Razlike

Slijede razlike između dviju inačica stranice.

--- racfor_wiki:seminari2023:forenzika_ssd_diskova [2024/01/16 22:30]
kdolic
+++ racfor_wiki:seminari2023:forenzika_ssd_diskova [2024/12/05 12:24] (trenutno)
@@ Redak 2: / Redak 2: @@
 ===Sadržaj===
-  *Sadržaj
+  * Sadržaj
+  * Sažetak
   * Uvod
   * SSD (Solid State Drive)
@@ Redak 10: / Redak 11: @@
   * Zaključak
   * Literatura
+===Sažetak===
+Širenje uporabe SSD tehnologije dovelo je do dramatičnih promjena u pristupu računalne forezike. Naime, ekstrakcija podataka iz SSD pohrane razlikuje se od ekstrakcije podataka iz tradicionalnijih magnetskih medija pohrane. Umjesto predvidivog i visoko uspješnog povrata informacija koje je sumnjivac pokušao uništiti kod magnetskih medija, suočeni smo sa stohastičkom forenzikom SSD pohrane.
 ===Uvod===
-Širenje uporabe SSD tehnologije dovelo je do dramatičkih promjena u pristupu računalne forezike. Naime, ekstrakcija podataka iz SSD pohrane razlikuje se od ekstrakcije podataka iz tradicionalnijih magnetskih medija pohrane. Umjesto predvidivog i visoko uspješnog povrata informacija koje je sumnjivac pokušao uništiti kod magnetskih medija, suočeni smo sa stohastičkom forenzikom SSD pohrane.
+Sa značajnim napretkom u tehnologiji skladištenja podataka, SSD diskovi postali su sveprisutni u digitalnim uređajima, od laptopa do pametnih telefona. Sa ubrzanim širenjem SSD tehnologije, javljaju se i izazovi u području forenzike. Karakteristike SSD diskova znatno odstupaju od karakteristika tradicionalnih tvrdih diskova sa magnetnim memorijama. Inherentna kompleksnost upravljanja podatcima na SSD uređajima uključuje tehnologije i procese kao što su wear leveling, TRIM komande i garbage collection. Iako nužni za poboljšanje performansi SSD diska, ovi procesi znatno otežavaju forenzičke istrage na memoriji SSD diskova.
 ===SSD (Solid State Drive)===
 Konvencionalni HDD (Hard Disk Drive) je elektromehanički oblik pohrane koji sadrži rotirajuće diskove i pomične mehaničke glave kako bi pisao i čitao podatke. Kod SSD-a nema pomičnih niti mehaničkih komponentni, što čini SSD znatno bržim od HDD-a.
-SSD diskovi se proizvode u dva tipa arhitekture – NOR i NAND flash arhitekturama. NAND arhitektura je brža kod pisanja podataka, a NOR kod čitanja. Kao i inače u flash memoriji, podatci mogu biti upisani u blok ukoliko je podatkovni blok u potpunosti prazan, odnosno izbrisan. Dakle, operacija brisanja se provodi svaki put prije nego što se nešto upiše u memoriju. Ovakvo upravljanje memorijom je srž problema koji čini forenziku SSD-a problematičnom u odnosu na forenziku HDD-a.
+SSD diskovi se proizvode u dva tipa arhitekture – NOR i NAND flash arhitekturama. NAND arhitektura je brža kod pisanja podataka, a NOR kod čitanja. Kao i inače u flash memoriji, podatci mogu biti upisani u blok ukoliko je podatkovni blok u potpunosti prazan, odnosno izbrisan. Dakle, operacija brisanja se provodi svaki put prije nego što se nešto upiše u memoriju. Ovakvo upravljanje memorijom je srž problema koji čini forenziku SSD-a teškom u odnosu na forenziku HDD-a.
