0,0
рейтинг
13 марта 2011 в 09:35

Разработка → Стереть нельзя восстановить

Две любопытные исследовательские статьи из разных концов планеты, опубликованные в Сети практически сразу друг за другом, дают существенно новый взгляд на криминалистические аспекты в работе SSD, или твёрдотельных устройств хранения данных, часто именуемых флэш-драйвами.
Внутренние механизмы работы SSD настолько существенно отличаются от традиционных накопителей на жёстких магнитных дисках, что криминалисты уже не могут опираться на нынешние технологии хранения данных в тех ситуациях, когда улики с носителей типа SSD фигурируют в судебных разбирательствах.
С другой стороны, фрагменты данных, хранимых в памяти флэш-драйвов, могут оказываться практически неуничтожаемыми.


Восстановить нельзя

Примерно к этому сводится суть предупреждения в итогах исследовательской статьи учёных из австралийского Университета Мердока («Solid State Drives: The Beginning of the End for Current Practice in Digital Forensic Discovery» by Graeme B. Bell and Richard Boddington, PDF).

В основу исследования была положена большая серия экспериментов по сравнению нюансов хранения данных у изучаемых образцов: флэш-драйва Corsair 64GB SSD и традиционного магнитного диска Hitachi 80GB. При сравнительном анализе исследователи выявили в SSD целый букет проблем с восстановлением данных. Проблем, совершенно не свойственных магнитным дискам и вызванных алгоритмами очистки или «сбора мусора», применяемыми для поддержания флэш-драйвов на уровне максимальной производительности.

Под действием этих алгоритмов важные для следствия данные, хранимые на современных SSD, зачастую становятся объектом процесса, получившего среди криминалистов название «самокоррозия». Результатом этого процесса становится то, что улики на SSD непрерывно стираются или загрязняются посторонними данными — таким способом, который совершенно не свойственен носителям на базе жёстких магнитных дисков. И, что принципиально важно, все эти перемены с информацией происходят при отсутствии каких-либо команд от пользователя или от компьютера.

Результаты австралийских исследователей неизбежно порождают сомнения в целостности и достоверности тех файлов, которые изолируют криминалистическими методами и извлекают из устройств хранения. Можно даже сказать, что обозначилась отчётливая угроза окончания того «золотого века» в сборе цифровых улик, что был обеспечен особенностями хранения данных на магнитных носителях.

На протяжении нескольких последних десятилетий следователи работали с магнитными лентами, флоппи- и жёсткими дисками, которые стабильно продолжали хранить гигантские объёмы информации после того, как файлы, которые всё это содержали, были помечены системой как уничтоженные. Даже процедура безопасной зачистки (wiping), как известно специалистам, далеко не всегда бывает достаточной для полного уничтожения информации на магнитном носителе. Однако в твёрдотельных дисках SSD данные хранятся существенно иначе — в виде блоков или страниц транзисторных чипов логики NAND, которые необходимо электронным образом стирать, прежде чем их можно использовать повторно.

Результатом работы индустрии над повышением эффективности памяти SSD стало то, что большинство современных флэш-драйвов имеют встроенные в прошивку программы, которые регулярно и автоматически выполняют процедуры «самоочищения» или «сбора мусора». В результате этих санитарных процедур происходят постоянное затирание, изменение и перенос тех файлов, которые помечены системой как уничтоженные. Причем процесс этот начинается без всякого уведомления и очень быстро, почти сразу после подачи на чип питания. От пользователя не требуется никаких команд, а флэш-драйв при этом не издает никаких звуковых или световых сигналов, чтобы проинформировать пользователя о начале процедуры очистки.

При тестировании конкретного образца, после того как он был подвергнут быстрому форматированию, исследователи ожидали, что утилита очистки начнёт работать примерно минут через 30-60, полагая, что этот процесс должен происходить с SSD перед тем, как новые данные начнут записываться в блоки, прежде занятые файлами. К их удивлению, зачистка произошла всего три минуты спустя, после чего всего лишь 1064 файла улик от общего числа 316 666 остались доступными для восстановления с диска.

Решив проследить этот процесс дальше, ученые вынули флэш-диск из компьютера и подключили его к блокиратору записи — аппаратному устройству, специально предназначенному для изоляции от всех процедур, способных изменить содержимое носителя. Но и здесь всего через 20 минут после подключения почти 19 процентов всех файлов было затёрто из-за внутренних процессов, которые инициирует прошивка самого SSD без каких-либо внешних команд. Для сравнения можно отметить, что на эквивалентном магнитном жёстком диске все данные после аналогичного форматирования оставались восстановимыми вне зависимости от прошедшего времени — как и ожидалось исследователями.

Понятно, что для криминалистов, озабоченных сохранностью всех данных на носителе, эта особенность SSD представляет большую проблему. Как пишет в комментарии к их статье один из соавторов, Грэм Белл, «несколько человек в сообществе компьютерных криминалистов имели представление о том, что с данными в SSD происходят какие-то забавные вещи, однако почти все, кому мы показывали наши результаты, были шокированы масштабами того, что обнаружилось».

