Als je CSI, Law and Order of een andere politieprocedure hebt bekeken, is de kans groot dat je een versie op het scherm hebt gezien van een mobiel forensisch onderzoek. Gewoonlijk gaat het om het klikken op een paar knoppen en verschijnen de SMS-berichten en de oproepgeschiedenis van de gebruikers direct op het scherm.
De waarheid is een beetje anders. Maar wat kan een forensisch onderzoek nu precies van je telefoon herstellen? Hoe is het gedaan? Waarom kunnen verwijderde gegevens uit de opslag worden gehaald? Er zijn veel vragen om te beantwoorden, dus we hebben wat onderzoek gedaan om de antwoorden te vinden.
Waarom mobiele forensische onderzoeken plaatsvinden
Waarom kan een telefoon of tablet een forensisch onderzoek ondergaan? In veel gevallen kan de informatie die van een telefoon wordt gehaald een misdaad helpen oplossen. In 2014, toen twee Minnesotan-meisjes vermist werden, hielp de digitale forensische politie de politie om hun ontvoerder te vinden. Veel andere zaken zijn opengebroken door informatie die is ontleend aan de telefoon van een slachtoffer of dader.
Zelfs een eenvoudig stuk informatie, zoals een enkel sms-bericht, kan onderzoekers helpen een zaak op te lossen. Andere keren is het een ingewikkelder beeld Wat kunnen overheidsbeveiligingsinstanties vertellen aan de hand van de metagegevens van uw telefoon? Wat kunnen overheidsbeveiligingsinstanties vertellen aan de hand van de metagegevens van uw telefoon? Meer lezen geschilderd door verwijderde oproeplogboeken, tijdstempels, geolocatiegegevens en app-gebruik. Zoekgeschiedenis kan belastend zijn. Veel soorten informatie kunnen de politie helpen een misdaad op te lossen - en veel van die informatie wordt opgeslagen in onze telefoons.
Het is belangrijk op te merken dat uw mobiele apparaat kan worden onderzocht, zelfs als u niet wordt verdacht van een misdrijf. Telefoons van slachtoffers van misdrijven kunnen de politie ook waardevolle gegevens verstrekken, vooral als die slachtoffers arbeidsongeschikt of vermist zijn.
Typen data-acquisitie
Er zijn een aantal acquisitiestrategieën die forensische onderzoekers kunnen gebruiken. De eenvoudigste staat bekend als "handmatige acquisitie" en het gaat om het doorlopen van de reguliere interface om de inhoud van het apparaat te onderzoeken. Dit is tijdrovend en vaak niet erg nuttig, omdat alles wat is verwijderd niet zichtbaar is in de standaardinterface.
Een logische acquisitie biedt meer gedetailleerde gegevens. Bij dit type acquisitie worden zo veel mogelijk gegevens overgedragen via de standaard overdrachtskanalen, zoals die welke zouden worden gebruikt om een telefoon met een computer te synchroniseren. Dit type overdracht maakt het gemakkelijk voor forensisch onderzoekers om met de gegevens aan de telefoon te werken, maar het is onwaarschijnlijk dat veel verwijderde informatie wordt hersteld.
Wanneer onderzoekers verwijderde gegevens willen bekijken, is een bestandsysteemverwerving vereist. We zullen bespreken hoe dit type acquisitie verwijderde items in een oogwenk kan herstellen. Mobiele apparaten zijn in feite grote databases en een overname van een bestandssysteem geeft een onderzoeker toegang tot alle bestanden in de database. Er zijn ook veel forensische tools die dit type gegevens kunnen analyseren, waardoor het werk van de onderzoeker gemakkelijker wordt.
Eindelijk is er een fysieke acquisitie. Dit is de meest complexe en moeilijke acquisitie, omdat het gaat om het lezen van de fysieke gegevens op een chip en het overbrengen naar een ander apparaat waar hieraan kan worden gewerkt. Dit vereist vaak geavanceerde tools zoals chipprogrammeurs en soms zelfs tools om de chip zelf van de telefoon te verwijderen. Het is heel moeilijk, maar het geeft onderzoekers ook de meeste gegevens om mee te werken.
Waarom kunnen verwijderde bestanden worden hersteld?
U vraagt zich misschien af hoe een stuk software bestanden kan vinden die u hebt verwijderd. Als u weet hoe computeropslagstations werken, bent u vertrouwd met de basisprincipes. Het flashgeheugen op mobiele apparaten verwijdert bestanden niet echt Hoe permanent gegevens van een flashstation verwijderen Hoe gegevens permanent van een flashstation verwijderen Als u uw flashstation wilt wissen zodat niets kan worden hersteld, moet u actie. Hier zijn een paar eenvoudige methoden die u kunt gebruiken waarvoor geen technische expertise vereist is. Lees Meer totdat het ruimte moet vrijmaken voor iets nieuws. Het "indexeert" het eenvoudig, en vergeet in wezen waar het is. Het is nog steeds opgeslagen, maar de telefoon weet niet waar of wat het is.
Dus als die gegevens niet zijn overschreven, zou een ander stuk software het kunnen vinden. Het identificeren en decoderen ervan is niet altijd eenvoudig, maar de forensische gemeenschap heeft buitengewoon krachtige hulpmiddelen die hen bij dit proces helpen.
