1
Perícia forense computacional aplicada a dispositivos de
armazenamento e smartphones android
Raphael Pinheiro Afonso1; Elvio Gilberto da Silva1; Patrick Pedreira Silva1; Henrique Pachioni Martins1
1
Universidade do Sagrado Coração, Bauru/SP
raphael.afonso9@gmail.com; egsilva@usc.br; patrick.silva@usc.br; Henrique.martins@usc.br
Comunicação Oral Pesquisa Concluída
Introdução
Com o crescente avanço da tecnologia, a Internet tem se tornado uma das principais ferramentas de comunicação. Vinculada a ela, estão todos os tipos de serviços, tais como: pagamentos de contas online, compras em sites, comunicação em redes sociais, entre outros. Para que isso seja possível, faz-se o uso de computadores, tablets e smartphones. Porém, esta facilidade pode gerar grandes complicações futuras, tanto para usuários domésticos ou corporativos, uma vez que tem se tornado frequente a invasão de tais dispositivos por criminosos. Uma das ameaças que podem colocar em risco a segurança da informação, e uma das grandes preocupações em TI, é a perda de dados ou sua subtração por criminosos, colocando em risco a segurança das empresas, organizações e indivíduos. (ROCHA, 2008). Com a expansão da Internet, os computadores e outros dispositivos eletrônicos estão sendo utilizados para cometer atos ilegais. Com isso, o uso de provas eletrônicas está cada vez mais relacionado com crimes digitais. (FONTES, 2006). Com base neste contexto, este trabalho apresenta a proposta de listar softwares de recuperação de arquivos em dispositivos de armazenamento e smartphones, com sistema operacional Android, e ao mesmo tempo, realizar comparativos entre as ferramentas aqui abordadas em quesitos como: tempo de recuperação, quantidade de arquivos recuperados e não recuperados. Neste sentido o perito poderá escolher a ferramenta mais adequada para uma determinada situação.
2
Metodologia
A produção deste trabalho exibe uma série de etapas que devem ser seguidas até a obtenção dos resultados, que fazem parte da recuperação de arquivos deletados. Considerando a natureza delicada de se realizar uma série de operações em notebooks, smartphones e computadores particulares ou corporativos, um planejamento deve ser realizado e etapas devem ser seguidas para que evidências não sejam perdidas ou invalidadas posteriormente. (ASSOCIATION OF CHIEF POLICE OFFICERS, 2011). Dessa forma, inicialmente o projeto consistiu em uma pesquisa exploratória, a qual enfocou estudos sobre técnicas forenses para recuperação de dados em dispositivos de armazenamento e smartphones, visando pesquisar e produzir um levantamento de técnicas para análise pericial. A restauração dos dados exemplifica o procedimento do que acontece quando um arquivo é deletado de uma mídia, sendo de suma importância ao perito esta informação. Considerando a grande quantidade de arquivos utilizados por uma única pessoa nos dias de hoje, torna-se indispensável à utilização de técnicas de perícia forense computacional na recuperação de arquivos, uma vez que a possibilidade de roubo ou perda de informações é cada vez maior. (SIMÃO, 2011). Neste sentido, muitas ferramentas são desenvolvidas atualmente com a finalidade de recuperar arquivos perdidos e/ou deletados, tanto para uso pessoal ou corporativo. A perícia forense fica cada vez mais evidente no mercado, e consequentemente, necessita-se de mais softwares com estas funções. Com este intuito, foram usadas algumas dessas ferramentas, em três sistemas operacionais utilizados no dia a dia de muitas pessoas, sendo eles: Windows, Android e Linux. Os sistemas operacionais Linux e Android foram escolhidos por serem gratuitos; Já o Windows por ser o mais utilizado no mundo.
Resultados e discussão
As ferramentas foram testadas cada uma em seu sistema operacional. A “Remo Recover For Android” foi instalada na plataforma Windows para realizar a recuperação de arquivos em smartphones com sistema operacional Android. Entretanto, esta ferramenta só realiza recuperação em celulares. Neste caso, um
3 pen drive e um Hd externo foram conectados ao computador, porém, o software sequer reconheceu os dispositivos. A Figura 1 ilustra que o sistema operacional com mais arquivos recuperados foi o Windows; Isso se deve ao fato de que os softwares de recuperação desta plataforma realizam uma busca mais detalhada pelos arquivos deletados. Comparados aos sistemas operacionais Android e Linux, a diferença na recuperação não foi tão grande, uma vez que a análise do Android contou somente com dois softwares, enquanto a do Linux utilizou-se de três. Fica evidente também que a plataforma Windows, por ser a mais utilizada pelos usuários, acaba proporcionando maior assistência nos softwares, assim como maior funcionalidade do que as outras.
