O Departamento de Polícia de Lake Jackson lida com uma ampla variedade de crimes, incluindo vítimas/exploração de crianças, roubo, homicídio e crimes cibernéticos. Com dispositivos digitais aparecendo em quase todas as investigações, ter as ferramentas certas e pessoal treinado é fundamental para resolver mais casos com mais rapidez. Crédito: Fotografia cortesia do Departamento de Polícia de Lake Jackson

Pequenos departamentos forenses digitais de uma pessoa devem fazer muito com muito pouco.

Casos maiores, resolvidos por grandes agências repletas de recursos, podem gerar mais manchetes, mas a maioria das comunidades depende de forças policiais reduzidas para realizar a árdua tarefa de mantê-las seguras com apenas alguns policiais. Como revela a última Pesquisa de tendências digitais de 2022 da Cellebrite, 49% dos gerentes de agência classificam a estratégia de transformação digital de sua organização como “insuficiente” ou “fraca”. E 1 entre 10 agências reclamou que não possui absolutamente nenhuma estratégia de inteligência digital.

 

As agências concordaram quase por unanimidade que o uso de inteligência digital é fundamental para encerrar os casos com mais rapidez (81% dos gerentes de agência concordaram ou concordaram plenamente que a probabilidade de encerrar um caso aumenta quando há uma evidência digital disponível). O problema é como você começa sua transformação digital para obter as ferramentas necessárias a fim de proteger, gerenciar, analisar e compartilhar inteligência aplicada e treinar os membros das equipes para enfrentar os desafios da perícia digital?

Essa é uma tarefa bastante difícil para os departamentos menores, pois muitos deles têm apenas um funcionário, que utiliza um pequeno espaço como laboratório de perícia digital e uma dezena de dispositivos dos quais extrair dados legalmente. Geralmente essa pessoa não é um examinador forense que trabalha período integral. Talvez seja alguém que aceitou essa função porque tem interesse em tecnologia ou quer ajudar seus colegas da polícia a resolver mais casos, mas normalmente é uma tarefa extra, que se soma aos seus deveres regulares.

Como muitos departamentos, o Lake Jackson PD foi prejudicado por equipamentos desatualizados que atrasam as investigações. No momento, eles estão atualizando seu sistema para lidar com vários dispositivos simultaneamente, o que agilizará o tempo de evidência e reduzirá o acúmulo de casos. Crédito: Fotografia cortesia do Departamento de Polícia de Lake Jackson

Muitos desses oficiais que administram seus próprios laboratórios de perícia digital com um único homem também veem como um obstáculo a dependência que seus dispositivos simples têm dos grandes departamentos repletos de recursos, pois seus casos nunca serão prioridade e o tempo para receber uma resposta de inteligência aplicada dos colegas dos grandes departamentos pode levar até meses.

O Detetive Sargento (DS) Christopher Collins, do Departamento de polícia de Lake Jackson em Lake Jackson, no Texas, entende o que significa ser o único examinador digital em um departamento. Ele é basicamente uma banda de um homem só. Em sua atual função, DS Collins é responsável pela maioria dos crimes e delitos. Geralmente os casos dele incluem exploração infantil, roubo, homicídio e crimes digitais.

DS Collins também é um Oficial da força-tarefa da ICAC. Atualmente ele está ligado à Força-tarefa da ICAC da Houston-Metro, onde é responsável pelos casos da ICAC, e ao NCMEC CyberTips no extremo sul do Condado de Brazoria.

Ele também é Examinador forense de perícia em dispositivos móveis responsável por processar e capturar dados digitais de dispositivos móveis.

Como DS Collins explicou em uma recente entrevista, “A menos que seja um caso grave, como um roubo seguido de morte, geralmente eu não faço uma análise detalhada do dispositivo. Faço apenas uma pesquisa preliminar de qualquer tipo de dado que tenha sido excluído, algo mais importante que precise ser levantado, como analisar detalhadamente um sistema inteiro e vasculhar lugares que não podem ser encontrados com facilidade”.

Na maioria dos dispositivos, ele apenas captura a extração, roda os dados através do Physical Analyzer e do Cloud Analyzer e produz um relatório no Cellebrite Reader para ajudar o detetive responsável pela investigação a examinar os dados.