Если «сбор мусора» в SSD происходит перед или во время криминалистической процедуры снятия образа, то это приводит к необратимому уничтожению потенциально крупных массивов ценных данных. Тех данных, которые в обычном случае были бы получены как улики в ходе следственного процесса, откуда родился новый термин — «коррозия улик».

Нет сомнений, что открытия австралийских специалистов неизбежно будут иметь серьёзные последствия для тех уголовных и гражданских судебных дел, которые опираются на цифровые свидетельства. Если диск, с которого были получены улики, имеет признаки того, что с данными происходили изменения после изъятия устройства у владельца, то оппонирующая сторона получает основания потребовать исключения этих свидетельств из судебного рассмотрения.

Авторы статьи также предупреждают, что по мере роста ёмкости USB-флэшек изготовители могут начать встраивать аналогичные технологии очистки и в них, порождая ту же самую проблему и для массива вторичных (внешних) носителей информации. Кроме того, Белл и Боддингтон предполагают, что утилиты «сбора мусора» со временем будут становиться всё более агрессивными — по мере того, как изготовители внедряют всё более и более мощные в своей функциональности прошивки, чипсеты и большего объёма диски.

В итоговом заключении статьи, содержащем 18 пунктов проблемы, исследователи не предлагают никаких методов лечения, полагая, что простого и эффективного решения для этой проблемы не существует.

Стереть нельзя

Если говорить о другой американской исследовательской статье, также посвящённой специфическим особенностям хранения данных в SSD, то на первый взгляд её результаты кажутся явно конфликтующими с теми, что получены австралийцами. Здесь команда исследователей пришла к совершенно иному открытию: фрагменты данных, хранимых в памяти флэш-драйвов, могут оказываться практически неуничтожаемыми.

Как демонстрируют авторы этой статьи, флэш-драйвы очень трудно очистить от чувствительных к компрометации данных, используя традиционные методы безопасного затирания файлов и дисков. Даже в тех случаях, когда устройства SSD показывают, что файлы уничтожены, до 75 процентов данных, в них содержавшихся, могут всё ещё находиться в памяти флэш-драйвов. В частности, в некоторых случаях, когда твёрдотельные диски свидетельствуют, будто файлы «безопасно стёрты», на самом деле их дубликаты остаются в значительной степени нетронутыми во вторичных местоположениях.

Таковы, вкратце, выводы исследования, проведённого в Калифорнийском университете Сан-Диего и представленного в последних числах февраля на конференции Usenix FAST 11 («Reliably Erasing Data From Flash-Based Solid State Drives» by Michael Wei, Laura Grupp, Frederick Spada, Steven Swanson. PDF).

Проблемы с надёжным затиранием данных на SSD, как пишут авторы работы, происходят из-за радикально иной внутренней конструкции носителя. Традиционные приводы типа ATA и SCSI используют намагничиваемые материалы для записи информации в конкретное физическое место, известное как LBA или адрес логического блока. В дисках SSD, с другой стороны, для цифрового хранения используются чипы, для управления контентом применяющие FTL или «слой флэш-трансляции». Когда данные в таком носителе модифицируются, то FTL часто записывает новые файлы в разные места, попутно обновляя карту распределения памяти для отражения сделанных перемен. Результатом таких манипуляций становится то, что остатки от прежних файлов, которые авторы именуют «цифровыми останками», в виде неконтролируемых дубликатов продолжают сохраняться на диске.

Как пишут авторы, «эти различия в обработке между магнитными дисками и SSD потенциально ведут к опасным расхождениям между ожиданиями пользователя и реальным поведением флэш-драйва… Владелец такого устройства может применять к SSD стандартные средства очистки жёстких дисков, ошибочно полагая, будто в результате данные на диске будут необратимо уничтожены. На самом деле эти данные могут оставаться на диске и требуют лишь несколько более сложных операций по их восстановлению».

Если говорить о конкретных цифрах, то исследователи установили, что порядка 67 процентов данных, хранившихся в файле, остались на диске даже после того, как он был уничтожен в SSD с использованием функции «безопасного стирания», имеющейся в системе Apple Mac OS X. Другие утилиты безопасного (с перезаписью) стирания в условиях других операционных систем показали примерно похожие результаты. Например, после уничтожения отдельных файлов программой Pseudorandom Data на SSD могло оставаться до 75 процентов данных, а при использовании британской правительственной технологии зачистки British HMG IS5 оставалось до 58процентов.

Как предупреждает статья, эти результаты свидетельствуют: в ситуации с SSD перезаписывание данных оказывается неэффективным, а стандартные процедуры стирания, предоставляемые изготовителями, могут не срабатывать надлежащим образом.

По мнению исследователей, наиболее эффективным способом для безопасного удаления данных в условиях SSD оказывается использование устройств, шифрующих своё содержимое. Здесь процедура Wiping сводится к уничтожению ключей шифрования в специальном разделе, именуемом «хранилищем ключей», — по сути гарантируя, что данные останутся на диске навсегда зашифрованными.

