Análise em computação embarcada

Prévia do material em texto

<p>FORENSE</p><p>COMPUTACIONAL</p><p>OBJETIVOS DE APRENDIZAGEM</p><p>> Identificar os itens que podem ser periciados e suas peculiaridades.</p><p>> Descrever a metodologia e as ferramentas para realizar os exames na in-</p><p>ternet.</p><p>> Explicar a análise de vestígios.</p><p>Introdução</p><p>Atualmente, a tecnologia faz parte de nossas vidas nas mais diversas áreas,</p><p>desde o relógio que usamos no pulso até áreas globais como a educação, a saúde,</p><p>as organizações. Com o surgimento da Internet das Coisas (Internet of Things —</p><p>IoT) e proliferação de dispositivos portáteis, os sistemas embarcados se tornam</p><p>cada vez mais presentes em nosso cotidiano. Apesar das vantagens, facilidades</p><p>e benefícios dessa tecnologia, os crimes digitais se tornam cada vez mais so-</p><p>fisticados, obrigando que a computação forense também esteja em constante</p><p>aperfeiçoamento. Nesse âmbito, os dispositivos que possuem computação em-</p><p>barcada são fontes repletas de informações que podem auxiliar na resolução de</p><p>crimes, não apenas os digitais, mas em diferentes áreas das ciências forenses.</p><p>Neste capítulo, você entenderá o que é computação embarcada e conhecerá</p><p>os principais itens envolvendo essa tecnologia que podem ser periciados, bem</p><p>como as metodologias e ferramentas que podem ser aplicadas para examinar</p><p>as evidências. Por fim, verá como funciona a análise dos vestígios encontrados.</p><p>Análise em</p><p>computação</p><p>embarcada</p><p>Juliane Adélia Soares</p><p>Definições de computação embarcada</p><p>Sistemas embarcados são sistemas de hardware baseados em microproces-</p><p>sador com software projetado para que funções dedicadas sejam executa-</p><p>das. Podem funcionar como independentes ou como parte de um sistema</p><p>maior. Tais sistemas podem envolver desde um único microcontrolador a um</p><p>conjunto de processadores com periféricos conectados à rede. Além disso,</p><p>podem oferecer interface gráfica de usuários ou não. Sua complexidade está</p><p>diretamente relacionada à tarefa para qual ele é projetado (OMNISCI, 2021).</p><p>Os sistemas de computação embarcada fazem parte de nossas vidas na</p><p>forma de dispositivos de consumo, como consoles de jogos e smartphones,</p><p>além de dispositivos eletrônicos com controle menos visíveis, em diferentes</p><p>aspectos da operação de um carro, por exemplo.</p><p>A Figura 1 ilustra a diversidade de ambientes e domínios onde operam</p><p>sistemas embarcados. Nas residências, sistemas embarcados são utilizados</p><p>para controle e monitoramento de eletrodomésticos como micro-ondas, ge-</p><p>ladeiras, máquinas de lavar e sistemas de segurança sofisticados e sensíveis,</p><p>que monitoram câmeras, podendo se comunicar com sistemas remotos via</p><p>internet. Sistemas embarcados também controlam veículos, desde o controle</p><p>da injeção de combustível ao monitoramento de emissões, gerenciando infinitas</p><p>informações mediante recursos visuais para a exibição da operação dos veículos.</p><p>Figura 1. Computação incorporada no dia a dia.</p><p>Fonte: Adaptada de Cardoso, Coutinho e Diniz (2017).</p><p>Sistemas</p><p>embarcados</p><p>Internet</p><p>das Coisas (IoT)</p><p>Automação</p><p>residencial</p><p>Smartphone</p><p>Energia</p><p>Mobilidade</p><p>Saúde</p><p>Cidade inteligente</p><p>Análise em computação embarcada2</p><p>Segundo Cardoso, Coutinho e Diniz (2017), os sistemas embarcados também</p><p>monitoram sistemas de transporte público, que se conectam a estações</p><p>centrais, de modo que seja realizada a programação on-line de ônibus e</p><p>trens, fornecendo em tempo real as atualizações do horário de chegada em</p><p>todas as paradas de todas as linhas de transporte. Em escritórios, é possível</p><p>encontrar a computação embarcada em pequenos dispositivos eletrônicos</p><p>como impressoras, câmeras, sistemas de segurança e até na iluminação.