O Sargento Detetive (DS) Christopher Collins, que opera o laboratório forense digital em Lake Jackson PD por conta própria, lidou com até 20 dispositivos em um único caso. As soluções da Cellebrite atuam como um multiplicador de força para ajudá-lo a ativar os dispositivos rapidamente e fornecer aos investigadores a inteligência acionável de que precisam para agilizar o fechamento de casos. Crédito: Fotografia cortesia do Departamento de Polícia de Lake Jackson

Desafios

Não é de surpreender que DS Collins enfrenta inúmeros desafios que aqueles que trabalham em pequenos departamentos conhecem muito bem.

Múltiplas funções: Ter que dividir seu tempo entre trabalhar nos casos e realizar perícias digitais é algo difícil de administrar.

Contenção de gastos: Como em muitos departamentos, os recursos financeiros são sempre um desafio e, embora o Safer America Plan e o America Rescue Plan da atual administração prometam fundos para a segurança pública, DS Collins não vê planos de chover dinheiro em seu departamento.

Equipamentos antiquados: Embora esteja prestes a solucionar esse problema, atualmente ele está trabalhando em um sistema que era de um caso da ICAC em 2012 e que ele ganhou de presente de outro departamento.

“É uma máquina boa”, disse DS Collins. “O único problema é que ela é antiga. Em uma extração telefônica simples para obter a captura da imagem do telefone e rodá-la no Physical Analyzer, eu levo de 45 minutos a quatro ou cinco horas. Em alguns casos, em que fazemos vasculhamento de locais e outros tipos de vasculhamento automatizado, já deixei telefones rodando de 15 a 24 horas”.

Muitos dispositivos: “Um caso recente envolvia 20 dispositivos. Quando temos que fazer a captura de dados de tantos dispositivos em um único caso, não sobra tempo para ajudarmos em outros aspectos da investigação.” Conforme DS Collins descreveu, ele tem sorte de só capturar os dados.

Velocidade lenta do USB: “Quanto à captura real dos dados, não há quase nada que possamos fazer para mudar isso”, explicou DS Collins. “Somos prejudicados pelas velocidades de USB e de paradas”.

DS Collins está aguardando a entrega de uma estação de trabalho de computação forense no valor de US$ 25 mil, que ele acredita que será um divisor de águas. “Eu expliquei para eles [meus superiores] que a captura demora um certo tempo. Mas para ter relatórios prontos para outros investigadores revisarem, eu preciso de um sistema que seja robusto o suficiente para rodar duas, três e até quatro instâncias do Physical Analyzer de uma vez. Dessa maneira, posso terminar o trabalho com esses dispositivos rapidamente para não atrapalhar a investigação enquanto esperam por mim”.

Usar a tecnologia como um multiplicador de força

Nos dois anos em que ocupa sua atual posição, DS Collins aprendeu a usar a tecnologia como um multiplicador de força para modernizar seu fluxo de trabalho e obter as informações das quais os investigadores precisam para avançar nos casos o mais rápido possível.

Agora ele está utilizando o Cellebrite UFED 4PC, o Physical Analyzer e o Cloud Analyzer. E embora ele adoraria ter o Cellebrite Premium e o Pathfinder, hoje ele envia os dispositivos que precisam passar por essas soluções para o gabinete do xerife do Condado de Brazoria ou para o Departamento de polícia de Angleton nas proximidades, dependendo de qual departamento tem disponibilidade para devolver o dispositivo mais rápido.

Claramente DS Collins gosta das soluções que está usando. “O UFED 4PC facilita demais rodar uma extração telefônica e capturar evidências. Com as instruções na tela, quase não restam dúvidas sobre o que deve ser feito, pois ele mostra as etapas que devem ser seguidas”.

“Se for preciso colocar o telefone no modo DFU, ele explica como fazer isso. As configurações que precisam ser alteradas dentro do telefone estão contidas aqui, então isso facilita muito o fluxo de trabalho”.