 {{ :racfor_wiki:seminari2023:ssd_arch.png?600 | Slika 1: Prikaz SSD NOR i NAND arhitektura}}
+<file>Slika 1: Prikaz SSD NOR i NAND arhitektura [2]</file>
 Kako bi SSD-i bili efikasniji u pohrani memorije, većina modernih SSD-a konstantno provodi garbage collection kao pozadinski proces, trajno brisajući sve podatke označene za brisanje u vrlo kratkom vremenskom roku. Ovakav proces nazivamo „samokorozivnost“. Samokorozivnost ne možemo zaustaviti uklanjanjem SSD-a i njegovim usljednim priključivanjem na drugo računalo ili čitač. Jedini način da se samokorozivnost zaustavi je fizičko odspajanje kontrolera diska s flash memorije koja sadrži podatke i pristupanje flash memoriji direktno pomoću specijaliziranih uređaja.
@@ Redak 29: / Redak 36: @@
 {{ :racfor_wiki:seminari2023:schroedingers_cat.png?600 | Slika 2: Schroedingerova mačka}}
+<file> Slika 2: Schroedingerova mačka </file>
 ===Povrat izbrisanih podataka===
-SSD forenzika se još uvijek u većini slučajeva provodi na „običnim“ računalima predviđenim za forenzičke svrhe. SSD-i su ili priključeni direktno na računalno SATA sučelje ili spojeni na uređaj koji blokira pisanje kakav je korišten u forenzici HDD-a. Iako takvi uređaji spriječavaju izmjene podataka od strane korisnika (slučajne ili namjerne), ne spriječavaju ugrađene mehanizme izmjene i brisanja podataka SSD-a. SSD spojen na takav uređaj nastaviti će svoj interni samokorozivni garbage collection, što će u vrlo kratkom roku dovesti do uništenja bilo kakavih zaostataka izbrisanih podataka čiji povrat želimo. Kao što je već spomenuto, jedini način da se samokorozivnost zaustavi je fizičko odspajanje kontrolera diska s flash memorije koja sadrži podatke i pristupanje flash memoriji direktno pomoću specijaliziranih uređaja. Iako efektivna, metoda je još uvijek slabo raširena jer zahtjeva određene vještine i posebno izrađeni hardver.
+SSD forenzika se još uvijek u većini slučajeva provodi na „običnim“ računalima predviđenim za forenzičke svrhe. SSD-i su ili priključeni direktno na računalno SATA sučelje ili spojeni na uređaj koji blokira pisanje kakav je korišten u forenzici HDD-a. Iako takvi uređaji spriječavaju izmjene podataka od strane korisnika (slučajne ili namjerne), ne spriječavaju ugrađene mehanizme izmjene i brisanja podataka SSD-a. SSD spojen na takav uređaj nastaviti će svoj interni samokorozivni garbage collection, što će u vrlo kratkom roku dovesti do uništenja bilo kakvih ostataka izbrisanih podataka čiji povrat želimo. Kao što je već spomenuto, jedini način da se samokorozivnost zaustavi je fizičko odspajanje kontrolera diska s flash memorije koja sadrži podatke i pristupanje flash memoriji direktno pomoću specijaliziranih uređaja. Iako efektivna, metoda je još uvijek slabo raširena jer zahtjeva određene vještine i posebno izrađeni hardver.
 {{ :racfor_wiki:seminari2023:ssd_controller.png?600 | Slika 3: Potrebno je ukloniti ili zaobići kontroler označen na slici}}
+<file> Slika 3: Potrebno je ukloniti ili zaobići kontroler označen na slici[1] </file>
 Primjer specijaliziranog hardvera kakav se može koristiti u ove svrhe je FPGA uređaj razvijen na Sveučilištu u Kaliforniji. Uređaj daje direktni pristup flash memoriji SSD-a, zaobilazeći kontroler. Cijena prototipa bila je $1000, a procjenjuje se da će cijena proizvodnje biti prava sitnica od $200.
