Pesquisadores colocam à prova ferramentas de hackers para aplicação da lei.

A cientista de computação do NIST Jenise Reyes-Rodriguez tem um telefone celular que foi danificado por tiros.

Às vezes, os criminosos danificam seus telefones celulares na tentativa de destruir evidências. Eles podem esmagar, atirar, submergir ou cozinhar seus telefones, mas os especialistas forenses podem recuperar as evidências de qualquer maneira. Agora, pesquisadores do Instituto Nacional de Padrões e Tecnologia (NIST) testaram como esses métodos forenses funcionam.

Um telefone danificado pode não ligar e a porta de dados pode não funcionar, portanto, os especialistas usam ferramentas de hardware e software para acessar diretamente os chips de memória do telefone. Isso inclui ferramentas de hackers, embora sejam legalmente usadas como parte de uma investigação criminal. Como esses métodos produzem dados que podem ser apresentados como evidência em tribunal, é importante saber se eles podem ser confiáveis.

“Nosso objetivo era testar a validade desses métodos”, disse Rick Ayers, especialista em forense digital do NIST que liderou o estudo. “Eles produzem resultados precisos com confiabilidade?”

Jenise Reyes-Rodriguez, cientista da computação do NIST, usa o método JTAG para adquirir dados de um telefone celular danificado.

Os resultados do estudo do NIST também ajudarão os laboratórios a escolher as ferramentas certas para o trabalho. Alguns métodos funcionam melhor que outros, dependendo do tipo de telefone, do tipo de dados e da extensão do dano. 

O estudo aborda métodos que funcionam com telefones Android. Além disso,  o estudo abrangeu apenas métodos para acessar dados, sem descriptografá-los. No entanto, eles ainda podem ser úteis com telefones criptografados porque os investigadores geralmente conseguem obter a senha durante sua investigação.

Para conduzir o estudo, os pesquisadores do NIST carregaram dados em 10 modelos populares de telefones. Eles então extraíram os dados ou tiveram especialistas externos para extraí-los. A pergunta era: os dados extraídos corresponderiam exatamente aos dados originais, sem nenhuma alteração?

Para que o estudo fosse preciso, os pesquisadores não podiam simplesmente colocar um monte de dados nos telefones. Eles tiveram que adicionar os dados da maneira que uma pessoa normalmente faria. Eles tiraram fotos, enviaram mensagens e usaram o Facebook, LinkedIn e outros aplicativos de mídia social. Eles entraram em contatos com vários nomes do meio e endereços estranhamente formatados para ver se alguma parte seria cortada ou perdida quando os dados fossem recuperados. Eles adicionaram dados de GPS dirigindo pela cidade com todos os telefones no painel.   

Depois que os pesquisadores carregaram os dados nos telefones, eles usaram dois métodos para extraí-los. O primeiro método aproveita o fato de que muitas placas de circuito possuem pequenas torneiras de metal que fornecem acesso aos dados nos chips. Os fabricantes usam essas torneiras para testar suas placas de circuito, mas soldando os fios, os investigadores forenses podem extrair dados dos chips. Isso é chamado de método JTAG, para o Joint Task Action Group, a associação da indústria de transformação que codificou esse recurso de teste.

Os chips se conectam à placa de circuito por meio de pequenos pinos de metal, e o segundo método, chamado “chip-off”, envolve a conexão direta a esses pinos. Os especialistas costumavam fazer isso arrancando delicadamente os chips do tabuleiro e colocando-os nos leitores de chips, mas os pinos são delicados. Se você danificá-los, obter os dados pode ser difícil ou impossível. Alguns anos atrás, os especialistas descobriram que, em vez de retirar os chips da placa de circuito, eles poderiam triturar o lado oposto da placa em um torno até os pinos serem expostos. É como retirar o isolamento de um fio e permitir o acesso aos pinos. 

“Parece tão óbvio”, disse Ayers. “Mas é uma daquelas coisas em que todo mundo fazia de uma maneira até que alguém inventasse uma maneira mais fácil”.

As extrações de chip foram realizadas pelo Digital Forensics Lab do Departamento de Polícia de Fort Worth e por uma empresa privada forense no Colorado chamada VTO Labs, que enviou os dados extraídos de volta ao NIST. A cientista da computação do NIST Jenise Reyes-Rodriguez fez as extrações do JTAG.

Os especialistas em forense digital geralmente podem extrair dados de telefones celulares danificados usando o método JTAG.

Após a extração dos dados, Ayers e Reyes-Rodriguez usaram oito ferramentas de software forense diferentes para interpretar os dados brutos, gerando contatos, locais, textos, fotos, dados de mídia social e assim por diante. Eles então compararam esses dados aos dados originalmente carregados em cada telefone.

A comparação mostrou que JTAG e chip-off extraíram os dados sem alterá-los, mas que algumas das ferramentas de software foram melhores na interpretação dos dados do que outras, especialmente para dados de aplicativos de mídia social. Esses aplicativos estão mudando constantemente, dificultando o acompanhamento dos fabricantes de ferramentas.

Os resultados são publicados em uma série de relatórios on-line disponíveis gratuitamente. Este estudo e os relatórios resultantes fazem parte do projeto Computer Forensics Tool Testing do NIST. Chamado CFTT, este projeto submeteu uma ampla variedade de ferramentas forenses digitais a uma avaliação rigorosa e sistemática. Os laboratórios forenses de todo o país usam os relatórios da CFTT para garantir a qualidade de seu trabalho.

“Muitos laboratórios têm uma carga de trabalho esmagadora e algumas dessas ferramentas são muito caras”, disse Ayers. “Para poder analisar um relatório e dizer, essa ferramenta funcionará melhor que a de um caso específico – isso pode ser uma grande vantagem”.

Esta pesquisa foi financiada pelo NIST e pelo Cyber ​​Forensics Project do Departamento de Segurança Interna Informações básicas estão disponíveis no site da CFTT , e os relatórios JTAG e chip-off estão disponíveis no site do DHS .