análise em comput embarcada aula 11 unid 3

Prévia do material em texto

FORENSE 
COMPUTACIONAL
OBJETIVOS DE APRENDIZAGEM
 > Identificar os itens que podem ser periciados e suas peculiaridades.
 > Descrever a metodologia e as ferramentas para realizar os exames na in-
ternet.
 > Explicar a análise de vestígios.
Introdução
Atualmente, a tecnologia faz parte de nossas vidas nas mais diversas áreas, 
desde o relógio que usamos no pulso até áreas globais como a educação, a saúde, 
as organizações. Com o surgimento da Internet das Coisas (Internet of Things — 
IoT) e proliferação de dispositivos portáteis, os sistemas embarcados se tornam 
cada vez mais presentes em nosso cotidiano. Apesar das vantagens, facilidades 
e benefícios dessa tecnologia, os crimes digitais se tornam cada vez mais so-
fisticados, obrigando que a computação forense também esteja em constante 
aperfeiçoamento. Nesse âmbito, os dispositivos que possuem computação em-
barcada são fontes repletas de informações que podem auxiliar na resolução de 
crimes, não apenas os digitais, mas em diferentes áreas das ciências forenses.
Neste capítulo, você entenderá o que é computação embarcada e conhecerá 
os principais itens envolvendo essa tecnologia que podem ser periciados, bem 
como as metodologias e ferramentas que podem ser aplicadas para examinar 
as evidências. Por fim, verá como funciona a análise dos vestígios encontrados. 
Análise em 
computação 
embarcada
Juliane Adélia Soares
Definições de computação embarcada
Sistemas embarcados são sistemas de hardware baseados em microproces-
sador com software projetado para que funções dedicadas sejam executa-
das. Podem funcionar como independentes ou como parte de um sistema 
maior. Tais sistemas podem envolver desde um único microcontrolador a um 
conjunto de processadores com periféricos conectados à rede. Além disso, 
podem oferecer interface gráfica de usuários ou não. Sua complexidade está 
diretamente relacionada à tarefa para qual ele é projetado (OMNISCI, 2021).
Os sistemas de computação embarcada fazem parte de nossas vidas na 
forma de dispositivos de consumo, como consoles de jogos e smartphones, 
além de dispositivos eletrônicos com controle menos visíveis, em diferentes 
aspectos da operação de um carro, por exemplo. 
A Figura 1 ilustra a diversidade de ambientes e domínios onde operam 
sistemas embarcados. Nas residências, sistemas embarcados são utilizados 
para controle e monitoramento de eletrodomésticos como micro-ondas, ge-
ladeiras, máquinas de lavar e sistemas de segurança sofisticados e sensíveis, 
que monitoram câmeras, podendo se comunicar com sistemas remotos via 
internet. Sistemas embarcados também controlam veículos, desde o controle 
da injeção de combustível ao monitoramento de emissões, gerenciando infinitas 
informações mediante recursos visuais para a exibição da operação dos veículos.
Figura 1. Computação incorporada no dia a dia.
Fonte: Adaptada de Cardoso, Coutinho e Diniz (2017).
Sistemas
embarcados
Internet
das Coisas (IoT)
Automação
residencial
Smartphone
Energia
Mobilidade
Saúde
Cidade inteligente
Análise em computação embarcada2
Fábio
Destacar
Fábio
Destacar
Fábio
Destacar
Fábio
Destacar
Fábio
Destacar
Fábio
Destacar
Segundo Cardoso, Coutinho e Diniz (2017), os sistemas embarcados também 
monitoram sistemas de transporte público, que se conectam a estações 
centrais, de modo que seja realizada a programação on-line de ônibus e 
trens, fornecendo em tempo real as atualizações do horário de chegada em 
todas as paradas de todas as linhas de transporte. Em escritórios, é possível 
encontrar a computação embarcada em pequenos dispositivos eletrônicos 
como impressoras, câmeras, sistemas de segurança e até na iluminação.
