R v F (2025): Addressing the Defence of Hacking

Este artigo apresenta um estudo de caso pioneiro sobre o caso R v F (2025), demonstrando como investigadores de forense digital podem refutar a defesa de "hacking" (ou "SODDI") através de evidências empíricas para auxiliar o sistema de justiça criminal na distinção entre inocentes e culpados.

O essencial

Imagine que você é um detetive particular e alguém é acusado de cometer um crime digital. A pessoa diz: "Eu não fiz isso! Meu computador foi hackeado por um gênio do crime cibernético que usou um 'Cavalo de Troia' invisível para colocar as provas na minha máquina."

Esse é o famoso "Defesa do Hackeamento" (ou, como o autor chama de forma divertida, a defesa do "Alguém Outro Fez Isso").

Este artigo, escrito por Junade Ali, conta a história real de um caso chamado R v F, onde essa defesa foi usada, mas foi desmontada peça por peça. Aqui está a explicação simples, usando analogias do dia a dia:

1. O Cenário: A Acusação e a Desculpa

Um homem (vamos chamá-lo de "F") foi preso porque imagens ilegais foram encontradas no celular dele.

• A Acusação: O homem tinha essas imagens.
• A Desculpa (A Defesa): "Não fui eu! Meu celular foi invadido por hackers. Eles colocaram as imagens lá sem eu saber."

O problema é que, na internet, é fácil dizer "foi o vizinho" ou "foi um hacker", mas difícil provar. O autor do artigo, um especialista forense, foi chamado para investigar se essa história fazia sentido.

2. A Investigação: O Detetive e o "Teste de Realidade"

O especialista não apenas olhou os arquivos; ele usou uma abordagem em três etapas, como um detetive que não aceita desculpas fáceis:

• Etapa 1: O "Teste do Senso Comum" (Investigação Preliminar)
  A defesa apresentou uma conta de telefone dizendo que havia "atividade estranha" na rede. O especialista explicou que isso era como culpar o vento por ter derrubado uma garrafa de água: era apenas um erro de leitura da fatura. A "atividade" era normal.
  Além disso, a defesa disse que as senhas foram roubadas. Mas o especialista mostrou que, para colocar as imagens lá, o hacker precisaria ter controle total do número de telefone, não apenas da senha. Era como tentar entrar em uma casa trancada apenas com a chave da porta da frente, quando a janela estava trancada por dentro.

• Etapa 2: A Autópsia Digital (Investigação Forense)
  O especialista olhou dentro dos celulares (um iPhone e um Android) como se fosse um médico fazendo uma autópsia para ver se havia "ferimentos" de um ataque.

  • O que eles procuravam: Rastros de hackers, como "portas traseiras" (backdoors) ou vírus invisíveis.
  • O que encontraram: Nada. Os celulares estavam limpos. Não havia sinais de que alguém entrou à força.
  • A Analogia: Imagine que você encontra um bolo estragado na sua cozinha. A defesa diz: "Um fantasma entrou e estragou o bolo". O especialista abre a geladeira, checa os ingredientes e diz: "Não há fantasma. O bolo foi estragado porque você o deixou fora da geladeira por dias".

• Etapa 3: A Verdadeira História (Como as imagens chegaram lá?)
  Se não foi um hacker, como as imagens apareceram? O especialista descobriu o segredo: o Telegram.

  • A Analogia do "Cachê Automático": Imagine que você entra em um grupo de WhatsApp ou Telegram. O aplicativo é como um aspirador automático: ele puxa tudo o que é enviado para o grupo e guarda na sua "lixeira" (cache) para carregar rápido, mesmo que você não tenha clicado em "baixar".
  • O réu entrou em um grupo que compartilhava essas imagens. O aplicativo "aspirou" milhares de imagens automaticamente. Ele não precisou clicar em cada uma; o celular fez o trabalho sujo sozinho.

3. O Julgamento: O Veredito

No tribunal, o advogado da acusação usou essa explicação. O detetive policial disse: "Eu não sou o especialista, mas confio no especialista. Não há sinais de hackers."

