Esiste un esempio reale di recupero di dati SSD?

Naviga le tue risposte
13

È noto che l'eliminazione sicura dei dati è più complicata e sfuggente su un'unità a stato solido che per un normale disco rigido. Ad esempio, la mappatura del blocco logico sul layer di traduzione flash del SSD

Sto cercando un esempio del mondo reale (non una dimostrazione del concetto) per illustrare il problema. C'è un caso notevole in cui qualcuno, preferibilmente le forze dell'ordine, ha sfruttato le proprietà di un SSD per recuperare dati cancellati che sarebbero stati probabilmente irrecuperabili su un HDD?

    
posta Arminius 08.10.2016 - 01:54
fonte

3 risposte

5

Il mio primo pensiero:

Nessunopuòessereassolutamentecertochequalcosanonabbianon,quindil'unicarispostaaccettabileallatuadomandasarebbeunesempio.Stocercandodispiegareimieipensierisulmotivopercuièmoltoimprobabileottenereunsimileesempio.Lamiaargomentazioneèispiratadall'equazione Drake .

Vorrei iniziare con alcuni fatti che ritengo siamo tutti d'accordo (più o meno, si spera):

  • Il recupero dei dati da un SSD cancellato può essere fatto (teoricamente e praticamente).
  • Farlo non è facile, richiede conoscenza, risorse, forse tempo.

Come per qualsiasi attacco, abbiamo tre parametri da osservare:

  • abilità richiesta
  • risorse richieste
  • motivazione

Quali sono le possibilità, che le forze dell'ordine hanno abilità e risorse disponibili? NSA, Mossad, KGB - certo. Un dipartimento di polizia "ordinario"? Probabilmente possono farlo se sono in grado di convincere qualcuno che è abbastanza importante e non c'è altro modo. Non è certamente "di routine".

Ecco dove stiamo parlando di motivazione. Per essere motivati (basta), le seguenti cose devono essere vere:

  • Alcuni "sospetti" devono avere i dati memorizzati su un SSD. (Non un disco fisso, non un dischetto ...)
  • Qualcuno - per qualche ragione - ha deciso di cancellare quel SSD. (Questo richiede un po 'di tempo e impegno e quindi dovrebbe essere fatto prima la polizia suona alla tua porta.)
  • L'SSD non deve essere protetto con altri mezzi come la crittografia avanzata. (Nota che a questo punto abbiamo una persona che non solo sa di cancellare un SSD, ma lo ha fatto perché sapeva che i suoi segreti potrebbero essere compromessi in altro modo, ma è certamente possibile, anche se molto improbabile, che una persona del genere non usasse crittografia in primo luogo.)
  • Le forze dell'ordine devono sapere o almeno presumere che ci sia "qualcosa" da trovare su quel particolare SSD. (Altrimenti non guarderebbero.)
  • Il crimine di cui stiamo parlando deve essere considerato "abbastanza importante".
  • Non c'era altro modo in cui i dati potevano essere ottenuti o non c'erano abbastanza altre prove contro il sospetto.

Quindi, finalmente, siamo abbastanza motivati. C'è ancora altro da considerare:

  • L'intera operazione deve essere stata eseguita correttamente.
  • L'operazione deve essere stata documentata e resa disponibile al pubblico.

Penso che se moltiplichiamo tutte queste possibilità, avremo una possibilità molto, molto vicina allo zero, che ci sarà proof che qualcosa del genere è mai stata eseguita con successo.

    
risposta data 05.11.2016 - 22:09
fonte
1

Il recupero è possibile solo in determinate condizioni:

  • ha un vecchio SSD senza supporto TRIM o
  • ha Windows XP (in quanto non supporta TRIM) o un altro vecchio sistema operativo senza supporto TRIM o
  • si connette l'SSD come disco rigido esterno tramite porta USB. o
  • Le interfacce AHCI / SATA non vengono rilevate nel vecchio MB: si utilizza la modalità legacy / IDE o
  • hai una configurazione RAID 0

Questi sono i casi felici. Qualsiasi software decente sarà in grado di recuperare i tuoi file.

Il caso più comune di oggi è quando hai un nuovo SSD con TRIM abilitato. In questo caso, il recupero dei dati è un no-go, perché quando TRIM è abilitato, l'azione di cancellazione viene eseguita immediatamente. TRIM eliminerà sia i dati che il link, quindi praticamente non c'è più; è semplicemente decontaminato e vuoto, contrassegnato come pronto per l'uso.

    
risposta data 11.09.2017 - 11:52
fonte
1

Le moderne unità a stato solido utilizzano SED (unità crittografata autonoma) per la cancellazione sicura, in particolare tramite la funzionalità di cancellazione avanzata della protezione ATA presente in molte unità. Le unità memorizzano una chiave di crittografia in un'area speciale dell'unità e la usano per crittografare in modo trasparente tutto ciò che è scritto su di essa. Dopo aver inviato il comando di cancellazione della sicurezza, anziché scrivere individualmente su ogni cella flash, l'unità cancella in modo sicuro il tasto SED, rendendo inutilizzabili tutti i dati presenti sull'unità. La specifica Opal richiede che tali unità utilizzino un generatore di numeri casuali hardware per la generazione della chiave. Ciò rende l'analisi della difficoltà del problema molto più semplice, poiché non è necessario manipolare complessi fenomeni fisici per hardware altamente proprietario. Invece, devi analizzare la qualità del RNG che può o non può dare risultati positivi.

Il lato positivo, per i difensori, è che una chiave è generata da un generatore di numeri casuali hardware non deterministico verificabile e, si spera, di elevata qualità, con l'unità crittografata con un algoritmo strong e ben studiato. Il vantaggio per gli aggressori è che il recupero dei dati richiede la scoperta di una chiave. È meglio per loro se occorrono, per esempio, 6 mesi per rompere la chiave su un HWRNG mal progettato, piuttosto che impiegare 6 mesi per recuperare un kilobyte di dati dallo storage.

    
risposta data 19.10.2017 - 11:18
fonte

Leggi altre domande sui tag

In che modo un monitor ha pubblicato vulnerabilità in un piccolo team di sviluppo? Strumenti e metodologie per condividere i risultati dell'analisi del pentest e / o del codice sorgente [chiuso]