Ainda sobre a Figura 1, os smartphones estão em constante evolução, 
ganhando muito em integração tecnológica. Esses sistemas embarcados de 
ponta incluem processadores multicore, WiFi, Bluetooth e telas sensíveis ao 
toque, oferecendo desempenho compatível com sistemas de multiprocessa-
mento disponíveis para a resolução de problemas de computação científica 
e de engenharia. Em relação à energia, os sistemas embarcados ajudam a 
reduzir a emissão de CO2, além de aumentar a eficiência energética. Esses 
sistemas também trazem benefícios para a mobilidade urbana, reduzindo o 
tráfego e os congestionamentos, assim como para a saúde, reduzindo custos 
e melhorando a eficácia (CARDOSO; COUTINHO; DINIZ, 2017).
De acordo com Antônio Velho (2016), um dispositivo é considerado embar-
cado quando é dedicado à uma tarefa única, interagindo de modo contínuo 
com o ambiente à sua volta por meio de sensores e atuadores. Os sensores são 
responsáveis por medir e converter dados de detecção física em sinal elétrico, 
enquanto os atuadores realizam a comparação entre a saída real e a saída 
armazenada na memória, escolhendo a correta. As principais características 
são a capacidade computacional e a independência de operação. Os sistemas 
embarcados são compostos por uma unidade de processamento, que é a 
fixação de um circuito integrado em uma placa de circuito impresso. A capa-
cidade de processamento de informações parte de um software processado 
internamente na unidade, o que significa que o software está embarcado na 
unidade de processamento. Todo e qualquer software embarcado é chamado 
de firmware — um conjunto de instruções operacionais que são programadas 
no hardware de modo direto.
Os sistemas construídos com o propósito de cumprir tarefas específicas, 
de uma maneira geral, são chamados de sistemas dedicados, e são subdivi-
didos em sistemas integrados, embutidos e embarcados. Embora, na maioria 
dos casos, as três nomenclaturas sejam usadas como sinônimas, essas subca-
tegorias apresentam diferenças entre si, sendo importante destacá-las, pois 
possuem relevância no campo da perícia. Vejamos a seguir alguns detalhes 
de cada uma delas (ANTÔNIO VELHO, 2016).
Análise em computação embarcada 3
Fábio
Destacar
Fábio
Destacar
Fábio
Destacar
Fábio
Destacar
Sistemas integrados
Esses sistemas são compostos por uma base-padrão de software e 
hardware adaptados para executar uma tarefa específica. Um exemplo seria 
um terminal de caixa de supermercado, que basicamente é um computador 
comum executando um programa aplicativo, cuja operação é controlada por 
um sistema operacional-padrão, que utiliza periféricos específicos para a 
aplicação, conectados através de interfaces-padrão.
Os sistemas integrados pouco diferem dos sistemas computadorizados 
comuns, apresentando semelhanças em termos de arquitetura, componentes, 
conexões e princípios de informações. Dessa forma, para análise pericial desse 
tipo de sistema, empregam-se as mesmas técnicas utilizadas em sistemas 
computadorizados.
Sistemas embutidos
Ao contrário dos sistemas integrados, os sistemas embutidos são incorporados 
fisicamente ao equipamento em que estão alojados, sendo projetados desde 
sua concepção para a realização de tarefas específicas, como nas smart TVs, 
por exemplo.
Os sistemas embutidos, como nas descrições já citadas de forma geral 
sobre sistemas embarcados, são construídos utilizando um ou mais micro-
processadores compostos de circuitos eletrônicos de interface com função de 
sensores e atuadores, apresentando a capacidade de controle das condições 
de seu ambiente físico e podendo responder às suas alterações. Dessa forma, 
o computador embutido é um dispositivo computacional incorporado como 
parte integrante do sistema que será controlado, ficando responsável por 
realizar operações lógicas que são estabelecidas a partir de um programa 
fixo ou mutável. Suas ações e reações têm como base a lógica e as variáveis 
do processo que está sendo controlado.
Esses sistemas são construídos com recursos reduzidos, restringindo-se 
apenas ao que for realmente necessário para a realização de suas funções. 
