Флэш-Память: Проблемы Компьютерной Криминалистики

В конце 2010 года Грэм Белл и Ричард Боддингтон опубликовали статью.

«Твердотельные накопители: начало конца современной практики цифрового криминалистического восстановленияЭ» («Твердотельные накопители: начало конца современных методов восстановления данныхЭ»), что вызвало неоднозначную реакцию интернет-сообщества.

И хотя рассмотренная в этой статье особенность работы твердотельных накопителей была первой объявлено в 2008 году на конференции DEFCON 16 , изученных специалистами Microsoft и представленных на конференции разработчиков носителей информации в 2009 году [1, 6 слайд] и даже упомянутых на российских семинарах в 2010 году [2, слайды 10 и 11], признание проблемы и серьезное обсуждение этих особенностей в криминологического сообщества произошло в марте 2011 года.

В этой заметке я попытаюсь рассказать об особенностях работы носителей информации на основе использования флэш-памяти через призму компьютерной криминалистики.

Краткое введение в компьютерную криминалистику

Условно к компьютерной криминалистике можно отнести и смежные области, в которых исследование компьютерной информации играет важную роль: расследование инцидентов информационной безопасности в организациях, исследование носителей информации военного (боевого) назначения и т.п.

Поскольку криминалистическое исследование носителей информации ЭВМ в большом количестве случаев проводится с целью получения криминалистических доказательств, метод проведения такого исследования должен обеспечивать проверку результатов повторным исследованием (данное требование закреплено в статье 57 УПК РФ).

Российской Федерации: «Эксперт не имеет права.

проводить без разрешения дознавателя, следователя или суда исследования, которые могли бы привести к полному или частичному уничтожению предметов либо изменению их внешнего вида или основных свойств» ).

Применительно к исследованию компьютерной информации требования к повторяемости результатов выражаются в обеспечении неизменности информации (хотя некоторые учёные предпочитают использовать термин «целостность информации» ) различными способами:

• программные блокировщики записи, которые блокируют любые команды записи, отправляемые операционной системой на исследуемый носитель информации (в ОС Linux программными блокировщиками записи могут быть устройства обратной связи, созданные в режиме только для чтения с помощью команды « монтировать -o ro,цикл /dev/ " );
• аппаратные блокировщики записи, выполняющие те же функции, но не требующие установки какого-либо программного обеспечения (проще говоря: устройства-посредники между ВМ и носителем информации, фильтрующие передаваемые команды);
• специализированные операционные системы, которые не отправляют команды записи на подключенные носители информации во время загрузки и работы.

Развитие компьютерной криминалистики на начальном этапе

• подтверждение неизменности (целостности) исследуемых данных с помощью криптографических хэш-функций;
• обеспечение неизменности исследуемых данных за счет обязательного использования блокировщиков записи или путем исследования криминалистических копий носителей информации, созданных путем копирования содержимого одного носителя на другой (иногда такие копии называют побитовый или посекторно );
• популяризация этих тенденций, закрепление их в методах проведения судебно-медицинских исследований.

Этот принцип касается дискет, жестких дисков (HDD) и других «традиционных» типов носителей информации, и изменение содержимого этих носителей без команды следует расценивать как неисправность (появление битых секторов).

Конечно, изменение служебных данных (параметров SMART) не является серьезной проблемой, поскольку такая служебная информация редко используется в криминалистике для решения каких-либо задач (и ее изменение не рассматривается критично, в отличие от изменения файловых систем).

Развитие флеш-памяти сквозь призму криминалистики

отдельных блоков памяти и существенное сокращение ресурса флэш-памяти из-за неравномерной записи данных в обычных файловых системах (некоторые участки данных перезаписываются чаще других).

Чтобы решить эту проблему, производители флэш-памяти начали использовать выравнивание износа, которое предполагает перемещение данных из наиболее изношенных участков памяти в менее изношенные.

Этот процесс может выполняться на уровне файловой системы или на уровне контроллера: в первом случае данные перераспределяются драйвером специальной файловой системы, во втором случае данные перераспределяются контроллером носителя информации прозрачно для операционная система (контроллер обеспечивает необходимый порядок байт при чтении, т.е.

воссоздает исходную структуру данных за счет использования таблицы соответствия между логическими адресами памяти и физическим положением ячеек памяти).

Флеш-память, для выравнивания износа которой необходимо установить в систему дополнительный драйвер и использовать специальную файловую систему, среди обычных пользователей не получила широкого распространения, а наибольшее распространение получили алгоритмы выравнивания износа с контроллером.

Таким образом, даже при работе с флэш-памятью в режиме «только чтение» контроллер постоянно перераспределяет данные.

