6ro_system.dd
mtd7ro_cache.dd
mtd8ro_userdata.dd
Figura 5.17 - Copia das parties do sistema Android para o carto de memria.
79
importante o examinador usar o comando mount para anotar o tipo de sistema de arquivos
usado nestas parties espelhadas a fim de facilitar sua anlise no exame, que neste caso o
YAFFS2.
Nesta mesma shell, pode-se listar os processos dos aplicativos em execuo no sistema (e.15),
conforme Figura 5.1829, observando que h aplicativos que podem fornecer informaes
importantes quando em execuo.
C:\android-sdk\platform-tools>adb -s 040140611301E014 shell
$ su -
su -
# id
Id
uid=0(root) gid=0(root)
# ps | grep app
ps | grep app
USER PID PPID VSIZE RSS WCHAN PC NAME
app_23 1703 1380 144116 11364 ffffffff afd0ece8 S
com.android.inputmethod.latin
app_45 1712 1380 137784 12428 ffffffff afd0ece8 S com.motorola.usb
app_25 1717 1380 164352 24228 ffffffff afd0ece8 S com.android.launcher
app_18 1763 1380 171460 15656 ffffffff afd0ece8 S com.google.process.gapps
app_38 5767 1380 138112 10488 ffffffff afd0ece8 S
smupdaterapp.service.UpdateCheckService
app_86 5797 1380 135828 10816 ffffffff afd0ece8 S
se.catharsis.android.calendar
app_29 6199 1380 159552 12980 ffffffff afd0ece8 S
com.google.android.apps.maps:NetworkLocationService
app_16 6221 1380 142064 10936 ffffffff afd0ece8 S
com.google.android.apps.genie.geniewidget
app_68 6233 1380 142344 10464 ffffffff afd0ece8 S com.metago.astro
app_50 6290 1380 137964 10412 ffffffff afd0ece8 S nitro.phonestats
app_77 6309 1380 137940 10920 ffffffff afd0ece8 S
net.rgruet.android.g3watchdog
app_73 6379 1380 144444 14796 ffffffff afd0ece8 S com.dropbox.android
app_13 6410 1380 136776 11448 ffffffff afd0ece8 S android.process.media
app_31 6429 1380 139204 11116 ffffffff afd0ece8 S
com.google.android.apps.uploader
app_17 6440 1380 143804 12524 ffffffff afd0ece8 S com.google.android.gm
app_1 6445 1380 138592 13616 ffffffff afd0ece8 S android.process.acore
app_46 6453 1380 138096 12124 ffffffff afd0ece8 S com.android.vending
app_42 6504 1380 135668 15464 ffffffff afd0ece8 S com.noshufou.android.su
Figura 5.18 - Obteno de um shell no telefone apreendido com acesso a super usurio e processos em
execuo.
29
Foi utilizado o comando ps | grep app para limitar a sada dos processos em execuo no sistema.
80
(a) (b)
Figura 5.19 - Aplicativo "Superuser": (a) programa no menu de aplicativos e (b) as permisses
configuradas no telefone.
A partir do exposto na Figura 5.20, possvel obter os dados em memria dos aplicativos em
execuo no sistema (e.17). Como a finalidade do cenrio validar o mtodo proposto, sero
obtidos os dados da memria somente dos aplicativos Gmail (app_17, PID 6440), Dropbox
(app_73, PID 6379), Mapas (app_29 PID 6199) e Calendrio (app_86, PID 5797), usando a
tcnica apresentada por Thomas Cannon (Cannon, 2010), conforme Figura 5.18. Os arquivos
de dump dos respectivos aplicativos so copiados para a estao pericial para posterior exame.
Para extrao dos dados do telefone (e.16), foram copiados os contedos dos diretrios
/data/system, /data/misc e /data/data para o carto de memria (vide seo 3.7.2), com a
finalidade de facilitar a extrao das configuraes do sistema, configuraes de hardware e
informaes dos aplicativos e seus bancos de dados, assim como os arquivos de imagem das
parties do sistema que foram gravados no carto de memria (vide Figura 5.17).
