Cómo realizar el SSD Forensics | Parte
Hola lectores
Hace poco fui a una conferencia sobre ciber forense . Allí vi personas que mostraban diversos métodos de adquisición, recolección de evidencias, almacenamiento y análisis . Una cosa es particularmente notada que las personas cuando dicen «Adquisición de evidencia» o » Recuperación de datos » desde computadoras, generalmente pretenden adquirirla desde medios de almacenamiento magnéticos, como Discos duros (HDD). Iban hablando de medicina forense de disco, holgura el espacio y todas aquellas cosas relacionadas. Después de escuchar su discurso ortodoxo, hice algunas preguntas:
¿Los métodos de análisis forense de disco, como el análisis de nivel de bloque, se aplican en unidades de estado sólido, unidades flash?
Las unidades flash eliminan totalmente el concepto de bloque o cualquier pieza giratoria, ¿y ahora qué?
¿El concepto de eliminar, borrar, borrar y formatear sigue funcionando de manera similar? etcétera etcétera.
Hice alrededor de 10 preguntas y todo lo que obtuve fue blithering. Eso me hizo reflexionar sobre los diferentes individuos que están tratando con los forenses y cuántos no siguen las criaturas más negativas de la industria.
Decidí que necesitaba escribir algo sobre análisis forense relacionado con unidades flash. Mi enfoque en este artículo es sobre las unidades de estado sólido (SSD). Para comprender la diferencia entre HDD, SSD y unidades flash, descargue mi documento Medios de almacenamiento para PC:
¿Por qué se necesita?
Con la tecnología evolucionando a cada momento, incluso los delincuentes se están actualizando con el nuevo
La tecnología y cada vez son más poderosas. Esto ha llevado a un aumento en la tasa de criminalidad junto con su complejidad. Hay muchos casos que se pueden resolver con la ayuda de forenses digitales . Los investigadores forenses han seguido algunos mecanismos ortodoxos para resolver estos casos en discos duros. Las mejoras tecnológicas han llevado a las personas a utilizar unidades de estado sólido que llegaron como competidor de las unidades de disco duro. Pero las metodologías que triunfaron para descifrar la evidencia en los discos duros no tuvieron éxito en el caso de las unidades de estado sólido.
Como he dicho anteriormente, en dos puntos puedo responder a la pregunta:
- Cualesquiera que sean las prácticas actuales bien definidas, son en su mayoría para medios magnéticos rotativos (por ejemplo, discos duros convencionales)
- Las unidades de estado sólido ( SSD ) se comportan de manera muy diferente y presentan los últimos desafíos
Ambos logran lo mismo (proporcionan una forma de almacenar archivos en un sistema informático), sin embargo, de diferentes maneras: -Las unidades de disco duro usan platos de giro magnético, mientras que las unidades SSD usan flash chips de memoria.
Unidades tradicionales
El disco duro giratorio tradicional es el almacenamiento básico no volátil en una computadora. Es decir, la información no se «desvanece» cuando se apaga el sistema, como ocurre con los datos almacenados en la RAM. Un disco duro es esencialmente una bandeja de metal con un recubrimiento magnético que almacena sus datos, ya sea informesinformativosDel siglo pasado, las películas clásicas, o tu colección de música digital. Un cabezal de lectura / escritura en un brazo accede a los datos mientras los platos giran. Los discos duros son los dispositivos de almacenamiento más utilizados de las últimas décadas. La parte más importante de los discos duros son los discos. Se componen de un material duro como el vidrio y el aluminio, recubiertos con una fina capa de metal que se puede desmagnetizar y magnetizar. El cabezal de lectura-escritura no toca el plato magnético, hay una capa de aire o fluido entre ellos, es decir, entre el cabezal y la superficie del plato magnético, lo que reduce el desgaste y la rotura como resultado.
Una unidad de estado sólido tradicional (SSD, también conocida como disco de estado sólido) es un dispositivo de almacenamiento de estado sólido que utiliza ensamblajes de circuitos integrados como memoria para almacenar datos de forma persistente. La tecnología SSD utiliza principalmente interfaces electrónicas compatibles con las unidades de disco duro (E / S) tradicionales de entrada / salida (E / S), que permiten reemplazos simples en aplicaciones comunes.
Qué sabemos
Las nuevas interfaces de E / S como SATA Express y M.2 se han diseñado para satisfacer los requisitos específicos de la tecnología SSD.
