===== Forenzika SSD diskova =====
===Sadržaj===
* Sadržaj
* Sažetak
* Uvod
* SSD (Solid State Drive)
* Stohastička forenzika
* Povrat izbrisanih podataka
* SSD sanitizacija
* Zaključak
* Literatura
===Sažetak===
Širenje uporabe SSD tehnologije dovelo je do dramatičnih promjena u pristupu računalne forezike. Naime, ekstrakcija podataka iz SSD pohrane razlikuje se od ekstrakcije podataka iz tradicionalnijih magnetskih medija pohrane. Umjesto predvidivog i visoko uspješnog povrata informacija koje je sumnjivac pokušao uništiti kod magnetskih medija, suočeni smo sa stohastičkom forenzikom SSD pohrane.
===Uvod===
Sa značajnim napretkom u tehnologiji skladištenja podataka, SSD diskovi postali su sveprisutni u digitalnim uređajima, od laptopa do pametnih telefona. Sa ubrzanim širenjem SSD tehnologije, javljaju se i izazovi u području forenzike. Karakteristike SSD diskova znatno odstupaju od karakteristika tradicionalnih tvrdih diskova sa magnetnim memorijama. Inherentna kompleksnost upravljanja podatcima na SSD uređajima uključuje tehnologije i procese kao što su wear leveling, TRIM komande i garbage collection. Iako nužni za poboljšanje performansi SSD diska, ovi procesi znatno otežavaju forenzičke istrage na memoriji SSD diskova.
===SSD (Solid State Drive)===
Konvencionalni HDD (Hard Disk Drive) je elektromehanički oblik pohrane koji sadrži rotirajuće diskove i pomične mehaničke glave kako bi pisao i čitao podatke. Kod SSD-a nema pomičnih niti mehaničkih komponentni, što čini SSD znatno bržim od HDD-a.
SSD diskovi se proizvode u dva tipa arhitekture – NOR i NAND flash arhitekturama. NAND arhitektura je brža kod pisanja podataka, a NOR kod čitanja. Kao i inače u flash memoriji, podatci mogu biti upisani u blok ukoliko je podatkovni blok u potpunosti prazan, odnosno izbrisan. Dakle, operacija brisanja se provodi svaki put prije nego što se nešto upiše u memoriju. Ovakvo upravljanje memorijom je srž problema koji čini forenziku SSD-a teškom u odnosu na forenziku HDD-a.
{{ :racfor_wiki:seminari2023:ssd_arch.png?600 | Slika 1: Prikaz SSD NOR i NAND arhitektura}}
Slika 1: Prikaz SSD NOR i NAND arhitektura [2]
Kako bi SSD-i bili efikasniji u pohrani memorije, većina modernih SSD-a konstantno provodi garbage collection kao pozadinski proces, trajno brisajući sve podatke označene za brisanje u vrlo kratkom vremenskom roku. Ovakav proces nazivamo „samokorozivnost“. Samokorozivnost ne možemo zaustaviti uklanjanjem SSD-a i njegovim usljednim priključivanjem na drugo računalo ili čitač. Jedini način da se samokorozivnost zaustavi je fizičko odspajanje kontrolera diska s flash memorije koja sadrži podatke i pristupanje flash memoriji direktno pomoću specijaliziranih uređaja.
S druge strane, konstrukcija SSD-a čini i ciljano brisanje podataka problematičnim. U flash memoriju može se pisati samo određeni broj operacija prije nego što ona postane neuporabiva. Kako bi doskočili ovom problemu, proizvođači SSD-a implementirali su razne tehnike smanjivanja habanja SSD-a, koje, umjesto da brišu pa pišu u isti blok kada se podatci modificiraju, pišu u prazne blokove koje nađu. Ovo dovodi do problema raspršenosti osljetljivih podataka po cijelom disku.
===Stohastička forenzika===
Kao što je objašnjeno u prethodnom poglavlju, SSD forenzika je na prvi pogled paradoksna. SSD sprema podatke na takav način da ih je istovremeno teško vratiti u slučaju brisanja i teško izbrisati u potpunosti po strogim standardima raznih institucija. Jedino što je sigurno u SSD forenzici je nesigurnost u ishod – situacija koja podsjeća na poznatu Schroedingerovu mačku. Sigurno je da će forenzičar moći pristupiti pohrani, ali hoće li podatke pronaći, i ako da, gdje i u kakvom stanju, je neizvjesno.