O réu tentou mudar a história na frente do júri, dizendo: "Ok, não foi um hacker, mas meus amigos usaram meu celular quando eu estava drogado." Mas o advogado mostrou que ele tinha pedido imagens indecentes em outra conversa, o que provava que ele sabia o que estava acontecendo.

O Resultado: O júri entendeu. Eles decidiram que, embora o aplicativo tenha baixado a maioria das imagens sozinho, o réu tinha a intenção de entrar naquele grupo e sabia o que estava acontecendo. Ele foi condenado.

4. A Lição Principal: Por que isso importa?

O autor do artigo quer nos ensinar duas coisas importantes:

1. Não confie apenas nas ferramentas automáticas: Às vezes, os softwares de polícia podem cometer erros (como em outro caso mencionado onde um software achou que o réu criou um grupo, mas ele não tinha). É preciso um humano inteligente para interpretar os dados.
2. A "Defesa do Hackeamento" é difícil de sustentar: Para provar que alguém hackeou seu celular, você precisa de provas reais de invasão, não apenas de suposições. Na maioria das vezes, a explicação mais simples (o usuário clicou, entrou no grupo ou o aplicativo baixou sozinho) é a verdadeira.

Resumo em uma frase:
O artigo mostra como a ciência forense moderna consegue distinguir entre um "hackeamento de Hollywood" (que não aconteceu) e a realidade chata de um aplicativo baixando coisas automaticamente, garantindo que inocentes sejam livres e culpados sejam punidos.

Resumo técnico

Aqui está um resumo técnico detalhado do artigo "R v F (2025): Addressing the Defence of Hacking", apresentado em português:

Resumo Técnico: R v F (2025) – Endereçando a Defesa de Hacking

1. O Problema
O artigo aborda o desafio persistente no sistema de justiça criminal de lidar com a "Defesa do Cavalo de Troia" ou "Defesa SODDI" (Some Other Dude Did It – "Outro Cara Fez Isso"). Nesta defesa, acusados de crimes cibernéticos (especificamente crimes sexuais contra crianças) alegam que seus dispositivos foram hackeados e que materiais ilícitos foram plantados por terceiros.

• Lacuna na Literatura: Embora existam discussões acadêmicas históricas sobre o tema, há uma ausência crítica de estudos de caso reais e empíricos que demonstrem como investigadores de forense digital podem desmontar essa defesa com evidências técnicas concretas.
• Complexidade Técnica: A defesa frequentemente se apoia em alegações de vulnerabilidades de dia zero (zero-day), malware invisível ("ghostware") ou comprometimento de credenciais, exigindo uma análise forense que vá além da simples extração de dados para validar ou refutar essas hipóteses.

2. Metodologia
O autor, Dr. Junade Ali, atuou como perito judicial no caso R v F (2025) e adotou uma abordagem em três estágios para investigar a credibilidade da alegação de hacking:

• A. Investigação Preliminar (Análise de Hipóteses):

  • Revisão documental das alegações da defesa (ex: faturas de telefonia móvel e notificações de credenciais comprometidas).
  • Refutação Técnica: Demonstrou-se que os dados de rede citados pela defesa eram consistentes com o uso de fundo (devido ao agrupamento de faturamento de dados móveis) e não indicavam atividade anômala.
  • Análise de Vetores de Ataque: Avaliou-se a plausibilidade de um ataque de zero-day (custo de milhões de dólares) contra dois dispositivos modernos (iOS e Android) simultaneamente, considerando que o firmware estava atualizado e o dispositivo não foi desbloqueado (jailbroken ou rooted).

