Твердотельные накопители (или SSD) на сегодняшний день все больше и больше актуальны и вытесняют с рынка уже привычные жесткие диски HDD. На данный момент пользователи, у которых установлен накопитель в виде SSD, используют его для хранения и системных файлов, некоторых нужных и важных программ, документов, настроек и тому подобных вещей.
SSD диски стали набирать такую популярность благодаря тому, что у них нету подвижных элементов, в отличии от их предшественников HDD. Так, ошибки, вирусы и прекращение работы системы могут очень сильно навредить сохраненным данным на таких дисках. И поэтому удаляются файлы, форматируются диски, повреждаются разделы и системные файлы на таких накопителях так же часто, как и на обычных магнитных.
Но как же восстановить утерянные данные на твердотельном диске и возможно ли это вообще?
То, как восстанавливается информация на обычных жестких дисках, существенно отличается от того, как она может и требует того восстанавливаться на дисках типа SSD. Информацию здесь можно как и восстановить, так и не восстановить. Но можно рассмотреть метод восстановления данных, если воспользоваться специальной программой под названием Hetman Partition Recovery.
Процесс восстановление данных с диска , которые были удалены, который сделан по SSD технологии, почти невозможно.
Во многих случаях данные, которые были удалены специально, либо нечаянно, восстановить не удастся. Этот вывод может и напугать, ведь многие были бы не готовы услышать такой ответ, но это есть так. Отличительная черта, которая есть у накопителя SSD, в отличие от других традиционных устройств, это TRIM. Это — специальная команда в интерфейсе ATA, благодаря которой твердотельный контроллер буквально физически очищает блоки данных, ранее использовавшиеся для хранения удаленных файлов. То есть контроллер получает команду в момент, когда удаляется файл, но само непосредственное удаление имевшейся информации мгновенно не происходит. Тем не менее, сейчас контроллеры в SSD работают так, что сообщение о том, что блок данных является пустым приходит сразу, когда поступает команда об удалении, не взирая на то, что очищение блока данных может производиться и позже.
И что с этим возможно сделать? В общем-то, не многое, но тем не менее. Так же можно сказать и о том, что даже в этом правиле есть исключение. Когда команда TRIM не выполняется, либо данная опция вообще не поддерживается диском, в самой операционной системе или в интерфейсе между персональным компьютером и накопителем SSD, то вы сможете сделать восстановление файлов, будто бы они были сохраненными на обычном диске. Но на сегодня большинство дисков SSD поддерживают команду TRIM. Существуют версии Mac OS, которые не поддерживают данную функцию и поэтому можно спокойно восстанавливать удаленные файлы. Тем же образом можно восстановить файлы на версиях, которые были до Windows Vista. Они так же не имеют поддержки команды TRIM. И так же, к общему сведению можно сказать, что данная команда не имеет возможности и не поддерживается USB и FireWire протоколами. Потому данные с ваших внешних носителей могут спокойно восстанавливаться.
Не рекомендуется также восстанавливать удаленные файлы с уже отформатированных накопителей SSD
Бывают два типа форматирования — полное и быстрое. Если использовать полное , то тогда затирается вся информация, которая хранится на жестком диске. Но если использовать быстрое , то очищается только таблица раздела, в которой содержится информация о файлах. Это дает возможность программе с названием Hetman Partition Recovery качественно, и к тому же еще и быстро, восстановить утерянные и удаленные файлы. Но теперь, для пользователей, у которых накопители SSD, такой номер не пройдет. В момент, когда диск форматируется, и не важно, полное или быстрое форматирование, сама операционная система дает зеленый свет команде TRIM. Далее контроллер SSD буквально физическим методом стирает информацию, которая содержится в блоках данных. И снова нужно сказать, что такая процедура не моментальная, но тем не менее множество контроллеров разрабатываются таким образом, чтобы производилось обнуление имеющихся данных уже после, когда команда TRIM выполнена. Если не учитывать исключения, которые упомянуты выше, то данные после форматирования диска SSD не восстанавливаются. И даже тогда, когда был бы выбран быстрый тип форматирования.
Как восстановить разбитый или поврежденный накопитель SSD?