Hoe meer recent u iets hebt verwijderd, hoe kleiner de kans dat het is overschreven. Als je iets maanden geleden hebt verwijderd en je gebruikt je telefoon veel, is de kans groot dat het bestandssysteem het al overschreven heeft. Als je het een paar dagen geleden alleen hebt verwijderd, is de kans groter dat het er nog steeds is.
Sommige iOS-apparaten, zoals nieuwe iPhones, nemen een extra stap. Naast de deindexering van de gegevens, versleutelen ze deze ook - en er is geen bekende decoderingssleutel. Dat zal buitengewoon moeilijk (zo niet onmogelijk) blijken te zijn om te omzeilen.
Een van de manieren waarop forensische analisten verwijderde gegevens kunnen krijgen, is eigenlijk de telefoon zelf overslaan en op weg naar back-ups. Veel telefoons maken automatisch een back-up naar de computer van de gebruiker of naar de cloud. Het kan eenvoudiger zijn om de gegevens uit die back-up te extraheren dan de telefoon. Vanzelfsprekend hangt de effectiviteit van deze strategie af van hoe recent de telefoon is geback-upt en de service die werd gebruikt om de bestanden op te slaan.
Welke soorten bestanden kunnen worden hersteld?
De soorten herstelbare bestanden kunnen afhankelijk zijn van het apparaat waar een forensisch analist aan werkt. Er zijn echter enkele basistypen die waarschijnlijk worden hersteld:
- Tekstberichten en iMessages
- Oproepgeschiedenis
- emails
- Notes
- Contacten
- Agenda-evenementen
- Afbeeldingen en video's
Het is ook mogelijk dat berichten van alternatieve berichtenservices zoals WhatsApp of Viber ook kunnen worden hersteld. (Als deze berichten gecodeerd zijn, Hoe de beveiligingsversleuteling van WhatsApp inschakelen Hoe de beveiligingsversleuteling van WhatsApp in te schakelen Het zogenaamde end-to-end encryptieprotocol belooft dat "alleen jij en de persoon waarmee je communiceert, kan lezen wat verzonden is". Niemand, zelfs geen WhatsApp, heeft toegang tot uw inhoud. Meer lezen echter, onderzoekers kunnen ze niet lezen.) Als u uw Android voor bestandsopslag gebruikt, kunnen die bestanden nog steeds rondhangen in de opslag.
Hoe zit het met codering?
Codering van mobiele apparaten 7 Redenen waarom u uw smartphonegegevens moet coderen 7 Redenen waarom u uw smartphonegegevens moet coderen Bent u het coderen van uw apparaat? Alle belangrijke besturingssystemen voor smartphones bieden apparaatcodering, maar moet u deze gebruiken? Hier is de reden waarom smartphoneversleuteling de moeite waard is en heeft geen invloed op de manier waarop u uw smartphone gebruikt. Meer lezen vormt een groot probleem voor forensische analyse. Als sterke codering is gebruikt en de coderingssleutel niet kan worden opgehaald, wordt het moeilijk of onmogelijk om gegevens van de telefoon te ontvangen. iTunes vraagt gebruikers zelfs om de back-ups die ze maken op hun computer te versleutelen.
Hoewel dit telefoons minder nuttig maakt voor forensische onderzoekers, zijn er enkele manieren om versleuteling te omzeilen. Sommige telefoons hebben ingebouwde achterdeuren die professionals toegang tot de bestanden bieden. Andere onderzoekers kunnen uw wachtwoord raden of kraken.
Als ze dat echter niet kunnen doen, zullen die gecodeerde bestanden ernstige problemen veroorzaken. Als u zich zorgen maakt over forensisch onderzoek van uw telefoon (u bent bijvoorbeeld een journalist met gevoelige bronnen), is het een goed idee om de veiligste coderingsinstellingen te gebruiken.
Is uw informatie echt veilig?
Uiteindelijk zijn er geen garanties als het gaat om mobiel forensisch onderzoek. Voor elke kant. Er is geen manier om elk gegeven op uw telefoon volledig te beveiligen tegen een toegewijde en intelligente onderzoeker. En er is geen manier om toegang te krijgen tot gegevens op elke telefoon.
Maar er is een breed scala aan constant evoluerende tools die er zijn. Ze zijn specifiek ontworpen om het altijd veranderende landschap van gegevensbescherming tegen te gaan. En er is natuurlijk ook wat geluk.
Zoals altijd raden we dezelfde dingen aan als u uw gegevens veilig wilt houden. Versleutel alles. Wees slim over waar en hoe u een back-up maakt. Gebruik sterke wachtwoorden Sterke wachtwoorden genereren die passen bij uw persoonlijkheid Krachtige wachtwoorden genereren die passen bij uw persoonlijkheid Zonder een sterk wachtwoord zou u zich snel aan de ontvangende kant van een cybercriminaliteit bevinden. Een manier om een gedenkwaardig wachtwoord te maken, kan zijn om het aan uw persoonlijkheid aan te passen. Lees verder . En, als het enigszins mogelijk is, doe niets dat u in het vizier van een forensisch onderzoek plaatst.
Codeer je je telefoon? Maak je je zorgen over forensisch onderzoek van je mobiele apparaten? Deel je mening in de comments hieronder!