81
# chmod 777 /data/misc
chmod 777 /data/misc
# kill -10 6440
kill -10 6440
# kill -10 6379
kill -10 6379
# kill -10 6199
kill -10 6199
# kill -10 5797
kill -10 5797
# ls /data/misc | grep dump
ls /data/misc | grep dump
heap-dump-tm1303909649-pid5797.hprof
heap-dump-tm1303909632-pid6199.hprof
heap-dump-tm1303909626-pid6379.hprof
heap-dump-tm1303909585-pid6440.hprof
# exit
exit
$ exit
exit
A fim de complementar qualquer informao adicional que por ventura possa haver, esses
arquivos gerados pelo aplicativo forense so analisados, realizando uma comparao com
aquilo que pode ser extrado manualmente do telefone. Neste cenrio, foi observado que o
proprietrio do celular usava com frequncia seu calendrio, sendo que a ferramenta da Via
Forensics no extraiu essas informaes. Por meio de inspeo manual, foi possvel extrair as
informaes relevantes do calendrio do smartphone. Alternativamente, como o telefone
possui acesso de super usurio, o banco de dados do aplicativo poderia ser obtido a partir da
imagem gerada do sistema. Outra informao interessante que no foi extrada do sistema se
refere aplicao 3G Watchdog, que possui o histrico de uso dos dados 3G do telefone,
oferecendo inclusive a opo de exportar os dados para um arquivo .csv, que foi gerado e
copiado para a estao pericial. Tambm foram obtidos os dados sobre a localizao dos seus
amigos cadastrados no aplicativo Latitude, obtendo a localizao do proprietrio do
telefone, Andr Morum, que se encontrava em Braslia/DF, SQS 303, no dia 26/04/2011, e
dos seus amigos Juliana Simo e Marcos Munhoz, que tambm se encontravam em
82
Braslia/DF no dia 26/04/2011, s que este no aeroporto e aquela na SMHN Quadra 1. Os
dados extrados esto descritos na seo 5.4.2, que trata da realizao dos exames.
5.4.2. Exame
Aps definido que o objetivo dos exames a extrao completa das informaes do telefone
celular, a critrio do analista pericial, busca-se individualizar o smartphone (processo f.2 da
Figura 4.7).
83
Neste cenrio, a individualizao do telefone ocorreu j no momento da extrao, quando foi
possvel obter a conta configurada no dispositivo, andmor1lima@gmail.com30, que pode
apresentar informaes a respeito do nome do proprietrio. Outra informao obtida no
momento da aquisio dos dados a referente ao aplicativo Latitude, que apresentou a
localidade do proprietrio do smartphone e confirmou seu nome como Andr Morum. A
seguir, passou-se para a anlise do carto de memria (processo f.3 da Figura 4.7).
Com relao aos dados extrados do telefone (processo f.4 da Figura 4.7), as imagens (cpias
integrais) das parties system, cache e userdata, podem ser analisadas no FTK (AccessData,
2011) apenas com a opo de data carving, uma vez que no h o suporte ao YAFFS2, o que
limita o exame. Uma opo ao examinador usar uma estao pericial com o sistema
operacional GNU/Linux com um kernel compilado para dar suporte a este tipo de sistema de
arquivos, usando ferramentas forenses para este ambiente ao realizar o exame. Outra opo ,
no momento da aquisio dos dados, realizar a extrao lgica dos arquivos mais importantes
para o exame, a exemplo do que foi realizado nesse cenrio, logo aps o espelhamento das
parties do telefone, quando foram copiados os arquivos relativos s aplicaes (inclusive os
bancos de dados) e os arquivos de configurao do sistema (Lessard e Kessler, 2010).
