- Gerar link
- Outros aplicativos
- Gerar link
- Outros aplicativos
Essa é a pergunta que a Cellebrite faz em seu mais recente paper “Will Your Mobile Evidence Stand Up in Court? 4 Questions to Ask When Evaluating the Forensic Soundness of Mobile Forensics Tools”, que a TechBiz Forense Digital traduz livremente aqui neste artigo. Como pode-se perceber pelo próprio nome do paper, após a pergunta inicial, a Cellebrite propõe ainda outras quatro questões para se avaliar uma ferramenta forense de análise de dispositivos móveis.
Segundo o artigo, para se ter certeza de que uma ferramenta é de fato forense, de que mesmo com o seu uso a evidência permanece inalterada e de que os dados do relatório resultante da investigação são verdadeiros e correspondem a uma exata representação do que existe no dispositivo de evidência, é preciso responder as quatro perguntas a seguir:
“Da mesma forma como acontece com as evidências físicas, a admissibilidade de uma evidência digital depende de boas práticas de manipulação por toda a cadeia de custódia. Cada elo da cadeia é responsável pela preservação apropriada, pela coleta e pelas práticas de documentação que demonstram que a evidência está mais próxima possível do seu estado original”, diz o documento.
Apesar de não existir nenhum padrão internacional para governar as práticas da forense digital, as cortes e os praticantes da forense têm confiado em uma mistura de precedentes legais e de orientações de terceiros para governar as suas práticas. Este paper baseia-se em dois testes legais dos Estados Unidos: Daubert v. Merrell Dow Pharmaceuticals (92-102), 509 U.S. 579 (1993) e Frye v. United States. 293 F. 1013 (D.C. Cir 1923). Tratam-se de testes que endereçam questões que podem afetar a admissibilidade de uma evidência extraída de um dispositivo de móvel.
Com a exceção de algum software open source, a maioria das ferramentas forenses é comercial, o que significa que o seu código-fonte é proprietário. Por uma questão de vantagem competitiva, esse código não é aberto para avaliação. Portanto é extremamente difícil falsificar os resultados dessas ferramentas. Abaixo, a Cellebrite lista uma série de técnicas capazes de a evidência extraída de um dispositivo móvel:
O instituto americano de padrões e tecnologia (U.S. National Institute of Standards and Technology - NIST) avalia regularmente hardware e software de computação forense como parte de seu projeto Computer Forensic Tool Testing (CFTT). Outros órgãos governamentais, tais como o Instituto Nacional de Justiça (National Institute of Justice - NIJ), centro de excelência em tecnologias de crime eletrônico (Electronic Crime Technology Center of Excellence - ECTCoE), instituições acadêmica e pesquisadores privados podem também conduzir testes independentes.
O projeto CFTT do NIST pesquisa um amplo espectro de tecnologias forenses e segue um conjunto de padrões desenvolvidos pelo próprio NIST. De acordo com os relatórios de 2010 e 2012, o NIST informa:
“Casos de testes usados para verificar a aquisição em dispositivos móveis pelas ferramentas forenses estão definidos no Smart Phone Tool Test Assertions and Test Plan Version 1.0. Para testar uma ferramenta, os casos de testes são selecionados no documento Test Plan, baseado em funcionalidades oferecidas pela ferramenta. Nem todo caso de teste ou afirmações de testes são apropriadas para todas as ferramentas. Existe um núcleo de conjunto de casos-base que são executados para cada ferramenta testada. As funcionalidades das ferramentas guiam a seleção de casos de testes adicionais. Se uma dada ferramenta implementa uma determinada funcionalidade, então os casos de testes associados a essa funcionalidade serão rodados.”
No geral, associações de testes devem revelar suas metodologias baseando-se em bancos de ensaio e procedimentos de instalação. Eles podem ou não indicar como selecionam os casos de teste. Os relatórios devem mencionar não apenas como a ferramenta se desenvolveu no geral, mas também relatar quaisquer erros ou anomalias, e o que significavam caso tenham ocorrido. O ideal é que os resultados sejam divididos em extração lógica, sistema de arquivo e extração física.
Em sua avaliação dos relatórios, é importante entender a natureza das anomalias e o contexto do relatório CFTT do NIST. Primeiramente, a maioria das ferramentas de forense móvel deve ser frequentemente atualizada para suportar novos dispositivos, sistemas operacionais, aplicativos etc., bem como para aumentar a performance, introduzir novas funcionalidades e ajustar bugs.
