Όταν διαγράφετε ένα αρχείο από τον σκληρό δίσκο του υπολογιστή σας, δεν έχει εξαφανιστεί ποτέ. Με αρκετή προσπάθεια και τεχνικές δεξιότητες, είναι συχνά δυνατή η ανάκτηση εγγράφων και φωτογραφιών που προηγουμένως θεωρούνταν ότι είχαν σβήσει. Αυτά τα ιατροδικαστικά υπολογιστών είναι ένα χρήσιμο εργαλείο για την επιβολή του νόμου, αλλά πώς λειτουργούν πραγματικά;
Πίνακας περιεχομένων
Καθορισμός της νομικής βάσης
Πριν μπούμε στα τεχνικά ζιζάνια, αξίζει να συζητήσουμε τις βαρετές διαδικαστικές και νομικές πτυχές της εγκληματολογίας υπολογιστών στο πλαίσιο της επιβολής του νόμου.
Αρχικά, ας καταρρίψουμε τον παλιό μύθο ότι απαιτείται πάντα ένταλμα για να εξετάσει ένας αξιωματικός επιβολής του νόμου μια ψηφιακή συσκευή όπως ένα τηλέφωνο ή ένας υπολογιστής. Αν και αυτό συμβαίνει συχνά, πολλά «παραθυράκια» (ελλείψει καλύτερης λέξης) μπορούν να βρεθούν στη δομή του νόμου.
Πολλές δικαιοδοσίες, όπως το Ηνωμένο Βασίλειο και οι Ηνωμένες Πολιτείες, επιτρέπουν στους υπαλλήλους των τελωνείων και της μετανάστευσης να εξετάζουν ηλεκτρονικές συσκευές χωρίς ένταλμα. Οι Αμερικανοί αξιωματικοί των συνόρων μπορούν επίσης να εξετάσουν το περιεχόμενο των συσκευών χωρίς ένταλμα εάν υπάρχει επικείμενο νήμα αποδεικτικών στοιχείων που καταστρέφονται, όπως επιβεβαιώνεται από μια απόφαση 11ου Σιρκουί από το 2018.
Σε σύγκριση με τους Αμερικανούς ομολόγους τους, οι αστυνομικοί του Ηνωμένου Βασιλείου τείνουν να έχουν περισσότερα περιθώρια για να αρπάξουν το περιεχόμενο των συσκευών χωρίς να χρειάζεται να υποβάλουν την υπόθεσή τους σε δικαστή ή δικαστή. Μπορούν, για παράδειγμα, να κατεβάσουν τα περιεχόμενα ενός τηλεφώνου χρησιμοποιώντας μια νομοθεσία που ονομάζεται Νόμος περί αστυνομικών και εγκληματικών αποδεικτικών στοιχείων (PACE), ανεξάρτητα από το αν απαγγέλλονται κατηγορίες. Ωστόσο, εάν η αστυνομία αποφασίσει τελικά ότι επιθυμεί να εξετάσει το περιεχόμενο, χρειάζεται υπογραφή από τα δικαστήρια.
Νομοθεσία δίνει επίσης στην αστυνομία του ΗΒ το δικαίωμα να εξετάζει συσκευές χωρίς ένταλμα σε ορισμένες περιπτώσεις όπου υπάρχει επείγουσα ανάγκη—όπως σε περίπτωση τρομοκρατίας ή όπου υπάρχει πραγματικός φόβος ότι ένα παιδί μπορεί να υποστεί σεξουαλική εκμετάλλευση.
Αλλά τελικά, ανεξάρτητα από το «πώς», όταν ένας υπολογιστής κατασχέθηκε, αντιπροσωπεύει απλώς την έναρξη μιας μακράς διαδικασίας που ξεκινά με την αφαίρεση ενός φορητού υπολογιστή ή τηλεφώνου σε μια πλαστική σακούλα ανθεκτική στην παραβίαση και συχνά καταλήγει με στοιχεία που παρουσιάζονται σε μια δικαστική αίθουσα.
Η αστυνομία πρέπει να τηρεί ένα σύνολο κανόνων και διαδικασιών για να διασφαλίζει το παραδεκτό των αποδεικτικών στοιχείων. Οι ομάδες εγκληματολογικών υπολογιστών τεκμηριώνουν κάθε τους κίνηση, ώστε, αν χρειαστεί, να επαναλάβουν τα ίδια βήματα και να επιτύχουν τα ίδια αποτελέσματα. Χρησιμοποιούν συγκεκριμένα εργαλεία για να εξασφαλίσουν την ακεραιότητα των αρχείων. Ένα παράδειγμα είναι ένας «αναστολέας εγγραφής», ο οποίος έχει σχεδιαστεί για να επιτρέπει στους επαγγελματίες εγκληματολόγους να εξάγουν πληροφορίες χωρίς να τροποποιούν ακούσια τα στοιχεία που εξετάζονται.
Αυτή η νομική βάση και η διαδικαστική αυστηρότητα είναι που καθορίζουν εάν μια έρευνα εγκληματολογίας υπολογιστή θα είναι επιτυχής — όχι η τεχνική πολυπλοκότητα.
