U TV serijalima poput CSI ili Law & Order, profesionalci u svega par klikova mišem na spojeni mobitel mogu iz njega izvući poruke, fotografije i koješta drugo. Stvarnost je mnogo manje uzbudljiva i kudikamo složenija. Što se uopće može izvući iz mobitela, a da je prethodno izbrisano?
Kako mobiteli uopće završe na analizi?
Dok se u IT svijetu lome koplja oko privatnosti, a divovi poput Microsofta i Applea ne dopuštaju FBI-ju i drugim istražnim agencijama da 'provale' u njihove uređaje, mobiteli su i dalje vrijedan dokazni materijal u kriminalnim istragama.
Upravo je to osnovni razlog zašto završe u rukama forenzičara, koji pokušavaju izvući što je moguće više bitnih informacija iz njih. To nije niti malo jednostavan proces.
Digitalni forenzički odjel je primjerice 2014. upravo zahvaljujući analizi mobitela uspješno pronašao otmičara tinejdžerica, a mnogi ovakvi slučajevi se rješavaju čak i kada kriminalci izbrišu podatke s uređaja. Kako je to moguće?
Djelići informacija zajedno čine veću sliku
Čak i najmanji tragovi poput jedne SMS poruke mogu pomoći u rješavanju slučaja. Nije kao u TV serijama potrebno pristupiti ama baš svakom bajtu informacija koji se nalaze u uređajima. Naravno, još uvijek vrijedi pravilo da što se više materijala izvuče za stvaranje veće slike, to je bolje po istragu.
Izbrisana lista poziva, vremenske odrednice kada su oni napravljeni, geolokacijski podaci i korištenje aplikacija definitivno su vrijedan materijal. Kako se do njega dolazi?
Mogućnosti pristupa je više, no nisu svi jednako dobri
Forenzičari se služe svim mogućim sredstvima kako bi došli do podataka. Oni uključuju sve - od ručnog kopanja po podacima na otključanom uređaju pa sve do tzv. 'logičke akvizicije'.
Ručno kopanje
Istražiteljima je ovo najmanje drag proces, jer traži mnogo vremena, a do izbrisanih informacija je regularnim sučeljem gotovo nemoguće doći. Međutim, može poslužiti kao prvi korak, ponekad čak i paralelno s drugim procesima kako bi se pronašao svaki djelić slagalice vezan uz istragu. Primjerice, ako je lista poziva neizbrisana - nema (inicijalne) potrebe da se uređaji spajaju na računalo za pregled.
Logička akvizicija
Za više detalja i manje ručne obrade informacija valja se poslužiti drugim kanalima prijenosa informacija - poput sinkronizacije podataka s računalom. Međutim, kao i u slučaju ručnog pregleda, ovdje je također teško doći do izbrisanih informacija.
Datotečna akvizicija
Ako se žele spasiti izbrisani podaci s uređaja, potrebno je ići 'dublje' - tzv. datotečnom akvizicijom. Mobilni uređaji su zapravo velike baze podataka, a kada istražitelji naprave ovaj potez dobiju pristup svim datotekama u toj bazi podataka. Za ovo su na raspolaganju brojni forenzički alati koji služe samo za tu svrhu.
Fizičko prikupljanje podataka
Ovo je najsloženiji i najteži proces prikupljanja podataka, jer uključuje čitanje podataka s čipa te njihovo prebacivanje na drugi uređaj na kojem se oni mogu izlistati i uređivati. Fizičko prikupljanje podataka s čipova traži poseban hardver i softver, a nerijetko su uključeni i alati kojima se memorijski čipovi mogu fizički ukloniti s uređaja kako bi se smjestili na posebne čitače. Proces je osjetljiv i težak, no ako se pokaže uspješnim, istražitelji imaju brdo podataka.
Ali, kako forenzičari vrate izbrisane podatke?
Kratka varijanta priče jest to da stvari stoje kao i na računalima - s klasičnih tvrdih diskova, kao i SSD-ova, moguće je vratiti podatke čak i kada su izbrisani, pod uvjetom da preko 'izbrisanog' materijala nije stigao novi sadržaj. Materijal koji korisnici izbrišu tehnički nije izbrisan iz memorije sve dok neki drugi materijal ne pregazi te podatke. Po naredbi za brisanje, ti podaci jednostavno prestaju biti indeksirani - no još uvijek su tu, samo ih mobitel ne može pročitati.
Dakle, ako ti podaci nisu istinski prebrisani, istraživači mogu doći do njih drugim komadom softvera koji će taj materijal ponovno indeksirati. Nije riječ o jednostavnom procesu, no u pravilu softver čini veći dio posla.
Neki uređaji su zaštićeniji od drugih, a dovoljno se sjetiti priče o privatnosti s početka teksta. iUređaji pored uklanjanja indeksiranog sadržaja uz naredbu brisanja ne samo da 'zaboravljaju' na taj sadržaj, već ga i kodiraju. U ovom slučaju forenzičarima teško mogu pomoći i najmoderniji alati, a upravo je to razlog zašto Apple vodi borbu s vlastima u SAD-u.
Enkripcija štiti, ali...
Mobilnom enkripcijom se služi sve više tvrtki u IT svijetu, i to ne samo za operativne sustave, već i mobilne aplikacije. Ovaj segment predstavlja veliki problem digitalnim forenzičarima, jer je u dijelu slučajeva do podataka jednostavno nemoguće doći. iTunes primjerice od korisnika traži i da enkriptiraju backup podatke koji se smještaju na računalo!
Ovdje u igru ulazi tzv. backdoor pristup, iskorištavanje sigurnosnih propusta u softveru i/ili hardveru uređaja. U suštini se sve svodi na igru mačke i miša, jedni profesionalci kontra drugih.
Moguće je zaobići mobitele općenito
Ako se mobiteli pokažu preteškim zalogajem za istražitelje, pokušat će naći računala na koja je uređaj bio spojen te s njih izvući što je moguće više informacija. Ako ni to nije moguće, mogu zatražiti sudski nalog koji će od tvrtki poput telekoma i proizvođača uređaja tražiti pristup podacima, no sve ovo je upitne koristi.
Što je u praksi moguće izvući iz izbrisanog sadržaja?
Ovo uglavnom ovisi o vrsti uređaja na kojem radi digitalni forenzičar, no općenito gledano moguće je vratiti izbrisani sadržaj iz sljedećih područja, piše MakeUseOf:
- Tekstualne poruke i iMessages
- Sadržaj iz aplikacija (pod uvjetom da nisu enkriptirane)
- Povijest poziva
- Email poruke
- Bilješke
- Kontakt liste
- Kalendar
- Multimedijalni sadržaj (fotografije i video)