Када избришете датотеку са чврстог диска рачунара, она заправо никада није нестала. Уз довољно труда и техничке вештине, често је могуће повратити документе и фотографије за које се раније сматрало да су избрисане. Ова компјутерска форензика је корисна алатка за спровођење закона, али како она заиста функционише?
Преглед садржаја
Постављање правних основа
Пре него што пређемо на техничке проблеме, вреди разговарати о досадним процедуралним и правним аспектима компјутерске форензике у контексту спровођења закона.
Прво, хајде да разбијемо стари мит да је увек потребан налог да службеник за спровођење закона прегледа дигитални уређај као што је телефон или рачунар. Иако је то често случај, много „рупа“ (у недостатку боље речи) може се наћи у оквиру закона.
Многе јурисдикције, попут Уједињеног Краљевства и Сједињених Држава, дозвољавају службеницима царине и имиграције да прегледају електронске уређаје без налога. Амерички гранични службеници такође могу да прегледају садржај уређаја без налога ако постоји непосредна нит доказа који ће бити уништени, као што су потврдили 11. Окружна пресуда из 2018.
У поређењу са својим америчким колегама, британски полицајци обично имају више слободе да заузму садржај уређаја без потребе да изнесу свој случај судији или судији. Они могу, на пример, да преузму садржај телефона користећи закон који се зове Закон о полицији и доказима из кривичног дела (ПССЕ), без обзира да ли је подигнута оптужница. Међутим, ако полиција на крају одлучи да жели да испита садржај, потребна јој је судска сагласност.
Законодавство такође даје британској полицији право да прегледа уређаје без налога у одређеним околностима када постоји хитна потреба — као што је случај тероризма, или када постоји истински страх да би дете могло бити сексуално искоришћавано.
Али на крају, без обзира на „како“, када је рачунар заплењен, то само представља почетак дугог процеса који почиње вађењем лаптопа или телефона у пластичну кесу отпорну на неовлашћено коришћење, а често се завршава доказима који се износе у судница.
Полиција се мора придржавати скупа правила и процедура како би осигурала прихватљивост доказа. Тимови компјутерске форензике документују сваки њихов потез како би, ако је потребно, могли да понове исте кораке и постигну исте резултате. Они користе посебне алате како би осигурали интегритет датотека. Један пример је „блокатор писања“, који је дизајниран да омогући форензичким стручњацима да извуку информације без ненамерне модификације доказа који се испитују.
Правна основа и процедурална ригорозност одређују да ли ће истрага компјутерске форензике бити успешна — а не техничка софистицираност.
Покретни тањири, покретне кутије
Без обзира на правне проблеме, увек је занимљиво приметити многе факторе који могу да одреде лакоћу којом органи за спровођење закона могу да поврате избрисане датотеке. То укључује тип диска који се користи, да ли је шифровање било на месту и систем датотека диск јединице.
Узмите, на пример, чврсте дискове. Иако су их у великој мери превазишли бржи ССД уређаји, механички хард дискови (ХДД) су били доминантан механизам за складиштење преко 30 година.
ХДД-ови су користили магнетне плоче за складиштење података. Ако сте икада растављали чврсти диск, вероватно сте приметили како они помало личе на ЦД-ове. Округле су и сребрне боје.
Када се користе, ове плоче се окрећу невероватном брзином – обично 5.400 или 7.200 о/мин, ау неким случајевима и до 15 000 о/мин. На ове плоче су повезане посебне „главе“ које обављају операције читања и писања. Када сачувате датотеку на драјв, ова „глава“ се помера на одређени део плоче и трансформише електричну струју у магнетно поље, мењајући на тај начин својства плоче.
Али како зна где да иде? Па, гледа на нешто што се зове табела алокације, која садржи запис сваке датотеке похрањене на диску. Али шта се дешава када се датотека избрише?
Кратак одговор? Не много.
Ево дугог одговора: Запис за ту датотеку се брише, омогућавајући да се простор који је заузимала на чврстом диску касније препише. Међутим, подаци остају физички присутни на магнетним плочама и истински се бришу тек када се додају нови подаци на ту одређену локацију на плочи.
На крају крајева, брисање би захтевало да се магнетна глава физички помери на ту локацију на тањиру и препише је. То би могло да омета друге апликације и успори перформансе рачунара. Што се тврдих дискова тиче, једноставније је претварати се да избрисане датотеке једноставно не постоје.
То чини опоравак избрисаних датотека много лакшим за спровођење закона. Они само морају да поново креирају делове који недостају унутар табеле алокације, што је нешто што се може урадити са бесплатним алатима, укључујући Рецува.
Чврсто (стање) као стена
Наравно, ССД дискови су различити. Не садрже покретне делове. Уместо тога, датотеке су представљене као електрони које држе трилиони микроскопских транзистора са плутајућим вратима. Заједно, они се комбинују да би формирали НАНД флеш чипове.
ССД дискови имају неке сличности са ХДД дисковима, утолико што се датотеке увек бришу само када се преписују. Међутим, неке кључне разлике неизбежно компликују рад стручњака за компјутерску форензику. Као и ХДД-ови, ССД-ови организују податке у блоковима, при чему величина варира међу произвођачима.
Кључна разлика овде је у томе што да би ССД писао податке, блок мора бити потпуно празан од садржаја. Да би се осигурало да ССД има сталан ток доступних блокова, рачунар издаје нешто што се зове „ТРИМ команда“, која обавештава ССД који блокови више нису потребни.
За истражитеље, то значи да када покушају да пронађу избрисане датотеке на ССД-у, могу открити да их је диск невино ставио далеко изван њиховог домашаја.
ССД дискови такође могу да разбацују датотеке по више блокова по диску како би смањили хабање које настаје свакодневном употребом. Пошто ССД дискови могу да издрже само ограничен број уписивања, важно је да су распоређени по диску, а не на малој локацији. Ова технологија се назива нивелисање хабања, а познато је да отежава живот професионалцима дигиталне форензике.
Затим, ту је и чињеница да је ССД-ове често теже приказати, јер често физички не можете да их уклоните са уређаја.
Док су чврсти дискови скоро увек заменљиви и повезани преко стандардних интерфејса, као што су ИДЕ или САТА, неки произвођачи лаптопа одлучују да физички леме складиште на матичну плочу машине. То чини екстракцију садржаја на форензички исправан начин много тежим за професионалце за спровођење закона.
Праве компликације
Дакле, у закључку: Да, органи за спровођење закона могу да поврате датотеке које сте избрисали. Међутим, напредак у технологији складиштења и широко распрострањено шифровање донекле су закомпликовали ствари.
Ипак, технички проблеми се често могу превазићи. Када су у питању дигиталне истраге, највећи изазов са којим се суочавају органи за спровођење закона нису механизми ССД дискова, већ њихов недостатак ресурса.
Нема довољно обучених стручњака за обављање посла. А крајњи резултат је да се многе полицијске снаге широм света суочавају са огромним заостатком необрађених телефона, лаптопова и сервера.
Захтев британског листа Тхе Тимес акта о слободи информација показао је да 32 полицијске снаге широм Енглеске и Велса имају преко 12.000 уређаја чека на испитивање. Време за обраду уређаја тамо варира, од једног месеца до више од годину дана.
И то има последице. Темељ сваког праведног кривичног правосудног система је да се оптуженима омогући брзо суђење. Како се каже, одложена правда је правда ускраћена. Овај принцип је толико суштински важан, да је чак представљен у Шестом амандману на амерички устав.
Нажалост, то није проблем који се лако може решити а да снаге не потроше више новца на регрутовање и обуку. Не можете то решити са више технологије.