-{{ :racfor_wiki:seminari2023:customhardwarewei.png?600 | Slika 4: Specijalizirani FPGA uređaj za dohvat obrisanih podataka s SSD-a}}
+{{ :racfor_wiki:seminari2023:customhardwarewei.png?600 | Slika 4: Specijalizirani FPGA uređaj za dohvat obrisanih podataka sa SSD-a}}
+<file>Slika 4: Specijalizirani FPGA uređaj za dohvat obrisanih podataka sa SSD-a [5]</file>
 ===SSD sanitizacija===
 Standardi HDD sanitizacije organizacija diljem svijeta su konzistentni – prepiši disk nekoliko puta (preferabilno nulama, zatim jedinicama, zatim slučajnim podatcima), izvrši ugrađeno sigurno brisanje, zatim uništi ili degaussiraj disk. S druge strane, standardi SSD sanitizacije su ili nepostojeći ili potpuno neusklađeni. Npr. NIST 800-88 standard iziskuje prepisivanje diska na način sličan kao kod sanitizacije HDD-a, dok uputa 5020 za sigurnost Vojnog Zrakoplovstva SAD-a preporuča „procedure brisanja specificirane od strane proizvođača“.
-Istraživanja pokazuju da su tehnike sanitizacije HDD-a vrlo često manjkave kada je u pitanju SSD. Rezultati prepisivanja podataka cijelog diska dokazano su nesigurni zbog svoje nepredvidivosti – kod nekih diskova korištenih za istraživanja, podatci su bili uništeni, a kod nekih nisu. Degaussiranje diska se pak pokazalo kao u potpunosti neučinkovito –podatci na degaussiranim diskovima ostali su netaknuti. U teoriji, sanitizacija enkripcijskog ključa trebala bi biti efektivna ukoliko se provede kako spada. Naime, ukoliko se sa enkriptiranog SSD-a izbriše enkripcijski ključ, podatci će, barem teoretski, postati nečitljivi, a time i nedostižni. Ugrađene komande za sanitizaciju diska su kao i enkripcijska santizacija, efektivne ukoliko su implementirane ispravno, ali isto tako imaju isti problem. Naime, obje dokazano efektivne tehnike mogu se koristiti samo za brisanje i sanitizaciju kompletnog diska, ali ne i odabranih dokumenata ili skupova podataka na disku.
+Istraživanja pokazuju da su tehnike sanitizacije HDD-a vrlo često manjkave kada je u pitanju SSD. Rezultati prepisivanja podataka cijelog diska dokazano su nesigurni zbog svoje nepredvidivosti – kod nekih diskova korištenih za istraživanja, podatci su bili uništeni, a kod nekih nisu. Degaussiranje diska se pak pokazalo kao u potpunosti neučinkovito –podatci na degaussiranim diskovima ostali su netaknuti. U teoriji, sanitizacija enkripcijskog ključa trebala bi biti efektivna ukoliko se provede kako spada. Naime, ukoliko se sa enkriptiranog SSD-a izbriše enkripcijski ključ, podatci će, barem teoretski, postati nečitljivi, a time i nedostižni. Ugrađene komande za sanitizaciju diska su kao i enkripcijska santizacija, efektivne ukoliko su implementirane ispravno, ali isto tako imaju isti problem - obje dokazano efektivne tehnike mogu se koristiti samo za brisanje i sanitizaciju kompletnog diska, ali ne i odabranih dokumenata ili skupova podataka na disku.
-===TO DO===
+===Zaključak===
+SSD forenzika donosi mnoge nove izazove koji nisu bili prisutni u HDD forenzici. SSD-ovi samouništavaju podatke, što čini ekstrakciju gotovo nemogućom. Istovremeno, sigurno brisanje podataka je vrlo teško izvedivo. Uz sve to, tehnologije i tehnike forenzike SSD-a su još uvijek u razvoju, tako da što vrijedi danas, ne mora vrijediti i sutra te je vrlo važno pratiti što se događa u istraživanjima, razvoju i industriji.
 ===Literatura===
@@ Redak 53: / Redak 64: @@
   * [4] https://core.ac.uk/download/pdf/56364298.pdf
   * [5] https://www.usenix.org/legacy/events/fast11/tech/full_papers/Wei.pdf
-http://racfor.zesoi.fer.hr/doku.php?id=racfor_wiki:seminari2023:analiza_podataka_dobivenih_uslugom_google_takeout

racfor_wiki/seminari2023/forenzika_ssd_diskova.1705444240.txt.gz · Zadnja izmjena: 2024/12/05 12:23 (vanjsko uređivanje)