Στο σημερινό άρθρο θα κάνουμε ένα διάλειμμα από την τεχνική περιγραφή και θα εστιάσουμε στα μη τεχνικά στοιχεία της διαδικασίας της συλλογής και ανάλυσης πειστηρίων από κινητά τηλέφωνα. Θα βασιστούμε στις βέλτιστες πρακτικές που προτείνει ο IOCE για ψηφιακά πειστήρια (International Organization on Computer Evidence Guidelines for Best Practice in the Forensic Examination of Digital Technology), οι οποίες καλύπτουν διαδικασίες για τη Διατήρηση, την Ανάκτηση, την Εξέταση και Ανάλυση των πειστηρίων και τέλος τη συγγραφή της Έκθεσης.

Θα χρησιμοποιήσουμε επίσης τις οδηγίες της ACPO (Association of Chief Police Officers) η οποία με τη σειρά της έχει εκδώσει τις δικές της βέλτιστες πρακτικές για το αντικείμενο (Good Practice Guide for Computer based Electronic Evidence) εστιάζοντας σε 4 αρχές: της Διατήρησης, Εκπαίδευσης, Χρονοσήμανσης και της Υπευθυνότητας-Αρμοδιότητας.

Κατά την εγκληματολογική εξέταση του κινητού τηλεφώνου πρέπει να εξαχθούν πειστήρια, διατηρώντας πάντα την ακεραιότητα των δεδομένων. Οι γενικές αρχές της Σήμανσης που αφορούν σε κλασικά πειστήρια, ισχύουν και για τα ψηφιακά. Περιληπτικά λοιπόν, θα πρέπει να ακολουθούνται αξιόπιστες διαδικασίες για την εξασφάλιση του χώρου, την καταγραφή του, τη συλλογή των πειστηρίων και τη σωστή συσκευασία τους, τη μεταφορά και την αποθήκευσή τους. Κάθε ενέργεια σχετική με την κατάσχεση, πρόσβαση, μεταφορά και αποθήκευση των δεδομένων πρέπει να είναι πλήρως καταγεγραμμένη και διαθέσιμη, σε διαθέσιμο για έλεγχο αρχείο. Κατά την κατάσχεση γίνεται φωτογράφηση και μαγνητοσκόπηση του χώρου και των πειστηρίων. Ιδιαίτερα σημαντικό είναι να φωτογραφηθούν τα περιεχόμενα της οθόνης του κινητού, όπως αυτό βρέθηκε. Μετά την κατάσχεση, εξυπακούεται ότι τα δεδομένα δεn θα πρέπει να αλλοιωθούν. Ο αναλυτής επομένως θα πρέπει να έχει την κατάλληλη εκπαίδευση, ενώ οι διαδικασίες που ακολουθεί θα πρέπει να μπορούν να επαναληφθούν κατά το δυνατό, παράγοντας τα ίδια αποτελέσματα ώστε να αποδεικνύεται η εγκυρότητά τους. Παράλληλα, σε όλα τα στάδια ο εκάστοτε κάτοχος των πειστηρίων είναι υπεύθυνος για κάθε τι που συμβαίνει σε αυτά. Τέλος, η διαδικασία πρέπει να ολοκληρώνεται όσο το δυνατόν ταχύτερα, διότι αν το κινητό μείνει για μεγάλο χρονικό διάστημα στο εγκληματολογικό, μπορεί να γίνουν νύξεις από την υπεράσπιση για αλλοίωση των στοιχείων.

Εκπαίδευση και Αρμοδιότητες
Όλα τα εμπλεκόμενα πρόσωπα στη διαδικασία θα πρέπει να είναι κατάλληλα εκπαιδευμένα ώστε να μπορούν να τεκμηριώσουν τις πράξεις τους. Η χρήση ακόμα και του τελειότερου εξοπλισμού, εάν δεν συνοδεύεται από τακτική και πολύπλευρη εκπαίδευση, δεν μπορεί να εγγυηθεί την επιτυχία της έρευνας, αφού η τεχνολογία των κινητών τηλεφώνων εξελίσσεται με αμείωτους ρυθμούς.
