Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.

Razlike

Slijede razlike između dviju inačica stranice.

Poveznica na ovu usporedbu

Starije izmjene na obje strane Starija izmjena
Novija izmjena 		Starija izmjena
racfor_wiki:seminari2023:forenzika_ssd_diskova [2024/01/16 19:23]
kdolic 		racfor_wiki:seminari2023:forenzika_ssd_diskova [2024/12/05 12:24] (trenutno)
Redak 1: Redak 1:
-====== Forenzika SSD diskova ======+===== Forenzika SSD diskova =====
  
 ===Sadržaj=== ===Sadržaj===
 +  * Sadržaj
 +  * Sažetak
   * Uvod   * Uvod
-  * SSD disk+  * SSD (Solid State Drive) 
 +  * Stohastička forenzika 
 +  * Povrat izbrisanih podataka 
 +  * SSD sanitizacija
   * Zaključak   * Zaključak
   * Literatura   * Literatura
  
 +===Sažetak===
 +Širenje uporabe SSD tehnologije dovelo je do dramatičnih promjena u pristupu računalne forezike. Naime, ekstrakcija podataka iz SSD pohrane razlikuje se od ekstrakcije podataka iz tradicionalnijih magnetskih medija pohrane. Umjesto predvidivog i visoko uspješnog povrata informacija koje je sumnjivac pokušao uništiti kod magnetskih medija, suočeni smo sa stohastičkom forenzikom SSD pohrane.
  
