Când un fișier este eliminat de pe suportul de stocare al calculatorului, contrar a ceea ce s-ar crede, acesta nu dispare definitiv. Cu un efort susținut și cunoștințe tehnice adecvate, este adesea posibilă recuperarea documentelor și fotografiilor considerate anterior pierdute. Aceste investigații de tip criminalistică digitală reprezintă un instrument valoros pentru aplicarea legii. Dar cum funcționează, de fapt?
Fundamentul Legal
Înainte de a explora aspectele tehnice, merită să analizăm procedurile și bazele legale ale criminalisticii informatice în contextul aplicării legii.
În primul rând, să clarificăm ideea greșită conform căreia un mandat este obligatoriu de fiecare dată când un agent al legii dorește să verifice un dispozitiv digital, precum un telefon sau un computer. Deși aceasta este adesea situația, există numeroase excepții în cadrul legii.
Multe jurisdicții, inclusiv Regatul Unit și Statele Unite, permit autorităților vamale și de imigrare să examineze dispozitivele electronice fără un mandat. Oficialii de la frontiera americană pot inspecta, de asemenea, conținutul dispozitivelor fără mandat, dacă există riscul iminent ca probele să fie distruse, conform unei decizii a celui de-al 11-lea circuit din 2018.
În comparație cu omologii lor americani, polițiștii din Marea Britanie au, în general, mai multă flexibilitate în confiscarea conținutului dispozitivelor fără a fi nevoie să ceară aprobarea unui judecător. De exemplu, ei pot descărca conținutul unui telefon folosind o lege numită Legea privind Poliția și Probele Penale (PACE), indiferent dacă există sau nu acuzații. Cu toate acestea, dacă ulterior poliția decide că vrea să analizeze conținutul mai amănunțit, este necesară aprobarea instanței.
Legislația conferă, de asemenea, poliției din Regatul Unit dreptul de a analiza dispozitivele fără mandat în situații de urgență, cum ar fi cazurile de terorism sau când există temerea că un copil este exploatat sexual.
Însă, indiferent de circumstanțe, confiscarea unui computer reprezintă doar începutul unui proces îndelungat. Acesta pornește cu un laptop sau telefon introdus într-o pungă de plastic sigilată și se poate termina cu prezentarea probelor într-o sală de judecată.
Poliția trebuie să respecte un set de reguli și proceduri pentru a garanta admisibilitatea probelor. Echipele de criminalistică informatică documentează fiecare pas, pentru a putea repeta procesul și a obține aceleași rezultate dacă este nevoie. Folosesc instrumente specializate pentru a păstra integritatea fișierelor, cum ar fi un „blocator de scriere”, care permite experților să extragă informații fără a altera accidental dovezile.
Fundamentul legal și rigurozitatea procedurilor sunt cele care determină succesul unei investigații de criminalistică informatică, nu neapărat sofisticarea tehnică.
Platane în Mișcare, Carcase în Mișcare
Dincolo de aspectele legale, este interesant să observăm mulți factori care influențează cât de ușor pot fi recuperate fișierele șterse de către autorități. Aceștia includ tipul de unitate de stocare, dacă a fost implementată criptarea și sistemul de fișiere al unității.
Să luăm hard disk-urile (HDD), de exemplu. Deși au fost în mare parte înlocuite de unitățile SSD (Solid State Drive) mai rapide, HDD-urile mecanice au fost principalul mecanism de stocare timp de peste 30 de ani.
HDD-urile foloseau platane magnetice pentru a stoca date. Dacă ați dezasamblat vreodată un hard disk, probabil ați observat că arată oarecum ca niște CD-uri, fiind circulare și argintii.
În timpul utilizării, aceste platane se rotesc la viteze foarte mari – de obicei 5.400 sau 7.200 RPM, iar în unele cazuri chiar și 15.000 RPM. Deasupra platourilor se află „capete” speciale care efectuează operații de citire și scriere. Când salvați un fișier, acest „cap” se deplasează într-o anumită zonă a platanului și transformă un curent electric într-un câmp magnetic, modificând astfel proprietățile platanului.
Dar cum știe unde să se ducă? Ei bine, utilizează un tabel de alocare, care conține o evidență a fiecărui fișier stocat pe disc. Dar ce se întâmplă când un fișier este șters?
Pe scurt? Nu se întâmplă prea multe.
