Когда вы удаляете файл с жесткого диска вашего компьютера, он никогда не исчезает. При наличии достаточных усилий и технических навыков часто можно восстановить документы и фотографии, которые ранее считались стертыми. Эти компьютерные криминалистические исследования — полезный инструмент для правоохранительных органов, но как они действительно работают?
Оглавление
Создание правовой основы
Прежде чем мы углубимся в технические проблемы, стоит обсудить скучные процедурные и юридические аспекты компьютерной криминалистики в контексте правоохранительных органов.
Во-первых, давайте развеем старый миф о том, что сотруднику правоохранительных органов всегда требуется ордер на проверку цифрового устройства, такого как телефон или компьютер. Хотя это часто бывает, в структуре закона можно найти множество «лазеек» (за неимением лучшего слова).
Многие юрисдикции, такие как Великобритания и США, разрешают таможенным и иммиграционным служащим проверять электронные устройства без ордера. Американские пограничники также могут исследовать содержимое устройств без ордера, если есть неминуемая нить уничтожения улик, как утверждает решение 11-го округа от 2018 г..
По сравнению со своими американскими коллегами, британские полицейские, как правило, имеют больше возможностей для изъятия содержимого устройств, не обращаясь к судье или магистрату. Они могут, например, загрузить содержимое телефона, используя закон, называемый Закон о полиции и доказательствах по уголовным делам (ПАСЕ), независимо от того, предъявлено ли какое-либо обвинение. Однако, если полиция в конечном итоге решит, что она желает изучить содержимое, ей потребуется разрешение суда.
Законодательство также дает полиции Великобритании право проверять устройства без ордера в определенных обстоятельствах, когда есть острая необходимость — например, в случае терроризма или когда существует реальный страх, что ребенок может быть подвергнут сексуальной эксплуатации.
Но в конечном итоге, независимо от «как», конфискация компьютера представляет собой всего лишь начало длительного процесса, который начинается с того, что ноутбук или телефон извлекается из защищенного от несанкционированного доступа пластикового пакета, и часто заканчивается представлением доказательств зал суда.
Полиция должна придерживаться набора правил и процедур для обеспечения допустимости доказательств. Команды компьютерных криминалистов документируют каждое свое движение, чтобы при необходимости они могли повторить те же шаги и добиться тех же результатов. Они используют специальные инструменты для обеспечения целостности файлов. Одним из примеров является «блокировщик записи», который позволяет судебным экспертам извлекать информацию без непреднамеренного изменения исследуемых улик.
Успешность компьютерного криминалистического расследования определяется правовой основой и строгостью процедур, а не технической сложностью.
Подвижные тарелки, подвижные ящики
Несмотря на юридические проблемы, всегда интересно отметить множество факторов, которые могут определить легкость, с которой удаленные файлы могут быть восстановлены правоохранительными органами. К ним относятся тип используемого диска, использовалось ли шифрование и файловая система диска.
Возьмем, к примеру, жесткие диски. Хотя их в значительной степени превзошли более быстрые твердотельные накопители (SSD), механические жесткие диски (HDD) были преобладающим механизмом хранения более 30 лет.
На жестких дисках для хранения данных использовались магнитные пластины. Если вы когда-либо разбирали жесткий диск, вы, вероятно, заметили, как они немного похожи на компакт-диски. Они круглые и серебристого цвета.
При использовании эти пластины вращаются с невероятной скоростью — обычно 5400 или 7200 об / мин, а в некоторых случаях даже 15000 об / мин. К этим пластинам подключены специальные «головки», выполняющие операции чтения и записи. Когда вы сохраняете файл на диск, эта «голова» перемещается к определенной части диска и преобразует электрический ток в магнитное поле, тем самым изменяя свойства диска.
Но как он узнает, куда идти? Что ж, он смотрит на так называемую таблицу распределения, которая содержит запись каждого файла, хранящегося на диске. Но что происходит, когда файл удаляется?
Краткий ответ? Немного.
