Când ștergeți un fișier de pe hard diskul computerului, acesta nu dispare niciodată. Cu suficient efort și abilitate tehnică, este adesea posibil să recuperați documente și fotografii care se credeau șterse anterior. Aceste criminalistice computerizate sunt un instrument util pentru aplicarea legii, dar cum funcționează cu adevărat?
Cuprins
Stabilirea temeiului juridic
Înainte de a intra în problemele tehnice, merită să discutăm despre aspectele procesuale și juridice plictisitoare ale criminalisticii informatice în contextul aplicării legii.
În primul rând, să înlăturăm vechiul mit conform căruia un mandat este întotdeauna necesar pentru ca un ofițer de aplicare a legii să examineze un dispozitiv digital precum un telefon sau un computer. Deși acesta este adesea cazul, în structura legii pot fi găsite o mulțime de „lacune” (din lipsa unui cuvânt mai bun).
Multe jurisdicții, precum Regatul Unit și Statele Unite, permit autorităților vamale și de imigrare să examineze dispozitivele electronice fără mandat. Ofițerii de frontieră americani pot, de asemenea, să examineze conținutul dispozitivelor fără mandat dacă există un fir iminent de probe care este distrus, după cum afirmă o hotărâre din al 11-lea circuit din 2018.
În comparație cu omologii lor americani, polițiștii din Marea Britanie au tendința de a avea mai multă libertate de a confisca conținutul dispozitivelor fără a fi nevoiți să-și depună cazul unui judecător sau magistrat. Ei pot, de exemplu, să descarce conținutul unui telefon utilizând un act legislativ numit Legea privind poliția și probele penale (PACE), indiferent dacă sunt aduse acuzații. Cu toate acestea, dacă poliția decide în cele din urmă că dorește să examineze conținutul, are nevoie de aprobarea instanțelor.
Legislație de asemenea, oferă poliției din Regatul Unit dreptul de a examina dispozitivele fără mandat în anumite circumstanțe în care există o nevoie urgentă, cum ar fi într-un caz de terorism sau în care există o teamă reală că un copil poate fi exploatat sexual.
Dar, în cele din urmă, indiferent de „cum”, atunci când un computer este confiscat, acesta reprezintă doar începutul unui proces lung care începe cu un laptop sau un telefon care este scos într-o pungă de plastic rezistentă la manipulare și se încheie adesea cu dovezile prezentate în o sală de judecată.
Poliția trebuie să respecte un set de reguli și proceduri pentru a asigura admisibilitatea probelor. Echipele de criminalistică informatică își documentează fiecare mișcare, astfel încât, dacă este necesar, să poată repeta aceiași pași și să obțină aceleași rezultate. Ei folosesc instrumente specifice pentru a asigura integritatea fișierelor. Un exemplu este un „blocator de scriere”, care este conceput pentru a permite profesioniștilor criminalistici să extragă informații fără a modifica din neatenție dovezile examinate.
Este acea bază legală și rigoare procedurală care determină dacă o investigație criminalistică informatică va avea succes, nu sofisticarea tehnică.
Platouri de mutare, Carcase de mutare
În ciuda problemelor legale, este întotdeauna interesant de remarcat mulți factori care pot determina ușurința în care fișierele șterse pot fi recuperate de către forțele de ordine. Acestea includ tipul de disc utilizat, dacă criptarea a fost implementată și sistemul de fișiere al unității.
Luați hard disk-urile, de exemplu. Deși acestea au fost în mare măsură depășite de unitățile SSD (Solid State Drive) mai rapide, hard disk-urile mecanice (HDD) au fost mecanismul de stocare predominant timp de peste 30 de ani.
HDD-urile foloseau platouri magnetice pentru a stoca date. Dacă ați dezasamblat vreodată un hard disk, probabil ați observat cum arată un pic ca CD-uri. Sunt circulare și de culoare argintie.
Când sunt utilizate, aceste platouri se rotesc la viteze incredibile – de obicei fie 5.400, fie 7.200 RPM și, în unele cazuri, până la 15.000 RPM. La aceste platouri sunt conectate „capete” speciale care efectuează operații de citire și scriere. Când salvați un fișier pe unitate, acest „cap” se mută într-o anumită parte a platoului și transformă un curent electric într-un câmp magnetic, schimbând astfel proprietățile platoului.
Dar de unde știe unde să meargă? Ei bine, se uită la ceva numit tabel de alocare, care conține o înregistrare a fiecărui fișier stocat pe un disc. Dar ce se întâmplă când un fișier este șters?
Răspunsul scurt? Nu prea mult.
