Содержание
Если вы смотрели CSI, Закон и порядок или любые другие процедуры полиции, есть большая вероятность, что вы увидели на экране версию мобильного криминалистического расследования. Обычно это включает нажатие нескольких кнопок, текстовые сообщения пользователей и историю звонков, которые мгновенно появляются на экране.
Правда немного другая. Но что именно может восстановить судебная экспертиза с вашего телефона? Как это сделать? Почему удаленные данные могут быть извлечены из хранилища? Есть много вопросов, чтобы ответить, поэтому мы провели некоторое исследование, чтобы найти ответы.
Почему мобильные криминалистические расследования происходят
Почему телефон или планшет могут подвергнуться судебному расследованию? Во многих случаях информация, снятая с телефона, может помочь раскрыть преступление. Еще в 2014 году, когда две миннесотские девушки пропали без вести, цифровая криминалистика помогла полиции найти их похитителя. Многие другие случаи были вскрыты информацией, полученной с телефона жертвы или преступника.
Изображение предоставлено: Роман Янушевский через Shutterstock
Даже простая информация, такая как одно текстовое сообщение, может помочь следователям раскрыть дело. В других случаях это более сложная картина
окрашены удаленными журналами вызовов, отметками времени, данными геолокации и использованием приложения. История поиска может оказаться компрометирующей. Многие виды информации могут помочь полиции раскрыть преступление, и большая часть этой информации хранится в наших телефонах.
Важно отметить, что ваше мобильное устройство может быть расследовано, даже если вас не подозревают в совершении преступления. Телефоны, принадлежащие жертвам преступлений, также могут предоставить полиции очень ценные данные, особенно если эти жертвы недееспособны или пропали без вести.
Типы сбора данных
Существует ряд стратегий приобретения, которые могут использовать судебные следователи. Самый простой из них известен как «ручное получение» и включает в себя просмотр обычного интерфейса для проверки содержимого устройства. Это занимает много времени и часто не очень полезно, потому что все, что было удалено, не видно в стандартном интерфейсе.
Логическое получение предоставляет более подробные данные. Этот тип сбора включает в себя передачу максимально возможного количества данных через стандартные каналы передачи, например, те, которые будут использоваться для синхронизации телефона с компьютером. Этот тип передачи позволяет судебным следователям легко работать с данными на телефоне, но вряд ли восстановит много удаленной информации.
Кредит Фотографии: Montri Thipsorn через Shutterstock
Когда следователи хотят просмотреть удаленные данные, требуется получение файловой системы. Мы рассмотрим, как этот тип приобретения может мгновенно восстановить удаленные элементы. Мобильные устройства — это, в основном, большие базы данных, а приобретение файловой системы дает исследователю доступ ко всем файлам в базе данных. Существует также множество инструментов судебной экспертизы, которые могут анализировать данные этого типа, облегчая работу следователя.
Наконец, есть физическое приобретение. Это наиболее сложное и трудное приобретение, поскольку оно включает считывание физических данных с микросхемы и передачу их на другое устройство, где они могут быть обработаны. Для этого часто требуются сложные инструменты, такие как чип-программисты, а иногда даже инструменты для удаления самой микросхемы с телефона. Это очень сложно, но оно также дает следователям больше всего данных для работы.
Почему удаленные файлы могут быть восстановлены?
Вам может быть интересно, как часть программного обеспечения может найти файлы, которые вы удалили. Если вы знаете, как работают компьютерные накопители, вы будете знакомы с основами. Флэш-память на мобильных устройствах фактически не удаляет файлы
пока ему не нужно открывать пространство для чего-то нового. Он просто «деиндексирует» его, по существу забывая, где он находится. Он все еще хранится, но телефон не знает, где и что это.
Поэтому, если эти данные не были перезаписаны, другой программный продукт может их найти. Выявить и расшифровать это не всегда легко, но у криминалистического сообщества есть чрезвычайно мощные инструменты, которые помогают им в этом процессе.
Чем недавно вы удалили что-либо, тем менее вероятно, что оно будет перезаписано. Если вы удалили что-то несколько месяцев назад и часто пользуетесь телефоном, есть большая вероятность, что файловая система уже перезаписала его. Если вы удалили его всего несколько дней назад, вероятность того, что он еще где-то есть, выше.
Некоторые устройства iOS, такие как новые iPhone, делают дополнительный шаг. Наряду с деиндексацией данных они также шифруют их, и не существует никакого известного ключа дешифрования. Это будет чрезвычайно трудно (если не невозможно) обойти.
Один из способов, которым судебные аналитики могут получить удаленные данные, — это пропустить сам телефон и отправиться на резервное копирование. Многие телефоны автоматически выполняют резервное копирование на компьютер пользователя или в облако. Из этой резервной копии легче извлечь данные, чем из телефона. Очевидно, что эффективность этой стратегии зависит от того, как недавно был произведен резервный копирование телефона, и службы, используемой для хранения файлов.
Какие типы файлов могут быть восстановлены?
Типы восстанавливаемых файлов могут зависеть от устройства, над которым работает судебный аналитик. Тем не менее, есть несколько основных типов, которые могут быть восстановлены:
- Текстовые сообщения и сообщения
- История звонков
- Сообщения электронной почты
- Заметки
- контакты
- Календарь событий
- Изображения и видео
Также возможно, что сообщения от альтернативных служб обмена сообщениями, таких как WhatsApp или Viber, также могут быть восстановлены. (Если эти сообщения зашифрованы,
однако следователи не смогут их прочитать.) Если вы используете свой Android для хранения файлов, эти файлы могут все еще зависать в хранилище.
Как насчет шифрования?
Шифрование мобильных устройств
создает большую проблему для судебного анализа. Если было использовано надежное шифрование, и нет способа получить ключ шифрования, будет трудно или невозможно получить какие-либо данные с телефона. iTunes даже просит пользователей зашифровать резервные копии, которые они делают на своих компьютерах.
Хотя это делает телефоны менее полезными для судебных следователей, есть несколько способов преодолеть шифрование. Некоторые телефоны имеют встроенные бэкдоры, которые позволяют профессионалам получить доступ к файлам. Другие следователи могут угадать или взломать ваш пароль.
Однако, если они не могут, эти зашифрованные файлы могут вызвать серьезные проблемы. Если вы беспокоитесь о судебной экспертизе своего телефона (например, вы являетесь журналистом с конфиденциальными источниками), рекомендуется использовать самые безопасные настройки шифрования, какие только возможно.
Является ли какая-либо ваша информация действительно безопасной?
В конце концов, нет никаких гарантий, когда дело доходит до мобильного криминалистического расследования. Для любой стороны. Невозможно полностью защитить все данные на вашем телефоне от преданного и умного следователя. И нет возможности получить доступ к данным на каждом телефоне.
Но существует множество постоянно меняющихся инструментов. Они разработаны специально для противодействия постоянно меняющимся условиям защиты данных. И, конечно же, в этом есть некоторая удача.
Как всегда, мы рекомендуем то же самое, если вы хотите сохранить ваши данные в безопасности. Зашифруй все. Будь умным о том, где и как ты копируешь. Используйте надежные пароли
, И, если это вообще возможно, не делайте ничего, что поставило бы вас в тупик судебного расследования.
Вы шифруете свой телефон? Вы беспокоитесь о судебном расследовании ваших мобильных устройств? Поделитесь своими мыслями в комментариях ниже!