Но тут, конечно же, подстерегает другая проблема. Как пишут авторы статьи, «опасность заключается в том, что защита опирается на правильную работу контроллера, очищающего внутренний отсек хранения, содержащий криптоключ и любые другие производные от него величины, которые могут быть полезны при криптоанализе. Принимая во внимание те ошибки реализации, которые мы обнаружили в некоторых вариантах утилит безопасного стирания, было бы неоправданно оптимистичным подразумевать, что поставщики SSD правильно зачистят хранилище ключей. Хуже того, здесь нет никакого способа (например, разобрав устройство) удостовериться, что стирание действительно произошло».

Свои результаты исследователи получали путём записи на диски SSD разных файлов с хорошо идентифицируемыми структурами данных. После чего использовалось специальное устройство на основе FPGA (чипов с перепрограммируемой логикой) для быстрого поиска и выявления оставшихся «отпечатков» этих файлов после применения процедур безопасного стирания. Спецустройство исследователей стоит около тысячи долларов, однако «более простая версия аппарата на основе микроконтроллера стоила бы порядка 200 долларов и потребовала бы лишь наличия скромного технического опыта для его конструирования».
Противоречия нет

Как сформулировали совокупные итоги двух этих статей на дискуссионном форуме Slashdot, «или диски SSD действительно трудно зачистить, или же с них действительно очень трудно восстановить удалённые файлы. Получается какая-то запутанная история»…

Один из непосредственных участников первого (австралийского) исследования, Грэм Белл, объясняет этот кажущийся парадокс следующим образом.

Прежде данные на дисках традиционно зачищали вручную, то есть в явном виде отдавая компьютеру команду, чтобы он велел приводу записать что-то другое поверх прежних данных. Если такой команды на перезапись не поступало, то в магнитных носителях данные продолжали сохраняться. Однако если тот же самый трюк пытаться применять к SSD, то он может не срабатывать. Тот логический адрес памяти, что вы пытаетесь перезаписать, мог быть уже перераспределён на лету, так что ваша команда «перезаписать» идет к какой-нибудь другой физической ячейке памяти, а не к той, которая хранила данные раньше. С логической точки зрения всё это выглядит так, будто перезапись сработала: вы уже не сможете больше получить доступа к этим данным через ОС вашего компьютера. Однако с точки зрения самого флэш-драйва эти данные всё ещё там, спрятанные в какой-нибудь физической ячейке, которая в данное время не используется, если подразумевать соответствующий логический сектор. Однако какая-нибудь хитроумная прошивка или ушлый хакер с паяльником в принципе может до этих данных добраться.

В то же время отдельно от этих особенностей современные носители SSD используют разные специфические трюки для того, чтобы автоматически повышать свою производительность. Один из этих трюков заключается в заблаговременном затирании ячеек памяти, в которых содержатся данные, более уже не учитываемые файловой системой. В этом случае привод сам активно пытается непрерывно очищать с диска всё, что только может. Причём делает это всё исключительно по собственной инициативе — просто ради ускорения будущих операций записи, предоставляя заранее заготовленный пул доступных и ни подо что не задействованных ячеек.

Подводя итог этим особенностям SSD, можно констатировать следующее. Если ваш компьютер говорит флэш-драйву обнулить некие данные, то привод может вам соврать и в действительности обнуление, может, и будет, а может, и нет. Если же сам привод хочет что-нибудь затереть (причём он реально это делает и без всякого предупреждения), то эти данные будут уничтожены…

Ещё один из комментаторов, явно не лишённый чувства юмора, охарактеризовал столь замысловатую ситуацию такими словами:

«Почему вы называете это путаницей? Здесь всё прозрачно и понятно. Если вы хотите восстановить удалённые данные, то сделать этого вы не можете. Если вы хотите их уничтожить, то и этого сделать вы не можете. Это такой Закон Мёрфи для хранения данных на SSD».

PS. Оригинал тут http://www.computerra.ru/597770/, к сожалению не могу опубликовать топик-ссылку, но тема крайне интересная, простите меня.
Сергей Колесников @sergpenza
карма
32,0
рейтинг 0,0
Пользователь
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Спецпроект

Самое читаемое Разработка

Комментарии (109)

  • +17
    Исследователи из первой части рассказа не догадались отключить собственно микросхему NAND от штатного контроллера накопителя, и подключить её к своему контроллеру, который не будет производить очистку?
    Как я понял, это как раз то, про что говорят исследователи из второй части. И больше правы именно они, говоря, что стирая мы можем и ничего не стереть.
  • +26
    Такое ощущение, что авторы старательно разбавляли статью водой до достижения желаемого объёма. А зачем дублировать абзац в самом начале?
    • +1
      Спасибо, поправил!
  • –2
    Хм… Получается контроллеры SSD знают о файловых системах? Может выход для гарантированного уничтожения данных использование неизвестных контроллеру ФС? Правда и само собой тогда ничего не сотрётся…
    • +4
      Ничего они не знают о ФС. Они просто туда-сюда перемещают блоки данных.
      • +2
        Тогда каким образом контроллер памяти затирает «свободную, стертую» (в терминах файловой системы) ячейку физически (уже потом), забивая ее нулями и чем эта ячейка будет отличаться от файла в ФС, просто забитого нулями?
        По поводу перемещения туда-сюда: с занятой (в ФС) ячейкой делать этого не стоит, т.к. физически такое копирование (по сути запись) уменьшает ресурс флешки и поэтому такой подход оправдан только в случае только по-настоящему свободных ячеек, т.е. команда на стирание ячейки с высокого уровня может вызвать (логическое) перемещение ячейки на уже физически затертую, т.о. прошлая, все еще занятая на данный момент ячейка будет хранить данные, пока по ней не пройдется сборщик мусора и не очистит ее физически.
        ИМХО получается, что знает. Не понимаю. Объясните, где я не прав?
        • +3
          есть такая команда — TRIM. ее посылает ОС SSD-устройству при удалении файлов, форматировании и некоторых других операциях.

