Hvordan blir rettsmedisinske analytikere slettet data fra telefonen din?

Hvis du har sett CSI, NCIS og lignende viser, har du kanskje sett hvordan data kan bli funnet på en smarttelefon. Men hvordan er det gjort? Kan slettede data virkelig bli trukket fra lagring?

Hvis du har sett CSI, NCIS og lignende viser, har du kanskje sett hvordan data kan bli funnet på en smarttelefon.  Men hvordan er det gjort?  Kan slettede data virkelig bli trukket fra lagring?
Annonse

Hvis du har sett CSI, lov og orden eller andre politiprosedyrer, er det en god sjanse for at du har sett en skjermversjon av en mobil rettsmedisinsk undersøkelse. Vanligvis innebærer det et klikk på noen få knapper, og brukerens tekstmeldinger og samtalehistorikk vises øyeblikkelig på skjermen.

Sannheten er litt annerledes. Men hva, akkurat, kan en rettsmedisinsk undersøkelse gjenopprette fra telefonen din? Hvordan er det gjort? Hvorfor kan slettede data bli trukket fra lagring? Det er mange spørsmål å svare, så vi gjorde noen undersøkelser for å finne svarene.

Hvorfor Mobile Forensic Investigations skjer

Hvorfor kan en telefon eller nettbrett gjennomgå en rettsmedisinsk undersøkelse? I mange tilfeller kan informasjonen trukket av en telefon bidra til å løse en forbrytelse. Tilbake i 2014, da to Minnesotan-jenter gikk sakte, hjalp digital forensik politiet med å finne sin bortfører. Mange andre tilfeller har blitt brutt opp av informasjon tatt fra et offer eller gjerningsmannens telefon.

rettsmedisinsk telefonundersøkelse
Image Credit: Roman Yanushevsky via Shutterstock

Selv et enkelt stykke informasjon, som en enkelt tekstmelding, kan hjelpe forskere å løse en sak. Andre ganger er det et mer komplisert bilde. Hva kan Statens sikkerhetsbureauer si fra telefonens metadata? Hva kan offentlige sikkerhetsbyråer si fra telefonens metadata? Les mer malet av slettede anropslogger, tidsstemmer, geolokasjonsdata og appbruk. Søkehistorikk kan vise seg å være inkriminerende. Mange typer informasjon kan hjelpe politiet med å løse en forbrytelse - og mye av den informasjonen lagres i våre telefoner.

Det er viktig å merke seg at mobilenheten din kan undersøkes selv om du ikke er mistenkt for en forbrytelse. Telefoner som tilhører ofre for forbrytelser, kan også gi politiet svært verdifulle data, spesielt hvis de ofrene er uføre ​​eller mangler.

Typer dataoppkjøp

Det finnes en rekke oppkjøpsstrategier som rettsmedisinske etterforskere kan bruke. Den enkleste er kjent som "manuell oppkjøp" og det innebærer å gå gjennom det vanlige grensesnittet for å undersøke innholdet i enheten. Dette er tidskrevende og ofte ikke veldig nyttig, fordi alt som er slettet, ikke er synlig i standardgrensesnittet.

Et logisk oppkjøp gir mer detaljerte data. Denne typen oppkjøp innebærer å overføre så mye data som mulig via standard overføringskanaler, som de som skulle brukes til å synkronisere en telefon til en datamaskin. Denne typen overføring gjør det enkelt for rettsmedisinske etterforskere å jobbe med dataene på telefonen, men det er usannsynlig å gjenopprette mye slettet informasjon.

Telefonen er plugget inn
Bildekreditt: Montri Thipsorn via Shutterstock

Når forskere ønsker å vise slettede data, kreves det et filsystemoppkjøp. Vi går over hvordan denne typen oppkjøp kan gjenopprette slettede elementer på et øyeblikk. Mobile enheter er stort sett store databaser, og et filsystemoppkjøp gir en etterforsker tilgang til alle filene i databasen. Det er også mange rettsmedisinske verktøy som kan analysere denne type data, noe som gjør utforskerens jobb lettere.

Endelig er det et fysisk oppkjøp. Dette er det mest komplekse og vanskelige oppkjøpet, da det innebærer å lese de fysiske dataene på en brikke og overføre den til en annen enhet der den kan bearbeides. Dette krever ofte sofistikerte verktøy som chipprogrammerere, og noen ganger til og med verktøy for å fjerne selve brikken fra telefonen. Det er veldig vanskelig, men det gir også etterforskere de fleste dataene du skal jobbe med.

Hvorfor kan slettede filer bli gjenopprettet?

Du lurer kanskje på hvordan et program kan finne filer du har slettet. Hvis du vet hvordan datalagringsstasjoner fungerer, vil du være kjent med det grunnleggende. Flash-minnet i mobile enheter sletter ikke filer faktisk. Slik sletter du data permanent fra en flash-enhet Slik sletter du permanent data fra en flash-enhet Hvis du vil utelukke flash-stasjonen din slik at ingenting kan gjenopprettes, må du ta handling. Her er noen enkle metoder du kan bruke som krever ingen teknisk ekspertise. Les mer til den trenger å åpne opp plass til noe nytt. Den "deindexes" det, i hovedsak glemmer hvor den er. Den er fortsatt lagret, men telefonen vet ikke hvor eller hva den er.

