etechblog

Mohou orgány činné v trestním řízení skutečně obnovit soubory, které jste smazali?

Když smažete soubor z pevného disku počítače, nikdy ve skutečnosti nezmizí. S dostatečným úsilím a technickými dovednostmi je často možné obnovit dokumenty a fotografie, které byly dříve považovány za vymazané. Tyto počítačové forenzní analýzy jsou užitečným nástrojem pro vymáhání práva, ale jak ve skutečnosti fungují?

Nastavení právního základu

Než se pustíme do technického plevele, stojí za to probrat nudné procedurální a právní aspekty počítačové forenzní vědy v kontextu vymáhání práva.

Nejprve rozptýlíme starý mýtus, že pro kontrolu digitálního zařízení, jako je telefon nebo počítač, je vždy vyžadován soudní příkaz. I když tomu tak často bývá, v rámci zákona lze nalézt spoustu „mezer“ (pro nedostatek lepšího slova).

Mnoho jurisdikcí, jako je Spojené království a Spojené státy, povoluje celním a imigračním úředníkům zkoumat elektronická zařízení bez povolení. Američtí pohraniční strážníci mohou také zkoumat obsah zařízení bez povolení, pokud je bezprostředně zničena nit důkazů, jak potvrzují rozsudek 11. obvodu z roku 2018.

Ve srovnání s jejich americkými protějšky mají britští policisté tendenci mít větší prostor pro zabavení obsahu zařízení, aniž by museli svůj případ předkládat soudci nebo soudci. Mohou si například stáhnout obsah telefonu pomocí právního předpisu zvaného Zákon o policejním a trestním řízení (PACE)bez ohledu na to, zda byla vznesena jakákoli obvinění. Pokud se však policie nakonec rozhodne, že chce obsah prozkoumat, potřebuje souhlas soudu.

Legislativa také dává policii Spojeného království právo zkoumat zařízení bez soudního příkazu za určitých okolností, kdy je to naléhavé – například v případě terorismu nebo pokud existuje skutečný strach, že by dítě mohlo být sexuálně zneužíváno.

Ale v konečném důsledku, bez ohledu na to, „jak“, když je počítač zabaven, představuje pouze začátek dlouhého procesu, který začíná vyjmutím notebooku nebo telefonu v plastovém sáčku odolném proti neoprávněné manipulaci a často končí předložením důkazů v soudní síň.

  Jak rychle vyhledávat na webu pomocí zkratek na iPhone a iPad

Policie musí dodržovat soubor pravidel a postupů, aby zajistila přípustnost důkazů. Počítačové forenzní týmy dokumentují každý svůj krok, aby v případě potřeby mohly opakovat stejné kroky a dosáhnout stejných výsledků. Používají specifické nástroje k zajištění integrity souborů. Jedním z příkladů je „blokátor zápisu“, který je navržen tak, aby umožnil forenzním odborníkům extrahovat informace bez nechtěné úpravy zkoumaných důkazů.

O tom, zda bude počítačové forenzní vyšetřování úspěšné, rozhoduje právní základ a procesní přísnost – nikoli technická vyspělost.

Pohyblivé talíře, pohyblivé obaly

Bez ohledu na právní problémy je vždy zajímavé poznamenat si mnoho faktorů, které mohou určovat, jak snadno lze smazané soubory obnovit orgány činnými v trestním řízení. Patří mezi ně typ používaného disku, zda bylo použito šifrování a souborový systém jednotky.

Vezměte si například pevné disky. Ačkoli tyto byly z velké části překonány rychlejšími disky SSD (solid-state drive), mechanické pevné disky (HDD) byly převládajícím mechanismem ukládání po více než 30 let.

HDD používaly k ukládání dat magnetické plotny. Pokud jste někdy rozebírali pevný disk, pravděpodobně jste si všimli, jak vypadají trochu jako CD. Jsou kruhové a stříbrné barvy.

Při používání se tyto plotny otáčí neuvěřitelnou rychlostí – obvykle 5 400 nebo 7 200 ot./min a v některých případech až 15 000 ot./min. K těmto plotnám jsou připojeny speciální „hlavy“, které provádějí operace čtení a zápisu. Když uložíte soubor na jednotku, tato „hlava“ se přesune do určité části talíře a přemění elektrický proud na magnetické pole, čímž se změní vlastnosti talíře.

Ale jak to ví, kam jít? No, dívá se na něco, čemu se říká alokační tabulka, která obsahuje záznam každého souboru uloženého na disku. Ale co se stane, když je soubor smazán?

