Forenzika SSD diskova

Sadržaj

Sažetak

Širenje uporabe SSD tehnologije dovelo je do dramatičnih promjena u pristupu računalne forezike. Naime, ekstrakcija podataka iz SSD pohrane razlikuje se od ekstrakcije podataka iz tradicionalnijih magnetskih medija pohrane. Umjesto predvidivog i visoko uspješnog povrata informacija koje je sumnjivac pokušao uništiti kod magnetskih medija, suočeni smo sa stohastičkom forenzikom SSD pohrane.

Uvod

Sa značajnim napretkom u tehnologiji skladištenja podataka, SSD diskovi postali su sveprisutni u digitalnim uređajima, od laptopa do pametnih telefona. Sa ubrzanim širenjem SSD tehnologije, javljaju se i izazovi u području forenzike. Karakteristike SSD diskova znatno odstupaju od karakteristika tradicionalnih tvrdih diskova sa magnetnim memorijama. Inherentna kompleksnost upravljanja podatcima na SSD uređajima uključuje tehnologije i procese kao što su wear leveling, TRIM komande i garbage collection. Iako nužni za poboljšanje performansi SSD diska, ovi procesi znatno otežavaju forenzičke istrage na memoriji SSD diskova.

SSD (Solid State Drive)

Konvencionalni HDD (Hard Disk Drive) je elektromehanički oblik pohrane koji sadrži rotirajuće diskove i pomične mehaničke glave kako bi pisao i čitao podatke. Kod SSD-a nema pomičnih niti mehaničkih komponentni, što čini SSD znatno bržim od HDD-a.

SSD diskovi se proizvode u dva tipa arhitekture – NOR i NAND flash arhitekturama. NAND arhitektura je brža kod pisanja podataka, a NOR kod čitanja. Kao i inače u flash memoriji, podatci mogu biti upisani u blok ukoliko je podatkovni blok u potpunosti prazan, odnosno izbrisan. Dakle, operacija brisanja se provodi svaki put prije nego što se nešto upiše u memoriju. Ovakvo upravljanje memorijom je srž problema koji čini forenziku SSD-a teškom u odnosu na forenziku HDD-a.

 Slika 1: Prikaz SSD NOR i NAND arhitektura

Slika 1: Prikaz SSD NOR i NAND arhitektura [2]

Kako bi SSD-i bili efikasniji u pohrani memorije, većina modernih SSD-a konstantno provodi garbage collection kao pozadinski proces, trajno brisajući sve podatke označene za brisanje u vrlo kratkom vremenskom roku. Ovakav proces nazivamo „samokorozivnost“. Samokorozivnost ne možemo zaustaviti uklanjanjem SSD-a i njegovim usljednim priključivanjem na drugo računalo ili čitač. Jedini način da se samokorozivnost zaustavi je fizičko odspajanje kontrolera diska s flash memorije koja sadrži podatke i pristupanje flash memoriji direktno pomoću specijaliziranih uređaja.

S druge strane, konstrukcija SSD-a čini i ciljano brisanje podataka problematičnim. U flash memoriju može se pisati samo određeni broj operacija prije nego što ona postane neuporabiva. Kako bi doskočili ovom problemu, proizvođači SSD-a implementirali su razne tehnike smanjivanja habanja SSD-a, koje, umjesto da brišu pa pišu u isti blok kada se podatci modificiraju, pišu u prazne blokove koje nađu. Ovo dovodi do problema raspršenosti osljetljivih podataka po cijelom disku.

Stohastička forenzika

Kao što je objašnjeno u prethodnom poglavlju, SSD forenzika je na prvi pogled paradoksna. SSD sprema podatke na takav način da ih je istovremeno teško vratiti u slučaju brisanja i teško izbrisati u potpunosti po strogim standardima raznih institucija. Jedino što je sigurno u SSD forenzici je nesigurnost u ishod – situacija koja podsjeća na poznatu Schroedingerovu mačku. Sigurno je da će forenzičar moći pristupiti pohrani, ali hoće li podatke pronaći, i ako da, gdje i u kakvom stanju, je neizvjesno.

