Compartilhar no facebook
Facebook
Compartilhar no whatsapp
WhatsApp
Compartilhar no google
Google+
Compartilhar no linkedin
LinkedIn

GPS Forensics II: Dispositivos TomTom

Tomtom oferece uma gama de dispositivos para navegação automotiva. Para quem está habituado com “mobile forensics”, alguns dispositivos podem fornecer quase os mesmos dados de telefones celulares. Todos possuem um slot para um SD (cartão de memória) e um disco rígido interno.

Os dispositivos Tomtom contam com um arquivo de localizações que contém endereços e lista dos destinos recentes, além de dados do próprio equipamento, sendo que nos modelos (GO), temos ainda dados dos celulares que se conectaram no dispositivo, incluindo MAC address.

Dentre as premissas para o exame de dispositivos GPS, podemos destacar como fundamentais:

  • Remoção do SD card e leitura via write blocker ou USB (Se for o caso com clonagem). Remoção com o dispositivo desligado;
  • Se as evidências estiverem no disco interno você terá que conectá-lo na estação forense. Para tanto, após conectado ligue o equipamento para ele ser reconhecido como “external drive”;
  • Neste ponto alguns cuidados são essenciais. Primeiro, certifique-se que instalou um write blocker entre o dispositivo e a estação forense. Segundo, proteja o equipamento com uma gaiola de faraday (http://www.paraben.com/stronghold-box.html), pois ao ser ligado o equipamento tentará busca satélite e se isso for feito, as últimas informações de GPS fix serão sobrescritas no arquivo CurrentLocation.dat;
  • De preferência faça uma imagem do disco com disk definiton (http://dcfldd.sourceforge.net/), cheque a integridade, desligue o equipamento e trabalhe na cópia binária;
  • Na análise, observe que o equipamento salva os destinos recentes com a extensão .cfg, sendo que estes arquivos contém informações como o local da residência, favoritos, endereços inseridos manualmente, dados da última jornada, último GPS fix do dispositivo, etc;
  • Igualmente, em dispositivos que fizeram paridade com celulares, você poderá encontrar uma pasta “contatos” com informações sobre ligações e SMSs recebidos e enviados;
  • Tenha em mente que um GPS é um computador, e a busca nos espaços não alocados é fundamental para resgatar dados que pereceram quando um suspeito, por exemplo, apertou o “reset” do dispositivo. É possível resgatar viagens anteriores e posição do GPS registradas antes do “reset malicioso”;
  • Falsos positivos: Nem sempre a origem da última jornada é realmente o local apontado como onde a viagem começou. Sempre que o usuário erra, o dispositivo replaneja a rota, e quando faz isso assume a posição atual como ponto de partida. Logo, a origem pode ser o local onde a viagem começou ou o local onde o criminoso estava na última vez que errou o trajeto;
  • Arquivos .dat ou .cfg pode armazenar dados de “GPS fix” ou onde o dispositivo foi reiniciado após a pausa em uma viagem;

Como visto, muitas informações podem ser coletadas de um dispositivo GPS, informações que podem ter muita relevância em um caso judicial ou mesmo administrativo. No próximo capítulo falaremos mais sobre a apreensão e análise destes dispositivos.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Rolar para cima