Prévia do material em texto
FORENSE COMPUTACIONAL OBJETIVOS DE APRENDIZAGEM > Identificar os itens que podem ser periciados e suas peculiaridades. > Descrever a metodologia e as ferramentas para realizar os exames na in- ternet. > Explicar a análise de vestígios. Introdução Atualmente, a tecnologia faz parte de nossas vidas nas mais diversas áreas, desde o relógio que usamos no pulso até áreas globais como a educação, a saúde, as organizações. Com o surgimento da Internet das Coisas (Internet of Things — IoT) e proliferação de dispositivos portáteis, os sistemas embarcados se tornam cada vez mais presentes em nosso cotidiano. Apesar das vantagens, facilidades e benefícios dessa tecnologia, os crimes digitais se tornam cada vez mais so- fisticados, obrigando que a computação forense também esteja em constante aperfeiçoamento. Nesse âmbito, os dispositivos que possuem computação em- barcada são fontes repletas de informações que podem auxiliar na resolução de crimes, não apenas os digitais, mas em diferentes áreas das ciências forenses. Neste capítulo, você entenderá o que é computação embarcada e conhecerá os principais itens envolvendo essa tecnologia que podem ser periciados, bem como as metodologias e ferramentas que podem ser aplicadas para examinar as evidências. Por fim, verá como funciona a análise dos vestígios encontrados. Análise em computação embarcada Juliane Adélia Soares Definições de computação embarcada Sistemas embarcados são sistemas de hardware baseados em microproces- sador com software projetado para que funções dedicadas sejam executa- das. Podem funcionar como independentes ou como parte de um sistema maior. Tais sistemas podem envolver desde um único microcontrolador a um conjunto de processadores com periféricos conectados à rede. Além disso, podem oferecer interface gráfica de usuários ou não. Sua complexidade está diretamente relacionada à tarefa para qual ele é projetado (OMNISCI, 2021). Os sistemas de computação embarcada fazem parte de nossas vidas na forma de dispositivos de consumo, como consoles de jogos e smartphones, além de dispositivos eletrônicos com controle menos visíveis, em diferentes aspectos da operação de um carro, por exemplo. A Figura 1 ilustra a diversidade de ambientes e domínios onde operam sistemas embarcados. Nas residências, sistemas embarcados são utilizados para controle e monitoramento de eletrodomésticos como micro-ondas, ge- ladeiras, máquinas de lavar e sistemas de segurança sofisticados e sensíveis, que monitoram câmeras, podendo se comunicar com sistemas remotos via internet. Sistemas embarcados também controlam veículos, desde o controle da injeção de combustível ao monitoramento de emissões, gerenciando infinitas informações mediante recursos visuais para a exibição da operação dos veículos. Figura 1. Computação incorporada no dia a dia. Fonte: Adaptada de Cardoso, Coutinho e Diniz (2017). Sistemas embarcados Internet das Coisas (IoT) Automação residencial Smartphone Energia Mobilidade Saúde Cidade inteligente Análise em computação embarcada2 Fábio Destacar Fábio Destacar Fábio Destacar Fábio Destacar Fábio Destacar Fábio Destacar Segundo Cardoso, Coutinho e Diniz (2017), os sistemas embarcados também monitoram sistemas de transporte público, que se conectam a estações centrais, de modo que seja realizada a programação on-line de ônibus e trens, fornecendo em tempo real as atualizações do horário de chegada em todas as paradas de todas as linhas de transporte. Em escritórios, é possível encontrar a computação embarcada em pequenos dispositivos eletrônicos como impressoras, câmeras, sistemas de segurança e até na iluminação. Ainda sobre a Figura 1, os smartphones estão em constante evolução, ganhando muito em integração tecnológica. Esses sistemas embarcados de ponta incluem processadores multicore, WiFi, Bluetooth e telas sensíveis ao toque, oferecendo desempenho compatível com sistemas de multiprocessa- mento disponíveis para a resolução de problemas de computação científica e de engenharia. Em relação à energia, os sistemas embarcados ajudam a reduzir a emissão de CO2, além de aumentar a eficiência energética. Esses sistemas também trazem benefícios para a mobilidade urbana, reduzindo o tráfego e os congestionamentos, assim como para a saúde, reduzindo custos e melhorando a eficácia (CARDOSO; COUTINHO; DINIZ, 2017). De acordo com