هنگامیکه اطلاعات خود را از روی هارد درایو حذف میکنید، واقعا این اقدام صورت نمیگیرد. تاثیر فشار قانون بر بازیابی چنین اطلاعاتی موضوع مورد بحث ما در این مقاله خواهد بود. اگر تلاش و همچنین تواناییهای فنی در کنار یکدیگر قرار گیرند، آنگاه اسناد و تصاویری که به ظاهر حذف شدهاند نیز قابل بازیابی خواهند بود. گاهی اوقات در هنگام فشار و اعمال قانون، چنین رویههایی به کار گرفته میشوند. حال سؤال اینجاست که این کار چگونه انجام میشود؟
تنظیم زمینه قانونی
پیش از اینکه وارد مباحث فنی بشویم، بهتر است که ابتدا نگاهی به رویههای کسلکننده و جنبههای قانونی این کار بیندازیم. ابتدا بیایید با این واقعیت بحث را آغاز کنیم که یک مأمور قانون جهت بررسی یک دستگاه دیجیتال همانند گوشی یا کامپیوتر، همیشه نیازمند حکم قانونی نیست. احتمال وجود چنین مواردی نیز بهصورت مکرر وجود داشته و بسته به سیستم قضایی کشورهای مختلف، متفاوت است.
بسیاری از حوزههای قضایی همانند بریتانیا و ایالاتمتحده، به مأمورین گمرک و مهاجرت اجازه میدهند تا بدون حکم قانونی، به بازرسی و تفتیش دستگاههای الکترونیکی بپردازند. مأمورین مرزی ایالاتمتحده میتوانند در صورت وجود تهدید نابودی مدارک، بدون حکم قانونی به بررسی محتوای دستگاههای الکترونیکی بپردازند. این موضوع از سال 2018 در این کشور مورد تأیید قرار گرفته است.
در باب قیاس با همتایان آمریکایی خود، پلیسهای بریتانیا گرایش بیشتری به بررسی محتوای یک دستگاه، آن هم بدون کسب مجوز قضایی دارند. بهعنوانمثال، آنها میتوانند با بهرهمندی از قانون پلیس و شواهد کیفری (PACE) و همچنین فارغ از وارد آمدن هرگونه اتهامی، به دانلود محتوای گوشی موردنظر بپردازند. بههرحال، اگر پلیس در نهایت تصمیم به بررسی محتوای دانلود شده بگیرد، آنگاه باید از قضات مربوطه حکم دریافت کند.
قانون همچنین به پلیس بریتانیا این حق را میدهد که در شرایط خاصی و بدون حکم، به بررسی و کاوش در دستگاههای ضبط شده بپردازد. شرایط خاص، مواردی همچون نیاز فوری در پروندههای مربوط به تروریسم و یا ترس واقعی از سواستفاده جنسی از کودکان را در بر میگیرد.
اما در نهایت و صرفنظر از شیوه انجام کار، هنگامیکه یک کامپیوتر ضبط میشود، در واقع فرایندی طولانی شروع شده که طی آن، گوشی هوشمند یا لپتاپ موردنظر در داخل یک کیسه پلاستیکی مخصوص حمل شده و در آخر نیز با ارائه مدارکی به دادگاه، این روند پایان مییابد.
در اینجا پلیس باید به یک سری از قوانین و روندها پایبند باشد تا از مقبولیت مدارک اطمینان حاصل شود. تیمهای بازرسی رایانه، تمامی حرکات و اقدامات خود را ثبت میکنند، بنابراین اگر لازم باشد، آنگاه میتوانند همان گامها را تکرار کرده و همان نتایج را نیز به دست آورند. آنها از ابزارهای مخصوصی استفاده کرده تا مطمئن شوند که تمامیت و درستی فایلها تضمین میشود. یکی از این نمونهها، “write blocker” است که طراحی شده تا به متخصصان این امکان را بدهد که بدون تغییری در مدارک، اطلاعات موردنیاز را استخراج کنند. در واقع مبناهای قانونی و سختگیریهای رویهای است که موفقیت یا عدم موفقیت یک بررسی کامپیوتری را تعیین میکنند، نه پیچیدگی فنی.
