Можливість відновлення видалених файлів: реальність комп’ютерної криміналістики
Коли ви видаляєте файл зі свого комп’ютера, це зовсім не означає, що він зникає безслідно. За наявності достатніх зусиль та відповідних технічних знань, часто можливо відновити файли, документи та фотографії, які ви вважали назавжди стертими. Такі можливості комп’ютерної експертизи є важливим інструментом для правоохоронних органів. Але як саме це працює?
Юридичні аспекти
Перш ніж заглибитися в технічні деталі, важливо розглянути юридичні та процесуальні моменти, пов’язані з комп’ютерною криміналістикою в контексті правоохоронних органів.
По-перше, варто розвіяти поширений міф, що для перевірки цифрового пристрою, такого як телефон чи комп’ютер, правоохоронцям завжди потрібен ордер. Хоча це часто трапляється, існують юридичні “прогалини”, що дозволяють обійти цю вимогу.
У багатьох країнах, зокрема у Великій Британії та Сполучених Штатах, митні та імміграційні служби можуть перевіряти електронні пристрої без ордера. Американські прикордонники також можуть перевіряти вміст пристроїв без ордера, якщо є ризик знищення доказів, як стверджує рішення 11-го округу від 2018 року.
Британські поліцейські, на відміну від американських колег, часто мають більше можливостей вилучати інформацію з пристроїв без рішення суду. Наприклад, вони можуть завантажувати дані з телефону, використовуючи Закон про поліцію та докази злочинів (PACE), навіть якщо не пред’явлено жодних звинувачень. Проте, для детального аналізу вмісту пристрою потрібен дозвіл суду.
Законодавство також надає британській поліції право на перевірку пристроїв без ордера у випадках термінової необхідності, таких як загроза тероризму або підозра в сексуальної експлуатації дитини.
Однак, незалежно від обставин вилучення пристрою, це лише початок довгого процесу, який починається з поміщення пристрою в захищений пакет і завершується представленням доказів у суді.
Правоохоронці повинні дотримуватися чітких правил для забезпечення допустимості доказів. Експерти з комп’ютерної криміналістики документують кожен свій крок, щоб мати можливість повторити процес і досягти аналогічних результатів. Для збереження цілісності файлів використовуються спеціальні інструменти. Одним із таких інструментів є “блокувальник запису”, який дозволяє фахівцям отримувати дані, не змінюючи оригінальні докази.
Саме юридична основа та точне дотримання процедур, а не тільки складність технічного процесу, визначають успіх розслідування в комп’ютерній криміналістиці.
Жорсткі диски: магнітні носії
Попри юридичні аспекти, цікаво розглянути фактори, що впливають на легкість відновлення видалених файлів. До них належать тип диска, використання шифрування та файлова система.
Наприклад, жорсткі диски (HDD) протягом багатьох років були домінуючим засобом зберігання даних. Хоча їх поступово витісняють швидші твердотільні накопичувачі (SSD), вони все ще є актуальними.
HDD використовують магнітні пластини для зберігання даних. Ці пластини обертаються зі швидкістю 5400 або 7200 обертів за хвилину, а іноді навіть до 15 000 обертів за хвилину. Спеціальні “голівки” читають та записують інформацію на пластини. Коли ви зберігаєте файл, голівка переміщується до відповідної ділянки пластини та змінює її магнітні властивості.
Як голівка знає, куди саме переміститися? Для цього використовується таблиця розміщення файлів, яка містить інформацію про кожен файл, що зберігається на диску. Що ж відбувається, коли файл видаляється?
Коротка відповідь – небагато. Довша відповідь: запис про цей файл видаляється з таблиці, що дозволяє перезаписати його місце на диску в майбутньому. Однак фізично дані все ще залишаються на магнітних пластинах, і вони видаляються тільки тоді, коли на це місце записуються нові дані.
Щоб дійсно видалити дані, магнітна голівка повинна фізично переміститися на певну ділянку пластини та перезаписати її. Це може уповільнити роботу комп’ютера. Тому, з точки зору HDD, простіше просто приховати інформацію про видалені файли.
Це значно полегшує відновлення видалених даних для правоохоронців. Вони просто повинні відновити відсутні записи в таблиці розміщення файлів, що можна зробити за допомогою різноманітних програм, наприклад, Recuva.
Твердотільні накопичувачі: електроніка
SSD-диски працюють інакше. У них немає рухомих частин. Файли представлені у вигляді електронів, що утримуються в мікроскопічних транзисторах з плаваючим затвором, які утворюють флеш-чіпи NAND.
SSD, як і HDD, видаляють файли тільки після їх перезапису. Однак, певні відмінності роблять роботу експертів з комп’ютерної криміналістики більш складною. Подібно до HDD, SSD організовують дані в блоки, розмір яких може відрізнятися залежно від виробника.
Ключовою відмінністю є те, що для запису даних на SSD, блок повинен бути повністю порожнім. Щоб забезпечити наявність вільних блоків, комп’ютер відправляє команду TRIM, яка сповіщає SSD, які блоки більше не потрібні.
Це означає, що при спробі відновити видалені файли на SSD, дослідники можуть виявити, що диск “заховав” їх у недоступних місцях.
SSD-накопичувачі також можуть розподіляти файли між різними блоками, щоб зменшити знос. Оскільки SSD можуть витримувати лише обмежену кількість записів, дані розподіляються по всьому диску. Ця технологія, відома як вирівнювання зносу, ускладнює роботу цифрових криміналістів.
Крім того, SSD-накопичувачі часто важче скопіювати, оскільки їх не завжди можна фізично витягти з пристрою. У той час як жорсткі диски майже завжди є змінними, деякі виробники ноутбуків припаюють SSD до материнської плати. Це ускладнює вилучення даних.
Ускладнення
Отже, чи можуть правоохоронні органи відновити видалені вами файли? Так, це можливо. Проте, сучасні технології зберігання даних та поширене шифрування ускладнюють цей процес.
Проте, технічні проблеми часто можна вирішити. Найбільшою проблемою, з якою стикаються правоохоронні органи у цифрових розслідуваннях, є не технологія SSD, а нестача ресурсів.
Брак кваліфікованих фахівців для виконання цієї роботи є значною проблемою. Багато правоохоронних органів по всьому світу мають великі черги необроблених телефонів, ноутбуків та серверів.
За даними запиту про свободу інформації, проведеного британською газетою The Times, 32 поліцейські сили Англії та Уельсу мають понад 12 000 пристроїв, що очікують на експертизу. Час обробки одного пристрою може становити від місяця до року.
Це має серйозні наслідки. Швидкий суд є основою будь-якої справедливої системи кримінального правосуддя. Затягування правосуддя – це відмова від правосуддя. Цей принцип настільки важливий, що він навіть закріплений у Шостій поправці до Конституції США.
На жаль, це проблема, яку неможливо легко вирішити без значних інвестицій у навчання та кадрове забезпечення. Додаткові технології тут не допоможуть.