Ha töröl egy fájlt a számítógép merevlemezéről, az soha nem tűnik el igazán. Kellő erőfeszítéssel és technikai hozzáértéssel gyakran lehetséges a korábban töröltnek hitt dokumentumok és fényképek helyreállítása. Ezek a számítógépes kriminalisztika hasznos eszközök a bűnüldözés számára, de hogyan is működnek valójában?
Tartalomjegyzék
A jogi alapok meghatározása
Mielőtt rátérnénk a technikai gazokra, érdemes megvitatni a számítógépes kriminalisztika unalmas eljárási és jogi vonatkozásait a bűnüldözés kontextusában.
Először is oszlassuk el azt a régi mítoszt, miszerint a rendfenntartó tisztviselőnek egy digitális eszköz – például telefon vagy számítógép – vizsgálatához mindig elfogatóparancsra van szükség. Bár gyakran ez a helyzet, rengeteg „kiskapu” (jobb szó híján) található a törvényben.
Számos joghatóság, például az Egyesült Királyság és az Egyesült Államok, engedélyezi a vám- és bevándorlási tisztviselőknek, hogy engedély nélkül vizsgálják meg az elektronikus eszközöket. Az amerikai határőrök engedély nélkül is megvizsgálhatják az eszközök tartalmát, ha a bizonyítékok közelgő szála megsemmisül, ahogy azt a 11. körzeti ítélet 2018-ból.
Amerikai társaikhoz képest az Egyesült Királyság zsaruknak általában nagyobb mozgástere van az eszközök tartalmának lefoglalására anélkül, hogy bírósághoz vagy bíróhoz kellene fordulniuk. Letölthetik például a telefon tartalmát egy, az úgynevezett jogszabály segítségével A rendőrségről és a bűnügyi bizonyítékokról szóló törvény (PACE), függetlenül attól, hogy vádat emeltek-e. Ha azonban a rendőrség végül úgy dönt, hogy meg kívánja vizsgálni a tartalmat, akkor bírósági aláírásra van szüksége.
Jogszabályok továbbá feljogosítja az Egyesült Királyság rendőrségét arra, hogy bizonyos körülmények között, sürgős szükség esetén engedély nélkül vizsgálja meg az eszközöket – például terrorizmus esetén, vagy ha valódi félelem van attól, hogy egy gyermeket szexuálisan kizsákmányolnak.
De végső soron, függetlenül a „hogyantól”, amikor egy számítógépet lefoglalnak, az csupán egy hosszú folyamat kezdetét jelenti, amely azzal kezdődik, hogy egy laptopot vagy telefont kivesznek egy hamisításbiztos műanyag zacskóba, és gyakran a bizonyítékok bemutatásával zárul. egy tárgyalóterem.
A rendőrségnek be kell tartania egy sor szabályt és eljárást a bizonyítékok elfogadhatóságának biztosítása érdekében. A számítógépes kriminalisztikai csapatok minden lépésüket dokumentálják, így szükség esetén megismételhetik ugyanazokat a lépéseket, és ugyanazokat az eredményeket érhetik el. Speciális eszközöket használnak a fájlok integritásának biztosítására. Az egyik példa az „írásblokkoló”, amelyet arra terveztek, hogy a törvényszéki szakértők információkat nyerjenek ki anélkül, hogy véletlenül módosítanák a vizsgált bizonyítékokat.
Ez a jogi alap és az eljárási szigor határozza meg, hogy egy számítógépes kriminalisztikai vizsgálat sikeres lesz-e, nem pedig a technikai kifinomultság.
Mozgó tányérok, mozgatható tokok
A jogi problémák ellenére mindig érdekes megjegyezni azt a sok tényezőt, amelyek meghatározhatják a törölt fájlok visszaállításának egyszerűségét a bűnüldöző szervek által. Ezek közé tartozik a használt lemez típusa, a titkosítás, illetve a meghajtó fájlrendszere.
Vegyük például a merevlemezeket. Bár ezeket nagyrészt felülmúlták a gyorsabb szilárdtestalapú meghajtók (SSD), a mechanikus merevlemez-meghajtók (HDD) voltak az uralkodó tárolómechanizmusok több mint 30 éve.
A merevlemezek mágneses tálcákat használtak az adatok tárolására. Ha valaha is szétszedtél egy merevlemezt, valószínűleg megfigyelted, hogyan néznek ki egy kicsit a CD-k. Kör alakúak és ezüst színűek.
Használat közben ezek a tányérok hihetetlen sebességgel pörögnek – általában 5400 vagy 7200 ford./perc, és bizonyos esetekben akár 15 000 fordulat/perc sebességgel is. Ezekhez a tányérokhoz speciális „fejek” csatlakoznak, amelyek olvasási és írási műveleteket hajtanak végre. Amikor ment egy fájlt a meghajtóra, ez a „fej” a tányér egy meghatározott részére költözik, és az elektromos áramot mágneses térré alakítja, ezáltal megváltoztatja a tányér tulajdonságait.
De honnan tudja, hogy hova menjen? Nos, ez egy úgynevezett allokációs táblát néz, amely a lemezen tárolt összes fájl rekordját tartalmazza. De mi történik, ha egy fájlt törölnek?
