Kiedy usuwasz plik z dysku twardego komputera, tak naprawdę nigdy go nie ma. Przy odpowiednim wysiłku i umiejętnościach technicznych często można odzyskać dokumenty i zdjęcia, które wcześniej uważano za zniszczone. Te komputerowe narzędzia śledcze są użytecznym narzędziem dla organów ścigania, ale jak naprawdę działają?
Spis treści:
Tworzenie podstaw prawnych
Zanim przejdziemy do technicznych chwastów, warto omówić nudne proceduralne i prawne aspekty informatyki śledczej w kontekście egzekwowania prawa.
Po pierwsze, rozwińmy stary mit, że nakaz sądowy jest zawsze wymagany, aby funkcjonariusz organów ścigania mógł zbadać urządzenie cyfrowe, takie jak telefon lub komputer. Choć często tak jest, w strukturze prawa można znaleźć wiele „luk” (z braku lepszego słowa).
Wiele jurysdykcji, takich jak Wielka Brytania i Stany Zjednoczone, zezwala urzędnikom celnym i imigracyjnym na badanie urządzeń elektronicznych bez nakazu. Amerykańscy funkcjonariusze graniczni mogą również zbadać zawartość urządzeń bez nakazu, jeśli istnieje nieuchronne zniszczenie materiału dowodowego, co potwierdza wyrok XI obwodu z 2018 r.
W porównaniu z ich amerykańskimi odpowiednikami, brytyjscy gliniarze mają zwykle większą swobodę w przejmowaniu zawartości urządzeń bez konieczności kierowania sprawy do sędziego lub sędziego. Mogą na przykład pobrać zawartość telefonu, korzystając z aktu prawnego o nazwie Ustawa o policji i dowodach karnych (PACE)niezależnie od tego, czy zostaną postawione jakiekolwiek zarzuty. Jeśli jednak policja ostatecznie zdecyduje, że chce zbadać zawartość, potrzebuje podpisu z sądu.
Ustawodawstwo daje również policji brytyjskiej prawo do badania urządzeń bez nakazu w pewnych okolicznościach, w których istnieje pilna potrzeba – na przykład w przypadku terroryzmu lub gdy istnieje autentyczna obawa, że dziecko może być wykorzystywane seksualnie.
Ale ostatecznie, niezależnie od „jak”, zajęcie komputera stanowi jedynie początek długiego procesu, który zaczyna się od wyjęcia laptopa lub telefonu w odpornej na manipulacje plastikowej torbie i często kończy się dowodami przedstawionymi w sala sądowa.
Policja musi przestrzegać zbioru zasad i procedur, aby zapewnić dopuszczalność dowodów. Zespoły informatyki śledczej dokumentują każdy ich ruch, aby w razie potrzeby mogli powtórzyć te same kroki i osiągnąć te same wyniki. Używają specjalnych narzędzi, aby zapewnić integralność plików. Jednym z przykładów jest „blokada zapisu”, której celem jest umożliwienie specjalistom medycyny sądowej wydobycia informacji bez nieumyślnego modyfikowania badanych dowodów.
To ta podstawa prawna i rygor proceduralny decydują o tym, czy dochodzenie w dziedzinie informatyki sądowej zakończy się sukcesem, a nie wyrafinowanie techniczne.
Ruchome talerze, ruchome walizki
Niezależnie od kwestii prawnych zawsze warto zwrócić uwagę na wiele czynników, które mogą determinować łatwość, z jaką usunięte pliki mogą zostać odzyskane przez organy ścigania. Należą do nich typ używanego dysku, to, czy zastosowano szyfrowanie, i system plików dysku.
Weźmy na przykład dyski twarde. Chociaż zostały one w dużej mierze przewyższone przez szybsze dyski półprzewodnikowe (SSD), mechaniczne dyski twarde (HDD) były dominującym mechanizmem przechowywania przez ponad 30 lat.
Dyski twarde wykorzystywały talerze magnetyczne do przechowywania danych. Jeśli kiedykolwiek zdemontowałeś dysk twardy, prawdopodobnie zauważyłeś, jak wyglądają trochę jak płyty CD. Są okrągłe i w kolorze srebrnym.
Podczas użytkowania te talerze obracają się z niesamowitą prędkością – zwykle 5400 lub 7200 obr./min, aw niektórych przypadkach nawet 15 000 obr./min. Do tych talerzy podłączone są specjalne „głowice”, które wykonują operacje odczytu i zapisu. Podczas zapisywania pliku na dysku ta „głowica” przesuwa się do określonej części talerza i przekształca prąd elektryczny w pole magnetyczne, zmieniając w ten sposób właściwości talerza.
Ale skąd wie, gdzie iść? Cóż, patrzy na coś, co nazywa się tablicą alokacji, która zawiera zapis każdego pliku przechowywanego na dysku. Ale co się stanie, gdy plik zostanie usunięty?
