Mohou orgány činné v trestním řízení skutečně obnovit soubory, které jste smazali?

Když se odstraní soubor z disku počítače, ve skutečnosti se nikdy úplně neztratí. S dostatečným úsilím a odbornými znalostmi lze často obnovit dokumenty a obrázky, které byly dříve považovány za nenávratně smazané. Tyto postupy počítačové forenzní analýzy jsou užitečným nástrojem pro orgány činné v trestním řízení, ale jak vlastně fungují?

Právní rámec

Než se ponoříme do technických detailů, je vhodné probrat základní procedurální a právní aspekty počítačové forenzní vědy v kontextu orgánů činných v trestním řízení.

Nejprve si objasníme zažitý mýtus, že pro kontrolu digitálního zařízení, jako je mobilní telefon nebo počítač, je vždy nezbytný soudní příkaz. I když tomu tak často bývá, v rámci zákona existuje spousta „mezer“ (abychom použili mírné označení).

Mnoho jurisdikcí, například Spojené království a Spojené státy, umožňuje celním a imigračním úředníkům prozkoumat elektronická zařízení bez předchozího povolení. Američtí pohraniční strážníci mají navíc právo kontrolovat obsah zařízení i bez příkazu, pokud bezprostředně hrozí zničení důkazů, jak potvrdil rozsudek 11. obvodu z roku 2018.

Ve srovnání s jejich americkými protějšky mají britští policisté obvykle větší pravomoc k zajišťování obsahu zařízení, aniž by museli svůj případ předložit soudci. Mohou například stahovat obsah telefonů s odkazem na legislativu známou jako Zákon o policii a trestním řízení (PACE), a to bez ohledu na to, zda byla vznesena jakákoli obvinění. Nicméně, pokud se policie nakonec rozhodne obsah prozkoumat, je nutný souhlas soudu.

Legislativa rovněž opravňuje policii Spojeného království k prozkoumávání zařízení i bez soudního příkazu za určitých naléhavých okolností – například při podezření na terorismus nebo v situaci, kdy existují obavy o sexuální zneužívání dítěte.

Ale ať už je postup "jakýkoliv", v případě zajištění počítače je to jen začátek dlouhého procesu, který začíná uložením notebooku nebo telefonu do plastového obalu odolného proti neoprávněné manipulaci a často končí předložením důkazů u soudu.

Policie musí dodržovat stanovená pravidla a postupy, aby zajistila přípustnost důkazů. Týmy počítačové forenzní analýzy dokumentují každý svůj krok, aby mohly v případě potřeby zopakovat stejné kroky a dosáhnout totožných výsledků. Používají specifické nástroje, které zabezpečují integritu souborů. Typickým příkladem je "blokátor zápisu", který umožňuje forenzním odborníkům extrahovat informace bez nežádoucích úprav zkoumaných důkazů.

O úspěšnosti počítačového forenzního vyšetřování rozhoduje právní rámec a procesní přísnost, nikoliv technická pokročilost.

Pohyblivé plotny, pohyblivé obaly

Bez ohledu na právní aspekty je vždy zajímavé si všímat různých faktorů, které mohou ovlivnit, jak snadno lze smazané soubory obnovit orgány činnými v trestním řízení. Mezi tyto faktory patří typ použitého disku, použití šifrování a souborový systém jednotky.

Vezměme si například pevné disky. I když byly z velké části překonány rychlejšími disky SSD (solid-state drive), mechanické pevné disky (HDD) byly po dobu více než 30 let dominantním mechanismem pro ukládání dat.

HDD pro ukládání dat používají magnetické plotny. Pokud jste někdy rozebírali pevný disk, pravděpodobně jste si všimli, že vypadají trochu jako CD. Mají kruhový tvar a stříbrnou barvu.

Při používání se tyto plotny otáčejí neuvěřitelnou rychlostí – obvykle 5400 nebo 7200 otáček za minutu, a v některých případech až 15 000 otáček za minutu. K těmto plotnám jsou připojeny speciální "hlavy", které provádějí operace čtení a zápisu. Když uložíte soubor na disk, tato "hlava" se přesune do příslušné části plotny a přemění elektrický proud na magnetické pole, čímž se změní vlastnosti plotny.

Ale jak hlava ví, kam se má přesunout? No, řídí se něčím, čemu se říká alokační tabulka, která obsahuje záznam o každém souboru uloženém na disku. Ale co se stane, když se soubor smaže?

Stručně řečeno? Nic moc.