</p><p>Ainda sobre a Figura 1, os smartphones estão em constante evolução,</p><p>ganhando muito em integração tecnológica. Esses sistemas embarcados de</p><p>ponta incluem processadores multicore, WiFi, Bluetooth e telas sensíveis ao</p><p>toque, oferecendo desempenho compatível com sistemas de multiprocessa-</p><p>mento disponíveis para a resolução de problemas de computação científica</p><p>e de engenharia. Em relação à energia, os sistemas embarcados ajudam a</p><p>reduzir a emissão de CO2, além de aumentar a eficiência energética. Esses</p><p>sistemas também trazem benefícios para a mobilidade urbana, reduzindo o</p><p>tráfego e os congestionamentos, assim como para a saúde, reduzindo custos</p><p>e melhorando a eficácia (CARDOSO; COUTINHO; DINIZ, 2017).</p><p>De acordo com Antônio Velho (2016), um dispositivo é considerado embar-</p><p>cado quando é dedicado à uma tarefa única, interagindo de modo contínuo</p><p>com o ambiente à sua volta por meio de sensores e atuadores. Os sensores são</p><p>responsáveis por medir e converter dados de detecção física em sinal elétrico,</p><p>enquanto os atuadores realizam a comparação entre a saída real e a saída</p><p>armazenada na memória, escolhendo a correta. As principais características</p><p>são a capacidade computacional e a independência de operação. Os sistemas</p><p>embarcados são compostos por uma unidade de processamento, que é a</p><p>fixação de um circuito integrado em uma placa de circuito impresso. A capa-</p><p>cidade de processamento de informações parte de um software processado</p><p>internamente na unidade, o que significa que o software está embarcado na</p><p>unidade de processamento. Todo e qualquer software embarcado é chamado</p><p>de firmware — um conjunto de instruções operacionais que são programadas</p><p>no hardware de modo direto.</p><p>Os sistemas construídos com o propósito de cumprir tarefas específicas,</p><p>de uma maneira geral, são chamados de sistemas dedicados, e são subdivi-</p><p>didos em sistemas integrados, embutidos e embarcados. Embora, na maioria</p><p>dos casos, as três nomenclaturas sejam usadas como sinônimas, essas subca-</p><p>tegorias apresentam diferenças entre si, sendo importante destacá-las, pois</p><p>possuem relevância no campo da perícia. Vejamos a seguir alguns detalhes</p><p>de cada uma delas (ANTÔNIO VELHO, 2016).</p><p>Análise em computação embarcada 3</p><p>Sistemas integrados</p><p>Esses sistemas são compostos por uma base-padrão de software e</p><p>hardware adaptados para executar uma tarefa específica. Um exemplo seria</p><p>um terminal de caixa de supermercado, que basicamente é um computador</p><p>comum executando um programa aplicativo, cuja operação é controlada por</p><p>um sistema operacional-padrão, que utiliza periféricos específicos para a</p><p>aplicação, conectados através de interfaces-padrão.</p><p>Os sistemas integrados pouco diferem dos sistemas computadorizados</p><p>comuns, apresentando semelhanças em termos de arquitetura, componentes,</p><p>conexões e princípios de informações. Dessa forma, para análise pericial desse</p><p>tipo de sistema, empregam-se as mesmas técnicas utilizadas em sistemas</p><p>computadorizados.</p><p>Sistemas embutidos</p><p>Ao contrário dos sistemas integrados, os sistemas embutidos são incorporados</p><p>fisicamente ao equipamento em que estão alojados, sendo projetados desde</p><p>sua concepção para a realização de tarefas específicas, como nas smart TVs,</p><p>por exemplo.</p><p>Os sistemas embutidos, como nas descrições já citadas de forma geral</p><p>sobre sistemas embarcados, são construídos utilizando um ou mais micro-</p><p>processadores compostos de circuitos eletrônicos de interface com função de</p><p>sensores e atuadores, apresentando a capacidade de controle das condições</p><p>de seu ambiente físico e podendo responder às suas alterações. Dessa forma,</p><p>o computador embutido é um dispositivo computacional incorporado como</p><p>parte integrante do sistema que será controlado, ficando responsável por</p><p>realizar operações lógicas que são estabelecidas a partir de um programa</p><p>fixo ou mutável. Suas ações e reações têm como base a lógica e as variáveis</p><p>do processo que está sendo controlado.