No diretrio /data/system, foi possvel obter a lista dos aplicativos instalados no sistema
(arquivo package.list) e a conta Google configurada para o telefone com sua senha cifrada
(arquivo accounts.db). Na pasta /data/misc, foi encontrada a rede Wi-Fi configurada e sua
respectiva senha WPA2 armazenada em claro no arquivo wpa_supplicant.conf.
30
O e-mail foi alterado a fim de preservar o endereo verdadeiro.
84
remotamente a partir do stio da Internet www.seekdroid.com. No diretrio de instalao do
aplicativo, foi encontrado o arquivo prefs.xml que continha o nome de usurio do aplicativo
(dedemor), a senha de acesso (@#senhasecreta) e suas configuraes, mostrando que o
aplicativo estava autorizado a apagar os dados do carto do telefone. O aplicativo Gtalk,
forneceu no arquivo talk.db histricos de bate-papo e lista de amigos; informaes sobre
envio e recebimento de e-mails com horrios, remetente e destinatrio foram obtidas a partir
do arquivo mailstore.andmor1lima@gmail.com.db do aplicativo com.google.android.gm;
mensagens SMS encontravam-se armazenadas no arquivo mmssms.db do aplicativo
com.android.providers.telephony; j os eventos de calendrio foram encontrados no arquivo
calendar.db do aplicativo com.android.providers.calendar; a partir do arquivo
webview.db, do aplicativo com.android.browser, constatou-se que o usurio do telefone
se autenticou nos stios do Facebook (http://m.facebook.com), webmail do DPF
(https://webmail.dpf.gov.br), Yahoo (http://m.login.yahoo) e Mercado Livre
(https://www.mercadolivre.com); j no arquivo DropboxAccountPrefs.xml do aplicativo
com.dropbox.android, foi possvel obter o nome do usurio configurado
(mor1lima@yahoo.com), assim como o arquivo db.db possua a listagem dos diretrios e
arquivos, com seus respectivos tamanhos. J as configuraes do sistema foram encontradas
no arquivo settings.db, referente ao aplicativo com.android.provider.settings. Muitas
outras informaes podem ser obtidas a partir dos arquivos de cache e bancos de dados dos
aplicativos, devendo o analista pericial aprofundar o exame a medida da necessidade de se
atingir o objetivo.
85
Figura 5.21 - Comprovante de aplicao em poupana.
Com relao aos arquivos de dump de memria, usou-se um editor hexadecimal para
examin-los. Outra opo inseri-los como evidncia no FTK (AccessData, 2011) e process-
los, uma vez que esta ferramenta possui um visualizador hexa e possvel realizar filtragem
de strings. Buscou-se informaes como login e senha nestes arquivos, entretanto sem
sucesso.
Conforme citado, foi encontrado no smartphone o aplicativo Dropbox, que funciona como
um repositrio de arquivos na Internet (computao em nuvem). Assim, pode ser interessante
avaliar junto com a autoridade solicitante da percia a necessidade de obter os arquivos
armazenados neste repositrio (f.5 e f.6). Tambm pode ser interessante ter acesso conta
cadastrada no telefone, com acesso irrestrito a caixa de e-mail, calendrio, contatos e outros
servios associados. A Figura 5.22 ilustra a etapa de exame do cenrio descrito.
86
Figura 5.22 Etapa de exame do cenrio 3 (Motorola Milestone).
31
http://www.mh-nexus.de, acessado em 26/04/2011.
87
percorrido quando da anlise do smartphone, descrevendo os procedimentos realizados,
citando as ferramentas utilizadas, justificando e fundamentando as aes tomadas na anlise
do sistema Android.
O mtodo proposto foi testado por meio de sua aplicao no exame de trs smartphones
Android que abordavam diferentes situaes que um analista pode se deparar, como exposto
nos cenrios apresentados e resumidos na Tabela 5.2. Os dois primeiros cenrios buscaram
simular a situao real com que os celulares so apreendidos e encaminhados aos setores
periciais na Polcia Federal. J o terceiro cenrio buscou uma das situaes mais complexas
com que o analista pericial pode enfrentar. Os trs cenrios apresentaram resultados
satisfatrios da anlise dos smartphones, em que foram extradas de informaes do
dispositivo, resguardando e documentando as evidncias processadas.
