Przejście na SSD jednak służy prywatności? Firmware tych pamięci niszczy cyfrowe dowody

W zeszłym tygodniu informowaliśmy Was o wynikach badań amerykańskich naukowców, poświęconych kasowaniu danych z dysków półprzewodnikowych SSD. Okazało się, że procedury niszczenia danych wypracowane dla zwykłych dysków twardych były w wielu wypadkach całkowicie nieskuteczne. Autorzy badań zalecali więc całkowitą zmianę polityki zarządzania bezpieczeństwem informacji w organizacjach wykorzystujących tego typu pamięci masowe. Tymczasem najnowsze badania specjalistów z Australii pokazują, że sytuacja wcale nie jest taka oczywista – w wielu sytuacjach dyski SSD okazują się trudnym orzechem do zgryzienia nawet dla najlepszych narzędzi informatyki śledczej.

Graeme B. Bell i Richard Boddington z Murdoch University w australijskim Perth przedstawili wyniki swoich badań w raporcie pt. „Solid State Drives: The Beginning of the End for Current Practice in Digital Forensic Discovery?”. Nie są to dobre wieści dla informatyków rozmaitych służb mundurowych, zajmujących się pozyskiwaniem dowodów z zarekwirowanych komputerów.

Badacze przeprowadzili serię eksperymentów, w których wykorzystano przykładowy napęd SSD Corsaira 64 GB i zwykły magnetyczny dysk twardy Hitachi 80 GB. Okazało się, że wykorzystywane przez firmware napędu SSD algorytmy czyszczenia nieużytków, pozwalające na utrzymanie ich w stanie wysokiej dostępności i wydajności, praktycznie uniemożliwiają odzyskanie danych po szybkim formatowaniu.

Po zeskanowaniu napędu SSD pod kątem śladów po danych, badacze spodziewali się, że mechanizmy czyszczące uruchomią się po 30-60 minutach. Jednak ku ich zaskoczeniu, proces czyszczenia nieużytków został zainicjowany już po trzech minutach – po tym czasie spośród 316666 plików, które znajdowały się na dysku, jedynie 1064 nadawało się do odzyskania.

W kolejnym eksperymencie badacze usunęli napęd SSD z komputera i podłączyli go do urządzenia blokującego próby zapisu. Mimo to, w ciągu 20 minut przez które napęd był podłączony do blokera, 19% wszystkich plików zostało na dobre usunięte z napędu Corsaira. Dla porównania, wszystkie dane ze standardowego dysku udało się bez problemów odzyskać.

Badacze twierdzą więc, że współczesne napędy SSD potrafią nieodwracalnie zniszczyć dowody w krótkim czasie, w sposób niedostępny dla zwykłego dysku twardego – wystarczy, że zostaną podłączone do źródła zasilania. Po raz pierwszy w historii, wykorzystywane przez informatyków śledczych urządzenia blokujące zapis, zostały zignorowane przez pamięć masową. „Jeśli napęd niszczy dane o wiele szybciej, niż analityk jest w stanie je przechwycić, a proces ich niszczenia może zostać rozpoczęty w czasie, gdy analityk rozpoczyna ich pozyskiwanie, jak może on mieć nadzieję na przechwycenie całego, nienaruszonego obrazu tego dysku, który odpowiadałby jego stanowi na początku procesu przechwytywania?” – piszą Australijczycy w swoim raporcie.

Wygląda na to, że specjaliści od analizy zawartości pamięci masowych w pewnym stopniu zdawali sobie sprawę z tego, że coś dziwnego dzieje się z niektórymi SSD. Graeme Bell, jeden z współtwórców raportu, mówi jednak, że nikt nie spodziewał się, że czyszczenie nieużytków działa na taką skalę. Najwyraźniej prowadzący śledztwo będą mieli teraz bardzo utrudnione życie – nie sposób będzie wykazać, że właściciel komputera korzystał z niego w taki sposób, który pozwoliłby prokuratorowi wytoczyć oskarżenie.

Bell i Boddington ostrzegają również, że podobnych mechanizmów czyszczenia nieużytków możemy wkrótce zacząć się spodziewać także w zwykłych pendrive'ach, w miarę jak stają się one coraz pojemniejsze i szybsze. Z czasem zaś w napędach SSD algorytmy czyszczące będą coraz bardziej agresywne, w miarę jak producenci będą budować doskonalsze dyski tego typu. Obecnie jedynie niektóre starsze napędy SSD są pozbawione takiego systemu – rosnąca liczba nowych napędów jest już znakomitym prezentem dla ceniących swoją prywatność.

Z kompletnym raportem możecie zapoznać się tutaj. My zastanawiamy się, czy kolejna technologia służąca prywatności nie przeleje czasem czary goryczy władz. Już dzisiaj obywatele dysponują oprogramowaniem kryptograficznym, które nierzadko lepsze jest od tego, z czego korzysta wojsko. W połączeniu z darknetami i pamięciami masowymi, z których nie sposób zrekonstruować plików, może to być początek końca kontroli państwa nad cyberprzestrzenią.

