Wie erhalten forensische Analysten gelöschte Daten von Ihrem Telefon?

Wenn Sie CSI, NCIS und ähnliche Sendungen gesehen haben, haben Sie vielleicht gesehen, wie Daten auf einem Smartphone gefunden werden können. Aber wie wird es gemacht? Können gelöschte Daten wirklich aus dem Speicher gezogen werden?

Wenn Sie CSI, NCIS und ähnliche Sendungen gesehen haben, haben Sie vielleicht gesehen, wie Daten auf einem Smartphone gefunden werden können.  Aber wie wird es gemacht?  Können gelöschte Daten wirklich aus dem Speicher gezogen werden?
Werbung

Wenn Sie CSI, Law and Order oder ein anderes polizeiliches Verfahren gesehen haben, besteht eine gute Chance, dass Sie eine Bildschirmversion einer mobilen forensischen Untersuchung gesehen haben. In der Regel werden ein paar Tasten gedrückt, und die Textnachrichten und Anruflisten der Benutzer erscheinen sofort auf dem Bildschirm.

Die Wahrheit ist ein bisschen anders. Aber was genau kann eine forensische Untersuchung von Ihrem Telefon wiederherstellen? Wie wird es gemacht? Warum können gelöschte Daten aus dem Speicher gezogen werden? Es gibt eine Menge Fragen zu beantworten, also haben wir einige Nachforschungen angestellt, um die Antworten zu finden.

Warum Mobile Forensic Investigations passieren

Warum sollte ein Telefon oder eine Tablette einer forensischen Untersuchung unterzogen werden? In vielen Fällen kann die Information, die von einem Telefon gezogen wird, helfen, ein Verbrechen zu lösen. Als im Jahr 2014 zwei Minnesotan-Mädchen vermisst wurden, half die digitale Forensik der Polizei, ihren Entführer zu finden. Viele andere Fälle wurden durch Informationen aus dem Telefon eines Opfers oder Täters aufgebrochen.

forensische Untersuchung
Bildquelle: Roman Yanushevsky über Shutterstock

Selbst eine einfache Information, wie eine einzelne Textnachricht, könnte den Ermittlern helfen, einen Fall zu lösen. Andere Zeiten, es ist ein komplizierteres Bild Was können Regierungs-Sicherheitsagenturen von den Metadaten Ihres Telefons erzählen? Was können Regierungsbehörden von den Metadaten Ihres Telefons erfahren? Weitere Informationen über gelöschte Anrufprotokolle, Zeitstempel, Geolokationsdaten und App-Nutzung. Die Suchhistorie könnte sich als belastend erweisen. Viele Arten von Informationen könnten der Polizei helfen, ein Verbrechen zu lösen - und viele dieser Informationen sind in unseren Telefonen gespeichert.

Es ist wichtig zu beachten, dass Ihr mobiles Gerät untersucht werden könnte, auch wenn Sie nicht einer Straftat verdächtigt werden. Telefone von Opfern von Straftaten können der Polizei auch sehr wertvolle Daten liefern, insbesondere wenn diese Opfer arbeitsunfähig sind oder vermisst werden.

Arten der Datenerfassung

Es gibt eine Reihe von Akquisitionsstrategien, die Forensiker nutzen können. Der einfachste Vorgang ist als "manuelle Erfassung" bekannt und beinhaltet das Durchgehen der regulären Schnittstelle, um den Inhalt des Geräts zu untersuchen. Dies ist zeitintensiv und oft nicht sehr hilfreich, da alles, was gelöscht wurde, in der Standardoberfläche nicht sichtbar ist.

Eine logische Erfassung liefert detailliertere Daten. Bei dieser Art der Erfassung werden so viele Daten wie möglich über die Standardübertragungskanäle übertragen, wie sie zum Synchronisieren eines Telefons mit einem Computer verwendet werden. Diese Art der Übertragung erleichtert es forensischen Ermittlern, mit den Daten auf dem Telefon zu arbeiten, aber es ist unwahrscheinlich, dass viele gelöschte Informationen wiederhergestellt werden.