Οι αρμοδιότητες των εμπλεκόμενων εξάλλου είναι διαφορετικές και άρα προϋποθέτουν και διαφορετική εκπαίδευση: Άλλες οι αρμοδιότητες των αστυνομικών που καταφθάνουν στη σκηνή και άλλες των αναλυτών. Οι πρώτοι πρέπει να ασφαλίσουν τη σκηνή, να καταγράψουν και συλλέξουν τα φυσικά πειστήρια (συσκευές κινητών, καλώδια, φορτιστές κ.λπ.) και τέλος να τα συσκευάσουν και να τα μεταφέρουν με ασφάλεια στο εργαστήριο. Δεν θα πρέπει να κάνουν οι ίδιοι την ανάλυση, καθώς δεν έχουν την απαραίτητη τεχνογνωσία ούτε και τον εξειδικευμένο εξοπλισμό. Οι αναλυτές, οι οποίοι είναι οι αρμόδιοι, πραγματοποιούν την εξαγωγή των δεδομένων, την ανάλυσή τους και τέλος συγγράφουν την αντίστοιχη Έκθεση-Αναφορά. Φυσικά, οφείλουν να παραμένουν ενημερωμένοι και να ακολουθούν τη στάθμη της τεχνολογίας και της επιστημονικής έρευνας. Επιβάλλεται επίσης να εξασκούνται σε ίδια συσκευή του εμπορίου, με το ίδιο λογισμικό, πριν τη διεξαγωγή της ανάλυσης στο συγκεκριμένο κινητό που έχει κατασχεθεί. Το έργο τους μάλιστα δεν σταματά στην Έκθεση, αλλά θα πρέπει να διαφυλάξουν τα στοιχεία για κάθε μελλοντική ανάγκη και πρόσβαση (Εικόνα 1).
Την ολική ευθύνη για την τήρηση των κατάλληλων διαδικασιών έχει ο Επικεφαλής Αξιωματικός. Θα πρέπει λοιπόν να διασφαλίσει ότι όλο το εμπλεκόμενο προσωπικό έχει την κατάλληλη εκπαίδευση για να ολοκληρώσει τις αντίστοιχες διαδικασίες. Ακολούθως, στην Ανάλυση θα πρέπει να διατηρεί συνεχή επικοινωνία για την καθοδήγηση των αναλυτών, αφού μόνο αυτός γνωρίζει τη συνολική εικόνα της υπόθεσης. Εάν διαταραχθεί η επικοινωνία αυτή, μπορεί να χαθούν δεδομένα καθοριστικής σημασίας για τη δίκη. Επιπλέον, ο υπεύθυνος της έρευνας αποφασίζει για την κατάλληλη μεθοδολογία, ανάλογα με τη σοβαρότητα της υπόθεσης. Για μια απλή υπόθεση μπορεί να αρκεσθεί στην απλή ανάκτηση δεδομένων από το κινητό και τη SIM με λογισμικό. Για πιο απαιτητικές υποθέσεις μπορεί να γίνει αποτύπωση της μνήμης και αναζήτηση για στοιχεία με ειδικό υλισμικό και λογισμικό. Τέλος, για υποθέσεις όπου οι άλλες μέθοδοι αποτυγχάνουν και πρόκειται για μια κατάσταση «ζωής και θανάτου» μπορεί να φτάσει ακόμα και στη φυσική αφαίρεση της μνήμης και την εξωτερική ανάγνωσή της. Τις διαδικασίες αυτές είδαμε από τεχνικής πλευράς στο προηγούμενο άρθρο.