Sendo assim, geralmente possuem pouquíssima capacidade de memória 
interna e limitada potência de processamento. Tais sistemas podem ser 
incorporados em praticamente qualquer coisa, sendo computadorescriados 
pela combinação de hardware e software específicos para a aplicação. 
Análise em computação embarcada4
Fábio
Destacar
Fábio
Destacar
Fábio
Destacar
Fábio
Destacar
Fábio
Destacar
Fábio
Destacar
Fábio
Destacar
Fábio
Destacar
Fábio
Destacar
Fábio
Destacar
Apesar da maioria das pessoas não se dar conta da existência desses 
sistemas e não o reconhecer como computadores, os sistemas embutidos 
estão presentes numa infinidade de equipamentos muito utilizados, como 
máquinas industriais, equipamentos médicos, câmeras, brinquedos, eletro-
domésticos, embarcações, aeronaves e veículos automotores de via terrestre.
Sistemas embarcados
Antônio Velho (2016) situa os sistemas embarcados como uma subcategoria 
de sistemas embutidos, na condição de sistemas embutidos presentes nos 
veículos. Os sistemas embarcados são sistemas que fazem parte da compo-
sição da funcionalidade do veículo. A internet fornece aos desenvolvedores 
de sistemas embarcados uma interface web, através de conexões de redes, 
dispensando a necessidade de custos com telas sofisticadas. 
Geralmente, esses sistemas residem em máquinas projetadas para tra-
balhar continuamente por anos sem erros e capazes, se necessário, de se 
recuperar de falhas automaticamente. Para isso, o software é desenvolvido 
e testado com maiores cuidados comparados a computadores pessoais. 
A autorrecuperação de erros é realizada por uma técnica chamada watchdog 
timer, que reinicia o sistema ao identificar uma falha. Devido a isso, a perícia 
desses ambientes torna-se muito mais complexa.
Na literatura desse ramo em língua inglesa, a expressão embedded systems 
é utilizada para se referir a sistemas embarcados de maneira geral, e não 
estritamente aos embarcados em veículos, e significa, em tradução literal, 
sistemas embutidos. Para fins deste capítulo, sistemas embarcados serão 
abordados em um contexto geral, considerando a infinidade de dispositivos 
que podem incluir os sistemas embutidos. As metodologias e análises forenses 
nesses dispositivos serão discutidas nas próximas sessões.
Exames na computação embarcada
Os dispositivos embarcados tornaram-se muito populares e fornecem alta 
disponibilidade. Uma vantagem dessa tecnologia é que podem ser fontes 
de informações relevantes para a elucidação de crimes. Porém, as técnicas 
existentes de exames periciais nesses dispositivos e sistemas não levam em 
consideração suas peculiaridades, e não se revelam exatamente apropriadas 
para os dispositivos. Isso ocorre devido ao nível de diversidade, variabilidade 
e constante evolução de sistemas embutidos, não sendo possível estabelecer 
protocolos rígidos para a realização de exames periciais.
Análise em computação embarcada 5
Fábio
Destacar
Fábio
Destacar
Fábio
Destacar
Fábio
Destacar
Fábio
Destacar
Fábio
Destacar
Fábio
Destacar
Fábio
Destacar
Fábio
Destacar
Fábio
Destacar
Fábio
Lápis
Fábio
Destacar
Fábio
Destacar
Antônio Velho (2016) afirma que as técnicas de computação forense 
aplicadas em exames de sistemas de computação tradicional estão bem 
desenvolvidas, existindo muitos documentos e ferramentas que podem ser 
utilizados para preservação, extração e análise dos dados, ao contrário do 
que ocorre nas perícias que envolvem os sistemas embarcados. 
O mesmo autor ainda apresenta as duas principais diferença entre exames 
em computação tradicional e embarcada. A primeira delas é que no sistema 
embutido, devido à correlação do estado do sistema com as condições no 
ambiente que ele controla, em muitas situações é preciso que a análise seja 
realizada com o sistema ativo e conectado ao ambiente de operação. Dessa 
forma, a preservação do estado do sistema em determinado instante não 
pode ser aplicada, em oposição às boas práticas de perícia de informática 
tradicionais.