 Slika 2: Schroedingerova mačka

 Slika 2: Schroedingerova mačka 

Povrat izbrisanih podataka

SSD forenzika se još uvijek u većini slučajeva provodi na „običnim“ računalima predviđenim za forenzičke svrhe. SSD-i su ili priključeni direktno na računalno SATA sučelje ili spojeni na uređaj koji blokira pisanje kakav je korišten u forenzici HDD-a. Iako takvi uređaji spriječavaju izmjene podataka od strane korisnika (slučajne ili namjerne), ne spriječavaju ugrađene mehanizme izmjene i brisanja podataka SSD-a. SSD spojen na takav uređaj nastaviti će svoj interni samokorozivni garbage collection, što će u vrlo kratkom roku dovesti do uništenja bilo kakvih ostataka izbrisanih podataka čiji povrat želimo. Kao što je već spomenuto, jedini način da se samokorozivnost zaustavi je fizičko odspajanje kontrolera diska s flash memorije koja sadrži podatke i pristupanje flash memoriji direktno pomoću specijaliziranih uređaja. Iako efektivna, metoda je još uvijek slabo raširena jer zahtjeva određene vještine i posebno izrađeni hardver.

 Slika 3: Potrebno je ukloniti ili zaobići kontroler označen na slici

 Slika 3: Potrebno je ukloniti ili zaobići kontroler označen na slici[1] 

Primjer specijaliziranog hardvera kakav se može koristiti u ove svrhe je FPGA uređaj razvijen na Sveučilištu u Kaliforniji. Uređaj daje direktni pristup flash memoriji SSD-a, zaobilazeći kontroler. Cijena prototipa bila je $1000, a procjenjuje se da će cijena proizvodnje biti prava sitnica od $200.

 Slika 4: Specijalizirani FPGA uređaj za dohvat obrisanih podataka sa SSD-a

Slika 4: Specijalizirani FPGA uređaj za dohvat obrisanih podataka sa SSD-a [5]

SSD sanitizacija

Standardi HDD sanitizacije organizacija diljem svijeta su konzistentni – prepiši disk nekoliko puta (preferabilno nulama, zatim jedinicama, zatim slučajnim podatcima), izvrši ugrađeno sigurno brisanje, zatim uništi ili degaussiraj disk. S druge strane, standardi SSD sanitizacije su ili nepostojeći ili potpuno neusklađeni. Npr. NIST 800-88 standard iziskuje prepisivanje diska na način sličan kao kod sanitizacije HDD-a, dok uputa 5020 za sigurnost Vojnog Zrakoplovstva SAD-a preporuča „procedure brisanja specificirane od strane proizvođača“.

Istraživanja pokazuju da su tehnike sanitizacije HDD-a vrlo često manjkave kada je u pitanju SSD. Rezultati prepisivanja podataka cijelog diska dokazano su nesigurni zbog svoje nepredvidivosti – kod nekih diskova korištenih za istraživanja, podatci su bili uništeni, a kod nekih nisu. Degaussiranje diska se pak pokazalo kao u potpunosti neučinkovito –podatci na degaussiranim diskovima ostali su netaknuti. U teoriji, sanitizacija enkripcijskog ključa trebala bi biti efektivna ukoliko se provede kako spada. Naime, ukoliko se sa enkriptiranog SSD-a izbriše enkripcijski ključ, podatci će, barem teoretski, postati nečitljivi, a time i nedostižni. Ugrađene komande za sanitizaciju diska su kao i enkripcijska santizacija, efektivne ukoliko su implementirane ispravno, ali isto tako imaju isti problem - obje dokazano efektivne tehnike mogu se koristiti samo za brisanje i sanitizaciju kompletnog diska, ali ne i odabranih dokumenata ili skupova podataka na disku.

Zaključak

SSD forenzika donosi mnoge nove izazove koji nisu bili prisutni u HDD forenzici. SSD-ovi samouništavaju podatke, što čini ekstrakciju gotovo nemogućom. Istovremeno, sigurno brisanje podataka je vrlo teško izvedivo. Uz sve to, tehnologije i tehnike forenzike SSD-a su još uvijek u razvoju, tako da što vrijedi danas, ne mora vrijediti i sutra te je vrlo važno pratiti što se događa u istraživanjima, razvoju i industriji.

Literatura