Если ваш диск типа SSD испортился или имеет очень серьезные повреждения, перестает читаться и его не видит система, то это так же плюс. Ирония судьбы, возможно, но в этот самый момент все файлы надежно хранятся на диске, потому как команда TRIM не имела места быть запущенной под влиянием операционной системы. Иными словами, можно спокойно воспользоваться программой Hetman Partition Recovery, которая предназначена для восстановления данных с уже испорченных, поврежденных, а так же с нечитаемых и недоступных накопителей типа SSD. С помощью этой программы можно получить назад все потерянные данные, либо почти все.
Подводя итог, можно сказать, что данные, которые были утеряны на накопителях формата SSD, не так то уж и легко восстановить, но можно, если следовать всем инструкциям, описанным выше.
В статье под названием «Как SSD-накопители стирают данные » мы рассказывали, почему твердотельные накопители непрерывно «зачищают» свободное пространство, практически мгновенно стирая данные после быстрого форматирования диска или удаления раздела. Звучит страшно, не так ли? Тем не менее, не всегда все так плохо, как может показаться. Часто ваши файлы все-таки остаются на SSD диске, а значит, могут быть восстановлены. Давайте посмотрим, когда это происходит и почему это возможно.
TRIM: когда функция не работает
TRIM это великая вещь для оптимизации производительности и долговечности SSD-накопителя. Не будь функции TRIM, и мы имели бы гораздо меньшую скорость записи данных на диск. К тому же, флеш-ячейки, которые имеют ограниченное количество циклов записи, изнашивались бы гораздо быстрее.
Тем не менее, в некоторых ситуациях функция TRIM не используется системой. В частности, TRIM не будет работать, при любом из следующих условий:
- Вы использовали накопитель SSD в корпусе USB. TRIM не работает через USB (тем не менее, он работает через ESATA);
- Вы использовали один или несколько SSD накопителей в корпусе NAS (большинство NAS-накопителей не поддерживают TRIM, за исключением некоторых типов сетевых накопителей, работающих в сочетании с новейшей ОС);
- Вы использовали два или более твердотельных накопителя во внутреннем массиве RAID (до недавнего времени Windows не поддерживала функцию TRIM на RAID-массивах. Даже сегодня, TRIM и RAID не всегда могут работать вместе);
- Вы используете Windows XP или Vista (TRIM был добавлен только в Windows 7 и более новые версии ОС, в том числе Windows 8 и 8.1);
- Ваш SSD диск отформатирован в FAT, FAT32 или EXFAT (в Windows TRIM работает только с NTFS);
- Диск или файловая система повреждена (TRIM срабатывает только если вы эксплицитно удалили файл, отформатировали диск или заново разбили его на разделы. В противном случае, даже если вы не видите каких-либо данных, и диск кажется пустым или недоступным, команда TRIM не сработает, пока вы производите форматирование или перераспределение разделов);
- Non-Apple SSD на Mac (в Mac OS X функция TRIM поддерживается только для SSD-накопителей, выпускаемых компанией Apple).
Если ваш случай подходит под одно из описанных выше условий, вы смело можете использовать одну из программ для восстановления данных, таких как RS Partition Recovery , чтобы вернуть ваши удаленные файлы. Вероятность того, что ваши данные по-прежнему существует и могут быть восстановлены так же высока, как при работе с традиционным жестким диском!
Существует общепринятая точка зрения, что невозможно восстановить данные на твердотельном накопителе, что сделать это можно только на обычном жёстком диске. Но это касается только встроенных носителей. Файлы на USB-флеш-накопителях и внешних твердотельных накопителях (SSD) подлежат восстановлению, что зачастую воспринимается в качестве уязвимости в защите личной информации.
Но, с другой стороны, это хорошо. На таких устройствах можно восстановить случайно удалённые файлы, что, само собой, является полезным свойством. С другой стороны, этим могут воспользоваться посторонние люди для получения доступа к конфиденциальным сведениям.
Почему нельзя восстановить удалённые файлы со встроенного SSD
Причина, по которой файлы можно восстановить на обычном встроенном в компьютер жёстком диске, очень проста. Когда вы удаляете с такого диска файл, то он по большому счёту не удаляется. Эти данные остаются на жёстком диске, просто отмечаются системой как удалённые. Операционная система сохраняет информацию до того момента, пока ей не понадобится больше пространства на диске для сохранения других данных.