Uma exceção ocorre em casos de colisão de automóveis. Em con-
dições normais, os veículos registram as informações relacionadas 
ao sistema embarcado numa memória volátil (Random Access Memory — RAM) 
continuamente. Tais informações podem conter dados importantes, como ace-
leração instantânea e velocidade do veículo, de modo que ficam organizados 
em ordem cronológica aqueles que correspondem aos últimos cinco segundos 
de sua operação. Entretanto, no momento da colisão, essas informações são 
transferidas para a memória permanente (Electrically Erasable Programma-
ble Read-Only Memory — EEPROM), ficando armazenadas para futura análise 
(ANTÔNIO VELHO, 2016).
A segunda diferença é que em sistemas embutidos não existe uma padroni-
zação de vias de acesso às variáveis de estado do sistema, assim como ocorre 
nos sistemas comuns. A estrutura física e funcional de sistemas embutidos 
varia muito, de acordo com o tipo de equipamento, modelo, versão ou fabri-
cante. Por isso, é de extrema importância que esquemas e diagramas que 
descrevem a estrutura física e o funcionamento do equipamento encontrem-se 
disponíveis, pois manuais de produção e de usuário, bem como materiais de 
propaganda, são fundamentais para que se entenda de maneira correta os 
recursos e o funcionamento do sistema.
Análise em computação embarcada6
Fábio
Destacar
Fábio
Destacar
Fábio
Destacar
Fábio
Destacar
Fábio
Destacar
Fábio
Destacar
Fábio
Destacar
Fábio
Destacar
Fábio
Destacar
Fábio
Destacar
Fábio
Destacar
Fábio
Destacar
Fábio
Destacar
Fábio
Destacar
Fábio
Destacar
Fábio
Destacar
Fábio
Destacar
Fábio
Destacar
Apesar de não existir um protocolo rígido para a realização de perícias em 
sistemas embutidos, devem ser observados os princípios básicos que regem 
tais exames, estabelecendo-se uma forma de abordagem geral e flexível, 
para atingir todos os dispositivos com computação embarcada possíveis. 
Ao iniciar um exame técnico do sistema, é necessário definir a existência ou 
não de recursos específicos que atinjam o tipo e o modelo do equipamento que 
está sendo periciado. É fundamental que sejam determinados instrumentos 
de laboratório, ferramentas, software e materiais básicos de apoio para a 
execução dos exames. Tendo em vista algumas limitações encontradas nos 
sistemas, é possível que as mesmas ferramentas sejam usadas em diagnóstico 
e reparo de defeitos (ANTÔNIO VELHO, 2016).
Basicamente, para que um perito consiga realizar o exame em dispositivos 
com sistemas embutidos, ele depende do fabricante do dispositivo, que é 
a fonte primária e segura de informações que podem ser úteis à execução 
da perícia. Em alguns casos, porém, não é possível chegar até o fabricante, 
ou então os detalhes técnicos são tratados como segredo industrial. Diante 
disso, torna-se necessária a execução de uma engenharia reversa no disposi-
tivo, gerando alto custos em recursos, além de ser uma operação complexa e 
demorada, podendo ser inconveniente, por causa das incertezas introduzidas 
a respeito da validade de seus resultado. Portanto, é preciso determinar quais 
partes do sistema são relevantes para a investigação e quais componentes 
podem obter informações úteis (ANTÔNIO VELHO, 2016).
Lim e Lee (2008) afirmam que, caso seja possível acessar as informações 
dos dispositivos fornecidas pelo fabricante, pode-se fazer uma compara-
ção das informações originais com as contidas no sistema que está sendo 
analisado. Assim, é viável detectar possíveis usos para fins maliciosos em 
vestígios de modificações identificadas, cracking de hardware para cópias 
ilegais de software, outro espaço de armazenamento para ocultar dados, etc.
