Компьютерра PDA N101 (05.03.2011-11.03.2011)

Автор: Берд Киви

Опубликовано 05 марта 2011 года

Две любопытные исследовательские статьи из разных концов планеты, опубликованные в Сети практически сразу друг за другом, дают существенно новый взгляд на криминалистические аспекты в работе SSD, или твёрдотельных устройств хранения данных, часто именуемых флэш-драйвами.

Внутренние механизмы работы SSD настолько существенно отличаются от традиционных накопителей на жёстких магнитных дисках, что криминалисты уже не могут опираться на нынешние технологии хранения данных в тех ситуациях, когда улики с носителей типа SSD фигурируют в судебных разбирательствах. Примерно к этому сводится суть предупреждения в итогах исследовательской статьи учёных из австралийского Университета Мердока ("Solid State Drives: The Beginning of the End for Current Practice in Digital Forensic Discovery" by Graeme B. Bell and Richard Boddington, PDF).

В основу исследования была положена большая серия экспериментов по сравнению нюансов хранения данных у изучаемых образцов: флэш-драйва Corsair 64GB SSD и традиционного магнитного диска Hitachi 80GB. При сравнительном анализе исследователи выявили в SSD целый букет проблем с восстановлением данных. Проблем, совершенно не свойственных магнитным дискам и вызванных алгоритмами очистки или "сбора мусора", применяемыми для поддержания флэш-драйвов на уровне максимальной производительности.

Под действием этих алгоритмов важные для следствия данные, хранимые на современных SSD, зачастую становятся объектом процесса, получившего среди криминалистов название "самокоррозия". Результатом этого процесса становится то, что улики на SSD непрерывно стираются или загрязняются посторонними данными - таким способом, который совершенно не свойственен носителям на базе жёстких магнитных дисков. И, что принципиально важно, все эти перемены с информацией происходят при отсутствии каких-либо команд от пользователя или от компьютера.

Результаты австралийских исследователей неизбежно порождают сомнения в целостности и достоверности тех файлов, которые изолируют криминалистическими методами и извлекают из устройств хранения. Можно даже сказать, что обозначилась отчётливая угроза окончания того "золотого века" в сборе цифровых улик, что был обеспечен особенностями хранения данных на магнитных носителях.

На протяжении нескольких последних десятилетий следователи работали с магнитными лентами, флоппи- и жёсткими дисками, которые стабильно продолжали хранить гигантские объёмы информации после того, как файлы, которые всё это содержали, были помечены системой как уничтоженные. Даже процедура безопасной зачистки (wiping), как известно специалистам, далеко не всегда бывает достаточной для полного уничтожения информации на магнитном носителе. Однако в твёрдотельных дисках SSD данные хранятся существенно иначе - в виде блоков или страниц транзисторных чипов логики NAND, которые необходимо электронным образом стирать, прежде чем их можно использовать повторно.