A podrobná odpověď je: Záznam pro tento soubor je odstraněn, což umožňuje, aby místo, které zabíral na disku, bylo později přepsáno. Data však fyzicky zůstávají přítomná na magnetických plotnách a ve skutečnosti jsou odstraněna teprve ve chvíli, kdy se na toto konkrétní místo na plotně zapíšou nová data.

Smazání by totiž vyžadovalo, aby se magnetická hlava fyzicky přesunula na toto místo na plotně a přepsala ho. To by mohlo ztížit práci dalším aplikacím a zpomalit výkon počítače. V případě pevných disků je jednodušší předstírat, že smazané soubory jednoduše neexistují.

Díky tomu je obnovení smazaných souborů pro orgány činné v trestním řízení mnohem snadnější. Stačí jim pouze obnovit chybějící části v alokační tabulce, což je úkon, který lze provést pomocí bezplatných nástrojů, jako je například Recuva.

Pevný jako kámen

Disky SSD, samozřejmě, fungují jinak. Neobsahují žádné pohyblivé části. Místo toho jsou soubory reprezentovány jako elektrony uložené v bilionech mikroskopických tranzistorů s plovoucím hradlem. Tyto tranzistory se skládají do takzvaných NAND flash čipů.

Disky SSD mají s HDD určité podobnosti, protože soubory jsou smazány až ve chvíli, kdy jsou přepsány. Několik zásadních rozdílů ale nevyhnutelně komplikuje práci odborníků na počítačovou kriminalistiku. A stejně jako u HDD, i SSD organizují data do bloků, jejichž velikost se mezi jednotlivými výrobci liší.

Zásadní rozdíl spočívá v tom, že aby mohl SSD zapisovat data, musí být blok zcela prázdný. Aby měl SSD neustálý přísun volných bloků, počítač vydá příkaz "TRIM", který informuje SSD, které bloky již nejsou potřeba.

Pro vyšetřovatele to znamená, že když se snaží najít smazané soubory na SSD, může se stát, že disk je bez jejich zásahu odstranil mimo dosah.

Disky SSD mohou také rozdělit soubory do více bloků na disku, aby se minimalizovalo opotřebení způsobené každodenním používáním. Vzhledem k tomu, že disky SSD vydrží pouze omezený počet zápisů, je důležité, aby byly zápisy rozloženy po celém disku, nikoli v malém prostoru. Tato technologie se nazývá vyrovnávání opotřebení a je známo, že ztěžuje práci profesionálům v oblasti digitální forenzní analýzy.

Navíc je tu skutečnost, že disky SSD se často hůře extrahují, protože je často nelze fyzicky vyjmout ze zařízení.

Zatímco pevné disky jsou téměř vždy vyměnitelné a připojené pomocí standardních rozhraní, jako je IDE nebo SATA, někteří výrobci notebooků se rozhodnou fyzicky připájet úložiště k základní desce počítače. To pro profesionály v oblasti vymáhání práva značně ztěžuje extrahování obsahu forenzně spolehlivým způsobem.

Reálné komplikace

Závěrem tedy: Ano, orgány činné v trestním řízení mohou obnovit soubory, které jste smazali. Pokroky v technologii úložišť a rozšířené šifrování však situaci poněkud zkomplikovaly.

Technické problémy však lze často překonat. Pokud jde o digitální vyšetřování, největším problémem, kterému čelí orgány činné v trestním řízení, nejsou mechanismy SSD disků, ale spíše nedostatek zdrojů.

Není dostatek vyškolených odborníků, kteří by byli schopni vykonávat tuto práci. A konečným důsledkem je, že mnoho policejních sborů po celém světě čelí ohromujícímu množství nezpracovaných telefonů, notebooků a serverů.

Žádost o zákon o svobodě informací britského listu The Times ukázala, že 32 policejních sborů v Anglii a Walesu má více než 12 000 zařízení, která čekají na vyšetření. Doba zpracování zařízení se pohybuje od jednoho měsíce až po více než rok.

A to má své následky. Základem každého spravedlivého systému trestního soudnictví je to, že obžalovaným je umožněn rychlý soudní proces. Jak se říká, spravedlnost odkládaná je spravedlnost odepřená. Tento princip je tak zásadní, že je dokonce zakotven v šestém dodatku ústavy Spojených států.

Bohužel se nejedná o problém, který by bylo možné jednoduše vyřešit, aniž by policejní složky investovaly více peněz do náboru a školení. Větší množství technologií to nevyřeší.