Når du sletter en fil fra din computers harddisk, er den aldrig rigtig væk. Med tilstrækkelig indsats og tekniske færdigheder er det ofte muligt at gendanne dokumenter og fotos, som man tidligere troede var udslettet. Disse computerforensiske undersøgelser er et nyttigt værktøj til retshåndhævelse, men hvordan fungerer de egentlig?
Indholdsfortegnelse
Indstilling af det juridiske grundlag
Før vi kommer ind på det tekniske ukrudt, er det værd at diskutere de kedelige proceduremæssige og juridiske aspekter af computer efterforskning inden for rammerne af retshåndhævelse.
Lad os først aflive den gamle myte om, at der altid kræves en kendelse for en retshåndhævende embedsmand til at undersøge en digital enhed som en telefon eller en computer. Selvom det ofte er tilfældet, kan der findes masser af “smuthuller” (i mangel på et bedre ord) inden for lovens struktur.
Mange jurisdiktioner, som Det Forenede Kongerige og USA, tillader told- og immigrationsmyndigheder at undersøge elektroniske enheder uden en kendelse. Amerikanske grænsebetjente kan også undersøge indholdet af enheder uden en kendelse, hvis der er en overhængende tråd af beviser, der bliver ødelagt, som bekræftet af en 11. kredsdom fra 2018.
Sammenlignet med deres amerikanske kolleger har britiske politifolk en tendens til at have mere spillerum til at beslaglægge indholdet af enheder uden at skulle indbringe deres sag for en dommer eller dommer. De kan for eksempel downloade indholdet af en telefon ved at bruge en lovgivning, der hedder Lov om politi og kriminalitet (PACE), uanset om der rejses tiltale. Men hvis politiet i sidste ende beslutter, at de ønsker at undersøge indholdet, skal de tilmeldes domstolene.
Lovgivning giver også britisk politi ret til at undersøge enheder uden en kendelse under visse omstændigheder, hvor der er et presserende behov – såsom i en terrorsag, eller hvor der er en ægte frygt for, at et barn kan blive seksuelt udnyttet.
Men i sidste ende, uanset “hvordan”, når en computer beslaglægges, repræsenterer det blot starten på en lang proces, der begynder med, at en bærbar computer eller telefon fjernes i en manipulationssikret plastikpose, og ofte afsluttes med, at beviser fremlægges i en retssal.
Politiet skal overholde et sæt regler og procedurer for at sikre, at beviser kan antages. Computer efterforskningshold dokumenterer hver deres bevægelse, så de om nødvendigt kan gentage de samme trin og opnå de samme resultater. De bruger specifikke værktøjer til at sikre filernes integritet. Et eksempel er en “skriveblokering”, som er designet til at give retsmedicinske fagfolk mulighed for at udtrække information uden utilsigtet at ændre beviserne, der undersøges.
Det er det juridiske grundlag og den proceduremæssige stringens, der afgør, om en computerkriminalteknisk undersøgelse vil lykkes – ikke teknisk sofistikeret.
Flyttefade, Flyttekasser
På trods af juridiske problemer er det altid interessant at bemærke de mange faktorer, der kan bestemme, hvor let slettede filer kan gendannes af retshåndhævelse. Disse omfatter typen af disk, der bruges, om kryptering var på plads, og drevets filsystem.
Tag for eksempel harddiske. Selvom disse stort set er blevet overgået af hurtigere solid-state-drev (SSD’er), var mekaniske harddiske (HDD’er) den fremherskende lagermekanisme i over 30 år.
HDD’er brugte magnetiske plader til at gemme data. Hvis du nogensinde har adskilt en harddisk, har du sikkert set, hvordan de ligner cd’er. De er cirkulære og sølvfarvede.
Når de er i brug, drejer disse tallerkener med utrolige hastigheder – normalt enten 5.400 eller 7.200 RPM, og i nogle tilfælde helt op til 15.000 RPM. Forbundet til disse plader er specielle “hoveder”, der udfører læse- og skriveoperationer. Når du gemmer en fil på drevet, flytter dette “hoved” til en bestemt del af pladen og omdanner en elektrisk strøm til et magnetisk felt og ændrer derved egenskaberne for pladen.
Men hvordan ved den, hvor den skal hen? Nå, det ser på noget, der kaldes en allokeringstabel, som indeholder en registrering af hver fil, der er gemt på en disk. Men hvad sker der, når en fil slettes?