Os resultados obtidos a partir do mtodo proposto foram importantes, dado que nos modelos
atualmente propostos de anlise forense em telefones celulares, pouco se discute as
peculiaridades de cada plataforma. A partir da especificao de um mtodo para a plataforma
Android, foram mapeadas as dificuldades encontradas pelos analistas periciais, preparando-os
e auxiliando-os a realizar uma anlise da evidncia, evitando imprevistos no decorrer do
processo pericial, dada as diversas situaes com que podem se deparar, o que poderia
acarretar a perda de provas materiais.
88
6. CONCLUSES
A partir da diagramao dos processos e decises que o analista pericial pode se deparar,
foram mapeadas as situaes que ele encontrar no decorrer de uma anlise de um
smartphone com o sistema Android. Assim, foi apresentado de forma clara e objetiva um
mtodo eficiente para a extrao das informaes armazenadas no equipamento por meio da
utilizao de procedimentos e tcnicas forenses aplicveis na anlise de dispositivos mveis.
89
Diferentemente do que h publicado sobre anlise pericial em smartphones, o mtodo
proposto atua de forma a abordar todos os processos que envolvem o tratamento do
smartphone Android como uma evidncia. Enquanto na literatura atual h uma nfase na
descrio de tcnicas especficas para extrao da informao dos dispositivos mveis com
sistema operacional Android e abordagens genricas e amplas para analise forense em
telefones celulares, a partir dos testes realizados nos estudo de casos, observou-se que o
mtodo proposto nesse trabalho fornece ao analista pericial uma viso geral no tratamento de
um dispositivo mvel com o sistema operacional Android, e, ao mesmo tempo, considerar as
peculiaridades da plataforma (controle de acesso, cartes de memria embutidos, acesso de
super usurio, modo de depurao e aplicativos de acesso remoto) de maneira a descrever
tcnicas e procedimentos para auxili-lo no decorrer do processo forense.
A partir do que foi estudado nesta dissertao e com a finalidade de dar continuidade ao
trabalho desenvolvido seria interessante aperfeioar as tcnicas de extrao dos dados
armazenados no smartphone por meio do desenvolvimento de mtodos, ainda mais
especficos, que consigam extrair a maior quantidade de informao do sistema operacional,
dada sua verso e sistema de arquivos, assim como aplicaes mais eficientes para este fim.
Outro trabalho que poderia ser desenvolvido seria de avaliar o mtodo proposto neste trabalho
ou, se for o caso, propor um especfico, para anlise pericial de dispositivos do tipo Tablet PC
com o Android 3.x, tendo em vista a crescente presena deste equipamento no mercado
mundial.
Com base em informaes presentes neste trabalho, foi submetido um artigo intitulado
Aquisio de Evidncias Digitais em Smartphones Android ICoFCS 2011 (The Sixth
90
International Conference on Forensic Computer Science), que foi publicado nos anais dessa
conferncia e apresentado na VIII Conferncia Internacional de Percias em Crimes
Cibernticos (ICCyber 2011) no perodo de 05 a 07 de outubro de 2011.
91
REFERNCIAS BIBLIOGRFICAS
Anatel. Brasil fecha maio com mais de 215 milhes de acessos mveis. Stio da Agencia
Nacional de Telecomunicaes, 2011. Disponivel em:
<http://www.anatel.gov.br/Portal/exibirPortalPaginaEspecialPesquisa.do?acao=&tipoC
onteudoHtml=1&codNoticia=22917>. Acesso em: 08 ago. 2011.
Antonioli, D.; Pilz, M. Analysis of the Java Class Format. [S.l.]. 2008. (98.4).
Ashcroft, J. Eletronic Crime Scene Investigation: A Guide for First Responders U.S.
Department of Justice. DoJ. Washington, DC, p. 82. 2001.
