Wie erhalten forensische Analysten gelöschte Daten von Ihrem Telefon?
Wenn du gesehen hast CSI, Recht und Ordnung, oder bei jedem anderen polizeilichen Verfahren besteht eine gute Chance, dass Sie eine Bildschirmversion einer mobilen forensischen Untersuchung sehen. Normalerweise müssen einige Schaltflächen angeklickt werden, und die Textnachrichten und der Anrufverlauf der Benutzer werden sofort auf dem Bildschirm angezeigt.
Die Wahrheit ist ein bisschen anders. Aber was genau kann eine forensische Untersuchung von Ihrem Telefon wiederherstellen? Wie wird es gemacht? Warum können gelöschte Daten aus dem Speicher abgerufen werden? Es gibt viele Fragen, die beantwortet werden müssen. Daher haben wir einige Nachforschungen angestellt, um die Antworten zu finden.
Warum mobile forensische Untersuchungen passieren
Warum kann ein Telefon oder Tablet forensisch untersucht werden? In vielen Fällen können Informationen, die von einem Telefon abgerufen werden, dazu beitragen, ein Verbrechen aufzuklären. Als 2014 zwei Mädchen aus Minnesotan vermisst wurden, half die digitale Forensik der Polizei, ihren Entführer zu finden. Viele andere Fälle wurden durch Informationen aus dem Telefon eines Opfers oder Täters aufgebrochen.
Selbst eine einfache Information wie eine einzige Textnachricht kann Ermittlern helfen, einen Fall zu lösen. In anderen Fällen ist dies ein komplizierteres Bild. Was können staatliche Sicherheitsagenturen aus den Metadaten Ihres Telefons erkennen? Was können staatliche Sicherheitsagenturen aus den Metadaten Ihres Telefons entnehmen? Lesen Sie mehr durch gelöschte Anrufprotokolle, Zeitstempel, Geolocation-Daten und App-Nutzung. Der Suchverlauf könnte sich als belastend erweisen. Viele Arten von Informationen könnten der Polizei helfen, ein Verbrechen aufzuklären - und viele dieser Informationen werden in unseren Handys gespeichert.
Es ist wichtig zu beachten, dass Ihr mobiles Gerät auch dann untersucht werden kann, wenn Sie es sind nicht verdächtigt eines Verbrechens. Telefone, die Opfer von Straftaten gehören, können der Polizei auch sehr wertvolle Daten liefern, insbesondere wenn diese Opfer arbeitsunfähig sind oder vermisst werden.
Arten der Datenerfassung
Forensiker können eine Reihe von Übernahmestrategien verwenden. Das einfachste ist bekannt als “manuelle Erfassung” Dazu muss die reguläre Schnittstelle aufgerufen werden, um den Inhalt des Geräts zu überprüfen. Dies ist zeitaufwändig und oft nicht sehr hilfreich, da gelöschte Objekte in der Standardoberfläche nicht sichtbar sind.
Eine logische Erfassung liefert detailliertere Daten. Bei dieser Art der Erfassung werden so viele Daten wie möglich über die Standardübertragungskanäle übertragen, z. B. solche, die zum Synchronisieren eines Telefons mit einem Computer verwendet werden. Diese Art der Übertragung macht es Forensikern leicht, mit den Daten auf dem Telefon zu arbeiten, es ist jedoch unwahrscheinlich, dass viele gelöschte Informationen wiederhergestellt werden.
Wenn Ermittler gelöschte Daten anzeigen möchten, ist eine Dateisystemerfassung erforderlich. Wir besprechen, wie diese Art der Übernahme gelöschte Elemente in Kürze wiederherstellen kann. Bei mobilen Geräten handelt es sich im Wesentlichen um große Datenbanken. Durch die Dateisystemerfassung erhält der Ermittler Zugriff auf alle Dateien in der Datenbank. Es gibt auch viele forensische Tools, die diese Art von Daten analysieren und die Arbeit des Ermittlers erleichtern.