Em segundo lugar, o projeto CFTT não pode suportar todos os dispositivos, modelos, sistemas operacionais ou protocolos de rede que existem; ao contrário, o protocolo independente que o NIST desenvolveu existe para avaliar a performance da ferramenta como um todo. Assim, o uso dos relatórios do NIST serve como referência e não deve incidir tanto sobre se o dispositivo (s) que você está introduzindo como evidência no julgamento foi ou não testado pelo NIST.
Em vez disso, foque no significado mais amplo do relatório. Ferramentas de forense móvel não devem reportar a existência de um conteúdo em algum lugar em que ele realmente não esteja (se é parte de uma estrutura de sistema de arquivo ou espaço não alocado). Ferramentas de forense móvel também não devem reportar um tipo de dado como sendo outro, mensagens de texto como email, por exemplo.
Muitas vezes, a atribuição equivocada – relatar uma mensagem de texto como enviada quando na verdade foi recebida, ou não reportar parte dos metadados de uma mensagem ou imagem, mesmo quando o conteúdo e sua localização estão corretos— pode ter mais a ver com o dispositivo do que com a ferramenta forense. Uma extração lógica, por exemplo, baseia-se na API de fabricação do dispositivo para requerer dados do dispositivo. Se a API não suportar a transferência deste pedaço de dado em particular, o UFED não pode reportá-lo. Além disso, os sistemas operacionais de smartphones devem fazer atribuições ou interpretações (por exemplo, uma localização de uma torre de celular) que o UFED simplesmente irá relatar, e não interpretar.
Nesses casos, o foco deve estar no fato de que o conteúdo foi encontrado no dispositivo durante uma extração forense, e não poderia ter sido colocado lá durante uma extração anterior ou outra manipulação. Testemunhas especialistas devem ser capazes de ajudar a explicar como os dispositivos móveis armazenam dados, como as suas ferramentas forenses extraem e reportam esses dados, o que pode resultar em erros no processo e, mais uma vez, como se valida esses processos.
Quando for possível para o modelo, a extração física pode identificar a localização dos dados dentro da memória do dispositivo, quando há relatos não procedentes oriundos de uma extração lógica. Neste ponto, você deve usar o seu conhecimento pessoal para identificar todos os dados, metadados e atributos.
Finalmente, qualquer relatório de revisão independente deve estar disponível no domínio público, com possibilidade de download gratuito.
Como qualquer ferramenta técnica ou específica de forense digital, você não deve confiar em uma única solução para interpretar dados. A ferramenta deve possibilitar que um treinado e experiente examinador valide o que está no dispositivo e onde está localizado, especialmente depois de realizar uma extração física.
As atualizações devem ser frequentes e devem estar rapidamente disponíveis, divulgadas via alertas de email, de maneira que você seja encorajado a atualizar (e validar) o firmware e/ou software regularmente.
Não é possível em uma atualização de firmware ou software perder artefatos que uma versão anterior da solução já extraiu ou realizou o parse. Nesses casos, a ferramenta do fabricante deve tornar disponível um sistema de suporte robusto através do qual você pode alertar o fabricante de qualquer problema potencial.
Finalmente, o mecanismo de relatório da ferramenta deve tornar possível a você logar e documentar seus procedimentos por seu padrão organizacional de operação e melhores práticas de forense digital, resultando assim em um processo reprodutível e que possa ser repetido. O relatório deve também ser fácil de explicar e, se necessário, fácil de demonstrar ao vivo ou via vídeo nos Tribunais.
Isso pode ser valioso ao se explicar a evidência extraída dos dispositivos móveis ou a evidência autenticada por outras ferramentas, incluindo outras ferramentas de forense móvel, suporte a detalhes dos registros de chamadas, entrevistas com testemunhas, detalhes conhecidos do caso, decodificação manual do código hex etc.
O fabricante oferece treinamento adequado que prepara o examinador a testemunhar?
Enquanto muitos fabricantes oferecem treinamento para o uso do seu produto forense, preparar os examinadores a testemunhar em tribunais é outra questão. Orientações para avaliar o treinamento podem começar com os três princípios do Guia de Boas Práticas para a Evidência Digital da Associação dos Chefes de Polícia (Association of Chief Police Officers - ACPO).