Så hvis dataene ikke er overskrevet, kan et annet program finne det. Identifisering og dekoding er ikke alltid lett, men rettsmedisinske samfunn har ekstremt kraftige verktøy som hjelper dem med denne prosessen.

Jo mer nylig du har slettet noe, jo mindre sannsynlig er det blitt overskrevet. Hvis du slettet noe for noen måneder siden, og du bruker telefonen mye, er det en god sjanse for at filsystemet vil ha overskrevet det allerede. Hvis du bare slettet det for noen dager siden, er sjansene høyere at det fortsatt er der et sted.

Noen iOS-enheter, som nyere iPhones, tar et ekstra skritt. I tillegg til å de-indeksere dataene, krypterer de også - og det er ingen kjent dekrypteringsnøkkel. Det kommer til å vise seg ekstremt vanskelig (om ikke umulig) å omgå.

En av måtene for rettsmedisinske analytikere kan få slettede data, er faktisk å hoppe over selve telefonen og på vei til sikkerhetskopier. Mange telefoner sikkerhetskopieres automatisk til brukerens datamaskin eller til skyen. Det kan være lettere å trekke ut dataene fra den sikkerhetskopien enn telefonen. Uansett, effektiviteten av denne strategien avhenger av hvor nylig telefonen ble sikkerhetskopiert og tjenesten som brukes til å lagre filene.

Hvilke typer filer kan gjenopprettes?

Typene gjenvinnbare filer kan avhenge av enheten en rettsmedisinsk analytiker jobber med. Det er imidlertid noen grunnleggende typer som sannsynligvis vil bli gjenopprettet:

  • Tekstmeldinger og iMessages
  • Samtalehistorikk
  • e-post
  • Merknader
  • Kontakt
  • Kalenderhendelser
  • Bilder og videoer

Det er også mulig at meldinger fra alternative meldingstjenester som WhatsApp eller Viber også kan gjenopprettes. (Hvis disse meldingene krypteres, kan du aktivere WhatsApps sikkerhetskryptering. Slik aktiverer du WhatsApps sikkerhetskryptering. Den såkalte end-to-end-krypteringsprotokollen lover at "bare du og personen du kommuniserer med, kan lese hva som er sendt." Ingen, ikke engang WhatsApp, har tilgang til innholdet ditt. Les mer, men etterforskere kan ikke lese dem.) Hvis du bruker Android for filoppbevaring, kan disse filene fortsatt henges rundt i lagring.

Hva om kryptering?

Mobil enhetskryptering 7 Grunner til at du bør kryptere smarttelefondataene dine 7 grunner til at du bør kryptere smarttelefondataene Du krypterer enheten din? Alle de viktigste smarttelefonoperativsystemene tilbyr enhetskryptering, men skal du bruke den? Det er derfor smarttelefonkryptering er verdifullt, og vil ikke påvirke måten du bruker smarttelefonen på. Les mer utgjør et stort problem for rettsmedisinsk analyse. Hvis sterk kryptering ble brukt, og det er ingen måte å få krypteringsnøkkelen, vil det være vanskelig eller umulig å få data fra telefonen. iTunes spør selv brukerne å kryptere sikkerhetskopiene de lager på sine datamaskiner.

Selv om dette gjør telefoner mindre nyttige for rettsmedisinske etterforskere, er det noen måter å komme forbi kryptering. Noen telefoner har bakdører innebygd som tillater profesjonelle tilgang til filene. Andre etterforskere kan kanskje gjette eller knekke passordet ditt.

Hvis de ikke kan, vil de krypterte filene imidlertid forårsake alvorlige problemer. Hvis du er bekymret for rettsmedisinsk undersøkelse av telefonen din (f.eks. Du er journalist med sensitive kilder), er det en god ide å bruke de sikreste krypteringsinnstillingene du kan.

Er noen av dine opplysninger virkelig trygge?

Til slutt er det ingen garantier når det gjelder mobil rettsmedisinsk undersøkelse. For hver side. Det er ingen måte å fullstendig sikre alle dataene på telefonen din mot en engasjert og intelligent etterforsker. Og det er ingen måte å få tilgang til data på hver telefon.

Men det er et stort utvalg av stadig utviklende verktøy der ute. De er designet spesielt for å motvirke det alltid skiftende landskapet med databeskyttelse. Og selvfølgelig er det også litt flaks involvert.

Som alltid anbefaler vi de samme tingene hvis du vil beholde dataene dine trygge. Krypter alt. Vær smart om hvor og hvordan du sikkerhetskopierer. Bruk sterke passord Slik genererer du sterke passord som passer din personlighet Hvordan generere sterke passord som passer din personlighet Uten et sterkt passord kan du raskt finne deg selv på mottakssiden av en cyberkriminalitet. En måte å opprette et minneverdig passord på kan være å matche det til din personlighet. Les mer . Og, hvis det er mulig, ikke gjør noe som vil sette deg i korshårene av en rettsmedisinsk undersøkelse.

Krypterer du telefonen? Er du bekymret for rettsmedisinske undersøkelser av dine mobile enheter? Del dine tanker i kommentarene nedenfor!

In this article