Kada se fajl obriše sa hard diska računara, on zapravo ne nestaje u potpunosti. Uz dovoljno truda i stručnosti, često je moguće vratiti dokumente i fotografije za koje se smatralo da su trajno uklonjeni. Ova vrsta računarske forenzike je koristan alat za organe reda, ali kako tačno funkcioniše?
Pravni aspekti
Pre nego što se upustimo u tehničke detalje, važno je razjasniti pravne i proceduralne aspekte računarske forenzike u kontekstu sprovođenja zakona.
Prvo, treba razbiti stari mit da je za pregled digitalnog uređaja, kao što je telefon ili računar, uvek potreban nalog. Iako je to često slučaj, zakon nudi određene izuzetke i „rupe“.
Mnoge jurisdikcije, uključujući Veliku Britaniju i Sjedinjene Države, dozvoljavaju carinskim i imigracionim službenicima da pregledaju elektronske uređaje bez naloga. Američki granični službenici mogu takođe pregledati sadržaj uređaja bez naloga ukoliko postoji neposredna opasnost od uništavanja dokaza, što je potvrđeno u presudi 11. Okružnog suda iz 2018.
Britanski policajci, za razliku od svojih američkih kolega, često imaju veću slobodu da zaplene sadržaj uređaja bez prethodnog odobrenja sudije. Oni mogu, na primer, preuzeti sadržaj telefona koristeći zakon poznat kao Zakon o policiji i dokazima iz krivičnog dela (PACE), čak i ako optužnica nije podignuta. Međutim, ako policija želi detaljnije ispitati sadržaj, potrebna je sudska saglasnost.
Zakonska regulativa takođe daje britanskoj policiji ovlašćenje da pregleda uređaje bez naloga u hitnim slučajevima, kao što je slučaj terorizma ili kada postoji stvarna sumnja na seksualno zlostavljanje dece.
Međutim, bez obzira na okolnosti, zaplena računara predstavlja početak dugog procesa koji uključuje stavljanje laptopa ili telefona u posebnu plastičnu kesu otpornu na neovlašćeni pristup, a često se završava iznošenjem dokaza na sudu.
Policija mora da poštuje stroga pravila i procedure kako bi osigurala da su prikupljeni dokazi prihvatljivi. Forenzički timovi dokumentuju svaki korak kako bi se, po potrebi, isti postupci mogli ponoviti i dobiti isti rezultati. Koriste se specijalizovani alati koji čuvaju integritet datoteka. Jedan primer je „blokator pisanja“, koji omogućava forenzičkim stručnjacima da izvuku informacije bez nenamernog menjanja dokaza.
Uspeh istrage računarske forenzike ne zavisi samo od tehničke sofisticiranosti, već i od pravne osnove i proceduralne tačnosti.
Rotirajući diskovi, pokretne kutije
Pored pravnih pitanja, važno je razmotriti i faktore koji utiču na to koliko je lako organima reda da povrate obrisane fajlove. Ovi faktori uključuju tip diska koji se koristi, da li je enkripcija bila aktivna i sistem datoteka disk jedinice.
Uzmimo, na primer, čvrste diskove. Iako su ih u velikoj meri zamenili brži SSD uređaji, mehanički hard diskovi (HDD) bili su dominantan način skladištenja podataka više od 30 godina.
HDD-ovi su koristili magnetne ploče za skladištenje podataka. Ako ste ikada rastavljali čvrsti disk, verovatno ste primetili da podsećaju na CD-ove. Okrugli su i srebrne boje.
Tokom rada, ove ploče se okreću neverovatnom brzinom, obično 5.400 ili 7.200 obrtaja u minuti, a u nekim slučajevima i do 15.000 obrtaja u minuti. Posebne „glave“ su zadužene za čitanje i pisanje podataka na ove ploče. Kada sačuvate fajl na disk, „glava“ se pomera na određeni deo ploče i pretvara električnu struju u magnetno polje, menjajući tako svojstva ploče.
Kako sistem zna gde da piše podatke? Sistem koristi tablicu alokacije, koja sadrži evidenciju svakog fajla sačuvanog na disku. A šta se dešava kada se fajl obriše?