Princípio 1: nenhuma ação tomada pelas agências de forças da lei ou por seus agentes deve mudar os dados armazenados em um computador ou mídia de storage que devem, consequentemente, serem confiáveis diante de um Tribunal. Treinamento apropriado é desenvolvido para cada nível de investigador, desde os primeiros respondentes até examinadores e times de comando.
Princípio 2: Em circunstâncias onde uma pessoa acha necessário acessar dados originais armazenados em um computador ou mídia de armazenamento, essa pessoa deve ser competente para fazer isso e deve ser capaz de dar explicações sobre a relevância e as implicações de seus atos. Indiscutivelmente este é um problema comum em medicina forense móvel. Cada ato de criar uma imagem forense possui o potencial de alterar o dado original, ou no mínimo o dado original ficará diferente de uma imagem para outra. O treinamento apropriado permite ao examinador explicar como e porque isso pode acontecer.
Princípio 3: Uma trilha de auditoria ou outro tipo de registro de todo o processo aplicados à evidência eletrônica baseada em computador devem ser criados e preservados. Uma terceira parte independente deve ser capaz de examinar esses processos e arquivar o mesmo resultado. Um bom treinamento prepara os investigadores, mais uma vez em todos os níveis, para documentar suas ações e as razões que os levaram a tomá-las. Idealmente, o treinamento de um fabricante de ferramenta de forense digital inclui certificação que possa ser referenciada no currículo do examinador. Certificações devem refletir que o examinador passou por um conhecimento extensivo e testes práticos para se qualificar.
Nenhum padrão independente, nacional ou internacional, existe para o desenvolvimento de ferramentas de extração e análise forense em dispositivos móveis. No entanto, um processo de extração forense deve em geral ser aceito como um processo científico válido destinado a validar a transferência de dados somente leitura do dispositivo fonte ao drive-alvo, e seu software “visualização hexadecimal” para análise física. A visualização hexadecimal permite checar dados subjacentes do dispositivo para verificar informações em parse de um dump de dados brutos ou extração.
Os softwares e hardwares de forense móvel devem ser usados por uma ampla variedade de investigadores tanto nos setores públicos quanto no setor privado em todo o mundo. Esses investigadores devem ser representados por forças da lei em níveis local, municipal, estadual e federal; times jurídicos e de segurança em corporações; investigadores privados e consultores; e pessoal das forças militares que atuam em campo. Segurança de Valores Mobiliários, alfândegas e proteção das fronteiras, imigração e várias forças-tarefa podem usar a ferramenta para investigar casos de tráfico de seres humanos, fraude, homicídio, exploração sexual entre outros.
Garanta que a sua evidência se sustente no tribunal
Optar por uma ferramenta de forense móvel demanda uma avaliação de longo prazo, além de considerações de curto prazo como custo, facilidade de uso, treinamento disponível, suporte a dispositivos e assim por diante. A visão de longo prazo antecipa que, em último caso, a evidência irá para o Tribunal e os examinadores necessitarão estar aptos a testemunhar sobre como chegaram ali. Com mais tribunais lançando controles mais rigorosos sobre a busca, apreensão, e validade de provas em dispositivo móvel, estar preparado para encontrar a ferramenta que melhor pode reforçar o seu testemunho é crucial.
Você pode ter que responder a uma grande variedade de questões sobre as provas extraídas e analisadas a partir de dispositivos móveis e sobre a ferramenta utilizada na extração e análise. Não pretendemos ser exaustivos, mas esta lista é uma amostra que pode agregar questões propostas pelos advogados Algumas questões podem ser considerados "pegadinhas" e você deve estar preparado para lidar com isso.
• O que é esta ferramenta?
• Esta ferramenta é comumente utilizada por forças da lei para extrair dados de telefones celulares?
• Você está treinado e possui experiência no uso do dispositivo?
• Você está certificado para utilizar este dispositivo no nível de extração que foi usado? Quando você obteve sua certificação?
• Existem artigos, white papers, ou publicações sobre essa ferramenta?
• Será que o dispositivo foi aceito como uma ferramenta forense em outros tribunais em todo o país?
• Existe alguma ferramenta que pode extrair todos os dados de um telefone?
• É normal que examinadores forenses utilizem ferramentas diferentes dependendo da marca ou modelo do telefone em questão?
• Você usou essa ferramenta para extrair dados neste caso?