Διαδικασία
Ως προς τη διαδικασία της εξαγωγής των στοιχείων αυτή καθ’ εαυτή, η πρόσβαση στο τηλέφωνο μπορεί να είναι αδύνατη (οπότε η διαδικασία στηρίζεται στη βοήθεια από τον πάροχο), μπορεί να είναι παροδική ή στην καλύτερη περίπτωση το κινητό μπορεί να έχει ήδη κατασχεθεί, οπότε βρίσκεται στα χέρια του εξεταστή. Στο παρόν άρθρο θα θεωρήσουμε ότι το κινητό τηλέφωνο έχει ήδη κατασχεθεί.
Στο εργαστήριο λοιπόν, προχωρώντας στην ανάκτηση των δεδομένων γίνεται αρχικά αναγνώριση της συσκευής και κατόπιν επιλογή των εργαλείων και των μεθοδολογιών που θα χρησιμοποιηθούν. Αναζητούνται πληροφορίες για το ποιος, πού, πότε, πώς και γιατί, εξετάζοντας στοιχεία για την ιδιοκτησία του κινητού αλλά και την κατοχή του (μπορεί να είναι διαφορετικός ο ιδιοκτήτης και διαφορετικός ο κάτοχος τη στιγμή της κατάσχεσης). Αυτό πραγματοποιείται εξετάζοντας δεδομένα, εφαρμογές και αρχεία, ταξινομώντας τη χρονική σειρά των γεγονότων, χωρίς ποτέ να παραβλέπονται και τα κρυμμένα στοιχεία που ενδεχομένως υπάρχουν.
Ο σχεδιασμός της έρευνας γίνεται με τέτοιον τρόπο ώστε να αποφευχθεί κατά το δυνατό η απώλεια δεδομένων. Σε γενικές γραμμές, εάν το κινητό είναι ήδη σε λειτουργία, τότε λαμβάνει χώρα πρώτα η εξέταση των δεδομένων της μνήμης του και κατόπιν των δεδομένων της SIM (αφού πρώτα εξασφαλισθεί η απομόνωση του κινητού από το δίκτυο, όπως θα δούμε παρακάτω). Με τον τρόπο αυτό η εξέταση μπορεί να προχωρήσει άμεσα, χωρίς να εξαρτάται από τη συνεργασία του κατόχου του ή του παρόχου. Το τελευταίο είναι καθοριστικής σημασίας, αφού εάν μια κάρτα SIM ανήκει σε δίκτυο κινητής τηλεφωνίας του εξωτερικού και ο κάτοχος δεν αποκαλύπτει τον κωδικό PIN, τότε η επικοινωνία με τις αρμόδιες αρχές του εξωτερικού για την εξασφάλιση της συνεργασίας του αντίστοιχου παρόχου μπορεί να καθυστερήσει τη διαδικασία ακόμα και για μήνες.
Αντιθέτως, αν το κινητό ήταν απενεργοποιημένο κατά την κατάσχεσή του, τότε θα λάβει χώρα πρώτα η ανάλυση της SIM. Ενεργοποιώντας το, έστω και με την υπάρχουσα SIM προκαλούνται αλλαγές στα δεδομένα (π.χ. στο Location Area Information file). Ακόμα χειρότερα, η εισαγωγή μιας διαφορετικής SIM σε ορισμένες περιπτώσεις μπορεί να οδηγήσει ακόμα και σε διαγραφή δεδομένων (π.χ. των τελευταίων κλήσεων).
Ως γενική αρχή είναι καλό να φωτογραφίζεται ή να μαγνητοσκοπείται κάθε βήμα της διαδικασίας, παράλληλα με την Αρχή της Χρονοσήμανσης όπου καταγράφονται σε αντίστοιχο ημερολόγιο ενεργειών οι πράξεις του εξεταστή. Το ημερολόγιο περιλαμβάνει λεπτομέρειες για την ώρα, την ενέργεια και το αποτέλεσμα αυτής. Ένα τρίτο πρόσωπο θα πρέπει ακολουθώντας τις ίδιες οδηγίες να φτάσει στο ίδιο αποτέλεσμα. Ακόμα και για αυτόματη ανάλυση δεδομένων, η μαγνητοσκόπηση είναι ουσιαστική για να αποδείξει τον ορθό τρόπο λειτουργίας και να επαληθεύσει τα αποτελέσματα. Στο ημερολόγιο αυτό θα πρέπει να καταγραφούν τα εργαλεία και οι εκδόσεις που χρησιμοποιήθηκαν και τα στοιχεία αυτά να συμπεριλαμβάνονται στην τελική Έκθεση.