</p><p>Esses sistemas são construídos com recursos reduzidos, restringindo-se</p><p>apenas ao que for realmente necessário para a realização de suas funções.</p><p>Sendo assim, geralmente possuem pouquíssima capacidade de memória</p><p>interna e limitada potência de processamento. Tais sistemas podem ser</p><p>incorporados em praticamente qualquer coisa, sendo computadores criados</p><p>pela combinação de hardware e software específicos para a aplicação.</p><p>Análise em computação embarcada4</p><p>Apesar da maioria das pessoas não</p><p>se dar conta da existência desses</p><p>sistemas e não o reconhecer como computadores, os sistemas embutidos</p><p>estão presentes numa infinidade de equipamentos muito utilizados, como</p><p>máquinas industriais, equipamentos médicos, câmeras, brinquedos, eletro-</p><p>domésticos, embarcações, aeronaves e veículos automotores de via terrestre.</p><p>Sistemas embarcados</p><p>Antônio Velho (2016) situa os sistemas embarcados como uma subcategoria</p><p>de sistemas embutidos, na condição de sistemas embutidos presentes nos</p><p>veículos. Os sistemas embarcados são sistemas que fazem parte da compo-</p><p>sição da funcionalidade do veículo. A internet fornece aos desenvolvedores</p><p>de sistemas embarcados uma interface web, através de conexões de redes,</p><p>dispensando a necessidade de custos com telas sofisticadas.</p><p>Geralmente, esses sistemas residem em máquinas projetadas para tra-</p><p>balhar continuamente por anos sem erros e capazes, se necessário, de se</p><p>recuperar de falhas automaticamente. Para isso, o software é desenvolvido</p><p>e testado com maiores cuidados comparados a computadores pessoais.</p><p>A autorrecuperação de erros é realizada por uma técnica chamada watchdog</p><p>timer, que reinicia o sistema ao identificar uma falha. Devido a isso, a perícia</p><p>desses ambientes torna-se muito mais complexa.</p><p>Na literatura desse ramo em língua inglesa, a expressão embedded systems</p><p>é utilizada para se referir a sistemas embarcados de maneira geral, e não</p><p>estritamente aos embarcados em veículos, e significa, em tradução literal,</p><p>sistemas embutidos. Para fins deste capítulo, sistemas embarcados serão</p><p>abordados em um contexto geral, considerando a infinidade de dispositivos</p><p>que podem incluir os sistemas embutidos. As metodologias e análises forenses</p><p>nesses dispositivos serão discutidas nas próximas sessões.</p><p>Exames na computação embarcada</p><p>Os dispositivos embarcados tornaram-se muito populares e fornecem alta</p><p>disponibilidade. Uma vantagem dessa tecnologia é que podem ser fontes</p><p>de informações relevantes para a elucidação de crimes. Porém, as técnicas</p><p>existentes de exames periciais nesses dispositivos e sistemas não levam em</p><p>consideração suas peculiaridades, e não se revelam exatamente apropriadas</p><p>para os dispositivos. Isso ocorre devido ao nível de diversidade, variabilidade</p><p>e constante evolução de sistemas embutidos, não sendo possível estabelecer</p><p>protocolos rígidos para a realização de exames periciais.</p><p>Análise em computação embarcada 5</p><p>Antônio Velho (2016) afirma que as técnicas de computação forense</p><p>aplicadas em exames de sistemas de computação tradicional estão bem</p><p>desenvolvidas, existindo muitos documentos e ferramentas que podem ser</p><p>utilizados para preservação, extração e análise dos dados, ao contrário do</p><p>que ocorre nas perícias que envolvem os sistemas embarcados.</p><p>O mesmo autor ainda apresenta as duas principais diferença entre exames</p><p>em computação tradicional e embarcada. A primeira delas é que no sistema</p><p>embutido, devido à correlação do estado do sistema com as condições no</p><p>ambiente que ele controla, em muitas situações é preciso que a análise seja</p><p>realizada com o sistema ativo e conectado ao ambiente de operação. Dessa</p><p>forma, a preservação do estado do sistema em determinado instante não</p><p>pode ser aplicada, em oposição às boas práticas de perícia de informática</p><p>tradicionais.