Prova penal digital: relatórios do Cellebrite podem ser insuficientes?

Limites do tema abordado

Spacca

A era digital transformou radicalmente a forma como as evidências são coletadas e utilizadas no domínio penal. Vestígios digitais tornaram-se peças-chave em investigações e processos judiciais em todo o mundo, exigindo a literacia (alfabetização e letramento tecnológico). O desafio é o que com a rápida evolução tecnológica, a ausência de entendimento e compreensão sobre a estrutura e o funcionamento do “mundo digital” causam interpretações limitadas, equivocadas e ingênuas quanto à conformação das provas penais digitais. A abordagem pretende traduzir em linguagem simples a complexidade da temática, direcionada a todos que pretendem aprender mais. Aliás, o desafio diário.

Distinguir a prova analógica da prova digital

Em primeiro lugar cabe distinguir a prova analógica da prova digital:

1. Prova analógica: refere-se a algo físico e que muda de forma contínua. Pense em uma onda sonora de um latido, que é uma pressão física no ar com variações suaves, ou em um feixe de luz, que é um fenômeno físico contínuo. A prova analógica, em suma, é o objeto ou fenômeno em si, com suas características físicas, preservadas por cadeia de custódia analógica (CPP, artigo 158-A).

2. Prova digital: é aquela “feita de números”. Um sinal analógico (como som ou luz) é capturado por um dispositivo e convertido em uma série de valores numéricos discretos, em geral, no formato binário (0 e 1). A conversão resulta em “dados discretos”, que só podem assumir valores específicos, em contraste com a mudança contínua do analógico. P.ex., uma imagem digital é composta por milhões de “pixels”, cada um com um número (hexadecimal) que define sua cor.

Em síntese, a prova analógica existe no mundo físico, enquanto a prova digital é um conjunto de números binários (0 e 1). Tudo é representado em linguagem binária (se você quiser ver como funciona a conversão teste aqui).

Implicações nos diferentes tipos de cadeia de custódia

Em segundo lugar, a diferença fundamental entre analógico e digital impacta diretamente a estrutura e finalidade da cadeia de custódia:

1. Cadeia de custódia analógica: o foco principal é o rastreamento e a preservação da integridade de um objeto físico previamente existente. É como seguir a trajetória de um documento físico original, uma arma ou qualquer item tangível: quem o teve, quando, onde e em que condições. O objeto material é a prova principal em si (o objeto precede à cadeia de custódia).

2. Cadeia de custódia digital: É intrinsecamente mais complexa. Começa com a captura de um fenômeno (analógico) e sua transformação em ‘dados numéricos’. Em consequência, a existência no mundo físico depende da “extração” dos dados e a cadeia de custódia digital deve documentar tanto quem acessou o dispositivo físico, como também: a) Documentar alterações e suas consequências; b) O software, as técnicas e os métodos utilizados para a captura e conversão (do analógico para o digital e vice-versa); c) Processos de coleta, aquisição, armazenamento, transferência, processamento e análise subsequentes; e, d) Especialmente o acesso e a preservação dos dados brutos originais (a sequência numérica ou binária original, antes de qualquer processamento ou interpretação), único mecanismo de aferição efetiva do conteúdo, garantindo o exercício da ampla defesa e do contraditório digital. O objeto da prova somente existe no mundo analógico com a extração adequada (antes somente números binários), diferente do objeto material (físico).

Em síntese: Ao contrário da prova analógica, que se refere a algo físico com mudança contínua, a prova digital é composta por números que representam dados discretos. A distinção exige que os processos de apreensão, preservação e análise sejam conduzidos com precisão técnica e transparência global. A dificuldade reside em assegurar que a evidência digital apresentada em juízo seja a mesma que foi originalmente coletada, sem alterações, omissões ou manipulações. Daí a importância de extrações e perícias adequadas. Dentre as ferramentas, aborda-se o Cellebrite.

Cellebrite: possibilidades e conformidades

1. O que é?

É uma empresa israelense, líder global em soluções de forense digital e inteligência de dados. No complexo domínio forense digital, o Cellebrite emergiu como uma líder global, fornecendo ferramentas essenciais para que agências de segurança e aplicação da lei possam extrair, decodificar e analisar dados de dispositivos móveis e outras fontes digitais.

Spacca

Em síntese, o trabalho do Cellebrite é permitir o acesso a informações relevantes à investigação de crimes armazenadas em smartphones, tablets e outros dispositivos, mesmo quando protegidos por senhas, PINs ou criptografia e dados armazenados da nuvem, possibilitando, inclusive por meio de extração das credenciais salvas no celular. Por meio de métodos de extração avançados (full file system), busca obter o máximo de dados possível, incluindo aqueles excluídos ou fragmentados, sendo uma ferramenta indispensável na investigação digital moderna.