          грубо говоря — «мне эти блоки больше не нужны, можешь делать с ними что хочешь».

          и контроллер SSD их чистит. или помечает для дальнейшей очистки. или еще что-то. в зависимости от прошивки, текущей загрузки, фазы луны и многих других вещей.
          • 0
            Да, спасибо, вы ответили на мой вопрос, разобрался.
            Может еще кому интересно: wiki://TRIM (команда SSD)
            P.S. Т.е. получается, чтобы надежно удалить данные надо сначала затирать нулями/мусором именно содержимое файла, не доводя до использования сигнала TRIM — тогда сами данные в физических ячейках будут перезаписаны или нет?
            • +4
              У своременных SSD при перезаписи данных нет гарантии, что данные запишутся в тот-же блок. Контроллер может записать блок куда угодно для равномерного износа ячеек памяти.
      • 0
        Это не совсем так. Например, Kingston SSDNow V+ SNV225-S2
        Модель 2008г, чипсет Samsung YK40 (PB22-J) без поддержки TRIM, но со встроенным сборщиком мусора, который «понимает» FAT и NTFS.
        В 2010г. была выпущена версия прошивки для контроллера с поддержкой TRIM.

        Сейчас, разумеется, новые диски идут сразу с поддержкой TRIM.
        • 0
          Исключение лишь потдтверждает правило.
    • +10
      Для гарантированного уничтожения данных надо использовать физические методы, а не цифровую дребедень )
      • 0
        + добавьте TrueCrypt, и теперь даже думать об уничтожении не надо. Диск есть, а что на нем есть какие-то данные, никто даже не докажет.
  • НЛО прилетело и опубликовало эту надпись здесь
    • –1
      А лучше, RAID5 или даже 6.
      • 0
        поверьте, бывает что значительно лучше разнесенные географически железки и дублирование (RAID1) вместо потери производительности на вычислениях чексуммы raid5+…

        В конечном счете вопрос цены и потенциальных возможностей… raidX внутри одного устройства не защитит от смерти контроллера, но и распределенные сетевые хранилища могут предъявлять невыполнимые требования к пропускной способности сети… истина где то рядом.
        • 0
          Кстати, меня давно интересует вопрос совместимости созданных RAID-ов.
          Каждый из существующих RAID-контроллеров в своём формате содержит RAID-ы?
          Если гикнется одно хранилище, можно ли диски переставить в другое (не такое же)?
          • +1
            Linux Software RAID понимает некоторые из on-disk форматов, используемых хардварными и почти-хардварными контроллерами. А именно, понимает и может полноценно использовать, даже создать, диски, сделанные Intel Storage Matrix RAID (формат imsm) и в формате SNIA DDF.

            Не имею мыслей, пользует кто-нибудь этот ddf или нет. Так что, видимо, если контроллер сдох — придётся искать другой контроллер того же модельного ряда
            • +1
              Почему этот момент до сих пор не стандартизовали…
              • 0
                Так стандартизировали же! И вы посмотрите на список членов.

                Вопрос только в том, реализуют они этот стандарт или нет. Вон, Intel в списке, а формат у них свой.
          • 0
            В общем случае нет, нельзя.

            Более-менее переносится RAID 1.
            Для остальных лучше иметь такой же контроллер с точно такой же прошивкой.

