SSD disky ničí důkazní materiály a špatně mažou soubory

Petr Krčmář 7. 3. 2011

Mechanické pevné disky jsou tu s námi už padesát let a za tu dobu jsme se s nimi naučili bezpečně zacházet. Také ochránci zákona vědí, jak z nich dostat data, která na nich už zdánlivě nejsou. Situace se ale mění s příchodem SSD disků a nová studie ukazuje, že se objevují nové překážky pro forenzní analytiky.

Magnetické mechanické disky se poprvé objevily v padesátých letech minulého století a od té doby urazily kus cesty. Výrazně se zmenšily, zvýšily svou kapacitu o mnoho řádů a snížily svou cenu. Výsledkem je prověřená technologie, kterou používáme dnes a denně.

Také forenzní (soudní) analytici se s pevnými disky naučili velmi dobře zacházet a získávat z nich důkazy, které už jsou zdánlivě ztracené. Při práci s klasickým diskem za sebou totiž zanecháváme mnoho stop, na plotnách zůstávají fragmenty souborů a jednoduché smazání či „naformátování“ disků nedokáže data skutečně smazat. Informace je tak možné velmi úspěšně obnovit. Čtěte: Forenzní analýza unixových systémů.

Nová studie, jejímiž autory jsou Graeme B. Bell a Richard Boddington z australské Murdoch University ale v nové analýze poukázali na to, že moderní SSD disky začínají celou situaci výrazně komplikovat a velmi často poškozují důkazní materiál, čímž poškozují či přímo znemožňují jeho získání. Za vším stojí algoritmy určené pro zvýšení efektivity práce s SSD diskem.

Tichá práce v pozadí

SSD disk, na rozdíl od klasického magnetického disku, pracuje naprosto odlišně a data zapisuje do paměťových bloků ve flash čipech. Tyto bloky jsou výrazně větší než klasické sektory a je možné do nich zapisovat jen ve chvíli, kdy jsou prázdné. Pokud už v daném bloku leží nějaká data (ať už užitečná nebo ne, to disk neví), je třeba jej celý přečíst, v mezipaměti disku modifikovat, celý blok smazat a poté znovu zapsat. Taková operace samozřejmě trvá relativně dlouho a výkon disku tím trpí.

V případě zcela nového SSD disku k takové situaci nedochází, protože disk automaticky využívá volné bloky k zápisu nových informací, aby tak rozkládal zátěž na jednotlivé části čipu (wear leveling). Postupně ale dochází k zaplňování všech buněk nějakými daty a v určitou chvíli už disku nezbývá, než začít přepisovat starší bloky novějšími daty a dochází k problémům s výkonem.

Na vině je totiž to, jak operační systém pracuje s diskem. Pokud uživatel například smaže soubor, systém si jen do svých tabulek poznamená, že daná data jsou už neužitečná a mohou být v případě potřeby přepsána jinými daty. Těmto informacím ale disk nerozumí a nedokáže tak rozpoznat, že jsou některé bloky z hlediska systému volné.

Vznikl tak příkaz TRIM, který slouží právě k informování disku o volném prostoru. Systém tak vlastně disku sdělí: „Tyto bloky už nepotřebuji, můžeš si je smazat a připravit tak pro budoucí použití a rychlý zápis nových dat.“ To také disk samozřejmě ve volném čase udělá.

TRIM a data fuč

Tento postup je samozřejmě velmi výhodný pro výkon disku, protože mizí neužitečné bloky dat a disk je „čistý“ a připravený pro další rychlou práci nad čistým prostorem. Zároveň to však způsobuje fyzické smazání dat. Zatímco na magnetickém disku sektory zůstávají a jsou přepisovány až někdy v budoucnu, SSD disk smazání vždy doopravdy provede a data jsou nadobro ztracena. Není možné počítat ani s reziduálními stopami na magnetickém médiu, nic takového na flash pamětech nenajdeme. Data jsou tak nenávratně skartována.

Zmíněná analýza pánů Bella a Boddingtona [PDF] navíc ukazuje, že data z disků mizí překvapivě rychle a tomuto efektu navíc není možné zabránit. Vědci své pokusy prováděli na standardním 64GB SSD disku značky Corsair. Poté, co jej naplnili daty, provedli rychlé formátování. Už během tří minut bylo 99,7 % souborů ztraceno.