A rövid válasz? Nem sok.
Íme a hosszú válasz: A fájl rekordja törlésre kerül, így a merevlemezen elfoglalt hely később felülírható. Az adatok azonban fizikailag a mágneses tálcákon maradnak, és csak akkor törlődnek igazán, ha új adatot adnak a tányér adott helyére.
Végül is a törléshez a mágneses fejnek fizikailag el kell mozdulnia a tányéron, és felül kell írnia azt. Ez akadályozhatja más alkalmazások működését, és lelassíthatja a számítógép teljesítményét. Ami a merevlemezeket illeti, egyszerűbb úgy tenni, mintha a törölt fájlok egyszerűen nem léteznének.
Ez sokkal könnyebbé teszi a törölt fájlok helyreállítását a bűnüldözés számára. Csak újra kell létrehozniuk a hiányzó részeket az allokációs táblán belül, amit ingyenes eszközökkel, pl. Recuva.
Szilárd (állapot), mint egy szikla
Természetesen az SSD-k mások. Nem tartalmaznak mozgó alkatrészeket. Ehelyett a fájlokat mikroszkopikus lebegőkapu tranzisztorok billióiban tartott elektronokként ábrázolják. Ezek együttesen NAND flash chipeket alkotnak.
Az SSD-k bizonyos hasonlóságokat mutatnak a HDD-kkel, amennyiben a fájlok csak felülíráskor törlődnek. Néhány lényeges különbség azonban elkerülhetetlenül megnehezíti a számítógépes kriminalisztikai szakemberek munkáját. A merevlemezekhez hasonlóan az SSD-k is blokkokba rendezik az adatokat, amelyek mérete vadul eltérő gyártónként.
A legfontosabb különbség itt az, hogy ahhoz, hogy egy SSD adatokat írhasson, a blokknak teljesen üresnek kell lennie a tartalomtól. Annak biztosítására, hogy az SSD-n állandóan rendelkezésre álló blokkok álljanak rendelkezésre, a számítógép egy „TRIM parancsot” ad ki, amely tájékoztatja az SSD-t, hogy mely blokkokra már nincs szükség.
A nyomozók számára ez azt jelenti, hogy amikor megpróbálják megtalálni a törölt fájlokat az SSD-n, azt tapasztalhatják, hogy a meghajtó ártatlanul messze távolabbra helyezte őket az elérhetőségüktől.
Az SSD-k a fájlokat több blokkba is szétszórhatják a meghajtón, hogy csökkentsék a mindennapi használat során fellépő kopást. Mivel az SSD-k csak véges számú írást képesek ellenállni, fontos, hogy a meghajtón belül legyenek elosztva, ne kis helyen. Ezt a technológiát kopáskiegyenlítésnek nevezik, és köztudottan megnehezíti a digitális kriminalisztikai szakemberek életét.
Aztán ott van az a tény, hogy az SSD-ket gyakran nehezebb leképezni, mert gyakran fizikailag nem lehet eltávolítani őket az eszközről.
Míg a merevlemezek szinte mindig cserélhetők, és szabványos interfészeken (például IDE vagy SATA) keresztül csatlakoztathatók, egyes laptopgyártók úgy döntenek, hogy fizikailag forrasztják a tárolót a gép alaplapjára. Sokkal megnehezíti a bűnüldöző szakemberek számára a tartalom kriminalisztikailag megalapozott kinyerését.
Az igazi komplikációk
Összefoglalva tehát: Igen, a bűnüldöző szervek vissza tudják állítani a törölt fájlokat. A tárolási technológia fejlődése és a széles körben elterjedt titkosítás azonban némileg bonyolítja a dolgokat.
A technikai problémák azonban gyakran leküzdhetők. Ami a digitális nyomozást illeti, a bűnüldözés előtt álló legnagyobb kihívást nem az SSD-meghajtók mechanizmusai jelentik, hanem az erőforrások hiánya.
Nincs elég képzett szakember a munka elvégzéséhez. A végeredmény pedig az, hogy a világ számos rendőrsége a feldolgozatlan telefonok, laptopok és szerverek hatalmas lemaradásával néz szembe.
Az információszabadságról szóló törvényre vonatkozó kérés a The Times brit laptól azt mutatta, hogy Anglia és Wales 32 rendőrsége több mint 12 000 eszköz vár vizsgálatra. A készülék feldolgozásának ideje változó, egy hónaptól több mint egy évig terjedhet.
És ennek megvannak a következményei. Minden tisztességes büntető igazságszolgáltatás alapja az, hogy a vádlottak gyors tárgyalást kapjanak. Ahogy a mondás tartja, a késleltetett igazságszolgáltatás az igazságszolgáltatás megtagadása. Ez az elv olyan alapvetően fontos, hogy még az Egyesült Államok alkotmányának hatodik kiegészítésében is szerepel.
Sajnos ez nem olyan probléma, amely könnyen megoldható anélkül, hogy több pénzt költenének az erők a toborzásra és a képzésre. Több technológiával nem lehet megoldani.