            Ну или программный рейд. Он переносится.
      • 0
        лучше — на каменных перфокартах :)
      • 0
        Ой не лучше. На днях читал историю про то, как вывалилось из 5 рейда 2 диска одной серии практически друг за дружкой. Пока восстанавливали первый, коньки отбросил второй.
        • 0
          сколько раз твердили миру — диски должны быть как минимум из разных партий
    • +9
      Чтобы их потом невозможно было удалить! :)
          Я считаю что сеть имеет похожий Закон Мерфи: Если ты что то нашел в Интернете, то стоит это сохранить, потому как все это недолговечно, и я считаю что время хранения информации в сети (я имею ввиду статьи, сайты, файлы) от 3 до 5 лет, потом заканчиваются проплаты хостинга, редизайн сайта, закрытие форума, удаление без архивов, и та информация которая была — исчезает, и не всегда бывает так что она стала неактуальной. Но в то же время, если ты что то оставил в Интернете, статьи, контакты, и т.д. Она мгновенно может распространиться и создать тысячи дубликатов на разных ресурсах и её уже не удалить.
          А что до сохранения данных, даже если вы оставляете информацию на своем dedicated, вы передаете данные третьим лицам, а там как говориться, все зависит от данных, и насколько они важны и сколько стоят. Ведь могут приехать службы, отключить от питания дата центр под видом поиска «запрещенных» материалов, и забрать целую стойку с вашим и другими серверами до кучи :).
      • +4
        Не которые страницы пипаю через сервис сохранения страниц peeep.us
        Пора бы уже прикрутить эту штуку намертво к закладкам Delicious.
        • +1
              Классный сервис, посмотрел, спасибо!
               Я обычно все интересные страницы сохраняю в mht, чтобы одним файлом было, да и другим передавать удобнее, ведь ie есть у почти всех, а вот с maff бывают проблемы, делаю это дополнением к Firefox-у Mozilla Archive Format. Иногда вырезаю все лишнее и сохраняю как pdf, что то типа статьи со ссылкой на источник. Вот так и храню что нибудь важное и интересное. Хлопотно, зато потом удобно. В Интернете уже многого нет, что я сохранил. А иногда делаю скриншоты страниц с помощью дополнения Fire Shot, и получается некая ретрограмма на память…
        • 0
          Есть ли альтернативные сервисы? Хотя бы просто архивирующие страницы со всеми включениями или генерирующие компактный «веб-архив» (MHTML)?
  • +1
    Что мешало исследователям сначала снять дамп исследуемого диска? Для чего и используется блокиратор записи по-идее, чтобы при снятии дампа не вносить изменений в вещдок.
    • 0
      Я не уверен, что существуют технологии копирования физических параметров секторов диска. Особенно — твердотельного.
      • 0
        Как только они его включили, в нем начинаются самопроизвольные процессы.
        • 0
          Это скорее ответ на комментарий выше.
          Я же про то, что дамп делается не с физического состояния носителя, а с логического — записанной информации. Если ФС не содержит информации об удаленных файлах — их не будет и в дампе.
          • 0
            Я сейчас глупость спрошу, но все таки, в целях самообразования: а команда dd не подойдет (прямой доступ к диску, покластерное копирование, raw данные и все сопутствующие пироги в виде «удаленной» информации)?
            • +3
              Судя по всему нет, контроллер самой флешки находится на еще более низком уровне и для него эти «физические блоки» в терминах dd имеют весьма логический смысл.
              Т.е. то, что отличает собременную флешку от HDD — как раз появление еще одного уровня абстракции адресов.
              • +1
                Ясно. Спасибо.
  • +8
    Автор (не)сознательно запутывает читателей, используя понятие 'логический адрес'… контроллер не имеет права самовольно изменять содержимое логических секторов (адресация на уровне запросов к самому устройству), вне зависимости, считает ли и операционная система 'свободными' или 'занятыми', это понятия более высокого уровня и у контроллера нет никакой возможности это узнать, НО контроллер может делать предположения об этом чтобы оптимизировать размещение данных в памяти.

    Другими словами, вне зависимости от того, какая файловая система установлена на SSD диске, если я записал в сектор по адресу 38254 свои данные, то именно эти данные и будут от туда успешно читаться до тех пор, пока внутренний резерв носителя не будет исчерпан и вне зависимости от того, по какому физическому адресу в какой момент времени эти данные находятся.

    Конечно же технология работы с 'сырыми' данными внутри накопителя кардинально изменилась и обе половины статьи вполне себе правы. Но воспринимать все это необходимо немного с другой позиции:
    * да, SSD носители позволяют сохранить часть данных уже после их реальной перезаписи
    * при этом другая часть (приведены соответствующие цифры в %) может быть случайно затерта

    Все остальное — это 'грязные инсинуации', возможно, с целью пролоббировать/заставить/… ввести в стандарт/сертификацию контроллеров соответствующие средства для облегчения восстановления данных (потому как средств для предотвращения доступа к данным дофига и больше) спецслужбам.
    • 0
      Это буря в стакане, поднятая западными криминалистами на почве «ужас-ужас, старая методика не работает!».
      Создадут новую методу и всего делов.
      Можно подумать, что старая методика с неба упала вместе со всем персоналом компаний Access Data и Guidance Software — основными поставщиками железа и софта в мире computer forensic
      • +2
        главное чтобы на производителей не оказывали давления, от этого в итоге могут потребители пострадать, например если запретят продавать накопители с какой нибудь технологией оптимизации из за того, что они потом спецслужбы будут напрягаться.
        • +1
          Согласен. Тут вообще без вопросов.
          Хотя, тут как с программно-аппаратным шифрованием HDD от Toshiba.
          Был случай — менеджер по продажам «интересно» ушел из компании, а ноутбук корпоративный остался. Диск зашифрован штатными средствами Тошибы. В сервис-центре пошли навстречу и при помощи неких «магических» штук дали доступ к информации.
          • 0
            никогда не складывайте все яйца в одну карзину…
            везде, где это возможно, разделяйте ответственность…

            т.е. например железо пусть поставляет кто то один, рабочий софт другой, средства защиты данных третий (криптоконтейнер truecrypt как пример) — так у них будет меньше возможности 'договориться'.