Antônio Velho (2016), um dispositivo é considerado embar- cado quando é dedicado à uma tarefa única, interagindo de modo contínuo com o ambiente à sua volta por meio de sensores e atuadores. Os sensores são responsáveis por medir e converter dados de detecção física em sinal elétrico, enquanto os atuadores realizam a comparação entre a saída real e a saída armazenada na memória, escolhendo a correta. As principais características são a capacidade computacional e a independência de operação. Os sistemas embarcados são compostos por uma unidade de processamento, que é a fixação de um circuito integrado em uma placa de circuito impresso. A capa- cidade de processamento de informações parte de um software processado internamente na unidade, o que significa que o software está embarcado na unidade de processamento. Todo e qualquer software embarcado é chamado de firmware — um conjunto de instruções operacionais que são programadas no hardware de modo direto. Os sistemas construídos com o propósito de cumprir tarefas específicas, de uma maneira geral, são chamados de sistemas dedicados, e são subdivi- didos em sistemas integrados, embutidos e embarcados. Embora, na maioria dos casos, as três nomenclaturas sejam usadas como sinônimas, essas subca- tegorias apresentam diferenças entre si, sendo importante destacá-las, pois possuem relevância no campo da perícia. Vejamos a seguir alguns detalhes de cada uma delas (ANTÔNIO VELHO, 2016). Análise em computação embarcada 3 Fábio Destacar Fábio Destacar Fábio Destacar Fábio Destacar Sistemas integrados Esses sistemas são compostos por uma base-padrão de software e hardware adaptados para executar uma tarefa específica. Um exemplo seria um terminal de caixa de supermercado, que basicamente é um computador comum executando um programa aplicativo, cuja operação é controlada por um sistema operacional-padrão, que utiliza periféricos específicos para a aplicação, conectados através de interfaces-padrão. Os sistemas integrados pouco diferem dos sistemas computadorizados comuns, apresentando semelhanças em termos de arquitetura, componentes, conexões e princípios de informações. Dessa forma, para análise pericial desse tipo de sistema, empregam-se as mesmas técnicas utilizadas em sistemas computadorizados. Sistemas embutidos Ao contrário dos sistemas integrados, os sistemas embutidos são incorporados fisicamente ao equipamento em que estão alojados, sendo projetados desde sua concepção para a realização de tarefas específicas, como nas smart TVs, por exemplo. Os sistemas embutidos, como nas descrições já citadas de forma geral sobre sistemas embarcados, são construídos utilizando um ou mais micro- processadores compostos de circuitos eletrônicos de interface com função de sensores e atuadores, apresentando a capacidade de controle das condições de seu ambiente físico e podendo responder às suas alterações. Dessa forma, o computador embutido é um dispositivo computacional incorporado como parte integrante do sistema que será controlado, ficando responsável por realizar operações lógicas que são estabelecidas a partir de um programa fixo ou mutável. Suas ações e reações têm como base a lógica e as variáveis do processo que está sendo controlado. Esses sistemas são construídos com recursos reduzidos, restringindo-se apenas ao que for realmente necessário para a realização de suas funções. Sendo assim, geralmente possuem pouquíssima capacidade de memória interna e limitada potência de processamento. Tais sistemas podem ser incorporados em praticamente qualquer coisa, sendo computadorescriados pela combinação de hardware e software específicos para a aplicação. Análise em computação embarcada4 Fábio Destacar Fábio Destacar Fábio Destacar Fábio Destacar Fábio Destacar Fábio Destacar Fábio Destacar Fábio Destacar Fábio Destacar Fábio Destacar Apesar da maioria das pessoas não se dar conta da existência desses sistemas e não o reconhecer como computadores, os sistemas embutidos estão presentes numa infinidade de equipamentos muito utilizados, como máquinas industriais, equipamentos médicos, câmeras, brinquedos, eletro- domésticos, embarcações, aeronaves e veículos automotores de via terrestre. Sistemas embarcados Antônio Velho (2016) situa os sistemas embarcados como uma subcategoria de sistemas embutidos, na condição de sistemas embutidos presentes nos veículos. Os