Для операционной системы нет смысла мгновенно очищать сектора, так как это сделает процесс удаления файлов более длительным. А запись информации в ранее использованный сектор занимает столько же времени, как и запись информации в пустой сектор. Из-за большого количества таких удалённых данных, программы для восстановления данных могут просканировать жёсткий диск на наличие незадействованного пространства и восстановить информацию, которая ещё не перезаписана.
SSD-диски работают по-другому. Прежде чем любые данные запишутся в ячейку флеш-памяти, такая ячейка предварительно очищается. Новые приводы изначально пусты, и запись на них происходит максимально быстро. На заполненном диске со множеством удалённых файлов процесс записи происходит медленнее, так как каждая ячейка должна быть очищена, прежде чем на неё будет производиться запись. Это значит, что со временем SSD-диск будет становиться медленнее. Для того, чтобы избежать этого, была введена TRIM .
TRIM (англ. to trim - подрезать) - команда интерфейса ATA , позволяющая операционной системе уведомить твердотельный накопитель о том, какие блоки данных уже не содержатся в файловой системе и могут быть использованы накопителем для физического удаления.
Когда операционная система удаляет файлы со встроенного SSD, она обращается к команде TRIM, и та мгновенно удаляет данные сектора. Это ускоряет процесс записи в будущем и делает восстановление данных на таком диске практически невозможным.
TRIM работает только со встроенными дисками
Итак, считается, что невозможно восстановить файлы на SSD-диске. Но это не так, потому что есть один очень важный нюанс: TRIM поддерживается только встроенными (внутренними) дисками. Она не поддерживается интерфейсами USB или FireWire. Другими словами, когда вы удаляете файл с флешки, внешнего SSD, SD-карты памяти или твердотельного накопителя другого типа, система просто отмечает его как удалённый и он может быть восстановлен.
Это значит, что на любых внешних дисках можно восстановить данные таким же образом, как и на обычном HDD-диске. Фактически такие носители ещё более уязвимы, чем обычный встроенный HDD, - их легче украсть. Их можно где-то оставить, одолжить или потерять.
Попробуйте сами
Можете попробовать сами. Возьмите флешку, подсоедините её к компьютеру и скопируйте на неё файлы. Удалите эти файлы и запустите программу для восстановления удалённых данных. Просканируйте с её помощью вашу флешку, и программа увидит все удалённые файлы и предложит их восстановить.
Программа нашла удалённые файлы с помощью быстрого сканирования
Быстрое форматирование не поможет
А как же форматирование? Отформатируем флешку, и ничего не восстановится! Ведь форматирование удаляет все файлы на носителе и создаёт новую файловую систему.
Чтобы проверить это, отформатируем нашу флешку с помощью установленного по умолчанию быстрого форматирования. Да, действительно, с помощью быстрого сканирования Hetman Partition Recovery не смогла обнаружить удалённые файлы. Но более глубокий полный анализ смог обнаружить большое количество удалённых файлов, которые были на флешке до её форматирования.
Быстрое форматирование не затирает диск
Убираем галочку с быстрого форматирования и форматируем заново. После этого программа затрудняется найти удалённые файлы.
Когда форматируете флешку, не забудьте убрать галочку с быстрого форматирования
Как убедиться в том, что удалённые файлы уже не могут быть восстановлены
Можно использовать такие решения для шифрования, как TrueCrypt , Microsoft BitLocker , встроенный инструмент Mac OS или Linux. Тогда никто не сможет восстановить удалённые файлы без ключа, и это защитит все файлы на носителе, в том числе и удалённые.
Но это важно только в том случае, если носитель используется для хранения важных данных. Если это флешка для прослушивания музыки в авто, то, понятное дело, шифровать её не обязательно.
TRIM - это функция, которая помогает получать максимальную производительность от встроенного SSD. Однако она не является средством безопасности. Многие думают, что она гарантирует безвозвратное удаление данных с любого твердотельного носителя. Это не так - можно восстановить данные на любом внешнем диске. Обязательно примите это во внимание, когда удаляете конфиденциальные или просто важные данные.
