كيف يحصل المُحللون الشرعيون على البيانات المحذوفة من هاتفك؟



إن كنت قد شاهدت برنامجًا تلفزيونيًا من قبل فمن المُحتمل أن ترى مُحللين يستخرجون البيانات من هاتف أو كمبيوتر مُعين أو من أي مكان آخر، ما مدى واقعية هذه الإجراءات وهل يمكن للشرطة استعادة الصور والنصوص والملفات المحذوفة من الهاتف؟ هل يستخدمون نفس أدوات الإستعادة التي يستخدمها أي شخص عادي على الويب أم أن لهم أدواتهم الخاصة؟

forensic-analysts-get-deleted-data-phone

لما قد يتدخل الطب الشرعي في تحليل الهاتف؟


يتم إجراء تحقيق جنائي عندما تكون البيانات على الهاتف أمرًا بالغ الأهمية في أي قضية، في عام 2014 عندما اختفت فتاتان من ولاية مينيسوتان ساعد الطب الشرعي الرقمي الشرطة في العثور على المختطف، تم فتح العديد من الحالات الأخرى بواسطة المعلومات المأخوذة من هاتف الضحية أو مرتكب الجريمة.

حتى قطعة بسيطة من المعلومات مثل رسالة نصية واحدة يمكن أن تساعد المُحققين في حل القضية، في أوقات أخرى الصورة الأكثر تعقيدًا يتم رسمها بواسطة سجلات المكالمات المحذوفة والطوابع الزمنية وبيانات الموقع الجغرافي واستخدام التطبيق، يمكن أن تساعد أنواع كثيرة من المعلومات في حل جريمة والهواتف تخزن الكثير من هذا النوع من المعلومات.

الأنواع المُختلفة للطرق التي يُمكن استخدامها


يمكن لمُحللي الطب الشرعي إجراء أنواع مُختلفة من عمليات الحصول على البيانات، يُعرف الأبسط منها باسم الاستحواذ اليدوي ويشمل البحث عبر الهاتف بشكل طبيعي، هذا لا يكشف عن البيانات المحذوفة لذلك لا يخبر المحللين الكثير، لكن الاستحواذ المنطقي قد يوفر بيانات أكثر تفصيلاً، يتضمن ذلك نقل البيانات من الهاتف إلى جهاز كمبيوتر.

هذا النقل يجعل من السهل على المُحققين الشرعيين العمل مع البيانات ولكن لا يزال من غير المُحتمل أن يستعيدوا المعلومات المحذوفة، عندما يرغب الباحثون في رؤية البيانات المخفية يستخدمون اقتناء نظام الملفات، ويمنح اكتساب نظام الملفات حق الوصول إلى جميع الملفات الموجودة في قاعدة البيانات، يتضمن ذلك الملفات المخفية والجذرية ولكن لا توجد بيانات محذوفة.

أخيرًا هناك اكتساب مادي والذي يُعتبر من أصعب أنواع الاستحواذ حيث إنه يحتاج إلى أدوات خاصة لإيجاد نسخة من البيانات المُخزنة على الجهاز، ومع ذلك فإن هذه الطريقة تُجرد كل شيء حتى الملفات المحذوفة، يسمح هذا بإجراءات مثل استرداد الرسائل النصية الشرعية.

إذن كيف يُمكن استرداد البيانات المحذوفة؟


في الحقيقة عندما تقوم بحذف شيء ما من هاتفك فإنه لا يتلاشى على الفور، لا تحذف ذاكرة الأجهزة الملفات حتى يتم الكتابة فوقها مثلها مثل أجهزة الكمبيوتر، إن لم يقم الهاتف بالكتابة فوق البيانات المحذوفة فقد يجدها برنامج آخر، ليس من السهل دائمًا تحديد وفك تشفيره لكن مُجتمع الطب الشرعي لديه أدوات قوية للغاية تساعدهم في هذه العملية.

كلما قمت بحذف شيء ما مؤخراً كلما قل احتمال الكتابة عليه، إذا قمت بحذف شيء قبل أشهر وكنت تستخدم هاتفك كثيرًا فهناك فرصة جيدة لأن يكون نظام الملفات قد قام بالكتابة بالفعل، إذا قمت بحذفها قبل بضعة أيام فقط قبل وقوع حادثة ما فستكون الاحتمالات أكبر في أنها لا تزال موجودة في مكان ما من ذاكرة التخزين.

تقوم العديد من الهواتف تلقائيًا بالنسخ الاحتياطي للجهاز إما من خلال المُزامنة مع الكمبيوتر أو عبر السحابة، يمكن أن يكون استخراج البيانات من تلك النسخة الاحتياطية أسهل من استخراجها من الهاتف، تعتمد فعالية هذه الاستراتيجية على الفترة الأخيرة التي تم فيها إجراء نسخ احتياطي للهاتف والخدمة المستخدمة لتخزين الملفات.

الأنواع المُختلفة من الملفات التي يمكن استعادتها


قد تتعدد أنواع الملفات القابلة للاسترداد على الجهاز الذي يعمل عليه مُحلل الطب الشرعي، ومع ذلك هناك بعض الأنواع الأساسية التي من المُحتمل استردادها: الرسائل النصية، سجل المُكالمات، البريد الإلكتروني، المُلاحظات، جهات الاتصال، أحداث التقويم، والصور ومقاطع الفيديو.

يُمكن أيضًا للمُحققين تتبع رسائل واتساب المحذوفة - إلا إذا تم تشفيرها، لذا يُنصح التعامل مع برامج أكثر تشفير وحماية كتيليجرام، وإن كنت تستخدم نظام أندرويد الخاص بك لتخزين الملفات فقد تظل هذه الملفات معلقة في التخزين أيضًا على عكس نظام الـ iOS الذي يتخذ تدابير أكثر من غيره.

لكن ماذا عن التشفير في هذه الحالة؟


تشفير الجهاز المحمول يمثل مشكلة كبيرة لتحليل الطب الشرعي، إذا استخدم الشخص تشفيرًا آمنًا ولا توجد طريقة للحصول على مفتاح التشفير فسيكون من الصعب أو المستحيل الحصول على أي بيانات من الهاتف، لهذا الغرض يطلب iTunes من المستخدمين تشفير النسخ الاحتياطية التي يقومون بها على أجهزة الكمبيوتر الخاصة بهم.

في حين أن هذا يجعل الهواتف أقل فائدة للمُحققين الجنائيين إلا أن هناك بعض الطرق لتجاوز التشفير، تحتوي بعض الهواتف على أبواب خلفية تسمح للمحترفين بالوصول إلى الملفات، قد يكون المُحققون الآخرون قادرين على تخمين كلمة المرور أو كسرها، إذن إن كنت قلقًا بشأن فحص الطب الشرعي لهاتفك (كصحفي لديه مصادر حساسة) فمن الأفضل استخدام إعدادات التشفير جيدة.

أخيراً، حفظ البيانات الخاصة بك آمنة


لذلك هل يمكن للشرطة استعادة الصور والنصوص والملفات المحذوفة من الهاتف؟ الجواب نعم - باستخدام أدوات خاصة يمكنهم العثور على البيانات التي لم تتم الكتابة عليها بعد، ومع ذلك باستخدام طرق التشفير المُتعددة يمكنك التأكد من الحفاظ على سرية بياناتك حتى بعد الحذف.




ليست هناك تعليقات:

إرسال تعليق