Circuitos de memória semipermanente tipo flash, estão entre os prin-
cipais objetos de interesse nas perícias de sistemas embutidos, pois neles 
encontram-se registradas informações relevantes para a investigação, como 
listas de contatos e mensagens recebidas em um smartphone, registro de 
geoprocessamento de equipamentos móveis e registros de acesso. Ao realizar 
conexões diretas aos terminais elétricos dessas memórias, em alguns casos 
é possível acessar seu conteúdo, mas existem duas condições fundamen-
tais para que isso ocorra: primeiro,as conexões com o restante do circuito 
não devem gerar interferências com esse acessos; segundo, tais terminais 
de memórias devem estar expostos para se tornarem acessíveis (ANTÔNIO 
VELHO, 2016).
Análise em computação embarcada 7
A Figura 2 mostra os dois lados de uma memória flash. À esquerda, estão 
visíveis os terminais do circuito integrado de memória, que ficam soldados à 
placa de circuito, onde são suportadas as conexões de diversos componentes 
do sistema. A partir do momento que os terminais são soldados à placa, eles 
não ficam mais visíveis. À direita, é apresentado o lado oposto da memória 
(ANTÔNIO VELHO, 2016).
Figura 2. Memória flash: circuito integrado.
Fonte: Antônio Velho (2016, p. 302).
Em alguns casos, de acordo com Antônio Velho (2016), dependendo de 
como o sistema foi construído, ele pode não permitir acesso aos dados. 
Em outros, o dispositivo pode estar inoperante ou ter sido destruído de 
modo parcial. Nessas duas situações, torna-se necessário que o componente 
do equipamento seja removido, para ser examinado isoladamente. Ou seja, 
o componente é removido da placa de circuito no dispositivo em que se 
encontra, e o exame é executado fora do sistema original. No entanto, essa 
tarefa é extremamente delicada, sendo grandes as chances de destruição 
do componente durante sua remoção. Por isso, deve ser realizada apenas 
quando não restar alternativa, sendo conduzida por profissionais qualificados 
e em infraestruturas de laboratório sofisticadas, para que se evite a perda 
dos dados de interesse.
Lim e Lee (2008) afirmam que nem sempre é possível, ou mesmo viável, 
fazer a leitura dos dados que se encontram em um circuito integrado. Isso 
ocorre porque alguns tipos de dispositivos com computação embarcada 
proíbem a operação de leitura, de modo que seus segredos comerciais sejam 
protegidos, bem como por proteção de privacidade.
Análise em computação embarcada8
Na próxima seção, serão discutidas as técnicas para aquisição de vestígios 
em sistemas embarcados.
Vestígios na computação embarcada
Vestígios dizem respeito a objetos ou materiais encontrados no local do crime 
e relevantes para a investigação. Num primeiro momento, esses objetos 
devem ser considerados importantes, podendo ajudar a esclarecer os fatos 
que estão sendo investigados. Após a coleta de vestígios, eles são submetidos 
a processos de análise, triagem e apuração analítica. Com os resultados em 
mãos, é possível identificar se realmente têm algum vínculo com o objetivo 
da perícia ou com o crime cometido (ATHAYDE, 2019).
A coleta de vestígios cibernéticos deve ser realizada com extrema cautela, 
pois são muito frágeis e, durante o processo, podem ser alterados, danificados 
ou destruídos muito facilmente. Dessa forma, o fundamental antes de mais 
nada é evitar que os vestígios sejam alterados por manipulação incorreta, 
mesmo que de modo acidental. Em sistemas embarcados, a coleta de vestígios 
é ainda mais crítica. Isso ocorre devido à sua capacidade de responder às 
alterações dos ambientes monitorados ou controlados por eles, fazendo com 
que seu estado interno seja extremamente suscetível aos eventos ocorridos 
nesses ambientes (ANTÔNIO VELHO, 2016).
Antônio Velho (2016) cita como exemplo a computação embarcada 
em automóveis: dados relevantes já registrados no sistema podem 
ser alterados simplesmente por uma porta ser aberta ou ao acionar o motor 
de partida, fazendo com que registros de histórico do uso anterior do veículo 
sejam apagados. 