При удалении файлов мы выбираем список старых или ненужных файлов, нажимаем «удалить », и - бац - они пропали. Но действительно ли они удаляются с диска? Появление твердотельного диска (SSD) означает, что удаление не всегда то, чем кажется. И по мере того, как улучшаются технологии восстановления данных, также появляется необходимость полного уничтожения файлов без возможности восстановления.
Ваш SSD удаляет ваши файлы? Или он просто их скрывает? Давай выясним.
Что происходит при удалении
Мы нажимаем «delete », и файл исчезает с экрана. Но что при этом происходит? Ну, удаление файла - это многоступенчатый процесс. При первом удалении файла он просто перемещается в корзину. Содержимое файла остается неповрежденным. Это позволяет нам восстанавливать файлы, которые мы случайно удалили.
Следующий шаг - удаление его из корзины (или с помощью Shift + Delete для прямого удаления). Большинство операционных систем отслеживают файлы с помощью «указателей ». Каждый файл и папка имеют указатель, указывающий файловой системе, где искать файл. Когда вы удаляете файл из корзины, Windows удаляет указатель и маркирует сектора диска, содержащие данные, как «доступные для перезаписи ».
В вашем проводнике файлов файл пропал. На практике, однако, до тех пор, пока сектор диска, содержащий существующие данные, не будет перезаписан, данные файла все еще существуют. Вот почему с помощью программы восстановления файлов можно восстановить файлы. Кроме того, некоторые могут восстанавливать части файлов - сектор, содержащий старые данные, который не был полностью перезаписан, оставив некоторые данные неповрежденными.
Это то, как удаление файлов работает на обычном жестком диске. SSD работают по-другому.
Почему SSD отличаются ?
SSD отличаются от обычных жестких дисков, прежде всего потому, что они используют разные технологии для записи данных. Жесткий диск - это устройство, которое записывается с помощью движущегося механического рычага. SSD больше похож на флеш-карту, сохраняя информацию в ячейках. Чтобы записать новые данные в ячейку, диск должен сначала стереть существующие данные.
Во время обычных операций твердотельные накопители по существу быстро обнуляют данные, содержащиеся в ячейке, перед переписыванием данных. SSD поддерживают контроль над тем, где данные записываются внутри ячеек. Это означает, что операционная система может запрашивать данные для записи в блок 1000, тогда как таблица указателей SSD содержит совсем другое число. Это известно, как «распределение износа» .
Этот процесс позволяет SSD управлять данными, всегда выделяя уже обнуленный блок для процесса записи, одновременно распределяя износ флэш-памяти с равной скоростью.
Конечно, не всегда могут быть в наличии предварительно обнуленные блоки. И хотя SSD знает, как перенаправить свои указатели на предварительно обнуленные блоки, он не знает какие блоки отмечены операционной системой как «неиспользуемые ». Здесь приходит на помощь команда TRIM . Команда TRIM позволяет операционной системе информировать SSD о том, какие блоки доступны для предварительного обнуления, для экономии времени и быстрого процесса записи.
Однако TRIM не всегда надежно удаляет данные. Поскольку аппаратный контроллер SSD сам решает какие блоки блокировать, вы не можете быть полностью уверены в том, что ваш SSD выполнит задачу. Кроме того, SSD используют небольшое количество нераспределенного пространства в качестве буфера во время процесса выравнивания износа, по существу сохраняя запись данных. К сожалению, это означает, что SSD восприимчивы к целому ряду методов восстановления данных.
Как наверняка очистить свой SSD
Теперь, когда мы точно понимаем, что происходит с нашим SSD, настало время рассмотреть, как удалить данные на постоянной основе.
Есть несколько общепринятых методов и инструментов, которые почти гарантированно полностью стирают ваш SSD.
Удаление с использованием программного обеспечения
Первый метод - использование Secure Erase. Secure Erase – это процесс при котором все ячейки памяти перезаписываются простыми «нулями », он имеет очень высокий уровень успеха, но некоторые исследования показали, что команда плохо реализована, и поэтому данные остаются на диске.
