Zabezpieczanie dysków SSD
Udział dysków SSD w światowym rynku sprzętu komputerowego zwiększa się z roku na rok. Jak szacują ośrodki badawcze już niedługo ilość SSD będących w użyciu przeskoczy ilość HDD. Zmiana technologiczna dostrzegalna jest też w informatyce śledczej.
Największy wpływ na wzrost popularności SSD ma z pewnością ich coraz niższa cena. Zakup takiego nośnika to najprostszy sposób na poprawę wydajności komputera.
Więcej dysków SSD w domach i firmach przekłada się na coraz częstsze napotykanie ich w praktyce specjalisty informatyki śledczej. Trzeba zauważyć, iż różnice w sposobie zapisu danych na dyskach SSD przekładają się na niespotykane w przypadku HDD problemy.
Jedną z podstaw i najlepszych praktyk informatyki śledczej jest wyliczanie sumy kontrolnej i wykonywanie kopii binarnych badanych nośników. Wykonuje się je by mieć pewność, że dane zapisane na nośniku w 100% pokrywają się z tymi, które znajdowały się na nim w momencie zabezpieczenia.
Wpływa to doskonale na przejrzystość całego procesu informatyki śledczej i daje pewność, że każda sugestia o manipulację danymi będzie oddalona przez Sąd. Zastosowanie profesjonalnego sprzętu zwiększa wielokrotnie zarówno pewność informatyka śledczego, jak i szybkość jego pracy.
Co jednak w sytuacji kiedy te same kopie mają różne sumy kontrolne? Co jeśli suma kontrolna oryginału różni się od kopii? Takie sytuacje mają miejsce w przypadku SSD. Zdarzać się to może bardzo często. Po prostu niektóre SSD wyposażone są w wewnętrzne mechanizmy relokacji danych, które mogą wpłynąć na finalną sumę kontrolną zabezpieczanego nośnika. Co ciekawe rodzaj zastosowanego blokera nie ma znaczenia.
Jak rozwiązać problem? Bardzo prosto:
1. Świadomość
Informatyk śledczy musi wiedzieć, że takie zjawisko może wystąpić i znać jego technologiczne podłoże.
2. Rozszerzona dokumentacja
Z uwagi na to warto nieco rozszerzyć standardową dokumentację o uwagi na temat zabezpieczanego nośnika.
3. Suma kontrolna dla każdego pliku
W odróżnieniu od HDD gdzie wyliczamy ją dla całego dysku, w przypadku SSD dodatkowo powinna zostać wyliczona dla każdego z zapisanych plików. Nie powinno to za bardzo przedłużyć tej fazy całego procesu. Różnica w wyliczeniu sumy kontrolnej dla całego dysku HDD, w porównaniu z wyliczaniem jej dla każdego z plików zapisanych na SSD tej samej pojemności jest podobna.
Żeby jednak nie było, że dyski SSD to tylko dodatkowe kłopoty. Z naszych wewnętrznych badań wynika, że zastosowanie SSD w laboratorium informatyki śledczej pozwala nawet trzykrotnie skrócić czas potrzebny na wykonanie analizy!