Tomando por base o exemplo recém-citado, é importante destacar que 
os efeitos citados dependem totalmente do modelo e ano do veículo, o que 
significa que só será possível prever esses eventos por meio de um estudo 
minucioso da documentação do fabricante. O grande problema que envolve 
todos os tipos de sistemas embutidos é a falta de liberação desses dados 
por parte dos fabricantes, como já citado anteriormente. Antônio Velho (2016) 
afirma que não conseguir acesso a essa informações acarreta dificuldades 
Análise em computação embarcada 9
Fábio
Destacar
Fábio
Destacar
Fábio
Destacar
Fábio
Destacar
Fábio
Destacar
Fábio
Destacar
Fábio
Destacar
para a perícia, além das questões operacionais, tornando muito difícil o 
desenvolvimento e validação de procedimentos e ferramentas aplicadas 
durante a fase de exame. Outra dificuldade encontrada é que o perito acaba se 
tornando dependente da cooperação dos fabricantes, o que pode prejudicar 
muito a evolução da perícia. 
Sistemas embutidos são formados por arquiteturas específicas, meios 
de acesso bastante restritos e recursos muito limitados. Além do mais, sua 
operação funciona de acordo com seu ambiente, dificultando de maneira 
considerável a reprodução de condições de funcionamento dos sistemas 
em laboratórios de análise. Todas essas questões elevam a complexidade 
da realização de perícias em sistemas embarcados.
A seguir, serão apresentados dois exemplos de dispositivos com sistemas 
embarcados, descrevendo de maneira sucinta sua aquisição e análise de 
vestígios: em veículos, segundo Antônio Velho (2016), e em smart TV, segundo 
Boztas, Roeloffs e Riethoven (2015) e Lennert (2017).
Vestígios em veículos
Em sua maioria, os veículos produzidos mais recentemente, sobretudo aque-
les que possuem airbags, são capazes de armazenar dados sobre eventos 
anteriores a um acidente, por meio de um dispositivo chamado gravador de 
dados de eventos (event data recorders — EDR). Os dados que esses EDRs 
armazenam são referentes aos cinco segundos que antecedem uma coli-
são. Esses registros são importantes porque podem ajudar a determinar as 
circunstâncias do ocorrido, já que apresentam informações dos veículos, 
de seus ocupantes, entre outras, como:
 � o estado de operação dos diferentes sistemas do veículo;
 � quais assentos estavam ocupados;
 � se os equipamentos de segurança individual estavam em uso e se 
estavam sendo utilizados de maneira correta;
 � as posições dos comandos do veículo que podem ter sido acionados 
pelo motorista ou pelos passageiros;
 � posição, velocidade, direção e atitude espacial do veículo no momento 
da colisão.
É importante salientar que essas informações podem se encaixar no sigilo 
industrial por parte do fabricante, não tendo seu acesso autorizado.
Análise em computação embarcada10
Fábio
Destacar
Fábio
Destacar
Fábio
Destacar
Fábio
Destacar
Nesse contexto, a Crash Data Retrieval Tool (CDR) foi desenvolvida pela 
empresa Bosch e é uma ferramenta composta por um software que opera 
em sistema operacional Windows, um módulo de interface e um conjunto 
de cabos que a conecta a um computador pessoal, que pode ser utilizado 
tanto em campo, ou seja, no local do acidente, quanto em laboratório, caso 
a EDR seja removida do veículo para análise. Quando o módulo EDR é de 
fato removido do veículo, devem-se cumprir os requisitos de preservação 
jurídica das provas, incluindo o registro da cadeia de custódia, descrevendo 
o componente removido e a preservação física da prova. Isso é necessário 
porque os dados armazenados no EDR podem ser destruídos por manuseio 
de forma incorreta do equipamento.
