Quando você pensa que apagou, não apagou

O caso das mensagens de visualização única recuperadas no inquérito do Banco Master expôs, de forma brutal, algo que peritos sabem há anos: o celular lembra de muita coisa que o dono acha que sumiu, e as ferramentas forenses conseguem explorar bem esse “esquecimento imperfeito”.

Existem muitos softwares utilizados pelas forças policiais de todo o mundo para recuperação de mensagens quando o tema é combater atividades suspeitas de serem criminosas. No Brasil, nos últimos dias, uma marca apareceu em destaque. Mas como ela funciona?

Leia também:

• • A revolução das telas: o seu aparelho vai desenrolar como um papel?
  • Como a nova Inteligência Artificial Kimi K2.5 pode mudar o seu dia a dia?
  • Ferramentas inteligentes: como a tecnologia facilitou os reparos?

A Cellebrite é um conjunto de equipamentos e programas usados por forças de segurança, com ordem judicial, para vasculhar celulares, tablets e outros dispositivos. Ela não é “um app”, mas uma solução profissional de perícia digital. Claro que ela é usada em casos policiais e de segurança. 

O passo a passo de sua utilização é simples, mas depende da ação humana:

• Apreensão e preservação do aparelho
  O celular é apreendido e colocado de modo que impeça novas conexões, sem dados e sem Wi-Fi. A ideia é congelar o estado daquele dispositivo. O objetivo é estabelecer um ponto final de uso para que não seja levantada nenhuma suspeita de alteração no equipamento e impedir que pessoas, à distância, possam fazer alterações no equipamento.
• Conexão física ao equipamento de perícia
  O aparelho é ligado por cabo a um computador com a tecnologia para desbloqueio e leitura.
• Desbloqueio e ganho de acesso
  Dependendo do modelo, há uso da própria senha fornecida, falhas conhecidas do sistema, modos de recuperação ou exploração de vulnerabilidades do fabricante.
• Escolha do tipo de extração
  Em geral, o perito escolhe entre níveis de extração que podem ser combinados.

As opções mais comuns são:

• extração lógica, que pega o que o sistema “entrega” normalmente;
• extração de backup, que copia dados como se fosse um backup completo;
• extração física ou avançada, que copia bit a bit todo o conteúdo da memória.

Cópia integral da memória

Na extração física, o programa gera uma imagem da memória do aparelho, um arquivo gigantesco que representa tudo o que está gravado naquele chip, sem filtro humano. É como clonar um HD inteiro.

Leitura dos bancos de dados dos apps

Cada aplicativo guarda suas informações em arquivos próprios. São bancos de dados de mensagens, listas de contatos, pastas internas de mídia, cachês, caches, miniaturas e outros. O software forense sabe onde estes arquivos costumam ficar em Android e iOS e como cada aplicativo organiza as tabelas. Mas a maior indagação é sobre os arquivos apagados. Nesses casos o software faz a leitura dos arquivos apagados. É quase que perseguir um fantasma real. Sempre existe algo.

Apagar não é, de fato, apagar. É como se o que sumisse fosse o endereço daquela informação. Ela está lá, mas pode ser entendida como espaço livro. Outra informação pode ocupar aquele espaço. Enquanto isso não acontece ela pode ser localizada, lida e copiada.

A ferramenta, com a imagem completa, varre justamente esses espaços que o sistema diz estarem vazios, buscando fragmentos de textos, fotos, vídeos, áudios, documentos e rascunhos.

Uma enorme colcha de retalhos de dados surge e deve ser reconstruída. É um quebra cabeça que o software vai organizar a partir de datas e outras referências internas. Isso gera uma camada visual que reconstrói conversas, mostra fotos na linha do tempo, agrupa buscas feitas, ligações, trajetos e metadados.

E as mensagens de visualização única?

Mensagens de visualização única, como certas fotos e vídeos em aplicativos de chat, vendem a ideia de “ver e sumir”. Do ponto de vista técnico, porém, elas são criadas, salvas temporariamente, criptografadas, transmitidas, recebidas e exibidas. Depois da visualização, o aplicativo tenta apagar o arquivo e os metadados associados. 

O ponto fraco é que o banco de dados do app pode manter um registro de que houve aquela troca: quem enviou, para quem, quando, de qual aparelho, qual o tipo de arquivo. Como se vê, o rastro de dados é enorme. É decifrável. Além disso, fragmentos de arquivos podem permanecer em memórias, pastas temporárias, miniaturas e backups nos equipamentos e em nuvens.

Se um backup automático foi feito antes da exclusão completa, essa versão com o arquivo ainda presente fica registrada em outro lugar.

Onde o apagado continua existindo?

Mesmo fora de uma perícia, há vários lugares onde aquilo que você apagou ainda pode estar:

• lixeiras internas;
• álbum “apagados recentemente”;
• lixeira do e-mail;
• lixeira do sistema no computador;
• backups em nuvem;
• backups locais;
• caches;
• miniaturas.

E-mails têm uma característica importante: o original vive no servidor do provedor. Quando você exclui pelo app do celular, normalmente está só dando um comando ao servidor. Em caixas IMAP, a mensagem pode continuar no servidor por um bom tempo.

O que isso significa para o usuário comum?

Na prática, três ideias ajudam a calibrar a expectativa:

• deletar, em geral, não destruir;
• quanto mais sincronizado, mais cópias;
• ferramentas forenses veem mais longe do que o usuário comum.

Então fica aqui um conselho e uma lembrança. Não existe crime perfeito. Nem privacidade total. O que você escreveu ainda está por aí em algum lugar. O melhor é pensar bem antes de mandar uma mensagem que, depois, pode causar arrependimento pessoal ou coisa pior.

Este conteúdo foi criado com auxílio de inteligência artificial e supervisionado por um jornalista do ToqueTec