Две интересные исследовательские статьи из разных уголков планеты, опубликованные в Интернете практически сразу друг за другом, дают существенно новый взгляд на криминалистические аспекты работы SSD, или твердотельных накопителей, часто называемых флэш-накопителями.
Внутренняя работа твердотельных накопителей настолько отличается от традиционных магнитных жестких дисков, что судебно-медицинские эксперты больше не могут полагаться на современные технологии хранения данных в ситуациях, когда доказательства с носителей типа SSD появляются в судебных разбирательствах.
С другой стороны, фрагменты данных, хранящиеся в памяти флэш-накопителей, могут быть практически неуничтожимыми.
Не подлежит восстановлению Примерно такова суть предупреждения в результатах исследовательской статьи ученых из Австралийского университета Мердока («Твердотельные накопители: начало конца современной практики в области цифровых криминалистических исследований» Грэма Б.
Белла и Ричарда Боддингтона).
PDF).
В основу исследования легла большая серия экспериментов по сравнению нюансов хранения данных в изучаемых образцах: SSD-флешке Corsair на 64 ГБ и традиционном магнитном диске Hitachi на 80 ГБ.
В ходе сравнительного анализа исследователи выявили целый букет проблем с восстановлением данных на твердотельных накопителях.
Проблемы, совершенно необычные для магнитных дисков и вызванные алгоритмами очистки или «сборки мусора», используемыми для поддержания флэш-накопителей на максимальном уровне производительности.
Под воздействием этих алгоритмов важные для расследования данные, хранящиеся на современных твердотельных накопителях, часто становятся объектом процесса, известного среди криминалистов как «самокрозия».
Результатом этого процесса является то, что данные на SSD постоянно стираются или загрязняются посторонними данными, что совершенно необычно для носителей на жестких дисках.
И, что принципиально важно, все эти изменения информации происходят при отсутствии каких-либо команд со стороны пользователя или компьютера.
Результаты австралийских исследователей неизбежно вызывают сомнения в целостности и надежности тех файлов, которые изолируются криминалистическими методами и извлекаются с устройств хранения данных.
Можно даже сказать, что существует явная угроза окончания того «золотого века» сбора цифровых доказательств, который был обеспечен особенностями хранения данных на магнитных носителях.
На протяжении последних нескольких десятилетий следователи работали с магнитными лентами, дискетами и жесткими дисками, которые продолжали хранить огромные объемы информации после того, как содержащие ее файлы были помечены системой как уничтоженные.
Даже процедура безопасного удаления, как известно специалистам, не всегда достаточна для полного уничтожения информации на магнитном носителе.
Однако твердотельные накопители SSD хранят данные совсем по-другому — в виде блоков или страниц транзисторных логических микросхем NAND, которые необходимо стереть электронным способом, прежде чем их можно будет использовать повторно.
Результатом работы отрасли по повышению эффективности SSD-памяти является то, что большинство современных флэш-накопителей имеют встроенные в прошивку программы, которые регулярно и автоматически выполняют процедуры «самоочистки» или «сборки мусора».
В результате этих санитарных процедур происходит постоянная перезапись, модификация и перенос тех файлов, которые помечены системой как уничтоженные.
Причем этот процесс начинается без всякого уведомления и очень быстро, практически сразу после подачи питания на чип.
От пользователя не требуется никаких команд, а флешка не издает ни звука, ни света, информируя пользователя о том, что процедура очистки началась.
При тестировании конкретного образца после его быстрого форматирования исследователи ожидали, что утилита очистки начнет работать примерно через 30-60 минут, полагая, что этот процесс должен произойти с SSD до того, как в блоки начнут записываться новые данные, прежде чем он будет занят файлы.
К их удивлению, удаление произошло всего через три минуты, в результате чего для восстановления с диска осталось только 1064 файла улик из 316 666. Решив проследить этот процесс дальше, учёные извлекли флешку из компьютера и подключили её к блокировщику записи — аппаратному устройству, специально предназначенному для изоляции её от всех процедур, которые могли бы изменить содержимое носителя.
Но даже здесь всего через 20 минут после подключения почти 19 процентов всех файлов были стерты из-за внутренних процессов, инициированных самой прошивкой SSD без каких-либо внешних команд. Для сравнения: на эквивалентном магнитном жестком диске все данные после того же форматирования оставались восстанавливаемыми независимо от времени, как и ожидали исследователи.
Понятно, что для криминалистов, обеспокоенных сохранностью всех данных на носителях, такая особенность SSD представляет собой большую проблему.
