• Sadržaj
• Uvod
• SSD (Solid State Drive)
• Stohastička forenzika
• Zaključak
• Literatura

Širenje uporabe SSD tehnologije dovelo je do dramatičkih promjena u pristupu računalne forezike. Naime, ekstrakcija podataka iz SSD pohrane razlikuje se od ekstrakcije podataka iz tradicionalnijih magnetskih medija pohrane. Umjesto predvidivog i visoko uspješnog povrata informacija koje je sumnjivac pokušao uništiti kod magnetskih medija, suočeni smo sa stohastičkom forenzikom SSD pohrane.

Konvencionalni HDD (Hard Disk Drive) je elektromehanički oblik pohrane koji sadrži rotirajuće diskove i pomične mehaničke glave kako bi pisao i čitao podatke. Kod SSD-a nema pomičnih niti mehaničkih komponentni, što čini SSD znatno bržim od HDD-a.

SSD diskovi se proizvode u dva tipa arhitekture – NOR i NAND flash arhitekturama. NAND arhitektura je brža kod pisanja podataka, a NOR kod čitanja. Kao i inače u flash memoriji, podatci mogu biti upisani u blok ukoliko je podatkovni blok u potpunosti prazan, odnosno izbrisan. Dakle, operacija brisanja se provodi svaki put prije nego što se nešto upiše u memoriju. Ovakvo upravljanje memorijom je srž problema koji čini forenziku SSD-a problematičnom u odnosu na forenziku HDD-a.

Kako bi SSD-i bili efikasniji u pohrani memorije, većina modernih SSD-a konstantno provodi garbage collection kao pozadinski proces, trajno brisajući sve podatke označene za brisanje u vrlo kratkom vremenskom roku. Ovakav proces nazivamo „samokorozivnost“. Samokorozivnost ne možemo zaustaviti uklanjanjem SSD-a i njegovim usljednim priključivanjem na drugo računalo ili čitač. Jedini način da se samokorozivnost zaustavi je fizičko odspajanje kontrolera diska s flash memorije koja sadrži podatke i pristupanje flash memoriji direktno pomoću specijaliziranih uređaja.

S druge strane, konstrukcija SSD-a čini i ciljano brisanje podataka problematičnim. U flash memoriju može se pisati samo određeni broj operacija prije nego što ona postane neuporabiva. Kako bi doskočili ovom problemu, proizvođači SSD-a implementirali su razne tehnike smanjivanja habanja SSD-a, koje, umjesto da brišu pa pišu u isti blok kada se podatci modificiraju, pišu u prazne blokove koje nađu. Ovo dovodi do problema raspršenosti osljetljivih podataka po cijelom disku.

Kao što je objašnjeno u prethodnom poglavlju, SSD forenzika je na prvi pogled paradoksna. SSD sprema podatke na takav način da ih je istovremeno teško vratiti u slučaju brisanja i teško izbrisati u potpunosti po strogim standardima raznih institucija. Jedino što je sigurno u SSD forenzici je nesigurnost u ishod – situacija koja podsjeća na poznatu Schroedingerovu mačku. Sigurno je da će forenzičar moći pristupiti pohrani, ali hoće li podatke pronaći, i ako da, gdje i u kakvom stanju, je neizvjesno.

• [1] https://belkasoft.com/why-ssd-destroy-court-evidence
• [2] https://repository.stcloudstate.edu/cgi/viewcontent.cgi?article=1140&context=msia_etds
• [3] https://medium.com/@songchai.d01/how-to-perform-ssd-forensics-part-i-1158dd3975e8
• [4] https://core.ac.uk/download/pdf/56364298.pdf

http://racfor.zesoi.fer.hr/doku.php?id=racfor_wiki:seminari2023:analiza_podataka_dobivenih_uslugom_google_takeout