Schließlich gibt es eine körperliche Ertüchtigung. Dies ist die komplexeste und schwierigste Erfassung, da die physischen Daten auf einem Chip gelesen und auf ein anderes Gerät übertragen werden müssen, wo sie bearbeitet werden können. Dies erfordert häufig ausgefeilte Tools wie Chip-Programmierer und manchmal sogar Tools, um den Chip selbst aus dem Telefon zu entfernen. Das ist sehr schwierig, aber es gibt den Ermittlern auch die meisten Daten, mit denen sie arbeiten können.
Warum können gelöschte Dateien wiederhergestellt werden??
Sie fragen sich vielleicht, wie eine Software gelöschte Dateien finden kann. Wenn Sie wissen, wie Computer-Speicherlaufwerke funktionieren, sind Sie mit den Grundlagen vertraut. Der Flash-Speicher in mobilen Geräten löscht keine Dateien. Dauerhaftes Löschen von Daten von einem Flash-Laufwerk Dauerhaftes Löschen von Daten von einem Flash-Laufwerk Wenn Sie Ihr Flash-Laufwerk auslöschen möchten, sodass nichts wiederherstellbar ist, müssen Sie dies tun Aktion. Hier sind einige einfache Methoden, die Sie verwenden können, die kein technisches Fachwissen erfordern. Lesen Sie mehr, bis es Platz für Neues bietet. Es einfach “deindexes” es im Wesentlichen zu vergessen, wo es ist. Es wird immer noch gespeichert, aber das Telefon weiß nicht, wo oder was es ist.
Wenn also diese Daten nicht überschrieben wurden, könnte eine andere Software sie finden. Das Identifizieren und Dekodieren ist nicht immer einfach, aber die forensische Community verfügt über äußerst leistungsfähige Tools, die ihnen bei diesem Prozess helfen.
Je früher Sie etwas gelöscht haben, desto unwahrscheinlicher wird es überschrieben. Wenn Sie vor Monaten etwas gelöscht haben und Ihr Telefon häufig verwenden, besteht eine gute Chance, dass das Dateisystem dieses bereits überschrieben hat. Wenn Sie es erst vor wenigen Tagen gelöscht haben, sind die Chancen höher, dass es irgendwo noch vorhanden ist.
Einige iOS-Geräte wie neuere iPhones machen einen zusätzlichen Schritt. Sie entschlüsseln die Daten nicht nur, sie verschlüsseln sie auch - und es ist kein Entschlüsselungsschlüssel bekannt. Das wird extrem schwierig (wenn nicht unmöglich) zu umgehen.
Forensische Analysten können gelöschte Daten erhalten, indem sie das Telefon selbst überspringen und Backups ansteuern. Viele Telefone werden automatisch auf dem Computer des Benutzers oder in der Cloud gesichert. Es kann einfacher sein, die Daten aus dieser Sicherung zu extrahieren als das Telefon. Natürlich hängt die Wirksamkeit dieser Strategie davon ab, wie das Telefon kürzlich gesichert wurde und von welchem Dienst die Dateien gespeichert wurden.
Welche Dateitypen können wiederhergestellt werden??
Die Art der wiederherstellbaren Dateien hängt möglicherweise von dem Gerät ab, an dem ein forensischer Analyst arbeitet. Es gibt jedoch einige Grundtypen, die wahrscheinlich wiederhergestellt werden:
- Kurzmitteilungen und iMessages
- Anrufsverlauf
- E-Mails
- Anmerkungen
- Kontakte
- Kalenderereignisse
- Bilder und Videos
Möglicherweise können auch Nachrichten von alternativen Messaging-Diensten wie WhatsApp oder Viber wiederhergestellt werden. (Wenn diese Nachrichten verschlüsselt sind, Aktivieren der Sicherheitsverschlüsselung von WhatsApp Aktivieren der Sicherheitsverschlüsselung von WhatsApp Das sogenannte Ende-zu-Ende-Verschlüsselungsprotokoll verspricht, dass "nur Sie und die Person, mit der Sie kommunizieren", lesen können, was gesendet wird. Niemand, nicht einmal WhatsApp, hat Zugriff auf Ihre Inhalte. Weitere Informationen können Ermittler jedoch nicht lesen.) Wenn Sie Ihr Android-Gerät zum Speichern von Dateien verwenden, bleiben diese Dateien möglicherweise auch im Speicher hängen.
