web-dev-qa-db-ja.com

SSDデータ復旧の実例はありますか?

安全なデータ削除は より複雑 であることが知られており、通常のハードドライブよりもソリッドステートドライブではわかりにくいです。たとえば、SSDの論理ブロックマッピング フラッシュトランスレーションレイヤー を使用すると、HDDをワイプする場合のように特定のメモリセクターを確実に上書きできなくなります。

問題を説明するために、実際の例(概念実証ではありません)を探しています。 HDDで回復できなかったであろうワイプされたデータを回復するために、誰か、できれば法執行機関がSSDの特性を利用した注目すべき事例はありますか?

forensicsdeletiondata-recoveryflash-memoryssd
15
Arminius

私の最初の考え:

xkcd

何かが起こらなかったとは絶対に誰も確信できないため、質問に対する唯一の許容される回答は例になります。私はなぜあなたがそのような例を得る可能性が非常に低いかについて私の考えを説明しようとしています。私の議論は Drake方程式 に触発されました。

私たち全員が同意すると思ういくつかの事実から始めましょう(多かれ少なかれ、うまくいけば):

  • ワイプされたSSDからデータを回復することができます(理論的および実用的)。
  • そうすることは簡単ではありません。知識、リソース、そしておそらく時間が必要です。

他の攻撃と同様に、確認するパラメーターは3つあります。

  • 必要なスキル
  • 必要なリソース
  • 動機

その法執行機関がスキルとリソースを利用できる可能性はどのようにありますか? NSA、モサド、KGB-確かに。 「普通の」警察署?彼らが誰かにそれを十分に重要であると納得させることができ、他に方法がないならば、彼らはそれをすることができるでしょう。それは確かに「日常的」ではない。

ここで動機について話します。動機付けられる(十分な)ためには、次のことが当てはまります。

  • 一部の「容疑者」はSSDにデータを保存している必要があります。 (HDDではなく、フロッピーではありません...)
  • 誰か-何らかの理由で-そのSSDをワイプすることにしました。 (これには少しの時間と労力がかかるため、before警察があなたのドアで鳴る前に行う必要があります。)
  • SSDは、強力な暗号化などの他の手段で保護されていてはなりません。 (この時点で、SSDのワイプについて知っているだけでなく、実際にそうした人物がいることに注意してください。彼は自分の秘密が他の方法で侵害される可能性があることを知っていました。そのような人物が使用しなかった可能性は非常に低いですが、確かに可能です。そもそも暗号化。)
  • 法執行機関は、特定のSSDに「何か」が見つかることを知っているか、少なくとも想定する必要があります。 (そうでなければ、彼らは見えません。)
  • 私たちが話している犯罪は、「十分に重要」であると考えられていたに違いありません。
  • データを入手する方法が他になかった、または容疑者に対する十分な証拠が他になかった。

だから、最後に、私たちは十分にやる気があります。考慮すべきことはまだあります:

  • 操作全体が正常に実行されている必要があります。
  • 操作は文書化され、公開されている必要があります。

これらすべての可能性を乗算すると、非常にゼロに非常に近い可能性が得られます。このようなものが証明これまでに成功しました。

4
Thomas

回復は特定の条件下でのみ可能です。

  • tRIMをサポートしていない古いSSDを持っている、または
  • windows XP(それはTRIMをサポートしていないため)またはTRIMをサポートしていない別の古いOSまたは
  • sSDをUSBポート経由で外付けハードドライブとして接続します。または
  • AHCI/SATAインターフェイスが古いMBで検出されない-レガシーモード/ IDEモードを使用するか、
  • あなたはRAID 0のセットアップを持っています

それらは幸せなケースです。まともなソフトウェアは、あなたのファイルを回復することができます。

今日最も多く遭遇するケースは、TRIMが有効になっている新しいSSDがある場合です。この場合、TRIMが有効になっていると、消去アクションがすぐに実行されるため、データリカバリは実行できません。 TRIMはデータとデータへのリンクの両方を削除するため、実際にはなくなります。単に除染されて空であり、すぐに使用できるというフラグが付けられています。

状況によっては、Bitlocker暗号化と同様に、自己暗号化ドライブ(SED)とATA Secure Eraseが機能しないことが判明しています。このような状況では、データも回復可能です。ただし、サードパーティの信頼できるツールを使用して完全に暗号化されたドライブの場合、何も回復できません。

3
Overmind

最新のソリッドステートドライブは、SED(Self-Encrypting Drive)を使用して、特に多くのドライブにあるATA Enhanced Security Erase機能を介して安全に消去します。ドライブは、ドライブの特別な領域に暗号化キーを格納し、それを使用して、書き込まれたすべてを透過的に暗号化します。ドライブは、すべてのフラッシュセルを個別に上書きするのではなく、セキュリティ消去コマンドを送信すると、SEDキーを安全に消去し、ドライブ上のすべてのデータを無効にします。 Opal仕様では、そのようなドライブは、キーの生成にハードウェア乱数ジェネレータを使用する必要があります。これにより、非常に独自性の高いハードウェアの複雑な物理現象をほとんど混乱させる必要がないため、問題の難易度の分析がはるかに簡単になります。代わりに、RNGの品質を分析する必要があります。これにより、良い結果が得られる場合と得られない場合があります。

防御側にとっての利点は、テスト可能な、できれば高品質の非決定論的ハードウェア乱数ジェネレーターによってキーが生成され、ドライブは強力で十分に研究されたアルゴリズムで暗号化されることです。攻撃者にとっての利点は、データを取得するには1つのキーを見つける必要があることです。ストレージから1キロバイトのデータを取得するのに6か月かかる場合よりも、設計が不十分なHWRNGでキーを解読するのに6か月かかる場合の方が良いです。

1
forgetful