ultimamente ta todo mundo falando da tal "devassa digital" e do uso do Cellebrite Premium em investigações. sera q a ferramenta é tudo isso mesmo? ou é mais hype do q realidade? (´。• ᵕ •。`)
como dev q trabalha com cloud e infraestrutura, segurança de dados é tema do meu dia a dia. compliance, LGPD, proteção de dados sensíveis de clientes. resolvi escrever o q aprendi sobre como essa tecnologia funciona de verdade.
O que é o Cellebrite?
a Cellebrite é uma empresa de israel q vende o UFED e o Premium. são ferramentas de forense digital usadas por agências de segurança e investigação de vários países.
o diferencial deles é q conseguem extrair dados de dispositivos mobile mesmo sem a senha do usuário. isso acontece pq eles utilizam vulnerabilidades conhecidas (zero-days) q ainda nao foram corrigidas pelos fabricantes.
o foco principal é MOBILE. zap, fotos, localização, até arquivos deletados. a licença é do tipo "unlimited", entao a polícia pode analisar quantos celulares precisar durante o período do contrato.
A lenda da "Gaiola quebra senha"
a midia fala mto da Gaiola de Faraday, mas explica tudo errado.
colocar o celular na gaiola NAO quebra a criptografia. a gaiola só bloqueia o sinal (4g/wifi). pra q serve entao?
- evitar o remote wipe. pro dono nao mandar um comando remoto pra apagar o celular.
- evitar bloqueio. alguns celulares bloqueiam certas portas de dados se conectarem na rede.
entao a gaiola é só pra segurar o celular "vivo" até o equipamento ser plugado.
Senha vs Biometria (Rosto/Dedo)
aqui ta o maior erro das pessoas. achar q face id é mais seguro. nao é!
a biometria é conveniente, mas tem uma fraqueza física. se alguém te obrigar a encostar o dedo no sensor ou colocar o cel na sua frente, o aparelho desbloqueia.
biometria pode ser coagida fisicamente. senha alfanumérica depende da sua cooperação consciente. numa situação de risco, a senha é a única proteção q nao pode ser forçada sem sua vontade.
segure power + volume (iphone) ou ative o lockdown mode (android). isso desativa a biometria na hora e só libera com a senha. é um recurso do sistema, nao uma gambiarra.
A Ilusão da Nuvem (Google Drive não é cofre!)
essa é clássica. "ah, mas meu google drive é criptografado".
errou feio. o Google (e Dropbox, OneDrive, iCloud padrão) usa criptografia Server-Side. isso significa q eles embaralham seus arquivos, mas eles também guardam a chave.
se um funcionário quiser, ou um invasor conseguir acesso, ele descriptografa e pega tudo. seus dados estão "trancados", mas a chave tá na portaria do prédio, não no seu bolso.
no meu setup (usando AWS S3 e outros object storages seguros), eu uso minha própria chave de criptografia. se vc nao tem a chave privada, vc nao tem segurança real.
O "Fantasma" do Navegador (Cache)
mta gente acha q fechar a aba resolve. nao resolve.
quando vc navega, o chrome/firefox baixa imagens, scripts e pedaços de páginas pro seu pc pra carregar mais rápido depois. isso é o Cache.
a perícia forense usa isso. mesmo q vc nao tenha o histórico salvo, é possível reconstruir o q vc viu analisando a pasta de cache. até thumbnails q vc viu no windows explorer ficam salvas em arquivos como thumbs.db ou iconcache, mesmo se vc deletar o arquivo original.
"Deletar" não é "Sumir"
essa parte é perigosa.
quando vc clica em "Deletar" e esvazia a lixeira, o windows/linux NAO apaga o arquivo. ele só marca aquele espaço como "livre pra escrever em cima".
os dados continuam lá intactos até q vc grave outra coisa por cima. ferramentas simples recuperam isso em segundos.
SSD vs HDD: Como limpar de verdade?
pra se proteger disso, a técnica muda dependendo do disco.
a única solução é sobrescrever (escrever zeros ou lixo por cima). ferramentas como shred no linux funcionam bem aqui.
NAO use shred comum! sobrescrever ssd estraga a vida útil dele e nao garante q apagou (por causa do wear leveling). a solução é o comando TRIM / BLKDISCARD ou Crypto-Shredding (explicado abaixo).
O ataque "Cold Boot" e a RAM
se vc usa criptografia no pc (Bitlocker/LUKS), nunca deixe em suspender/sleep.
enquanto o pc ta ligado (mesmo com tela bloqueada), a chave da criptografia fica escrita na Memoria RAM em texto puro. existe uma técnica chamada Cold Boot Attack onde se resfria a memória RAM, remove ela e lê os dados em outro equipamento antes da energia sumir.
sempre use desligar completamente (shutdown), nunca sleep/hibernate, se o seu pc tiver dados sensíveis com criptografia ativa.
Crypto-Shredding: o padrão da indústria para SSDs
voltando ao problema do SSD: shred e sobrescrita não funcionam porque o firmware redireciona as escritas (wear leveling). a solução padrão da indústria, inclusive usada por AWS, GCP e Azure pra descarte de discos, é o Crypto-Shredding.
em vez de apagar os dados diretamente, você encripta o volume inteiro com uma chave AES-256 gerada aleatoriamente, e depois descarta só a chave. o resultado? os dados continuam lá fisicamente, mas são matematicamente irrecuperáveis sem ela. é exatamente o que o comando blkdiscard com criptografia ativa (LUKS) faz no Linux.
esse modelo é documentado pelo NIST SP 800-88 (Guidelines for Media Sanitization) como método aprovado de sanitização pra mídias de estado sólido. é o mesmo princípio por trás do "Erase All Content" do iPhone: o dispositivo não apaga os dados, ele descarta a chave de criptografia que protege o volume.
se o volume estiver criptografado com LUKS desde o início, o "wipe seguro" se resume a: cryptsetup erase /dev/sdX. isso destrói o key slot e torna o volume inacessível de forma irrecuperável, sem precisar sobrescrever byte a byte.
a lição é: criptografe o disco desde o início (LUKS no Linux, BitLocker no Windows, FileVault no Mac). se você fizer isso, o "wipe" no fim da vida do disco é trivial e confiável. se não fizer, você vai ter dor de cabeça tentando garantir o descarte seguro depois.