sistemas embarcados são sistemas que fazem parte da compo- sição da funcionalidade do veículo. A internet fornece aos desenvolvedores de sistemas embarcados uma interface web, através de conexões de redes, dispensando a necessidade de custos com telas sofisticadas. Geralmente, esses sistemas residem em máquinas projetadas para tra- balhar continuamente por anos sem erros e capazes, se necessário, de se recuperar de falhas automaticamente. Para isso, o software é desenvolvido e testado com maiores cuidados comparados a computadores pessoais. A autorrecuperação de erros é realizada por uma técnica chamada watchdog timer, que reinicia o sistema ao identificar uma falha. Devido a isso, a perícia desses ambientes torna-se muito mais complexa. Na literatura desse ramo em língua inglesa, a expressão embedded systems é utilizada para se referir a sistemas embarcados de maneira geral, e não estritamente aos embarcados em veículos, e significa, em tradução literal, sistemas embutidos. Para fins deste capítulo, sistemas embarcados serão abordados em um contexto geral, considerando a infinidade de dispositivos que podem incluir os sistemas embutidos. As metodologias e análises forenses nesses dispositivos serão discutidas nas próximas sessões. Exames na computação embarcada Os dispositivos embarcados tornaram-se muito populares e fornecem alta disponibilidade. Uma vantagem dessa tecnologia é que podem ser fontes de informações relevantes para a elucidação de crimes. Porém, as técnicas existentes de exames periciais nesses dispositivos e sistemas não levam em consideração suas peculiaridades, e não se revelam exatamente apropriadas para os dispositivos. Isso ocorre devido ao nível de diversidade, variabilidade e constante evolução de sistemas embutidos, não sendo possível estabelecer protocolos rígidos para a realização de exames periciais. Análise em computação embarcada 5 Fábio Destacar Fábio Destacar Fábio Destacar Fábio Destacar Fábio Destacar Fábio Destacar Fábio Destacar Fábio Destacar Fábio Destacar Fábio Destacar Fábio Lápis Fábio Destacar Fábio Destacar Antônio Velho (2016) afirma que as técnicas de computação forense aplicadas em exames de sistemas de computação tradicional estão bem desenvolvidas, existindo muitos documentos e ferramentas que podem ser utilizados para preservação, extração e análise dos dados, ao contrário do que ocorre nas perícias que envolvem os sistemas embarcados. O mesmo autor ainda apresenta as duas principais diferença entre exames em computação tradicional e embarcada. A primeira delas é que no sistema embutido, devido à correlação do estado do sistema com as condições no ambiente que ele controla, em muitas situações é preciso que a análise seja realizada com o sistema ativo e conectado ao ambiente de operação. Dessa forma, a preservação do estado do sistema em determinado instante não pode ser aplicada, em oposição às boas práticas de perícia de informática tradicionais. Uma exceção ocorre em casos de colisão de automóveis. Em con- dições normais, os veículos registram as informações relacionadas ao sistema embarcado numa memória volátil (Random Access Memory — RAM) continuamente. Tais informações podem conter dados importantes, como ace- leração instantânea e velocidade do veículo, de modo que ficam organizados em ordem cronológica aqueles que correspondem aos últimos cinco segundos de sua operação. Entretanto, no momento da colisão, essas informações são transferidas para a memória permanente (Electrically Erasable Programma- ble Read-Only Memory — EEPROM), ficando armazenadas para futura análise (ANTÔNIO VELHO, 2016). A segunda diferença é que em sistemas embutidos não existe uma padroni- zação de vias de acesso às variáveis de estado do sistema, assim como ocorre nos sistemas comuns. A estrutura física e funcional de sistemas embutidos varia muito, de acordo com o tipo de equipamento, modelo, versão ou fabri- cante. Por isso, é de extrema importância que esquemas e diagramas que descrevem a estrutura física e o funcionamento do equipamento encontrem-se disponíveis, pois manuais de produção e de usuário, bem como materiais de propaganda, são fundamentais para que se entenda de maneira correta os recursos e o funcionamento do sistema. Análise em computação embarcada6 Fábio Destacar Fábio Destacar Fábio Destacar Fábio Destacar Fábio Destacar Fábio Destacar Fábio Destacar