SSD disky ničí důkazní materiály a špatně mažou soubory

Petr Krčmář 7. 3. 2011

Mechanické pevné disky jsou tu s námi už padesát let a za tu dobu jsme se s nimi naučili bezpečně zacházet. Také ochránci zákona vědí, jak z nich dostat data, která na nich už zdánlivě nejsou. Situace se ale mění s příchodem SSD disků a nová studie ukazuje, že se objevují nové překážky pro forenzní analytiky.

Magnetické mechanické disky se poprvé objevily v padesátých letech minulého století a od té doby urazily kus cesty. Výrazně se zmenšily, zvýšily svou kapacitu o mnoho řádů a snížily svou cenu. Výsledkem je prověřená technologie, kterou používáme dnes a denně.

Také forenzní (soudní) analytici se s pevnými disky naučili velmi dobře zacházet a získávat z nich důkazy, které už jsou zdánlivě ztracené. Při práci s klasickým diskem za sebou totiž zanecháváme mnoho stop, na plotnách zůstávají fragmenty souborů a jednoduché smazání či „naformátování“ disků nedokáže data skutečně smazat. Informace je tak možné velmi úspěšně obnovit. Čtěte: Forenzní analýza unixových systémů.

Nová studie, jejímiž autory jsou Graeme B. Bell a Richard Boddington z australské Murdoch University ale v nové analýze poukázali na to, že moderní SSD disky začínají celou situaci výrazně komplikovat a velmi často poškozují důkazní materiál, čímž poškozují či přímo znemožňují jeho získání. Za vším stojí algoritmy určené pro zvýšení efektivity práce s SSD diskem.

Tichá práce v pozadí

SSD disk, na rozdíl od klasického magnetického disku, pracuje naprosto odlišně a data zapisuje do paměťových bloků ve flash čipech. Tyto bloky jsou výrazně větší než klasické sektory a je možné do nich zapisovat jen ve chvíli, kdy jsou prázdné. Pokud už v daném bloku leží nějaká data (ať už užitečná nebo ne, to disk neví), je třeba jej celý přečíst, v mezipaměti disku modifikovat, celý blok smazat a poté znovu zapsat. Taková operace samozřejmě trvá relativně dlouho a výkon disku tím trpí.

V případě zcela nového SSD disku k takové situaci nedochází, protože disk automaticky využívá volné bloky k zápisu nových informací, aby tak rozkládal zátěž na jednotlivé části čipu (wear leveling). Postupně ale dochází k zaplňování všech buněk nějakými daty a v určitou chvíli už disku nezbývá, než začít přepisovat starší bloky novějšími daty a dochází k problémům s výkonem.

Na vině je totiž to, jak operační systém pracuje s diskem. Pokud uživatel například smaže soubor, systém si jen do svých tabulek poznamená, že daná data jsou už neužitečná a mohou být v případě potřeby přepsána jinými daty. Těmto informacím ale disk nerozumí a nedokáže tak rozpoznat, že jsou některé bloky z hlediska systému volné.

Vznikl tak příkaz TRIM, který slouží právě k informování disku o volném prostoru. Systém tak vlastně disku sdělí: „Tyto bloky už nepotřebuji, můžeš si je smazat a připravit tak pro budoucí použití a rychlý zápis nových dat.“ To také disk samozřejmě ve volném čase udělá.

TRIM a data fuč

Tento postup je samozřejmě velmi výhodný pro výkon disku, protože mizí neužitečné bloky dat a disk je „čistý“ a připravený pro další rychlou práci nad čistým prostorem. Zároveň to však způsobuje fyzické smazání dat. Zatímco na magnetickém disku sektory zůstávají a jsou přepisovány až někdy v budoucnu, SSD disk smazání vždy doopravdy provede a data jsou nadobro ztracena. Není možné počítat ani s reziduálními stopami na magnetickém médiu, nic takového na flash pamětech nenajdeme. Data jsou tak nenávratně skartována.

Zmíněná analýza pánů Bella a Boddingtona [PDF] navíc ukazuje, že data z disků mizí překvapivě rychle a tomuto efektu navíc není možné zabránit. Vědci své pokusy prováděli na standardním 64GB SSD disku značky Corsair. Poté, co jej naplnili daty, provedli rychlé formátování. Už během tří minut bylo 99,7 % souborů ztraceno.

