Што воопшто може да се извлече од мобилните телефони, а претходно да било избришано? Како мобилните телефони, воопшто завршуваат на анализа?

Додека во светот на информациската технологија се кршат копја во врска со приватноста, а џиновите како „Мајкрософт“ и „Епл“ не допуштаат ФБИ и другите истражни агенции да „упаднат“ во нивните уреди, мобилните и натаму се вреден доказен материјал во криминалистичките истраги.

Токму тоа е основната причина што завршуваат во рацете на форензичарите, кои се обидуваат да извлечат што е можно повеќе важни информации од нив. Тоа воопшто не е едноставен процес.

Дигиталниот форензички оддел во 2014 година, благодарение на анализата на мобилниот телефон, успешно ги пронашле киднаперите на една тинејџерка, а многу вакви случаи се решаваат дури и кога криминалците ќе ги избришат податоците од своите уреди. Како е возможно тоа?

Делчиња од информацијата заедно ја прават целата слика

Дури и најмалите траги како една СМС порака можат да помогнат во решавање случаи. Се разбира, сè уште важи правилото дека што повеќе материјал се извлече за создавање на целосната слика, толку е подобра истрагата.

Избришаната листа на повици, временската одредница кога биле направени, геолокациски податоци и користењето апликации дефинитивно се вреден материјал. Како се доаѓа до тој материјал?

Можностите за пристап се повеќе, но не се сите еднакво добри

Форензичарите се служат со сите можни средства за да дојдат до податоците. Тие вклучуваат сè – од рачно копање по податоците на отклучениот уред па сè до т. н. „логичка аквизиција“.

Рачно копање

Овој им е најмалку омилен процес на истражителите, бидејќи одзема многу време, а речиси е невозможен пристапот до избришаните информации преку регуларно соочување. Меѓутоа, може да послужи како прв чекор, понекогаш дури и паралелно со други процеси, со цел да се пронајде секое делче од сложувалката поврзано со истрагата. На пример, ако листата на повици не е избришана – нема (иницијална) потреба уредите да се поврзуваат на компјутер за прегледување.

Логичка аквизиција

За повеќе детали и помала рачна обработка на информации, се посегнува по други канали за пренос на информациите – како на пример, синхронизирање на податоците со компјутер. Меѓутоа, како и во случајот со рачното прегледување, исто така е тешко да се дојде до избришаните податоци.

Датотечна аквизиција

Ако намерата е да се спасат избришаните податоци од уредот, потребна е подлабока анализа – т. н. датотечна аквизиција. Мобилните уреди се голема база на податоци, а кога истражителите ќе го направат овој потег, добиваат пристап до сите датотеки во таа база на податоци. За ова, на располагање се бројни форензички алатки кои служат исклучиво за таа цел.

Физичко собирање податоци

Овој е најсложениот и најтешкиот процес на собирање податоци, бидејќи вклучува читање на податоци од чип, нивно префрлување на друг уред каде што може да се листаат и уредуваат. Физичкото собирање податоци од чипови бара посебен хардвер и софтвер, а неретко се вклучуваат и алати со кои мемориските чипови можат физички да се преместат од уредот, за да се постават во посебни читачи. Процесот е чувствителен и тежок, но ако се покаже поуспешен, истражителите имаат мноштво податоци на располагање.    

Но, како форензичарите ги враќаат избришаните податоци?

Најкраткото објаснување е дека е слично како кај компјутерите, податоците може да се вратат од класичните тврди дискови или SDD картички, дури и ако се избришани, под услов врз избришаниот материјал да не се „наталожила“ нова содржина. Материјалот што корисниците го избришале технички не е избришан од меморијата сè додека друг материјал не ги „прегази“ тие податоци. По наредбата за бришење, тие податоци, едноставно, престануваат да бидат индексирани, но сè уште се тука, само што мобилниот не може да ги прочита.

Значи, ако тие податоци не се вистински избришани, истражувачите можат да дојдат до нив преку друг дел од софтверот кој тој материјал повторно ќе го индексира. Не станува збор за едноставен процес, но по правило, софтверот го врши поголемиот дел од работата.

Енкрипцијата заштитува, но...

Сè повеќе компании во IT секторот се служат со мобилна енкрипција, и тоа не само за оперативните системи, туку и за мобилните апликации. Овој сегмент претставува голем проблем за дигиталните форензичари, бидејќи во дел од случаите едноставно невозможно е да се дојде до податоците. „Ајтјунс“ од корисниците бара да ги енкриптираат и бекап податоците кои се сместуваат на компјутер.

Тука во игра влегува т.н. backdoor пристап, искористување на сигурносни пропусти во софтверот и/или хардверот на уредот. Во суштина, сè се сведува на игра „мачка/глушец“, едни професионалци против други.

Можно е воопшто да се заобиколат мобилните телефони

Ако мобилните се покажат како претежок залак за истражителите, ќе се обидат да најдат компјутер со кој бил поврзан мобилниот уред и на тој начин да извлечат што е можно повеќе информации. Ако и тоа е невозможно, можат да побараат судски налог кој од компанијата или производителите на уредот ќе побараат пристап до податоците.

Што во практиката е можно да се извлече од избришаните содржини?

Ова главно зависи од врстата на уредот врз кој работи дигиталниот форензичар, но генерално гледано, можно е да се вратат избришаните содржини од следниве подрачја (пишува „Мејк јус оф“):

– Текстуални пораки и iMessages
– Содржини од апликации (под услов да не се енкриптирани)
– Историја на повици
– И-мејл пораки
– Белешки
– Контакт листа
– Календар
– Мултимедијални доржини (фотографии и видеа)