پلاترهای چرخان، پروندههای چرخان
بدون در نظر گرفتن مسائل حقوقی، جالب است بدانید که همیشه عوامل متعددی در مبحث تاثیر فشار قانون بر بازیابی اطلاعات دخیل هستند. از این موارد میتوان به نوع دیسک موردنظر، پروتکل رمزنگاری و همچنین فایل سیستم درایو موردنظر اشاره کرد.
بیایید بهعنوانمثال، هارد درایوها را در نظر بگیریم. هر چند که این نوع حافظهها کم کم جای خود را به حافظههای سریعتر SSD میدهند، اما همچنان میتوان آنها را حافظههای غالب 30 سال گذشته به شمار آورد.
هارددیسکها جهت ذخیره اطلاعات از پلاترهای مغناطیسی بهره میبرند. اگر تابهحال به داخل یک هارددیسک نگاه کرده باشید، حتما میدانید که پلاترها شبیه به سیدی هستند، دایرهای شکل بوده و رنگی نقرهای دارند.
در حین استفاده، این پلاترها با سرعتهای باورنکردنی میچرخند؛ معمولا 5400 یا 7200 و گاهی اوقات نیز 15000 دور در دقیقه. سر صفحههای (heads) مخصوصی نیز به این پلاترها وصل شده که عمل خواندن و نوشتن را انجام میدهند. هنگامیکه شما فایلی را در درایو خود ذخیره میکنید، این سرصفحهها به مکان مشخصی از پلاتر رفته و یک جریان الکتریکی را به میدانی مغناطیسی تبدیل میکنند، در نتیجه خواص پلاتر موردنظر نیز تغییر پیدا میکند.
حال سؤال اینجاست که سرصفحه چگونه محل قرارگیری خود را تعیین میکند؟ خب، این قطعات به چیزی به نام جدول تخصیص (allocation table) مراجعه میکنند. در این جدول، سوابق تمامی فایلهای ذخیره شده ثبت میشود. حال اگر یک فایل را حذف کنیم، آنگاه چه اتفاقی میافتد؟ جواب کوتاه این است که چیز زیادی رخ نمیدهد!
و اما پاسخ بلند: سوابق فایل حذف شده پاک خواهد شد، بنابراین در آینده میتوان در فضای اشغال شده آن، به بازنویسی اطلاعات پرداخت. به هر حال، اطلاعات پاک شده همچنان بهصورت فیزیکی در پلاترهای مغناطیسی باقی مانده و تنها زمانی واقعا حذف میشوند که دادههای جدیدی در همان محل بازنویسی شوند.
در نهایت، در فرایند حذف کردن باید سرصفحه مغناطیسی بهصورت فیزیکی به مکان فایل موردنظر بر روی پلاتر حرکت کرده و سپس عملیات بازنویسی را در آنجا انجام دهد. این فرایند میتواند مانع کار سایر اپلیکیشنها شده و در نتیجه عملکرد کامپیوتر را نیز کندتر کند. تا آنجا که به هارد درایوها مربوط میشود، سادهتر آن است که تظاهر کنیم فایلهای حذف شده دیگر وجود ندارند!
به دلایل بالا، بازیابی اطلاعات حذف شده میتواند بسیار آسانتر باشد. در این رابطه، مجریان قانون احتیاج دارند که قسمتهای از بین رفته را مجددا بازسازی کنند و این کار نیز توسط ابزارهای رایگانی همانند Recuva قابل انجام است.
حافظههای SSD؛ سفت و سخت همانند سنگ
طبیعتا قضیه SSDها تا حدودی متفاوت است. آنها هیچ بخش متحرکی ندارند. در عوض، فایلها در قالب الکترونها و توسط تریلیونها ترانزیستور دروازه شناور (floating gate transistors) میکروسکوپی نگهداری میشوند. جمعا چنین ساختاری منجر به تشکیل تراشههای فلش ناند (NAND) میشود.
SSDها شباهتهایی نیز به هارددیسکها دارند، البته تا آنجایی که فایلها فقط در هنگام بازنویسی شدن بهطور کامل حذف میشوند. در هر صورت، برخی از تفاوتهای کلیدی باعث میشوند تا کار متخصصان بازیابی اطلاعات مشکلتر شود. همانند هارددیسکها، SSDها نیز دادهها را در قالب بلوکهایی سازماندهی کرده و البته اندازه آنها نیز بین تولیدکنندگان مختلف، متفاوت است.
