Когато изтриете файл от твърдия диск на вашия компютър, той никога не е изчезнал. С достатъчно усилия и технически умения, често е възможно да се възстановят документи и снимки, които преди са се смятали за заличени. Тези компютърни криминалисти са полезен инструмент за правоприлагането, но как наистина работят?
Съдържание
Поставяне на правната основа
Преди да влезем в техническите бурени, си струва да обсъдим скучните процедурни и правни аспекти на компютърната криминалистика в контекста на правоприлагането.
Първо, нека разсеем стария мит, че винаги се изисква заповед на служител на реда, за да прегледа цифрово устройство като телефон или компютър. Макар че това често е така, много „вратички“ (заради липсата на по-добра дума) могат да бъдат намерени в рамките на закона.
Много юрисдикции, като Обединеното кралство и Съединените щати, позволяват на митническите и имиграционните служители да проверяват електронни устройства без заповед. Американските гранични служители могат също да проверяват съдържанието на устройства без заповед, ако има непосредствена нишка от доказателства, които бъдат унищожени, както се потвърждава от 11-то окръжно решение от 2018 г.
В сравнение с американските си колеги, ченгетата от Обединеното кралство са склонни да имат повече свобода на действие, за да изземват съдържанието на устройства, без да се налага да отправят делото си пред съдия или магистрат. Те могат например да изтеглят съдържанието на телефон, като използват законодателен акт, наречен Закон за полицията и наказателните доказателства (ПАСЕ), независимо дали са повдигнати обвинения. Въпреки това, ако полицията в крайна сметка реши, че иска да проучи съдържанието, тя се нуждае от одобрение от съда.
Законодателство също така дава на полицията на Обединеното кралство правото да проверява устройства без заповед при определени обстоятелства, когато има спешна нужда – например в случай на тероризъм или когато има истински страх, че дете може да бъде сексуално експлоатирано.
Но в крайна сметка, независимо от това „как“, когато компютърът бъде конфискуван, това просто представлява началото на дълъг процес, който започва с изваждането на лаптоп или телефон в устойчива на подправяне пластмасова торба и често завършва с представяне на доказателства в съдебна зала.
Полицията трябва да се придържа към набор от правила и процедури, за да гарантира допустимостта на доказателствата. Екипите по компютърна криминалистика документират всеки свой ход, за да могат, ако е необходимо, да повторят същите стъпки и да постигнат същите резултати. Те използват специфични инструменти, за да гарантират целостта на файловете. Един пример е „блокер за писане“, който е предназначен да позволи на криминалистите да извличат информация, без неволно да променят изследваните доказателства.
Това е правното основание и процедурната строгост, които определят дали едно компютърно криминалистично разследване ще бъде успешно, а не техническата сложност.
Преместващи се чинии, преместващи се кутии
Независимо от правните проблеми, винаги е интересно да се отбележат многото фактори, които могат да определят лекотата, с която изтритите файлове могат да бъдат възстановени от правоприлагащите органи. Те включват типа на използвания диск, дали е било направено криптиране и файловата система на устройството.
Вземете например твърдите дискове. Въпреки че те до голяма степен са надминати от по-бързите твърдотелни устройства (SSD), механичните твърди дискове (HDD) са преобладаващият механизъм за съхранение в продължение на повече от 30 години.
Твърдите дискове използват магнитни плочи за съхранение на данни. Ако някога сте разглобявали твърд диск, вероятно сте забелязали как изглеждат малко като компактдискове. Те са кръгли и сребристи на цвят.
Когато се използват, тези плочи се въртят с невероятни скорости – обикновено 5400 или 7200 об/мин, а в някои случаи и до 15 000 об/мин. Към тези плочи са свързани специални „глави“, които извършват операции за четене и запис. Когато запишете файл на устройството, тази „глава“ се премества в определена част от чинията и трансформира електрически ток в магнитно поле, като по този начин променя свойствата на плочата.
Но как знае къде да отиде? Е, той разглежда нещо, наречено таблица за разпределение, която съдържа запис на всеки файл, съхранен на диск. Но какво се случва, когато даден файл бъде изтрит?
