DevSecOps

14 fev, 2011

GPS Forensics III: apreensão, transporte e análise

Publicidade

Continuando a série sobre GPS Forensics, hoje falaremos sobre apreensão, transporte e análise de dados nos GPSs. Ainda não pensamos em “rootkits” para GPS, portanto, assim que tiver contato com a evidência, desligue-o utilizando os comandos apropriados. Tenha em mente que o dispositivo está trocando informações com o Satélite, o que poderá sobrescrever dados na memória. Congele o estado do dispositivo, mas, antes de desligar, cheque a versão para analisar se nenhuma senha será solicitada no bootloader.

Policiais também devem considerar que, antes de removerem veículos para delegacias ou pátios, devem observar se não existe dispositivo GPS, pois caso exista, devem manter o veículo no local até a chegada da perícia ou do profissional com habilidades para desligamento forense ou até mesmo primeiras coletas.

Lembrando que os GPSs podem ter até 2 GB de memória (TomTom) e buscam informações nos satélites U.S. NAVSTAR Global Positioning System (GPS), como aliás ocorre com a grande maioria dos modelos no mercado.

O examinador também deve ter uma estação forense própria para análise e ter a certeza de que não está periciando o GPS em um PC em que existam drivers do dispositivo. Com os drivers, ao detectar a conexão de um dispositivo, a aplicação irá rodar atualizações de mapas e outras informações, o que poderá destruir a evidência necessária.

Se o GPS indicar como último ponto de partida o endereço da delegacia de polícia… Concluam como desejarem!

Já no equipamento (TomTom), alguns arquivos são relevantes, entre os quais podemos citar:

  • MAPSETTINGS.CFG – Contém informações sobre mapas, itinerários e endereços nos favoritos;
  • CURRENTLOCATION.DAT – Contém a última posição do dispositivo quando foi desligado;
  • SETTINGS.DAT – Pode conter informações sobre provedor wireless, conexões e dispositivos móveis conectados;
  • Arquivos .ITI – Em alguns modelos também armazenam itinerários.

Para a análise dos arquivos em padrão DAT, recomendamos a ferramenta PoiEdit, capaz de exibir todos os registros armazenados em tais arquivos.