Hlavní navigace

SSD disky ničí důkazní materiály a špatně mažou soubory

Petr Krčmář 7. 3. 2011

Mechanické pevné disky jsou tu s námi už padesát let a za tu dobu jsme se s nimi naučili bezpečně zacházet. Také ochránci zákona vědí, jak z nich dostat data, která na nich už zdánlivě nejsou. Situace se ale mění s příchodem SSD disků a nová studie ukazuje, že se objevují nové překážky pro forenzní analytiky.

Magnetické mechanické disky se poprvé objevily v padesátých letech minulého století a od té doby urazily kus cesty. Výrazně se zmenšily, zvýšily svou kapacitu o mnoho řádů a snížily svou cenu. Výsledkem je prověřená technologie, kterou používáme dnes a denně.

Také forenzní (soudní) analytici se s pevnými disky naučili velmi dobře zacházet a získávat z nich důkazy, které už jsou zdánlivě ztracené. Při práci s klasickým diskem za sebou totiž zanecháváme mnoho stop, na plotnách zůstávají fragmenty souborů a jednoduché smazání či „naformátování“ disků nedokáže data skutečně smazat. Informace je tak možné velmi úspěšně obnovit. Čtěte: Forenzní analýza unixových systémů.

Nová studie, jejímiž autory jsou Graeme B. Bell a Richard Boddington z australské Murdoch University ale v nové analýze poukázali na to, že moderní SSD disky začínají celou situaci výrazně komplikovat a velmi často poškozují důkazní materiál, čímž poškozují či přímo znemožňují jeho získání. Za vším stojí algoritmy určené pro zvýšení efektivity práce s SSD diskem.

Tichá práce v pozadí

SSD disk, na rozdíl od klasického magnetického disku, pracuje naprosto odlišně a data zapisuje do paměťových bloků ve flash čipech. Tyto bloky jsou výrazně větší než klasické sektory a je možné do nich zapisovat jen ve chvíli, kdy jsou prázdné. Pokud už v daném bloku leží nějaká data (ať už užitečná nebo ne, to disk neví), je třeba jej celý přečíst, v mezipaměti disku modifikovat, celý blok smazat a poté znovu zapsat. Taková operace samozřejmě trvá relativně dlouho a výkon disku tím trpí.

V případě zcela nového SSD disku k takové situaci nedochází, protože disk automaticky využívá volné bloky k zápisu nových informací, aby tak rozkládal zátěž na jednotlivé části čipu (wear leveling). Postupně ale dochází k zaplňování všech buněk nějakými daty a v určitou chvíli už disku nezbývá, než začít přepisovat starší bloky novějšími daty a dochází k problémům s výkonem.

Na vině je totiž to, jak operační systém pracuje s diskem. Pokud uživatel například smaže soubor, systém si jen do svých tabulek poznamená, že daná data jsou už neužitečná a mohou být v případě potřeby přepsána jinými daty. Těmto informacím ale disk nerozumí a nedokáže tak rozpoznat, že jsou některé bloky z hlediska systému volné.

Vznikl tak příkaz TRIM, který slouží právě k informování disku o volném prostoru. Systém tak vlastně disku sdělí: „Tyto bloky už nepotřebuji, můžeš si je smazat a připravit tak pro budoucí použití a rychlý zápis nových dat.“ To také disk samozřejmě ve volném čase udělá.

TRIM a data fuč

Tento postup je samozřejmě velmi výhodný pro výkon disku, protože mizí neužitečné bloky dat a disk je „čistý“ a připravený pro další rychlou práci nad čistým prostorem. Zároveň to však způsobuje fyzické smazání dat. Zatímco na magnetickém disku sektory zůstávají a jsou přepisovány až někdy v budoucnu, SSD disk smazání vždy doopravdy provede a data jsou nadobro ztracena. Není možné počítat ani s reziduálními stopami na magnetickém médiu, nic takového na flash pamětech nenajdeme. Data jsou tak nenávratně skartována.

Zmíněná analýza pánů Bella a Boddingtona [PDF] navíc ukazuje, že data z disků mizí překvapivě rychle a tomuto efektu navíc není možné zabránit. Vědci své pokusy prováděli na standardním 64GB SSD disku značky Corsair. Poté, co jej naplnili daty, provedli rychlé formátování. Už během tří minut bylo 99,7 % souborů ztraceno.