Многие производители твердотельных накопителей разрабатывают аппаратные средства управления, которые имеют функции Secure Erase:
- Samsung Magician
- Intel Solid State Toolbox
- OCZ Toolbox
- Corsair SSD Toolbox
- Инструментарий SSD SanDisk
Стирание диска с использованием Parted Magic
Многие эксперты советуют использовать Parted Magic. Parted Magic - это целый дистрибутив Linux, в котором представлены все способы удаления дисков и управления разделами.
Parted Magic - загрузочная среда Linux, то есть вы устанавливаете ее на USB-накопитель и загружаете компьютер оттуда.
Вот краткий список того, что вам нужно сделать:
- Скачайте Parted Magic и создайте установочный USB-накопитель с помощью .
- Загрузите компьютер с диска и выберите вариант 1 «Настройки по умолчанию».
- После загрузки (в нижнем левом углу)> «Служебные »> «Стереть диск ».
- Выберите команду «Внутреннее: безопасное стирание », которая записывает нули во всей области данных, а затем выберите диск, который вы хотите стереть на следующем экране.
- Если вам сказали, что диск «заморожен », вам нужно будет нажать кнопку «Сон » и повторить этот процесс, пока вы не сможете продолжить. Если ваш диск указывает требование к паролю, наберите пароль «NULL ».
- Подтвердите, что вы прочитали и поняли риски, затем нажмите «Да », чтобы удалить ваш диск.
Очистка диска с помощью PSID Revert
В некоторых случаях SSD нельзя стереть из-за аппаратного шифрования. В этих конкретных случаях иногда можно использовать идентификатор физической безопасности устройства (PSID ) для принятия PSID Revert. PSID Revert эффективно криптографически стирает диск, а затем сбрасывает его до заводских настроек.
PSID Revert стирает весь диск. Этот процесс также работает, если диск аппаратно зашифрован, но не зашифрован с использованием стороннего программного обеспечения. Узнайте, поддерживает ли ваш накопитель PSID Revert, выполнив поиск в Интернете для «[имя вашего диска] PSID Revert».
Методы безопасного удаления должны теоретически удалять все данные с диска с первого раза. Но, как показало несколько исследований, плохо реализованные или ошибочные версии Secure Erase могут привести к оставлению данных нетронутыми. Эти данные можно восстановить. Лучший способ наверняка удалить данные - завершить по крайней мере два полных процесса Secure Erase, чтобы гарантировать, что каждая ячейка SSD будет полностью перезаписана.
В противном случае, если вы конечно не готовите диск к продаже, но хотите со 100% результатом стереть на нем все данные, просто ударьте его пару раз молотком. Обратите внимание, что это уничтожит не только содержимое диска, но и сам накопитель. Но по крайней мере вы будете уверены, что компрометирующие вас данные будут безвозвратно потеряны.
Восстанавливали ли вы данные с вашего SSD? Вы пытались безопасно стереть данные? Напишите об этом в комментариях!
Две любопытные исследовательские статьи из разных концов планеты, опубликованные в Сети практически сразу друг за другом, дают существенно новый взгляд на криминалистические аспекты в работе SSD, или твёрдотельных устройств хранения данных, часто именуемых флэш-драйвами.
Внутренние механизмы работы SSD настолько существенно отличаются от традиционных накопителей на жёстких магнитных дисках, что криминалисты уже не могут опираться на нынешние технологии хранения данных в тех ситуациях, когда улики с носителей типа SSD фигурируют в судебных разбирательствах.
С другой стороны, фрагменты данных, хранимых в памяти флэш-драйвов, могут оказываться практически неуничтожаемыми.
Восстановить нельзя
Примерно к этому сводится суть предупреждения в итогах исследовательской статьи учёных из австралийского Университета Мердока («Solid State Drives: The Beginning of the End for Current Practice in Digital Forensic Discovery» by Graeme B. Bell and Richard Boddington, PDF).
В основу исследования была положена большая серия экспериментов по сравнению нюансов хранения данных у изучаемых образцов: флэш-драйва Corsair 64GB SSD и традиционного магнитного диска Hitachi 80GB. При сравнительном анализе исследователи выявили в SSD целый букет проблем с восстановлением данных. Проблем, совершенно не свойственных магнитным дискам и вызванных алгоритмами очистки или «сбора мусора», применяемыми для поддержания флэш-драйвов на уровне максимальной производительности.
