данными — таким способом, который совершенно не свойственен носителям на базе жестких магнитных дисков. И, что принципиально важно, все эти перемены с информацией происходят при отсутствии каких- либо команд от пользователя или от компьютера.
Результаты австралийских исследователей неизбежно порождают сомнения в целостности и достоверности тех файлов, которые изолируют криминалистическими методами и извлекают из устройств хранения. Можно даже сказать, что обозначилась отчетливая угроза окончания того «золотого века» в сборе цифровых улик, что был обеспечен особенностями хранения данных на магнитных носителях.
На протяжении нескольких последних десятилетий следователи работали с магнитными лентами, флоппи- и жесткими дисками, которые стабильно продолжали хранить гигантские объемы информации после того, как файлы, которые все это содержали, были помечены системой как уничтоженные. Даже процедура безопасной зачистки (wiping), как известно специалистам, далеко не всегда бывает достаточной для полного уничтожения информации на магнитном носителе. Однако в твердотельных дисках SSD данные хранятся существенно иначе — в виде блоков или страниц транзисторных чипов логики NAND, которые необходимо электронным образом стирать, прежде чем их можно использовать повторно.
Результатом работы индустрии над повышением эффективности памяти SSD стало то, что большинство современных флэш-драйвов имеют встроенные в прошивку программы, которые регулярно и автоматически выполняют процедуры «самоочищения» или «сбора мусора». В результате этих санитарных процедур происходят постоянное затирание, изменение и перенос тех файлов, которые помечены системой как уничтоженные. Причем процесс этот начинается без всякого уведомления и очень быстро, почти сразу после подачи на чип питания. От пользователя не требуется никаких команд, а флэш-драйв при этом не издает никаких звуковых или световых сигналов, чтобы проинформировать пользователя о начале процедуры очистки.
При тестировании конкретного образца, после того, как он был подвергнут быстрому форматированию, исследователи ожидали, что утилита очистки начнет работать примерно минут через 30-60, полагая, что этот процесс должен происходить с SSD перед тем, как новые данные начнут записываться в блоки, прежде занятые файлами. К их удивлению, зачистка произошла всего три минуты спустя, после чего всего лишь 1064 файла улик от общего числа 316 666 остались доступными для восстановления с диска.
Решив проследить этот процесс дальше, ученые вынули флэш-диск из компьютера и подключили его к блокиратору записи — аппаратному устройству, специально предназначенному для изоляции от всех процедур, способных изменить содержимое носителя. Но и здесь всего через 20 минут после подключения почти 19% всех файлов было затерто из-за внутренних процессов, которые инициирует прошивка самого SSD без каких-либо внешних команд. Для сравнения можно отметить, что на эквивалентном магнитном жестком диске все данные после аналогичного форматирования оставались восстановимыми в независимости от прошедшего времени — как и ожидалось исследователями.
Понятно, что для криминалистов, озабоченных сохранностью всех данных на носителе, эта особенность SSD представляет большую проблему. Как пишет в комментарии к их статье один из соавторов, Грэм Белл, «Несколько человек в сообществе компьютерных криминалистов имело представление о том, что с данными в SSD происходят какие-то забавные вещи, однако почти все, кому мы показывали наши результаты, были шокированы масштабами того, что обнаружилось».
Если «сбор мусора» в SSD происходит перед или во время криминалистической процедуры снятия образа, то это приводит к необратимому уничтожению потенциально крупных массивов ценных данных. Тех данных, которые в обычном случае были бы получены как улики в ходе следственного процесса — откуда родился новый термин «коррозия улик».
Нет сомнений, что открытия австралийских специалистов неизбежно будут иметь серьезные последствия для тех уголовных и гражданских судебных дел, которые опираются на цифровые свидетельства. Если диск, с которого были получены улики, имеет признаки того, что с данными происходили изменения после изъятия устройства у владельца, то оппонирующая сторона получает основания потребовать исключения этих свидетельств из судебного рассмотрения.
Авторы статьи также предупреждают, что по мере роста емкости USB-флэшек, изготовители могут начать встраивать аналогичные технологии очистки и в них, порождая ту же самую проблему и для массива вторичных (внешних) носителей информации. Кроме того, Белл и Боддингтон предполагают, что утилиты «сбора мусора» со временем будут становиться все более агрессивными — по мере того, как изготовители внедряют все боле и более мощные в своей функциональности прошивки, чипсеты и большего объема диски.
В итоговом заключении статьи, содержащем 18 пунктов проблемы, исследователи не предлагают никаких методов лечения, полагая, что простого и эффективного решения для этой проблемы не существует.
Если говорить о другой американской исследовательской статье, также посвященной специфическим особенностям хранения данных в SSD, то на первый взгляд ее результаты кажутся явно конфликтующими с теми, что получены австралийцами. Здесь команда исследователей пришла к совершенно иному открытию — что фрагменты данных, хранимых в памяти флэш-драйвов, могут оказываться практически неуничтожаемыми.
Как демонстрируют авторы этой статьи, флэш-драйвы очень трудно очистить от чувствительных к компрометации данных, используя традиционные методы безопасного затирания файлов и дисков. Даже в тех случаях, когда устройства SSD показывают, что файлы уничтожены, до 75% данных, в них содержавшихся, могут все еще находиться в памяти флэш-драйвов. В частности, в некоторых случаях, когда твердотельные диски свидетельствуют, будто файлы «безопасно стерты», на самом деле их дубликаты остаются в значительной степени нетронутыми во вторичных местоположениях.
Таковы, вкратце, выводы исследования, проведенного в Калифорнийском университете Сан-Диего и представленного в последних числах февраля на конференции Usenix FAST 11 («Reliably Erasing Data From Flash-Based Solid State Drives» by Michael Wei, Laura Grupp, Frederick Spada, Steven Swanson.
