Khi bạn xóa một tệp khỏi ổ cứng máy tính, nó sẽ không bao giờ thực sự ở đó. Với nỗ lực và kỹ năng phù hợp, bạn thường có thể khôi phục các tài liệu và ảnh mà trước đây được cho là bị hỏng. Những công cụ điều tra dựa trên máy tính này là một công cụ hữu ích cho việc thực thi pháp luật, nhưng chúng thực sự hoạt động như thế nào?
Tạo cơ sở pháp lý
Trước khi chúng ta đi sâu vào vấn đề kỹ thuật, cần thảo luận về các khía cạnh pháp lý và thủ tục tẻ nhạt của pháp y máy tính trong bối cảnh thực thi pháp luật.
Trước tiên, chúng ta hãy xua tan quan niệm sai lầm cũ rằng luôn cần phải có lệnh của tòa án để nhân viên thực thi pháp luật điều tra một thiết bị kỹ thuật số như điện thoại hoặc máy tính. Trong khi điều này thường xảy ra, có rất nhiều “kẽ hở” (không có từ nào tốt hơn) trong cấu trúc của luật.
Nhiều khu vực pháp lý, chẳng hạn như Vương quốc Anh và Hoa Kỳ, cho phép các quan chức Hải quan và Nhập cư kiểm tra các thiết bị điện tử mà không cần lệnh. Các quan chức biên giới Hoa Kỳ cũng có thể kiểm tra nội dung của các thiết bị mà không cần lệnh nếu có bằng chứng sắp bị tiêu hủy, như đã được xác nhận bởi phán quyết của Vòng 11 năm 2018.
So với các đối tác Mỹ, cảnh sát Anh có xu hướng tự do hơn trong việc thu giữ nội dung của các thiết bị mà không cần phải đến gặp thẩm phán hoặc thẩm phán. Ví dụ: họ có thể tải xuống nội dung điện thoại bằng cách sử dụng một bộ luật có tên là Đạo luật Chứng cứ Hình sự và Cảnh sát (PACE) bất kể có bất kỳ cáo buộc nào được đệ trình hay không. Tuy nhiên, nếu cảnh sát cuối cùng quyết định họ muốn điều tra nội dung, họ cần có chữ ký của tòa án.
Luật này cũng trao cho cảnh sát Vương quốc Anh quyền điều tra các thiết bị mà không cần lệnh trong một số trường hợp cần thiết khẩn cấp – ví dụ như trong các trường hợp khủng bố hoặc khi có lo ngại thực sự rằng trẻ em có thể bị lạm dụng tình dục.
Nhưng cuối cùng, bất kể “bằng cách nào”, thu giữ máy tính chỉ là bước khởi đầu của một quá trình lâu dài bắt đầu bằng việc bỏ máy tính xách tay hoặc điện thoại vào túi nhựa chống giả mạo và thường dẫn đến bằng chứng được đưa ra trước tòa.
Cảnh sát phải tuân theo một loạt các quy tắc và thủ tục để đảm bảo khả năng chấp nhận bằng chứng. Các nhóm pháp y máy tính ghi lại từng bước di chuyển của họ để họ có thể lặp lại các bước tương tự và đạt được kết quả tương tự nếu cần. Họ sử dụng các công cụ đặc biệt để đảm bảo tính toàn vẹn của tệp. Một ví dụ là “khóa ghi”, được thiết kế để cho phép pháp y trích xuất thông tin mà không vô tình sửa đổi bằng chứng đang được kiểm tra.
Chính cơ sở pháp lý và sự chặt chẽ về thủ tục này sẽ quyết định liệu một cuộc điều tra pháp y có thành công hay không, chứ không phải sự phức tạp về mặt kỹ thuật.
Chuyển mâm, chuyển vali
Bất kể các vấn đề pháp lý, luôn luôn đáng chú ý đến nhiều yếu tố có thể xác định mức độ dễ dàng mà cơ quan thực thi pháp luật có thể phục hồi các tệp đã xóa. Chúng bao gồm loại ổ đĩa bạn đang sử dụng, mã hóa có được sử dụng hay không và hệ thống tệp của ổ đĩa.
Hãy lấy ổ cứng làm ví dụ. Mặc dù chúng đã bị ổ cứng thể rắn (SSD) nhanh hơn vượt qua phần lớn, nhưng ổ cứng cơ học (HDD) vẫn là cơ chế lưu trữ thống trị trong hơn 30 năm.
Ổ cứng sử dụng đĩa từ tính để lưu trữ dữ liệu. Nếu bạn đã từng tháo rời ổ cứng, có lẽ bạn đã nhận thấy chúng trông hơi giống đĩa CD. Chúng có hình tròn và màu bạc.
Khi sử dụng, các đĩa này quay với tốc độ đáng kinh ngạc – thường là 5.400 hoặc 7.200 vòng/phút và trong một số trường hợp cao tới 15.000 vòng/phút. Các đĩa cứng này được kết nối với các “đầu” đặc biệt thực hiện các thao tác đọc và ghi. Khi một tệp được ghi vào đĩa, “đầu” này sẽ di chuyển đến một phần cụ thể của đĩa và chuyển đổi dòng điện thành từ trường, do đó thay đổi các thuộc tính của đĩa.
Nhưng làm thế nào để nó biết nơi để đi? Chà, nó đang xem xét một thứ gọi là bảng phân bổ, có bản ghi của mọi tệp được lưu trữ trên đĩa. Nhưng điều gì xảy ra khi tệp bị xóa?