Byl také učiněn pokus, při kterém vědci k disku připojili speciální zařízení, které znemožňuje počítači zapisovat na disk jakákoliv data – takzvaný write blocker. Používá se k tomu, aby analytik dokázal vytvořit kopii celého disku bez rizika, že se na něj dostanou další data. Ukázalo se ale, že tento postup byl naprosto neúčinný a fyzická likvidace dat pokračovala. Jedná se o nezávislý interní proces disku, který nijak nesouvisí s připojeným počítačem. Disku stačí pouhé napájení k tomu, aby pokračoval ve velkém úklidu.

Likvidace dat je navíc velmi rychlá a důkazy tak mizí doslova pod rukama. Pokud disk čistí data mnohem rychleji, než je analytik získává, jak pak může analytik získat kompletní obraz disku v podobě, v jaké byl při zabavení? ptají se v analýze vědci.

Stejné testy byly pro srovnání provedeny i na běžném disku. Z něj bylo možné bez problému data přečíst i po smazání a čas, který od něj uplynul, neměl podle očekávání na obnovení souborů žádný vliv. I když SSD disk nedostává žádné příkazy od počítače, dokáže v překvapivě krátkém čase zničit všechny údaje a důkazy, na rozdíl od disků magnetických, uzavírají výsledky svých výzkumů australští vědci.

SSD je neprobádaná oblast

V současné době se tento problém týká jen moderních SSD disků, ale tým varuje, že se pravděpodobně rozšíří také do dalších oblastí. Například přenosné USB disky postupně svou kapacitou dohánějí disky v počítačích, takže se u nich časem objeví podobné problémy. Také na ně by mohly být nasazeny intenzivní optimalizační postupy, které budou způsobovat podobné problémy. Výrobci budou rovněž nasazovat stále agresivnější algoritmy s tím, jak poroste kapacita médií, zlepší se čipsety a vyvinou firmware.

Jednoduché řešení pak podle Bella a Boddingtona zatím neexistuje. To samozřejmě ohrožuje forenzní analýzu zabavených důkazů, v případě trestných činů. Pachatel se tak může snadno zbavit důkazů. Zároveň je to však také dobrá zpráva pro všechny ochránce práva na soukromí – výrazně to snižuje riziko, že někdo na vašem starém disku odhalí nějaká data.

I když ani to vlastně není vyloučeno. Shodou okolností byla nedávno publikována jiná podrobná zpráva [PDF], tentokrát z Kalifornské univerzity, podle které si u SSD disků nemůžeme být jisti, že jsou smazaná data opravdu pryč. Za problémem prý stojí chybná implementace ATA/SCSI příkazů v některých firmwarech SSD disků.

Paradoxní přitom je, že za problémem stojí naprosto stejná technika, která byla popsána výše – použití prázdných bloků pro zápis aktuálních informací. Disk při přepisu údajů využije nový prázdný blok a poznamená si, že v této části jsou správná data a ta předchozí je možné považovat za zastaralá a systému se nemají ukazovat. Snaha zvýšit výkon SSD disků však také způsobuje, že se data povalují na náhodných místech disků. Disk řeší celou situaci pomocí vlastního mapovacího algoritmu, který fyzické bloky mapuje do podoby pro operační systém. Nedotažené firmwary některých disků ale stará data roztroušená po disku příliš nehlídají a ta se pak mohou opět dostat tomu, kdo o ně má zájem.

Vědci v tomto případě testovali dvanáct různých disků a vyzkoušeli na nich kompletně smazat všechna data. Jen čtyři z těchto disků skutečně data odstranily, čtyři data neodstranily a tři disky testem neprošly kvůli chybě ve firmware a jeden disk dokonce nahlásil, že data jsou smazána a přitom byla naprosto nepoškozená a bylo možné je opět načíst. Poslední disk používal zajímavou mazací metodu, kdy pouze zahodil šifrovací klíče, kterými byl interně šifrován celý disk. Ověřit, zda je klíč skutečně dobře smazán a zda je šifrovací metoda dostatečně silná, je ale velmi obtížné a nebylo by to možné bez rozebrání disku.

Pokusy s mazáním jednotlivých souborů dopadly ještě hůře. Podařilo se obnovit mezi 4 a 75 procenty smazaných dat. Pro porovnání byly testovány také různé USB disky, které podaly ještě horší výkon – přečíst se podařilo až 84,9 % původních dat, která byla před testem smazána. Tým celé chování označil za velmi nebezpečné. Rozdíly mezi klasickými a SSD disky vedou k nebezpečné situaci, kdy se očekávané liší od skutečného stavu, komentovali výsledky svých zjištění. Uživatel tak může použít některou z mazacích technik, která ale nebude vůbec účinná. Nakonec tak data mohou na disku zůstat a jejich získání vyžaduje jen trochu sofistikované prá­ce.