• Você já validou que a ferramenta não é capaz de gravar dados no dispositivo de evidência?
• Que tipo de telefone que você examinou neste caso?
• Que tipo de informação a ferramenta indicou ser capaz de extrair do telefone do réu?
• Você foi capaz de extrair essas informações utilizando esta ferramenta?
• Que tipo de extração que você executar usando essa ferramenta?
• Você já validou se essa ferramenta extrai os dados que diz extrair neste dispositivo?
• Será que você também já verificou se a ferramenta analisa as informações corretamente (mesmo número de mensagens de texto, informações de contato, histórico de chamadas)?
• Durante esta validação, a ferramenta alterou ou eliminou qualquer um dos dados do telefone celular?
• Se o aparelho é GSM, você examina o cartão SIM e o handset separadamente?
• Se a ferramenta não extraiu todos os dados do telefone ou do cartão SIM, qual outro método você usou para extrair essa informação? • Você bloqueou o dispositivo com as evidências? Como?
• Esta ferramenta aplica o hash à evidência? • Você capturou a memória RAM?
• Isso são conversas de bate-papo, mensagens instantâneas, iMessage ou SMS? São apresentadas em ordem cronológica? • Pode explicar melhor o que é memória flash e coleta de lixo?
• Como poderia um exame realizado hoje ser diferente dos resultados do seu relatório de X meses atrás? Por quê?
Segundo o artigo, para se ter certeza de que uma ferramenta é de fato forense, de que mesmo com o seu uso a evidência permanece inalterada e de que os dados do relatório resultante da investigação são verdadeiros e correspondem a uma exata representação do que existe no dispositivo de evidência, é preciso responder as quatro perguntas a seguir:
- Trata-se do resultado de uma teoria testada ou da análise de uma ferramenta?
- É uma tecnologia revisada de forma independente?
- A tecnologia dará suporte tanto ao fato quanto ao testemunho do perito no julgamento?
- É uma solução usualmente aceita pela comunidade forense?
“Da mesma forma como acontece com as evidências físicas, a admissibilidade de uma evidência digital depende de boas práticas de manipulação por toda a cadeia de custódia. Cada elo da cadeia é responsável pela preservação apropriada, pela coleta e pelas práticas de documentação que demonstram que a evidência está mais próxima possível do seu estado original”, diz o documento.
Apesar de não existir nenhum padrão internacional para governar as práticas da forense digital, as cortes e os praticantes da forense têm confiado em uma mistura de precedentes legais e de orientações de terceiros para governar as suas práticas. Este paper baseia-se em dois testes legais dos Estados Unidos: Daubert v. Merrell Dow Pharmaceuticals (92-102), 509 U.S. 579 (1993) e Frye v. United States. 293 F. 1013 (D.C. Cir 1923). Tratam-se de testes que endereçam questões que podem afetar a admissibilidade de uma evidência extraída de um dispositivo de móvel.
1. Trata-se do resultado de uma teoria testada ou da análise de uma ferramenta?
Com a exceção de algum software open source, a maioria das ferramentas forenses é comercial, o que significa que o seu código-fonte é proprietário. Por uma questão de vantagem competitiva, esse código não é aberto para avaliação. Portanto é extremamente difícil falsificar os resultados dessas ferramentas. Abaixo, a Cellebrite lista uma série de técnicas capazes de a evidência extraída de um dispositivo móvel:
- Visualização manual dos resultados – por exemplo, comparar o conteúdo de mensagens de texto, ou informações sobre data e hora de um email com o relatório gerado pela ferramenta. (Isso não será possível com dados deletados)
- Testar a ferramenta em dois dispositivos do mesmo fabricante e de mesmo modelo. Devido a riscos de replicação de erros, é sábio criar conteúdo em um (ou mais) dispositivo(s) teste em que se possa comparar com extrações de evidências – e usar métodos de validação adicionais. É importante que os investigadores não usem os seus dispositivos pessoais. Isso arriscaria a serem solicitados a introduzir os seus dados pessoais em um julgamento.
- Comparar os resultados do dispositivo de evidência com os resultados de uma ou mais ferramentas de forense móvel adicionais.
- Comparar logs de mensagens de texto e de voz com detalhes de registros de chamadas.
- Para sistemas de arquivo e extrações físicas, ir até o código hexadecimal e utilizar métodos de decodificação manual para verificar os resultados.