  
-http://racfor.zesoi.fer.hr/doku.php?id=racfor_wiki:seminari2023:analiza_podataka_dobivenih_uslugom_google_takeout+===Uvod=== 
 +Sa značajnim napretkom u tehnologiji skladištenja podataka, SSD diskovi postali su sveprisutni u digitalnim uređajima, od laptopa do pametnih telefona. Sa ubrzanim širenjem SSD tehnologije, javljaju se i izazovi u području forenzike. Karakteristike SSD diskova znatno odstupaju od karakteristika tradicionalnih tvrdih diskova sa magnetnim memorijama. Inherentna kompleksnost upravljanja podatcima na SSD uređajima uključuje tehnologije i procese kao što su wear leveling, TRIM komande i garbage collection. Iako nužni za poboljšanje performansi SSD diska, ovi procesi znatno otežavaju forenzičke istrage na memoriji SSD diskova. 
 + 
 + 
 +===SSD (Solid State Drive)=== 
 +Konvencionalni HDD (Hard Disk Drive) je elektromehanički oblik pohrane koji sadrži rotirajuće diskove i pomične mehaničke glave kako bi pisao i čitao podatke. Kod SSD-a nema pomičnih niti mehaničkih komponentni, što čini SSD znatno bržim od HDD-a. 
 + 
 +SSD diskovi se proizvode u dva tipa arhitekture – NOR i NAND flash arhitekturama. NAND arhitektura je brža kod pisanja podataka, a NOR kod čitanja. Kao i inače u flash memoriji, podatci mogu biti upisani u blok ukoliko je podatkovni blok u potpunosti prazan, odnosno izbrisan. Dakle, operacija brisanja se provodi svaki put prije nego što se nešto upiše u memoriju. Ovakvo upravljanje memorijom je srž problema koji čini forenziku SSD-a teškom u odnosu na forenziku HDD-a. 
 + 
 +{{ :racfor_wiki:seminari2023:ssd_arch.png?600 | Slika 1: Prikaz SSD NOR i NAND arhitektura}} 
 +<file>Slika 1Prikaz SSD NOR i NAND arhitektura [2]</file> 
 + 
 +Kako bi SSD-i bili efikasniji u pohrani memorije, većina modernih SSD-a konstantno provodi garbage collection kao pozadinski proces, trajno brisajući sve podatke označene za brisanje u vrlo kratkom vremenskom rokuOvakav proces nazivamo „samokorozivnost“Samokorozivnost ne možemo zaustaviti uklanjanjem SSD-a i njegovim usljednim priključivanjem na drugo računalo ili čitačJedini način da se samokorozivnost zaustavi je fizičko odspajanje kontrolera diska s flash memorije koja sadrži podatke i pristupanje flash memoriji direktno pomoću specijaliziranih uređaja. 
 + 
 +S druge strane, konstrukcija SSD-a čini i ciljano brisanje podataka problematičnim. U flash memoriju može se pisati samo određeni broj operacija prije nego što ona postane neuporabiva. Kako bi doskočili ovom problemu, proizvođači SSD-a implementirali su razne tehnike smanjivanja habanja SSD-a, koje, umjesto da brišu pa pišu u isti blok kada se podatci modificiraju, pišu u prazne blokove koje nađu. Ovo dovodi do problema raspršenosti osljetljivih podataka po cijelom disku. 
 + 
 +===Stohastička forenzika=== 
 +Kao što je objašnjeno u prethodnom poglavlju, SSD forenzika je na prvi pogled paradoksna. SSD sprema podatke na takav način da ih je istovremeno teško vratiti u slučaju brisanja i teško izbrisati u potpunosti po strogim standardima raznih institucija. Jedino što je sigurno u SSD forenzici je nesigurnost u ishod – situacija koja podsjeća na poznatu Schroedingerovu mačku. Sigurno je da će forenzičar moći pristupiti pohrani, ali hoće li podatke pronaći, i ako da, gdje i u kakvom stanju, je neizvjesno. 
 + 
 +{{ :racfor_wiki:seminari2023:schroedingers_cat.png?600 | Slika 2: Schroedingerova mačka}} 
 +<file> Slika 2: Schroedingerova mačka </file> 
 + 
 +===Povrat izbrisanih podataka=== 
 +SSD forenzika se još uvijek u većini slučajeva provodi na „običnim“ računalima predviđenim za forenzičke svrhe. SSD-i su ili priključeni direktno na računalno SATA sučelje ili spojeni na uređaj koji blokira pisanje kakav je korišten u forenzici HDD-a. Iako takvi uređaji spriječavaju izmjene podataka od strane korisnika (slučajne ili namjerne), ne spriječavaju ugrađene mehanizme izmjene i brisanja podataka SSD-a. SSD spojen na takav uređaj nastaviti će svoj interni samokorozivni garbage collection, što će u vrlo kratkom roku dovesti do uništenja bilo kakvih ostataka izbrisanih podataka čiji povrat želimo. Kao što je već spomenuto, jedini način da se samokorozivnost zaustavi je fizičko odspajanje kontrolera diska s flash memorije koja sadrži podatke i pristupanje flash memoriji direktno pomoću specijaliziranih uređaja. Iako efektivna, metoda je još uvijek slabo raširena jer zahtjeva određene vještine i posebno izrađeni hardver. 
 + 
 +{{ :racfor_wiki:seminari2023:ssd_controller.png?600 | Slika 3: Potrebno je ukloniti ili zaobići kontroler označen na slici}} 
 +<file> Slika 3: Potrebno je ukloniti ili zaobići kontroler označen na slici[1] </file> 
 + 
 +Primjer specijaliziranog hardvera kakav se može koristiti u ove svrhe je FPGA uređaj razvijen na Sveučilištu u Kaliforniji. Uređaj daje direktni pristup flash memoriji SSD-a, zaobilazeći kontroler. Cijena prototipa bila je $1000, a procjenjuje se da će cijena proizvodnje biti prava sitnica od $200. 
 + 
 +{{ :racfor_wiki:seminari2023:customhardwarewei.png?600 | Slika 4: Specijalizirani FPGA uređaj za dohvat obrisanih podataka sa SSD-a}} 
 +<file>Slika 4: Specijalizirani FPGA uređaj za dohvat obrisanih podataka sa SSD-a [5]</file> 
 + 
 +===SSD sanitizacija=== 
 +Standardi HDD sanitizacije organizacija diljem svijeta su konzistentni – prepiši disk nekoliko puta (preferabilno nulama, zatim jedinicama, zatim slučajnim podatcima), izvrši ugrađeno sigurno brisanje, zatim uništi ili degaussiraj disk. S druge strane, standardi SSD sanitizacije su ili nepostojeći ili potpuno neusklađeni. Npr. NIST 800-88 standard iziskuje prepisivanje diska na način sličan kao kod sanitizacije HDD-a, dok uputa 5020 za sigurnost Vojnog Zrakoplovstva SAD-a preporuča „procedure brisanja specificirane od strane proizvođača“. 
 + 
 +Istraživanja pokazuju da su tehnike sanitizacije HDD-a vrlo često manjkave kada je u pitanju SSD. Rezultati prepisivanja podataka cijelog diska dokazano su nesigurni zbog svoje nepredvidivosti – kod nekih diskova korištenih za istraživanja, podatci su bili uništeni, a kod nekih nisu. Degaussiranje diska se pak pokazalo kao u potpunosti neučinkovito –podatci na degaussiranim diskovima ostali su netaknuti. U teoriji, sanitizacija enkripcijskog ključa trebala bi biti efektivna ukoliko se provede kako spada. Naime, ukoliko se sa enkriptiranog SSD-a izbriše enkripcijski ključ, podatci će, barem teoretski, postati nečitljivi, a time i nedostižni. Ugrađene komande za sanitizaciju diska su kao i enkripcijska santizacija, efektivne ukoliko su implementirane ispravno, ali isto tako imaju isti problem - obje dokazano efektivne tehnike mogu se koristiti samo za brisanje i sanitizaciju kompletnog diska, ali ne i odabranih dokumenata ili skupova podataka na disku.  
 + 
 + 
 +===Zaključak=== 
 +SSD forenzika donosi mnoge nove izazove koji nisu bili prisutni u HDD forenzici. SSD-ovi samouništavaju podatke, što čini ekstrakciju gotovo nemogućom. Istovremeno, sigurno brisanje podataka je vrlo teško izvedivo. Uz sve to, tehnologije i tehnike forenzike SSD-a su još uvijek u razvoju, tako da što vrijedi danas, ne mora vrijediti i sutra te je vrlo važno pratiti što se događa u istraživanjima, razvoju i industriji. 
 + 
 +===Literatura=== 
 +  * [1] https://belkasoft.com/why-ssd-destroy-court-evidence 
 +  * [2] https://repository.stcloudstate.edu/cgi/viewcontent.cgi?article=1140&context=msia_etds 
 +  * [3] https://medium.com/@songchai.d01/how-to-perform-ssd-forensics-part-i-1158dd3975e8 
 +  * [4] https://core.ac.uk/download/pdf/56364298.pdf 
 +  * [5] https://www.usenix.org/legacy/events/fast11/tech/full_papers/Wei.pdf
racfor_wiki/seminari2023/forenzika_ssd_diskova.1705432986.txt.gz · Zadnja izmjena: 2024/12/05 12:23 (vanjsko uređivanje)
Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.
CC Attribution-Share Alike 4.0 International
www.chimeric.de Valid CSS Driven by DokuWiki do yourself a favour and use a real browser - get firefox!! Recent changes RSS feed Valid XHTML 1.0