Mensagens, imagens e outros tipos de arquivos armazenados em celulares apreendidos durante operações policiais podem ser acessados por peritos da Polícia Federal (PF) mesmo que esses aparelhos estejam desligados ou protegidos por senhas. Foi o que aconteceu com o telefone do banqueiro Daniel Vorcaro.
Preso novamente na semana passada, o dono do Banco Master teve conversas no WhatsApp recuperadas em seu smartphone apreendido, incluindo mensagens supostamente enviadas para o ministro do Supremo Tribunal Federal (STF), Alexandre de Moraes. A extração desses arquivos foi feita com três softwares usados por peritos forenses.
Quais programas são usados pela PF no desbloqueio de celulares?
Como revelou O Globo nesta segunda-feira (9), a PF usa os softwares Cellebrite, Graykey e IPED no trabalho de investigação. Eles funcionam de forma complementar e podem, inclusive, permitir a recuperação de arquivos excluídos do aparelho.
- Empresa israelense de inteligência digital e investigações forenses, a Cellebrite possui várias soluções para contornar criptografias e recuperar arquivos deletados;
- Os programas desenvolvidos por ela podem ser usados no Android e no iOS para acessar, também, registros de chamadas e dados de apps de terceiros, incluindo o WhatsApp;
- Desenvolvido pela Grayshift, o Graykey também promove o desbloqueio de celulares, tendo atuação destacada em iPhones, que possuem criptografia reforçada;
- Após a quebra da senha, o programa possibilita baixar praticamente tudo o que estiver armazenado no smartphone, para que os peritos tenham acesso a dados sensíveis.
Com a enorme quantidade de dados que esses programas recuperam, analisá-los manualmente requer um tempo enorme, que poderia inviabilizar a investigação criminal. Neste ponto, entra em ação a terceira ferramenta adotada pela PF.
Trata-se do Indexador e Processador de Evidências Digitais (IPED). O programa forense de código aberto possui a capacidade de analisar rapidamente grandes volumes de informações digitais, processando arquivos ocultos, excluídos e fragmentados, acelerando as investigações.
Rastreando as mensagens de visualização única
As mensagens do WhatsApp que se apagam após a visualização só funcionam com fotos e vídeos. Para driblar o mecanismo, Vorcaro digitava as mensagens no bloco de notas do celular e enviava os prints aos destinatários, conforme as investigações.
Essa técnica, no entanto, acabou facilitando o trabalho dos peritos. Como aponta a reportagem, as capturas de tela feitas pelo banqueiro eram armazenadas no telefone em algum momento, com os registros trazendo informações sobre horários e destinatários.
Mesmo que esses arquivos fossem apagados, a rastreabilidade das conversas era garantida por meio dos logs de cada arquivo, ou seja, os registros de atividades do sistema. Em alguns casos, o conteúdo da imagem não está acessível, mas o programa consegue identificar o caminho da mensagem.
Com as informações extraídas dos logs, as ferramentas da PF possibilitaram identificar quem recebeu a mensagem, quando a conversa aconteceu e até o tipo de documento transferido. Isso se dá ao reverter a lógica de exclusão do arquivo.
Acesso rápido ao celular facilitou a recuperação das mensagens
De acordo com os peritos ouvidos pelo jornal, o acesso rápido dos investigadores ao smartphone de Vorcaro foi primordial para recuperar as mensagens apagadas. As mensagens enviadas por ele haviam sido escritas no mesmo dia da sua prisão.
Realizando o espelhamento dos arquivos do dispositivo, os especialistas descobriram que as capturas de tela do bloco de notas ainda estavam armazenadas no celular. Dessa forma, eles conseguiram ter acesso ao conteúdo das mensagens e também aos números para os quais elas foram enviadas.
É válido destacar que Moraes negou ser o destinatário das mensagens enviadas pelo banqueiro. O ministro alegou que os prints das conversas extraídas do telefone estavam em uma mesma pasta na qual ficavam os arquivos referentes a outros contatos salvos no aparelho apreendido.
Quanto a isso, a publicação ressalta que os arquivos gerados pelo IPED são agrupados automaticamente em pastas a partir de códigos associados a cada conjunto de informações. Assim, os prints e os contatos colocados pelo programa em uma mesma pasta não são necessariamente relacionados.
Curtiu o conteúdo? Siga no TecMundo e confira mais detalhes sobre o caso nesta matéria, que aborda as denúncias de invasões aos sistemas da PF, Ministério Público e autoridades internacionais por parte do grupo liderado por Vorcaro.