• B. Investigação Forense (Análise de Artefatos e IOCs):

  • Imagem Forense: Utilização de ferramentas (Cellebrite UFED, Magnet Forensics Graykey) para criar imagens forenses dos dispositivos (iPhone e Android).
  • Busca por Indicadores de Comprometimento (IOCs):
    • Uso manual e automatizado do Mobile Verification Toolkit (MVT) da Amnesty International.
    • Achados no iPhone: IOCs encontrados limitavam-se ao módulo de favicons do Safari, atribuídos à pesquisa do usuário sobre ferramentas de segurança, e não a infraestrutura de comando e controle (C2). Não havia evidências de jailbreak ou backdoors.
    • Achados no Android: Nenhuma evidência de acesso root, recursos de debugging avançado ou permissões suspeitas.
  • Análise de Comportamento do Usuário: Investigação de artefatos cronológicos para determinar a origem do material. Descobriu-se que a vasta quantidade de Material de Abuso Sexual Infantil (CSAM) residia no cache do aplicativo Telegram.
  • Mecanismo de Download: O Telegram baixa automaticamente arquivos de mídia para o cache ao serem compartilhados em grupos. O réu entrou em um grupo, e o material foi baixado automaticamente, explicando o volume de dados sem a necessidade de um clique de "download" manual para cada arquivo.

• C. Relatório Conjunto e Validação:

  • O perito e o investigador policial produziram um relatório conjunto, validando as descobertas e concordando que não havia evidências de hacking.
  • As conclusões foram apresentadas como fatos acordados no tribunal.

3. Contribuições Chave

• Primeiro Estudo de Caso Empírico: Este é o primeiro estudo de caso documentado que detalha a aplicação prática de técnicas de forense digital para refutar a defesa de hacking em um tribunal criminal moderno, incluindo dispositivos móveis.
• Abordagem em Camadas: Propõe uma metodologia que combina:
  1. Análise teórica de vetores de ataque (ciência da computação).
  2. Investigação forense de imagens de disco para IOCs.
  3. Reconstrução da linha do tempo e comportamento do usuário para estabelecer a causa provável dos eventos.
• Validação de Ferramentas e Limitações: O artigo destaca a importância de não confiar cegamente em ferramentas de análise automatizadas (como demonstrado em um caso subsequente, R v M, onde uma ferramenta de parseamento atribuiu erroneamente a criação de grupos de WhatsApp ao réu devido a um defeito de parsing). A análise manual de bancos de dados subjacentes (SQLite) e a análise de linha do tempo foram cruciais para corrigir erros.
• Uso de Ferramentas de Segurança em Forense Criminal: Demonstra a aplicação de ferramentas originalmente desenvolvidas para contra-espionagem (como o MVT) em contextos de justiça criminal.

4. Resultados

• Veredito: O júri foi convencido, além de qualquer dúvida razoável, de que o réu não foi hackeado.
• Fato Decisivo: A explicação técnica de que o material foi baixado automaticamente pelo aplicativo Telegram (e não manualmente para cada arquivo) foi aceita pelo tribunal. O juiz instruiu o júri de que a intenção (mens rea) era necessária apenas para a entrada no grupo e o download inicial, não para cada arquivo individual baixado automaticamente.
• Condenação: O réu foi condenado em todas as acusações da indiciamento.
• Impacto Institucional: Em um caso relacionado (R v M), a mesma metodologia revelou um erro de ferramenta forense usado pela polícia, levando a uma revisão interna das ferramentas de análise e à correção da sentença do réu.

5. Significado

• Justiça Criminal: O estudo fornece um modelo para equilibrar a acusação e a defesa, garantindo que inocentes sejam absolvidos e culpados condenados através de evidências empíricas robustas, mitigando o risco de erros judiciais.
• Evolução da Forense Digital: Sublinha que a extração e o parsing de artefatos não são suficientes. É necessária uma investigação holística que teste hipóteses técnicas e entenda o comportamento do usuário e o funcionamento das aplicações.
• Documentação de Casos: O autor enfatiza a necessidade de publicar mais estudos de casos (mesmo que anonimizados), pois peritos raramente são informados dos resultados dos julgamentos, o que limita o avanço do conhecimento técnico na área.
• Futuro: Sugere que o desenvolvimento de ferramentas que auxiliem na identificação de "linhas de investigação" e hipóteses técnicas, mesmo quando estas contradizem as posições das partes, é essencial para o futuro da forense digital.