“Rodá-los [os dados] no Physical Analyzer, enquanto eu espero que mais dados tenham sido analisados nos sistemas de arquivos completos, apresenta na tela tudo que eu capturei e analisei. Ele apresenta essa tela com o resumo da extração e eu amo essa tela. Ele mostra quais extrações foram concluídas ou incluídas no relatório e detalha fotos, vídeos, mensagens de texto, mensagens instantâneas e localizações do dispositivo. Fica muito mais fácil operar no fluxo de trabalho”. Ele também é um grande fã do Cloud Analyzer.

Quando o novo promotor público chegou, DS Collins trabalhou com ele para adicionar uma linguagem específica aos mandados em “Itens a serem pesquisados” para incluir quaisquer bancos de dados e programas. E como ele explicou, é fantástico o uso do Cloud Analyzer para tokens ou qualquer coisa parecida para acessá-lo e para capturar as informações que estão nesses bancos de dados para um usuário específico ou quaisquer contas de usuário especificamente vinculadas a esse dispositivo. Ele captura todas as informações que você possa querer dessas fontes.

“Outra coisa [que gosto] do Cloud Analyzer são os perfis públicos em nuvem e os perfis de rede social que o Cloud Analyzer consegue capturar. Ao digitarmos uma URL ou um nome de usuário, ele captura as imagens públicas. Pois às vezes é possível que a parte pública [de um suspeito] na rede social seja aberta, o que reduz a necessidade de entrar no perfil, fazer uma captura de tela arcaica, recortar e todas aquelas coisas. Dessa maneira, não preciso carregar a foto no Microsoft Paint, recortar e colar. Explicar todo esse processo no tribunal soaria quase amador, mas o uso do recurso do Cloud Analyzer para realizar essa tarefa parece algo muito mais profissional em termos jurídicos”.

O caso

Em um caso ainda pendente, o Departamento de polícia de Lake Jackson recebeu uma pista cibernética do National Center for Missing & Exploited Children (NCMEC) referente a uma criança que relatou abuso de um parente. Para reunir evidências, DS Collins usou o Cellebrite Pathfinder para checar suas descobertas com um software secundário rodando o reconhecimento facial através do Pathfinder das imagens conhecidas da criança.

Embora a análise de 40 GB de imagens/vídeos de material de abuso sexual de menores (CSAM) não retornasse muitos resultados, ainda assim era um grande passo para a tecnologia, pois poupou DS Collings de ter que examinar 2.700 arquivos manualmente para verificar um por um. Nos dias de hoje, embora a preservação da saúde mental dos investigadores seja de suma importância, ter uma solução de tecnologia que possa poupar um investigador de passar meses examinando imagens explícitas é uma grande vitória.

“Os artefatos que a Cellebrite me ajudou a encontrar me levaram a descobrir que ele [o suspeito] era especialista em esconder pistas, pois havia artefatos mostrando logs de instalação, desinstalação e várias coisas do tipo que eu pude encontrar através dos bancos de dados knowledgeC e interactionC”.

Um outro caso já havia sido montado em relação ao suspeito antes de DS Collins entrar na investigação. Ele encontrou imagens relacionadas à vítima, o que, sem dúvida, ajudou no caso, mas o fato de grandes caches de imagens terem sido descobertos prejudicou o suspeito e aumentou a acusação contra ele, que agora está sob custódia aguardando julgamento.

Conselho para oficiais que atuam sozinhos

Quando perguntado sobre que conselho ele daria para oficiais que, assim como ele, atuam sozinhos em seus departamentos sobre o uso de tecnologia digital para atender melhor às comunidades e diminuir as falhas de segurança pública, DS Collins disse o seguinte:

Participe de treinamentos: “Faça o máximo possível de treinamentos gratuitos. Peça ajuda. Se seu departamento fizer parte da Força-tarefa da ICAC, faça o treinamento da ICAC. Eles têm uma série de recursos para treinamento que são gratuitos ou que têm baixíssimo custo.”

O National White Collar Crime Center (NW3C) tem inúmeros treinamentos disponíveis.

O National Training and Technical Assistance Center tem alguns recursos de treinamento disponíveis para crimes cibernéticos on-line. Se houver disponibilidade, solicite fundos ou concessões para treinamentos de alto custo.

