هل تستطيع الشرطة العثور على الرسائل المحذوفة؟.
عندما تحذف ملفًا من محرك الأقراص الثابتة بجهاز الكمبيوتر الخاص بك ، فلن يختفي أبدًا. بالجهد الكافي والمهارة التقنية ، غالبًا ما يكون من الممكن استعادة المستندات والصور التي كان يُعتقد سابقًا أنها تم محوها. تعد عمليات الفحص الحاسوبية هذه أداة مفيدة لإنفاذ القانون ، ولكن كيف تعمل حقًا؟
وضع الأسس القانونية
قبل أن ندخل في الاعشاب التقنية ، يجدر بنا مناقشة الجوانب الإجرائية والقانونية الباهتة للطب الشرعي الحاسوبي في سياق تطبيق القانون.
أولاً ، لنبدد الأسطورة القديمة القائلة بأن الوكيل مطلوب دائمًا لضابط إنفاذ القانون لفحص جهاز رقمي مثل الهاتف أو الكمبيوتر. في حين أن هذا هو الحال في كثير من الأحيان ، فإن العديد من “الثغرات” (لعدم وجود كلمة أفضل) تكمن في نسيج القانون.
تسمح العديد من الولايات القضائية ، مثل المملكة المتحدة والولايات المتحدة ، لمسؤولي الجمارك والهجرة بفحص الأجهزة الإلكترونية دون أمر قضائي. يمكن لمسؤولي الحدود الأمريكيين أيضًا فحص محتويات الأجهزة دون أمر قضائي في حالة التدمير الوشيك للأدلة ، وفقًا لما أكده حكم الدائرة الحادية عشرة لعام 2018.
بالمقارنة مع نظرائهم الأمريكيين ، يتمتع رجال الشرطة البريطانيون عمومًا بمزيد من الحرية للاستيلاء على محتويات الأجهزة دون الحاجة إلى مناقشة قضيتهم أمام قاضٍ أو قاضٍ. يمكنهم ، على سبيل المثال ، تنزيل المحتوى من الهاتف باستخدام قانون يسمى قانون الشرطة والأدلة الجنائية (PACE) ، سواء تم توجيه التهم أم لا. ومع ذلك ، إذا قررت الشرطة في النهاية أنها تريد مراجعة المحتوى ، فيجب أن توافق عليها المحاكم.
يمنح التشريع أيضًا الشرطة في المملكة المتحدة الحق في فحص الأجهزة دون أمر قضائي في ظروف معينة حيث توجد حاجة ملحة ، كما هو الحال في قضية الإرهاب ، أو عندما يكون هناك خوف حقيقي من تعرض الطفل للاستغلال الجنسي.
ولكن في نهاية اليوم ، وبغض النظر عن “كيف” ، عند الاستيلاء على جهاز كمبيوتر ، فإنه يمثل ببساطة بداية عملية طويلة تبدأ بإخراج جهاز كمبيوتر محمول أو هاتف من كيس بلاستيكي. بلاستيك واضح العبث ، وغالبًا ما ينتهي بتقديم الأدلة في قاعة المحكمة.
يجب أن تتبع الشرطة مجموعة من القواعد والإجراءات لضمان مقبولية الأدلة. توثق فرق الطب الشرعي الحاسوبي كل تحركاتهم حتى يتمكنوا ، إذا لزم الأمر ، من تكرار نفس الخطوات وتحقيق نفس النتائج. يستخدمون أدوات محددة لضمان سلامة الملف. ومن الأمثلة على ذلك “مانع الكتابة” ، وهو مصمم للسماح لأخصائيي الطب الشرعي باستخراج المعلومات دون تغيير الأدلة التي يتم فحصها عن غير قصد.
هذا الأساس القانوني والصرامة الإجرائية هو الذي يحدد ما إذا كان تحقيق الطب الشرعي الحاسوبي سينجح ، وليس التطور التقني.
