Cellebrite | Como funciona o app usado para recuperar provas no Caso Henry

Para dar sequência à investigação contra o vereador Dr. Jairinho (ex-Solidariedade) e a professora Monique Medeiros, a polícia do Rio de Janeiro utilizou uma refinada ferramenta de perícia digital israelense chamada Cellebrite Premium. As autoridades lançaram mão de um software para apurar mensagens e outros dados apagados para esclarecer os eventos que levaram à morte do menino Henry Borel, de quatro anos, morto em 8 de março.

• Exclusivo | Cellebrite fala sobre desbloqueio de iPhones, Grayshift e mais
• Cellebrite lança sistema de transferência de dados de celular antigo para novo
• Empresa que ajudou FBI a desbloquear iPhone é hackeada e tem ferramentas vazadas

O Cellebrite Premium é um programa para computador pensado para uso exclusivo por autoridades policiais. Ele foi a principal ferramenta para desbloquear os celulares em posse das autoridades e ir a fundo nas informações contidas nos aparelhos, chegando até a rastros de arquivos apagados.

Trata-se de um serviço da Cellebrite, empresa israelence especialista em dispositivos e programas para extração de dados, que foi desenvolvido para ajudar em investigações. Sua disponibilidade é limitada e ele está longe de ser uma ferramenta infalível.

Segundo a companhia, o software é capaz de desbloquear celulares com Android e iOS, com suporte em laboratório com “especialistas certificados em inteligência digital”. Devido ao seu potencial nocivo, a comercialização do serviço é feita exclusivamente para autoridades policiais.

Como o Cellebrite Premium funciona?

Assim como outros softwares proprietários, o funcionamento do Cellebrite é tratado como segredo comercial. Contudo, a ferramenta pode ser um compilado de técnicas e métodos para explorar brechas de segurança nos sistemas operacionais — e por isso devem ser atualizadas frequentemente.

Dependendo da aplicação, o serviço usa uma combinação entre soluções em software e hardware para desbloquear o telefone ou extrair informações do aparelho. Medidas como essa são semelhantes a ferramentas mais comuns utilizadas na manutenção de computadores e de discos rígidos — por exemplo, aproveitando rastros deixados por arquivos.

Ademais, o software precisa assegurar que as informações estão sendo coletadas sem violar a sua integridade, para que preservem a validade jurídica das provas. O método não pode apresentar possibilidade de manipulação de dados ou qualquer alteração que prejudique sua autenticidade como evidência.

Por que os métodos são sigilosos?

Desenvolvedoras de ferramentas de perícia digital não podem expor suas tecnologias tanto para preservar o seu produto quanto para evitar que cheguem às mãos erradas. Se a técnica de desbloqueio de celulares está nas mãos de criminosos, as informações de todos os celulares que estiverem sob sua posse estarão expostos.

Além disso, a divulgação abre portas para o desenvolvimento de ferramentas ainda mais eficientes por hackers e aperfeiçoamento com interesses escusos.

Por outro lado, também há a preservação do programa para a companhia. Se ela comunica as brechas descobertas aos fabricantes de celulares, as gigantes terão a obrigação de corrigi-las — o que torna seu produto obsoleto. Assim, o ciclo de atualizações será ainda menor e potencialmente menos eficientes.

Como o Cellebrite recupera dados apagados?

Discos rígidos, SSDs e memórias para celular carregam semelhanças na forma em que tratam dados. Informações são salvas com endereços na memória, com referências para acesso pelo sistema operacional. Quando são apagadas, o sistema marca a sua localização como livre, para que seja sobreposta por outros arquivos.

“Por que não apagar os dados e criar novos?”, você deve se perguntar. A resposta está na preservação do componente e consumo de energia. Quanto mais operações são feitas na memória, mais afetada será a sua vida útil. Por isso, poupar o componente de “escrever” duas vezes para apagar e gravar mais informações ajuda a manter o bom desempenho e torna o processo de exclusão praticamente instantâneo.

Quer uma demonstração? Experimente mover ou excluir uma foto ou arquivo pequeno do computador ou celular. Se o dispositivo estiver com boa performance, o processo será quase imperceptível. Isso acontece graças a estratégia de gerenciamento de memória, que poupa o armazenamento de processos desnecessários e só altera seu endereço no diretório ou marca sua “localização” como disponível para outros documentos.

Essa prática, logicamente, deixa rastros — e isso não é um segredo para técnicos de informática, engenheiros ou peritos. Existem inúmeros softwares (alguns gratuitos) para extrair informações apagadas do computador e do celular que exploram esse método de gerenciamento de memória.

Contudo, não ache que os arquivos serão armazenados para sempre. Quando seus endereços são marcados como “vagos”, novos dados podem tomar esse espaço e, naturalmente, a parte apagada vai sendo substituída. O efeito disso é a formação de “arquivos corrompidos” no processo de recuperação, estes perdidos definitivamente.

O que a perícia digital conseguiu do caso Henry?

A partir da investigação, os policiais conseguiram recuperar várias capturas de tela que mostram conversas entre a mãe e a babá da criança, em que esta dizia suspeitar de agressões de Jairinho contra Henry.

O celular da babá foi apreendido nesta quinta-feira (8) e deve passar pelo mesmo processo de investigação. O vereador e a mãe foram presos no mesmo dia, suspeitos de terem envolvimento com a morte do menino de quatro anos, e tiveram seus aparelhos secundários igualmente confiscados.