Αναγνώριση
Το πρώτο βήμα του αναλυτή είναι να αναγνωρίσει τη μάρκα και τον τύπο του κινητού, ώστε να συγκεντρωθούν τα απαραίτητα καλώδια σύνδεσης, φορτιστές, εγχειρίδια κ.ο.κ. Συχνά αρκεί μια οπτική αναγνώριση του κινητού. Είναι πιθανό όμως το μοντέλο να είναι άγνωστο ή να μην αναγράφεται πουθενά ο τύπος του. Στο Διαδίκτυο υπάρχουν βάσεις δεδομένων με φωτογραφίες κινητών, οπότε μπορεί να γίνει μια προσπάθεια ταυτοποίησης από εκεί. Αν και αυτό αποτύχει, τότε η διαδικασία διαφοροποιείται ανάλογα με το αν είναι ενεργοποιημένο ή όχι. Αν όχι, τότε κάτω από τη μπαταρία συνήθως αναγράφεται ο σειριακός του αριθμός ΙΜΕΙ και άλλα αναγνωριστικά στοιχεία, οπότε μπορεί να γίνει η ταυτοποίησή του (Εικόνα 2). Εάν βρίσκεται σε λειτουργία, τότε η πληκτρολόγηση του *#06# όπως έχουμε δει και σε προηγούμενο άρθρο, αποκαλύπτει το ΙΜΕΙ. Η μέθοδος αυτή είναι η τελευταία επιλογή, καθώς προσπαθούμε να έχουμε την ελάχιστη δυνατή αλληλεπίδραση με το κινητό.
Γνωρίζοντας τον τύπο του κινητού, αναζητούνται πλέον τα εγχειρίδια χρήσης και τα τεχνικά του χαρακτηριστικά. Γίνεται προσεκτική τους ανάγνωση για να διαπιστωθεί εάν υπάρχουν περιπτώσεις διαγραφής στοιχείων (π.χ. εάν λάβει χώρα αλλαγή της SIM). Σε κάθε περίπτωση επιβάλλεται ο έλεγχος με δοκιμαστικά δεδομένα σε ακριβώς ίδια συσκευή του εμπορίου, ώστε ο εξεταστής να βεβαιωθεί για την ορθή λειτουργία των εργαλείων που χρησιμοποιεί. Το βήμα αυτό είναι σαφώς απαραίτητο στην περίπτωση που ο εξεταστής συναντά για πρώτη φορά μια συγκεκριμένη συσκευή. Με την ανάγνωση του εγχειριδίου και την εξοικείωση στη χρήση της συσκευής, ο εξεταστής είναι σε θέση να προχωρήσει στα επόμενα βήματα.

Διατήρηση στοιχείων και απομόνωση απο το δίκτυο
Η βασικότερη αρχή της Σήμανσης είναι ίσως αυτή της Διατήρησης των στοιχείων, η οποία αναφέρει πως τα δεδομένα δεν πρέπει να αλλοιωθούν καθόλου προκειμένου να είναι δυνατή η χρήση τους στο Δικαστήριο. Για το σκοπό αυτό γίνεται χρήση ειδικού μόνο λογισμικού, καθώς μη ειδικευμένο και ελεγμένο λογισμικό μπορεί πιθανώς να εγγράψει στοιχεία στο τηλέφωνο, καταστρέφοντας την ακεραιότητα των πειστηρίων. Δυστυχώς το κινητό μπορεί συχνά να μην είναι συμβατό με εξειδικευμένο λογισμικό, παρά μόνο με γενικής χρήσης λογισμικό, οπότε στην περίπτωση αυτή θα πρέπει να ελεγχθεί ο τρόπος λειτουργίας σε ένα ίδιο μοντέλο τηλεφωνικής συσκευής. Επίσης γίνεται προσπάθεια να χρησιμοποιηθεί όσο το δυνατόν αργότερα στην όλη διαδικασία. Για τη διασύνδεση, το καλώδιο είναι το προτιμότερο μέσο – και μάλιστα τα ειδικά καλώδια που συνιστά ο κατασκευαστής και όχι ανώνυμα. Η διασύνδεση μέσω Bluetooth είναι η πιο επισφαλής μέθοδος, ενώ θα οδηγήσει και σε εγγραφή δεδομένων στη μνήμη (κλειδιά pairing), άρα πρέπει να αποφεύγεται. Η υπέρυθρη θύρα έχει πάψει να χρησιμοποιείται από καιρό, όμως εμφανίζεται πλέον η σύνδεση μέσω Wi-Fi.