Μετακινούμενες πιατέλες, Κινούμενες Θήκες
Παρά τα νομικά ζητήματα, είναι πάντα ενδιαφέρον να σημειωθούν οι πολλοί παράγοντες που μπορούν να καθορίσουν την ευκολία με την οποία τα διαγραμμένα αρχεία μπορούν να ανακτηθούν από τις αρχές επιβολής του νόμου. Αυτά περιλαμβάνουν τον τύπο του δίσκου που χρησιμοποιείται, εάν υπήρχε κρυπτογράφηση και το σύστημα αρχείων της μονάδας δίσκου.
Πάρτε για παράδειγμα σκληρούς δίσκους. Αν και αυτές έχουν ξεπεραστεί σε μεγάλο βαθμό από τις ταχύτερες μονάδες στερεάς κατάστασης (SSD), οι μηχανικοί σκληροί δίσκοι (HDD) ήταν ο κυρίαρχος μηχανισμός αποθήκευσης για περισσότερα από 30 χρόνια.
Οι σκληροί δίσκοι χρησιμοποιούσαν μαγνητικές πλάκες για την αποθήκευση δεδομένων. Εάν έχετε αποσυναρμολογήσει ποτέ έναν σκληρό δίσκο, πιθανότατα έχετε παρατηρήσει πώς μοιάζουν κάπως με CD. Είναι κυκλικά και έχουν ασημί χρώμα.
Όταν χρησιμοποιούνται, αυτές οι πλάκες περιστρέφονται με απίστευτες ταχύτητες—συνήθως είτε 5.400 ή 7.200 σ.α.λ., και σε ορισμένες περιπτώσεις, έως και 15.000 σ.α.λ. Σε αυτές τις πλάκες συνδέονται ειδικές «κεφαλές» που εκτελούν λειτουργίες ανάγνωσης και εγγραφής. Όταν αποθηκεύετε ένα αρχείο στη μονάδα δίσκου, αυτή η “κεφαλή” μετακινείται σε ένα συγκεκριμένο μέρος της πλάκας και μετατρέπει ένα ηλεκτρικό ρεύμα σε μαγνητικό πεδίο, αλλάζοντας έτσι τις ιδιότητες της πλάκας.
Αλλά πώς ξέρει πού να πάει; Λοιπόν, εξετάζει κάτι που ονομάζεται πίνακας εκχώρησης, ο οποίος περιέχει μια εγγραφή κάθε αρχείου που είναι αποθηκευμένο σε έναν δίσκο. Τι συμβαίνει όμως όταν ένα αρχείο διαγράφεται;
Η σύντομη απάντηση; Οχι πολύ.
Ακολουθεί η εκτενής απάντηση: Η εγγραφή για αυτό το αρχείο διαγράφεται, επιτρέποντας την αντικατάσταση του χώρου που καταλάμβανε στον σκληρό δίσκο αργότερα. Ωστόσο, τα δεδομένα παραμένουν φυσικά παρόντα στις μαγνητικές πλάκες και διαγράφονται πραγματικά μόνο όταν προστίθενται νέα δεδομένα στη συγκεκριμένη θέση της πιατέλας.
Εξάλλου, η διαγραφή του θα απαιτούσε από τη μαγνητική κεφαλή να μετακινηθεί φυσικά σε αυτήν τη θέση στην πιατέλα και να την αντικαταστήσει. Αυτό θα μπορούσε να εμποδίσει άλλες εφαρμογές και να επιβραδύνει την απόδοση του υπολογιστή. Όσον αφορά τους σκληρούς δίσκους, είναι πιο απλό να προσποιηθείς ότι τα διαγραμμένα αρχεία απλά δεν υπάρχουν.
Αυτό κάνει την ανάκτηση των διαγραμμένων αρχείων πολύ πιο εύκολη για τις αρχές επιβολής του νόμου. Απλώς πρέπει να αναδημιουργήσουν τα μέρη που λείπουν στον πίνακα κατανομής, κάτι που μπορεί να γίνει με δωρεάν εργαλεία, όπως Recuva.
Στερεά (Κατάσταση) ως Βράχος
Φυσικά, οι SSD είναι διαφορετικοί. Δεν περιέχουν κινούμενα μέρη. Αντίθετα, τα αρχεία αντιπροσωπεύονται ως ηλεκτρόνια που συγκρατούνται από τρισεκατομμύρια μικροσκοπικά τρανζίστορ αιωρούμενης πύλης. Συλλογικά, αυτά συνδυάζονται για να σχηματίσουν τσιπ NAND flash.
Οι SSD έχουν κάποιες ομοιότητες με τους σκληρούς δίσκους, στο βαθμό που τα αρχεία διαγράφονται μόνο όταν αντικαθίστανται. Ωστόσο, ορισμένες βασικές διαφορές αναπόφευκτα περιπλέκουν το έργο των επαγγελματιών εγκληματολογίας υπολογιστών. Και όπως οι σκληροί δίσκοι, οι SSD οργανώνουν δεδομένα σε μπλοκ, με το μέγεθος να ποικίλλει πολύ μεταξύ των κατασκευαστών.