Byl také učiněn pokus, při kterém vědci k disku připojili speciální zařízení, které znemožňuje počítači zapisovat na disk jakákoliv data – takzvaný write blocker. Používá se k tomu, aby analytik dokázal vytvořit kopii celého disku bez rizika, že se na něj dostanou další data. Ukázalo se ale, že tento postup byl naprosto neúčinný a fyzická likvidace dat pokračovala. Jedná se o nezávislý interní proces disku, který nijak nesouvisí s připojeným počítačem. Disku stačí pouhé napájení k tomu, aby pokračoval ve velkém úklidu.

Likvidace dat je navíc velmi rychlá a důkazy tak mizí doslova pod rukama. Pokud disk čistí data mnohem rychleji, než je analytik získává, jak pak může analytik získat kompletní obraz disku v podobě, v jaké byl při zabavení? ptají se v analýze vědci.

Stejné testy byly pro srovnání provedeny i na běžném disku. Z něj bylo možné bez problému data přečíst i po smazání a čas, který od něj uplynul, neměl podle očekávání na obnovení souborů žádný vliv. I když SSD disk nedostává žádné příkazy od počítače, dokáže v překvapivě krátkém čase zničit všechny údaje a důkazy, na rozdíl od disků magnetických, uzavírají výsledky svých výzkumů australští vědci.

SSD je neprobádaná oblast

V současné době se tento problém týká jen moderních SSD disků, ale tým varuje, že se pravděpodobně rozšíří také do dalších oblastí. Například přenosné USB disky postupně svou kapacitou dohánějí disky v počítačích, takže se u nich časem objeví podobné problémy. Také na ně by mohly být nasazeny intenzivní optimalizační postupy, které budou způsobovat podobné problémy. Výrobci budou rovněž nasazovat stále agresivnější algoritmy s tím, jak poroste kapacita médií, zlepší se čipsety a vyvinou firmware.

Jednoduché řešení pak podle Bella a Boddingtona zatím neexistuje. To samozřejmě ohrožuje forenzní analýzu zabavených důkazů, v případě trestných činů. Pachatel se tak může snadno zbavit důkazů. Zároveň je to však také dobrá zpráva pro všechny ochránce práva na soukromí – výrazně to snižuje riziko, že někdo na vašem starém disku odhalí nějaká data.

I když ani to vlastně není vyloučeno. Shodou okolností byla nedávno publikována jiná podrobná zpráva [PDF], tentokrát z Kalifornské univerzity, podle které si u SSD disků nemůžeme být jisti, že jsou smazaná data opravdu pryč. Za problémem prý stojí chybná implementace ATA/SCSI příkazů v některých firmwarech SSD disků.

Paradoxní přitom je, že za problémem stojí naprosto stejná technika, která byla popsána výše – použití prázdných bloků pro zápis aktuálních informací. Disk při přepisu údajů využije nový prázdný blok a poznamená si, že v této části jsou správná data a ta předchozí je možné považovat za zastaralá a systému se nemají ukazovat. Snaha zvýšit výkon SSD disků však také způsobuje, že se data povalují na náhodných místech disků. Disk řeší celou situaci pomocí vlastního mapovacího algoritmu, který fyzické bloky mapuje do podoby pro operační systém. Nedotažené firmwary některých disků ale stará data roztroušená po disku příliš nehlídají a ta se pak mohou opět dostat tomu, kdo o ně má zájem.

Vědci v tomto případě testovali dvanáct různých disků a vyzkoušeli na nich kompletně smazat všechna data. Jen čtyři z těchto disků skutečně data odstranily, čtyři data neodstranily a tři disky testem neprošly kvůli chybě ve firmware a jeden disk dokonce nahlásil, že data jsou smazána a přitom byla naprosto nepoškozená a bylo možné je opět načíst. Poslední disk používal zajímavou mazací metodu, kdy pouze zahodil šifrovací klíče, kterými byl interně šifrován celý disk. Ověřit, zda je klíč skutečně dobře smazán a zda je šifrovací metoda dostatečně silná, je ale velmi obtížné a nebylo by to možné bez rozebrání disku.