En este punto de la evolución de las computadoras, el funcionamiento de los discos duros convencionales está bien entendido: tenemos bits de datos colocados en medios magnéticos a través de cabezas de lectura / escritura reposicionables. Se puede acceder a los datos de forma aleatoria moviendo las cabezas sobre un cilindro seleccionado. Todas estas operaciones se controlan fácilmente mediante comandos de control del variador que, por ejemplo, permiten leer o escribir un sector de información.
- Los datos eliminados en un disco duro tradicional no se eliminan realmente y, a menudo, se pueden recuperar con bastante facilidad. (¿Cómo? Consulte la recuperación de disco)
- Formateo, formateo rápido, eliminar, borrar y borrar todos tienen diferentes roles. Un formato rápido y simple no significa que se limpie el disco duro. No se produjo una purga completa.
- Incluso una escritura completa de 1 Pase no garantiza la pérdida permanente de datos.
- La ubicación física de un bloque de datos no se modifica independientemente del sistema operativo. Se necesita la participación del sistema operativo .
- Los datos entrantes no están optimizados o manipulados. Acepta los datos sin alterar en bruto.
- Lo más importante: estas características son comunes para cualquier disco duro.
Los chips flash, por el contrario, no se entienden tan bien. Para complicar las cosas es el hecho de que los esquemas de implementación de memoria flash hacen que los datos se almacenen en el SSD de una manera que parece colocar al azar sectores de cualquier archivo en cualquier sector físico. (No hay mapeo lineal interno de sectores en un SSD). Entonces, para familiarizarnos con la SSD forense, necesitamos saber sobre Flash y su funcionamiento. Esto se debe a que cuando estamos considerando la recuperación de datos y su análisis, sabemos todo acerca de los discos duros, pero para las unidades de estado sólido (SSD), primero debemos entender el camino.
la información se almacena, qué sucede cuando se modifican los datos y cuando se eliminan los datos. Las respuestas a estas preguntas son la clave para comprender los desafíos en la recuperación de información y cómo manejarlos.
¿Cómo funciona SSD?
Las unidades de estado sólido utilizan una memoria conocida como «memoria flash», que es como una memoria RAM. Sin embargo, a diferencia de RAMque borra su contenido cada vez que la computadora se apaga / las fuentes de alimentación de Ram se desconectan, la memoria SSD permanecería igual incluso si hay una pérdida de energía. Los SSD utilizan una red de celdas eléctricas para enviar y recibir datos. Las cuadrículas se están separando en la sección conocida como páginas, las páginas son el lugar donde se almacenan los datos. Estas páginas se agrupan y forman bloques. El SSD puede escribir en páginas vacías en un bloque, en el disco duro los datos pueden escribirse en cualquier lugar de la placa magnética en cualquier momento, es decir, los datos se pueden sobrescribir fácilmente. Los SSD no pueden sobrescribir los datos, los SSD primero deben encontrar una página vacía en el bloque y escribir los datos en esa página vacía. Cuando suficientes páginas en el bloque se marcan como no utilizadas, el SSD tomará el contenido del bloque, lo guardará en la memoria y borrará todo el bloque. Una vez hecho esto,
Para comprender completamente el funcionamiento de un SSD y los desafíos forenses que plantea, necesitamos. Para entender el funcionamiento de un SSD, primero debemos conocer las dos partes más importantes: el controlador y la memoria flash NAND . Estos componentes, junto con algunos otros, se colocan en una PCB conocida como placa de circuito impreso que se aloja en una carcasa conocida como SSD. Los bloques de memoria reales son los chips flash.