Вот длинный ответ: запись для этого файла удаляется, что позволяет позже перезаписать место, которое она занимала на жестком диске. Однако данные остаются физически присутствующими на магнитных пластинах и действительно удаляются только тогда, когда новые данные добавляются в это конкретное место на пластине.
В конце концов, для его удаления потребуется, чтобы магнитная головка физически переместилась в это место на пластине и перезаписала его. Это может затруднить работу других приложений и снизить производительность компьютера. Что касается жестких дисков, проще притвориться, что удаленных файлов просто не существует.
Это значительно упрощает восстановление удаленных файлов для правоохранительных органов. Им просто нужно воссоздать недостающие части в таблице распределения, что можно сделать с помощью бесплатных инструментов, включая Recuva.
Твердое тело (состояние) как скала
Конечно, SSD бывают разные. В них нет движущихся частей. Вместо этого файлы представлены в виде электронов, удерживаемых триллионами микроскопических транзисторов с плавающим затвором. Вместе они образуют микросхемы флэш-памяти NAND.
Твердотельные накопители имеют некоторое сходство с жесткими дисками, поскольку файлы удаляются только тогда, когда они перезаписываются. Однако некоторые ключевые отличия неизбежно усложняют работу специалистов по компьютерной криминалистике. Как и жесткие диски, твердотельные накопители организуют данные в блоки, размер которых сильно различается в зависимости от производителя.
Ключевое отличие заключается в том, что для записи данных на SSD блок должен быть полностью пуст от содержимого. Чтобы гарантировать, что SSD имеет постоянный поток доступных блоков, компьютер выдает так называемую «команду TRIM», которая сообщает SSD, какие блоки больше не требуются.
Для исследователей это означает, что когда они пытаются найти удаленные файлы на SSD, они могут обнаружить, что диск невинно поместил их далеко за пределы их досягаемости.
Твердотельные накопители также могут распределять файлы по нескольким блокам на диске, чтобы уменьшить износ, вызываемый повседневным использованием. Поскольку твердотельные накопители могут выдерживать только ограниченное количество операций записи, важно, чтобы они были распределены по диску, а не в небольшом месте. Эта технология называется выравниванием износа и, как известно, усложняет жизнь профессионалам в области цифровой криминалистики.
Кроме того, есть тот факт, что образ SSD зачастую сложнее создать, потому что вы часто физически не можете удалить их с устройства.
В то время как жесткие диски почти всегда можно заменить и подключить через стандартные интерфейсы, такие как IDE или SATA, некоторые производители ноутбуков предпочитают физически припаять хранилище к материнской плате машины. Это значительно усложняет извлечение содержимого криминалистически обоснованным способом для специалистов правоохранительных органов.
Настоящие осложнения
Итак, в заключение: да, правоохранительные органы могут восстановить удаленные вами файлы. Однако достижения в области технологий хранения и повсеместное шифрование несколько усложнили ситуацию.
Тем не менее, технические проблемы часто можно преодолеть. Когда дело доходит до цифровых расследований, самая большая проблема, с которой сталкиваются правоохранительные органы, — это не механизмы SSD-накопителей, а отсутствие у них ресурсов.
Для работы не хватает подготовленных специалистов. И в результате многие полицейские силы по всему миру сталкиваются с огромным количеством необработанных телефонов, ноутбуков и серверов.
Запрос закона о свободе информации от британской газеты The Times показал, что 32 полицейских подразделения в Англии и Уэльсе имеют более 12000 устройств на рассмотрении. Время обработки устройства варьируется от одного месяца до года.
И это имеет последствия. Краеугольным камнем любой справедливой системы уголовного правосудия является то, что обвиняемым предоставляется быстрое судебное разбирательство. Как говорится, отложить правосудие — значит отказать в правосудии. Этот принцип настолько фундаментально важен, что он даже представлен в Шестой поправке к конституции США.
К сожалению, эту проблему нелегко решить, если силы не потратят больше денег на набор и обучение. Вы не можете решить эту проблему с помощью дополнительных технологий.