Iată răspunsul lung: înregistrarea acelui fișier este ștearsă, permițând suprascris ulterior spațiului pe care l-a ocupat pe hard disk. Cu toate acestea, datele rămân prezente fizic pe platourile magnetice și sunt șterse cu adevărat numai atunci când sunt adăugate date noi în acea locație specială de pe platou.
La urma urmei, ștergerea acestuia ar necesita ca capul magnetic să se mute fizic în acea locație de pe platou și să îl suprascrie. Acest lucru ar putea împiedica alte aplicații și ar putea încetini performanța computerului. În ceea ce privește hard disk-urile, este mai simplu să pretindeți că fișierele șterse pur și simplu nu există.
Acest lucru face ca recuperarea fișierelor șterse să fie mult mai ușoară pentru autoritățile de aplicare a legii. Trebuie doar să recreeze părțile lipsă în tabelul de alocare, ceea ce se poate face cu instrumente gratuite, inclusiv Recuva.
Solid (starea) ca o stâncă
Desigur, SSD-urile sunt diferite. Nu conțin piese mobile. În schimb, fișierele sunt reprezentate ca electroni deținuți de trilioane de tranzistoare microscopice cu poartă plutitoare. În mod colectiv, acestea se combină pentru a forma cipuri flash NAND.
SSD-urile au unele asemănări cu HDD-urile, în măsura în care fișierele sunt șterse doar atunci când sunt suprascrise. Cu toate acestea, unele diferențe cheie complică în mod inevitabil munca profesioniștilor în criminalistica informatică. Și la fel ca HDD-urile, SSD-urile organizează datele în blocuri, dimensiunea variind foarte mult între producători.
Diferența cheie aici este că pentru ca un SSD să scrie date, blocul trebuie să fie complet gol de conținut. Pentru a se asigura că SSD-ul are un flux constant de blocuri disponibile, computerul emite ceva numit „comandă TRIM”, care informează SSD-ul care blocuri nu mai sunt necesare.
Pentru anchetatori, înseamnă că atunci când încearcă să găsească fișiere șterse de pe un SSD, pot descoperi că unitatea le-a pus în mod nevinovat mult dincolo de accesul lor.
SSD-urile pot, de asemenea, să împrăștie fișiere în mai multe blocuri de-a lungul unității, pentru a reduce cantitatea de uzură cauzată de utilizarea de zi cu zi. Deoarece SSD-urile pot rezista doar la un număr finit de scrieri, este important ca acestea să fie distribuite pe unitate, mai degrabă decât într-o locație mică. Această tehnologie se numește nivelare a uzurii și se știe că îngreunează viața profesioniștilor criminalistici digitale.
Apoi mai este faptul că SSD-urile sunt adesea mai greu de imaginat, deoarece de multe ori nu le puteți elimina fizic de pe un dispozitiv.
În timp ce hard disk-urile sunt aproape întotdeauna înlocuibile și conectate prin interfețe standard, cum ar fi IDE sau SATA, unii producători de laptopuri aleg să lipize fizic stocarea pe placa de bază a mașinii. Îngreunează extragerea conținutului într-un mod criminalistic pentru profesioniștii în aplicarea legii.
Complicațiile reale
Deci, în concluzie: Da, oamenii legii pot prelua fișierele pe care le-ați șters. Cu toate acestea, progresele în tehnologia de stocare și criptarea pe scară largă au complicat oarecum lucrurile.
Cu toate acestea, problemele tehnice pot fi deseori depășite. Când vine vorba de investigațiile digitale, cea mai mare provocare cu care se confruntă forțele de ordine nu sunt mecanismele unităților SSD, ci mai degrabă lipsa lor de resurse.
Nu există destui profesioniști pregătiți pentru a face munca. Iar rezultatul final este că multe forțe de poliție din întreaga lume se confruntă cu un număr zdrobitor de telefoane, laptopuri și servere neprocesate.
O solicitare a actului privind libertatea informației din partea ziarul britanic The Times a arătat că cele 32 de forțe de poliție din Anglia și Țara Galilor au peste 12.000 de dispozitive în așteptarea examinării. Timpul de procesare a unui dispozitiv acolo variază, de la o lună la peste un an.
Și asta are consecințe. Fundamentul oricărui sistem de justiție penală echitabil este că acuzaților li se oferă un proces rapid. După cum se spune, dreptatea amânată este dreptatea refuzată. Acest principiu este atât de important, încât este chiar reprezentat în al șaselea amendament la constituția SUA.
Din păcate, nu este o problemă care poate fi rezolvată cu ușurință fără ca forțele să cheltuiască mai mulți bani pentru recrutare și formare. Nu o poți rezolva cu mai multă tehnologie.