Daí a sua importância no contexto da prova penal. Em complemento, o Cellebrite Reader oferece uma forma acessível para que partes interessadas (Ministério Público e Defesa) possam visualizar esses casos e relatórios exportados (UFDR). Entretanto, com limitações inerentes ao Cellebrite Reader (visualizador).

2. Quais os tipos de relatórios entregam?

Antes de continuarmos, no entanto, cabe especificar o que são UFDR, ZIP, UFDX e UFD no contexto do Cellebrite, a partir dos dados brutos:

Dados brutos (raw data) é o nível mais fundamental. Refere-se à aquisição dos dados do dispositivo antes de qualquer processamento ou interpretação significativa por um software ou pelo operador. Exemplo clássico é uma imagem forense. E01, que é um clone exato do meio de armazenamento original, com logs de extração. Para dispositivos móveis, a extração preserva os dados em seu formato mais “cru” também pode ser considerada “dados brutos” no contexto da aquisição, priorizado o método de extração mais completa possível.

Em artigo publicado aqui nesta ConJur, com Daniel Ávilla e Dellano Sousa, especificamos:

“UFD e UFDR: qual a diferença? Vamos estabelecer a diferença entre os dois tipos de arquivos da Cellebrite que frequentemente geram confusão: o UFD e o UFDR. Apesar de parecidos nos nomes, eles têm funções bem diferentes.

[a] UFD: o arquivo UFD é criado no momento da extração dos dados do celular, armazenando as informações técnicas sobre essa coleta, como data, horário, tipo de cabo usado e versão do equipamento. Mais importante: contém uma assinatura digital especial (HMAC), que serve como uma espécie de “cadeado” para garantir que nada ali foi alterado depois. Se alguém tentar mexer nesse arquivo, o sistema consegue identificar que ele foi modificado.

[b] UFDR: o arquivo UFDR é criado depois, durante o processamento dos dados que foram extraídos, produzindo uma espécie de “relatório”, gerado pelo programa Cellebrite Physical Analyzer, com o fim de organizar os dados para consulta (mensagens, fotos, contatos etc.), favorecendo a visualização e análise operacional do conteúdo por peritos, investigadores, advogados e autoridades, inclusive por meio do Cellebrite Reader. Em resumo: Enquanto o UFD é um registro técnico da coleta bruta dos dados, o UFDR é o documento que permite visualizar de modo estruturado e acessível, o conteúdo coletado”.

Novas definições antes de prosseguirmos: hash e tipos de extração

1. Hash: embora os ‘hashes’ possam soar intimidadores, trata-se de um conceito bastante simples quando explicado com uma boa analogia da impressão digital humana. O que é um ‘Hash’? Considere que cada arquivo digital (documento, fotografia, vídeo, registro do sistema) tem uma espécie de “impressão digital única”. A impressão digital é o que chamamos de hash. É uma sequência de letras e números gerada por um processo matemático (chamado algoritmo de hashing) que “lê” todo o conteúdo do arquivo.

Como funciona a “máquina de impressão digital”. Pense em uma máquina especial. Você coloca qualquer arquivo digital nela, não importa o tamanho e a máquina processa o arquivo e, como resultado, entrega uma sequência única de letras e números. Eis que sequência é o hash. P.ex.,o, um hash pode parecer algo como a1b2c3d4e5f678901288567990abcdef. É verdade que existem algoritmos mais seguros e outros menos (SHA-256, SH-512 etc.). Mas isso é para outro momento, embora você encontre mais aqui.

Por enquanto, o mais importante é garantir a consistência do arquivo (sempre o mesmo), sensibilidade (qualquer alteração é detectada), direção única (não se consegue pegar um hash e recriar o arquivo original. Seria como tentar reconstruir uma pessoa apenas a partir de sua impressão digital. Aqui veja como funciona) e estabilidade (mesmo hash no futuro, se não alterado)

Por que os ‘hashes’ são relevantes para a integridade dos dados digitais? A importância está em dois pontos:

a) Garantia de que a prova não foi alterada: quando um vestígio digital é coletado (p.ex., pendrive, disco rígido etc.), o primeiro passo é calcular o hash do arquivo ou do disco inteiro. O hash é registrado e guardado como um “selo”. Posteriormente, quando essa evidência for examinada novamente (peritos, defesa, acusação), o hash é calculado do material digital e comparado com o que foi apresentado. Se o novo hash for idêntico ao hash original registrado: é a prova de que o arquivo ou o disco não foi modificado, adulterado, copiado incorretamente ou corrompido desde o momento em que foi coletado. Sua integridade está confirmada. Se os hashes forem diferentes: é um sinal de alarme imediato! Significa que o dado digital foi alterado de alguma forma. Pode ter sido intencionalmente manipulado ou também pode ter sido corrompido durante uma cópia malfeita ou em alguns casos por defeito na mídia que o armazenou. A integridade da prova foi comprometida;

b) Fundamento da cadeia de custódia digital: o hash age como um marcador imutável, permitindo que todos os envolvidos no processo (acusação, defesa, julgador) tenham confiança de que o dado digital que está sendo analisado é exatamente o mesmo que foi originalmente coletado como vestígio. Sem o uso de hashes para verificar a integridade, seria muito mais fácil para as partes alegarem que uma evidência digital foi manipulada ao longo do tempo.