Pozor na SSD

Ačkoliv jsou SSD disky často opěvovány pro řadu špičkových vlastností, začínají se objevovat i některé stinné stránky, na které dříve nikdo ani nepomyslel. Může se vám tak stát, že některá data nedokážete při sebevětší snaze z disku smazat a o jiná můžete naopak přijít.

Je dobré o těchto problémech vědět, abychom se vyhnuli nepříjemnému překvapení. Na druhou stranu se podobné nedotaženosti daly očekávat. Vždyť magnetické disky jsou tu s námi padesát let a jejich nehybní bratříčci jsou tu s námi jen chvíli. Snad se jim brzy podaří srovnat krok.

Našli jste v článku chybu?

7. 3. 2011 10:51

Článek je příliš zjednodušený. Ne vždy je rozumné mazat data na SSD hned. Není to chyba firmwaru, ale princip funkce těchto disků.

Typická flash paměť má tři typy bloků: read block - nejmenší blok pro čtení (typicky 64b), write block - nejmenší blok pro zápis (typicky 2kB nebo 4kB) a erase block - nejmenší blok pro mazání (typicky 64kB nebo 128kB). Ke každému bloku pak patří ještě řádově desítky bajtů OOB dat (out-of-block), do kterých se zapisují pracovní informace - kontrolní součet, zda je b…

7. 3. 2011 9:28

Upřímně řečeno, pokud jsou na disku data, která by potenciálně mohla zajímat forenzní analytiky, má být takový disk šifrován jako celek. (Což bohužel při současném vývoji práva znamená šifrovat každý disk.)

Pokud disk není šifrovaný, je dobré občas (pravidelně) provést wipe. Dokonce některé systémy souborů mají (nebo se plánuje) featuru, kdy se wipe provede po každém vymazání souboru (na místo pouhého označení v tabulce volného místa).

To, že po příkazu TRIM (který mimochodem nebyl "vynalezen"…

Lupa.cz: Slevové šílenství je tu. Kde nakoupit na Black Friday?

Slevové šílenství je tu. Kde nakoupit na Black Friday?

Lupa.cz: Google měl výpadek, nejel Gmail ani YouTube

Google měl výpadek, nejel Gmail ani YouTube

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

DigiZone.cz: Česká televize mění schéma ČT :D

Česká televize mění schéma ČT :D

Root.cz: Vypadl Google a rozbilo se toho hodně

Vypadl Google a rozbilo se toho hodně

Podnikatel.cz: Prodává přes internet. Kdy platí zdravotko?

Prodává přes internet. Kdy platí zdravotko?

Lupa.cz: Avast po spojení s AVG propustí 700 lidí

Avast po spojení s AVG propustí 700 lidí

Vitalia.cz: To není kašel! Správná diagnóza zachrání život

To není kašel! Správná diagnóza zachrání život

DigiZone.cz: Recenze Westworld: zavraždit a...

Recenze Westworld: zavraždit a...

Vitalia.cz: Chtějí si léčit kvasinky. Lék je jen v Německu

Chtějí si léčit kvasinky. Lék je jen v Německu

Podnikatel.cz: EET: Totálně nezvládli metodologii projektu

EET: Totálně nezvládli metodologii projektu

Vitalia.cz: Baletky propagují zdravotní superpostel

Baletky propagují zdravotní superpostel

Vitalia.cz: Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

DigiZone.cz: NG natáčí v Praze seriál o Einsteinovi

NG natáčí v Praze seriál o Einsteinovi

Lupa.cz: Není sleva jako sleva. Jak obchodům nenaletět?

Není sleva jako sleva. Jak obchodům nenaletět?

120na80.cz: Rakovina oka. Jak ji poznáte?

Rakovina oka. Jak ji poznáte?

Vitalia.cz: Jsou čajové sáčky toxické?

Jsou čajové sáčky toxické?

120na80.cz: Pánové, pečujte o svoje přirození a prostatu

Pánové, pečujte o svoje přirození a prostatu

Vitalia.cz: Paštiky plné masa ho zatím neuživí

Paštiky plné masa ho zatím neuživí