Telefon eingesteckt
Bildquelle: Montri Thipsorn über Shutterstock

Wenn Ermittler gelöschte Daten anzeigen möchten, ist eine Dateisystemerfassung erforderlich. Wir werden darüber sprechen, wie diese Art der Erfassung gelöschte Objekte in einem Moment wiederherstellen kann. Mobile Geräte sind im Grunde große Datenbanken, und eine Dateisystem-Erfassung gibt einem Ermittler Zugriff auf alle Dateien in der Datenbank. Es gibt auch viele forensische Tools, die in der Lage sind, diese Art von Daten zu analysieren und die Arbeit des Ermittlers zu erleichtern.

Schließlich gibt es eine physische Akquisition. Dies ist die komplexeste und schwierigste Erfassung, da die physischen Daten auf einem Chip gelesen und auf ein anderes Gerät übertragen werden, auf dem sie bearbeitet werden können. Dies erfordert oft hoch entwickelte Werkzeuge wie Chip-Programmierer und manchmal sogar Werkzeuge, um den Chip selbst vom Telefon zu entfernen. Es ist sehr schwierig, aber es gibt den Ermittlern auch die meisten Daten, mit denen man arbeiten kann.

Warum können gelöschte Dateien wiederhergestellt werden?

Sie fragen sich vielleicht, wie ein Teil der Software Dateien finden kann, die Sie gelöscht haben. Wenn Sie wissen, wie Computerspeicherlaufwerke funktionieren, werden Sie mit den Grundlagen vertraut sein. Der Flash-Speicher in mobilen Geräten löscht Dateien nicht wirklich So löschen Sie Daten dauerhaft von einem Flash-Laufwerk So löschen Sie Daten dauerhaft von einem Flash-Laufwerk Wenn Sie Ihr Flash-Laufwerk löschen möchten, sodass nichts wiederherstellbar ist, müssen Sie es nehmen Aktion. Hier sind ein paar einfache Methoden, die Sie verwenden können, die keine technische Expertise erfordern. Lies weiter, bis es Platz für etwas Neues braucht. Es "destiniert" es einfach und vergisst im Wesentlichen, wo es ist. Es ist noch gespeichert, aber das Telefon weiß nicht wo oder was es ist.

Wenn diese Daten nicht überschrieben wurden, kann eine andere Software sie finden. Identifizieren und Entschlüsseln ist nicht immer einfach, aber die forensische Gemeinschaft hat extrem mächtige Werkzeuge, die ihnen bei diesem Prozess helfen.

Je später Sie etwas gelöscht haben, desto unwahrscheinlicher ist es, dass es überschrieben wurde. Wenn Sie vor Monaten etwas gelöscht haben und Ihr Telefon viel benutzt, besteht die Möglichkeit, dass das Dateisystem es bereits überschrieben hat. Wenn Sie es erst vor ein paar Tagen gelöscht haben, sind die Chancen höher, dass es irgendwo noch da ist.

Einige iOS-Geräte, wie neuere iPhones, machen einen zusätzlichen Schritt. Sie de-indexieren nicht nur die Daten, sondern verschlüsseln sie auch - und es gibt keinen bekannten Entschlüsselungsschlüssel. Das wird sich als äußerst schwierig (wenn nicht unmöglich) erweisen, um zu umgehen.

Eine der Möglichkeiten, wie forensische Analysten gelöschte Daten erhalten können, besteht darin, das Telefon selbst zu überspringen und Backups durchzuführen. Viele Telefone werden automatisch auf dem Computer des Benutzers oder in der Cloud gesichert. Es kann einfacher sein, die Daten aus dieser Sicherung als das Telefon zu extrahieren. Offensichtlich hängt die Wirksamkeit dieser Strategie davon ab, wie kürzlich das Telefon gesichert wurde und der Dienst zum Speichern der Dateien verwendet wurde.

Welche Arten von Dateien können wiederhergestellt werden?