Fábio Destacar Fábio Destacar Fábio Destacar Fábio Destacar Fábio Destacar Fábio Destacar Fábio Destacar Fábio Destacar Fábio Destacar Fábio Destacar Fábio Destacar Apesar de não existir um protocolo rígido para a realização de perícias em sistemas embutidos, devem ser observados os princípios básicos que regem tais exames, estabelecendo-se uma forma de abordagem geral e flexível, para atingir todos os dispositivos com computação embarcada possíveis. Ao iniciar um exame técnico do sistema, é necessário definir a existência ou não de recursos específicos que atinjam o tipo e o modelo do equipamento que está sendo periciado. É fundamental que sejam determinados instrumentos de laboratório, ferramentas, software e materiais básicos de apoio para a execução dos exames. Tendo em vista algumas limitações encontradas nos sistemas, é possível que as mesmas ferramentas sejam usadas em diagnóstico e reparo de defeitos (ANTÔNIO VELHO, 2016). Basicamente, para que um perito consiga realizar o exame em dispositivos com sistemas embutidos, ele depende do fabricante do dispositivo, que é a fonte primária e segura de informações que podem ser úteis à execução da perícia. Em alguns casos, porém, não é possível chegar até o fabricante, ou então os detalhes técnicos são tratados como segredo industrial. Diante disso, torna-se necessária a execução de uma engenharia reversa no disposi- tivo, gerando alto custos em recursos, além de ser uma operação complexa e demorada, podendo ser inconveniente, por causa das incertezas introduzidas a respeito da validade de seus resultado. Portanto, é preciso determinar quais partes do sistema são relevantes para a investigação e quais componentes podem obter informações úteis (ANTÔNIO VELHO, 2016). Lim e Lee (2008) afirmam que, caso seja possível acessar as informações dos dispositivos fornecidas pelo fabricante, pode-se fazer uma compara- ção das informações originais com as contidas no sistema que está sendo analisado. Assim, é viável detectar possíveis usos para fins maliciosos em vestígios de modificações identificadas, cracking de hardware para cópias ilegais de software, outro espaço de armazenamento para ocultar dados, etc. Circuitos de memória semipermanente tipo flash, estão entre os prin- cipais objetos de interesse nas perícias de sistemas embutidos, pois neles encontram-se registradas informações relevantes para a investigação, como listas de contatos e mensagens recebidas em um smartphone, registro de geoprocessamento de equipamentos móveis e registros de acesso. Ao realizar conexões diretas aos terminais elétricos dessas memórias, em alguns casos é possível acessar seu conteúdo, mas existem duas condições fundamen- tais para que isso ocorra: primeiro,as conexões com o restante do circuito não devem gerar interferências com esse acessos; segundo, tais terminais de memórias devem estar expostos para se tornarem acessíveis (ANTÔNIO VELHO, 2016). Análise em computação embarcada 7 A Figura 2 mostra os dois lados de uma memória flash. À esquerda, estão visíveis os terminais do circuito integrado de memória, que ficam soldados à placa de circuito, onde são suportadas as conexões de diversos componentes do sistema. A partir do momento que os terminais são soldados à placa, eles não ficam mais visíveis. À direita, é apresentado o lado oposto da memória (ANTÔNIO VELHO, 2016). Figura 2. Memória flash: circuito integrado. Fonte: Antônio Velho (2016, p. 302). Em alguns casos, de acordo com Antônio Velho (2016), dependendo de como o sistema foi construído, ele pode não permitir acesso aos dados. Em outros, o dispositivo pode estar inoperante ou ter sido destruído de modo parcial. Nessas duas situações, torna-se necessário que o componente do equipamento seja removido, para ser examinado isoladamente. Ou seja, o componente é removido da placa de circuito no dispositivo em que se encontra, e o exame é executado fora do sistema original. No entanto, essa tarefa é extremamente delicada, sendo grandes as chances de destruição do componente durante sua remoção. Por isso, deve ser realizada apenas quando não restar alternativa, sendo conduzida por profissionais qualificados e em infraestruturas de laboratório sofisticadas, para que se evite a perda dos dados de interesse. Lim e Lee (2008) afirmam que nem sempre é possível, ou mesmo viável, fazer a leitura dos dados que se encontram