Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.

Razlike

Slijede razlike između dviju inačica stranice.

Poveznica na ovu usporedbu

Starije izmjene na obje strane Starija izmjena
Novija izmjena 		Starija izmjena
racfor_wiki:seminari2023:forenzika_ssd_diskova [2024/01/16 22:08]
kdolic 		racfor_wiki:seminari2023:forenzika_ssd_diskova [2024/12/05 12:24] (trenutno)
Redak 2: Redak 2:
  
 ===Sadržaj=== ===Sadržaj===
-  *Sadržaj+  * Sadržaj 
 +  * Sažetak
   * Uvod   * Uvod
   * SSD (Solid State Drive)   * SSD (Solid State Drive)
   * Stohastička forenzika   * Stohastička forenzika
   * Povrat izbrisanih podataka   * Povrat izbrisanih podataka
 +  * SSD sanitizacija
   * Zaključak   * Zaključak
   * Literatura   * Literatura
 +
 +===Sažetak===
 +Širenje uporabe SSD tehnologije dovelo je do dramatičnih promjena u pristupu računalne forezike. Naime, ekstrakcija podataka iz SSD pohrane razlikuje se od ekstrakcije podataka iz tradicionalnijih magnetskih medija pohrane. Umjesto predvidivog i visoko uspješnog povrata informacija koje je sumnjivac pokušao uništiti kod magnetskih medija, suočeni smo sa stohastičkom forenzikom SSD pohrane.
 +
  
 ===Uvod=== ===Uvod===
-Širenje uporabe SSD tehnologije dovelo je do dramatičkih promjena pristupu računalne forezikeNaime, ekstrakcija podataka iz SSD pohrane razlikuje se od ekstrakcije podataka iz tradicionalnijih magnetskih medija pohraneUmjesto predvidivog visoko uspješnog povrata informacija koje je sumnjivac pokušao uništiti kod magnetskih medijasuočeni smo sa stohastičkom forenzikom SSD pohrane.+Sa značajnim napretkom u tehnologiji skladištenja podataka, SSD diskovi postali su sveprisutni u digitalnim uređajima, od laptopa do pametnih telefona. Sa ubrzanim širenjem SSD tehnologije, javljaju se i izazovi području forenzikeKarakteristike SSD diskova znatno odstupaju od karakteristika tradicionalnih tvrdih diskova sa magnetnim memorijamaInherentna kompleksnost upravljanja podatcima na SSD uređajima uključuje tehnologije procese kao što su wear leveling, TRIM komande i garbage collection. Iako nužni za poboljšanje performansi SSD diskaovi procesi znatno otežavaju forenzičke istrage na memoriji SSD diskova. 
  
 ===SSD (Solid State Drive)=== ===SSD (Solid State Drive)===
 Konvencionalni HDD (Hard Disk Drive) je elektromehanički oblik pohrane koji sadrži rotirajuće diskove i pomične mehaničke glave kako bi pisao i čitao podatke. Kod SSD-a nema pomičnih niti mehaničkih komponentni, što čini SSD znatno bržim od HDD-a. Konvencionalni HDD (Hard Disk Drive) je elektromehanički oblik pohrane koji sadrži rotirajuće diskove i pomične mehaničke glave kako bi pisao i čitao podatke. Kod SSD-a nema pomičnih niti mehaničkih komponentni, što čini SSD znatno bržim od HDD-a.
  
-SSD diskovi se proizvode u dva tipa arhitekture – NOR i NAND flash arhitekturama. NAND arhitektura je brža kod pisanja podataka, a NOR kod čitanja. Kao i inače u flash memoriji, podatci mogu biti upisani u blok ukoliko je podatkovni blok u potpunosti prazan, odnosno izbrisan. Dakle, operacija brisanja se provodi svaki put prije nego što se nešto upiše u memoriju. Ovakvo upravljanje memorijom je srž problema koji čini forenziku SSD-a problematičnom u odnosu na forenziku HDD-a.+SSD diskovi se proizvode u dva tipa arhitekture – NOR i NAND flash arhitekturama. NAND arhitektura je brža kod pisanja podataka, a NOR kod čitanja. Kao i inače u flash memoriji, podatci mogu biti upisani u blok ukoliko je podatkovni blok u potpunosti prazan, odnosno izbrisan. Dakle, operacija brisanja se provodi svaki put prije nego što se nešto upiše u memoriju. Ovakvo upravljanje memorijom je srž problema koji čini forenziku SSD-a teškom u odnosu na forenziku HDD-a.
  