صواني متحركة وصناديق متنقلة
على الرغم من المشكلات القانونية ، لا يزال من الجدير ملاحظة العوامل العديدة التي يمكن أن تحدد مدى سهولة استرداد الملفات المحذوفة بواسطة تطبيق القانون. يتضمن ذلك نوع القرص المستخدم ، وما إذا كان التشفير موجودًا ، ونظام الملفات الخاص بمحرك الأقراص.
خذ على سبيل المثال محركات الأقراص الصلبة. على الرغم من أن محركات الأقراص ذات الحالة الصلبة الأسرع قد تجاوزتها إلى حد كبير ، إلا أن محركات الأقراص الصلبة الميكانيكية (HDD) كانت آلية التخزين السائدة لأكثر من 30 عامًا.
تستخدم محركات الأقراص الثابتة الأطباق المغناطيسية لتخزين البيانات. إذا قمت بتفكيك محرك أقراص ثابت ، فمن المحتمل أنك لاحظت كيف تبدو مثل الأقراص المضغوطة قليلاً. إنها دائرية وفضية اللون.
عند الاستخدام ، تدور هذه الأطباق بسرعات لا تصدق ، عادةً 5400 أو 7200 دورة في الدقيقة ، وفي بعض الحالات بسرعة 15000 دورة في الدقيقة. متصلة بهذه الأطباق “رؤوس” خاصة تؤدي عمليات القراءة والكتابة. عندما تكتب ملفًا إلى محرك الأقراص ، ينتقل هذا “الرأس” إلى جزء معين من الطبق ويحول التيار الكهربائي إلى مجال مغناطيسي ، مما يؤدي إلى تغيير خصائص الطبق.
لكن كيف يعرف إلى أين يذهب؟ حسنًا ، ينظر إلى شيء يسمى جدول التخصيص ، والذي يحتوي على سجل لكل ملف مخزّن على القرص. لكن ماذا يحدث عندما يتم حذف ملف؟
الجواب القصير؟ ليس كثيراً.
ها هي الإجابة الطويلة: يتم حذف السجل الخاص بهذا الملف ، مما يسمح بالكتابة فوق المساحة التي يشغلها على القرص الصلب لاحقًا. ومع ذلك ، تظل البيانات موجودة فعليًا على الأطباق المغناطيسية ويتم حذفها فعليًا فقط عند إضافة بيانات جديدة إلى هذا الموقع المحدد على الطبق.
بعد كل شيء ، قد تتطلب إزالته من الرأس المغناطيسي أن ينتقل فعليًا إلى هذا الموقع على السبورة والكتابة فوقه. قد يؤدي ذلك إلى إعاقة التطبيقات الأخرى وإبطاء أداء الكمبيوتر. عندما يتعلق الأمر بمحركات الأقراص الثابتة ، فمن الأسهل التظاهر بأن الملفات المحذوفة ببساطة غير موجودة.
هذا يجعل استعادة الملفات المحذوفة أسهل بكثير لإنفاذ القانون. عليهم فقط إعادة إنشاء الأجزاء المفقودة في جدول التخصيص ، والتي يمكن إجراؤها باستخدام أدوات مجانية ، بما في ذلك Recuva.
(الحالة) الصلبة مثل الصخرة
بالطبع ، محركات أقراص الحالة الثابتة مختلفة. لا تحتوي على أجزاء متحركة. بدلاً من ذلك ، يتم تمثيل الملفات كإلكترونات محتفظ بها بتريليونات من ترانزستورات البوابة العائمة المجهرية. بشكل جماعي ، تتحد هذه لتشكيل رقائق فلاش NAND.
تحتوي محركات الأقراص ذات الحالة الثابتة على بعض أوجه التشابه مع محركات الأقراص الثابتة ، حيث يتم حذف الملفات فقط عند الكتابة فوقها. ومع ذلك ، فإن بعض الاختلافات الرئيسية تعقد حتمًا عمل المتخصصين في الطب الشرعي للكمبيوتر. ومثل محركات الأقراص الثابتة ، تنظم محركات الأقراص ذات الحالة الثابتة البيانات في كتل ، مع اختلاف الحجم بشكل كبير من مصنع لآخر.
