Hur tar rättsmedicinska analytiker bort raderade data från din telefon?
Om du har tittat på CSI, Lag och ordning, eller någon annan polisprocessuell, finns det en bra chans att du har sett en skärmversion av en mobil rättsmedicinsk utredning. Vanligtvis innebär det att klicka på några knappar och användarens textmeddelanden och samtalshistorik visas direkt på skärmen.
Sanningen är lite annorlunda. Men vad, exakt, kan en rättsmedicinsk undersökning återhämta sig från din telefon? Hur är det gjort? Varför kan borttagna data dras från lagring? Det finns många frågor att svara, så vi gjorde lite forskning för att hitta svaren.
Varför Mobile Forensic Investigations händer
Varför kan en telefon eller surfplatta genomgå en rättsmedicinsk utredning? I många fall kan informationen som dras av en telefon hjälpa till att lösa ett brott. Tillbaka i 2014, när två Minnesotan-flickor gick saknade, hjälpte digital forensics polisen att hitta sin bortförande. Många andra ärenden har blivit öppna av information som tagits från ett offer eller gärningsmans telefon.
Även en enkel information, som ett enda textmeddelande, kan hjälpa utredare att lösa ett ärende. Andra gånger är det en mer komplicerad bild Vad kan regeringens säkerhetsbyråer berätta från din telefons metadata? Vad kan regeringens säkerhetsbyråer berätta från din telefons metadata? Läs mer målat med borttagna samtalsloggar, tidsstämplar, geolokalitetsdata och appanvändning. Sökhistoriken kan visa sig vara inkriminerande. Många typer av information kan hjälpa polisen att lösa ett brott - och mycket av den informationen lagras i våra telefoner.
Det är viktigt att notera att din mobila enhet kan undersökas även om du är inte misstänkt för ett brott. Telefoner som tillhör brottsoffer kan också ge polisen mycket värdefulla uppgifter, särskilt om dessa offer är oförmögna eller saknas.
Typer av datainsamling
Det finns ett antal förvärvsstrategier som rättsmedicinska utredare kan använda. Den enklaste är känd som “manuellt förvärv” och det innebär att gå igenom det vanliga gränssnittet för att undersöka innehållet i enheten. Det här är tidsintensivt och ofta inte särskilt användbart eftersom allt som har tagits bort är inte synligt i standardgränssnittet.
Ett logiskt förvärv ger mer detaljerad information. Denna typ av förvärv innebär att överföra så mycket data som möjligt via standardöverföringskanalerna, som de som skulle användas för att synkronisera en telefon till en dator. Denna typ av överföring gör det enkelt för rättsmedicinska utredare att arbeta med data i telefonen, men det är osannolikt att återställa mycket borttagen information.
När utredare vill visa raderade data krävs ett filsystemförvärv. Vi ska gå över hur denna typ av förvärv kan återställa raderade objekt på ett ögonblick. Mobila enheter är i grunden stora databaser, och ett filsystem förvärv ger en utredare tillgång till alla filer i databasen. Det finns också många rättsmedicinska verktyg som kan analysera denna typ av data, vilket gör utredarens jobb enklare.
Slutligen finns det ett fysiskt förvärv. Detta är det mest komplexa och svåra förvärvet, eftersom det innebär att läsa fysiska data på ett chip och överföra det till en annan enhet där den kan bearbetas. Detta kräver ofta sofistikerade verktyg som chipprogrammerare, och ibland till och med verktyg för att ta bort chipet själv från telefonen. Det är mycket svårt, men det ger också utredare de flesta data som ska fungera med.
Varför kan borttagna filer återställas?
Du kanske undrar hur ett program kan hitta filer som du har raderat. Om du vet hur datalagring fungerar, kommer du att känna till grunderna. Blixtminne i mobila enheter tar inte bort filer direkt Ta bort data från en flash-enhet Så här tar du permanent bort data från en flash-enhet Om du vill utplåna din flash-enhet så att ingenting kan återställas måste du ta verkan. Här är några enkla metoder du kan använda som kräver ingen teknisk expertis. Läs mer tills det måste öppnas utrymme för något nytt. Det helt enkelt “deindexes” det, i huvudsak att glömma var det är. Den lagras fortfarande, men telefonen vet inte var eller vad det är.
Så om den data inte har skrivits över kan en annan mjukvara hitta den. Identifiering och avkodning är inte alltid lätt, men rättsmedicinska gemenskapen har extremt kraftfulla verktyg som hjälper dem med denna process.