Apesar de serem extremamente importantes para a resolução dos casos, 
as informações contidas na EDR devem ser analisadas em conjunto com 
outros elementos de prova, como marcas de derrapagem, danos no veículo 
e objetos do ambiente, de modo a gerar certezas a respeito dos fatos, pois 
não é possível fazer a interpretação correta se não forem consideradas as 
demais circunstâncias do evento. Desse modo, ainda é preciso localizar, 
coletar e examinar os vestígios no local do evento em questão.
Vestígios em smart TV
Uma smart TV representa a evolução de um televisor tradicional, ou seja, 
é uma TV com recursos integrados à internet. Esses aparelhos são muito 
populares no mercado atual, pois podem ser utilizados para obter acesso 
rápido à internet, o que inclui vídeo sob demanda, redes sociais e mensa-
gens instantâneas. Além disso, a maioria das smartTVs tem a capacidade 
de conexão com dispositivos externos, como discos de armazenamento, 
pendrives e telefones celulares. Com isso, as smart TVs tornaram-se uma 
fonte de informações para fins forenses.
Os três métodos examinados a seguir podem ser aplicados para adquirir 
dados armazenados numa smart TV.
Cartão multimídia de cinco fios
O método embedded multimedia card (eMMC, ou cartão multimidia embutido) 
envolve a tentativa de leitura do chip eMMc, ou seja, a memória flash da smart 
TV investigada, com o intuito de criar uma cópia dos dados. Esse chip requer 
cinco sinais para ser conectado: Vss, Vdd, Clock, Command e Data0. Caso 
esses sinais sejam conectados na placa principal, significa que é possível ler 
Análise em computação embarcada 11
o chip eMMC por meio de um leitor de cartões SD USB padrão que deve ser 
conectado a um bloqueador de gravação. 
Porém, esse método nem sempre é viável, pois o processador da smart 
TV pode tentar acessar os dados do chip ao mesmo tempo em que ocorre a 
tentativa de aquisição de dados. Dessa forma, como não tem como impedir 
o processador de realizar o acesso, tornando inacessível a leitura por parte 
do perito.
Kit de ferramentas de memória NFI MTK II
Aqui temos uma solução forense universal, que torna possível aos investi-
gadores a leitura de chips de memória para extrair dados de usuários, como 
mensagens de texto, números de telefone, fotos e histórico do navegador. 
Esse método pode ser utilizado para recuperar dados de dispositivos dani-
ficados ou que estejam protegidos por senha e até, em alguns casos, dados 
que foram apagados.
O Memory Toolkit (MTK) II é uma combinação de hardware e software, em 
que o hardware é responsável por estabelecer uma conexão física, gerando 
sinais e fornecendo energia para um chip de memória, enquanto o software fica 
responsável pela execução dos conjuntos de comandos que são necessários 
para o acesso aos dados. O que esse método faz é dessoldar a memória flash 
da placa principal da smart TV para efetuar a cópia dos dados do chip. Porém, 
essa prática é extremamente arriscada, pois pode levar à destruição do chip 
de memória durante sua extração, caso não seja realizada por profissionais 
habilitados e experientes, levando à perda de todas as informações. Dessa 
forma, este é um método recomendado apenas em últimos casos.
Aplicativo
Neste método, os peritos recorrem a um aplicativo personalizado que deve 
ser instalado na smart TV para efetuar a gravação dos dados em um dispo-
sitivo de armazenamento externo. Apesar de ser a alternativa mais simples 
e segura, pois minimiza os riscos de danificar o dispositivo, se comparada 
ao método anterior, o aplicativo pode deixar rastros ou adulterar de modo 
involuntário os vestígios que poderiam ser aproveitados para a investigação.
Além disso, para instalar dispositivos personalizados e que serão usados 
para a transferência de dados, é necessário fazer o root do sistema, ou seja, 
Análise em computação embarcada12
adquirir permissões de administrador no sistema operacional da smart TV. 
Isso é possível mediante alguns procedimentos, que variam de acordo com o 
fornecedor e o modelo da TV. No entanto, esses métodos estão vulneráveis a 
atualizações automáticas de firmware da TV, que podem tornar o aplicativo 
inútil, gerando retrabalho para novas configurações.
