Wyzwanie dla informatyki śledczej

Na międzynarodowej konferencji informatyki śledczej w marcu tego roku eksperci i współpracownicy organów ścigania ujawnili poważne wyzwanie dla śledczych, którzy starają się uzyskać prawomocny dowód winny (lub niewinności) poprzez analizę danych z pamięci USB. Zarówno Martin Westman, ekspert ds. informatyki śledczej i nośników pamięci, jak i Aya Fukami z japońskiej Krajowej Agencji Policji znaleźli dowody na to, że w niektórych przypadkach stare dane pochodzące od byłych użytkowników można znaleźć na zupełnie nowych pendrive'ach.

Nietypowe odkrycie

Jesienią 2016 roku szwedzki użytkownik dokonał niewiarygodnego odkrycia. Kiedy umieścił w laptopie pendrive’a swojej córki, oprócz jej zdjęć ślubnych znalazł również... zdjęcie prawa jazdy osoby pochodzącej z Chile. Było to dla niego wielkim zaskoczeniem, ponieważ córka nigdy nie miała kontaktu z tym człowiekiem, a pamięć USB została sprzedana jej jako „zupełnie nowa”. Zaalarmowany tą wiadomością Westman zaczął badać problem i odkrył, że zdarza się to w przypadku standardowych chipów pamięci eMMC częściej, niż można przypuszczać...

Zdaniem ekspertów stanowi to poważny problem dla ekspertów ds. informatyki śledczej. Na pierwszy rzut oka nie mogą być pewni, że dane, które znajdują się w pamięci USB, pochodzą wyłącznie od aktualnego użytkownika, który jest zaangażowany w dochodzenie karne lub sądowe. W związku z tym w przyszłości trzeba będzie przeprowadzić bardziej intensywną analizę, aby upewnić się, że znalezione dane rzeczywiście pochodzą od tego konkretnego użytkownika. Do tej pory łańcuch dowodowy wyglądał następująco: jeżeli w pamięci znaleziono treści przestępcze, np. pornografię, wystarczyło to do wszczęcia postępowania.

Teraz w cały proces trzeba będzie włożyć jednak znacznie więcej pracy. Jeśli konsultant nie jest pewien, czy dane pochodzą od obecnego właściciela pendrive’a, cała historia danych musi zostać ujawniona. W tym celu należy sprawdzić metadane plików – dokumentów lub zdjęć. Dodatkowo należy odczytać numery seryjne wbudowanych chipów pamięci. Dzięki temu numerowi i odpowiedniemu numerowi ID urządzenia można zidentyfikować byłego właściciela smartfona.  Następnie śledczy muszą sprawdzić, czy konkretna treść pochodzi od aktualnego użytkownika, czy poprzedniego właściciela smartfona. Jak widać, proces ten jest znacznie bardziej czasochłonny, ale nadal pozwala zgromadzić solidne dowody.

Co będzie najlepsze dla zwykłego użytkownika?

Najlepszym sposobem, aby uniknąć takich sytuacji, jest kupno nie najtańszej dostępnej pamięci USB, ale zakup produktu znanej marki i producenta. Dlatego też kupowanie tanich pendrive'ów w chińskim sklepie internetowym może nie być dobrym pomysłem. Można na nich bowie znaleźć nie tylko stare dane pochodzące od nieznanych osób, ale mogą one również zawierać wirusy.

Przypadki te pokazują również, jak ważne dla każdego użytkownika powinno być zachowanie szczególnej ostrożności względem własnych danych na starych smartfonach. W internecie lub w sklepach stacjonarnych można trafić na wielu nabywców starego sprzętu, który kolejno jest sprzedawany na części. Wbudowane chipy pamięci zostają następnie ponownie wykorzystane do produkcji „zupełnie nowych” pamięci USB. Dlatego też konieczne jest bezpieczne usunięcie wszystkich danych ze smartfonów lub innych zewnętrznych pamięci flash przed ich sprzedażą, lub wyrzuceniem.

Ponieważ pamięci flash różnią się od nośników magnetycznych, nie można ich bezpiecznie i całkowicie wymazać za pomocą zwykłego oprogramowania do kasowania danych. Należy użyć specjalnego oprogramowania, takiego jak na przykład Blancco Mobile Device Eraser. W przeciwnym razie, specjaliści ds. odzyskiwania danych będą mogli te dane przywrócić.