上周这个时候,联邦调查局潜水员正在搜寻塞科姆湖,这是一个距离内陆区域中心约三公里的淡水湖,该中心是12月2日枪击案的发生地,造成14人死亡,22人受伤。报道称,枪手塔什芬·马利克和赛义德·里兹万·法鲁克在袭击发生前后将他们的笔记本电脑硬盘扔进了浑浊的水中,硬盘可能包含电子邮件和其他证据。
虽然搜寻已经结束,但调查人员尚未确认是否找到了硬盘。但如果找到了,数据取证专家表示,存储的信息很可能仍然可以轻易访问,而且还有更有效的方法来销毁硬盘。
硬盘的工作原理几乎与唱片机完全相同。数据以 1 和 0 的块的形式存储在铝、陶瓷或玻璃盘片上,这看起来很像 CD。盘片位于主轴中心,主轴控制其旋转;磁头使用电流来读取和写入数据。致动器和其他电子组件控制整个操作。
支持科学新闻
如果您喜欢这篇文章,请考虑订阅以支持我们屡获殊荣的新闻报道。 订阅。通过购买订阅,您正在帮助确保未来关于塑造我们当今世界的发现和想法的有影响力的故事。
水可能会使电子设备短路,但仅此而已。“无论盘片是否被弄湿,数据仍然在盘片上,”德克萨斯州奥斯汀的数据恢复公司Flashback Data的副总裁拉塞尔·乔齐克解释道。只要不让盘片干燥,他说这可能会留下难以清洁的残留物,法医专家应该能够相对容易地恢复数据。
乔齐克说,现代固态硬盘 (SSD) 和闪存更容易被淹没。它们中的许多都有板载加密,这意味着硬盘的电路板对于解码存储在存储芯片上的任何内容都是必要的。与此同时,固态硬盘仅占当前 PC 硬盘市场的约三分之一,因此传统的旋转硬盘仍然是主要关注点。
那么,什么比水更好?尽管电视和焦虑的 IT 人员告诉我们,将磁铁靠近硬盘可能也无法有效地破坏数据。你首先必须穿过大多数硬盘中保护盘片的钢制外壳,云存储公司 Backblaze 的首席执行官兼联合创始人格列布·巴德曼解释说,该公司使用消费级硬盘构建其服务器。“如果有足够好的磁铁,并且距离足够近,这当然是一种有效的攻击,”他说,“但是如果你想要保证,粉碎盘片是更安全的方法。”
确实,打开硬盘(用螺丝刀和锤子在几分钟内很容易完成的任务)并对盘片使用蛮力是快速销毁它的最佳方法。“笔记本电脑硬盘有玻璃盘片,”乔齐克说。“如果你用力扔这些硬盘,玻璃会碎裂,没有人能恢复它。”(在某些情况下,可以进行艰苦的恢复工作;例如,在 2012 年桑迪胡克小学枪击案发生后,调查人员努力从亚当·兰扎破碎的硬盘中提取数据,但这个过程既漫长又昂贵。)
然而,通常在台式机中发现的铝制盘片需要更多的工作。例如,一个巨大的划痕可以阻止硬盘初始化并阻碍传统的数据恢复工作。盘片上的小裂缝或大裂缝也是如此。但是,巴德曼说,先进的法医实验室可能会读取这些瑕疵之间的信息。“他们甚至不一定让[硬盘]旋转;他们可以查看盘片上的每个单独的块,”他说,这可以让专家恢复足够的 0 和 1 来读取。
另一方面,在盘片上钻孔会产生热量,这很容易造成普遍的损坏。“你可能会扭曲盘片本身。你正在做的事情可能会导致盘片的所有其他部分发生轻微变化,”巴德曼说。“而且它不需要改变很多就可以使数据完全无效。”
如有疑问,他建议使用简单的化学方法:酸。“你让酸剥离盘片上所有有价值的东西,”巴德曼说。
当然,还有不那么激进的方法来擦除硬盘。Windows 和 Mac OS X 都包含通过用随机的 0 和 1 覆盖现有内容来安全擦除驱动器的实用程序。巴德曼建议在新硬盘上执行两次此操作,在旧硬盘上执行七次此操作,因为一些先进的法医实验室可能会找到被覆盖数据的“幽灵”。
然而,对于掩盖踪迹,乔齐克警告说,一个装满乱码的硬盘仍然是一个很大的危险信号。“对于诉讼,如果你的硬盘受到质疑并且已被清零,显然我们知道数据已被破坏。我们可以告诉陪审团这一点,他们不太喜欢这样。”他说。