Могут ли правоохранительные органы восстановить удалённые файлы?

Источник: https://www.howtogeek.com/675784/can-law-enforcement-really-recover-files-you%E2%80%99ve-deleted/

Когда вы удаляете файл с жёсткого диска компьютера, он никогда не исчезает. Приложив достаточно усилий и технических навыков, часто можно восстановить документы и фотографии, которые ранее считались уничтоженными. Эта компьютерная криминалистика — полезный инструмент для правоохранительных органов, но как они на самом деле работают?

Правовые основы

Прежде чем мы углубимся в технические проблемы, стоит обсудить скучные процедурные и юридические аспекты компьютерной криминалистики в контексте правоохранительных органов.

Во-первых, давайте развеем старый миф о том, что сотруднику правоохранительных органов всегда требуется ордер на проверку цифрового устройства, такого как телефон или компьютер. Хотя обычно это так и есть, в структуре закона можно найти множество «лазеек» (за неимением лучшего слова).

Многие юрисдикции, такие как Великобритания и США, разрешают таможенным и иммиграционным служащим проверять электронные устройства без ордера. Американские пограничники также могут исследовать содержимое устройств без ордера, если есть угроза уничтожения доказательств, как это подтверждено решением 11-го округа от 2018 года.

По сравнению со своими американскими коллегами, британские полицейские, как правило, имеют больше возможностей для изъятия содержимого устройств, не обращаясь за помощью к судье или магистрату. Они могут, например, загружать содержимое телефона с помощью законодательного акта, называемого Законом о полиции и доказательствах по уголовным делам (PACE), независимо от того, предъявлены ли какие-либо обвинения. Однако, если полиция в конечном итоге решит, что она желает изучить содержимое, ей потребуется разрешение суда.

Законодательство также даёт полиции Великобритании право проверять устройства без ордера в определённых обстоятельствах, когда есть острая необходимость, например, в случае терроризма или когда существуют реальные основания полагать, что ребёнок мог быть подвергнут сексуальному насилию.

Но в конечном итоге, независимо от «как», конфискация компьютера представляет собой просто начало длительного процесса, который начинается с помещения ноутбука или телефона в пластиковый пакет, защищённый от несанкционированного доступа, и часто заканчивается представлением доказательств зал суда.

Полиция должна придерживаться набора правил и процедур для обеспечения допустимости доказательств. Команды компьютерных криминалистов документируют каждое своё действие, чтобы при необходимости другие эксперты могли повторить те же шаги и добиться тех же результатов. Они используют специальные инструменты для обеспечения целостности файлов. Одним из примеров является «блокировщик записи», который позволяет экспертам-криминалистам извлекать информацию с защитой от непреднамеренного изменения исследуемых доказательств.

Успешность компьютерного криминалистического расследования определяется правовой основой и строгостью процедур, а не технической сложностью.

Диски крутятся, дела мутятся

Несмотря на юридические проблемы, всегда интересно отметить множество факторов, которые могут определить, с какой лёгкостью удалённые файлы могут быть восстановлены правоохранительными органами. К ним относятся тип используемого диска, использовалось ли шифрование и файловая система диска.

Козьмем, к примеру, жёсткие диски. Хотя их в значительной степени превзошли более быстрые твердотельные накопители (SSD), механические жёсткие диски (HDD) были преобладающим механизмом хранения на протяжении более 30 лет.

На жёстких дисках для хранения данных использовались магнитные пластины. Если вы когда-нибудь разбирали жёсткий диск, то наверняка заметили, что он немного похож на компакт-диски. Они круглые и серебристого цвета.

При использовании эти пластины вращаются с невероятной скоростью — обычно 5400 или 7200 об/мин, а в некоторых случаях даже 15000 об/мин. К этим пластинам подключены специальные «головки», выполняющие операции чтения и записи. Когда вы сохраняете файл на диск, эта «головка» перемещается к определённой части диска и преобразует электрический ток в магнитное поле, тем самым изменяя свойства диска.

Но как она узнает, куда идти? Что ж, она смотрит на так называемую таблицу распределения, которая содержит запись о каждом файле, хранящегося на диске. Но что происходит, когда файл удаляется?

Краткий ответ? Немного.

Вот длинный ответ: запись об этом файле удаляется в таблице распределения, позволяя позже перезаписать место, которое он занимал на жёстком диске. Однако данные остаются физически присутствующими на магнитных пластинах и действительно удаляются только тогда, когда новые данные добавляются в это конкретное место на пластине (то есть когда происходит перезапись этого места на диске другой информацией).

В конце концов, для его действительного удаления потребовалось бы, чтобы магнитная головка физически переместилась в это место на пластине и перезаписала его. Это может снизить производительность компьютера, поскольку вместо этой бесполезной операции ему нужно выполнять чтение и запись для работающих приложений. Поэтому что касается жёстких дисков, проще притвориться, что удалённых файлов просто не существует.