Controlador
El controlador es un procesador integrado que une los componentes de la memoria flash con el host , es decir, la computadora. El controlador ejecuta los códigos proporcionados por el firmware del SSD , es decir, el mini sistema operativopara cumplir con las solicitudes de datos recibidas desde el host. El controlador decidirá cómo realizaría el SSD y las características que ofrece. Las funciones y funciones populares decididas por el controlador incluyen lectura, escritura , verificación de errores , borrado, recolección de basura, encriptación, nivelación de desgaste, exceso de aprovisionamiento y RAISE (matriz redundante de elementos de silicio independientes)
Cortesía: Google Images
Los controladores SSD principales incluyen los siguientes elementos eléctricos, muchas veces contenidos dentro de un solo circuito integrado (IC):
-
Procesador integrado - generalmente un microcontrolador de 32 bits
-
ROM de firmware de datos borrables eléctricamente
-
RAM del sistema
-
Compatibilidad con RAM externa, normalmente DDR / DDR2 como SDRAM
-
Circuito de código de corrección de errores (ECC)
-
Interfaz de componente Flash : por lo general, una interfaz estándar como la Interfaz Flash NAND abierta (ONFI)
Interfaz eléctrica del host: generalmente SATA, USB , SAS o combinación
Que son las NAND FLASH
Todo comenzó con EPROMs y EEPROMs. A principios de la década de 1980, antes de que tuviéramos cosas tan maravillosas como teléfonos celulares , tabletas o cámaras digitales, un científico llamado Dr. Fujio Masuoka trabajaba para Toshiba en Japón sobre las limitaciones de los chips EPROM y E 2 PROM.
Una memoria EPROM (Memoria de solo lectura programable y borrable) es un tipo de chip de memoria que, a diferencia de la RAM, por ejemplo, no pierde sus datos cuando se pierde la fuente de alimentación: en la jerga técnica no es volátil . Lo hace almacenando datos en «celdas» que comprenden transistores de puerta flotante . Las EPROM podrían tener datos cargados en ellas (lo que se conoce como programación ), pero estos datos también podrían borrarse por medio de luz ultravioleta para poder escribir nuevos datos. Este ciclo de programación y borrado se conoce como el ciclo de borrado del programa.(o Ciclo de PE) y es importante porque solo puede ocurrir un número limitado de veces por dispositivo, y por lo tanto, el número limitado de Lecturas / Escrituras. Sin embargo, si bien la naturaleza reprogramable de EPROMS fue útil en los laboratorios, no fue una solución para empaquetar en productos electrónicos de consumo ; después de todo, incluir una fuente de luz ultravioleta en un dispositivo lo haría incómodo y comercialmente inviable. Y queríamos algo que sea legible y escribible.
Mientras que las EEPROM, un desarrollo posterior , podrían borrarse mediante la aplicación de un campo eléctrico, en lugar de usar luz. Ahora de eso estamos hablando cuando palabras como «consumidores» y «factible» entran en escena. Esto era claramente ventajoso ya que ahora podría ocurrir fácilmente dentro de un producto empaquetado. A diferencia de las EPROM, las E 2 PROM también podrían borrar y programar bytes individuales en lugar de todo el chip. Sin embargo, los E 2 PROM llegaron con una desventaja demasiado: cada célula requiere al menos dos transistores en lugar del único transistor requerida en una EPROM. En otras palabras, almacenaron menos datos: tenían menor densidad .
Así que las EPROM tenían mejor densidad, mientras que las EEPROM tenían la capacidad de reprogramar las células eléctricamente. Ahora, por supuesto , sería mejor si tuviéramos dos. ¿Qué sucede si se pudiera encontrar un nuevo método para incorporar ambos beneficios sin sus debilidades asociadas? La idea del Dr. Masuoka, hizo exactamente eso. Usó solo un transistor por celda (incrementando la densidad, es decir, la cantidad de datos que podía almacenar) y todavía permitía la reprogramación eléctrica. Este nuevo diseño es lo que usamos como base para nuestros modernos SSD.
El nuevo diseño logró este objetivo al permitir que solo se borren y programen varias celdas en lugar de celdas individuales . Esto no sólo da los beneficios de densidad de EPROM y los beneficios eléctricamente reprogramables de E 2PROM, sino que también da como resultado tiempos de acceso más rápidos: se tarda menos tiempo para emitir un solo comando para la programación o borrado de un gran número de células que lo hace para emitir uno por celda.
Pero sin una estafa no se pueden juntar dos tecnologías, al menos esto fácilmente. Lo mismo sucedió aquí. El número de celdas afectadas por una única operación de borrado es diferente, y mucho más grande, que el número de celdas afectadas por una sola operación de programa. Y es este hecho que, sobre todo, lo que resulta en el comportamiento que vemos en los dispositivos integrados en la memoria flash.