Bahareth, M. iSay - Kings of the Internet. 1a. ed. [S.l.]: Trafford, 2010.
Bornstein, D. Dalvik VM Internals. 2008 Google I/O Session, 2008. Disponivel em:
<http://sites.google.com/site/io/dalvik-vm-internals>. Acesso em: 12 abril 2011.
Brady, P. Anatomy & Physiology of an Android. 2008 Google I/O Session, 2008.
Disponivel em: <http://sites.google.com/site/io/anatomy--physiology-of-an-android>.
Acesso em: 12 abril 2011.
Brasil. Lei no. 3.189, de 3 de outubro de 1941, alterada pela lei 10.695, de 1 de julho de
2003. Cdigo de Processo Penal, artigos 530-C e 530-D. Braslia: [s.n.], 2003.
92
Cannon, T. Android Lock Screen Bypass. Thomas Cannon, 2011. Disponivel em:
<http://thomascannon.net/blog/2011/02/android-lock-screen-bypass/>. Acesso em: 23
maro 2011.
Cellebrite. Mobile Forensics and Data transfer solutions. Cellebrite, 2011. Disponivel
em: <http://www.cellebrite.com/forensic-products/forensic-products.html?loc=seg>.
Acesso em: 17 agosto 2011.
Ehringer, D. The Dalvik Virtual Machine Architecture. David Ehringer, maro 2008.
Disponivel em:
<http://davidehringer.com/software/android/The_Dalvik_Virtual_Machine.pdf>.
Acesso em: 17 fevereiro 2011.
Gadhavi, B. Analysis of the Emerging Android Market. The Faculty of the Department
of General Engineering, San Jose State University. [S.l.], p. 88. 2010.
Google Inc. Android Debug Bridge. Android Developers, 2011a. Disponivel em:
<http://developer.android.com/guide/developing/tools/adb.html>. Acesso em: 4 abril
2011.
93
Google Inc. Android Fundamentals. Android Developers, 2011b. Disponivel em:
<http://developer.android.com/guide/topics/fundamentals.html>. Acesso em: 17 maro
2011.
Google Inc. Compatibility Program Overview. Android Open Source Project, 2011d.
Disponivel em: <http://source.android.com/compatibility/overview.html>. Acesso em:
22 abril 2011.
Hallinan, C. Embedded Linux Primer: A Practical Real-World Approach. 2a. ed. [S.l.]:
Prentice Hall, 2010.
Hashimi, S.; Komatineni, S.; Maclean, D. Pro Android 2. 1a edio. ed. [S.l.]: Apress,
2010. ISBN 978-1-4302-2659-8.
Hoog, A. Android Forensics Logical Application (LE Restricted). Via Forensics, 2010.
Disponivel em: <http://viaforensics.com/wiki/doku.php?id=aflogical:start>. Acesso em:
22 abril 2011.
94
Hoog, A. Android Forensics - Investigation, Analisys and Mobile Security for Google
Android. 1a. ed. [S.l.]: Syngress, 2011.
Khan, S. et al. Analysis of Dalvik Virtual Machine and Class Path Library. Security
Engineering Research Group, Institute of Management Sciences. Peshawar, Pakistan, p.
33. 2009.
Owen, P.; Thomas, P.; Mcphee, D. An Analysis of the Digital Forensic Examination of
Mobile Phones. [S.l.]: IEEE. 2010.
Paula, Y. Android, playing with dumpsys. Softteco, 5 abril 2011. Disponivel em:
<http://softteco.blogspot.com/2011/04/android-playing-with-dumpsys.html>. Acesso
em: 12 abril 2011.
Pettey, C.; Stevens, H. Gartner Says Android to Command Nearly Half of Worldwide
Smartphone Operating System Market by Year-End 2012. Gartner, 7 abril 2011.
95
Disponivel em: <http://www.gartner.com/it/page.jsp?id=1622614>. Acesso em: 8 abril
2011.
96