世界中の2つの好奇心articles盛な研究記事がWeb上でほぼすぐに次々と公開され、SSD、またはフラッシュドライブと呼ばれることも多いソリッドステートストレージデバイスの動作の法医学的側面について、まったく新しい見方が示されました。
SSD操作の内部メカニズムは、従来のハードディスクドライブとは大きく異なるため、法医学捜査官は、SSDメディアからの証拠が訴訟に含まれる状況では、現在のデータストレージテクノロジーに依存できなくなります。
一方、フラッシュドライブメモリに保存されたデータは、事実上破壊されない可能性があります。
復元できませんこれは、オーストラリアのマードック大学の科学者による研究記事の結果の警告の本質です(「ソリッドステートドライブ:デジタルフォレンジックディスカバリーの現在の実践の終わりの始まり」、グレアムB.ベルおよびリチャードボディントン、PDF)。
この調査は、調査対象のサンプルのデータストレージのニュアンスを比較する一連の大規模な実験に基づいています。Corsair64GB SSDフラッシュドライブと従来のHitachi 80GB磁気ディスクです。 比較分析では、研究者はSSDでデータリカバリに関する問題を特定しました。 磁気ディスクとはまったく異なる問題で、フラッシュドライブを最大パフォーマンスレベルに維持するために使用されるクリーニングまたは「ガベージコレクション」アルゴリズムによって引き起こされる問題。
これらのアルゴリズムの影響下で、現代のSSDに保存された調査データにとって重要なのは、法医学者の間で「自己腐食」と呼ばれるプロセスの対象になることがよくあります。 このプロセスの結果、SSD上のエビデンスは絶えず消去されたり、外部データで汚染されたりします。これは、ハード磁気ディスクに基づくメディアとはまったく異なる方法です。 そして、これは基本的に重要であり、これらの情報の変更はすべて、ユーザーまたはコンピューターからのコマンドがない場合に発生します。
オーストラリアの研究者の結果は、法医学的な方法で隔離され、ストレージデバイスから削除されたファイルの整合性と信頼性について疑念を生じさせます。 磁気メディアにデータを保存する特性によって提供されたデジタル証拠のコレクションには、その「黄金時代」の終わりに対する明確な脅威があったとさえ言えます。
過去数十年にわたり、調査員は磁気テープ、フロッピー、およびハードドライブを使用してきました。これらすべてを含むファイルがシステムによって破壊されたとマークされた後、膨大な量の情報を安定して保存し続けました。 専門家が知っているように、安全な拭き取り手順でさえ、磁気媒体上の情報を完全に破壊するには常に十分とは言えません。 ただし、SSDでは、データはまったく異なる方法で保存されます。NANDロジックのトランジスタチップのブロックまたはページの形式で、再利用する前に電子的に消去する必要があります。
SSDメモリの効率を高めるための業界の取り組みの結果、最新のフラッシュドライブのほとんどには、「セルフクリーニング」または「ガベージコレクション」手順を定期的かつ自動的に実行するファームウェアが組み込まれています。 これらの衛生手順の結果として、システムによって破壊されたとマークされたファイルは常に上書き、変更、転送されます。 さらに、このプロセスは、予告なしに、非常に迅速に、チップに電源を供給した直後に開始されます。 ユーザーからのコマンドは不要です。また、フラッシュドライブは、クリーニング手順の開始をユーザーに通知するための音や光の信号を発しません。
特定のサンプルをテストする場合、クイックフォーマットを行った後、研究者は、新しいデータがブロックに書き込まれる前にSSDでこのプロセスを実行する必要があると考えて、クリーニングユーティリティが約30〜60分で動作を開始することを期待しました忙しいファイル。 驚いたことに、クリーンアップはわずか3分後に行われ、その後、合計316,666の1064個の証拠ファイルのみがディスクからのリカバリに利用可能になりました。
このプロセスをさらに進めることを決定した科学者は、コンピューターからフラッシュドライブを取り外し、記録ブロッカーに接続しました。これは、メディアの内容を変更する可能性のあるすべての手順から隔離するために特別に設計されたハードウェアデバイスです。 ただし、ここでは、接続後わずか20分で、外部コマンドなしでSSD自体のファームウェアを開始する内部プロセスにより、すべてのファイルのほぼ19%が上書きされました。 比較のために、同等の磁気ハードディスクでは、同様のフォーマット後のすべてのデータが、経過時間に関係なく回復可能であることに注目することができます-研究者の予想通り。