- Além de validar o funcionamento apropriado de sua(s) ferramenta(s), você deve autenticar a evidência, tanto de forma independente quanto em colaboração com investigadores do caso, referente a regras relevantes da evidência. Valores de hash, depoimentos de testemunhas e processos são explorados em detalhes no informativo de 2011 da Guidance, o EnCase Legal Journal.
2. A tecnologia foi revisada de forma independente?
O instituto americano de padrões e tecnologia (U.S. National Institute of Standards and Technology - NIST) avalia regularmente hardware e software de computação forense como parte de seu projeto Computer Forensic Tool Testing (CFTT). Outros órgãos governamentais, tais como o Instituto Nacional de Justiça (National Institute of Justice - NIJ), centro de excelência em tecnologias de crime eletrônico (Electronic Crime Technology Center of Excellence - ECTCoE), instituições acadêmica e pesquisadores privados podem também conduzir testes independentes.
O projeto CFTT do NIST pesquisa um amplo espectro de tecnologias forenses e segue um conjunto de padrões desenvolvidos pelo próprio NIST. De acordo com os relatórios de 2010 e 2012, o NIST informa:
“Casos de testes usados para verificar a aquisição em dispositivos móveis pelas ferramentas forenses estão definidos no Smart Phone Tool Test Assertions and Test Plan Version 1.0. Para testar uma ferramenta, os casos de testes são selecionados no documento Test Plan, baseado em funcionalidades oferecidas pela ferramenta. Nem todo caso de teste ou afirmações de testes são apropriadas para todas as ferramentas. Existe um núcleo de conjunto de casos-base que são executados para cada ferramenta testada. As funcionalidades das ferramentas guiam a seleção de casos de testes adicionais. Se uma dada ferramenta implementa uma determinada funcionalidade, então os casos de testes associados a essa funcionalidade serão rodados.”
No geral, associações de testes devem revelar suas metodologias baseando-se em bancos de ensaio e procedimentos de instalação. Eles podem ou não indicar como selecionam os casos de teste. Os relatórios devem mencionar não apenas como a ferramenta se desenvolveu no geral, mas também relatar quaisquer erros ou anomalias, e o que significavam caso tenham ocorrido. O ideal é que os resultados sejam divididos em extração lógica, sistema de arquivo e extração física.
Em sua avaliação dos relatórios, é importante entender a natureza das anomalias e o contexto do relatório CFTT do NIST. Primeiramente, a maioria das ferramentas de forense móvel deve ser frequentemente atualizada para suportar novos dispositivos, sistemas operacionais, aplicativos etc., bem como para aumentar a performance, introduzir novas funcionalidades e ajustar bugs.
Em segundo lugar, o projeto CFTT não pode suportar todos os dispositivos, modelos, sistemas operacionais ou protocolos de rede que existem; ao contrário, o protocolo independente que o NIST desenvolveu existe para avaliar a performance da ferramenta como um todo. Assim, o uso dos relatórios do NIST serve como referência e não deve incidir tanto sobre se o dispositivo (s) que você está introduzindo como evidência no julgamento foi ou não testado pelo NIST.
Em vez disso, foque no significado mais amplo do relatório. Ferramentas de forense móvel não devem reportar a existência de um conteúdo em algum lugar em que ele realmente não esteja (se é parte de uma estrutura de sistema de arquivo ou espaço não alocado). Ferramentas de forense móvel também não devem reportar um tipo de dado como sendo outro, mensagens de texto como email, por exemplo.
Muitas vezes, a atribuição equivocada – relatar uma mensagem de texto como enviada quando na verdade foi recebida, ou não reportar parte dos metadados de uma mensagem ou imagem, mesmo quando o conteúdo e sua localização estão corretos— pode ter mais a ver com o dispositivo do que com a ferramenta forense. Uma extração lógica, por exemplo, baseia-se na API de fabricação do dispositivo para requerer dados do dispositivo. Se a API não suportar a transferência deste pedaço de dado em particular, o UFED não pode reportá-lo. Além disso, os sistemas operacionais de smartphones devem fazer atribuições ou interpretações (por exemplo, uma localização de uma torre de celular) que o UFED simplesmente irá relatar, e não interpretar.