  Ovládejte hardwarové přepínače pomocí rozhraní API pro rozpoznávání hlasu Google Now

Krátká odpověď? Nic moc.

Zde je dlouhá odpověď: Záznam pro tento soubor je smazán, což umožňuje pozdější přepsání místa, které zabíral na pevném disku. Data však zůstávají fyzicky přítomná na magnetických talířích a jsou skutečně vymazána pouze tehdy, když jsou na toto konkrétní místo na talíři přidána nová data.

Jeho smazání by totiž vyžadovalo, aby se magnetická hlava fyzicky přesunula na toto místo na talíři a přepsala ho. To by mohlo bránit dalším aplikacím a zpomalit výkon počítače. Pokud jde o pevné disky, je jednodušší jen předstírat, že smazané soubory prostě neexistují.

Díky tomu je obnovení smazaných souborů pro orgány činné v trestním řízení mnohem jednodušší. Musí pouze znovu vytvořit chybějící části v alokační tabulce, což je něco, co lze provést pomocí bezplatných nástrojů, včetně Recuva.

Pevný (stav) jako skála

SSD jsou samozřejmě jiné. Neobsahují žádné pohyblivé části. Místo toho jsou soubory reprezentovány jako elektrony držené biliony mikroskopických tranzistorů s plovoucím hradlem. Společně se tyto spojují a vytvářejí NAND flash čipy.

SSD mají určité podobnosti s HDD, protože soubory jsou vždy smazány pouze tehdy, když jsou přepsány. Některé klíčové rozdíly však nevyhnutelně komplikují práci odborníků na počítačovou kriminalistiku. A stejně jako HDD, i SSD organizují data do bloků, jejichž velikost se mezi výrobci velmi liší.

Klíčový rozdíl je v tom, že aby SSD mohl zapisovat data, blok musí být zcela prázdný. Aby bylo zajištěno, že má SSD konstantní proud dostupných bloků, počítač vydá příkaz nazývaný „TRIM command“, který informuje SSD, které bloky již nejsou potřeba.

Pro vyšetřovatele to znamená, že když se pokusí najít smazané soubory na SSD, mohou zjistit, že je disk nevinně dostal daleko mimo jejich dosah.

SSD mohou také rozptýlit soubory do více bloků na disku, aby se snížilo opotřebení způsobené každodenním používáním. Protože disky SSD vydrží pouze omezený počet zápisů, je důležité, aby byly rozmístěny po jednotce, nikoli na malém místě. Tato technologie se nazývá vyrovnávání opotřebení a je známo, že ztěžuje život profesionálům v oblasti digitální forenzní techniky.

  Jak přizpůsobit klávesové zkratky na KDE Plasma 5

Pak je tu fakt, že SSD disky se často hůře zobrazují, protože je často fyzicky nemůžete ze zařízení vyjmout.

Zatímco pevné disky jsou téměř vždy vyměnitelné a připojené přes standardní rozhraní, jako je IDE nebo SATA, někteří výrobci notebooků volí fyzické připájení úložiště k základní desce počítače. Pro profesionály v oblasti vymáhání práva je díky tomu mnohem obtížnější extrahovat obsah forenzně spolehlivým způsobem.

Skutečné komplikace

Takže na závěr: Ano, orgány činné v trestním řízení mohou obnovit soubory, které jste smazali. Pokroky v technologii úložiště a rozšířené šifrování však situaci poněkud zkomplikovaly.

Technické problémy však lze často překonat. Pokud jde o digitální vyšetřování, největším problémem, kterému čelí vymáhání práva, nejsou mechanismy SSD disků, ale spíše jejich nedostatek zdrojů.

Není dostatek vyškolených odborníků, kteří by tuto práci zvládli. A konečným výsledkem je, že mnoho policejních sil po celém světě čelí drtivému nahromadění nezpracovaných telefonů, notebooků a serverů.

Žádost o zákon o svobodě informací od britského listu The Times ukázala, že 32 policejních sil v Anglii a Walesu ano více než 12 000 zařízení čekajících na vyšetření. Doba zpracování zařízení je různá, od jednoho měsíce po více než rok.

A to má následky. Základem každého spravedlivého systému trestního soudnictví je, že obviněným je umožněn rychlý proces. Jak se říká, spravedlnost odložená je spravedlnost odepřená. Tento princip je tak zásadně důležitý, že je dokonce zastoupen v šestém dodatku americké ústavy.

Bohužel to není problém, který by se dal snadno opravit, aniž by síly vynaložily více peněz na nábor a školení. Větší technikou to nevyřešíš.