l:href='http://www.usenix.org/events/fast11/tech/full_papers/Wei.pdf'>PDF).
Проблемы с надежным затиранием данных на SSD, как пишут авторы работы, происходят из-за радикально иной внутренней конструкции носителя. Традиционные приводы типа ATA и SCSI используют намагничиваемые материалы для записи информации в конкретное физическое место, известное как LBA или адрес логического блока. В дисках SSD, с другой стороны, для цифрового хранения используются чипы, для управления контентом применяющие FTL или «слой флэш-трансляции». Когда данные в таком носителе модифицируются, то FTL часто записывает новые файлы в разные места, попутно обновляя карту распределения памяти для отражения сделанных перемен. Результатом таких манипуляций становится то, что остатки от прежних файлов, которые авторы именуют «цифровыми останками», в виде неконтролируемых дубликатов продолжают сохраняться на диске.
Как пишут авторы: «Эти различия в обработке между магнитными дисками и SSD потенциально ведут к опасным расхождениям между ожиданиями пользователя и реальным поведением флэш-драйва... Владелец такого устройства может применять к SSD стандартные средства очистки жестких дисков, ошибочно полагая, будто в результате данные на диске будут необратимо уничтожены. На самом деле, эти данные могут оставаться на диске и требуют лишь несколько более сложных операций по их восстановлению».
Если говорить о конкретных цифрах, то исследователи установили, что порядка 67% данных, хранившихся в файле, остались на диске даже после того, как он был уничтожен в SSD с использованием функции «безопасного стирания», имеющейся в системе Apple Mac OS X. Другие утилиты безопасного (с перезаписью) стирания в условиях других операционных систем показали примерно похожие результаты. Например, после уничтожения отдельных файлов программой Pseudorandom Data на SSD могло оставаться до 75% данных, а при использовании британской правительственной технологии зачистки British HMG IS5 оставалось до 58%.
Как предупреждает статья, эти результаты свидетельствуют — в ситуации с SSD перезаписывание данных оказывается неэффективным, а стандартные процедуры стирания, предоставляемые изготовителями, могут не срабатывать надлежащим образом.
По мнению исследователей наиболее эффективным способом для безопасного удаления данных в условиях SSD оказывается использование устройств, шифрующих свое содержимое. Здесь процедура Wiping сводится к уничтожению ключей шифрования в специальном разделе, именуемом «хранилищем ключей» — по сути гарантируя, что данные останутся на диске навсегда зашифрованными.
Но тут, конечно же, подстерегает другая проблема. Как пишут авторы статьи: «Опасность заключается в том, что защита опирается на правильную работу контроллера, очищающего внутренний отсек хранения, содержащий криптоключ и любые другие производные от него величины, которые могут быть полезны при криптоанализе. Принимая во внимание те ошибки реализации, которые мы обнаружили в некоторых вариантах утилит безопасного стирания, было бы неоправданно оптимистичным подразумевать, что поставщики SSD правильно зачистят хранилище ключей. Хуже того, здесь нет никакого способа (например, разобрав устройство) удостовериться, что стирание действительно произошло».
Свои результаты исследователи получали путем записи на диски SSD разных файлов с хорошо идентифицируемыми структурами данных. После чего использовалось специальное устройство на основе FPGA (чипов с перепрограммируемой логикой) для быстрого поиска и выявления оставшихся «отпечатков» этих файлов после применения процедур безопасного стирания. Спецустройство исследователей стоит около тысячи долларов, однако «более простая версия аппарата на основе микроконтроллера стоила бы порядка 200 долларов и потребовала бы лишь наличия скромного технического опыта для его конструирования».
Как сформулировали совокупные итоги двух этих статей на дискуссионном форуме Slashdot: «Или диски SSD действительно трудно зачистить, или же с них действительно очень трудно восстановить удаленные файлы. Получается какая-то запутанная история»...
Один из непосредственных участников первого (австралийского) исследования, Грэм Белл, объясняет этот кажущийся парадокс следующим образом.
Прежде данные на дисках традиционно зачищали вручную, то есть в явном виде отдавая компьютеру команду, чтобы он велел приводу записать что-то другое поверх прежних данных. Если такой команды на перезапись не поступало, то в магнитных носителях данные продолжали сохраняться. Однако если тот же самый трюк пытаться применять к SSD, то он может не срабатывать. Тот логический адрес памяти, что вы пытаетесь перезаписать, мог быть уже перераспределен на лету, так что ваша команда «перезаписать» идет к какой-нибудь другой физической ячейке памяти, а не к той, которая хранила данные раньше. С логической точки зрения, все это выглядит так, будто перезапись сработала — вы уже не сможете больше получить доступа к этим данным через ОС вашего компьютера. Однако с точки зрения самого флэш-драйва, эти данные все еще там, спрятанные в какой-нибудь физической ячейке, которая в данное время не используется, если подразумевать соответствующий логический сектор. Однако какая-нибудь хитроумная прошивка или ушлый хакер с паяльником в принципе может до этих данных добраться.
В то же время, отдельно от этих особенностей, современные носители SSD используют разные специфические трюки для того, чтобы автоматически повышать свою производительность. Один из этих трюков заключается в заблаговременном затирании ячеек памяти, в которых содержатся данные, более уже не учитываемые файловой системой. В этом случае привод сам активно пытается непрерывно очищать с диска все, что только может. Причем делает это все исключительно по собственной инициативе — просто ради ускорения будущих операций записи, предоставляя заранее заготовленный пул доступных и ни подо что не задействованных ячеек.
Подводя итог этим особенностям SSD, можно констатировать следующее. Если ваш компьютер говорит флэш-драйву обнулить некие данные, то привод может вам соврать, и в действительности обнуление может и будет, а может и нет. Если же сам привод хочет что-нибудь затереть (причем он реально это делает и без всякого предупреждения), то эти данные будут уничтожены...