Die Arten von wiederherstellbaren Dateien können von dem Gerät abhängen, an dem ein forensischer Analyst arbeitet. Es gibt jedoch einige Basistypen, die wahrscheinlich wiederhergestellt werden:

  • Textnachrichten und iMessages
  • Anrufsverlauf
  • E-Mails
  • Anmerkungen
  • Kontakte
  • Kalenderereignisse
  • Bilder und Videos

Es ist auch möglich, dass Nachrichten von alternativen Messaging-Diensten wie WhatsApp oder Viber wiederhergestellt werden können. (Wenn diese Nachrichten verschlüsselt sind, So aktivieren Sie die Sicherheitsverschlüsselung von WhatsApp So aktivieren Sie die Sicherheitsverschlüsselung von WhatsApp Das sogenannte Ende-zu-Ende-Verschlüsselungsprotokoll verspricht, dass "nur Sie und die Person, mit der Sie kommunizieren, lesen können, was gesendet wird." Niemand, nicht einmal WhatsApp, hat Zugriff auf Ihre Inhalte. Lesen Sie mehr aber Ermittler werden nicht in der Lage sein, sie zu lesen.) Wenn Sie Ihr Android für Dateispeicher verwenden, können diese Dateien auch noch im Speicher herumhängen.

Was ist mit Verschlüsselung?

Verschlüsselung von Mobilgeräten 7 Gründe, warum Sie Ihre Smartphone-Daten verschlüsseln sollten 7 Gründe, warum Sie Ihre Smartphone-Daten verschlüsseln sollten Verschlüsseln Sie Ihr Gerät? Alle gängigen Smartphone-Betriebssysteme bieten Geräteverschlüsselung, aber sollten Sie sie verwenden? Aus diesem Grund lohnt sich die Smartphone-Verschlüsselung und hat keinen Einfluss auf die Art und Weise, wie Sie Ihr Smartphone verwenden. Read More stellt ein großes Problem für die forensische Analyse dar. Wenn eine starke Verschlüsselung verwendet wurde und es keine Möglichkeit gibt, den Verschlüsselungsschlüssel zu erhalten, ist es schwierig oder unmöglich, Daten vom Telefon zu erhalten. iTunes fordert die Benutzer sogar auf, die Backups zu verschlüsseln, die sie auf ihren Computern erstellen.

Während dies für forensische Ermittler weniger nützlich ist, gibt es einige Möglichkeiten, die Verschlüsselung zu überwinden. Einige Telefone verfügen über eingebaute Backdoors, über die Fachleute auf die Dateien zugreifen können. Andere Ermittler könnten Ihr Passwort erraten oder knacken.

Wenn sie jedoch nicht können, werden diese verschlüsselten Dateien ernsthafte Probleme verursachen. Wenn Sie sich Sorgen um eine forensische Untersuchung Ihres Telefons machen (z. B. wenn Sie ein Journalist mit vertraulichen Quellen sind), sollten Sie die sichersten Verschlüsselungseinstellungen verwenden, die Sie verwenden können.

Ist eine Ihrer Informationen wirklich sicher?

Am Ende gibt es keine Garantien, wenn es um mobile forensische Untersuchung geht. Für beide Seiten. Es gibt keine Möglichkeit, alle Daten auf Ihrem Telefon vollständig gegen einen engagierten und intelligenten Ermittler zu sichern. Und es gibt keine Möglichkeit, auf jedes Telefon zuzugreifen.

Aber es gibt eine große Vielfalt an sich ständig weiterentwickelnden Tools. Sie sind speziell dafür konzipiert, der sich ständig ändernden Landschaft des Datenschutzes zu begegnen. Und natürlich ist auch etwas Glück dabei.

Wie immer empfehlen wir dieselben Dinge, wenn Sie Ihre Daten schützen möchten. Verschlüsseln Sie alles. Seien Sie schlau darüber, wo und wie Sie sichern. Verwenden Sie starke Passwörter Wie Sie starke Passwörter generieren, die zu Ihrer Persönlichkeit passen Wie Sie starke Passwörter generieren, die zu Ihrer Persönlichkeit passen Ohne ein starkes Passwort könnten Sie sich schnell am Ende einer Cyber-Straftat befinden. Eine Möglichkeit, ein unvergessliches Passwort zu erstellen, könnte darin bestehen, es an Ihre Persönlichkeit anzupassen. Weiterlesen . Und, wenn irgend möglich, tue nichts, was dich ins Fadenkreuz einer forensischen Untersuchung bringt.

Verschlüsseln Sie Ihr Telefon? Sind Sie besorgt über die forensische Untersuchung Ihrer mobilen Geräte? Teilen Sie Ihre Gedanken in den Kommentaren unten!

In this article