Figura 1 - Comparativo de Recuperação entre as plataformas Windows, Linux e Android.
Fonte: Elaborada pelo autor.
A Figura 2 demonstra a quantidade de arquivos recuperados separados por suas respectivas categorias: imagem, texto, música e vídeo. Durante o processo de recuperação ficou evidente que os arquivos com maior facilidade de recuperação foram os de texto (“.pdf” e “.doc”). Isso ocorreu pelo fato dos mesmos serem de tamanho inferior em relação aos outros arquivos utilizados. Vale a pena ressaltar que arquivos com tamanho superior a 10Mb foram recuperados parcialmente, e em alguns casos, os arquivos sequer foram encontrados. Os arquivos de vídeos foram os que apresentaram menor quantidade de arquivos recuperados. Alguns softwares sequer listaram os arquivos nos testes realizados. Arquivos com tamanho inferior a 10Mb foram recuperados. Ficou evidente que se a recuperação de vídeos necessita ser aprimorada pelos desenvolvedores de softwares. A recuperação em imagens pode ser considerada viável, pois muitos arquivos foram recuperados.
375 375 250 291 270 159 0 100 200 300 400
Windows Linux Android
Deletados Recuperados
4 Figura 2 - Recuperação por tipo de arquivos.
Fonte: Elaborada pelo autor.
Em uma análise mais detalhada, constatou-se que o software com maior recuperação na plataforma Android foi o “Remo Recover for Android”. O tempo de recuperação foi semelhante ao de seus concorrentes, considerando somente um minuto de diferença. O software com melhor desempenho na plataforma Windows foi o “Active@ File Recovery”, que possui funções diferenciadas, bem como grande capacidade de recuperação. Entretanto, vale a pena ressaltar que o tempo necessário para a recuperação dos arquivos é grande. Nos testes feitos, o tempo estimado foi de aproximadamente 20 minutos, tempo este considerável devido à alta performance de restauração dos arquivos. Em seguida, podemos destacar o “DiskDigger”, que de 125 arquivos deletados, recuperou 100, apresentando um excelente desempenho. Já o software “Recuva” se mostrou muito abaixo da média, recuperando apenas 83 arquivos.
Considerações finais
Com os testes realizados, ficou evidente que o tempo gasto na busca pelos arquivos interfere em sua recuperação, pois o “Recuva” levou cerca de 9 minutos para realizar a verificação, confrontando diretamente com o “Active@ File Recovery”, que levou 20 minutos e recuperou 108 arquivos. Neste caso, as ferramentas utilizadas no ambiente Windows se saíram melhores do que as demais. É provável que esta situação esteja diretamente relacionada ao fato de que o pen drive e Hd externo utilizados nos testes possuam o sistema de arquivos NTFS. (SIMÃO, 2011). O desempenho da plataforma Linux foi relativamente bom, deixando a desejar apenas na recuperação de arquivos de vídeos, bem como todas as outras
280 320 240 160 220 261 156 83 0 50 100 150 200 250 300 350
Imagem Texto Música Vídeo
Deletados Recuperados
5 plataformas. Entretanto, por se tratar de Linux, esperava-se uma performance melhor, uma vez que este conta com uma ambientação considerada mais “livre” para seu usuário. Um ponto observado e de muita importância encontrado neste estudo, foi a dificuldade que se tem em remover por completo qualquer tipo de arquivo, uma vez que eles são gravados no disco rígido dos dispositivos de armazenamento, e para sua total exclusão deve-se destruir a mídia por completo, ou gravar um novo conteúdo várias vezes sobre o antigo, fato este que não pode ser considerado 100% garantido.
6
Referências
ASSOCIATION OF CHIEF POLICE OFFICERS. “Good Practice Guide for Computer-Based Electronic Evidence”. Versão 5.0. [S.1.]. 2011.
FONTES, E. Segurança da Informação: o usuário faz a diferença. São Paulo: Saraiva, 2006. 190 p.
ROCHA L. M. Segurança e Auditoria em Sistemas de Informação. Rio de Janeiro: Ciência Moderna Ltda, 2008. 253 p.
SIMÃO, A. “Proposta de método para análise pericial em smartphone com
sistema operacional Android”. 2011. 110 f. Tese (Mestrado em Engenharia
Elétrica) – Faculdade de Tecnologia, Departamento de Engenharia Elétrica, Universidade de Brasília, Brasília. 2011.