Dando continuidade à série GPS Forensics, falaremos mais sobre as premissas para o exame de dispositivos GPS. A TomTom é uma empresa que oferece uma gama de dispositivos para navegação automotiva. Para quem está habituado com “mobile forensics”, alguns dispositivos podem fornecer quase os mesmos dados de telefones celulares. Todos possuem um slot para um SD (cartão de memória) e um disco rígido interno.

Os dispositivos TomTom contam com um arquivo de localizações que contém endereços e lista dos destinos recentes, além de dados do próprio equipamento, sendo que nos modelos (GO) há ainda dados dos celulares que se conectaram ao dispositivo, incluindo MAC address.

Dentre as premissas para o exame de dispositivos GPS, podemos destacar como fundamentais:

• Remoção do SD card e leitura via write blocker ou USB (se for o caso com clonagem). Remoção com o dispositivo desligado;
• Se as evidências estiverem no disco interno, você terá que conectá-lo na estação forense. Para tanto, após conectado, ligue o equipamento para ele ser reconhecido como “external drive”;
• Nesse ponto, alguns cuidados são essenciais. Primeiro, certifique-se de que instalou um write blocker entre o dispositivo e a estação forense. Segundo, proteja o equipamento com uma gaiola de faraday, pois, ao ser ligado, o equipamento tentará busca satélite e, se isso for feito, as últimas informações de GPS fix serão sobrescritas no arquivo CurrentLocation.dat;
• De preferência, faça uma imagem do disco com disk definiton, cheque a integridade, desligue o equipamento e trabalhe na cópia binária;
• Na análise, observe que o equipamento salva os destinos recentes com a extensão .cfg, sendo que esses arquivos contêm informações como local da residência, favoritos, endereços inseridos manualmente, dados da última jornada, último GPS fix do dispositivo etc;
• Igualmente, em dispositivos que fizeram paridade com celulares, você poderá encontrar uma pasta “contatos” com informações sobre ligações e SMSs recebidos e enviados;
• Tenha em mente que um GPS é um computador, e a busca nos espaços não alocados é fundamental para resgatar dados que pereceram quando um suspeito, por exemplo, apertou o “reset” do dispositivo. É possível resgatar viagens anteriores e posição do GPS registradas antes do “reset malicioso”;
• Falsos positivos: nem sempre a origem da última jornada é realmente o local apontado como onde a viagem começou. Sempre que o usuário erra, o dispositivo replaneja a rota, e quando faz isso assume a posição atual como ponto de partida. Logo, a origem pode ser o local onde a viagem começou ou o local onde o criminoso estava na última vez que errou o trajeto;
• Arquivos .dat ou .cfg pode armazenar dados de “GPS fix” ou onde o dispositivo foi reiniciado após a pausa em uma viagem.

Como visto, muitas informações podem ser coletadas de um dispositivo GPS, informações que podem ter muita relevância em um caso judicial ou mesmo administrativo. No próximo artigo, falaremos mais sobre a apreensão e sobre a análise desses dispositivos.