Под действием этих алгоритмов важные для следствия данные, хранимые на современных SSD, зачастую становятся объектом процесса, получившего среди криминалистов название «самокоррозия». Результатом этого процесса становится то, что улики на SSD непрерывно стираются или загрязняются посторонними данными - таким способом, который совершенно не свойственен носителям на базе жёстких магнитных дисков. И, что принципиально важно, все эти перемены с информацией происходят при отсутствии каких-либо команд от пользователя или от компьютера.
Результаты австралийских исследователей неизбежно порождают сомнения в целостности и достоверности тех файлов, которые изолируют криминалистическими методами и извлекают из устройств хранения. Можно даже сказать, что обозначилась отчётливая угроза окончания того «золотого века» в сборе цифровых улик, что был обеспечен особенностями хранения данных на магнитных носителях.
На протяжении нескольких последних десятилетий следователи работали с магнитными лентами, флоппи- и жёсткими дисками, которые стабильно продолжали хранить гигантские объёмы информации после того, как файлы, которые всё это содержали, были помечены системой как уничтоженные. Даже процедура безопасной зачистки (wiping), как известно специалистам, далеко не всегда бывает достаточной для полного уничтожения информации на магнитном носителе. Однако в твёрдотельных дисках SSD данные хранятся существенно иначе - в виде блоков или страниц транзисторных чипов логики NAND, которые необходимо электронным образом стирать, прежде чем их можно использовать повторно.
Результатом работы индустрии над повышением эффективности памяти SSD стало то, что большинство современных флэш-драйвов имеют встроенные в прошивку программы, которые регулярно и автоматически выполняют процедуры «самоочищения» или «сбора мусора». В результате этих санитарных процедур происходят постоянное затирание, изменение и перенос тех файлов, которые помечены системой как уничтоженные. Причем процесс этот начинается без всякого уведомления и очень быстро, почти сразу после подачи на чип питания. От пользователя не требуется никаких команд, а флэш-драйв при этом не издает никаких звуковых или световых сигналов, чтобы проинформировать пользователя о начале процедуры очистки.
При тестировании конкретного образца, после того как он был подвергнут быстрому форматированию, исследователи ожидали, что утилита очистки начнёт работать примерно минут через 30-60, полагая, что этот процесс должен происходить с SSD перед тем, как новые данные начнут записываться в блоки, прежде занятые файлами. К их удивлению, зачистка произошла всего три минуты спустя, после чего всего лишь 1064 файла улик от общего числа 316 666 остались доступными для восстановления с диска.
Решив проследить этот процесс дальше, ученые вынули флэш-диск из компьютера и подключили его к блокиратору записи - аппаратному устройству, специально предназначенному для изоляции от всех процедур, способных изменить содержимое носителя. Но и здесь всего через 20 минут после подключения почти 19 процентов всех файлов было затёрто из-за внутренних процессов, которые инициирует прошивка самого SSD без каких-либо внешних команд. Для сравнения можно отметить, что на эквивалентном магнитном жёстком диске все данные после аналогичного форматирования оставались восстановимыми вне зависимости от прошедшего времени - как и ожидалось исследователями.
Понятно, что для криминалистов, озабоченных сохранностью всех данных на носителе, эта особенность SSD представляет большую проблему. Как пишет в комментарии к их статье один из соавторов, Грэм Белл, «несколько человек в сообществе компьютерных криминалистов имели представление о том, что с данными в SSD происходят какие-то забавные вещи, однако почти все, кому мы показывали наши результаты, были шокированы масштабами того, что обнаружилось».
Если «сбор мусора» в SSD происходит перед или во время криминалистической процедуры снятия образа, то это приводит к необратимому уничтожению потенциально крупных массивов ценных данных. Тех данных, которые в обычном случае были бы получены как улики в ходе следственного процесса, откуда родился новый термин - «коррозия улик».
Нет сомнений, что открытия австралийских специалистов неизбежно будут иметь серьёзные последствия для тех уголовных и гражданских судебных дел, которые опираются на цифровые свидетельства. Если диск, с которого были получены улики, имеет признаки того, что с данными происходили изменения после изъятия устройства у владельца, то оппонирующая сторона получает основания потребовать исключения этих свидетельств из судебного рассмотрения.