em um circuito integrado. Isso ocorre porque alguns tipos de dispositivos com computação embarcada proíbem a operação de leitura, de modo que seus segredos comerciais sejam protegidos, bem como por proteção de privacidade. Análise em computação embarcada8 Na próxima seção, serão discutidas as técnicas para aquisição de vestígios em sistemas embarcados. Vestígios na computação embarcada Vestígios dizem respeito a objetos ou materiais encontrados no local do crime e relevantes para a investigação. Num primeiro momento, esses objetos devem ser considerados importantes, podendo ajudar a esclarecer os fatos que estão sendo investigados. Após a coleta de vestígios, eles são submetidos a processos de análise, triagem e apuração analítica. Com os resultados em mãos, é possível identificar se realmente têm algum vínculo com o objetivo da perícia ou com o crime cometido (ATHAYDE, 2019). A coleta de vestígios cibernéticos deve ser realizada com extrema cautela, pois são muito frágeis e, durante o processo, podem ser alterados, danificados ou destruídos muito facilmente. Dessa forma, o fundamental antes de mais nada é evitar que os vestígios sejam alterados por manipulação incorreta, mesmo que de modo acidental. Em sistemas embarcados, a coleta de vestígios é ainda mais crítica. Isso ocorre devido à sua capacidade de responder às alterações dos ambientes monitorados ou controlados por eles, fazendo com que seu estado interno seja extremamente suscetível aos eventos ocorridos nesses ambientes (ANTÔNIO VELHO, 2016). Antônio Velho (2016) cita como exemplo a computação embarcada em automóveis: dados relevantes já registrados no sistema podem ser alterados simplesmente por uma porta ser aberta ou ao acionar o motor de partida, fazendo com que registros de histórico do uso anterior do veículo sejam apagados. Tomando por base o exemplo recém-citado, é importante destacar que os efeitos citados dependem totalmente do modelo e ano do veículo, o que significa que só será possível prever esses eventos por meio de um estudo minucioso da documentação do fabricante. O grande problema que envolve todos os tipos de sistemas embutidos é a falta de liberação desses dados por parte dos fabricantes, como já citado anteriormente. Antônio Velho (2016) afirma que não conseguir acesso a essa informações acarreta dificuldades Análise em computação embarcada 9 Fábio Destacar Fábio Destacar Fábio Destacar Fábio Destacar Fábio Destacar Fábio Destacar Fábio Destacar para a perícia, além das questões operacionais, tornando muito difícil o desenvolvimento e validação de procedimentos e ferramentas aplicadas durante a fase de exame. Outra dificuldade encontrada é que o perito acaba se tornando dependente da cooperação dos fabricantes, o que pode prejudicar muito a evolução da perícia. Sistemas embutidos são formados por arquiteturas específicas, meios de acesso bastante restritos e recursos muito limitados. Além do mais, sua operação funciona de acordo com seu ambiente, dificultando de maneira considerável a reprodução de condições de funcionamento dos sistemas em laboratórios de análise. Todas essas questões elevam a complexidade da realização de perícias em sistemas embarcados. A seguir, serão apresentados dois exemplos de dispositivos com sistemas embarcados, descrevendo de maneira sucinta sua aquisição e análise de vestígios: em veículos, segundo Antônio Velho (2016), e em smart TV, segundo Boztas, Roeloffs e Riethoven (2015) e Lennert (2017). Vestígios em veículos Em sua maioria, os veículos produzidos mais recentemente, sobretudo aque- les que possuem airbags, são capazes de armazenar dados sobre eventos anteriores a um acidente, por meio de um dispositivo chamado gravador de dados de eventos (event data recorders — EDR). Os dados que esses EDRs armazenam são referentes aos cinco segundos que antecedem uma coli- são. Esses registros são importantes porque podem ajudar a determinar as circunstâncias do ocorrido, já que apresentam informações dos veículos, de seus ocupantes, entre outras, como: � o estado de operação dos diferentes sistemas do veículo; � quais assentos estavam ocupados; � se os equipamentos de segurança individual estavam em uso e se estavam sendo utilizados de maneira correta; � as posições dos comandos do veículo que podem ter sido acionados pelo motorista ou pelos passageiros; � posição, velocidade, direção e