Zabezpieczanie dysków SSD

Udział dysków SSD w światowym rynku sprzętu komputerowego zwiększa się z roku na rok. Jak szacują ośrodki badawcze już niedługo ilość SSD będących w użyciu przeskoczy ilość HDD.  Zmiana technologiczna dostrzegalna jest też w informatyce śledczej.

Największy wpływ na wzrost popularności SSD ma z pewnością ich coraz niższa cena. Zakup takiego nośnika to najprostszy sposób na poprawę wydajności komputera.

Więcej dysków SSD w domach i firmach przekłada się na coraz częstsze napotykanie ich w praktyce specjalisty informatyki śledczej. Trzeba zauważyć, iż różnice w sposobie zapisu danych na dyskach SSD przekładają się na niespotykane w przypadku HDD problemy.

 

Jedną z podstaw i najlepszych praktyk informatyki śledczej jest wyliczanie sumy kontrolnej i wykonywanie kopii binarnych badanych nośników. Wykonuje się je by mieć pewność, że dane zapisane na nośniku w 100% pokrywają się z tymi, które znajdowały się na nim w momencie zabezpieczenia.

Wpływa to doskonale na przejrzystość całego procesu informatyki śledczej i daje pewność, że każda sugestia o manipulację danymi będzie oddalona przez Sąd. Zastosowanie profesjonalnego sprzętu zwiększa wielokrotnie zarówno pewność informatyka śledczego, jak i szybkość jego pracy.

Co jednak w sytuacji kiedy te same kopie mają różne sumy kontrolne? Co jeśli suma kontrolna oryginału różni się od kopii? Takie sytuacje mają miejsce w przypadku SSD. Zdarzać się to może bardzo często. Po prostu niektóre SSD wyposażone są w wewnętrzne mechanizmy relokacji danych, które mogą wpłynąć na finalną sumę kontrolną zabezpieczanego nośnika. Co ciekawe rodzaj zastosowanego blokera nie ma znaczenia.

Jak rozwiązać problem? Bardzo prosto:

1. Świadomość
Informatyk śledczy musi wiedzieć, że takie zjawisko może wystąpić i znać jego technologiczne podłoże.

2. Rozszerzona dokumentacja
Z uwagi na to warto nieco rozszerzyć standardową dokumentację o uwagi na temat zabezpieczanego nośnika.

3. Suma kontrolna dla każdego pliku
W odróżnieniu od HDD gdzie wyliczamy ją dla całego dysku, w przypadku SSD dodatkowo powinna zostać wyliczona dla każdego z zapisanych plików. Nie powinno to za bardzo przedłużyć tej fazy całego procesu. Różnica w wyliczeniu sumy kontrolnej dla całego dysku HDD, w porównaniu z wyliczaniem jej dla każdego z plików zapisanych na SSD tej samej pojemności jest podobna.

Żeby jednak nie było, że dyski SSD to tylko dodatkowe kłopoty. Z naszych wewnętrznych badań wynika, że zastosowanie SSD w laboratorium informatyki śledczej pozwala nawet trzykrotnie skrócić czas potrzebny na wykonanie analizy!