Quando elimini un file dal disco rigido del tuo computer, non è mai veramente sparito. Con sufficiente impegno e abilità tecnica, è spesso possibile recuperare documenti e foto che in precedenza si pensava fossero stati cancellati. Questi computer forensi sono uno strumento utile per le forze dell’ordine, ma come funzionano davvero?
Sommario:
Stabilire le basi legali
Prima di entrare nelle erbacce tecniche, vale la pena discutere i noiosi aspetti procedurali e legali della informatica forense nel contesto delle forze dell’ordine.
Innanzitutto, sfatiamo il vecchio mito secondo cui è sempre necessario un mandato per un agente delle forze dell’ordine per esaminare un dispositivo digitale come un telefono o un computer. Anche se spesso è così, si possono trovare molte “scappatoie” (in mancanza di una parola migliore) all’interno del tessuto della legge.
Molte giurisdizioni, come il Regno Unito e gli Stati Uniti, consentono ai funzionari della dogana e dell’immigrazione di esaminare i dispositivi elettronici senza un mandato. Gli ufficiali di frontiera americani possono anche esaminare il contenuto dei dispositivi senza un mandato se c’è un imminente filo di prove che viene distrutto, come affermato da una sentenza dell’11 ° Circuito del 2018.
Rispetto alle loro controparti americane, i poliziotti britannici tendono ad avere più margine di manovra per sequestrare i contenuti dei dispositivi senza dover presentare il loro caso a un giudice o magistrato. Possono, ad esempio, scaricare i contenuti di un telefono utilizzando un atto legislativo chiamato Legge sulla polizia e sulle prove penali (PACE), indipendentemente dal fatto che vengano portati addebiti. Tuttavia, se alla fine la polizia decide di voler esaminare il contenuto, ha bisogno dell’approvazione dei tribunali.
Legislazione conferisce inoltre alla polizia britannica il diritto di esaminare i dispositivi senza un mandato in determinate circostanze in cui vi è una necessità urgente, come in un caso di terrorismo, o dove c’è un autentico timore che un bambino possa essere sfruttato sessualmente.
Ma alla fine, indipendentemente dal “come”, quando un computer viene sequestrato, rappresenta semplicemente l’inizio di un lungo processo che inizia con un laptop o un telefono rimosso in un sacchetto di plastica a prova di manomissione e spesso si conclude con la presentazione di prove in un’aula di tribunale.
La polizia deve attenersi a una serie di regole e procedure per garantire l’ammissibilità delle prove. I team di informatica forense documentano ogni loro mossa in modo che, se necessario, possano ripetere gli stessi passaggi e ottenere gli stessi risultati. Usano strumenti specifici per garantire l’integrità dei file. Un esempio è un “blocco della scrittura”, progettato per consentire ai professionisti forensi di estrarre informazioni senza modificare inavvertitamente le prove esaminate.
È quella base giuridica e il rigore procedurale che determina se un’indagine forense informatica avrà successo, non la sofisticazione tecnica.
Spostare i piatti, spostare le valigie
Nonostante le questioni legali, è sempre interessante notare i molti fattori che possono determinare la facilità con cui i file eliminati possono essere recuperati dalle forze dell’ordine. Questi includono il tipo di disco utilizzato, se la crittografia era in atto e il file system dell’unità.
Prendi i dischi rigidi, ad esempio. Sebbene questi siano stati ampiamente superati da unità SSD (Solid State Drive) più veloci, le unità disco rigido meccaniche (HDD) sono state il meccanismo di archiviazione predominante per oltre 30 anni.
Gli HDD utilizzavano piatti magnetici per memorizzare i dati. Se hai mai smontato un disco rigido, probabilmente hai osservato come assomigliano un po ‘ai CD. Sono circolari e di colore argento.
Quando sono in uso, questi piatti girano a velocità incredibili, di solito 5.400 o 7.200 RPM e, in alcuni casi, anche 15.000 RPM. A questi vassoi sono collegate speciali “teste” che eseguono operazioni di lettura e scrittura. Quando si salva un file sull’unità, questa “testa” si sposta su una parte specifica del piatto e trasforma una corrente elettrica in un campo magnetico, modificando così le proprietà del piatto.
Ma come sa dove andare? Bene, guarda qualcosa chiamato una tabella di allocazione, che contiene un record di ogni file memorizzato su un disco. Ma cosa succede quando un file viene eliminato?
La risposta breve? Non tanto.