Краткият отговор? Не много.
Ето дългия отговор: Записът за този файл се изтрива, което позволява пространството, което той заема на твърдия диск, да бъде презаписано по-късно. Въпреки това, данните остават физически налични на магнитните плочи и се изтриват наистина само когато се добавят нови данни към това конкретно място на плочата.
В крайна сметка, изтриването му би изисквало магнитната глава физически да се премести на това място на чинията и да я презапише. Това може да попречи на други приложения и да забави производителността на компютъра. Що се отнася до твърдите дискове, по-лесно е просто да се преструвате, че изтритите файлове просто не съществуват.
Това прави възстановяването на изтрити файлове много по-лесно за правоприлагащите органи. Те просто трябва да пресъздадат липсващите части в таблицата за разпределение, което е нещо, което може да се направи с безплатни инструменти, включително Recuva.
Твърдо (състояние) като скала
Разбира се, SSD дисковете са различни. Те не съдържат движещи се части. Вместо това файловете са представени като електрони, държани от трилиони микроскопични транзистори с плаващ затвор. Взети заедно, те се комбинират, за да образуват NAND флаш чипове.
SSD дисковете имат някои прилики с твърдите дискове, доколкото файловете се изтриват само когато са презаписани. Някои ключови разлики обаче неизбежно усложняват работата на специалистите по компютърна криминалистика. И подобно на твърдите дискове, SSD дисковете организират данни в блокове, като размерът варира значително между производителите.
Ключовата разлика тук е, че за да може SSD да записва данни, блокът трябва да е напълно празен от съдържание. За да се гарантира, че SSD има постоянен поток от налични блокове, компютърът издава нещо, наречено „команда TRIM“, което информира SSD кои блокове вече не са необходими.
За следователите това означава, че когато се опитат да намерят изтрити файлове на SSD, може да открият, че устройството невинно ги е поставило далеч извън техния обсег.
SSD дисковете могат също да разпръскват файлове в множество блокове в устройството, за да намалят количеството износване, породено от ежедневната употреба. Тъй като SSD дисковете могат да издържат само на ограничен брой записи, важно е те да са разпределени в устройството, а не на малко място. Тази технология се нарича изравняване на износването и е известно, че затруднява живота на професионалистите по дигитална криминалистика.
След това има факта, че SSD дисковете често са по-трудни за изобразяване, защото често физически не можете да ги премахнете от устройство.
Докато твърдите дискове почти винаги са заменяеми и свързани чрез стандартни интерфейси, като IDE или SATA, някои производители на лаптопи избират физически да запояват съхранение към дънната платка на машината. Това прави извличането на съдържанието по криминализиран начин много по-трудно за професионалистите на правоприлагащите органи.
Истинските усложнения
И така, в заключение: Да, правоприлагащите органи могат да извличат файлове, които сте изтрили. Въпреки това, напредъкът в технологията за съхранение и широко разпространеното криптиране донякъде усложниха нещата.
Въпреки това техническите проблеми често могат да бъдат преодолени. Когато става въпрос за цифрови разследвания, най-голямото предизвикателство пред правоприлагащите органи не са механизмите на SSD дисковете, а по-скоро липсата на ресурси.
Няма достатъчно обучени професионалисти, които да свършат работата. И крайният резултат е, че много полицейски сили по света са изправени пред съкрушително изоставане от необработени телефони, лаптопи и сървъри.
Заявка за закон за свобода на информацията от британския вестник The Times показа, че 32-те полицейски сили в Англия и Уелс са над 12 000 устройства в очакване на проверка. Времето за обработка на устройство там варира, от един месец до повече от година.
И това има последствия. Основата на всяка справедлива система на наказателно правосъдие е, че на обвиняемите се предоставя бърз процес. Както се казва, забавената справедливост е отказана справедливост. Този принцип е толкова фундаментално важен, че дори е представен в Шестата поправка на конституцията на САЩ.
За съжаление, това не е проблем, който е лесно поправим, без да се харчат повече пари от силите за набиране и обучение. Не можете да го решите с повече технологии.