atitude espacial do veículo no momento da colisão. É importante salientar que essas informações podem se encaixar no sigilo industrial por parte do fabricante, não tendo seu acesso autorizado. Análise em computação embarcada10 Fábio Destacar Fábio Destacar Fábio Destacar Fábio Destacar Nesse contexto, a Crash Data Retrieval Tool (CDR) foi desenvolvida pela empresa Bosch e é uma ferramenta composta por um software que opera em sistema operacional Windows, um módulo de interface e um conjunto de cabos que a conecta a um computador pessoal, que pode ser utilizado tanto em campo, ou seja, no local do acidente, quanto em laboratório, caso a EDR seja removida do veículo para análise. Quando o módulo EDR é de fato removido do veículo, devem-se cumprir os requisitos de preservação jurídica das provas, incluindo o registro da cadeia de custódia, descrevendo o componente removido e a preservação física da prova. Isso é necessário porque os dados armazenados no EDR podem ser destruídos por manuseio de forma incorreta do equipamento. Apesar de serem extremamente importantes para a resolução dos casos, as informações contidas na EDR devem ser analisadas em conjunto com outros elementos de prova, como marcas de derrapagem, danos no veículo e objetos do ambiente, de modo a gerar certezas a respeito dos fatos, pois não é possível fazer a interpretação correta se não forem consideradas as demais circunstâncias do evento. Desse modo, ainda é preciso localizar, coletar e examinar os vestígios no local do evento em questão. Vestígios em smart TV Uma smart TV representa a evolução de um televisor tradicional, ou seja, é uma TV com recursos integrados à internet. Esses aparelhos são muito populares no mercado atual, pois podem ser utilizados para obter acesso rápido à internet, o que inclui vídeo sob demanda, redes sociais e mensa- gens instantâneas. Além disso, a maioria das smartTVs tem a capacidade de conexão com dispositivos externos, como discos de armazenamento, pendrives e telefones celulares. Com isso, as smart TVs tornaram-se uma fonte de informações para fins forenses. Os três métodos examinados a seguir podem ser aplicados para adquirir dados armazenados numa smart TV. Cartão multimídia de cinco fios O método embedded multimedia card (eMMC, ou cartão multimidia embutido) envolve a tentativa de leitura do chip eMMc, ou seja, a memória flash da smart TV investigada, com o intuito de criar uma cópia dos dados. Esse chip requer cinco sinais para ser conectado: Vss, Vdd, Clock, Command e Data0. Caso esses sinais sejam conectados na placa principal, significa que é possível ler Análise em computação embarcada 11 o chip eMMC por meio de um leitor de cartões SD USB padrão que deve ser conectado a um bloqueador de gravação. Porém, esse método nem sempre é viável, pois o processador da smart TV pode tentar acessar os dados do chip ao mesmo tempo em que ocorre a tentativa de aquisição de dados. Dessa forma, como não tem como impedir o processador de realizar o acesso, tornando inacessível a leitura por parte do perito. Kit de ferramentas de memória NFI MTK II Aqui temos uma solução forense universal, que torna possível aos investi- gadores a leitura de chips de memória para extrair dados de usuários, como mensagens de texto, números de telefone, fotos e histórico do navegador. Esse método pode ser utilizado para recuperar dados de dispositivos dani- ficados ou que estejam protegidos por senha e até, em alguns casos, dados que foram apagados. O Memory Toolkit (MTK) II é uma combinação de hardware e software, em que o hardware é responsável por estabelecer uma conexão física, gerando sinais e fornecendo energia para um chip de memória, enquanto o software fica responsável pela execução dos conjuntos de comandos que são necessários para o acesso aos dados. O que esse método faz é dessoldar a memória flash da placa principal da smart TV para efetuar a cópia dos dados do chip. Porém, essa prática é extremamente arriscada, pois pode levar à destruição do chip de memória durante sua extração, caso não seja realizada por profissionais habilitados e experientes, levando à perda de todas as informações. Dessa forma, este é um método recomendado apenas em últimos casos. Aplicativo Neste método, os peritos recorrem a um aplicativo personalizado que deve ser instalado na smart TV para efetuar a gravação dos dados em um dispo- sitivo