Ecco la risposta lunga: il record per quel file viene eliminato, consentendo in seguito di sovrascrivere lo spazio occupato sul disco rigido. Tuttavia, i dati rimangono fisicamente presenti sui piatti magnetici e vengono cancellati veramente solo quando vengono aggiunti nuovi dati in quella particolare posizione sul piatto.
Dopotutto, eliminarlo richiederebbe che la testina magnetica si sposti fisicamente in quella posizione sul piatto e lo sovrascriva. Ciò potrebbe ostacolare altre applicazioni e rallentare le prestazioni del computer. Per quanto riguarda i dischi rigidi, è più semplice fingere che i file eliminati semplicemente non esistano.
Ciò rende il recupero dei file eliminati molto più semplice per le forze dell’ordine. Devono solo ricreare le parti mancanti all’interno della tabella di assegnazione, che è qualcosa che può essere fatto con strumenti gratuiti, incluso Recuva.
Solido (stato) come una roccia
Ovviamente gli SSD sono diversi. Non contengono parti in movimento. Invece, i file sono rappresentati come elettroni tenuti da trilioni di microscopici transistor a gate flottante. Collettivamente, questi si combinano per formare chip flash NAND.
Gli SSD hanno alcune somiglianze con gli HDD, nella misura in cui i file vengono eliminati solo quando vengono sovrascritti. Tuttavia, alcune differenze chiave complicano inevitabilmente il lavoro dei professionisti di informatica forense. E come gli HDD, gli SSD organizzano i dati in blocchi, con le dimensioni che variano notevolmente tra i produttori.
La differenza fondamentale qui è che affinché un SSD possa scrivere dati, il blocco deve essere completamente vuoto di contenuto. Per garantire che l’SSD abbia un flusso costante di blocchi disponibili, il computer emette qualcosa chiamato “comando TRIM”, che informa l’SSD quali blocchi non sono più necessari.
Per gli investigatori, significa che quando cercano di trovare file eliminati su un SSD, potrebbero scoprire che l’unità li ha innocentemente messi ben oltre la loro portata.
Gli SSD possono anche distribuire i file su più blocchi sull’unità per ridurre la quantità di usura sostenuta dall’uso quotidiano. Poiché gli SSD possono sopportare solo un numero finito di scritture, è importante che siano distribuiti sull’unità, piuttosto che in una piccola posizione. Questa tecnologia si chiama livellamento dell’usura ed è nota per rendere la vita difficile ai professionisti della digital forensics.
Poi c’è il fatto che gli SSD sono spesso più difficili da visualizzare, perché spesso non è possibile rimuoverli fisicamente da un dispositivo.
Mentre i dischi rigidi sono quasi sempre sostituibili e collegati tramite interfacce standard, come IDE o SATA, alcuni produttori di laptop scelgono di saldare fisicamente lo storage alla scheda madre della macchina. Rende l’estrazione dei contenuti in modo forense molto più difficile per i professionisti delle forze dell’ordine.
Le vere complicazioni
Quindi, in conclusione: Sì, le forze dell’ordine possono recuperare i file che hai eliminato. Tuttavia, i progressi nella tecnologia di archiviazione e la crittografia diffusa hanno complicato le cose.
Tuttavia, i problemi tecnici possono spesso essere superati. Quando si tratta di indagini digitali, la sfida più grande che le forze dell’ordine devono affrontare non sono i meccanismi delle unità SSD, ma piuttosto la loro mancanza di risorse.
Non ci sono abbastanza professionisti qualificati per fare il lavoro. E il risultato finale è che molte forze di polizia in tutto il mondo devono affrontare un enorme arretrato di telefoni, laptop e server non elaborati.
Una richiesta di legge sulla libertà di informazione del quotidiano britannico The Times ha mostrato che le 32 forze di polizia in Inghilterra e Galles lo hanno fatto oltre 12.000 dispositivi in attesa di esame. Il tempo per elaborare un dispositivo lì varia, da un mese a più di un anno.
E questo ha delle conseguenze. Il fondamento di qualsiasi sistema di giustizia penale equo è che agli accusati viene offerto un processo rapido. Come si suol dire, la giustizia ritardata è giustizia negata. Questo principio è così fondamentalmente importante, è persino rappresentato nel sesto emendamento alla costituzione degli Stati Uniti.
Purtroppo, non è un problema facilmente risolvibile senza che vengano spesi più soldi dalle forze per il reclutamento e la formazione. Non puoi risolverlo con più tecnologia.