SSD diski uničujejo digitalne dokaze

Kot je znano, je s posebno programsko opremo mogoče obnoviti izbrisano vsebino (datoteke) na trdih diskih. To velja za datoteke, ki so bile zgolj izbrisane, ne pa tudi prepisane (tim. varno brisanje). To dejstvo seveda s pridom izkoriščajo tudi digitalni forenziki, ki v okviru preiskave trdih diskov lahko obnovijo že izbrisane podatke.

A kot kaže, se to s prihodom SSD diskov radikalno spreminja. Graeme B. Bell in Richard Boddington iz avstralske Murdoch University sta namreč ugotovila, da SSD diski, ki podpirajo funkcijo TRIM izbrisane podatke nepovratno uničijo.

Njuni testi so pokazali, da SSD diski ob tim. hitrem formatiranju (tim. quick format) podatke uničijo v samo treh minutah. Proces uničevanja podatkov pa poteka tudi v primeru, ko je bil disk priključen na blokator pisanja (tim. write blocker, posebna naprava, ki fizično preprečuje kakršnokoli pisanje podatkov na disk).

V primeru, da disk ni bil priključen na blokator pisanja, je bilo po treh minutah mogoče obnoviti samo 1.064 datotek od 316.666. V primeru, ko je bil disk priključen na blokator pisanja, pa je bilo po 20 minutah nepovratno uničenih kar 19% izbrisanih datotek. Pri klasičnih trdih diskih je bilo mogoče obnoviti vse datoteke, ne glede na pretečeni čas.

Več podrobnosti o omenjenem odkritju si lahko preberete v članku Solid State Drives: The Beginning of the End for Current Practice in Digital Forensic Discovery?

Če pa vaš SSD spada med zgoraj omenjene pa najlažje preverite tako, da ugotovite ali podpira funkcijo TRIM ter seveda ali tudi vaš operacijski sistem podpira pošiljanje TRIM ukazov disku.

V Linuxu je TRIM podporo na disku mogoče ugotoviti z ukazom hdparm -I /dev/sda | grep "TRIM supported.", v okolju Windows pa je to razvidno v med ogledom zmožnosti diska v upravitelju naprav (Device Manager). Naj še dodamo, da večina novejših SSD diskov podpira šifriranje (tim. password protection, ki se vključi v BIOS-u), ki vsebino diska na strojnem nivoju šifrira z AES128.