Com a execução dos métodos citados, as smart TVs fornecem inúmeras 
informações que podem ser muito úteis para a investigação forense, incluindo:
 � informações de redes, como de endereços IP e de dispositivos empa-
relhados via Bluetooth;
 � informações de aplicativos, incluindo quando foram instalados e cap-
turas de telas de aplicativos utilizados mais recentemente;
 � histórico da internet, como histórico de pesquisa, URL, título, data, etc.;
 � informações de mídia recuperadas, incluindo nome do arquivo de 
música, artistas e gênero; nomes de arquivos de vídeos e imagens; infor-
mações sobre quais arquivos de mídia foram abertos pelo usuário, etc.;
 � versão do dispositivo e número de série.
Cabe ressaltar que a metodologia de aquisição e análise de vestígios em 
smart TVs também varia de acordo com o fabricante e o modelo. Boztas, 
Roeloffs e Riethoven (2015) e Lennert (2017) utilizaram os métodos recém-
-mencionados numa smart TV da marca Samsung e obtiveram bons resultados 
com o NFI Memory Toolkit II e com o uso de aplicativo. Em geral, apesar dos 
riscos, o MTK II, por ser baseado em hardware e não estar sujeito a alterações 
pelas atualizações de firmware, foi considerado o método mais viável.
Podemos afirmar que os sistemas embarcados estão completamente 
inseridos no dia a dia da sociedade, mas em sua maioria as pessoas usufruem 
das facilidades que eles proporcionam sem nem imaginar que estão fazendo 
uso de um computador. Frente ao vasto leque de dispositivos embarcados 
encontrados hoje em dia, é fora da realidade estabelecer protocolos rígidos 
para realização de perícia forense desses sistemas, exigindo que os peritos 
sustentem seus trabalhos em seus conhecimentos de princípios e métodos 
científicos. Além disso, no trabalho com sistemas embutidos, é fundamental 
que os peritos responsáveis sejam engenheiros eletrônicos e que possuam 
conhecimentos especializados e grande capacidade técnica para que cada 
caso seja tratado como único, levando em conta sempre a complexidade 
dessas perícias.
Análise em computação embarcada 13
Referências
ANTÔNIO VELHO, J. Tratado de computação forense. Campinas: Millennium Editora, 2016.
ATHAYDE, V. A. P. de. Forense computacional e criptografia. São Paulo: Editora Senac, 2019.
BOZTAS, A.; ROELOFFS, M.; RIETHOVEN, A. R. J. Smart TV forensics: digital traces on 
televisions. Digital Investigation, v. 12, supl. 1, p. S72–S80, 2015.
CARDOSO, J. M. P.; COUTINHO, J. G. F.; DINIZ, P. C. Embedded computing for high perfor-
mance. Cambridge: Elsevier, 2017.
LENNERT, E. C. Smart TV Forensics: digital traces on televisions. Orlando: Florida Forensic 
Science, 2017. Disponível em: https://www.floridaforensicscience.com/review-smart-
-tv-forensics-digital-traces-televisions/. Acesso em: 19 jul. 2021.
LIM, K.-S.; LEE, S. A methodology for forensic analysis of embedded system. In: INTER-
NATIONAL CONFERENCE ON FUTURE GENERATION COMMUNICATION AND NETWORKING, 
2., 2008. [S. l.]: IEEE, 2008. 
OMNISCI. Embedded system. [S. l.]: Omnisci, 2021. Disponível em: https://www.omnisci.
com/technical-glossary/embedded-systems. Acesso em: 19 jul. 2021.
Os links para sites da web fornecidos neste capítulo foram todos 
testados, e seu funcionamento foi comprovado no momento da 
publicação do material. No entanto, a rede é extremamente dinâmica; suas 
páginas estão constantemente mudando de local e conteúdo. Assim, os editores 
declaram não ter qualquer responsabilidade sobre qualidade, precisão ou 
integralidade das informações referidas em tais links.
Análise em computação embarcada14