Byl také učiněn pokus, při kterém vědci k disku připojili speciální zařízení, které znemožňuje počítači zapisovat na disk jakákoliv data – takzvaný write blocker. Používá se k tomu, aby analytik dokázal vytvořit kopii celého disku bez rizika, že se na něj dostanou další data. Ukázalo se ale, že tento postup byl naprosto neúčinný a fyzická likvidace dat pokračovala. Jedná se o nezávislý interní proces disku, který nijak nesouvisí s připojeným počítačem. Disku stačí pouhé napájení k tomu, aby pokračoval ve velkém úklidu.

Likvidace dat je navíc velmi rychlá a důkazy tak mizí doslova pod rukama. Pokud disk čistí data mnohem rychleji, než je analytik získává, jak pak může analytik získat kompletní obraz disku v podobě, v jaké byl při zabavení? ptají se v analýze vědci.

Stejné testy byly pro srovnání provedeny i na běžném disku. Z něj bylo možné bez problému data přečíst i po smazání a čas, který od něj uplynul, neměl podle očekávání na obnovení souborů žádný vliv. I když SSD disk nedostává žádné příkazy od počítače, dokáže v překvapivě krátkém čase zničit všechny údaje a důkazy, na rozdíl od disků magnetických, uzavírají výsledky svých výzkumů australští vědci.

SSD je neprobádaná oblast

V současné době se tento problém týká jen moderních SSD disků, ale tým varuje, že se pravděpodobně rozšíří také do dalších oblastí. Například přenosné USB disky postupně svou kapacitou dohánějí disky v počítačích, takže se u nich časem objeví podobné problémy. Také na ně by mohly být nasazeny intenzivní optimalizační postupy, které budou způsobovat podobné problémy. Výrobci budou rovněž nasazovat stále agresivnější algoritmy s tím, jak poroste kapacita médií, zlepší se čipsety a vyvinou firmware.

Jednoduché řešení pak podle Bella a Boddingtona zatím neexistuje. To samozřejmě ohrožuje forenzní analýzu zabavených důkazů, v případě trestných činů. Pachatel se tak může snadno zbavit důkazů. Zároveň je to však také dobrá zpráva pro všechny ochránce práva na soukromí – výrazně to snižuje riziko, že někdo na vašem starém disku odhalí nějaká data.

I když ani to vlastně není vyloučeno. Shodou okolností byla nedávno publikována jiná podrobná zpráva [PDF], tentokrát z Kalifornské univerzity, podle které si u SSD disků nemůžeme být jisti, že jsou smazaná data opravdu pryč. Za problémem prý stojí chybná implementace ATA/SCSI příkazů v některých firmwarech SSD disků.

Paradoxní přitom je, že za problémem stojí naprosto stejná technika, která byla popsána výše – použití prázdných bloků pro zápis aktuálních informací. Disk při přepisu údajů využije nový prázdný blok a poznamená si, že v této části jsou správná data a ta předchozí je možné považovat za zastaralá a systému se nemají ukazovat. Snaha zvýšit výkon SSD disků však také způsobuje, že se data povalují na náhodných místech disků. Disk řeší celou situaci pomocí vlastního mapovacího algoritmu, který fyzické bloky mapuje do podoby pro operační systém. Nedotažené firmwary některých disků ale stará data roztroušená po disku příliš nehlídají a ta se pak mohou opět dostat tomu, kdo o ně má zájem.

Vědci v tomto případě testovali dvanáct různých disků a vyzkoušeli na nich kompletně smazat všechna data. Jen čtyři z těchto disků skutečně data odstranily, čtyři data neodstranily a tři disky testem neprošly kvůli chybě ve firmware a jeden disk dokonce nahlásil, že data jsou smazána a přitom byla naprosto nepoškozená a bylo možné je opět načíst. Poslední disk používal zajímavou mazací metodu, kdy pouze zahodil šifrovací klíče, kterými byl interně šifrován celý disk. Ověřit, zda je klíč skutečně dobře smazán a zda je šifrovací metoda dostatečně silná, je ale velmi obtížné a nebylo by to možné bez rozebrání disku.