Nesses casos, o foco deve estar no fato de que o conteúdo foi encontrado no dispositivo durante uma extração forense, e não poderia ter sido colocado lá durante uma extração anterior ou outra manipulação. Testemunhas especialistas devem ser capazes de ajudar a explicar como os dispositivos móveis armazenam dados, como as suas ferramentas forenses extraem e reportam esses dados, o que pode resultar em erros no processo e, mais uma vez, como se valida esses processos.
Quando for possível para o modelo, a extração física pode identificar a localização dos dados dentro da memória do dispositivo, quando há relatos não procedentes oriundos de uma extração lógica. Neste ponto, você deve usar o seu conhecimento pessoal para identificar todos os dados, metadados e atributos.
Finalmente, qualquer relatório de revisão independente deve estar disponível no domínio público, com possibilidade de download gratuito.
3. A tecnologia dará suporte tanto ao fato em si quanto ao testemunho do perito no julgamento?
Como qualquer ferramenta técnica ou específica de forense digital, você não deve confiar em uma única solução para interpretar dados. A ferramenta deve possibilitar que um treinado e experiente examinador valide o que está no dispositivo e onde está localizado, especialmente depois de realizar uma extração física.
As atualizações devem ser frequentes e devem estar rapidamente disponíveis, divulgadas via alertas de email, de maneira que você seja encorajado a atualizar (e validar) o firmware e/ou software regularmente.
Não é possível em uma atualização de firmware ou software perder artefatos que uma versão anterior da solução já extraiu ou realizou o parse. Nesses casos, a ferramenta do fabricante deve tornar disponível um sistema de suporte robusto através do qual você pode alertar o fabricante de qualquer problema potencial.
Finalmente, o mecanismo de relatório da ferramenta deve tornar possível a você logar e documentar seus procedimentos por seu padrão organizacional de operação e melhores práticas de forense digital, resultando assim em um processo reprodutível e que possa ser repetido. O relatório deve também ser fácil de explicar e, se necessário, fácil de demonstrar ao vivo ou via vídeo nos Tribunais.
Isso pode ser valioso ao se explicar a evidência extraída dos dispositivos móveis ou a evidência autenticada por outras ferramentas, incluindo outras ferramentas de forense móvel, suporte a detalhes dos registros de chamadas, entrevistas com testemunhas, detalhes conhecidos do caso, decodificação manual do código hex etc.
O fabricante oferece treinamento adequado que prepara o examinador a testemunhar?
Enquanto muitos fabricantes oferecem treinamento para o uso do seu produto forense, preparar os examinadores a testemunhar em tribunais é outra questão. Orientações para avaliar o treinamento podem começar com os três princípios do Guia de Boas Práticas para a Evidência Digital da Associação dos Chefes de Polícia (Association of Chief Police Officers - ACPO).
Princípio 1: nenhuma ação tomada pelas agências de forças da lei ou por seus agentes deve mudar os dados armazenados em um computador ou mídia de storage que devem, consequentemente, serem confiáveis diante de um Tribunal. Treinamento apropriado é desenvolvido para cada nível de investigador, desde os primeiros respondentes até examinadores e times de comando.
Princípio 2: Em circunstâncias onde uma pessoa acha necessário acessar dados originais armazenados em um computador ou mídia de armazenamento, essa pessoa deve ser competente para fazer isso e deve ser capaz de dar explicações sobre a relevância e as implicações de seus atos. Indiscutivelmente este é um problema comum em medicina forense móvel. Cada ato de criar uma imagem forense possui o potencial de alterar o dado original, ou no mínimo o dado original ficará diferente de uma imagem para outra. O treinamento apropriado permite ao examinador explicar como e porque isso pode acontecer.
Princípio 3: Uma trilha de auditoria ou outro tipo de registro de todo o processo aplicados à evidência eletrônica baseada em computador devem ser criados e preservados. Uma terceira parte independente deve ser capaz de examinar esses processos e arquivar o mesmo resultado. Um bom treinamento prepara os investigadores, mais uma vez em todos os níveis, para documentar suas ações e as razões que os levaram a tomá-las. Idealmente, o treinamento de um fabricante de ferramenta de forense digital inclui certificação que possa ser referenciada no currículo do examinador. Certificações devem refletir que o examinador passou por um conhecimento extensivo e testes práticos para se qualificar.