Μία υπόθεση μπορεί κυριολεκτικά να «χαθεί» από λάθη στη λήψη και τη μεταφορά δεδομένων που καταστρέφουν τα πειστήρια. Είναι ιδιαίτερα σημαντικό να αποφευχθεί η «μόλυνση» του κινητού από νέες κλήσεις, μηνύματα και γενικότερα επικοινωνία με το δίκτυο. Εκτός από νέα στοιχεία που μπορεί να αφιχθούν (π.χ. κλήσεις-μηνύματα) μπορεί να ενεργοποιηθούν και μηχανισμοί καταστροφής-διαγραφής δεδομένων ή κλειδώματος της συσκευής (π.χ. με ειδικό εισερχόμενο SMS και κατάλληλο λογισμικό στο τηλέφωνο).
Για το λόγο αυτό, η συσκευή θα πρέπει να απομονωθεί από το δίκτυο. Εάν η συσκευή βρίσκεται σε λειτουργία, καλό είναι να παραμείνει σε αυτήν την κατάσταση και να μην τεθεί εκτός λειτουργίας από τον αναλυτή, διότι κατόπιν μπορεί να απαιτείται η πληκτρολόγηση του PIN/PUK, κάτι που θα καθυστερήσει τη διαδικασία. Επίσης, ο τερματισμός της λειτουργίας του κινητού μπορεί να διαγράψει δεδομένα, ιδιαίτερα στην περίπτωση κάποιου εξελιγμένου κινητού.
Η βέλτιστη λύση είναι η τοποθέτηση της συσκευής σε ειδικό κλωβό που απομονώνει την ηλεκτρομαγνητική ακτινοβολία (κλωβός Faraday) – Εικόνα 3. Με τον τρόπο αυτό, η συσκευή μπορεί να μεταφερθεί με ασφάλεια στο εργαστήριο. Για μεγαλύτερη ευκολία διατίθενται και ειδικές σακούλες απομόνωσης (Εικόνα 4) οι οποίες όμως δεν μπορούν να εμποδίσουν την ακτινοβολία να εισέλθει εάν το κινητό βρεθεί κοντά σε κεραία και η ισχύς του σήματος είναι μεγάλη.
Κατά το χρονικό διάστημα στο οποίο η συσκευή είναι απομονωμένη από το δίκτυο, η μπαταρία θα εξαντληθεί συντομότατα, καθώς το κινητό αναζητά δίκτυο για να συνδεθεί, εκπέμποντας στη μέγιστη ισχύ του συνεχώς. Άρα, θα πρέπει να παρέχεται περιοδική φόρτιση ώστε να μη χαθούν δεδομένα. Και στην περίπτωση αυτή, χρειάζεται ειδική μέριμνα ώστε να μην υπάρξει είσοδος ακτινοβολίας δια μέσω των καλωδίων φόρτισης ή ακόμα καλύτερα να υπάρχει κινητή πηγή η οποία θα βρίσκεται και αυτή μέσα στον κλωβό. Ειδικά για την ανάλυση στο εργαστήριο, μπορεί να λάβει χώρα σε ειδικό, θωρακισμένο από την ηλεκτρομαγνητική ακτινοβολία δωμάτιο. Βέβαια το κόστος είναι πολύ υψηλό και παρουσιάζεται και η αδυναμία μετακίνησης.
