Как судебные эксперты получают удаленные данные с вашего телефона?

Если вы смотрите сериалы про полицию, то скорее всего вы видели на экране как эксперты при проведении судебного расследования извлекают данные из телефонов жертв или подозреваемых. Обычно это включает в себя нажатие нескольких кнопок, и удаленные текстовые сообщения пользователей и история звонков мгновенно появляются на экране.

Правда немного отличается. Но что, собственно, может судебно-медицинская экспертиза восстановить с вашего телефона? Как это делается? Зачем удалять данные из памяти? Есть много вопросов на эту тему, поэтому я немного покопался, чтобы найти ответы.

Для чего могут потребоваться эти данные?

Почему телефон или планшет могут подвергнуться судебному расследованию? Во многих случаях информация, снятая с телефона, может помочь в раскрытии преступления. Еще в 2014 году, когда в Москве без вести пропали две девочки, цифровая судебная экспертиза помогла полиции найти похитителя. Во многих других случаях информация, полученная из телефона жертвы или преступника, помогала расследованию.

Получение данных с телефона

Даже простая информация, как и одно текстовое сообщение, может помочь следователям раскрыть преступление. В других случаях это более сложная картина, например, удаленные журналы вызовов, отметки времени, данные геолокации и использование приложений. История поиска может оказаться инкриминирующей. Многие виды информации могут помочь полиции раскрыть преступление — и большая часть этой информации хранится в наших телефонах.

Важно отметить, что ваше мобильное устройство могут подвергнуть исследованию даже если вас не подозревают в совершении преступления. Телефоны, принадлежащие жертвам преступлений, также могут предоставлять полиции очень ценные данные, особенно если эти жертвы являются недееспособными или пропавшими без вести.

Типы сбора данных

Существует ряд стратегий, которые могут использовать судебные эксперты. Самый простой способ известен как «ручной сбор», и он включает в себя использование интерфейса для изучения содержимого устройства. Это требует много времени и часто не очень полезно, потому что все, что было удалено, не отображается в стандартном интерфейсе.

Логическое получение предоставляет более подробные данные. Этот тип получения информации предполагает передачу как можно большего количества данных через стандартные каналы передачи, такие как те, которые будут использоваться для синхронизации телефона с компьютером. Этот тип получения информации позволяет судебным экспертам работать с данными на телефоне, но вряд ли сможет восстановить много удаленной информации.

Типы сбора данных

Когда следователи хотели бы просмотреть удаленные данные, требуется получение файловой системы. Мы рассмотрим, как этот тип получения информации может мгновенно восстановить удаленные элементы. Мобильные устройства — это в основном большие базы данных, и получение файловой системы дает эксперту доступ ко всем файлам в базе данных. Существует также множество инструментов судебной экспертизы, которые способны анализировать данные этого типа, что облегчает работу эксперта.

Наконец, есть физическое приобретение. Это самое сложное приобретение, поскольку оно включает чтение физических данных на чипе и перенос их на другое устройство, на котором можно работать. Для этого требуются программисты, а иногда и инструменты для удаления самого чипа с телефона. Это очень сложно, но это также дает экспертам больше данных для работы.

Как удаленные файлы могут быть восстановлены?

Возможно, вам интересно, как часть программного обеспечения может найти файлы, которые вы удалили. Если вы знаете, как работают накопители на компьютере, вы уже знакомы с основами. Флэш-память в мобильных устройствах фактически не удаляет файлы, пока не закончится пространство для чего-то нового. Эта информация просто «деиндексируется», по сути телефон забывает, где она находится, но она по-прежнему сохраняется в телефоне.

Поэтому, если эти данные не были перезаписаны, специальное программное обеспечение может их найти. Идентификация и декодирование не всегда просты, но лаборатории судебно-медицинской экспертизы обладают чрезвычайно мощными инструментами, которые помогают им в этом процессе.

восстановление удаленных файлов

Чем позже вы что-то удалили, тем менее вероятно, что это будет перезаписано. Если вы удалили что-то несколько месяцев назад, и вы много используете свой телефон, есть хорошая вероятность, что файловая система уже перезаписала этот файл. Если вы удалили что-то только несколько дней назад, шансы того, что этот файл все еще где-то там выше.

Некоторые устройства iOS, такие как новые iPhone, делают дополнительный шаг. Помимо деиндексирования данных, они также шифруют их. И экспертам будет чрезвычайно сложно (если не невозможно) обойти эту защиту.

Один из способов, по которым эксперты-криминалисты могут получать удаленные данные, фактически допускает сам телефон и резервное копирование. Многие телефоны автоматически синхронизируют все информацию с компьютером пользователя или облаком. Извлечения данных из этой резервной копии может быть проще, чем на телефоне. Очевидно, что эффективность этой стратегии зависит от того, как давно была создана резервная копия телефона и облачная служба, используемая для хранения файлов.

Какие типы файлов могут быть восстановлены?

Типы восстанавливаемых файлов могут зависеть от устройства, над которым работает криминалист. Однако существует несколько основных типов, которые могут быть восстановлены:

  • Текстовые сообщения
  • История звонков
  • Сообщения электронной почты
  • Заметки
  • Контакты
  • Календарь событий
  • Изображения и видеоролики

Также могут быть восстановлены сообщения от альтернативных служб обмена сообщениями, таких как WhatsApp или Viber. (Однако если эти сообщения зашифрованы, следователи не смогут их прочитать.)

Что такое шифрование?

Шифрование мобильных устройств представляет серьезную проблему для судебного эксперта. Если было применено сильное шифрование, и нет способа получить ключ шифрования, будет сложно или почти невозможно получить какие-либо данные с телефона. iTunes даже просит пользователей шифровать резервные копии, которые они делают на своих компьютерах.

шифрование телефона

Хотя это делает телефоны менее полезными для следователей, есть некоторые способы преодолеть шифрование. Некоторые телефоны имеют встроенные бэкдоры, которые позволяют профессионалам получить доступ к файлам. Другие эксперты могут взломать ваш пароль шифрования.

Однако, если квалификация эксперта оставляет желать лучшего он не сможет прочесть эти зашифрованные файлы. Если вас беспокоит судебно-медицинская экспертиза вашего телефона (например, вы журналист с секретными источниками), рекомендуется использовать самые безопасные настройки шифрования.

Является ли любая ваша информация действительно безопасной?

В конце концов, нет никаких гарантий, когда дело доходит до судебного расследования. Для обеих сторон. Невозможно полностью защитить каждую часть данных на телефоне от умного и опытного эксперта. И нет доступа к данным на каждом телефоне.

Но существует множество разнообразных инструментов. Они разработаны специально для противодействия постоянно меняющемуся ландшафту защиты данных.

Как всегда, я рекомендую те же самые вещи, если вы хотите сохранить свои данные в безопасности. Шифруйте все. Будьте осторожны, где и как вы создаете резервную копию. Используйте надежные пароли. И, если это вообще возможно, не делайте ничего, что поставит вас в поле зрения правоохранителей.

Вы шифруете свой телефон? Вас беспокоит безопасность данных на ваших мобильных устройствах? Поделитесь своими мыслями в комментариях ниже!