4. Esta ferramenta é geralmente aceita dentro da comunidade forense?
Nenhum padrão independente, nacional ou internacional, existe para o desenvolvimento de ferramentas de extração e análise forense em dispositivos móveis. No entanto, um processo de extração forense deve em geral ser aceito como um processo científico válido destinado a validar a transferência de dados somente leitura do dispositivo fonte ao drive-alvo, e seu software “visualização hexadecimal” para análise física. A visualização hexadecimal permite checar dados subjacentes do dispositivo para verificar informações em parse de um dump de dados brutos ou extração.
Os softwares e hardwares de forense móvel devem ser usados por uma ampla variedade de investigadores tanto nos setores públicos quanto no setor privado em todo o mundo. Esses investigadores devem ser representados por forças da lei em níveis local, municipal, estadual e federal; times jurídicos e de segurança em corporações; investigadores privados e consultores; e pessoal das forças militares que atuam em campo. Segurança de Valores Mobiliários, alfândegas e proteção das fronteiras, imigração e várias forças-tarefa podem usar a ferramenta para investigar casos de tráfico de seres humanos, fraude, homicídio, exploração sexual entre outros.
Garanta que a sua evidência se sustente no tribunal
Optar por uma ferramenta de forense móvel demanda uma avaliação de longo prazo, além de considerações de curto prazo como custo, facilidade de uso, treinamento disponível, suporte a dispositivos e assim por diante. A visão de longo prazo antecipa que, em último caso, a evidência irá para o Tribunal e os examinadores necessitarão estar aptos a testemunhar sobre como chegaram ali. Com mais tribunais lançando controles mais rigorosos sobre a busca, apreensão, e validade de provas em dispositivo móvel, estar preparado para encontrar a ferramenta que melhor pode reforçar o seu testemunho é crucial.
Questões fundamentais
Você pode ter que responder a uma grande variedade de questões sobre as provas extraídas e analisadas a partir de dispositivos móveis e sobre a ferramenta utilizada na extração e análise. Não pretendemos ser exaustivos, mas esta lista é uma amostra que pode agregar questões propostas pelos advogados Algumas questões podem ser considerados "pegadinhas" e você deve estar preparado para lidar com isso.
• O que é esta ferramenta?
• Esta ferramenta é comumente utilizada por forças da lei para extrair dados de telefones celulares?
• Você está treinado e possui experiência no uso do dispositivo?
• Você está certificado para utilizar este dispositivo no nível de extração que foi usado? Quando você obteve sua certificação?
• Existem artigos, white papers, ou publicações sobre essa ferramenta?
• Será que o dispositivo foi aceito como uma ferramenta forense em outros tribunais em todo o país?
• Existe alguma ferramenta que pode extrair todos os dados de um telefone?
• É normal que examinadores forenses utilizem ferramentas diferentes dependendo da marca ou modelo do telefone em questão?
• Você usou essa ferramenta para extrair dados neste caso?
• Você já validou que a ferramenta não é capaz de gravar dados no dispositivo de evidência?
• Que tipo de telefone que você examinou neste caso?
• Que tipo de informação a ferramenta indicou ser capaz de extrair do telefone do réu?
• Você foi capaz de extrair essas informações utilizando esta ferramenta?
• Que tipo de extração que você executar usando essa ferramenta?
• Você já validou se essa ferramenta extrai os dados que diz extrair neste dispositivo?
• Será que você também já verificou se a ferramenta analisa as informações corretamente (mesmo número de mensagens de texto, informações de contato, histórico de chamadas)?
• Durante esta validação, a ferramenta alterou ou eliminou qualquer um dos dados do telefone celular?
• Se o aparelho é GSM, você examina o cartão SIM e o handset separadamente?
• Se a ferramenta não extraiu todos os dados do telefone ou do cartão SIM, qual outro método você usou para extrair essa informação? • Você bloqueou o dispositivo com as evidências? Como?
• Esta ferramenta aplica o hash à evidência? • Você capturou a memória RAM?
• Isso são conversas de bate-papo, mensagens instantâneas, iMessage ou SMS? São apresentadas em ordem cronológica? • Pode explicar melhor o que é memória flash e coleta de lixo?
• Como poderia um exame realizado hoje ser diferente dos resultados do seu relatório de X meses atrás? Por quê?
Cellebrite
celular
cibercrimes
crime digital
dispositivo móvel
evidência
forças da lei
forense
investigação
investigação digital
NIST
techbiz
TechBiz Forense Digital
Tribunal
UFED
- Gerar link
- Outros aplicativos
Comentários
Postar um comentário