</p><p>Uma exceção ocorre em casos de colisão de automóveis. Em con-</p><p>dições normais, os veículos registram as informações relacionadas</p><p>ao sistema embarcado numa memória volátil (Random Access Memory — RAM)</p><p>continuamente. Tais informações podem conter dados importantes, como ace-</p><p>leração instantânea e velocidade do veículo, de modo que ficam organizados</p><p>em ordem cronológica aqueles que correspondem aos últimos cinco segundos</p><p>de sua operação. Entretanto, no momento da colisão, essas informações são</p><p>transferidas para a memória permanente (Electrically Erasable Programma-</p><p>ble Read-Only Memory — EEPROM), ficando armazenadas para futura análise</p><p>(ANTÔNIO VELHO, 2016).</p><p>A segunda diferença é que em sistemas embutidos não existe uma padroni-</p><p>zação de vias de acesso às variáveis de estado do sistema, assim como ocorre</p><p>nos sistemas comuns. A estrutura física e funcional de sistemas embutidos</p><p>varia muito, de acordo com o tipo de equipamento, modelo, versão ou fabri-</p><p>cante. Por isso, é de extrema importância que esquemas e diagramas que</p><p>descrevem a estrutura física e o funcionamento do equipamento encontrem-se</p><p>disponíveis, pois manuais de produção e de usuário, bem como materiais de</p><p>propaganda, são fundamentais para que se entenda de maneira correta os</p><p>recursos e o funcionamento do sistema.</p><p>Análise em computação embarcada6</p><p>Apesar de não existir um protocolo rígido para a realização de perícias em</p><p>sistemas embutidos, devem ser observados os princípios básicos que regem</p><p>tais exames, estabelecendo-se uma forma de abordagem geral e flexível,</p><p>para atingir todos os dispositivos com computação embarcada possíveis.</p><p>Ao iniciar um exame técnico do sistema, é necessário definir a existência ou</p><p>não de recursos específicos que atinjam o tipo e o modelo do equipamento que</p><p>está sendo periciado. É fundamental que sejam determinados instrumentos</p><p>de laboratório, ferramentas, software e materiais básicos de apoio para a</p><p>execução dos exames. Tendo em vista algumas limitações encontradas nos</p><p>sistemas, é possível que as mesmas ferramentas sejam usadas em diagnóstico</p><p>e reparo de defeitos (ANTÔNIO VELHO, 2016).</p><p>Basicamente, para que um perito consiga realizar o exame em dispositivos</p><p>com sistemas embutidos, ele depende do fabricante do dispositivo, que é</p><p>a fonte primária e segura de informações que podem ser úteis à execução</p><p>da perícia. Em alguns casos, porém, não é possível chegar até o fabricante,</p><p>ou então os detalhes técnicos são tratados como segredo industrial. Diante</p><p>disso, torna-se necessária a execução de uma engenharia reversa no disposi-</p><p>tivo, gerando alto custos em recursos, além de ser uma operação complexa e</p><p>demorada, podendo ser inconveniente, por causa das incertezas introduzidas</p><p>a respeito da validade de seus resultado. Portanto, é preciso determinar quais</p><p>partes do sistema são relevantes para a investigação e quais componentes</p><p>podem obter informações úteis (ANTÔNIO VELHO, 2016).</p><p>Lim e Lee (2008) afirmam que, caso seja possível acessar as informações</p><p>dos dispositivos fornecidas pelo fabricante, pode-se fazer uma compara-</p><p>ção das informações originais com as contidas no sistema que está sendo</p><p>analisado. Assim, é viável detectar possíveis usos para fins maliciosos em</p><p>vestígios de modificações identificadas, cracking de hardware para cópias</p><p>ilegais de software, outro espaço de armazenamento para ocultar dados, etc.