Was ist mit Verschlüsselung??
Verschlüsselung mobiler Geräte 7 Gründe, warum Sie Ihre Smartphone-Daten verschlüsseln sollten 7 Gründe, warum Sie Ihre Smartphone-Daten verschlüsseln sollten Verschlüsseln Sie Ihr Gerät? Alle großen Smartphone-Betriebssysteme bieten Geräteverschlüsselung, sollten Sie sie jedoch verwenden? Dies ist der Grund, warum sich die Verschlüsselung mit Smartphones lohnt und die Verwendung Ihres Smartphones nicht beeinträchtigt. Mehr lesen ist ein großes Problem für die forensische Analyse. Wenn starke Verschlüsselung verwendet wurde und der Verschlüsselungsschlüssel nicht abgerufen werden kann, ist es schwierig oder unmöglich, Daten vom Telefon zu erhalten. iTunes fordert Benutzer sogar auf, die auf ihren Computern erstellten Sicherungen zu verschlüsseln.
Dies macht Telefone für forensische Ermittler weniger nützlich, es gibt jedoch einige Möglichkeiten, die Verschlüsselung zu umgehen. Einige Telefone verfügen über integrierte Backdoors, die den Zugriff von Profis auf die Dateien ermöglichen. Andere Ermittler können Ihr Passwort erraten oder knacken.
Wenn dies nicht möglich ist, verursachen diese verschlüsselten Dateien ernsthafte Probleme. Wenn Sie sich um die forensische Untersuchung Ihres Telefons sorgen (z. B. als Journalist mit vertraulichen Quellen), sollten Sie möglichst sichere Verschlüsselungseinstellungen verwenden.
Ist eine Ihrer Informationen wirklich sicher??
Letztlich gibt es keine Garantien für mobile forensische Ermittlungen. Für beide Seiten. Es gibt keine Möglichkeit, alle Daten auf Ihrem Telefon vollständig gegen einen engagierten und intelligenten Ermittler abzusichern. Und es gibt keine Möglichkeit, auf jedes Telefon auf Daten zuzugreifen.
Es gibt jedoch eine Vielzahl von ständig weiterentwickelten Tools. Sie wurden speziell entwickelt, um der sich ständig ändernden Landschaft des Datenschutzes entgegenzuwirken. Und natürlich ist auch etwas Glück dabei.
Wie immer empfehlen wir dasselbe, wenn Sie Ihre Daten schützen möchten. Alles verschlüsseln Seien Sie schlau darüber, wo und wie Sie sichern. Verwenden Sie sichere Kennwörter So erstellen Sie sichere Kennwörter, die Ihrer Persönlichkeit entsprechen Wie generieren Sie sichere Kennwörter, die Ihrer Persönlichkeit entsprechen Ohne ein starkes Kennwort könnten Sie sich schnell am empfangenden Ende einer Cyberkriminalität befinden. Eine Möglichkeit, ein einprägsames Passwort zu erstellen, könnte darin bestehen, es an Ihre Persönlichkeit anzupassen. Weiterlesen . Und tun Sie, wenn überhaupt möglich, nichts, was Sie ins Fadenkreuz einer forensischen Untersuchung stellt.
Verschlüsseln Sie Ihr Telefon? Sorgen Sie sich um die forensische Untersuchung Ihrer mobilen Geräte? Teilen Sie Ihre Gedanken in den Kommentaren unten mit!
Erfahren Sie mehr über: Smartphone-Sicherheit, Überwachung.