Existem requisitos funcionais para o Mobile Equipment cumprir no sistema GSM quando se trata da interface com a rede e do SIM. Enquanto estes requisitos sejam cumpridos, cabe ao fabricante decidir quais as outras funções para aplicar sobre o ME, como o armazenamento de diferentes tipos de informação. Existe uma longa série de diferentes telefones no mercado, cada um com as suas próprias capacidades de armazenamento de informações e cada um com suas próprias potencialidades como evidência digital. Este trabalho está focado em buscar os princípios gerais e informações que são normalmente armazenados em diferentes tipos de equipamentos.
1.1 – Acesso ao telefone
Dado que o acesso ao SIM é necessário para usar o telefone, todos os telefones devem pedir o código PIN do cartão SIM quando o telefone for ligado, a menos que o PIN seja desativado. Muitos celulares também têm a possibilidade de pedir código de acesso separado para a memória do telefone. Este recurso é raramente utilizado, uma vez que, em seguida, o usuário terá que digitar dois códigos de acesso sempre que o telefone é ligado. Em princípio, o investigador não terá como burlar este código de acesso, a não ser pela utilização de ferramentas especial para acessar o conteúdo do telefone.
1.2 – Análise Forense de celulares GSM
A maioria, se não todos, os telefones implementam armazenamento de informações por meio de memória flash. Esta memória contém todas as informações guardadas no telefone, bem como de software interno de telefone. O procedimento forense de análise dos telefones seria, realizar um backup do conteúdo da memória do telefone, e analisar o conteúdo off-line. Como a maioria dos telefones fornece uma maneira de o fabricante acessar o conteúdo e atualização do software, este procedimento pode ser feito realmente para a maioria dos telefones. Este procedimento exige conhecimento da programação interface do telefone, estas informações geralmente são disponibilizadas pelos próprios fabricantes. As ferramentas para acessar a memória do telefone diretamente (chamado “flashers”) estão disponíveis na internet para muitos telefones (Telefones da Nokia, Sony Ericsson, Siemens e Motorola, dentre outras).
A maioria dos telefones pode ser conectada a um computador para a transferência de dados. Conexão esta que pode ser feita por meio de um cabo especial do fabricante, ou usando interfaces sem fios, como IrDa ou Bluetooth. As informações sobre o telefone podem, então, ser acessados usando um software disponibilizado pelo fabricante. Esses softwares geralmente irão permitir que o usuário baixe as informações contidas dentro do telefone, tais como mensagens de texto, agenda, números discados, as chamadas recebidas, e configuração parâmetros. O conteúdo da memória não será diretamente acessível utilizando tais ferramentas. Um terceiro método de análise forense de um celular é simplesmente usar o teclado do telefone para ter acesso à informação armazenada, e fotografar-la como ela vem na tela. A maior parte das informações armazenadas sobre os telefones pode ser acessada através do telefone no menu do sistema. O IMEI é na maioria dos telefones disponíveis ao digitar * # 06 #. Este método é arriscado já que ele poderá alterar as informações sobre o telefone e por este motivo deverá ser esgotada todas as outras opções antes de recorrer a este tipo de método. Como um exemplo, telefones Nokia armazenam os registros de chamadas
efetuadas e recebidas no telefone. Se um usuário retira o cartão SIM e inserir outro cartão, esses registros serão apagados. Os investigadores devem, portanto, ser cauteloso com a remoção do cartão garantindo que toda informação relevante já tenha sido salva.
1.3 – O Conteúdo do Telefone
Os seguintes conteúdos dos celulares modernos podem ter valor como meio de evidência:
• IMEI
• Números
• Mensagens de Texto
• Definições (Idioma, data / hora, tom / volume, etc.)
• Gravações áudio
• Arquivos informáticos
• Chamadas recebidas e números discados
• Programas armazenados
• Agenda de Eventos
• GPRS, WAP e Internet configurações.
A maior parte desta informação está disponível através dos programas disponibilizados pelos próprios fabricantes ou por softwares específicos. No entanto, a
análise direta da memória pode revelar outras informações escondidas, como mensagens de texto apagadas.
1.4 – Ataques no telefone
Existem algumas ferramentas que permitem o acesso direto à memória do telefone, os chamados flashers, tais ferramentas também permitem realizar
modificações no conteúdo do telefone, incluindo software do telefone. Essa modificação geralmente é feita para remover alguns bloqueios no telefone. O mais comum é a remoção de bloqueios impostos pelas operadoras. O SP-locked é o bloqueio do telefone para operar somente com uma determinada operadora. Esses bloqueios são freqüentemente realizados em telefones baratos vendidos em conjunto com as assinaturas ou pré-inscrições, para bloquear o cliente a uma determinada operadora de telefonia. Outra mudança que se deseja fazer é mudar o código IMEI de um telefone. Isso é necessário para utilizar aparelhos roubados, conseguindo, desta forma, burlar a lista negra no EIR. A capacidade de mudar IMEI também poderia tornar mais difícil para detectar o uso de telefones específicos. É desejável encontrar uma forma de detectar que o IMEI de um telefone foi alterado. O método mais óbvio de fazer isso é comparar o
IMEI armazenado internamente com o IMEI impresso no telefone (normalmente localizada sob a bateria).
Material de estudo do Raphael Luiz Dias de Oliveira , Informações contidas nesse post é para nível de conhecimento elaboração em 2008
Gestão em TI 