الاختلاف الرئيسي هنا هو أنه لكي يكتب SSD البيانات ، يجب أن تكون الكتلة فارغة تمامًا من المحتوى. للتأكد من أن SSD لديه دفق مستمر من الكتل المتاحة ، يصدر الكمبيوتر شيئًا يسمى “أمر TRIM” ، والذي يُعلم SSD بالكتل التي لم تعد مطلوبة.
بالنسبة للمحققين ، هذا يعني أنهم عندما يحاولون العثور على الملفات المحذوفة على SSD ، فقد يجدون أن محرك الأقراص جعلهم ببراءة بعيدًا عن متناولهم.
يمكن لمحركات أقراص الحالة الثابتة أيضًا أن تشتت الملفات عبر كتل متعددة على القرص لتقليل مقدار التآكل الناتج عن الاستخدام اليومي. نظرًا لأن محركات الأقراص الثابتة SSD لا تدعم سوى عددًا محدودًا من عمليات الكتابة ، فمن المهم أن يتم نشرها عبر محرك الأقراص ، وليس في فتحة صغيرة. هذه التكنولوجيا تسمى ارتداء التسوية، ويشتهر بجعل الحياة صعبة على محترفي الطب الشرعي الرقمي.
ثم هناك حقيقة أنه غالبًا ما يكون من الصعب تصوير محركات الأقراص ذات الحالة الثابتة ، حيث لا يمكنك غالبًا إزالتها فعليًا من الجهاز.
على الرغم من إمكانية استبدال محركات الأقراص الثابتة دائمًا وتوصيلها من خلال واجهات قياسية ، مثل IDE أو SATA ، فإن بعض مصنعي أجهزة الكمبيوتر المحمول يختارون لحام وحدة التخزين باللوحة الأم للجهاز فعليًا. هذا يجعل استخراج المحتوى بطريقة سليمة قانونيًا أكثر صعوبة للمهنيين المكلفين بإنفاذ القانون.
المضاعفات الحقيقية
لذلك ، في الختام: نعم ، يمكن لتطبيق القانون استعادة الملفات التي قمت بحذفها. ومع ذلك ، فإن التقدم في تكنولوجيا التخزين والتشفير الواسع قد أدى إلى تعقيد الأمور إلى حد ما.
ومع ذلك ، يمكن التغلب على المشكلات الفنية في كثير من الأحيان. عندما يتعلق الأمر بالتحقيقات الرقمية ، فإن التحدي الأكبر الذي يواجه تطبيق القانون ليس آليات محركات الأقراص ذات الحالة الثابتة بل هو افتقارها إلى الموارد.
لا يوجد عدد كافٍ من المهنيين المدربين للقيام بهذه المهمة. والنتيجة النهائية هي أن العديد من قوات الشرطة حول العالم تواجه تراكمًا هائلاً من الهواتف وأجهزة الكمبيوتر المحمولة والخوادم غير المعالجة.
طلب قانون حرية المعلومات من صحيفة المملكة المتحدة الأزمنة أظهر أن قوات الشرطة البالغ عددها 32 في إنجلترا وويلز لديها أكثر من 12 ألف جهاز تنتظر الفحص. يختلف وقت معالجة الجهاز هناك من شهر إلى أكثر من عام.
وهذا له عواقب. أساس أي نظام عدالة جنائية عادل هو أن المتهمين يستفيدون من محاكمة سريعة. كما يقول المثل ، تأخير العدالة هو إنكار للعدالة. هذا المبدأ مهم بشكل أساسي لدرجة أنه تم تمثيله في التعديل السادس لدستور الولايات المتحدة.
لسوء الحظ ، هذه ليست مشكلة يمكن حلها بسهولة دون أن تنفق القوات أكثر على التجنيد والتدريب. لا يمكنك حلها بمزيد من التكنولوجيا.
هل كان المقال مفيداً؟شاركه مع أصدقائك ولا تنسى لايك والتعليق
اترك تعليقاً