A cientista da computação do NIST Jenise Reyes-Rodriguez segura um telefone celular que foi danificado por tiros. Crédito:R. Press / NIST
Os criminosos às vezes danificam seus telefones celulares na tentativa de destruir provas. Eles podem quebrar, atirar, submergir ou cozinhar seus telefones, mas os especialistas forenses muitas vezes podem recuperar as evidências de qualquer maneira. Agora, pesquisadores do Instituto Nacional de Padrões e Tecnologia (NIST) testaram o quão bem esses métodos forenses funcionam.
Um telefone danificado pode não ligar, e a porta de dados pode não funcionar, portanto, os especialistas usam ferramentas de hardware e software para acessar diretamente os chips de memória do telefone. Isso inclui ferramentas de hacking, embora aqueles que possam ser legalmente usados como parte de uma investigação criminal. Como esses métodos produzem dados que podem ser apresentados como prova em tribunal, é importante saber se eles são confiáveis.
"Nosso objetivo era testar a validade desses métodos, "disse Rick Ayers, o especialista forense digital do NIST que conduziu o estudo. "Eles produzem resultados precisos de forma confiável?"
Os resultados do estudo do NIST também ajudarão os laboratórios a escolher as ferramentas certas para o trabalho. Alguns métodos funcionam melhor do que outros, dependendo do tipo de telefone, o tipo de dados e a extensão dos danos.
O estudo aborda métodos que funcionam com telefones Android. Também, o estudo cobriu apenas métodos para acessar dados, não descriptografá-lo. Contudo, eles ainda podem ser úteis com telefones criptografados porque os investigadores geralmente conseguem obter a senha durante a investigação.
A cientista da computação do NIST Jenise Reyes-Rodriguez usa o método JTAG para adquirir dados de um telefone celular danificado. Crédito:R. Press / NIST
Para conduzir o estudo, Os pesquisadores do NIST carregaram dados em 10 modelos populares de telefones. Eles então extraíram os dados ou fizeram com que especialistas externos extraíssem os dados para eles. A questão era:os dados extraídos corresponderiam exatamente aos dados originais, sem nenhuma mudança?
Para que o estudo seja preciso, os pesquisadores não podiam simplesmente enviar um monte de dados para os telefones. Eles tiveram que adicionar os dados da maneira que uma pessoa faria normalmente. Eles tiraram fotos, enviaram mensagens e usaram o Facebook, LinkedIn e outros aplicativos de mídia social. Eles entraram em contatos com vários nomes do meio e endereços formatados de forma estranha para ver se alguma parte seria cortada ou perdida quando os dados fossem recuperados. Eles adicionaram dados de GPS dirigindo pela cidade com todos os telefones no painel.
Depois que os pesquisadores carregaram os dados nos telefones, eles usaram dois métodos para extraí-lo. O primeiro método tira proveito do fato de que muitas placas de circuito têm pequenas torneiras de metal que fornecem acesso aos dados nos chips. Os fabricantes usam esses taps para testar suas placas de circuito, mas soldando fios neles, investigadores forenses podem extrair dados dos chips. Isso é chamado de método JTAG, para o Grupo de Ação Tarefa Conjunta, a associação da indústria de manufatura que codificou esse recurso de teste.
Os chips se conectam à placa de circuito por meio de pequenos pinos de metal, e o segundo método, chamado de "chip-off, "envolve a conexão direta a esses pinos. Os especialistas costumavam fazer isso retirando delicadamente os chips da placa e encaixando-os em leitores de chips, mas os alfinetes são delicados. Se você os danificar, obter os dados pode ser difícil ou impossível. Alguns anos atrás, especialistas descobriram que, em vez de retirar os chips da placa de circuito, eles podiam triturar o lado oposto da placa em um torno até que os pinos estivessem expostos. É como retirar o isolamento de um fio, e permite o acesso aos pinos.
"Parece tão óbvio, "disse Ayers." Mas é uma daquelas coisas em que todo mundo faz de uma maneira até que alguém surge com uma maneira mais fácil. "
Os especialistas forenses digitais podem frequentemente extrair dados de telefones celulares danificados usando o método JTAG. Crédito:R. Press / NIST
As extrações foram conduzidas pelo Laboratório Forense Digital do Departamento de Polícia de Fort Worth e por uma empresa forense privada no Colorado chamada VTO Labs, quem enviou os dados extraídos de volta ao NIST. A cientista da computação do NIST Jenise Reyes-Rodriguez fez as extrações JTAG.
Depois que as extrações de dados foram concluídas, Ayers e Reyes-Rodriguez usaram oito ferramentas de software forense diferentes para interpretar os dados brutos, gerando contatos, Localizações, Texto:% s, fotos, dados de mídia social, e assim por diante. Eles então os compararam com os dados originalmente carregados em cada telefone.
A comparação mostrou que tanto JTAG quanto chip-off extraíram os dados sem alterá-los, mas que algumas das ferramentas de software eram melhores na interpretação dos dados do que outras, especialmente para dados de aplicativos de mídia social. Esses aplicativos estão mudando constantemente, tornando difícil para os fabricantes de ferramentas acompanharem.
Os resultados são publicados em uma série de relatórios online disponíveis gratuitamente. Este estudo, e os relatórios resultantes, fazem parte do projeto Computer Forensics Tool Testing do NIST. Chamado CFTT, este projeto submeteu uma ampla gama de ferramentas forenses digitais a uma avaliação rigorosa e sistemática. Laboratórios forenses em todo o país usam relatórios CFTT para garantir a qualidade de seu trabalho.
"Muitos laboratórios têm uma carga de trabalho esmagadora, e algumas dessas ferramentas são muito caras, "Ayers disse." Ser capaz de olhar para um relatório e dizer, essa ferramenta funcionará melhor do que para um caso específico - isso pode ser uma grande vantagem. "