            в данном случае, лично мне, видно, что любое готовое решение от популярных производителей будет скомпроментированно хотя бы с благими намерениями.
          • +3
            И никогда не стоит вестись на на рекламные трюки. В своё время коллегами для интереса был разобран жёсткий диск с биометрической защитой (отпечатки пальцов). Оказалось, что пальчики-то давали доступ только к контроллеру, работающему непосредственно с жёстким диском и поменяв контроллер на аналогичный мы могли получать доступ к важной секьюрной информации, не подлежащей распространению.
  • +5
    Но если записать на SSD нули до упора, все 64 Гб — на нем же другой информации больше не останется.
    Вот и способ надежно удалить данные.
    • +7
      Лучше писать не нули, а случайные данные. Шибко умный контроллер, видя запись только нулей, может что-нибудь соптимизировать.
    • +4
      Соль в том, что ssd на 64 гб на самом деле содержит флешек не на 64 гб, а чуть больше. Это пользователю доступно 64 гб.

      А резервная область — ну вот как ты её затрёшь? Доступ к ней определяет сам контроллер, а что ему в голову придёт — неведомо.
      • +1
        Перезаписать весь диск тыщу раз :)
        • +2
          Метод молотка будет гораздо эффективнее :)
      • 0
        Резервная область содержит не сами пользовательские данные, а метаданные — главным образом информацию о расположении физических блоков NAND и их соответствие с адресами логических.
        • 0
          и данные тоже
    • 0
      не факт!
  • +1
    cryptsetup, и уничтожение ключа эквивалентно уничтожению данных.
    • +1
      Во-во, непонимаю, к чему все эти крики, если можно просто шифровать все данные на накопителе. Тем более, что Intel в своих новых Sandy Bridge процессорах, вслед за VIA, добавил команды для ускорения шифрования.
      • +2
        Вернее было бы читать «для ускорения дешифрования» =)
    • 0
      Не совсем, вероятность подбора ключа ненулевая. Когда-то DES (ключ 56 бит) считался стойким, а потом за 3 дня забрутфорсили :)
      • 0
        Для этих целей спецслужбы планировали использовать Sony PS3. Чем это кончилось — не представляю.
  • +2
    Как я понял, единственный способ затереть полностью ssd — накатить образ диска, соответствующий объему устройства.
  • 0
    Бред какой-то выходит
    1) Каким образом SSD стирает пространство от удаленных файлов? Откуда он знает какая стоит файловая система. Поддерживать все существующие файловые системы просто нереально, по крайней мере для контроллера в SSD. Если файл помечается что он удален, то он помечается в структурах файловой системы, о которых знает только сама файловая система и никакой контроллер в SSD просто не сможет знать это.
    2) Как это удалить нельзя? Форматируешь диск и затем тупо создаёшь файл и начинаешь в него писать мусор до тех пор пока хватит места. Таким образом будут задействовано 99.9% всего пространства диска. (Если конечно на диске пространства не в 2 раза больше чем даётся для работы)
    • +2
      в SSD насколько мне известно, помимо заявленной емкости есть еще дополнительная (но скорее всего зависит от производителя и связано с тем, что SSD еще сравнительно новая технология) емкость, которая используется при выходе из строя ячеек «основной» емкости.
    • +3
      1. во-первых, SSD (в большинстве своём) поддерживают специальные команды, которые позволяют сообщить накопителю о том, какие области диска свободны. Плюс, полная ёмкость SSD заметно выше полезной. За счёт этого организцется ротация секторов.
      2. Всё проще — низкоуровневое форматирование стирает SSD.
      3. Есть специальные команды, которые позволяют физически стереть сектор или группу секторов.
    • 0
  • +2
    Часть перевода введения для второй статьи:

    Наши результаты позволяют сделать три вывода:
    1. Встроенные команды достаточно эффективны, но производители порой некорректно их применяют;
    2. Перезаписи всего доступного пространства дважды обычно достаточно для уничтожения данных и уменьшения вероятности восстановления;
    3. Уничтожение отдельных данных способом, применяемым для жёстких дисков, не эффективен для SSD