Как пишет в комментарии к своей статье один из соавторов, Грэм Белл, «некоторые люди в сообществе компьютерных криминалистов догадывались, что с данными на SSD происходят какие-то забавные вещи, но почти всем, кому мы показывали наши результаты были шокированы масштабом того, что было обнаружено».
Если «сбор мусора» на SSD происходит до или во время процедуры судебно-медицинской экспертизы, это приводит к необратимому уничтожению потенциально больших объемов ценных данных.
Эти данные, которые обычно получаются в качестве доказательств в ходе следственного процесса, отсюда и новый термин «разрушение доказательств».
Нет никаких сомнений в том, что открытия австралийских экспертов неизбежно будут иметь серьезные последствия для тех уголовных и гражданских дел, которые опираются на цифровые доказательства.
Если на диске, с которого были получены доказательства, имеются признаки того, что с данными произошли изменения после изъятия устройства у владельца, то противная сторона имеет основания требовать исключения этих доказательств из судебного рассмотрения.
Авторы статьи также предупреждают, что по мере роста емкости USB-флешек производители могут начать встраивать в них аналогичные технологии очистки, создавая такую же проблему для массива вторичных (внешних) носителей информации.
Кроме того, Белл и Боддингтон предполагают, что утилиты для сбора мусора со временем станут более агрессивными, поскольку производители внедряют все более мощные прошивки, наборы микросхем и накопители большей емкости.
В итоговом заключении статьи, содержащей 18 проблемных пунктов, исследователи не предлагают никаких методов лечения, считая, что простого и эффективного решения этой проблемы не существует. Не могу стереть Если говорить о другой американской исследовательской статье, также посвященной особенностям хранения данных на твердотельных накопителях, то ее результаты на первый взгляд явно противоречат результатам, полученным австралийцами.
Здесь команда исследователей пришла к совершенно другому открытию: фрагменты данных, хранящиеся в памяти флэш-накопителей, могут быть практически неуничтожимыми.
Как показывают авторы этой статьи, флэш-накопители очень сложно очистить от уязвимых к компрометации данных традиционными методами безопасного удаления файлов и дисков.
Даже в тех случаях, когда устройства SSD сообщают, что файлы были уничтожены, до 75 процентов содержащихся в них данных все еще могут находиться в памяти флэш-накопителя.
В частности, в некоторых случаях, когда твердотельные накопители сообщают, что файлы «надежно удалены», на самом деле их дубликаты остаются практически нетронутыми во вторичных местах.
Таковы, в двух словах, выводы исследования, проведенного в Калифорнийском университете в Сан-Диего и представленного в конце февраля на конференции Usenix FAST 11 («Надежное стирание данных с твердотельных накопителей на базе флэш-памяти», Майкл Вей, Laura Grupp).
, Фредерик Спада, Стивен Суонсон PDF).
Проблемы с надежной перезаписью данных на SSD, как пишут авторы работы, возникают из-за кардинально иного внутреннего устройства носителя.
Традиционные диски ATA и SCSI используют намагничивающиеся материалы для записи информации в определенное физическое место, известное как LBA или адрес логического блока.
SSD-накопители, с другой стороны, используют микросхемы для цифрового хранения, которые используют FTL или «уровень флэш-трансляции» для управления контентом.
Когда данные на таких носителях изменяются, FTL часто записывает новые файлы в разные места, одновременно обновляя карту памяти, чтобы отразить внесенные изменения.
Результатом таких манипуляций является то, что остатки предыдущих файлов, которые авторы называют «цифровыми остатками», продолжают храниться на диске в виде неконтролируемых дубликатов.
Как пишут авторы: «Эти различия в обработке между магнитными дисками и SSD потенциально приводят к опасным несоответствиям между ожиданиями пользователя и реальным поведением флешки.
Владелец такого устройства может применить к SSD стандартные средства очистки жесткого диска».
, ошибочно полагая, что в результате данные, находящиеся на диске, будут безвозвратно уничтожены.
Фактически, эти данные могут остаться на диске, и для их восстановления потребуется всего несколько более сложных операций».
Что касается конкретных цифр, исследователи обнаружили, что около 67 процентов данных, хранящихся в файле, остались на диске даже после того, как они были уничтожены на SSD с помощью функции «безопасного стирания», присутствующей в Apple Mac OS X. Другие безопасны (перезапись).
) Утилиты стирания под другими операционными системами показали примерно схожие результаты.
Например, после уничтожения отдельных файлов программой Pseudorandom Data на SSD могло остаться до 75 процентов данных, а при использовании британской правительственной технологии очистки British HMG IS5 — до 58 процентов.
Как предупреждает статья, эти результаты показывают, что в ситуации с SSD перезапись данных неэффективна, а стандартные процедуры стирания, предусмотренные производителем, могут работать не так, как ожидалось.