Ένας πιο «επιθετικός» τρόπος είναι η χρήση συσκευών παρεμβολών, όμως η χρήση τέτοιων διατάξεων μπορεί να είναι παράνομη και εκτός αυτού μπορεί να προκληθούν προβλήματα σε άλλες παρακείμενες συσκευές. Στα σύγχρονα κινητά, μια άλλη εναλλακτική είναι η ενεργοποίηση της λειτουργίας αεροπλάνου (flight mode). Η λειτουργία αυτή απομονώνει μόνο τον πομποδέκτη της συσκευής, ενώ οι λοιπές λειτουργίες συνεχίζουν να εκτελούνται κανονικά.
Χωρίς να είναι απαραίτητα καλή λύση, είναι δυνατή και η χρήση ειδικής κάρτας SIM (κατάλληλα παραμετροποιημένης), η οποία ενεργοποιεί το κινητό αλλά δεν επιτρέπει πρόσβαση στο δίκτυο. Η λύση αυτή επιτρέπει τη μετακίνηση, αλλά υπάρχει πιθανότητα η αλλαγή της SIM να προκαλέσει αλλοιώσεις στα δεδομένα του κινητού, οπότε θα πρέπει να έχει δοκιμασθεί σε ένα ίδιο κινητό. Τέλος, με συνεργασία του παρόχου, είναι δυνατή και η απομόνωση του κινητού από την πλευρά του Δικτύου.

Εξέταση της κάρτας sim και της μνήμης του κινητού
Η ίδια η συσκευή μπορεί να είναι ενεργοποιημένη, απενεργοποιημένη ή ακόμα και χαλασμένη. Επίσης, το τηλέφωνο ή η κάρτα SIM μπορεί να προστατεύονται από κωδικό- και στην περίπτωση αυτή, εάν ο ύποπτος δεν συνεργάζεται, οι κωδικοί (της SIM) θα πρέπει να αναζητηθούν από τον πάροχο ή να παρακαμφθούν (του τηλεφώνου) εάν αυτό είναι δυνατό. Στο σημείο αυτό αναφέρουμε ότι αρχικά ζητάμε από τον ιδιοκτήτη του κινητού να παραδώσει το PIN και τους λοιπούς κωδικούς, αλλά δεν αφήνουμε ποτέ τον ίδιο να τους πληκτρολογήσει, αφού θα μπορούσε να σπεύσει να διαγράψει δεδομένα και ενοχοποιητικά στοιχεία. Επίσης μπορεί να λαμβάνεται έγγραφη δήλωσή του για το εάν το κινητό είναι χαλασμένο, ώστε να αποφευχθεί η κατηγορία ότι καταστράφηκε κατά την ανάλυση.
Για την ανάλυση της SIM υπάρχει μια βασική διαφοροποίηση σε σχέση με την ανάλυση πειστηρίων σε σκληρούς δίσκους υπολογιστών. Όπως έχουμε δει, η SIM παρέχει η ίδια πρόσβαση στα δεδομένα της, μέσω του μικροεπεξεργαστή που διαθέτει. Δεν είναι δυνατή λοιπόν η «κλωνοποίησή» της bit προς bit. Αυτό πρακτικά σημαίνει πως η ανάλυση λαμβάνει χώρα στο πρωτότυπο πειστήριο και όχι σε αντίγραφό του. Το ιδανικό θα ήταν να υπάρχει τρόπος να ληφθούν όλα τα δεδομένα επιτόπου και να υπολογιστεί το αντίστοιχο hash (μονοσήμαντο αποτύπωμα-υπογραφή που πιστοποιεί την πλήρη ταύτιση των αντιγράφων με τα αυθεντικά δεδομένα), κάτι που προς το παρόν τουλάχιστον είναι εντελώς αδύνατο. Στο ίδιο μήκος κύματος η ανάγνωση ορισμένων στοιχείων μοιραία επιφέρει την αλλαγή τους (για παράδειγμα, ανοίγοντας ένα μη αναγνωσμένο μήνυμα, η κατάστασή του θα αλλάξει σε «αναγνωσμένο»), γι’ αυτό και η διαδικασία θα πρέπει να μαγνητοσκοπηθεί. Σε κάθε περίπτωση, αντίθετα με την ανάλυση πειστηρίων στους υπολογιστές, στα κινητά υπάρχει γενικά αλληλεπίδραση, ακόμα και με καταστρεπτικές για την ακεραιότητά τους μεθόδους (π.χ. αποκόλληση των κυκλωμάτων μνήμης για εξωτερική ανάγνωση).