メディア上のすべてのデータの安全性を懸念する犯罪学者にとって、SSDのこの機能が大きな問題であることは明らかです。 共著者の1人として、Graham Bellは自分の記事のコメントに次のように書いています。「コンピューターフォレンジックコミュニティの一部の人々は、SSDのデータで面白いことが起こっていると考えていましたが、発見された範囲。」
イメージを取得するためのフォレンジック手順の前または最中にSSDの「ガベージコレクション」が発生した場合、貴重なデータの潜在的に大きな配列が不可逆的に破壊されます。 新しい用語が由来する調査プロセスの過程で通常証拠として得られていたデータ-「証拠腐食」。
オーストラリアの専門家の発見が、デジタル証拠に依存する刑事および民事裁判の場合、必然的に深刻な結果をもたらすことは間違いありません。 証拠が得られたディスクに所有者からデバイスが取り出された後にデータが変更された兆候がある場合、相手方は司法審査からこれらの証明書の除外を要求する理由があります。
また、この記事の著者は、USBスティックの容量が大きくなると、メーカーが同様のクリーニングテクノロジーを組み込むことができるようになり、一連のセカンダリ(外部)ストレージメディアに同じ問題が発生する可能性があると警告しています。 さらに、BellとBoddingtonは、「ガベージコレクション」ユーティリティが時間とともにより積極的になることを示唆しています-メーカーがその機能にますます強力なファームウェア、チップセット、およびより大きなディスクを導入するにつれて。
問題の18ポイントを含む論文の最終結論では、この問題に対する単純で効果的な解決策はないと考えて、研究者は治療法を提供していません。
削除できませんSSDのデータストレージの特定の機能に特化した別のアメリカの研究記事について話すと、一見するとその結果はオーストラリア人によって得られた結果と明らかに矛盾しているように見えます。 ここで、研究者チームはまったく異なる発見に至りました。フラッシュドライブメモリに保存されたデータの断片は事実上破壊されない可能性があります。
この記事の著者が示すように、フラッシュドライブは、従来の方法を使用してファイルやディスクを安全に消去するため、侵害されやすいデータを消去することは非常に困難です。 SSDデバイスがファイルの破壊を示している場合でも、それらに含まれるデータの最大75%がフラッシュドライブのメモリに残っている可能性があります。 特に、ソリッドステートドライブがファイルが「安全に消去された」ことを示す場合、それらの複製は実際には二次的な場所ではほとんど変更されません。
これらは、簡単に言えば、カリフォルニア大学サンディエゴ校で実施され、2月下旬にUsenix FAST 11カンファレンスで行われた調査の結果です(「信頼性の高いフラッシュベースのソリッドステートドライブからのデータ消去」Michael Wei、Laura Grupp、Frederick Spada、Steven Swanson .Pdf)。
作業の著者が書いているように、SSDでの信頼できるデータの上書きに関する問題は、メディアの内部設計が根本的に異なるために発生します。 従来のATAおよびSCSIドライブは、磁化された素材を使用して、LBAまたは論理ブロックアドレスと呼ばれる特定の物理的な場所に情報を書き込みます。 一方、SSDでは、コンテンツ管理にFTLまたは「フラッシュレイヤー」を使用して、デジタルストレージにチップが使用されます。 そのようなメディアのデータが変更されると、FTLは多くの場合、新しいファイルを異なる場所に書き込み、同時にメモリー割り当てマップを更新して、変更を反映します。 このような操作の結果、以前のファイルの残骸(作成者が「デジタルの残骸」と呼ぶ)は、制御されていない複製の形でディスクに保存され続けます。
著者によると、「磁気ディスクとSSDの処理におけるこれらの違いは、ユーザーの期待とフラッシュドライブの実際の動作との間の危険な不一致につながる可能性があります。そのようなデバイスの所有者は、SSDドライブは完全に破壊されます。 実際、このデータはディスクに残り、復元するのに必要なのはより複雑な操作だけです。
具体的な数値について言えば、研究者は、Apple Mac OS Xで利用可能な「セーフイレース」機能を使用して、SSDで破壊された後でもファイルに保存されたデータの約67%がディスクに残っていることを発見しました。他のオペレーティングシステムのセキュア消去ユーティリティも同様の結果を示しました。 たとえば、Pseudorandom Dataプログラムによる個々のファイルの破壊後、データの最大75%がSSDに残り、英国政府のストリッピングテクノロジーBritish HMG IS5を使用すると、最大58%が残りました。