 {{ :racfor_wiki:seminari2023:ssd_arch.png?600 | Slika 1: Prikaz SSD NOR i NAND arhitektura}} {{ :racfor_wiki:seminari2023:ssd_arch.png?600 | Slika 1: Prikaz SSD NOR i NAND arhitektura}}
 +<file>Slika 1: Prikaz SSD NOR i NAND arhitektura [2]</file>
  
 Kako bi SSD-i bili efikasniji u pohrani memorije, većina modernih SSD-a konstantno provodi garbage collection kao pozadinski proces, trajno brisajući sve podatke označene za brisanje u vrlo kratkom vremenskom roku. Ovakav proces nazivamo „samokorozivnost“. Samokorozivnost ne možemo zaustaviti uklanjanjem SSD-a i njegovim usljednim priključivanjem na drugo računalo ili čitač. Jedini način da se samokorozivnost zaustavi je fizičko odspajanje kontrolera diska s flash memorije koja sadrži podatke i pristupanje flash memoriji direktno pomoću specijaliziranih uređaja. Kako bi SSD-i bili efikasniji u pohrani memorije, većina modernih SSD-a konstantno provodi garbage collection kao pozadinski proces, trajno brisajući sve podatke označene za brisanje u vrlo kratkom vremenskom roku. Ovakav proces nazivamo „samokorozivnost“. Samokorozivnost ne možemo zaustaviti uklanjanjem SSD-a i njegovim usljednim priključivanjem na drugo računalo ili čitač. Jedini način da se samokorozivnost zaustavi je fizičko odspajanje kontrolera diska s flash memorije koja sadrži podatke i pristupanje flash memoriji direktno pomoću specijaliziranih uređaja.
Redak 28: Redak 36:
  
 {{ :racfor_wiki:seminari2023:schroedingers_cat.png?600 | Slika 2: Schroedingerova mačka}} {{ :racfor_wiki:seminari2023:schroedingers_cat.png?600 | Slika 2: Schroedingerova mačka}}
 +<file> Slika 2: Schroedingerova mačka </file>
  
 ===Povrat izbrisanih podataka=== ===Povrat izbrisanih podataka===
-SSD forenzika se još uvijek u većini slučajeva provodi na „običnim“ računalima predviđenim za forenzičke svrhe. SSD-i su ili priključeni direktno na računalno SATA sučelje ili spojeni na uređaj koji blokira pisanje kakav je korišten u forenzici HDD-a. Iako takvi uređaji spriječavaju izmjene podataka od strane korisnika (slučajne ili namjerne), ne spriječavaju ugrađene mehanizme izmjene i brisanja podataka SSD-a. SSD spojen na takav uređaj nastaviti će svoj interni samokorozivni garbage collection, što će u vrlo kratkom roku dovesti do uništenja bilo kakavih zaostataka izbrisanih podataka čiji povrat želimo. Kao što je već spomenuto, jedini način da se samokorozivnost zaustavi je fizičko odspajanje kontrolera diska s flash memorije koja sadrži podatke i pristupanje flash memoriji direktno pomoću specijaliziranih uređaja. Iako efektivna, metoda je još uvijek slabo raširena jer zahtjeva određene vještine i posebno izrađeni hardver.+SSD forenzika se još uvijek u većini slučajeva provodi na „običnim“ računalima predviđenim za forenzičke svrhe. SSD-i su ili priključeni direktno na računalno SATA sučelje ili spojeni na uređaj koji blokira pisanje kakav je korišten u forenzici HDD-a. Iako takvi uređaji spriječavaju izmjene podataka od strane korisnika (slučajne ili namjerne), ne spriječavaju ugrađene mehanizme izmjene i brisanja podataka SSD-a. SSD spojen na takav uređaj nastaviti će svoj interni samokorozivni garbage collection, što će u vrlo kratkom roku dovesti do uništenja bilo kakvih ostataka izbrisanih podataka čiji povrat želimo. Kao što je već spomenuto, jedini način da se samokorozivnost zaustavi je fizičko odspajanje kontrolera diska s flash memorije koja sadrži podatke i pristupanje flash memoriji direktno pomoću specijaliziranih uređaja. Iako efektivna, metoda je još uvijek slabo raširena jer zahtjeva određene vještine i posebno izrađeni hardver.
  