Η ανάλυση των περιεχομένων της κάρτας SIM περιλαμβάνει τεχνικές λεπτομέρειες τις οποίες εξετάσαμε στο προηγούμενο άρθρο. Ιδιαίτερη σημασία διαδραματίζουν οι διάφοροι κωδικοί όπως PIN & PUK, καθώς επίσης και η κατάσταση των μετρητών των κωδικών αυτών. Εάν π.χ. συμπληρωθεί ο μέγιστος αριθμός λανθασμένων εισαγωγών PUK, τότε η κάρτα θα καταστραφεί και θα είναι εντελώς αδύνατη πλέον η ανάγνωσή της. Βέβαια, η αφαίρεση της κάρτας SIM για τη διασύνδεσή της με ειδικό αναγνώστη, σχεδόν πάντα προϋποθέτει την αφαίρεση της μπαταρίας του κινητού. Ανάλογα με το μοντέλο, αυτό μπορεί να συνεπάγεται τη διαγραφή στοιχείων όπως π.χ. η ώρα και η ημερομηνία, είτε άμεσα είτε μετά από μικρό χρονικό διάστημα. Καλό θα είναι λοιπόν να έχει γίνει ο σχετικός έλεγχος με μια ίδια συσκευή και η μπαταρία να τοποθετείται και πάλι το συντομότερο δυνατό. Αν η διαγραφή των στοιχείων με την αφαίρεση της μπαταρίας είναι αναπόφευκτη, τότε ο εξεταστής θα πρέπει να ολοκληρώσει την ανάλυση των δεδομένων του κινητού πριν αφαιρέσει τη μπαταρία. Η πλήρης αποφόρτιση μπαταρίας μπορεί να οδηγήσει στο ίδιο πρόβλημα, γι’ αυτό και λαμβάνεται φροντίδα για την παροδική φόρτισή της. Για τα δεδομένα της μνήμης του κινητού ή εξωτερικής κάρτας μνήμης που πιθανώς υποστηρίζει το κινητό, ισχύουν και πάλι οι τεχνικές λεπτομέρειες του προηγούμενου άρθρου.
Εξάλλου, μετά το πέρας της εξαγωγής των πειστηρίων με τη χρήση των αυτόματων εργαλείων, μια χειροκίνητη προσπάθεια μπορεί να επαληθεύσει τα αποτελέσματα και ορισμένες φορές να ανακαλύψει και στοιχεία που για διάφορους λόγους (π.χ. μη επαρκής υποστήριξη της συσκευής) το λογισμικό απέτυχε να βρει. Άρα, συμβουλευόμενος το εγχειρίδιο χρήσης, ο εξεταστής μπορεί να προχωρήσει σε χειροκίνητη ανάγνωση των υπόλοιπων στοιχείων καθώς επίσης και σε επαλήθευση των ήδη ληφθέντων, περιηγούμενος στις αντίστοιχες επιλογές του τηλεφώνου. Η φωτογράφηση ή η μαγνητοσκόπηση των βημάτων προσθέτουν μία επιπλέον δικλείδα ασφάλειας. Υπάρχουν μάλιστα για το σκοπό αυτό και ειδικές βάσεις (Εικόνα 5). Ειδικά στην περίπτωση κατά την οποία δεν μπορεί να βρεθεί συμβατό με το κινητό λογισμικό για την ανάλυσή του, η χειροκίνητη μέθοδος μπορεί να είναι και η μοναδική επιλογή.