    • 0
      То есть ничего страшного. Порнуху не восстановят, если форматировать :-D
  • 0
    Немаловажное следствие, упущенное комменаторами: если хотите что-то «стирать» с флешки/SSD — помести поверх неё шифрованный том. Заодно, в качестве бонуса по отношению к хранению на магнитных носителях, из-за эфемерности соответствия физических адресов логическим, вас не смогут спросить: «а что это у вас тут были за псевдорандомные данные?».
  • 0
    Как-то все на уровне мистики прямо. У меня появилось внутреннее ощущение страха от чтения этого «приключенческого романа».
    • +1
      Сон разума рождает чудовищ © :)
  • –3
    А все заметили, что в названии «Стереть нельзя восстановить» можно поставить тире в двух разных местах и получить два разных по смыслу предложения?
    • +8
    • +15
      Я вообще то думал, что там должна быть запятая а не тире, как в одном известном мультфильме…
      • –11
        Пожалуйста, выучите русский язык.
  • 0
    у меня вопрос немного другой: а как быстрее всего физически уничтожить SSD (за несколько секунд)? :-)
    • 0
      молоток?
    • 0
      Скорее всего — подать высокое напряжение на каждый контакт микросхемы памяти.
      • 0
        *на каждую пару контактов
      • +1
        Наверно имелось ввиду как это сделать быстро, в случае если вам стучат в дверь с криками откройте полиция. Вам хватит пары секунд чтобы подключить какие-то провода к микросхеме и подать высокое напряжение? Думаю молоток в данном случае и правда надёжней.
        • 0
          TrueCrypt + импульс тока + молоток. Пусть восстанавливают на здоровье.
      • 0
        интересно, а традиционные «размагничиватели», давно применяемые для уничтожения данных на магнитных носителях, здесь будут иметь смысл?
        а то ведь включил в розетку, сунул туда диск и готово
        • +1
          www.ixbt.com/storage/hddterminator.shtml
          Про «Прибой» тоже интересно.
          Сталкивался с девайсами уже после срабатывания «Прибоя» — печальное зрелище.
          Можно смело называть «Слезы следствия»
          • 0
            Очень хороший девайс, очень впечатлил в своё время. Вы не в курсе, он диски с перпендикулярной записью так же хорошо пробивает, как и обычные? А то я к моменту их выхода уже перестал смотреть в этом направлении.
            • 0
              Увы, про перпендикуляр ничего не могу сказать.
      • +1
        Это не быстро. Надо открывать корпус. А на контактах могут быть предохранители, которые уберегут внутренности от проблем.

        Лучше в микроволновку прожариваться. Там везде достанет.
        • 0
          Кстати, да — самый быстрый вариант.
          Вариант повышенной надежности — молотком по NANDам и в печь (новые русские сказки) =)
        • 0
          На контактах точно нет предохранителей. На плате — да могут быть схемы защиты. И то не факт, что на бытовых носителях будут ставить чтото серьезное для ЭМС.
          • 0
            На контактах устройства. Не в самих микросхемах. По этому и написал про открывание корпуса — это время, чтобы добраться до самих модулей памяти.
          • 0
            В традиционном смысле предохранителей там, конечно же, нет. А вообще там на всех контактах идущих наружу, вполне могут стоять защитные диоды (например от статики), которые, совместно с тонюсенькими золотыми проводничками, идущими от ножек микросхемы к кристаллу, роль предохранителей и выполнят. Восстановить работоспособность геморройно, но чисто теоретически, вполне может быть. В зависимости от желания, бюджета и важности информации, конечно.
      • 0
        Скорее всего это будет мало полезно. Думаю, молотком даже эффективнее.
        Быстрее всего и, скорее всего, наиболее эффективно из доступных методов — «поджарить» в микроволновке!
    • 0
      Рентгеновским излучением. Одна качественная засветка и там мусор вместо данных.
    • НЛО прилетело и опубликовало эту надпись здесь
      • +1
        У меня размеры унитаза не позволяют.
      • +1
        Плата PCI-E x4 не очень влезет в горшок, простите.
  • +2
    В конце статьи не хватает отдельного абзаца «Выводы».
    Я понимаю, что журналистам надо делать объем статьи, но есть люди которые не будут читать все и таких не мало.
    • 0
      Sergpenza — Это я говорил об computerra.ru.
      А Вам отдельное спасибо, что вставили сюда статью, есть над чем подумать.
  • +3
    Вообще-то у SSD есть специфичные команды для полного форматирования. Можно также выполнять т.н. «низкоуровневое» форматирование. Они действительно стирают весь объём диска, спрасывают таблицы ротации секторов т.п. И просиходит такое форматирование достаточно быстро, т.к. сипользуеют операции группового стирания.
    Какие-то странные специалисты в обзоре…
    • +3
      а линк дадите почитать?
  • 0
    Надо выпилить из SSD слой трансляции и перейти на Log Structured FS.

    Конечно, не ради спецслужб, а чтобы упростить устройство.
    • 0
      Не поможет. там же несколько банков памяти, рабтающих параллельно. Плюс, механизмы контроля износа памяти. Всё равно нужна трансляция.
      • 0
        Ну, банки памяти особой трансляции не требуют. (трансляция не хранит состояние). А контроль износа можно переложить на ФС, хотя сейчас вроде ни одна Log Structured FS этого не делает. Возможно, есть смысл расширить систему команд ATA для доступа к счётчикам износа.
        • 0
          А как же YAFFS? Специальная ФС для NAND-флешек, log-structured, контролирует износ, выполняет wear levelling и т. д.
          • 0
            Не нашёл там специфического контроля износа. А вообще да. Именно такие FS я и имел в виду. Но YAFFS относится к старому поколению флешовых систем, у них туго с большими объёмами. Есть надежда на UBIFS и LogFS.
        • 0
          Контроль износа осуществляетя групповыми счётчиками и измерением времени записи данных.
  • 0
    Как так, а многократная перезапись мусором уже не катит?
    • 0
      Выше уже отвечали, что на самом деле места больше чем заявлено, так называемые резервные блоки. Вот они и могут не перезаписываться.
      • 0
        Но при записи мусора и последующем его стирании блоки наполняются новой информацией? Тут варианта два: или они хранят стертые данные с первой перезаписи (всегда), или заполняются вновь стёртыми, не могут же они быть бесконечны.
  • 0
    Зарубежные криминалисты фактически кинули в гиковскую среду очередную идею для разработки «на слабо» методики обхода (пусть даже паяльником) штатного контроллера доступа к NAND, чтобы потом снять эту методику непосредственно с рук какого-нибудь удачливого хакера.