Det korte svar? Ikke meget.
Her er det lange svar: Optegnelsen for den fil slettes, så den plads, den optog på harddisken, kan overskrives senere. Dataene forbliver dog fysisk til stede på de magnetiske plader og slettes kun for alvor, når nye data føjes til det pågældende sted på faden.
Når alt kommer til alt, ville det kræve, at magnethovedet fysisk flyttede til det sted på fadet og overskriver det. Det kan hæmme andre programmer og forsinke computerens ydeevne. Hvad angår harddiske, er det nemmere bare at lade som om, at slettede filer simpelthen ikke eksisterer.
Det gør det meget lettere for retshåndhævelsen at gendanne slettede filer. De skal blot genskabe de manglende dele indenfor tildelingstabellen, hvilket er noget der kan gøres med gratis værktøjer, bl.a. Recuva.
Fast (tilstand) som en klippe
Selvfølgelig er SSD’er anderledes. De indeholder ingen bevægelige dele. I stedet er filer repræsenteret som elektroner, der holdes af billioner af mikroskopiske flydende gate-transistorer. Tilsammen danner disse NAND-flash-chips.
SSD’er har nogle ligheder med HDD’er, for så vidt som filer kun bliver slettet, når de overskrives. Nogle vigtige forskelle komplicerer dog uundgåeligt arbejdet for professionelle computerkriminalteknikere. Og ligesom HDD’er organiserer SSD’er data i blokke, hvor størrelsen varierer voldsomt mellem producenterne.
Den vigtigste forskel her er, at for at en SSD kan skrive data, skal blokken være helt tom for indhold. For at sikre, at SSD’en har en konstant strøm af tilgængelige blokke, udsender computeren noget, der kaldes en “TRIM-kommando”, som informerer SSD’en om, hvilke blokke der ikke længere er nødvendige.
For efterforskere betyder det, at når de forsøger at finde slettede filer på en SSD, kan de opdage, at drevet uskyldigt har lagt dem langt uden for deres rækkevidde.
SSD’er kan også sprede filer på tværs af flere blokke på tværs af drevet for at reducere mængden af slid, der opstår ved daglig brug. Fordi SSD’er kun kan modstå et begrænset antal skrivninger, er det vigtigt, at de er fordelt på tværs af drevet i stedet for på et lille sted. Denne teknologi kaldes slid leveling og har været kendt for at gøre livet hårdt for professionelle inden for digital retsmedicin.
Så er der det faktum, at SSD’er ofte er sværere at afbilde, fordi man ofte fysisk ikke kan fjerne dem fra en enhed.
Mens harddiske næsten altid kan udskiftes og tilsluttes via standardgrænseflader, som IDE eller SATA, vælger nogle bærbare producenter at fysisk lodde lager til maskinens bundkort. Det gør at udtrække indholdet på en retsmedicinsk forsvarlig måde meget sværere for retshåndhævende fagfolk.
De virkelige komplikationer
Så afslutningsvis: Ja, retshåndhævelse kan hente filer, du har slettet. Fremskridt inden for lagringsteknologi og udbredt kryptering har dog kompliceret tingene noget.
Alligevel kan tekniske problemer ofte overvindes. Når det kommer til digitale efterforskninger, er den største udfordring, som retshåndhævelsen står over for, ikke mekanismerne i SSD-drev, men snarere deres mangel på ressourcer.
Der er ikke nok uddannede fagfolk til at udføre arbejdet. Og slutresultatet er, at mange politistyrker over hele verden står over for et knusende efterslæb af ubehandlede telefoner, bærbare computere og servere.
En anmodning om Freedom of Information Act fra den britiske avis The Times viste, at de 32 politistyrker på tværs af England og Wales har over 12.000 enheder afventer undersøgelse. Tiden til at behandle en enhed der varierer fra en måned til over et år.
Og det har konsekvenser. Grundlaget for ethvert retfærdigt strafferetssystem er, at de anklagede får en hurtig retssag. Som man siger, retfærdighed forsinket er retfærdighed nægtet. Dette princip er så fundamentalt vigtigt, at det endda er repræsenteret i det sjette ændringsforslag til den amerikanske forfatning.
Desværre er det ikke et problem, der let kan løses, uden at kræfterne bruger flere penge på rekruttering og uddannelse. Du kan ikke løse det med mere teknologi.