</p><p>Circuitos de memória semipermanente tipo flash, estão entre os prin-</p><p>cipais objetos de interesse nas perícias de sistemas embutidos, pois neles</p><p>encontram-se registradas informações relevantes para a investigação, como</p><p>listas de contatos e mensagens recebidas em um smartphone, registro de</p><p>geoprocessamento de equipamentos móveis e registros de acesso. Ao realizar</p><p>conexões diretas aos terminais elétricos dessas memórias, em alguns casos</p><p>é possível acessar seu conteúdo, mas existem duas condições fundamen-</p><p>tais para que isso ocorra: primeiro, as conexões com o restante do circuito</p><p>não devem gerar interferências com esse acessos; segundo, tais terminais</p><p>de memórias devem estar expostos para se tornarem acessíveis (ANTÔNIO</p><p>VELHO, 2016).</p><p>Análise em computação embarcada 7</p><p>A Figura 2 mostra os dois lados de uma memória flash. À esquerda, estão</p><p>visíveis os terminais do circuito integrado de memória, que ficam soldados à</p><p>placa de circuito, onde são suportadas as conexões de diversos componentes</p><p>do sistema. A partir do momento que os terminais são soldados à placa, eles</p><p>não ficam mais visíveis. À direita, é apresentado o lado oposto da memória</p><p>(ANTÔNIO VELHO, 2016).</p><p>Figura 2. Memória flash: circuito integrado.</p><p>Fonte: Antônio Velho (2016, p. 302).</p><p>Em alguns casos, de acordo com Antônio Velho (2016), dependendo de</p><p>como o</p><p>sistema foi construído, ele pode não permitir acesso aos dados.</p><p>Em outros, o dispositivo pode estar inoperante ou ter sido destruído de</p><p>modo parcial. Nessas duas situações, torna-se necessário que o componente</p><p>do equipamento seja removido, para ser examinado isoladamente. Ou seja,</p><p>o componente é removido da placa de circuito no dispositivo em que se</p><p>encontra, e o exame é executado fora do sistema original. No entanto, essa</p><p>tarefa é extremamente delicada, sendo grandes as chances de destruição</p><p>do componente durante sua remoção. Por isso, deve ser realizada apenas</p><p>quando não restar alternativa, sendo conduzida por profissionais qualificados</p><p>e em infraestruturas de laboratório sofisticadas, para que se evite a perda</p><p>dos dados de interesse.</p><p>Lim e Lee (2008) afirmam que nem sempre é possível, ou mesmo viável,</p><p>fazer a leitura dos dados que se encontram em um circuito integrado. Isso</p><p>ocorre porque alguns tipos de dispositivos com computação embarcada</p><p>proíbem a operação de leitura, de modo que seus segredos comerciais sejam</p><p>protegidos, bem como por proteção de privacidade.</p><p>Análise em computação embarcada8</p><p>Na próxima seção, serão discutidas as técnicas para aquisição de vestígios</p><p>em sistemas embarcados.</p><p>Vestígios na computação embarcada</p><p>Vestígios dizem respeito a objetos ou materiais encontrados no local do crime</p><p>e relevantes para a investigação. Num primeiro momento, esses objetos</p><p>devem ser considerados importantes, podendo ajudar a esclarecer os fatos</p><p>que estão sendo investigados. Após a coleta de vestígios, eles são submetidos</p><p>a processos de análise, triagem e apuração analítica. Com os resultados em</p><p>mãos, é possível identificar se realmente têm algum vínculo com o objetivo</p><p>da perícia ou com o crime cometido (ATHAYDE, 2019).</p><p>A coleta de vestígios cibernéticos deve ser realizada com extrema cautela,</p><p>pois são muito frágeis e, durante o processo, podem ser alterados, danificados</p><p>ou destruídos muito facilmente. Dessa forma, o fundamental antes de mais</p><p>nada é evitar que os vestígios sejam alterados por manipulação incorreta,</p><p>mesmo que de modo acidental. Em sistemas embarcados, a coleta de vestígios</p><p>é ainda mais crítica. Isso ocorre devido à sua capacidade de responder às</p><p>alterações dos ambientes monitorados ou controlados por eles, fazendo com</p><p>que seu estado interno seja extremamente suscetível aos eventos ocorridos</p><p>nesses ambientes (ANTÔNIO VELHO, 2016).</p><p>Antônio Velho (2016) cita como exemplo a computação embarcada</p><p>em automóveis: dados relevantes já registrados no sistema podem</p><p>ser alterados simplesmente por uma porta ser aberta ou ao acionar o motor</p><p>de partida, fazendo com que registros de histórico do uso anterior do veículo</p><p>sejam apagados.