Это значительно упрощает восстановление удалённых файлов для правоохранительных органов. Им просто нужно воссоздать недостающие части в таблице распределения, что можно сделать с помощью бесплатных инструментов, включая Recuva (простая программа для Windows с графическим интерфейсом), либо одной из специализированных утилит для Linux или Windows.

Связанные статьи:


USB флешки и карты памяти

Удалённые файлы с флеш носителей могут быть довольно легко восстановлены по аналогии с жёстким диском — уже перечисленными ранее программами.

Проверьте сами — возьмите любую свою USB флешку или карту памяти от фотоаппарата и воспользуйтесь одним из перечисленных в предыдущем разделе инструментов — вы обнаружите фотографии и файлы с событий, о которых вы могли давно забыть.

Поэтому, кстати, всегда помните о возможности восстановления удалённых файлов если вы временно передаёте свою флеш карту для печати или другому пользователю для обмена файлами.

Твердотельные диски

Конечно, SSD отличаются. В них нет движущихся частей. Вместо этого файлы представлены в виде электронов, удерживаемых триллионами микроскопических транзисторов с плавающим затвором. Вместе они образуют микросхемы флэш-памяти NAND.

Твердотельные накопители имеют некоторое сходство с жёсткими дисками, поскольку файлы удаляются только после перезаписи. Однако некоторые ключевые отличия неизбежно усложняют работу специалистов по компьютерной криминалистике. Как и жёсткие диски, твердотельные накопители организуют данные в блоки, размер которых сильно различается в зависимости от производителя.

Ключевое отличие здесь заключается в том, что для записи данных на SSD, блок должен быть полностью пуст от содержимого. Чтобы гарантировать, что SSD имеет постоянный поток доступных блоков, компьютер выдаёт так называемую «команду TRIM», которая сообщает SSD, какие блоки больше не требуются.

Связанные статьи:

Для исследователей это означает, что когда они пытаются найти удалённые файлы на SSD, они могут обнаружить, что удалённые данные больше не в пределах их досягаемости, потому что диск окончательно удалил их — просто потому, что этого требуют алгоритмы его работы.

Твердотельные накопители также могут распределять файлы по нескольким блокам на диске, чтобы уменьшить износ, вызываемый повседневным использованием. Поскольку твердотельные накопители могут выдерживать только ограниченное количество операций записи, важно, чтобы они были распределены по диску, а не в небольшом месте. Эта технология называется выравниванием износа и, как известно, усложняет жизнь профессионалам в области цифровой криминалистики.

Во-вторых, образ SSD зачастую сложнее создать, потому что иногда физически невозможно извлечь их с устройства.

В то время как жёсткие диски почти всегда заменяются и подключаются через стандартные интерфейсы, такие как IDE или SATA, некоторые производители ноутбуков предпочитают физически припаять хранилище к материнской плате машины. Это значительно усложняет извлечение содержимого криминалистически обоснованным способом для специалистов правоохранительных органов.

Настоящие трудности

Итак, в заключение: да, правоохранительные органы могут восстановить удалённые вами файлы. Однако достижения в технологии хранения данных и повсеместное шифрование несколько усложнили ситуацию.

Тем не менее, технические проблемы часто можно преодолеть. Когда дело доходит до цифровых расследований, самая большая проблема, с которой сталкиваются правоохранительные органы, - это не механизмы SSD-накопителей, а отсутствие ресурсов.

Для работы не хватает подготовленных специалистов. И в итоге многие полицейские силы по всему миру сталкиваются с огромным количеством необработанных телефонов, ноутбуков и серверов.

Запрос по Закону о свободе информации от британской газеты The Times показал, что в 32 правоохранительных органах Англии и Уэльса есть более 12000 устройств, ожидающих проверки. Время обработки устройства варьируется от одного месяца до более года.

И это имеет последствия. Краеугольным камнем любой справедливой системы уголовного правосудия является то, что обвиняемым предоставляется быстрое судебное разбирательство. Как говорится, отложить правосудие — значит отказать в правосудии. Этот принцип настолько важен, что он даже отражён в Шестой поправке к конституции США.

Не диском единым

Объективно говоря, не только диски являются источниками доказательств. Действия пользователей в Глобальной сети и оперативно-розыскные деятельность также могут стать важным источником доказательств.

Если файл загружен на удалённый сервер или кому-то отправлен, иногда уже не важно, удалён ли он с компьютера или нет. Помните об этом.

Матчать по жёстким дискам:

Мачать по шифрованию:

Рекомендуется Вам:

Добавить комментарий

Ваш адрес email не будет опубликован.