Ju senare du har raderat något, desto mindre sannolikt kommer det att ha skrivits över. Om du raderade några månader sedan, och du använder din telefon mycket, finns det en bra chans att filsystemet redan har skrivit över det. Om du bara raderade det för några dagar sedan är chanserna högre att det fortfarande finns någonstans.
Vissa iOS-enheter, som nyare iPhones, tar ytterligare ett steg. Såsom deindexerar data krypterar de också det - och det finns ingen känd dekrypteringsnyckel. Det kommer att visa sig extremt svårt (om inte omöjligt) att kringgå.
Ett av de sätt som rättsmedicinska analytiker kan få bort raderade data, hoppar faktiskt på själva telefonen och leder till säkerhetskopieringar. Många telefoner säkerhetskopieras automatiskt till användarens dator eller till molnet. Det kan vara lättare att extrahera data från den backupen än telefonen. Självklart beror effekten av denna strategi på hur nyligen telefonen säkerhetskopierades och tjänsten brukade lagra filerna.
Vilka typer av filer kan återställas?
De typer av återvinningsbara filer kan bero på vilken enhet en rättsmedicinsk analytiker arbetar med. Det finns dock några grundläggande typer som sannolikt kommer att återställas:
- Textmeddelanden och iMessages
- Telefon historik
- E-post
- anteckningar
- Kontakter
- Kalenderhändelser
- Bilder och videoklipp
Det är också möjligt att meddelanden från alternativa meddelandetjänster som WhatsApp eller Viber också kan återvinnas. (Om dessa meddelanden krypteras, Hur aktiverar du WhatsApps säkerhetskryptering Hur du aktiverar WhatsApps säkerhetskryptering Det så kallade end-to-end-krypteringsprotokollet lovar att "bara du och den person du kommunicerar med kan läsa det som skickas." Ingen, inte ens WhatsApp, har tillgång till ditt innehåll. Läs mer men utredare kan inte läsa dem.) Om du använder din Android för fillagring kan dessa filer fortfarande hängas i lagring också.
Vad om kryptering?
Kryptering av mobilenhet 7 Anledningar till varför du borde kryptera din Smartphone-data 7 Anledningar till varför du ska kryptera din Smartphone-data Krypterar du din enhet? Alla stora smartphones operativsystem erbjuder kryptering av enhet, men ska du använda den? Det är därför smarttelefonkryptering är värt, och påverkar inte hur du använder din smartphone. Läs mer utgör ett stort problem för rättsmedicinsk analys. Om stark kryptering användes och det inte går att få krypteringsnyckeln kommer det att vara svårt eller omöjligt att få några data från telefonen. iTunes frågar till och med användarna att kryptera de säkerhetskopior de gör på sina datorer.
Medan detta gör telefoner mindre användbara för rättsmedicinska utredare finns det några sätt att komma över kryptering. Vissa telefoner har bakdörrar inbyggda därmed tillåter proffsen tillgång till filerna. Andra utredare kan kanske gissa eller spricka ditt lösenord.
Om de inte kan, men de krypterade filerna kommer att orsaka allvarliga problem. Om du är orolig för rättsmedicinskontroll av din telefon (till exempel du är journalist med känsliga källor), är det en bra idé att använda de säkraste krypteringsinställningarna du kan.
Är någon av dina uppgifter verkligen säkra?
I slutändan finns det inga garantier när det gäller mobil rättsmedicinsk utredning. För vardera sidan. Det finns inget sätt att helt säkra varje bit av data på din telefon mot en engagerad och intelligent utredare. Och det finns inget sätt att få tillgång till data på alla telefoner.
Men det finns ett brett utbud av ständigt utvecklade verktyg där ute. De är utformade speciellt för att motverka det alltid skiftande landskapet för dataskydd. Och det är självklart också lite lycka med.
Som alltid rekommenderar vi samma saker om du vill hålla din data säker. Kryptera allt. Var smart om var och hur du säkerhetskopierar. Använd starka lösenord Så här genererar du starka lösenord som matchar din personlighet Hur man skapar starka lösenord som matchar din personlighet Utan ett starkt lösenord kan du snabbt hitta dig själv när du mottar en cyberbrott. Ett sätt att skapa ett minnesvärt lösenord kan vara att matcha det med din personlighet. Läs mer . Och om det är möjligt, gör inte något som kommer att sätta dig i korshåren av en rättsmedicinsk utredning.
Krypterar du din telefon? Är du orolig för rättsmedicinsk utredning av dina mobila enheter? Dela dina tankar i kommentarerna nedan!
Utforska mer om: Smartphone Security, Surveillance.