Câu trả lời ngắn? Vài.
Đây là câu trả lời dài: bản ghi cho tệp đó sẽ bị xóa, cho phép bạn ghi đè lên dung lượng đã chiếm trên ổ cứng của mình sau này. Tuy nhiên, dữ liệu vẫn tồn tại trên các đĩa từ tính và chỉ thực sự bị xóa khi dữ liệu mới được thêm vào vị trí cụ thể đó trên đĩa.
Rốt cuộc, việc loại bỏ nó sẽ yêu cầu di chuyển vật lý đầu từ đến vị trí đó trên đĩa và ghi đè lên nó. Điều này có thể cản trở hiệu suất của các ứng dụng khác và làm chậm máy tính của bạn. Khi nói đến ổ cứng, việc giả vờ rằng các tệp đã xóa không tồn tại sẽ đơn giản hơn.
Điều này làm cho việc khôi phục các tệp đã xóa dễ dàng hơn nhiều đối với cơ quan thực thi pháp luật. Họ chỉ cần tạo lại những phần còn thiếu trong bảng phân bổ, điều này có thể được thực hiện bằng các công cụ miễn phí bao gồm cả Recuva.
Một chất rắn (trạng thái) như một tảng đá
Tất nhiên, SSD thì khác. Chúng không chứa các bộ phận chuyển động. Thay vào đó, các tệp được biểu diễn dưới dạng các electron được giữ bởi hàng nghìn tỷ bóng bán dẫn cổng nổi cực nhỏ. Chúng cùng nhau tạo thành chip flash NAND.
SSD có một số điểm tương đồng với ổ cứng ở chỗ các tệp chỉ bị xóa khi chúng bị ghi đè. Tuy nhiên, một số khác biệt chính chắc chắn làm phức tạp công việc của pháp y máy tính. Giống như ổ đĩa cứng, SSD sắp xếp dữ liệu thành các khối, kích thước của khối này rất khác nhau giữa các nhà sản xuất.
Sự khác biệt chính là để SSD ghi dữ liệu, khối phải hoàn toàn trống. Để đảm bảo rằng SSD có một luồng ổn định các khối khả dụng, máy tính sẽ đưa ra một thứ gọi là “lệnh TRIM” để báo cho SSD biết các khối nào không còn cần thiết.
Đối với các nhà điều tra, điều này có nghĩa là khi họ cố gắng tìm các tệp đã bị xóa trên ổ SSD, họ có thể phát hiện ra rằng ổ đĩa đã vô tình đặt chúng ngoài tầm với của họ.
SSD cũng có thể phân tán các tệp trên nhiều khối trên ổ đĩa để giảm hao mòn do sử dụng hàng ngày. Vì SSD chỉ có thể duy trì số lần ghi hữu hạn, nên điều quan trọng là chúng phải trải đều trên ổ chứ không phải ở một vị trí nhỏ. Công nghệ này được gọi là cân bằng hao mòn và được biết là gây khó khăn cho các chuyên gia pháp y.
Sau đó, có một thực tế là SSD thường khó hình dung hơn vì chúng thường không thể tháo rời khỏi thiết bị.
Mặc dù ổ cứng hầu như luôn có thể tháo rời và kết nối qua các giao diện tiêu chuẩn như IDE hoặc SATA, một số nhà sản xuất máy tính xách tay chọn cách hàn vật lý bộ lưu trữ vào bo mạch chủ của máy. Điều này gây khó khăn hơn nhiều cho nhân viên thực thi pháp luật trong việc trích xuất nội dung một cách hợp pháp.
biến chứng thực sự
Điểm mấu chốt: có, cơ quan thực thi pháp luật có thể khôi phục các tệp đã xóa. Tuy nhiên, những tiến bộ trong công nghệ lưu trữ và mã hóa rộng rãi có một chút phức tạp.
Tuy nhiên, các vấn đề kỹ thuật thường có thể khắc phục được. Khi nói đến các cuộc điều tra kỹ thuật số, thách thức lớn nhất mà cơ quan thực thi pháp luật phải đối mặt không phải là cơ chế của SSD, mà là do họ thiếu tài nguyên.
Không có đủ chuyên gia được đào tạo để thực hiện công việc. Do đó, nhiều lực lượng cảnh sát trên khắp thế giới đang phải đối mặt với một lượng lớn điện thoại, máy tính xách tay và máy chủ tồn đọng chưa xử lý.
Một yêu cầu về Đạo luật Tự do Thông tin từ tờ báo The Times của Anh cho thấy 32 lực lượng cảnh sát ở Anh và xứ Wales đã làm như vậy với hơn 12.000 thiết bị đang chờ kiểm tra. Thời gian xử lý của thiết bị ở đó rất khác nhau, từ một tháng đến hơn một năm.
Và điều đó có hậu quả. Cơ sở của bất kỳ hệ thống tư pháp hình sự công bằng nào là bị cáo được xét xử nhanh chóng. Như đã nói, công lý bị trì hoãn là sự từ chối công lý. Nguyên tắc này về cơ bản quan trọng đến mức nó thậm chí còn được ghi trong Tu chính án thứ sáu của Hiến pháp Hoa Kỳ.
Thật không may, đây không phải là một vấn đề có thể dễ dàng khắc phục mà không cần chi thêm tiền cho các lực lượng tuyển dụng và đào tạo. Bạn không thể giải quyết nó với nhiều công nghệ hơn.