По мнению исследователей, наиболее эффективный способ безопасного удаления данных на SSD — использовать устройства, шифрующие их содержимое.
В данном случае очистка включает в себя уничтожение ключей шифрования в специальном разделе, называемом «хранилище ключей», что, по сути, гарантирует, что данные навсегда останутся зашифрованными на диске.
Но здесь, конечно, таится другая проблема.
Как пишут авторы статьи, «опасность заключается в том, что защита зависит от корректной работы контроллера, который очищает внутреннее хранилище, содержащее криптоключ и любые другие полученные из него значения, которые могут быть полезны в криптоанализ.
Учитывая ошибки реализации, которые мы обнаружили в некоторых вариантах утилит безопасного стирания, было бы необоснованно оптимистично предполагать, что поставщики твердотельных накопителей правильно очистят хранилище ключей.
Хуже того, нет возможности (например, разобрав устройство) проверить, что стирание действительно произошло».
Исследователи получили свои результаты, записав на SSD-накопители различные файлы с четко идентифицируемой структурой данных.
Затем специальное устройство на основе FPGA (чипов с перепрограммируемой логикой) было использовано для быстрого поиска и идентификации оставшихся «отпечатков пальцев» этих файлов после применения процедур безопасного стирания.
Специальное устройство исследователей стоит около тысячи долларов, но «более простая версия устройства на базе микроконтроллера будет стоить около 200 долларов и потребует лишь скромного технического опыта для его проектирования».
Нет никакого противоречия Как говорится в объединенном резюме этих двух статей на дискуссионном форуме Slashdot: «Либо твердотельные накопители действительно сложно стереть, либо с них действительно очень сложно восстановить удаленные файлы.
Получается какая-то запутанная история».
Один из непосредственных участников первого (австралийского) исследования Грэм Белл объясняет этот кажущийся парадокс следующим образом.
Раньше данные на дисках традиционно очищались вручную, то есть путем явной подачи команды компьютеру указать накопителю записать что-то еще поверх предыдущих данных.
Если такая команда перезаписи не поступала, то данные продолжали храниться на магнитном носителе.
Однако если вы попытаетесь применить тот же трюк к SSD, это может не сработать.
Адрес логической памяти, который вы пытаетесь перезаписать, возможно, уже был перераспределен на лету, поэтому ваша команда «перезаписать» переходит в другое место физической памяти, отличное от того, в котором ранее хранились данные.
С логической точки зрения все выглядит так, будто перезапись сработала: вы больше не сможете получить доступ к этим данным через ОС вашего компьютера.
Однако с точки зрения самой флешки эти данные все равно там, спрятаны в какой-то физической ячейке, которая в данный момент не используется, если мы имеем в виду соответствующий логический сектор.
Однако какая-нибудь умная прошивка или хитрый хакер с паяльником в принципе могут добраться до этих данных.
В то же время, помимо этих возможностей, современные SSD-носители используют различные специфические приемы для автоматического повышения своей производительности.
Один из таких приемов — предварительная перезапись ячеек памяти, содержащих данные, которые больше не учитываются файловой системой.
В этом случае сам привод активно пытается постоянно очистить с диска все, что можно.
Причем все это он делает исключительно по собственной инициативе — просто ради ускорения будущих операций записи, предоставляя заранее подготовленный пул доступных и неиспользуемых ячеек.
Подводя итог этим особенностям твердотельных накопителей, можно констатировать следующее.
Если ваш компьютер прикажет флэшке сбросить некоторые данные, то диск может лгать вам и на самом деле сброс может произойти, а может и не произойти.
Если накопитель сам захочет что-то перезаписать (и сделает это фактически без предупреждения), то эти данные будут уничтожены.
Другой комментатор, явно не без чувства юмора, описал столь сложную ситуацию следующими словами: «Почему вы называете это путаницей? Здесь все прозрачно и понятно.
Если вы хотите восстановить удаленные данные, то вы не сможете этого сделать.
Если вы хотите их уничтожить, то вы и этого не сможете сделать.
Это закон Мерфи для хранения данных на твердотельных накопителях».
ПС.
Оригинал здесь http://www.computerra.ru/597770/ , к сожалению не могу опубликовать ссылку на тему, но тема крайне интересная, простите.
Теги: #ssd #Восстановление данных #безопасность #информационная безопасность
-
Паршивая Овца Музыкальной Индустрии
19 Oct, 24 -
Google Предупреждает Себя (Appleoid #8)
19 Oct, 24 -
Кислотное Освещение
19 Oct, 24 -
Крик От Души
19 Oct, 24