Однако этот процесс абсолютно прозрачен для операционной системы и устройств чтения, поэтому особых сложностей при проведении криминалистических исследований флэш-памяти не возникает (на физическом уровне данные перераспределяются, но на логическом уровне они статичны), если не для двоих больших НО :

1. USB Flash-носители иногда не соединяют электрически блоки ячеек памяти до первой команды записи в эти блоки [4];
2. Эффективное выравнивание износа требует наличия дополнительных (резервных) областей памяти, для которых целесообразно использовать свободные (незанятые) области данных файловой системы.

Второе «но» подводит производителей твердотельных накопителей (SSD) к (уже решенной) проблеме выявления и использования свободных (нераспределенных) областей данных файловых систем для нивелировки износа.

Эти особенности серьезное нарушение принцип «данные изменяются только по команде», на котором основана современная компьютерная криминалистика.

Более того, использование для нивелировки износа свободных (нераспределенных) разделов файловых систем, содержащих удаленные файлы и данные из предыдущих файловых систем, приводит к серьезным проблемам с восстановлением данных (так как перед использованием свободного раздела данных контроллер его очищает, т.е.

удаленные данные уничтожаются).

, что по сути аналогично перезаписи файлов специальными программами).

Как работает выравнивание износа флэш-памяти с использованием нераспределенного пространства в файловых системах? Упрощенный алгоритм работы можно описать в нескольких строках: Ячейки флэш-памяти, соответствующие (на логическом уровне) областям данных, которые не используются файловой системой для хранения информации в явном виде, очищаются и ссылки на них удаляются (т.е.

операционная система больше не может читать содержимое этих ячеек).

путем чтения данных соответствующих областей), ячейки затем используются для перераспределения данных на физическом уровне.

Если на момент очистки ячейки содержали фрагменты удаленных файлов или предыдущих файловых систем, то эти данные безвозвратно удаляются (перезаписываются).

В этом случае наибольший интерес представляют методы обнаружения контроллером флешки свободных участков данных файловой системы:

• обнаружение с помощью команды Trim ATA [3]: операционная система, поддерживающая данную ATA-команду, автоматически при удалении файлов или форматировании передает контроллеру информацию о неиспользуемых областях данных, которые можно использовать для нивелировки износа;
• обнаружение путем обработки структур файловых систем контроллером флешки: контроллер без участия операционной системы считывает хранимые данные, обрабатывает структуры наиболее распространенных файловых систем (например: FAT) и идентифицирует нераспределенные области данных, которые можно чистить и использовать для выравнивания износа.

И что это значит для компьютерной криминалистики?

• содержимое флэш-памяти может изменяться на логическом уровне даже при подключении носителей информации с использованием блокировщиков записи или при монтировании файловых систем в режиме «только для чтения»;
• SSD-накопители, самостоятельно идентифицирующие и использующие свободное (нераспределенное) пространство файловых систем, приводят к быстрому уничтожению удаленных данных.

• нельзя использовать хеш-функции для подтверждения неизменяемости (целостности) содержимого флешек;
• использование программных и аппаратных блокировщиков записи не обеспечивает неизменяемость (целостность) исследуемых данных при работе с флэш-накопителями;
• Восстановление удаленных данных с твердотельных накопителей может быть затруднено;
• Единственный способ гарантировать неизменность содержимого флэш-памяти при проведении исследований – это распайка модулей памяти и их чтение с последующей программной реконструкцией данных с использованием специальных программно-аппаратных систем восстановления данных.

Ссылки

1. Нил Кристиансен.

   Поддержка уведомлений об обрезке/удалении ATA в Windows 7 (PDF).

2. Суханов Максим.

   Проблемы компьютерной криминалистики и пути их решения (PDF).

3. Предложение команд управления набором данных для ATA8-ACS2 (ДОК).

4. Доминик Вебер.

   Флешки и приобретение .

• Бенеке, Фридрих Эдуард

  19 Oct, 24

• Reporter Camera — Приложение, Позволяющее Зашифровать Доступ К Фотографиям На Вашем Смартфоне.

  19 Oct, 24

• Митчелл Кэпор И Программа Lotus 1-2-3

  19 Oct, 24

• Сивелкирия Ос: Пример Построения Программы

  19 Oct, 24

• Обеспечение Сетевой Безопасности Совместно С Брокерами Сетевых Пакетов. Первая Часть. Функции Пассивной Безопасности

  19 Oct, 24

• Польза И Вред Деривативов

  19 Oct, 24

• Groovy 1.6 Выпущен!

  19 Oct, 24

• Насколько Безопаснее Ms Sql Server, Чем Oracle?

  19 Oct, 24

• Друпалконф — 2 Июня

  19 Oct, 24

• Что Почитать О Веб-Разработке

  19 Oct, 24