Авторы статьи также предупреждают, что по мере роста ёмкости USB-флэшек изготовители могут начать встраивать аналогичные технологии очистки и в них, порождая ту же самую проблему и для массива вторичных (внешних) носителей информации. Кроме того, Белл и Боддингтон предполагают, что утилиты «сбора мусора» со временем будут становиться всё более агрессивными - по мере того, как изготовители внедряют всё более и более мощные в своей функциональности прошивки, чипсеты и большего объёма диски.
В итоговом заключении статьи, содержащем 18 пунктов проблемы, исследователи не предлагают никаких методов лечения, полагая, что простого и эффективного решения для этой проблемы не существует.
Стереть нельзя
Если говорить о другой американской исследовательской статье, также посвящённой специфическим особенностям хранения данных в SSD, то на первый взгляд её результаты кажутся явно конфликтующими с теми, что получены австралийцами. Здесь команда исследователей пришла к совершенно иному открытию: фрагменты данных, хранимых в памяти флэш-драйвов, могут оказываться практически неуничтожаемыми.
Как демонстрируют авторы этой статьи, флэш-драйвы очень трудно очистить от чувствительных к компрометации данных, используя традиционные методы безопасного затирания файлов и дисков. Даже в тех случаях, когда устройства SSD показывают, что файлы уничтожены, до 75 процентов данных, в них содержавшихся, могут всё ещё находиться в памяти флэш-драйвов. В частности, в некоторых случаях, когда твёрдотельные диски свидетельствуют, будто файлы «безопасно стёрты», на самом деле их дубликаты остаются в значительной степени нетронутыми во вторичных местоположениях.
Таковы, вкратце, выводы исследования, проведённого в Калифорнийском университете Сан-Диего и представленного в последних числах февраля на конференции Usenix FAST 11 («Reliably Erasing Data From Flash-Based Solid State Drives» by Michael Wei, Laura Grupp, Frederick Spada, Steven Swanson. PDF).
Проблемы с надёжным затиранием данных на SSD, как пишут авторы работы, происходят из-за радикально иной внутренней конструкции носителя. Традиционные приводы типа ATA и SCSI используют намагничиваемые материалы для записи информации в конкретное физическое место, известное как LBA или адрес логического блока. В дисках SSD, с другой стороны, для цифрового хранения используются чипы, для управления контентом применяющие FTL или «слой флэш-трансляции». Когда данные в таком носителе модифицируются, то FTL часто записывает новые файлы в разные места, попутно обновляя карту распределения памяти для отражения сделанных перемен. Результатом таких манипуляций становится то, что остатки от прежних файлов, которые авторы именуют «цифровыми останками», в виде неконтролируемых дубликатов продолжают сохраняться на диске.
Как пишут авторы, «эти различия в обработке между магнитными дисками и SSD потенциально ведут к опасным расхождениям между ожиданиями пользователя и реальным поведением флэш-драйва… Владелец такого устройства может применять к SSD стандартные средства очистки жёстких дисков, ошибочно полагая, будто в результате данные на диске будут необратимо уничтожены. На самом деле эти данные могут оставаться на диске и требуют лишь несколько более сложных операций по их восстановлению».
Если говорить о конкретных цифрах, то исследователи установили, что порядка 67 процентов данных, хранившихся в файле, остались на диске даже после того, как он был уничтожен в SSD с использованием функции «безопасного стирания», имеющейся в системе Apple Mac OS X. Другие утилиты безопасного (с перезаписью) стирания в условиях других операционных систем показали примерно похожие результаты. Например, после уничтожения отдельных файлов программой Pseudorandom Data на SSD могло оставаться до 75 процентов данных, а при использовании британской правительственной технологии зачистки British HMG IS5 оставалось до 58процентов.
Как предупреждает статья, эти результаты свидетельствуют: в ситуации с SSD перезаписывание данных оказывается неэффективным, а стандартные процедуры стирания, предоставляемые изготовителями, могут не срабатывать надлежащим образом.