記事が警告しているように、これらの結果は、SSDの状況ではデータの上書きが無効であり、メーカーが提供する標準の消去手順が適切に機能しない可能性があることを示しています。
研究者によると、SSDのデータを安全に削除する最も効果的な方法は、コンテンツを暗号化するデバイスを使用することです。 ここで、ワイピング手順は「キーストア」と呼ばれる特別なセクションの暗号化キーの破壊に要約され、データがディスク上で永久に暗号化されたままであることを本質的に保証します。
しかし、もちろん、ここで別の問題が待ち受けています。 この記事の著者が書いているように、「危険性は、暗号キーとそれに由来する他の値を含む内部ストレージコンパートメントをクリーニングするコントローラーの正しい操作に保護が依存しているという事実にあります。これは暗号解析に役立ちます。 セキュア消去ユーティリティの一部のバージョンで見つかった実装エラーを考慮すると、SSDプロバイダーがキーストアを正しくクリーンアップすると想定するのは不当に楽観的です。 さらに悪いことに、消去が実際に行われたことを確認する方法はありません(デバイスを分解するなど)。
研究者は、SSDのファイルに、明確に識別可能なデータ構造を持つさまざまなファイルを書き込むことで結果を取得しました。 その後、FPGA(再プログラム可能なロジックを備えたチップ)に基づく特別なデバイスを使用して、安全な消去手順を適用した後、これらのファイルの残りの「指紋」をすばやく検索および識別しました。 研究者向けの特別なデバイスのコストは約1000ドルですが、「マイクロコントローラーをベースにした単純なバージョンのデバイスのコストは約200ドルで、設計に必要な技術的経験はわずかです。」
矛盾はありません
Slashdotディスカッションフォーラムでのこれら2つの記事の累積的な結果が述べられているように、「SSDを消去するのは本当に難しいか、SSDから削除されたファイルを回復するのは本当に非常に困難です。 ある種の紛らわしい話が判明した」
最初の(オーストラリアの)研究の直接参加者の1人であるGraham Bellは、この明らかな矛盾を次のように説明しています。
以前は、ディスク上のデータは従来手動でクリーニングされていました。つまり、古いデータの上に何か他のものを書き込むようにドライブに指示するようにコンピューターに明示的に指示していました。 そのような上書きコマンドが受信されなかった場合、データは引き続き磁気メディアに保存されます。 ただし、同じトリックをSSDに適用しようとすると、動作しない場合があります。 書き直そうとしている論理メモリアドレスは、その場ですでに再配布されている可能性があるため、「書き直し」コマンドは、以前にデータを保存した物理メモリセルではなく、他の物理メモリセルに行きます。 論理的な観点からは、すべて書き換えが機能しているように見えます。コンピューターのOSからこのデータにアクセスすることはできなくなりました。 ただし、フラッシュドライブ自体の観点から見ると、このデータはまだ存在しており、対応する論理セクターを意味する場合、現在使用されていない物理セルに隠されています。 ただし、いくつかの独創的なファームウェアまたははんだごてを使用したcなハッカーは、原則としてこのデータにアクセスできます。
同時に、これらの機能とは別に、最新のSSDメディアはパフォーマンスを自動的に向上させるために、さまざまな特定のトリックを使用します。 これらのトリックの1つは、ファイルシステムで考慮されなくなったデータを含むメモリセルを上書きすることです。 この場合、ドライブ自体は、ディスクから可能なすべてを継続的にクリーニングしようと積極的に試みています。 そして彼はそれをすべて自分のイニシアチブのみで行います-将来の録音操作を加速するためだけで、事前に準備された利用可能なプールを提供し、決してセルに関与しません。
SSDのこれらの機能をまとめると、次のように言えます。 コンピューターがフラッシュドライブに何らかのデータをリセットするように指示した場合、ドライブはユーザーに嘘をついて実際にリセットされる可能性があります。 ドライブ自体が何かを消去したい場合(そして実際に警告なしでこれを行う場合)、このデータは破棄されます...
別の解説者は、明らかにユーモアのセンスがないわけではないが、こうした複雑な状況を次の言葉で説明している。
「なぜそれを混乱と呼ぶのですか? ここではすべてが透明で明確です。 削除されたデータを回復したい場合、これを行うことはできません。 それらを破壊したい場合、これを行うことはできません。 これは、SSDにデータを保存するためのマーフィーの法則です。」
PS。 オリジナルは
http://www.computerra.ru/597770/にあります
。残念ながら、トピックリンクを投稿することはできませんが、トピックは非常に興味深いのでご容赦ください。