Dyski SSD – problemy skutecznego odzyskiwania i bezpiecznego usuwania danych

0
157

Różnice technologiczne pomiędzy tradycyjnymi dyskami magnetycznymi a dyskami SSD (Solid State Drive) mają wpływ zarówno na sposoby skutecznego usunięcia plików zawierających informacje wrażliwe, jak i możliwości odzysku utraconych danych, a także uzyskania uwierzytelnionej kopii binarnej danych. Ma to szczególne znaczenie zwłaszcza w przypadku prowadzenia działań z zakresu informatyki śledczej, choć oczywiście kwestie te są aktualne w przypadku każdego odzysku plików utraconych w wyniku awarii urządzenia czy pomyłkowego usunięcia danych.

Budowa i działanie komórek pamięci dysku SSD

Magazynowanie danych w przypadku dysków SSD odbywa się dzięki pamięci typy flash. Jest to ten sam rodzaj pamięci, który znajduje się wewnątrz urządzeń mobilnych jak smartfony czy tablety, ten sam, który wykorzystują pendrive’y. Pamięci tego rodzaju fizycznie zbudowane są z tranzystorów polowych MOSFET. Tranzystory tworzą komórki, które odpowiedzialne są za przechowywanie danych. Komórki zbudowane są z dwóch bramek: pływającej i sterującej. Zadaniem bramki pływającej jest gromadzenie ładunku, sterująca odczytuje, kasuje i zapisuje jego logiczną wartość (0 lub 1).

W dyskach SSD występują pamięci flash w odmianie NAND, która pozwala na znaczną oszczędność miejsca i krótsze czasy dostępu do przechowywanych informacji. Cechują ją także niższe koszty produkcji w przeliczeniu na jednostkę pojemności nośnika oraz większa trwałość. Pamięć NAND posiada jednak pewne ograniczenie, jakim jest brak bezpośredniego dostępu do komórek pamięci – realizowane zadania muszą odbywać się równocześnie dla całego rzędu komórek – tzw. strony. Jako pamięć o dostępie sekwencyjnym, nie sprawdza się ona w innych zastosowaniach poza pamięcią masową.

Strona pamięci jest najmniejszą jednostką rozpoznawaną przez sterownik. Strony zorganizowane są w bloki, a każdy blok zazwyczaj składa się z 32, 64 lub 128 stron. Ułożenie komórek pamięci flash w strony i bloki pozwala niejako odzwierciedlić organizację pamięci na klasycznym dysku HDD, ponieważ system operacyjny komputera, zaprojektowany z myślą o dyskach magnetycznych, nadal będzie posługiwał się pojęciami klastrów i sektorów, których nie ma na dysku SSD.

Naładowanie komórki pamięci jest tożsame z zapisem logicznego „0”, brak ładunku odpowiada „1”. Pamięć flash NAND może wykonywać trzy rodzaje operacji: zapisu, odczytu oraz kasowania danych. Aby komórka mogła zostać ponownie zapisana musi przejść przez proces kasowania zawartości, co nie występuje w przypadku klasycznych dysków HDD. Pamięci flash zapisują jedynie zera i tylko na poziomie całej strony – dane można usunąć przywracając „1” wyłącznie w całym bloku, ponieważ związane jest to z wysokim napięciem uwalnianym podczas tego procesu, które mogłoby doprowadzić do uszkodzenia naładowanych sąsiednich komórek i utratę zapisanych w nich bitów informacji. Gdy wszystkie strony w danym bloku zostaną przeznaczone do skasowania, cały blok zapisany zostaje jedynkami. Strony takie mogą być grupowane w bloki specjalne, przeznaczone do usunięcia, bez konieczności oczekiwania na wyczerpanie zapasu stron w danym bloku – proces taki nosi nazwę garbage collection i znacznie usprawnia obsługę komórek pamięci, przyspieszając w ten sposób działanie dysku SSD.

W przypadku tego rodzaju pamięci proces kasowania zawartości komórki wpływa na ich stopniowe zużycie – każda komórka pamięci ma przypisany pewien limit cykli zapisu/kasowania a po jego osiągnięciu dana komórka pamięci traci zdolność przechowywania ładunków i nie nadaje się do dalszego wykorzystania.

Aby zapobiec nierównemu i zbyt szybkiemu zużyciu komórek pamięci w pewnych obszarach dysku wprowadzony został system wear-levelling, którego zadaniem jest odpowiednio równomierne wykorzystanie komórek. System reguluje zapis informacji nie pozwalając na zbyt częste zaangażowanie tych samych komórek i przekierowując nowe pliki do mniej używanych obszarów pamięci. Odpowiada za to sterownik dysku oraz jego firmware (Flash Translation Layer), przez co system operacyjny traci bezpośrednią kontrolę nad miejscem faktycznego przechowywania plików danych. Sytuacja taka komplikuje proces zarówno bezpiecznego usunięcia danych, jak i odzyskiwania utraconych plików.