Em resumo, os hashes são como impressões digitais matemáticas para os dados digitais, conferindo de maneira rápida, confiável e objetiva de verificar se um arquivo ou sistema permaneceu inalterado. Servem de garantia da autenticidade e a integridade de uma prova digital, tornando-a confiável e admissível em um processo judicial.

2. Tipos de extração: dentre os métodos de extração, cabe distinguir: a) Extração lógica: acessa os dados através das APIs (interfaces de programação de aplicativos) do sistema operacional do dispositivo, como se fosse um aplicativo legítimo; b) Extração física: tenta criar uma cópia exata, bit-a-bit, da memória do dispositivo. Este é o método mais completo, pois captura todos os dados, incluindo aqueles que foram deletados ou fragmentados, todavia está ficando obsoleta devido aos métodos de criptografia atual dos dispositivos; c) Extração do sistema de arquivos: obtém acesso à estrutura de arquivos do dispositivo; ou, d) Extração de nuvem: permite acessar dados armazenados em contas de nuvem associadas ao dispositivo (com autorização legal apropriada). O importante é a aquisição completa dos dados brutos.

Integridade e cadeia de custódia da prova digital

Para que a prova digital seja admissível e confiável, a integridade e a cadeia de custódia são atributos inegociáveis. A integridade refere-se à garantia de que os dados não foram alterados desde sua apreensão, assegurado por meio de hashes criptográficos (como SHA-256), que geram uma “impressão digital” única para cada conjunto de dados. Qualquer modificação, por menor que seja, altera drasticamente o valor do hash, tornando a manipulação detectável.

Embora formatos como UFDR (Cellebrite) preservem mais detalhes do que relatórios PDF ou Docx, podem ser insuficientes para uma análise forense completa e independente, porque são o resultado (produto; saída) de um processamento específico. Para uma análise forense verificável, a criação e entrega de uma imagem forense completa no formato bruto gerado pela ferramenta é o padrão ouro. A imagem forense é a mais completa, permitindo que qualquer ferramenta forense e a defesa realizem suas próprias verificações e análises independentes.

Quando relatórios se tornam insuficientes

Em um cenário hipotético onde um operador da ferramenta, não ético, manipula um dispositivo apreendido, os relatórios gerados pelo Cellebrite (UFDR) podem se tornar insuficientes para garantir a cadeia de custódia. Se o operador, por exemplo, inseri no UFDR somente o conteúdo que lhe interessa, as partes terão a possibilitar de analisar somente o conteúdo que lhe foi disponibilizado, em muitos casos sem a possibilidade de auditar sua integralidade. Essa ação quebra a cadeia de custódia ao apresentar um vestígio incompleto como se fosse o original.

A falta de acesso aos dados brutos completos e à oportunidade de reanálise pela defesa se torna crítica nesse contexto. Por isso, longe de se tratar de capricho, a defesa deve ter acesso integral aos dados brutos, com seus logs de extração, sendo insuficiente o relatório UFDR, produto da análise. Afinal, qual a dificuldade em conceder à defesa o direito de verificar a conformidade dos dados brutos, avaliando a origem dos dados sintetizados no relatório?

Conclusão

Para salvaguardar a integridade e admissibilidade da prova digital, é relevante que o sistema jurídico e as agências de aplicação da lei adotem e sigam rigorosamente os Procedimentos Operacionais Padrão (POPs) e ISOs, priorizando a extração mais completa possível em seus dados brutos. A documentação completa da cadeia de custódia, a transparência na utilização de ferramentas e métodos para que a defesa tenha ampla oportunidade de realizar análises independentes sobre os dados brutos são condições necessárias ao pleno exercício da ampla defesa e do contraditório em tempos digitais.

O treinamento contínuo dos agentes em forense digital e a conscientização sobre os riscos da manipulação são importantes para manter a confiança na prova digital. Entretanto, sem acesso aos dados brutos à defesa (UFDX, UFD e ZIP) e não somente o UFDR, inexiste devido processo legal digital. A defesa deve ter acesso integral aos dados brutos e logs de extração para fins de exercer o contraditório e a ampla defesa no contexto digital.