źródło: ITworld.com

Podoba Ci się ten tekst? Powiedz o tym innym na Fb: lub na G+:

publikuj:

wydrukuj

10 skomentuj »

Komentarze

#1 peemte 2011-03-03 12:58:40 0
Jaki początek końca? Wystarczy napisać specustawę, która zmusi producentów dysków SSD do zmiany algorytmów czyszczących używanych przez firmware. Ewentualnie podciągnąć to pod jakiś istniejący już paragraf na terrorystów, piratów czy innych wrogów.
IP: 212.87.14.[...] Mozilla/5.0 (X11; U; Linux i686; en-US) AppleWebKit/534.12 (KHTML, like Gecko) Chrome/9.0.587.0 Safari/534.12
#2 eimi^® 2011-03-03 13:08:01 0
Tylko że sporo takich napędów będzie już w obiegu. Poza tym zmusisz producentów z USA do zmian, producenci z Korei będą zacierali ręce. Niestety, Nowy Światowy Porządek nie działa aż tak skutecznie :).
IP: 90.156.40.[...] Mozilla/5.0 (X11; U; Linux x86_64; en-US) AppleWebKit/534.20 (KHTML, like Gecko) Ubuntu/10.10 Chromium/11.0.672.2 Chrome/11.0.672.2 Safari/534.20
#3 Morfik 2011-03-03 15:07:37 1
@peemte

A kto ci wtedy kupi taki dysk?

@eimi®

"Nowy Światowy Porządek" w ogóle nie działa, bynajmniej nie w sieci :]

Poza tym, odnoszę dziwne wrażenie, że autor wpisu uważa, że państwa kontrolują cyberprzestrzeń :]

Przykład TPB, TOR i wiele, wiele innych.
IP: 82.160.125.[...] Opera/9.80 (X11; Linux i686; U; pl) Presto/2.7.62 Version/11.01
#4 gica 2011-03-03 17:58:34 0
Wszystko jest do odzyskania. Jedyna bariera to koszty i czas, które możesz przeznaczć na owe odzyskiwanie.

Druga sprawa, że każdy producent musi mieć furtkę, która umożliwia organom ścigania w 'szybki' sposób odzyskiwać dane.
IP: 83.7.147.[...] Opera/9.80 (X11; Linux i686; U; pl) Presto/2.7.62 Version/11.01
#5 ikkiz^® 2011-03-04 09:56:38 0
@gica - skąd wziąłeś takie stwierdzenie? to jakiś dogmat?

Daj mi płytę dvd i zapalniczkę, to pokażę ci jak w 3 sekundy nieodwracalnie skasować jej zawartość. Dane niestety i na szczęście są zniszczalne.

Ja bym proponował inny dogmat - wszystko jest do skasowania - jedyna bariera to koszty i czas, które możesz poświęcić na owe kasowanie.

a dyski, które same się kasują to po prostu marzenie chcących dane zniszczyć i koszmar tych co potrzebują odzyskać.
IP: 83.17.120.[...] Mozilla/5.0 (Windows; U; Windows NT 5.1; pl; rv:1.9.2.13) Gecko/20101203 AskTbPTV2/3.9.1.14019 Firefox/3.6.13
#6 peemte 2011-03-04 11:42:37 0
@eimi: Jeśli producenci z Korei będą chcieli sprzedawać swój towar w USA, to się zgodzą. Domyślam się, że zależy im na tym rynku, więc raczej nie mają innego wyjścia. Można też "poprosić" Microsoft albo Apple'a, żeby ich OS-y nie obsługiwały takich dysków. Możliwości widzę tutaj sporo ;)

@Morfik: Większość zwykłych użytkowników komputerów kupi takie dyski. Wątpię, żeby "normalnych" ludzi interesowały algorytmy firmware'u. Przeciętnemu użytkownikowi zależy, żeby dysk był pojemny, tani i szybki.
IP: 212.87.14.[...] Mozilla/5.0 (X11; U; Linux i686; en-US) AppleWebKit/534.12 (KHTML, like Gecko) Chrome/9.0.587.0 Safari/534.12
#7 eimi^® 2011-03-04 12:08:13 0
@peemte: kwestia w tym, że szybkość napędu bierze się m.in właśnie z takiego firmware'u. Corsair nie wprowadził garbage collectora po to, by dbać o prywatność raczej :).
IP: 90.156.40.[...] Mozilla/5.0 (X11; U; Linux x86_64; en-US) AppleWebKit/534.20 (KHTML, like Gecko) Ubuntu/10.10 Chromium/11.0.672.2 Chrome/11.0.672.2 Safari/534.20
#8 gica 2011-03-04 15:43:42 0
@ikkiz - Fizycznie wszystkie dyski są do zniszczenia. Przecież to jest oczywista oczywistość. Jeśli chodzi o niszczenie firmwarem, nie jest to już takie oczywiste i proste.

A jak byś skasował dane z nośnika dvd, bez wykorzystania fizycznego niszczenia owego dysku? Bo spalić czy połamać płytkę to każdy potrafi. :P
IP: 83.7.142.[...] Opera/9.80 (X11; Linux i686; U; pl) Presto/2.7.62 Version/11.01
#9 peemte 2011-03-04 18:30:18 0
@eimi: Dyski SSD są i tak sporo szybsze od tradycyjnych "twardzieli", więc ludzie powinni być zadowoleni, nawet jeśli nie będą miały takiego GC.
IP: 212.87.14.[...] Mozilla/5.0 (X11; U; Linux i686; en-US) AppleWebKit/534.12 (KHTML, like Gecko) Chrome/9.0.587.0 Safari/534.12
#10 eimi^® 2011-03-04 18:58:55 0
@peemte: pewnie, ludzie byli też zadowoleni z core2duo - core i5 to jakieś fanaberie.
IP: 90.156.40.[...] Mozilla/5.0 (X11; U; Linux x86_64; en-US) AppleWebKit/534.20 (KHTML, like Gecko) Ubuntu/10.10 Chromium/11.0.672.2 Chrome/11.0.672.2 Safari/534.20

Aby dodać komentarz, musisz podać swój nick, treść komentarza oraz poprawnie przepisać oba słowa z obrazka (słowa muszą być rozdzielone spacją).
W treści komentarza można używać języka formatowania BBcode.