تفاوت کلیدی در اینجا این است که در یک حافظه SSD جهت نوشتن اطلاعات، بلوک موردنظر باید کاملا خالی از محتوا باشد. جهت اطمینان از این موضوع، حافظههای SSD جریانی ثابت را از بلوکهای در دسترس در اختیار دارند. کامپیوترها چیزی به نام “TRIM command” را در اختیار این حافظهها گذاشته که با استفاده از آن، بلوکهایی که دیگر لازم نیستند، به حافظه SSD اطلاع داده میشوند.
برای بازرسان این موضوع بدین معنا است که در هنگام بازیابی فایلهای حذف شده بر روی SSDها، مشکلات بیشتری در قیاس با هارددیسکها به وجود خواهد آمد. همچنین SSDها میتوانند جهت کاهش صدمات ناشی از استفادههای روزمره، فایلها را در بین چندین بلوک پراکنده کنند. از آنجایی که این حافظهها در برابر نوشتنهای نامحدود مقاوم نیستند، بنابراین ضروری است که نوشتهها را به جای بخشهای کوچک، در سرتاسر حافظه پراکنده کنند. این فناوری “wear leveling” نام داشته و به این معروف است که کار بازرسان دیجیتال را سختتر کند!
حقیقت دیگری نیز وجود دارد و آن این است که کپیبرداری از SSDها سختتر است، زیرا اغلب اوقات نمیتوان بهصورت فیزیکی آنها از دستگاه جدا کرد. هارد درایوها معمولا همیشه قابل جایگزینی بوده و همچنین توسط رابطهای استانداردی همانند IDE یا SATA به رایانه وصل میشوند. اما برخی از تولیدکنندگان لپتاپ تصمیم میگیرند تا این حافظهها را به مادربورد لحیم کنند. بدین ترتیب، تاثیر فشار قانون بر بازیابی اطلاعات در اینجا کمرنگتر خواهد شد.
پیچیدگیهای واقعی
در نهایت اینکه، بله، فشار قانون میتواند منجر به بازیابی فایلهای حذف شده شما شود. به هر حال، پیشرفتهای حاصله در فناوریهای ذخیرهسازی و همچنین رمزنگاری گسترده میتواند موضوع را تا حدودی پیچیده کنند. در عین حال، مشکلات فنی همچنان قابل حل شدن هستند. هنگامی که بحث بر سر بازرسی دیجیتال باشد، آنگاه بزرگترین چالشی که پیشروی اعمال قانون قرار دارد، مکانیسم درایوهای SSD نیست، بلکه کمبود منابع است. متخصصان آموزش دیده چندانی جهت انجام چنین کارهایی وجود ندارند و نتیجه نهایی اینکه، بسیاری از نیروهای پلیس در سرتاسر جهان، با انبوهی از کارهای تحقیقاتی مرتبط با گوشیها، لپتاپها و سرورها مواجه میشوند.
روزنامه The Times در بریتانیا، درخواستی مبنی بر آزادی اطلاعات را از دولت این کشور داشته که نشان میدهد 32 نیروی پلیس در انگلستان و ولز مشغول بررسی بیش از 12000 دستگاه هستند. زمان تکمیل فرایند هر دستگاه نیز از یک ماه تا یک سال متغیر است.
این قضیه نیز پیامدهای خود را دارد. اساس هر سیستم عدالت کیفری منصفانه این است که متهمان محاکمهای سریع داشته باشند. همانطور که گفته میشود، عدالت به تأخیر افتاده را دیگر نمیتوان عدالت نامید. این اصلی بسیار مهم و اساسی است. این موضوع حتی در اصلاحیه ششم قانون اساسی ایالاتمتحده نیز ذکر شده است. متأسفانه این مشکل از آنهایی نیست که بدون صرف هزینه برای استخدام و آموزش نیروهای جدید، حل شود. شما نمیتوانید چنین مواردی را با تکنولوژی بیشتر حل کنید.