Pokusy s mazáním jednotlivých souborů dopadly ještě hůře. Podařilo se obnovit mezi 4 a 75 procenty smazaných dat. Pro porovnání byly testovány také různé USB disky, které podaly ještě horší výkon – přečíst se podařilo až 84,9 % původních dat, která byla před testem smazána. Tým celé chování označil za velmi nebezpečné. Rozdíly mezi klasickými a SSD disky vedou k nebezpečné situaci, kdy se očekávané liší od skutečného stavu, komentovali výsledky svých zjištění. Uživatel tak může použít některou z mazacích technik, která ale nebude vůbec účinná. Nakonec tak data mohou na disku zůstat a jejich získání vyžaduje jen trochu sofistikované prá­ce.

Pozor na SSD

Ačkoliv jsou SSD disky často opěvovány pro řadu špičkových vlastností, začínají se objevovat i některé stinné stránky, na které dříve nikdo ani nepomyslel. Může se vám tak stát, že některá data nedokážete při sebevětší snaze z disku smazat a o jiná můžete naopak přijít.

Je dobré o těchto problémech vědět, abychom se vyhnuli nepříjemnému překvapení. Na druhou stranu se podobné nedotaženosti daly očekávat. Vždyť magnetické disky jsou tu s námi padesát let a jejich nehybní bratříčci jsou tu s námi jen chvíli. Snad se jim brzy podaří srovnat krok.

Ohodnoťte jako ve škole:

Průměrná známka 1,50

Našli jste v článku chybu?
Zasílat nově přidané názory e-mailem
Vitalia.cz: Kupujete český česnek? Je to trik

Kupujete český česnek? Je to trik

Vitalia.cz: Utrhli jste kusadla? Nevadí

Utrhli jste kusadla? Nevadí

Lupa.cz: Na Google I/O se stály fronty i na přednášky

Na Google I/O se stály fronty i na přednášky

120na80.cz: Odřenina. Jakou použít dezinfekci?

Odřenina. Jakou použít dezinfekci?

Měšec.cz: Udali ho na nelegální software a přišla Policie

Udali ho na nelegální software a přišla Policie

120na80.cz: Jak správně vytrhnout mléčný zub?

Jak správně vytrhnout mléčný zub?

Podnikatel.cz: Alza radí e-shopům, jak opustit Heureku

Alza radí e-shopům, jak opustit Heureku

Vitalia.cz: Vydával se za český, prozradila ho DNA

Vydával se za český, prozradila ho DNA

120na80.cz: Zjistěte, zda je vaše klíště infikované

Zjistěte, zda je vaše klíště infikované

Lupa.cz: Je IoT bezpečnostní noční můra?

Je IoT bezpečnostní noční můra?

Podnikatel.cz: Když už je sexy, tak ať taky funguje

Když už je sexy, tak ať taky funguje

DigiZone.cz: Šlágr TV dostala pokutu 100 000 Kč

Šlágr TV dostala pokutu 100 000 Kč

Podnikatel.cz: Konečně vývar. Skoro jako od Steva Jobse

Konečně vývar. Skoro jako od Steva Jobse

120na80.cz: Poznáte, který z léků je pravý?

Poznáte, který z léků je pravý?

DigiZone.cz: Šlágr TV: pokuta 100 tisíc za on-line

Šlágr TV: pokuta 100 tisíc za on-line

120na80.cz: Jak si udržet zdravou vaginu

Jak si udržet zdravou vaginu

Vitalia.cz: 7 nemocí očí, které musíte léčit včas

7 nemocí očí, které musíte léčit včas

Vitalia.cz: Falšovaný salám v Kauflandu

Falšovaný salám v Kauflandu

120na80.cz: 10 dezinfekcí: Vede „starý dobrý“ peroxid

10 dezinfekcí: Vede „starý dobrý“ peroxid

Podnikatel.cz: Různé podoby lahve Coca–Coly. Úchvatné

Různé podoby lahve Coca–Coly. Úchvatné