Krótka odpowiedź? Niewiele.
Oto długa odpowiedź: rekord dla tego pliku jest usuwany, co pozwala na późniejsze nadpisanie miejsca zajmowanego na dysku twardym. Jednak dane pozostają fizycznie obecne na talerzach magnetycznych i są naprawdę usuwane tylko wtedy, gdy nowe dane zostaną dodane do tego konkretnego miejsca na talerzu.
W końcu usunięcie go wymagałoby fizycznego przesunięcia głowicy magnetycznej w to miejsce na talerzu i nadpisania go. Może to utrudnić działanie innych aplikacji i spowolnić działanie komputera. Jeśli chodzi o dyski twarde, prostsze jest udawanie, że usunięte pliki po prostu nie istnieją.
To sprawia, że odzyskiwanie usuniętych plików jest znacznie łatwiejsze dla organów ścigania. Muszą tylko odtworzyć brakujące części w tabeli alokacji, co można zrobić za pomocą bezpłatnych narzędzi, w tym Recuva.
Ciało stałe (stan) jako skała
Oczywiście dyski SSD są różne. Nie zawierają ruchomych części. Zamiast tego pliki są reprezentowane jako elektrony trzymane przez biliony mikroskopijnych tranzystorów bramek pływających. Razem tworzą one chipy NAND flash.
Dyski SSD mają pewne podobieństwa do dysków twardych, ponieważ pliki są usuwane tylko wtedy, gdy są nadpisywane. Jednak niektóre kluczowe różnice nieuchronnie komplikują pracę informatyków śledczych. Podobnie jak dyski twarde, dyski SSD organizują dane w blokach, których rozmiar różni się znacznie u różnych producentów.
Kluczowa różnica polega na tym, że aby dysk SSD mógł zapisywać dane, blok musi być całkowicie pusty. Aby upewnić się, że dysk SSD ma stały strumień dostępnych bloków, komputer wydaje coś, co nazywa się „poleceniem TRIM”, które informuje dysk SSD, które bloki nie są już potrzebne.
Dla śledczych oznacza to, że kiedy próbują znaleźć usunięte pliki na dysku SSD, mogą odkryć, że dysk niewinnie umieścił je daleko poza ich zasięgiem.
Dyski SSD mogą również rozpraszać pliki w wielu blokach na dysku, aby zmniejszyć stopień zużycia podczas codziennego użytkowania. Ponieważ dyski SSD mogą wytrzymać tylko skończoną liczbę zapisów, ważne jest, aby były rozmieszczone na dysku, a nie w małej lokalizacji. Ta technologia nazywana jest wyrównywaniem zużycia i jest znana z tego, że utrudnia życie specjalistom medycyny sądowej.
Jest też fakt, że dyski SSD są często trudniejsze do wyobrazenia, ponieważ często fizycznie nie można ich usunąć z urządzenia.
Podczas gdy dyski twarde są prawie zawsze wymienne i podłączane za pomocą standardowych interfejsów, takich jak IDE lub SATA, niektórzy producenci laptopów decydują się na fizyczne lutowanie pamięci masowej do płyty głównej maszyny. To sprawia, że wydobycie treści w sposób uzasadniony sądowo jest znacznie trudniejsze dla pracowników organów ścigania.
Prawdziwe komplikacje
Podsumowując: tak, organy ścigania mogą odzyskać usunięte pliki. Jednak postęp w technologii pamięci masowej i powszechne szyfrowanie nieco skomplikowały sprawy.
Jednak często można przezwyciężyć problemy techniczne. Jeśli chodzi o dochodzenia cyfrowe, największym wyzwaniem stojącym przed organami ścigania nie są mechanizmy dysków SSD, ale raczej ich brak zasobów.
Nie ma wystarczającej liczby wyszkolonych specjalistów do wykonania tej pracy. W rezultacie wiele sił policyjnych na całym świecie boryka się z ogromnymi zaległościami w postaci nieprzetworzonych telefonów, laptopów i serwerów.
Żądanie ustawy o wolności informacji z brytyjskiej gazety The Times wykazało, że 32 siły policyjne w Anglii i Walii tak zrobiły ponad 12 000 urządzeń oczekujących na badanie. Czas przetwarzania tam urządzenia jest różny, od jednego miesiąca do ponad roku.
A to ma konsekwencje. Podstawą każdego sprawiedliwego wymiaru sprawiedliwości w sprawach karnych jest to, że oskarżony otrzymuje szybki proces. Jak to się mówi, spóźniona sprawiedliwość jest zaprzeczeniem sprawiedliwości. Ta zasada jest tak fundamentalnie ważna, że została nawet przedstawiona w szóstej poprawce do konstytucji USA.
Niestety, nie jest to problem, który można łatwo naprawić bez dodatkowych pieniędzy wydawanych przez siły na rekrutację i szkolenie. Nie możesz tego rozwiązać za pomocą większej technologii.