de armazenamento externo. Apesar de ser a alternativa mais simples e segura, pois minimiza os riscos de danificar o dispositivo, se comparada ao método anterior, o aplicativo pode deixar rastros ou adulterar de modo involuntário os vestígios que poderiam ser aproveitados para a investigação. Além disso, para instalar dispositivos personalizados e que serão usados para a transferência de dados, é necessário fazer o root do sistema, ou seja, Análise em computação embarcada12 adquirir permissões de administrador no sistema operacional da smart TV. Isso é possível mediante alguns procedimentos, que variam de acordo com o fornecedor e o modelo da TV. No entanto, esses métodos estão vulneráveis a atualizações automáticas de firmware da TV, que podem tornar o aplicativo inútil, gerando retrabalho para novas configurações. Com a execução dos métodos citados, as smart TVs fornecem inúmeras informações que podem ser muito úteis para a investigação forense, incluindo: � informações de redes, como de endereços IP e de dispositivos empa- relhados via Bluetooth; � informações de aplicativos, incluindo quando foram instalados e cap- turas de telas de aplicativos utilizados mais recentemente; � histórico da internet, como histórico de pesquisa, URL, título, data, etc.; � informações de mídia recuperadas, incluindo nome do arquivo de música, artistas e gênero; nomes de arquivos de vídeos e imagens; infor- mações sobre quais arquivos de mídia foram abertos pelo usuário, etc.; � versão do dispositivo e número de série. Cabe ressaltar que a metodologia de aquisição e análise de vestígios em smart TVs também varia de acordo com o fabricante e o modelo. Boztas, Roeloffs e Riethoven (2015) e Lennert (2017) utilizaram os métodos recém- -mencionados numa smart TV da marca Samsung e obtiveram bons resultados com o NFI Memory Toolkit II e com o uso de aplicativo. Em geral, apesar dos riscos, o MTK II, por ser baseado em hardware e não estar sujeito a alterações pelas atualizações de firmware, foi considerado o método mais viável. Podemos afirmar que os sistemas embarcados estão completamente inseridos no dia a dia da sociedade, mas em sua maioria as pessoas usufruem das facilidades que eles proporcionam sem nem imaginar que estão fazendo uso de um computador. Frente ao vasto leque de dispositivos embarcados encontrados hoje em dia, é fora da realidade estabelecer protocolos rígidos para realização de perícia forense desses sistemas, exigindo que os peritos sustentem seus trabalhos em seus conhecimentos de princípios e métodos científicos. Além disso, no trabalho com sistemas embutidos, é fundamental que os peritos responsáveis sejam engenheiros eletrônicos e que possuam conhecimentos especializados e grande capacidade técnica para que cada caso seja tratado como único, levando em conta sempre a complexidade dessas perícias. Análise em computação embarcada 13 Referências ANTÔNIO VELHO, J. Tratado de computação forense. Campinas: Millennium Editora, 2016. ATHAYDE, V. A. P. de. Forense computacional e criptografia. São Paulo: Editora Senac, 2019. BOZTAS, A.; ROELOFFS, M.; RIETHOVEN, A. R. J. Smart TV forensics: digital traces on televisions. Digital Investigation, v. 12, supl. 1, p. S72–S80, 2015. CARDOSO, J. M. P.; COUTINHO, J. G. F.; DINIZ, P. C. Embedded computing for high perfor- mance. Cambridge: Elsevier, 2017. LENNERT, E. C. Smart TV Forensics: digital traces on televisions. Orlando: Florida Forensic Science, 2017. Disponível em: https://www.floridaforensicscience.com/review-smart- -tv-forensics-digital-traces-televisions/. Acesso em: 19 jul. 2021. LIM, K.-S.; LEE, S. A methodology for forensic analysis of embedded system. In: INTER- NATIONAL CONFERENCE ON FUTURE GENERATION COMMUNICATION AND NETWORKING, 2., 2008. [S. l.]: IEEE, 2008. OMNISCI. Embedded system. [S. l.]: Omnisci, 2021. Disponível em: https://www.omnisci. com/technical-glossary/embedded-systems. Acesso em: 19 jul. 2021. Os links para sites da web fornecidos neste capítulo foram todos testados, e seu funcionamento foi comprovado no momento da publicação do material. No entanto, a rede é extremamente dinâmica; suas páginas estão constantemente mudando de local e conteúdo. Assim, os editores declaram não ter qualquer responsabilidade sobre qualidade, precisão ou integralidade das informações referidas em tais links. Análise em computação embarcada14