Κλείνοντας, τα στοιχεία που εξάγονται πρέπει να επαληθεύονται – αν είναι δυνατόν και από διαφορετική πηγή (π.χ. τα στοιχεία κλήσεων στο κινητό να επαληθεύονται με τα στοιχεία κλήσεων του παρόχου). Χρησιμοποιώντας επιστημονικά τεκμηριωμένες διαδικασίες και ενδελεχή ανάλυση, ο εξεταστής αυξάνει τη σημασία και το βάρος των πειστηρίων, αφού δεν μπορούν πλέον να αμφισβητηθούν.
Έκθεση Ευρημάτων
Η διαδικασία ολοκληρώνεται με την Έκθεση Ευρημάτων, όπου καταγράφεται τόσο η διαδικασία που ακολουθήθηκε όσο και τα ευρήματα. Στην Έκθεση αυτή εμφανίζονται αρχικά στοιχεία για την Υπηρεσία, την υπόθεση, το προσωπικό που τη χειρίστηκε και τον επικεφαλής, καθώς και τις ημερομηνίες που έλαβαν χώρα τα γεγονότα. Ακολουθεί η παρουσίαση του λογισμικού και των εργαλείων που χρησιμοποιήθηκαν και της μεθοδολογίας που ακολουθήθηκε. Ο σχεδιασμός της μεθοδολογίας και τα βήματα που ακολουθήθηκαν θα πρέπει να είναι ξεκάθαρα διατυπωμένα. Επίσης, το συνοδευτικό υλικό και ο εξοπλισμός που ενδεχομένως χρησιμοποιήθηκαν, καταγράφονται σε σχετική ενότητα. Παρουσιάζονται κατόπιν τα ευρήματα, τόσο από την αυτοματοποιημένη εξαγωγή όσο και από τη χειροκίνητη έρευνα και η Έκθεση κλείνει με τα συμπεράσματα. Η ορθή συγγραφή της θα βοηθήσει στη σωστή εκδίκαση της υπόθεσης, γι’ αυτό ο αναλυτής θα πρέπει να έχει ικανότητες και στο γραπτό λόγο. Πράγματι, μια άριστη δουλειά από τεχνικής απόψεως, μπορεί να μην αποτυπωθεί με εύληπτο τρόπο στην Έκθεση, χάνοντας τελικά την αξία της.

Επίλογος
Στο σημερινό άρθρο επιχειρήσαμε να περιγράψουμε τη μεθοδολογία και τις διαδικασίες που απαντώνται στη συλλογή και την ανάλυση πειστηρίων στα κινητά τηλέφωνα. Ενώ γενικά ισχύουν οι αρχές που αφορούν στα ψηφιακά πειστήρια από υπολογιστές, η εργασία στα πρωτότυπα δεδομένα (στην περίπτωση της SIM) καθιστά το έργο του αναλυτή σημαντικά δυσκολότερο. Πέρα από τις τεχνικές λεπτομέρειες και την πολυπλοκότητα που εξετάσαμε σε προηγούμενα άρθρα, γίνεται αντιληπτό ότι στο αντικείμενο διαδραματίζουν εξίσου σημαντικό ρόλο και τα μη τεχνικά στοιχεία. Για άλλη μία φορά, η Εκπαίδευση είναι αυτή που θα συνδυάσει το τεχνικό με το διαδικαστικό κομμάτι, ώστε η δουλειά του αναλυτή να μπορεί να βοηθήσει ουσιαστικά στη σωστή εκδίκαση μιας υπόθεσης.

Δρ. Ιωσήφ Ι. Ανδρουλιδάκης
Σύμβουλος Ασφάλειας Τηλεπικοινωνιακών Συστημάτων