{{ :racfor_wiki:seminari2023:schroedingers_cat.png?600 | Slika 2: Schroedingerova mačka}}
Slika 2: Schroedingerova mačka
===Povrat izbrisanih podataka===
SSD forenzika se još uvijek u većini slučajeva provodi na „običnim“ računalima predviđenim za forenzičke svrhe. SSD-i su ili priključeni direktno na računalno SATA sučelje ili spojeni na uređaj koji blokira pisanje kakav je korišten u forenzici HDD-a. Iako takvi uređaji spriječavaju izmjene podataka od strane korisnika (slučajne ili namjerne), ne spriječavaju ugrađene mehanizme izmjene i brisanja podataka SSD-a. SSD spojen na takav uređaj nastaviti će svoj interni samokorozivni garbage collection, što će u vrlo kratkom roku dovesti do uništenja bilo kakvih ostataka izbrisanih podataka čiji povrat želimo. Kao što je već spomenuto, jedini način da se samokorozivnost zaustavi je fizičko odspajanje kontrolera diska s flash memorije koja sadrži podatke i pristupanje flash memoriji direktno pomoću specijaliziranih uređaja. Iako efektivna, metoda je još uvijek slabo raširena jer zahtjeva određene vještine i posebno izrađeni hardver.
{{ :racfor_wiki:seminari2023:ssd_controller.png?600 | Slika 3: Potrebno je ukloniti ili zaobići kontroler označen na slici}}
Slika 3: Potrebno je ukloniti ili zaobići kontroler označen na slici[1]
Primjer specijaliziranog hardvera kakav se može koristiti u ove svrhe je FPGA uređaj razvijen na Sveučilištu u Kaliforniji. Uređaj daje direktni pristup flash memoriji SSD-a, zaobilazeći kontroler. Cijena prototipa bila je $1000, a procjenjuje se da će cijena proizvodnje biti prava sitnica od $200.
{{ :racfor_wiki:seminari2023:customhardwarewei.png?600 | Slika 4: Specijalizirani FPGA uređaj za dohvat obrisanih podataka sa SSD-a}}
Slika 4: Specijalizirani FPGA uređaj za dohvat obrisanih podataka sa SSD-a [5]
===SSD sanitizacija===
Standardi HDD sanitizacije organizacija diljem svijeta su konzistentni – prepiši disk nekoliko puta (preferabilno nulama, zatim jedinicama, zatim slučajnim podatcima), izvrši ugrađeno sigurno brisanje, zatim uništi ili degaussiraj disk. S druge strane, standardi SSD sanitizacije su ili nepostojeći ili potpuno neusklađeni. Npr. NIST 800-88 standard iziskuje prepisivanje diska na način sličan kao kod sanitizacije HDD-a, dok uputa 5020 za sigurnost Vojnog Zrakoplovstva SAD-a preporuča „procedure brisanja specificirane od strane proizvođača“.
Istraživanja pokazuju da su tehnike sanitizacije HDD-a vrlo često manjkave kada je u pitanju SSD. Rezultati prepisivanja podataka cijelog diska dokazano su nesigurni zbog svoje nepredvidivosti – kod nekih diskova korištenih za istraživanja, podatci su bili uništeni, a kod nekih nisu. Degaussiranje diska se pak pokazalo kao u potpunosti neučinkovito –podatci na degaussiranim diskovima ostali su netaknuti. U teoriji, sanitizacija enkripcijskog ključa trebala bi biti efektivna ukoliko se provede kako spada. Naime, ukoliko se sa enkriptiranog SSD-a izbriše enkripcijski ključ, podatci će, barem teoretski, postati nečitljivi, a time i nedostižni. Ugrađene komande za sanitizaciju diska su kao i enkripcijska santizacija, efektivne ukoliko su implementirane ispravno, ali isto tako imaju isti problem - obje dokazano efektivne tehnike mogu se koristiti samo za brisanje i sanitizaciju kompletnog diska, ali ne i odabranih dokumenata ili skupova podataka na disku.
===Zaključak===
SSD forenzika donosi mnoge nove izazove koji nisu bili prisutni u HDD forenzici. SSD-ovi samouništavaju podatke, što čini ekstrakciju gotovo nemogućom. Istovremeno, sigurno brisanje podataka je vrlo teško izvedivo. Uz sve to, tehnologije i tehnike forenzike SSD-a su još uvijek u razvoju, tako da što vrijedi danas, ne mora vrijediti i sutra te je vrlo važno pratiti što se događa u istraživanjima, razvoju i industriji.
===Literatura===
* [1] https://belkasoft.com/why-ssd-destroy-court-evidence
* [2] https://repository.stcloudstate.edu/cgi/viewcontent.cgi?article=1140&context=msia_etds
* [3] https://medium.com/@songchai.d01/how-to-perform-ssd-forensics-part-i-1158dd3975e8
* [4] https://core.ac.uk/download/pdf/56364298.pdf
* [5] https://www.usenix.org/legacy/events/fast11/tech/full_papers/Wei.pdf