NAND y NOR
Los Flash Drives utilizan dos tipos de tecnologías de memoria:
- Flash basado en NAND Flash
- Flash basado en NOR Flash
Ambos son considerados como las principales tecnologías de memoria Flash no volátiles . NAND y NOR Flash satisfacen necesidades de diseño completamente diferentes en función de sus atributos individuales. NOR ofrece una velocidad de lectura más rápida y capacidades de acceso aleatorio, lo que lo hace adecuado para el almacenamiento de código en dispositivos como teléfonos inteligentes, bandas de acondicionamiento físico, etc. Sin embargo, tiene funciones de escritura y borrado más lentas en comparación con NAND. NOR tiene una mayor densidad de bits en comparación con NAND. Dado que el almacenamiento de códigos tiende a requerir una memoria de menor densidad que el almacenamiento de archivos, el tamaño de celda más grande de NOR no se considera una preocupación cuando se usa en estas aplicaciones.
Bueno, NAND ofrece una capacidad de escritura / borrado más rápida que NOR. Pero en términos de velocidad de lectura es más lento. Sin embargo, NAND es más que suficiente para la mayoría de las aplicaciones de los consumidores, como películas, música, documentos, juegos, etc. La rápida velocidad de escritura / borrado de NAND combinada con sus mayores densidades disponibles y un menor costo por bit que NOR la convierten en la tecnología preferida. para el almacenamiento de archivos. Debido a una lectura / escritura más rápida, NAND se usa generalmente para almacenar grandes cantidades de información en dispositivos como unidades flash, reproductores de MP3, teléfonos celulares multifunción, cámaras digitales y unidades USB. Y los SSD que utilizamos están basados en NAND Flash.
Forense estocástico
La forma en que operan estos SSD modernos, deja poco espacio para afirmaciones positivas.
Cortesía: Wikipedia
Con las unidades SSD, lo único que se puede asumir es que un investigador puede acceder a la información existente almacenada en el disco. Sin embargo, la recuperación es un tema completamente diferente, a diferencia de los discos duros. Los archivos y datos eliminados que el sospechoso intentó destruir (por ejemplo, al formatear el disco, incluso en el modo «Formato rápido») se pueden perder para siempre en cuestión de minutos. E incluso si la computadora se apaga inmediatamente después de que se haya emitido un comando destructivo (por ejemplo, unos minutos después del Formato rápido), no hay una manera fácil de evitar que el disco destruya los datos una vez que se vuelva a encender. La situación es algo así como una paradoja, recordando al gato de Schrödinger: uno nunca sabrá si el gato está vivo antes de abrir la caja.
La edad de oro de los forenses va a terminar. «Dado el ritmo de desarrollo en la memoria de SSD y la tecnología del controlador, y la creciente proliferación de fabricantes, unidades y versiones de firmware, probablemente nunca será posible eliminar o limitar esta nueva área gris dentro del dominio forense y legal «, afirman los científicos. , de la Universidad Murdoch de Australia, escribió. «Parece posible que la edad de oro para la recuperación forense y el análisis de los datos eliminados y los metadatos eliminados ahora pueda estar terminando».
Obstáculos de SSD
El problema con los dispositivos de almacenamiento SSD es que utilizan chips de memoria flash. Y los chips de memoria flash tienen un obstáculo: sufren dos fallas casi fatales:
1. Ciclos de lectura / escritura limitados : con el tiempo, con operaciones de escritura repetidas, se desgastan. La vida útil estándar del flash es de hasta 100,000 ciclos por bloque antes de que sea posible el fallo. 1
2. Operaciones basadas en bloques : todas las operaciones de escritura en los chips de memoria flash deben realizarse bloque por bloque. En la práctica, es imposible sobrescribir datos nuevos en lugar de datos antiguos (a menos que tenga mucho tiempo). (Un bloque dentro de un chip de memoria flash es similar, pero no es lo mismo, un sector de información). Como resultado, para obtener el máximo rendimiento de SSD, es imperativo que siempre tengamos un suministro nuevo de bloques de SSD vacíos, listos para Se escribirá con nuevos datos. Tomaría demasiado tiempo tener que borrar siempre un bloque antes de escribir (o sobrescribir) nuevos datos en ese bloque.
Más sobre bloques, páginas, troqueles, etc. en la segunda parte de esta serie SSD. También profundizaremos en varios desafíos metodológicos y procesos necesarios para el análisis forense de diferentes SSD.
Gracias y comparte para que alguien pueda encontrar esto útil. Sudhendu