Problemy skutecznego usunięcia danych z dysku SSD

Żaden z tradycyjnych sposobów trwałego usuwania plików danych nie jest w przypadku dysków SSD w pełnie skuteczny. Nie istnieje bowiem możliwość nadpisania bitów informacji zgromadzonych we wszystkich komórkach pamięci flash NAND. Zapisanie jakichkolwiek nowych danych możliwe jest jedynie po wcześniejszym usunięciu ich z danego bloku pamięci, a ze względu na opisany wyżej proces zawiadywania komórkami dysku część jego obszarów może być wyłączona spod zarządzania systemu operacyjnego poprzez autonomiczne działania FTL.

Ani kasowanie i nadpisywanie miejsca zajmowanego przez plik na dysku, ani całej przestrzeni, nie daje absolutnej pewności usunięcia wszystkich danych, gdyż część z nich może być przechowywana w specjalnych blokach pamięci niedostępnych z poziomu systemu operacyjnego. Pliki takie wciąż mogą być obecne nawet po wielokrotnym nadpisaniu z wykorzystaniem wielu różnych algorytmów nadpisujących. Należy zaznaczyć, iż są to strzępy informacji, które na ogół nie mogą posłużyć do spójnego odczytania danych, jednak aspekt ten jest istotny w kontekście przepisów regulujących skuteczne kasowanie informacji wrażliwych, do stosowania których zobligowane są np. instytucje i organizacje rządowe. Praktycznie rzecz biorąc odzyskanie nadpisanych danych przestaje być możliwe.

W pełnie bezpieczne usunięcie danych z wykorzystaniem metod nadpisania nie jest uważane za skuteczne jedynie teoretycznie, i to w kontekście niektórych obowiązujących przepisów. W USA Agencja Bezpieczeństwa Narodowego zaleca nadpisanie wraz z późniejszym procesem weryfikacji jego skuteczności, rząd Nowej Zelandii zaleca dwukrotne nadpisanie, przy czym nadal, potraktowane w ten sposób nośniki, maja być objęte klauzulą tajności.

Nieskutecznym sposobem skasowania danych wrażliwych jest również wykorzystanie magnetyzera – nawet pomimo użycia silnego pola magnetycznego, ze względu na technologię wykonania dysków SSD, bity w komórkach pamięci flash pozostają stabilne. Skuteczne pozostają jedynie sposoby fizycznego zniszczenia nośnika (spalenie, zmielenie zalecane przez National Institute of Standards and Technology). Pewnym rozwiązaniem jest także szyfrowanie dysków SSD, bowiem bez klucza deszyfrującego odzyskanie danych przestaje być możliwe.

Trudności w odzyskiwaniu danych z dysków SSD

W związku z powyższym wydawać by się mogło, że odzyskiwanie danych z dysków SSD nie powinno przedstawiać zbytnich trudności. Nic bardziej mylnego. Aby uniknąć spowolnienia w działaniu dysku SSD wprowadzony został wspomniany już mechanizm garbage collection powiązany z funkcją TRIM. Jest to automatyczny, działający w tle system oczyszczania dysku z zalegających plików danych, przygotowujący zawczasu puste miejsce pod nowe pliki informacji. Niepotrzebne dane zostają wówczas skasowane, a ich odzyskanie przestaje być możliwe, pomimo iż dane teoretycznie wciąż powinny być na dysku obecne, w praktyce ciągły i sukcesywny proces „zbierania śmieci” skutecznie opróżnia dysk.

Proces trwa nawet podczas działań związanych z procedurą odzyskiwania danych, np. wykonywania kopii danych dysku, co ma nie bagatelne znaczenie dla postępowania dowodowego w przypadku prowadzenia czynności z zakresu informatyki śledczej. Dane mogą ulec modyfikacji zanim zostaną zatwierdzone przez odpowiedniego specjalistę, w związku z czym standardowa weryfikacja integralności plików może nie być możliwa do przeprowadzenia. Fizyczne wymontowanie sterownika przed rozpoczęciem procesu zabezpieczenia i odzysku danych stanowi pewne rozwiązanie, jednak proces ten niesie ze sobą sporo trudności technicznych. Bez znajomości algorytmów garbage collection skuteczne procedury zabezpieczania danych zgodne z obowiązującymi procedurami podczas działań dochodzeniowych mogą nie zostać zagwarantowane.

Jak widać proces odzyskiwania danych z dysków SSD jest niezwykle trudny, wymagający fachowej wiedzy oraz doświadczenia, i nie zawsze może zostać zakończony powodzeniem.