: «Ибо кто имеет, тому дано будет и приумножится, а кто не имеет, у того отнимется и то, что имеет» (Благая Весть от Матфея, глава 13, стих 12).
К оглавлению
Кивино гнездо: Закон Мерфи для хранения данных
Берд Киви
Опубликовано 05 марта 2011 года
Две любопытные исследовательские статьи из разных концов планеты, опубликованные в Сети практически сразу друг за другом, дают существенно новый взгляд на криминалистические аспекты в работе SSD или твердотельных устройств хранения данных, часто именуемых флэш-драйвами.
Восстановить нельзя
Внутренние механизмы работы SSD настолько существенно отличаются от традиционных накопителей на жестких магнитных дисках, что криминалисты уже не могут опираться на нынешние технологии хранения данных в тех ситуациях, когда улики с носителей типа SSD фигурируют в судебных разбирательствах. Примерно к этому сводится суть предупреждения в итогах исследовательской статьи ученых из австралийского Университета Мердока («Solid State Drives: The Beginning of the End for Current Practice in Digital Forensic Discovery» by Graeme B. Bell and Richard Boddington, PDF).
В основу исследования была положена большая серия экспериментов по сравнению нюансов хранения данных у изучаемых образцов: флэш-драйва Corsair 64GB SSD и традиционного магнитного диска Hitachi 80GB. При сравнительном анализе, исследователи выявили в SSD целый букет проблем с восстановлением данных. Проблем, совершенно не свойственных магнитным дискам и вызванных алгоритмами очистки или «сбора мусора», применяемыми для поддержания флэш-драйвов на уровне максимальной производительности.
Под действием этих алгоритмов важные для следствия данные, хранимые на современных SSD, зачастую становятся объектом процесса, получившего среди криминалистов название «самокоррозия». Результатом этого процесса становится то, что улики на SSD непрерывно стираются или загрязняются посторонними данными — таким способом, который совершенно не свойственен носителям на базе жестких магнитных дисков. И, что принципиально важно, все эти перемены с информацией происходят при отсутствии каких-либо команд от пользователя или от компьютера.
Результаты австралийских исследователей неизбежно порождают сомнения в целостности и достоверности тех файлов, которые изолируют криминалистическими методами и извлекают из устройств хранения. Можно даже сказать, что обозначилась отчетливая угроза окончания того «золотого века» в сборе цифровых улик, что был обеспечен особенностями хранения данных на магнитных носителях.