По мнению исследователей, наиболее эффективным способом для безопасного удаления данных в условиях SSD оказывается использование устройств, шифрующих своё содержимое. Здесь процедура Wiping сводится к уничтожению ключей шифрования в специальном разделе, именуемом «хранилищем ключей», - по сути гарантируя, что данные останутся на диске навсегда зашифрованными.
Но тут, конечно же, подстерегает другая проблема. Как пишут авторы статьи, «опасность заключается в том, что защита опирается на правильную работу контроллера, очищающего внутренний отсек хранения, содержащий криптоключ и любые другие производные от него величины, которые могут быть полезны при криптоанализе. Принимая во внимание те ошибки реализации, которые мы обнаружили в некоторых вариантах утилит безопасного стирания, было бы неоправданно оптимистичным подразумевать, что поставщики SSD правильно зачистят хранилище ключей. Хуже того, здесь нет никакого способа (например, разобрав устройство) удостовериться, что стирание действительно произошло».
Свои результаты исследователи получали путём записи на диски SSD разных файлов с хорошо идентифицируемыми структурами данных. После чего использовалось специальное устройство на основе FPGA (чипов с перепрограммируемой логикой) для быстрого поиска и выявления оставшихся «отпечатков» этих файлов после применения процедур безопасного стирания. Спецустройство исследователей стоит около тысячи долларов, однако «более простая версия аппарата на основе микроконтроллера стоила бы порядка 200 долларов и потребовала бы лишь наличия скромного технического опыта для его конструирования».
Противоречия нет
Как сформулировали совокупные итоги двух этих статей на дискуссионном форуме Slashdot, «или диски SSD действительно трудно зачистить, или же с них действительно очень трудно восстановить удалённые файлы. Получается какая-то запутанная история»…
Один из непосредственных участников первого (австралийского) исследования, Грэм Белл, объясняет этот кажущийся парадокс следующим образом.
Прежде данные на дисках традиционно зачищали вручную, то есть в явном виде отдавая компьютеру команду, чтобы он велел приводу записать что-то другое поверх прежних данных. Если такой команды на перезапись не поступало, то в магнитных носителях данные продолжали сохраняться. Однако если тот же самый трюк пытаться применять к SSD, то он может не срабатывать. Тот логический адрес памяти, что вы пытаетесь перезаписать, мог быть уже перераспределён на лету, так что ваша команда «перезаписать» идет к какой-нибудь другой физической ячейке памяти, а не к той, которая хранила данные раньше. С логической точки зрения всё это выглядит так, будто перезапись сработала: вы уже не сможете больше получить доступа к этим данным через ОС вашего компьютера. Однако с точки зрения самого флэш-драйва эти данные всё ещё там, спрятанные в какой-нибудь физической ячейке, которая в данное время не используется, если подразумевать соответствующий логический сектор. Однако какая-нибудь хитроумная прошивка или ушлый хакер с паяльником в принципе может до этих данных добраться.
В то же время отдельно от этих особенностей современные носители SSD используют разные специфические трюки для того, чтобы автоматически повышать свою производительность. Один из этих трюков заключается в заблаговременном затирании ячеек памяти, в которых содержатся данные, более уже не учитываемые файловой системой. В этом случае привод сам активно пытается непрерывно очищать с диска всё, что только может. Причём делает это всё исключительно по собственной инициативе - просто ради ускорения будущих операций записи, предоставляя заранее заготовленный пул доступных и ни подо что не задействованных ячеек.
Подводя итог этим особенностям SSD, можно констатировать следующее. Если ваш компьютер говорит флэш-драйву обнулить некие данные, то привод может вам соврать и в действительности обнуление, может, и будет, а может, и нет. Если же сам привод хочет что-нибудь затереть (причём он реально это делает и без всякого предупреждения), то эти данные будут уничтожены…
Ещё один из комментаторов, явно не лишённый чувства юмора, охарактеризовал столь замысловатую ситуацию такими словами:
«Почему вы называете это путаницей? Здесь всё прозрачно и понятно. Если вы хотите восстановить удалённые данные, то сделать этого вы не можете. Если вы хотите их уничтожить, то и этого сделать вы не можете. Это такой Закон Мёрфи для хранения данных на SSD».
