Warto wiedzieć

Jeśli myślisz, że usunięte wiadomości tekstowe zniknęły na zawsze?

– Pomyśl jeszcze raz

Były prokurator i ekspert od cyberprzestępczości opowiada jak działy IT mogą pobierać wiadomości tekstowe, które według użytkownika zostały usunięte kilka miesięcy lub nawet lata temu. W miarę, jak coraz więcej spraw sądowych i badań włącza treść tekstów, każdy powinien wiedzieć co za tym stoi.
Prawdą jest również, że w większości działów IT brakuje wiedzy na temat odzyskiwania starych lub usuniętych wiadomości tekstowych, nawet jeśli są one w posiadaniu urządzeń. Mogą wyciągnąć tysiące usuniętych wiadomości tekstowych z odległej przeszłości i odkryć dowody, które autodestrukcyjne aplikacje, takie jak Snapchat, pozostawiają po sobie.

Być może z powodu fałszywego przekonania, że skasowane wiadomości tekstowe zostały pogrzebane, wiele osób polega na wiadomościach tekstowych, które prowadzą do brudnej roboty ich twórców, na przykład kradną tajemnice handlowe i inną własność intelektualną, naruszają porozumienia o zakazie konkurencji i popełniają oszustwa. Nawet dochodzenia dotyczące zagranicznych praktyk korupcyjnych obejmujące przekupstwo i ustalanie cen regularnie trafiają na wiadomości tekstowe.
Wiadomości tekstowe są obecnie zaangażowane w większość sporów sądowych lub dochodzeń, jakie napotykamy przyjmując zlecenia odzyskiwania sms-ów lub informatyki śledczej związanej z udowodnieniem w/wym przestępstw lub zdrad małżeńskich.

Jeden z naszych ekspertów rzucił trochę światła na tajny świat usuniętych wiadomości tekstowych oraz ekspertów od kryminalistyki, którzy je odzyskują.

Czy dział IT w firmie może odzyskać skasowane wiadomości tekstowe z dowolnego telefonu?

Pod względem tego jak trudne to będzie, to tak naprawdę zależy od marki i modelu telefonu. Wiadomości tekstowe zwykle znajdują się poza normalnym monitoringiem działu IT. Mogą wcale nie przechodzić przez system, a raczej przez operatora w transakcji telefon-telefon. By do nich dotrzeć potrzebny jest dostęp do jednego lub więcej urządzeń fizycznych.

Z mojego doświadczenia wynika, że telefon z Androidem może być łatwiejszy do uzyskania na poziomie fizycznym, ale kopia zapasowa iPhone’a jest zazwyczaj szersza i bardziej rozpowszechniona. Być może ze względu na naturę iTunes ludzie mają skłonność do tworzenia kopii zapasowych na laptopie. Więc nie sądzę, że preferuje się jeden lub inny telefon. Z technicznego punktu widzenia mamy możliwość usuwania usuniętych wiadomości tekstowych na jednym z nich.

Co powinien zrobić dział IT, aby pobrać te wiadomości?

Przede wszystkim zabezpieczyć telefon i nie włączać go. Usunięte wiadomości tekstowe po prostu tam są, dopóki nie zostaną nadpisane. Wraz z rosnącą pamięcią na telefonach nierzadko pojawia się tysiące wiadomości tekstowych. Większość systemów telefonicznych działa na bazach danych, więc dane mogą nadal tam być oznaczone znacznikiem, który mówi, że został usunięty. Normalny użytkownik lub osoba informatyczna nie będzie w stanie zobaczyć usuniętych wiadomości, ale w tym miejscu pomocne są narzędzia kryminalistyczne. Jeśli nie masz odpowiedniej wiedzy, możesz zacząć zastępować ważne informacje.

Po drugie, zabezpieczyć laptopa lub stacje robocze, które mogły zostać użyte do utworzenia kopii zapasowej telefonu.

Po trzecie, być może trzeba będzie skorzystać z eksperta kryminalistyki komputerowej, który jest dobrze zorientowany w różnych telefonach i narzędziach kryminalistycznych. W przeciwieństwie do twardego dysku, laptopa lub komputera stacjonarnego, gdzie masz trzy smaki – Apple, Windows i Unix lub Linux – telefony komórkowe mają 150 smaków.

Po czwarte, upewnij się, że znasz markę i model telefonu, ponieważ to dyktuje, czy ekspert kryminalistyki może sobie z tym poradzić i jak trudna może być praca. Będziesz także musiał podać informacje o konkretnych datach, adresach i numerach telefonów, które pomogą ekspertowi kryminalistyki przebrnąć przez tysiące wiadomości tekstowych.

Jak daleko możemy się cofnąć?

W zeszłym tygodniu mieliśmy przypadek, w którym udało nam się zebrać i odzyskać 8000 wiadomości tekstowych. Obejmowały one od 12 do 15 miesięcy działalności, roczne wiadomości tekstowe są dość normalne. Telefon został niedawno wyczyszczony i sformatowany, ale znaleźliśmy tysiąc wiadomości tekstowych w kopii zapasowej.

Czy wszystkie były przechowywane w telefonie?

W większości jest to baza danych gdzie są aktywne teksty, które można przeciągać i usuwać teksty za pomocą narzędzi kryminalistycznych. W zależności od telefonu można również zejść i uzyskać informacje z fizycznej akwizycji warstwy telefonu, podobnie jak w przypadku kryminalistycznego obrazu dysku twardego.

W nieprzydzielonym miejscu, które istnieje w tle, będziemy mogli odzyskać fragmenty wiadomości tekstowych lub całe wiadomości tekstowe, jeśli nadal będą tam przebywać. W przypadku telefonów komórkowych, takich jak bardziej nowoczesny iPhone, ze względu na stosowane przez nich algorytmy szyfrowania, wszystkie informacje podstawowe są wymieszane.

Jeśli telefon został zarchiwizowany w dowolnym miejscu, kopia zapasowa tych wiadomości tekstowych może znajdować się na dysku twardym zarówno w aktywnej, jak i usuniętej formie.

A co z danymi firm telefonicznych czy od nich można dostać potrzebne dane?

Nie słyszeliśmy o żadnym przypadku, w którym śledczy wybrałby się do firmy telefonicznej, by uzyskać wiadomości tekstowe z pożądanego numeru. Jak rozumiem, większość firmy telefonicznych ma metadane. Może nawet być na wyższym poziomie, na przykład X to liczba wiadomości wysłanych, może do i od, ale sądzę by była tam sama treść. Jakie to ilości pamięci musiały by gromadzić te dane i w jakim celu? Co z kosztami przetrzymywania tych danych i kto miałby za to płacić. Wreszcie najbardziej oczywista informacja – gdyby jednak jakiś filantrop płacił za to przetrzymywanie tych informacji to musiałby być jakiś system informatyczny do analizy tych danych i to zarządzany przez jakiś fachowców. Informacja ta na pewno była by przez kogoś zdradzona.