Pokusy s mazáním jednotlivých souborů dopadly ještě hůře. Podařilo se obnovit mezi 4 a 75 procenty smazaných dat. Pro porovnání byly testovány také různé USB disky, které podaly ještě horší výkon – přečíst se podařilo až 84,9 % původních dat, která byla před testem smazána. Tým celé chování označil za velmi nebezpečné. Rozdíly mezi klasickými a SSD disky vedou k nebezpečné situaci, kdy se očekávané liší od skutečného stavu, komentovali výsledky svých zjištění. Uživatel tak může použít některou z mazacích technik, která ale nebude vůbec účinná. Nakonec tak data mohou na disku zůstat a jejich získání vyžaduje jen trochu sofistikované prá­ce.

Pozor na SSD

Ačkoliv jsou SSD disky často opěvovány pro řadu špičkových vlastností, začínají se objevovat i některé stinné stránky, na které dříve nikdo ani nepomyslel. Může se vám tak stát, že některá data nedokážete při sebevětší snaze z disku smazat a o jiná můžete naopak přijít.

Je dobré o těchto problémech vědět, abychom se vyhnuli nepříjemnému překvapení. Na druhou stranu se podobné nedotaženosti daly očekávat. Vždyť magnetické disky jsou tu s námi padesát let a jejich nehybní bratříčci jsou tu s námi jen chvíli. Snad se jim brzy podaří srovnat krok.

Našli jste v článku chybu?
Lupa.cz: Co najdete uvnitř kosmické sondy?

Co najdete uvnitř kosmické sondy?

Měšec.cz: TEST: Vyzkoušeli jsme pražské taxikáře

TEST: Vyzkoušeli jsme pražské taxikáře

Měšec.cz: Kurzy platebních karet: vyplatí se platit? (TEST)

Kurzy platebních karet: vyplatí se platit? (TEST)

Měšec.cz: Test: Výběry z bankomatů v cizině a kurzy

Test: Výběry z bankomatů v cizině a kurzy

DigiZone.cz: Vláda schválila digitální vysílání ČRo

Vláda schválila digitální vysílání ČRo

DigiZone.cz: ČTÚ zveřejnil aktualizovaný D-Book

ČTÚ zveřejnil aktualizovaný D-Book

Vitalia.cz: Ženy, které milují příliš, jsou neštěstí

Ženy, které milují příliš, jsou neštěstí

Měšec.cz: Co když na dovolené přijdete o kartu?

Co když na dovolené přijdete o kartu?

Lupa.cz: Kdo vykrádá LinkedIn? Zjistit to má soud

Kdo vykrádá LinkedIn? Zjistit to má soud

Vitalia.cz: Vakcína Cervarix je oficiálně i pro chlapce

Vakcína Cervarix je oficiálně i pro chlapce

Měšec.cz: Se stavebkem k soudu už (většinou) nemusíte

Se stavebkem k soudu už (většinou) nemusíte

Lupa.cz: Elektronika tajemství zbavená. Jak s ní začít?

Elektronika tajemství zbavená. Jak s ní začít?

Podnikatel.cz: Týká se vás EET? Chtějte od berňáku posudek

Týká se vás EET? Chtějte od berňáku posudek

Lupa.cz: Olympiáda zakázala GIFy. Moc to nepomáhá

Olympiáda zakázala GIFy. Moc to nepomáhá

120na80.cz: Víte, co je svobodná menstruace?

Víte, co je svobodná menstruace?

Lupa.cz: Co vzal čas: internetové kavárny a herny

Co vzal čas: internetové kavárny a herny

Měšec.cz: Ceny PHM v Evropě. Finty na úspory

Ceny PHM v Evropě. Finty na úspory

Podnikatel.cz: Novela zákoníku práce. Řeší homeworking

Novela zákoníku práce. Řeší homeworking

DigiZone.cz: E! a zákulisí turné Mariah Carey

E! a zákulisí turné Mariah Carey

Vitalia.cz: Za její cukrovkou stojí rodiče

Za její cukrovkou stojí rodiče