Η βασική διαφορά εδώ είναι ότι για να εγγράψει δεδομένα ένας SSD, το μπλοκ πρέπει να είναι εντελώς κενό περιεχομένου. Για να διασφαλιστεί ότι ο SSD έχει μια σταθερή ροή διαθέσιμων μπλοκ, ο υπολογιστής εκδίδει κάτι που ονομάζεται “εντολή TRIM”, η οποία ενημερώνει τον SSD ποια μπλοκ δεν απαιτούνται πλέον.
Για τους ερευνητές, αυτό σημαίνει ότι όταν προσπαθούν να βρουν διαγραμμένα αρχεία σε ένα SSD, μπορεί να διαπιστώσουν ότι η μονάδα δίσκου τα έχει αθώα πολύ πιο μακριά.
Οι SSD μπορούν επίσης να διασκορπίσουν αρχεία σε πολλά μπλοκ στη μονάδα δίσκου για να μειώσουν τη φθορά που προκαλείται από την καθημερινή χρήση. Επειδή οι SSD αντέχουν μόνο έναν πεπερασμένο αριθμό εγγραφών, είναι σημαντικό να διανέμονται σε όλη τη μονάδα δίσκου και όχι σε μια μικρή τοποθεσία. Αυτή η τεχνολογία ονομάζεται ισοπέδωση φθοράς και είναι γνωστό ότι δυσκολεύει τη ζωή των επαγγελματιών της ψηφιακής εγκληματολογίας.
Έπειτα, υπάρχει το γεγονός ότι οι SSD είναι συχνά πιο δύσκολο να απεικονιστούν, επειδή συχνά δεν μπορείτε φυσικά να τους αφαιρέσετε από μια συσκευή.
Ενώ οι σκληροί δίσκοι είναι σχεδόν πάντα αντικαταστάσιμοι και συνδέονται μέσω τυπικών διεπαφών, όπως το IDE ή το SATA, ορισμένοι κατασκευαστές φορητών υπολογιστών επιλέγουν να κολλήσουν φυσικά την αποθήκευση στη μητρική πλακέτα του μηχανήματος. Κάνει την εξαγωγή των περιεχομένων με ιατροδικαστικό τρόπο πολύ πιο δύσκολη για τους επαγγελματίες επιβολής του νόμου.
Οι πραγματικές επιπλοκές
Λοιπόν, εν κατακλείδι: Ναι, οι αρχές επιβολής του νόμου μπορούν να ανακτήσουν αρχεία που έχετε διαγράψει. Ωστόσο, η πρόοδος στην τεχνολογία αποθήκευσης και η ευρεία κρυπτογράφηση έχουν περιπλέξει κάπως τα πράγματα.
Ωστόσο, τα τεχνικά προβλήματα μπορούν συχνά να ξεπεραστούν. Όσον αφορά τις ψηφιακές έρευνες, η μεγαλύτερη πρόκληση που αντιμετωπίζουν οι αρχές επιβολής του νόμου δεν είναι οι μηχανισμοί των μονάδων SSD αλλά η έλλειψη πόρων τους.
Δεν υπάρχουν αρκετοί εκπαιδευμένοι επαγγελματίες για να κάνουν τη δουλειά. Και το τελικό αποτέλεσμα είναι ότι πολλές αστυνομικές δυνάμεις σε όλο τον κόσμο έρχονται αντιμέτωπες με ένα συντριπτικό ανεκτέλεστο ανεπεξέργαστα τηλέφωνα, φορητούς υπολογιστές και διακομιστές.
Ένα αίτημα νόμου για την ελευθερία της πληροφόρησης από τη βρετανική εφημερίδα The Times έδειξε ότι οι 32 αστυνομικές δυνάμεις σε όλη την Αγγλία και την Ουαλία έχουν περισσότερες από 12.000 συσκευές που εκκρεμούν εξέταση. Ο χρόνος επεξεργασίας μιας συσκευής εκεί ποικίλλει, από έναν μήνα έως πάνω από ένα χρόνο.
Και αυτό έχει συνέπειες. Το θεμέλιο οποιουδήποτε δίκαιου συστήματος ποινικής δικαιοσύνης είναι να δοθεί στους κατηγορούμενους μια ταχεία δίκη. Όπως λέει και η παροιμία, η καθυστερημένη δικαιοσύνη είναι δικαιοσύνη άρνηση. Αυτή η αρχή είναι τόσο θεμελιωδώς σημαντική, που εκπροσωπείται ακόμη και στην έκτη τροποποίηση του συντάγματος των ΗΠΑ.
Δυστυχώς, δεν είναι ένα πρόβλημα που επιλύεται εύκολα χωρίς να δαπανηθούν περισσότερα χρήματα από τις δυνάμεις για στρατολόγηση και εκπαίδευση. Δεν μπορείς να το λύσεις με περισσότερη τεχνολογία.