</p><p>Tomando por base o exemplo recém-citado, é importante destacar que</p><p>os efeitos citados dependem totalmente do modelo e ano do veículo, o que</p><p>significa que só será possível prever esses eventos por meio de um estudo</p><p>minucioso da documentação do fabricante. O grande problema que envolve</p><p>todos os tipos de sistemas embutidos é a falta de liberação desses dados</p><p>por parte dos fabricantes, como já citado anteriormente. Antônio Velho (2016)</p><p>afirma que não conseguir acesso a essa informações acarreta dificuldades</p><p>Análise em computação embarcada 9</p><p>para a perícia, além das questões operacionais, tornando muito difícil o</p><p>desenvolvimento e validação de procedimentos e ferramentas aplicadas</p><p>durante a fase de exame. Outra dificuldade encontrada é que o perito acaba se</p><p>tornando dependente da cooperação dos fabricantes, o que pode prejudicar</p><p>muito a evolução da perícia.</p><p>Sistemas embutidos são formados por arquiteturas específicas, meios</p><p>de acesso bastante restritos e recursos muito limitados. Além do mais, sua</p><p>operação funciona de acordo com seu ambiente, dificultando de maneira</p><p>considerável a reprodução de condições de funcionamento dos sistemas</p><p>em laboratórios de análise. Todas essas questões elevam a complexidade</p><p>da realização de perícias em sistemas embarcados.</p><p>A seguir, serão apresentados dois exemplos de dispositivos com sistemas</p><p>embarcados, descrevendo de maneira sucinta sua aquisição e análise de</p><p>vestígios: em veículos, segundo Antônio Velho (2016), e em smart TV, segundo</p><p>Boztas, Roeloffs e Riethoven (2015) e Lennert (2017).</p><p>Vestígios em veículos</p><p>Em sua maioria, os veículos produzidos mais recentemente, sobretudo aque-</p><p>les que possuem airbags, são capazes de armazenar dados sobre eventos</p><p>anteriores a um acidente, por meio de um dispositivo chamado gravador de</p><p>dados de eventos (event data recorders — EDR). Os dados que esses EDRs</p><p>armazenam são referentes aos cinco segundos que antecedem uma coli-</p><p>são. Esses registros são importantes porque podem ajudar a determinar as</p><p>circunstâncias do ocorrido, já que apresentam informações dos veículos,</p><p>de seus ocupantes, entre outras, como:</p><p>� o estado de operação dos diferentes sistemas do veículo;</p><p>� quais assentos estavam ocupados;</p><p>� se os equipamentos de segurança individual estavam em uso e se</p><p>estavam sendo utilizados de maneira correta;</p><p>� as posições dos comandos do veículo que podem ter sido acionados</p><p>pelo motorista ou pelos passageiros;</p><p>� posição, velocidade, direção e atitude espacial do veículo no momento</p><p>da colisão.</p><p>É importante salientar que essas informações podem se encaixar no sigilo</p><p>industrial por parte do fabricante, não tendo seu acesso autorizado.</p><p>Análise em computação embarcada10</p><p>Nesse contexto, a Crash Data Retrieval Tool (CDR) foi desenvolvida pela</p><p>empresa Bosch e é uma ferramenta composta por um software que opera</p><p>em sistema operacional Windows, um módulo de interface e um conjunto</p><p>de cabos que a conecta a um computador pessoal, que pode ser utilizado</p><p>tanto em campo, ou seja, no local do acidente, quanto em laboratório, caso</p><p>a EDR seja removida do veículo para análise. Quando o módulo EDR é de</p><p>fato removido do veículo, devem-se cumprir os requisitos de preservação</p><p>jurídica das provas, incluindo o registro da cadeia de custódia, descrevendo</p><p>o componente removido e a preservação física da prova. Isso é necessário</p><p>porque os dados armazenados no EDR podem ser destruídos por manuseio</p><p>de forma incorreta do equipamento.</p><p>Apesar de serem extremamente importantes para a resolução dos casos,</p><p>as informações contidas na EDR devem ser analisadas em conjunto com</p><p>outros elementos de prova, como marcas de derrapagem, danos no veículo</p><p>e objetos do ambiente, de modo a gerar certezas a respeito dos fatos, pois</p><p>não é possível fazer a interpretação correta se não forem consideradas as</p><p>demais circunstâncias do evento. Desse modo, ainda é preciso localizar,</p><p>coletar e examinar os vestígios no local do evento em questão.