    Плюс: а как насчет методик вроде туннельной микроскопии или атомно-силового микрографа? Если в процессе чтения/записи меняются электрические параметры материала — такой прибор, возможно, сможет засечь «нули и единицы» по реакции на изменения электрического поля. Правда, микросхему придется вытравить, но это для криминалистики, думаю, проблемой не будет. Скорее проблемой будет заполучить «доказуемую» флешку как можно раньше, до выполнения полного цикла оптимизации свободного пространства.
    • 0
      Это из области историй о секретной лаборатории ФСБ в глухих лесах, где специально-обученные люди в скафандрах собирают воедино уничтоженные HDD и восстанавливают с них перезаписанную в 10 слоев информацию.

      Наверное существует и наверное работает успешно, но для «полевых» условий метод не подходит.

      Проблема получить — проблема доблестного опер.состава, а не криминалиста
      • 0
        Ребята, просто посчитайте:
        Для съёма данных с такой флешки надо протравить и снять несколько защитных слоёв. По цене это мелочи с последующим, но нужен нехилый опыт, иначе можно легко испортить плату. Далее нужен микроскоп — это уже ощутимые деньги, как минимум несколько миллионов рублей. Допустим, что у нас есть софт, позволяющий автоматизировать сбор картинок и выделять на них из магнитных доменов или остатков электрического заряда на плавающем затворе биты и байты. После всего этого нам, наконец-то, потребуется самый неквалифицированный работник в данной компании — чел, который будет сидеть в WinHex'е и восстанавливать в ручную все данные.
        То есть для всего этого нам необходим несколько людей с зарплатой не меньше полтиника в месяц ( за меньшее я не пошёл бы). То есть единоразово выкинуть несколько лямов и потом каждый год выплачивать, допустим для троих сотрудников, 150 000 * 12 = 1 800 000 рублей, чтобы они, *возможно*, нашли какие-то данные?
        • +2
          Зачем считать? Налогоплательщики платят.
          В соответствующих подразделениях FBI целые конвейеры (привет, Генри Форд!).
          Вещдок приезжает в подразделение -> Отдельный сотрудник распаковывает и заносит в журналы -> Отдельный сотрудник снимает дамп и вычисляет хэши -> Отдельный сотрудник спец.софтом (какой-нибудь Encase) ковыряет дампы/клоны/носитель -> Отдельный сотрудник оформляет найденное и пишет отчет -> Отдельный сотрудник запаковывает вещдок обратно и прилагает отчет и сопровождающие документы.

          При этом есть дежурная бригада города/штата/округа, которая занимается только выездами и сбором/изъятием вещдоков.

          При необходимости в цепочку добавляются другие спецы (восстановление данных, восстановление носителей, криптоанализ и т.д.)

          Другое дело что в России эксперт в подразделении на все руки мастер — и на выезд сгонять, и следователю/оперу помочь найти/изъять, и исследование провести, и экспертизу написать, и в суд съездить (с зарплатками далеко не 50 тыс.руб., а дай то бог 30-ка + ненормированный рабочий день с выходными и праздниками на дежурствах). И все это зачастую «на коленке».

          А касаемо независимых экспертов или спецов в коммерческих структурах — так где вы их видели в массовых количествах?
          Точно знаю, что у Лукойла есть спецы и оборудование и смутно догадываюсь, что в конторах с серьезной СБ такое может практиковаться, но там это обосновано или же денег много.

          Проводя параллели — никто не сомневается, что конкурентная разведка в компании нужна. Только часто вы подразделения такие в компаниях видели. На отдел маркетинга в лучшем случае сваливают, мол, мониторьте.

          Это я к тому, что там, где надо — уже все посчитали и приняли решение, что такие спецы в штате нужны.
  • 0
    Не проще ли было сделать ссылку топик на оригинал статьи?
    • +2
      Я вне всякого сомнения так бы и сделал, только вот топик-ссылку можно публиковать при наличии хорошей судьбы от 20 и выше.
  • +1
    Всё, повсеместно переходим на гибрид DDR2 RAM-драйва (с торчащими наружу планками) и магнетрона. Пусть будет лимит в 8-24 Гб, зато погибнет сразу и гарантированно. Да и показатель IOPS получше, чем у SSD.

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.