Faça os treinamentos da Cellebrite. Como explica DS Collins “Esse foi um dos melhores cursos que eu já fiz. E a pessoa que me treinou, meu instrutor de CCO e CCPA, eventualmente me pressionava para conseguir meu CCME porque percebeu que eu tinha um bom desempenho em sala de aula. Ele foi um excelente instrutor”.

Consiga fundos: Embora haja fundos federais disponíveis, DS Collins recomenda que aqueles que estão buscando fundos para transformar seus departamentos não foquem exclusivamente em concessões federais

“Há várias empresas privadas com fundos disponíveis. Em nossa área, são muitas indústrias químicas. Elas estão, com o perdão da palavra, buscando deduções fiscais. Então você chega até elas e diz “Olha, preciso de um computador que custa US$ 25 mil” e elas dizem “Tudo bem, aqui está o cheque. Só coloque nosso nome aqui ao lado ou mencione nossa indústria em algum artigo ou algo do tipo. E nos dê um feedback positivo que diga que atendemos suas expectativas”.

“Existem lugares como o Firehouse Subs que oferecem concessões para a segurança pública. Então não busque apenas concessões federais. Porque cada vez que recorre a essas concessões federais, você é apenas uma das 60.000 agências pedindo a mesma coisa, e talvez não seja o escolhido, ao contrário de recorrer aos Firehouse Subs, [onde o grupo de pessoas disputando uma concessão é muito menor]”.

Ao explicar como esses Firehouse Subs funcionam, DS Collins disse “Nós pedimos US$ 25 mil para comprar uma estação de trabalho forense e éramos uma das 600 agências pedindo dinheiro, ou seja, é um grupo extremamente menor. Mesmo que não ganhássemos a concessão, nossas chances ainda eram maiores – 60.000 contra 600. Então não se esqueça das empresas privadas e [sem fins lucrativos]. Mesmo que elas não sejam da sua área, entre em contato com elas”.

Estabeleça procedimentos operacionais padrão: DS Collins está criando um curso de extração de evidência de dispositivos móveis para patrulheiros de nível básico e até detetives, pois eles precisam estar preparados para saber como manipular dispositivos recolhidos na cena do crime.

Ele quer tornar esse curso obrigatório, pois muitas vezes os dispositivos móveis que ele recebe das várias forças policiais que o departamento dele atende (toda a área sul do Condado de Brazoria) estão em condições não ideais para extração, o que consome um tempo considerável da investigação.

“Eu vou torná-lo obrigatório e vou dizer: Olha, se quiser me entregar os dispositivos móveis, você deverá indicar mais pessoas para esse curso de extração que eu desenvolvi que ensina coisas como: Ao recolher um telefone, não o desligue. Não remova o cartão SIM. Coloque-o no modo Avião”.

Use uma Bolsa Faraday: “Eu tenho três bolsas Faraday com baterias externas que estão sempre carregadas, apenas esperando para serem usadas”, explicou DS Collins. “Se eu tiver alguma emergência, tenho as baterias externas que estão em um pequeno malote. Próximo da bateria externa, tem um USB-C, um cabo Lightning e também um cabo de carregamento Micro-USB para os três. Portanto, se precisar de algum deles, eles estarão disponíveis. Para aumentar a segurança, eu sugeri aos meus oficiais para colocá-lo no modo Avião, conectá-lo à bateria, colocá-lo dentro de uma bolsa Faraday e depois me ligar. Eu não me importo que seja três horas da manhã, nós vamos resolver isso”.

O que inspira DS Collins

Quando perguntado sobre o que o motiva a levantar da cama todas as manhãs e fazer seu trabalho, DS Collins parou por alguns instantes e disse: “Basicamente é para fazer justiça pelas vítimas. Eu sei que mesmo que fizermos nosso melhor, encontrarmos o responsável e colocá-lo na prisão sem chance de sair, nós não vamos restaurar completamente a vida dessa pessoa. Mas isso ajuda. E ajudar uma vítima a voltar à sua vida normal é algo insuperável. Ela não precisa se preocupar com o criminoso ou andar olhando para trás com medo de ser uma vítima novamente. Isso é o que mais me motiva, proteger as crianças”.