Kratak odgovor? Ne mnogo.
Evo dužeg odgovora: Zapis za taj fajl se briše iz tablice alokacije, čime se omogućava da se prostor koji je zauzimao na hard disku prepiše. Međutim, podaci fizički ostaju prisutni na magnetnim pločama i brišu se tek kada se novi podaci upišu na tu specifičnu lokaciju na ploči.
Da bi se podaci trajno obrisali, magnetna glava bi morala fizički da se pomeri na tu lokaciju na ploči i da je prepiše. To bi moglo da ometa druge aplikacije i uspori rad računara. Zato je jednostavnije da se kod tvrdih diskova, izbrisani fajlovi samo „označe“ kao nedostupni.
To znatno olakšava posao organima reda da povrate izbrisane fajlove. Dovoljno je da ponovo kreiraju delove koji nedostaju u tablici alokacije, što se može uraditi besplatnim alatima poput Recuva.
Solid State (SSD) diskovi
Naravno, SSD diskovi rade drugačije. Oni nemaju pokretne delove. Umesto toga, fajlovi su predstavljeni kao elektroni koji se čuvaju u bilionima mikroskopskih tranzistora. Zajedno, oni formiraju NAND fleš čipove.
SSD diskovi imaju neke sličnosti sa HDD diskovima, jer se fajlovi brišu samo kada se prepišu. Međutim, postoje ključne razlike koje komplikuju posao forenzičara. Kao i kod HDD-ova, SSD-ovi organizuju podatke u blokove, čija veličina varira od proizvođača do proizvođača.
Ključna razlika je u tome da pre nego što SSD može da upiše podatke, blok mora biti potpuno prazan. Da bi osigurao stalan protok dostupnih blokova, računar šalje „TRIM komandu“, koja obaveštava SSD koje blokove više nije potrebno čuvati.
Za istražitelje, to znači da kada pokušaju da pronađu obrisane fajlove na SSD-u, mogu otkriti da ih je disk trajno uklonio.
SSD diskovi mogu da razbacaju fajlove po različitim blokovima na disku kako bi se smanjilo habanje koje nastaje svakodnevnom upotrebom. SSD diskovi mogu da izdrže samo ograničen broj upisa, pa je važno da se upisi rasporede po celom disku, a ne na maloj lokaciji. Ova tehnologija se naziva nivelisanje habanja, i otežava posao forenzičarima.
Takođe, SSD diskove je često teže „izvući“, jer se ne mogu fizički ukloniti sa uređaja.
Dok su hard diskovi skoro uvek zamenljivi i povezani preko standardnih interfejsa kao što su IDE ili SATA, neki proizvođači laptopova odlučuju da zaleme memoriju direktno na matičnu ploču. To znatno otežava forenzičarima da na siguran način izvuku podatke.
Prave poteškoće
Zaključak je da organi reda mogu da povrate izbrisane fajlove. Međutim, napredak u tehnologiji skladištenja i sve raširenija upotreba enkripcije su otežale stvari.
Ipak, tehničke prepreke se mogu savladati. Kada je reč o digitalnim istragama, najveći problem sa kojim se suočavaju organi reda nije tehnologija SSD diskova, već nedostatak resursa.
Nedovoljno je obučenih stručnjaka za obavljanje ovog posla. Kao rezultat toga, mnoge policijske snage širom sveta imaju ogromne zaostatke neobrađenih telefona, laptopova i servera.
Zahtev britanskog lista The Times po Zakonu o slobodi informacija pokazao je da 32 policijske snage u Engleskoj i Velsu imaju preko 12.000 uređaja koji čekaju na ispitivanje. Vreme obrade uređaja varira, od mesec dana do više od godinu dana.
To ima svoje posledice. Osnov svakog pravednog krivičnog pravosudnog sistema je da se optuženima omogući brzo suđenje. Odložena pravda je uskraćena pravda. Ovaj princip je toliko suštinski važan da je čak naveden u Šestom amandmanu Ustava SAD.
Nažalost, ovo nije problem koji se lako može rešiti bez dodatnih ulaganja u zapošljavanje i obuku. Ne može se rešiti uz pomoć više tehnologije.