 {{ :racfor_wiki:seminari2023:ssd_controller.png?600 | Slika 3: Potrebno je ukloniti ili zaobići kontroler označen na slici}} {{ :racfor_wiki:seminari2023:ssd_controller.png?600 | Slika 3: Potrebno je ukloniti ili zaobići kontroler označen na slici}}
 +<file> Slika 3: Potrebno je ukloniti ili zaobići kontroler označen na slici[1] </file>
  
 Primjer specijaliziranog hardvera kakav se može koristiti u ove svrhe je FPGA uređaj razvijen na Sveučilištu u Kaliforniji. Uređaj daje direktni pristup flash memoriji SSD-a, zaobilazeći kontroler. Cijena prototipa bila je $1000, a procjenjuje se da će cijena proizvodnje biti prava sitnica od $200. Primjer specijaliziranog hardvera kakav se može koristiti u ove svrhe je FPGA uređaj razvijen na Sveučilištu u Kaliforniji. Uređaj daje direktni pristup flash memoriji SSD-a, zaobilazeći kontroler. Cijena prototipa bila je $1000, a procjenjuje se da će cijena proizvodnje biti prava sitnica od $200.
  
-{{ :racfor_wiki:seminari2023:customhardwarewei.png?600 | Slika 4: Specijalizirani FPGA uređaj za dohvat obrisanih podataka SSD-a}}+{{ :racfor_wiki:seminari2023:customhardwarewei.png?600 | Slika 4: Specijalizirani FPGA uređaj za dohvat obrisanih podataka sa SSD-a}} 
 +<file>Slika 4: Specijalizirani FPGA uređaj za dohvat obrisanih podataka sa SSD-a [5]</file>
  
-===TO DO===+===SSD sanitizacija=== 
 +Standardi HDD sanitizacije organizacija diljem svijeta su konzistentni – prepiši disk nekoliko puta (preferabilno nulama, zatim jedinicama, zatim slučajnim podatcima), izvrši ugrađeno sigurno brisanje, zatim uništi ili degaussiraj disk. S druge strane, standardi SSD sanitizacije su ili nepostojeći ili potpuno neusklađeni. Npr. NIST 800-88 standard iziskuje prepisivanje diska na način sličan kao kod sanitizacije HDD-a, dok uputa 5020 za sigurnost Vojnog Zrakoplovstva SAD-a preporuča „procedure brisanja specificirane od strane proizvođača“. 
 + 
 +Istraživanja pokazuju da su tehnike sanitizacije HDD-a vrlo često manjkave kada je u pitanju SSD. Rezultati prepisivanja podataka cijelog diska dokazano su nesigurni zbog svoje nepredvidivosti – kod nekih diskova korištenih za istraživanja, podatci su bili uništeni, a kod nekih nisu. Degaussiranje diska se pak pokazalo kao u potpunosti neučinkovito –podatci na degaussiranim diskovima ostali su netaknuti. U teoriji, sanitizacija enkripcijskog ključa trebala bi biti efektivna ukoliko se provede kako spada. Naime, ukoliko se sa enkriptiranog SSD-a izbriše enkripcijski ključ, podatci će, barem teoretski, postati nečitljivi, a time i nedostižni. Ugrađene komande za sanitizaciju diska su kao i enkripcijska santizacija, efektivne ukoliko su implementirane ispravno, ali isto tako imaju isti problem - obje dokazano efektivne tehnike mogu se koristiti samo za brisanje i sanitizaciju kompletnog diska, ali ne i odabranih dokumenata ili skupova podataka na disku.  
 + 
 + 
 +===Zaključak=== 
 +SSD forenzika donosi mnoge nove izazove koji nisu bili prisutni u HDD forenzici. SSD-ovi samouništavaju podatke, što čini ekstrakciju gotovo nemogućom. Istovremeno, sigurno brisanje podataka je vrlo teško izvedivo. Uz sve to, tehnologije i tehnike forenzike SSD-a su još uvijek u razvoju, tako da što vrijedi danas, ne mora vrijediti i sutra te je vrlo važno pratiti što se događa u istraživanjima, razvoju i industriji.
  
 ===Literatura=== ===Literatura===
Redak 46: Redak 64:
   * [4] https://core.ac.uk/download/pdf/56364298.pdf   * [4] https://core.ac.uk/download/pdf/56364298.pdf
   * [5] https://www.usenix.org/legacy/events/fast11/tech/full_papers/Wei.pdf   * [5] https://www.usenix.org/legacy/events/fast11/tech/full_papers/Wei.pdf
- 
- 
-http://racfor.zesoi.fer.hr/doku.php?id=racfor_wiki:seminari2023:analiza_podataka_dobivenih_uslugom_google_takeout 
racfor_wiki/seminari2023/forenzika_ssd_diskova.1705442886.txt.gz · Zadnja izmjena: 2024/12/05 12:23 (vanjsko uređivanje)
Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.
CC Attribution-Share Alike 4.0 International
www.chimeric.de Valid CSS Driven by DokuWiki do yourself a favour and use a real browser - get firefox!! Recent changes RSS feed Valid XHTML 1.0