</p><p>Vestígios em smart TV</p><p>Uma smart TV representa a evolução de um televisor tradicional, ou seja,</p><p>é uma TV com recursos integrados à internet. Esses aparelhos são muito</p><p>populares no mercado atual, pois podem ser utilizados para obter acesso</p><p>rápido à internet, o que inclui vídeo sob demanda, redes sociais e mensa-</p><p>gens instantâneas. Além disso, a maioria das smart TVs tem a capacidade</p><p>de conexão com dispositivos externos, como discos de armazenamento,</p><p>pendrives e telefones celulares. Com isso, as smart TVs tornaram-se uma</p><p>fonte de informações para fins forenses.</p><p>Os três métodos examinados a seguir podem ser aplicados para adquirir</p><p>dados armazenados numa smart TV.</p><p>Cartão multimídia de cinco fios</p><p>O método embedded multimedia card (eMMC, ou cartão multimidia embutido)</p><p>envolve a tentativa de leitura do chip eMMc, ou seja, a memória flash da smart</p><p>TV investigada, com o intuito de criar uma cópia dos dados. Esse chip requer</p><p>cinco sinais para ser conectado: Vss, Vdd, Clock, Command e Data0. Caso</p><p>esses sinais sejam conectados na placa principal, significa que é possível ler</p><p>Análise em computação embarcada 11</p><p>o chip eMMC por meio de um leitor de cartões SD USB padrão que deve ser</p><p>conectado a um bloqueador de gravação.</p><p>Porém, esse método nem sempre é viável, pois o processador da smart</p><p>TV pode tentar acessar</p><p>os dados do chip ao mesmo tempo em que ocorre a</p><p>tentativa de aquisição de dados. Dessa forma, como não tem como impedir</p><p>o processador de realizar o acesso, tornando inacessível a leitura por parte</p><p>do perito.</p><p>Kit de ferramentas de memória NFI MTK II</p><p>Aqui temos uma solução forense universal, que torna possível aos investi-</p><p>gadores a leitura de chips de memória para extrair dados de usuários, como</p><p>mensagens de texto, números de telefone, fotos e histórico do navegador.</p><p>Esse método pode ser utilizado para recuperar dados de dispositivos dani-</p><p>ficados ou que estejam protegidos por senha e até, em alguns casos, dados</p><p>que foram apagados.</p><p>O Memory Toolkit (MTK) II é uma combinação de hardware e software, em</p><p>que o hardware é responsável por estabelecer uma conexão física, gerando</p><p>sinais e fornecendo energia para um chip de memória, enquanto o software fica</p><p>responsável pela execução dos conjuntos de comandos que são necessários</p><p>para o acesso aos dados. O que esse método faz é dessoldar a memória flash</p><p>da placa principal da smart TV para efetuar a cópia dos dados do chip. Porém,</p><p>essa prática é extremamente arriscada, pois pode levar à destruição do chip</p><p>de memória durante sua extração, caso não seja realizada por profissionais</p><p>habilitados e experientes, levando à perda de todas as informações. Dessa</p><p>forma, este é um método recomendado apenas em últimos casos.</p><p>Aplicativo</p><p>Neste método, os peritos recorrem a um aplicativo personalizado que deve</p><p>ser instalado na smart TV para efetuar a gravação dos dados em um dispo-</p><p>sitivo de armazenamento externo. Apesar de ser a alternativa mais simples</p><p>e segura, pois minimiza os riscos de danificar o dispositivo, se comparada</p><p>ao método anterior, o aplicativo pode deixar rastros ou adulterar de modo</p><p>involuntário os vestígios que poderiam ser aproveitados para a investigação.</p><p>Além disso, para instalar dispositivos personalizados e que serão usados</p><p>para a transferência de dados, é necessário fazer o root do sistema, ou seja,</p><p>Análise em computação embarcada12</p><p>adquirir permissões de administrador no sistema operacional da smart TV.