Iată explicația detaliată: înregistrarea acelui fișier este ștearsă, făcând posibilă suprascrierea spațiului respectiv de pe hard disk. Cu toate acestea, datele rămân fizic prezente pe platanele magnetice și sunt eliminate cu adevărat doar când noi date sunt scrise în acea zonă specifică.
De fapt, ștergerea ar necesita ca acel cap magnetic să se mute fizic în acea locație de pe platan și să o suprascrie. Aceasta ar putea perturba alte operațiuni și ar încetini performanța calculatorului. În ceea ce privește HDD-urile, este mai simplu să se considere că fișierele șterse nu mai există.
Acest aspect facilitează mult recuperarea fișierelor șterse pentru autoritățile de aplicare a legii. Trebuie doar să recreeze părțile lipsă din tabelul de alocare, operațiune care se poate realiza cu instrumente gratuite, precum Recuva.
Solid Ca O Stâncă
Unitățile SSD sunt diferite. Ele nu conțin piese mobile. În schimb, fișierele sunt reprezentate ca electroni stocați în trilioane de tranzistori microscopici cu porți flotante. Împreună, aceștia alcătuiesc cipuri flash NAND.
Unitățile SSD au unele similarități cu HDD-urile, în sensul că fișierele sunt șterse doar când sunt suprascrise. Cu toate acestea, unele diferențe esențiale complică munca experților în criminalistică informatică. Ca și HDD-urile, SSD-urile organizează datele în blocuri, ale căror dimensiuni diferă între producători.
O diferență importantă este că, pentru ca un SSD să scrie date, blocul trebuie să fie complet gol. Pentru a se asigura că SSD-ul are un flux constant de blocuri disponibile, calculatorul emite o „comandă TRIM”, care informează SSD-ul ce blocuri nu mai sunt necesare.
Pentru anchetatori, acest lucru înseamnă că atunci când încearcă să găsească fișiere șterse de pe un SSD, s-ar putea să descopere că unitatea le-a eliminat mult dincolo de accesul lor.
De asemenea, SSD-urile pot distribui fișierele în mai multe blocuri de-a lungul unității, pentru a reduce uzura cauzată de utilizarea zilnică. Deoarece SSD-urile pot rezista doar la un număr limitat de scrieri, este important ca acestea să fie distribuite pe toată unitatea, mai degrabă decât într-o zonă restrânsă. Această tehnologie, numită nivelare a uzurii, se știe că face viața mai dificilă pentru experții în criminalistică digitală.
Mai trebuie menționat că SSD-urile sunt adesea mai dificil de imagiat, deoarece de multe ori nu pot fi îndepărtate fizic dintr-un dispozitiv.
În timp ce hard disk-urile sunt aproape întotdeauna înlocuibile și se conectează prin interfețe standard, cum ar fi IDE sau SATA, unii producători de laptopuri aleg să lipească fizic memoria pe placa de bază a aparatului. Acest lucru îngreunează extragerea conținutului într-un mod criminalistic pentru experții în aplicarea legii.
Complicațiile Reale
În concluzie, da, autoritățile pot recupera fișierele șterse. Totuși, progresele în tehnologia de stocare și criptarea la scară largă au complicat lucrurile.
Cu toate acestea, problemele tehnice pot fi adesea rezolvate. În cazul investigațiilor digitale, cea mai mare provocare pentru forțele de ordine nu o reprezintă mecanismele unităților SSD, ci mai degrabă lipsa resurselor.
Nu există suficienți experți calificați pentru a efectua aceste investigații. Rezultatul este că multe forțe de poliție din întreaga lume se confruntă cu un număr copleșitor de telefoane, laptopuri și servere neprocesate.
O cerere de acces la informații formulată de ziarul britanic The Times a arătat că cele 32 de forțe de poliție din Anglia și Țara Galilor au peste 12.000 de dispozitive în așteptarea examinării. Timpul de procesare a unui dispozitiv variază acolo, de la o lună la peste un an.
Acest lucru are consecințe. Fundamentul oricărui sistem de justiție penală echitabil este ca acuzaților să li se ofere un proces rapid. După cum se spune, dreptatea amânată este dreptate refuzată. Acest principiu este atât de important încât este menționat în al șaselea amendament la Constituția SUA.
Din păcate, aceasta nu este o problemă care poate fi rezolvată ușor, fără ca forțele să aloce mai multe fonduri pentru recrutare și formare. Nu poate fi rezolvată doar prin tehnologie mai avansată.