Spegla min dator – vad menas

Nu talar jag inte utifrån egen erfarenhet men jag har lite frågor om det här med IT-forensikerna som säger att de kan spegla datorn för att hitta borttagna filer. Även om jag permanent raderar så finns det spår kvar på skivan, alltså raderas aldrig något permanent, säger de. Om en riktig it-girl på typ våldsroteln rotar i min dator, hur är det möjligt att spegla? Vad menas? Hur bra är spegeln?

Är det dataprogram som speglar eller har de en spegel som de lyser på skivan för att se vilka filer som saknas, eller var det är bränt på hårddisken? Går det att som privatperson spegla en dator som jag hittade en gång? Eller säger de [förf. anm. poliserna] så här mest för att skrämmas?

Återigen: jag har ingen illegal verksamhet i datorn (förutom förfalskade läkarintyg och kanske ringa mejlbedrägerier). Undrar bara hur polismakten arbetar.

Likt när du speglar dig så ser du en exakt kopia, så speglar man, d.v.s kopierar disken. Resten handlar om dataåtervinning. När de säger "speglar" så är det en jargong innebärandes allt nämnda. D.v.s kopiering samt dataåtervinning.

Som andra skriver är kopierar ett enklare uttryck.

Du vill aldrig "leka runt" i det skarpa beviset då saker kan förstöras, därför skapar man en identisk kopia innan man börjar röja runt.

Frågan är lite om man inte hör begreppet via folk (=journalister) som inte fattar jargongen och det blir lite tokigt när de försöker återge det med egna ord.

Speglingen är en fråga om att man skapar en kopia, det är vad det betyder. Det är inget man behöver för att hitta saker där, kan man hitta borttagna filer på kopian så kan man göra det på orginalet.

Om begreppet hette scan-kopiera eller tanka över, hade det blivit mer begripligt. Istället har hela fackspråkets kidnappats av dessa stilistiskt vilsna kriminaljournalister. Tack för klokt inspel.

Diskar är numera krypterade…

Långt ifrån alla diskar är krypterade, även om disken skulle vara krypterad så vill man arbeta med kopian snarare än den faktiska disken.

Har mycket svårt att se att gemene man sitter och kör bitlocker med TPM + PIN.

Åtminstone Apples diskar är krypterade per default.

Det är långt från alla som är.

De flesta som är krypterade är dessutom väldigt vekt krypterade eller bara delvis krypterade. Hur många är det som skriver in ett långt lösenord innan datorn startas upp? Hur många har ett starkt lösenord för sitt inlogg (och därmed kryptering av hemkatalog)?

Förmodligen är det så också att de flesta kör med Windows eller Mac egna kryptering som nästan garanterat innehåller bakdörrar för myndigheter.

I så fall hade fall varit kända. Apples Filevault har inga kända bakdörrar. Den andra killens OS kan jag inte gå i god för.

Krypteringen är oftast ganska stark - det som brister är nyckelhanteringen.

Datorn måste ju kunna läsa från disken när den bootas och för att klara detta måste nycklarna finnas tillgängliga INNAN man skriver in sitt lösenord.

Har du tillgång till hårdvaran så kommer du förbi den inbygga dekrypteringen som i princip bara skyddar från att man skruvar ut hårddisken och läser filerna från en annan dator.

Det som kan ställa till det är ytterligare kryptering där man krypterar och skyddar delar eller hela extra hårddiskar.

En faktor som försvårar återställning av raderade filer från en SSD är om TRIM är aktiverat i OS. TRIM är en funktion i ett OS som gör att livstiden förlängs på en SSD. Den ser bland annat till att de olika sektorerna på en disk utnyttjas jämt. Detta gör att sektorn där en fil raderas mest troligen kommer att skrivas över med annan data väldigt snabbt.

Jag har varit med om att skicka en laptop till Ontrack där vi behövde rädda viktig data. Trotts att datorn stängdes av bara någon minut efter att papperskorgen tömdes och inte slogs på efter det så kunder inte Ontrack återskapa några raderade filer från datorn. TRIM funktionen hade redan hunnit optimera så att all gammal data var borta.

Observera att TRIM bara fungerar på SSD diskar och inte på gamla hårddiskar med roterande magnetiska skivor.