</p><p>Isso é possível mediante alguns procedimentos, que variam de acordo com o</p><p>fornecedor e o modelo da TV. No entanto, esses métodos estão vulneráveis a</p><p>atualizações automáticas de firmware da TV, que podem tornar o aplicativo</p><p>inútil, gerando retrabalho para novas configurações.</p><p>Com a execução dos métodos citados, as smart TVs fornecem inúmeras</p><p>informações que podem ser muito úteis para a investigação forense, incluindo:</p><p>� informações de redes, como de endereços IP e de dispositivos empa-</p><p>relhados via Bluetooth;</p><p>� informações de aplicativos, incluindo quando foram instalados e cap-</p><p>turas de telas de aplicativos utilizados mais recentemente;</p><p>� histórico da internet, como histórico de pesquisa, URL, título, data, etc.;</p><p>� informações de mídia recuperadas, incluindo nome do arquivo de</p><p>música, artistas e gênero; nomes de arquivos de vídeos e imagens; infor-</p><p>mações sobre quais arquivos de mídia foram abertos pelo usuário, etc.;</p><p>� versão do dispositivo e número de série.</p><p>Cabe ressaltar que a metodologia de aquisição e análise de vestígios em</p><p>smart TVs também varia de acordo com o fabricante e o modelo. Boztas,</p><p>Roeloffs e Riethoven (2015) e Lennert (2017) utilizaram os métodos recém-</p><p>-mencionados numa smart TV da marca Samsung e obtiveram bons resultados</p><p>com o NFI Memory Toolkit II e com o uso de aplicativo. Em geral, apesar dos</p><p>riscos, o MTK II, por ser baseado em hardware e não estar sujeito a alterações</p><p>pelas atualizações de firmware, foi considerado o método mais viável.</p><p>Podemos afirmar que os sistemas embarcados estão completamente</p><p>inseridos no dia a dia da sociedade, mas em sua maioria as pessoas usufruem</p><p>das facilidades que eles proporcionam sem nem imaginar que estão fazendo</p><p>uso de um computador. Frente ao vasto leque de dispositivos embarcados</p><p>encontrados hoje em dia, é fora da realidade estabelecer protocolos rígidos</p><p>para realização de perícia forense desses sistemas, exigindo que os peritos</p><p>sustentem seus trabalhos em seus conhecimentos de princípios e métodos</p><p>científicos. Além disso, no trabalho com sistemas embutidos, é fundamental</p><p>que os peritos responsáveis sejam engenheiros eletrônicos e que possuam</p><p>conhecimentos especializados e grande capacidade técnica para que cada</p><p>caso seja tratado como único, levando em conta sempre a complexidade</p><p>dessas perícias.</p><p>Análise em computação embarcada 13</p><p>Referências</p><p>ANTÔNIO VELHO, J. Tratado de computação forense. Campinas: Millennium Editora, 2016.</p><p>ATHAYDE, V. A. P. de. Forense computacional e criptografia. São Paulo: Editora Senac, 2019.</p><p>BOZTAS, A.; ROELOFFS, M.; RIETHOVEN, A. R. J. Smart TV forensics: digital traces on</p><p>televisions. Digital Investigation, v. 12, supl. 1, p. S72–S80, 2015.</p><p>CARDOSO, J. M. P.; COUTINHO, J. G. F.; DINIZ, P. C. Embedded computing for high perfor-</p><p>mance. Cambridge: Elsevier, 2017.</p><p>LENNERT, E. C. Smart TV Forensics: digital traces on televisions. Orlando: Florida Forensic</p><p>Science, 2017. Disponível em: https://www.floridaforensicscience.com/review-smart-</p><p>-tv-forensics-digital-traces-televisions/. Acesso em: 19 jul. 2021.</p><p>LIM, K.-S.; LEE, S. A methodology for forensic analysis of embedded system. In: INTER-</p><p>NATIONAL CONFERENCE ON FUTURE GENERATION COMMUNICATION AND NETWORKING,</p><p>2., 2008. [S. l.]: IEEE, 2008.</p><p>OMNISCI. Embedded system. [S. l.]: Omnisci, 2021. Disponível em: https://www.omnisci.</p><p>com/technical-glossary/embedded-systems. Acesso em: 19 jul. 2021.</p><p>Os links para sites da web fornecidos neste capítulo foram todos</p><p>testados, e seu funcionamento foi comprovado no momento da</p><p>publicação do material. No entanto, a rede é extremamente dinâmica; suas</p><p>páginas estão constantemente mudando de local e conteúdo. Assim, os editores</p><p>declaram não ter qualquer responsabilidade sobre qualidade, precisão ou</p><p>integralidade das informações referidas em tais links.</p><p>Análise em computação embarcada14</p>