У твердотельных накопителей (SSD) есть серьезный недостаток с точки зрения безопасности: приемы удаления данных, отработанные на жестких дисках, не всегда срабатывают на SSD. Существуют ли способы решения проблемы?
Представим на секунду, что один из ноутбуков, украденных в январе у Coca-Cola, был снабжен твердотельным накопителем, его владелец знал секретную формулу культового напитка и какое-то время хранил ее на SSD. Смогли бы похитители выудить эту формулу из памяти, если файл, в котором она была записана, уже давно стерт, а секторы диска, в которых он хранился, с тех пор были перезаписаны?
Вполне вероятно – по крайней мере, если верить часто цитируемому исследованию Лаборатории энергонезависимых систем (NVSL) при Калифорнийском университете в Сан-Диего. Работа называется «Надежное удаление данных с твердотельных накопителей на основе флеш-памяти» (Reliably Erasing Data From Flash-Based Solid State Drives), а среди авторов числятся Майкл Уэй (Michael Wei), Лора М. Групп (Laura M. Grupp), Фредерик И. Спада (Frederick E. Spada) и Стивен Суонсон (Steven Swanson). В аннотации к статье говорится: «Методы очистки всего накопителя или удаления отдельных файлов хорошо отработаны на жестких дисках, однако у твердотельных накопителей на основе флеш-памяти внутренняя архитектура совсем иная, поэтому невозможно с точностью утверждать, что приемы очистки жестких дисков работают и для SSD».
Что значит «очистка»?
Одна из главных сложностей с уничтожением данных на SSD заключается в том, что все по-разному понимают сам термин «уничтожение данных». Поэтому для начала в статье дается определение: уничтожение данных, или очистка – это «процесс стирания всего запоминающего устройства или его части, в результате которого хранившиеся на нем данные становится сложно или невозможно восстановить». Далее авторы описывают четыре способа очистки:
• Логическая очистка делает невозможным восстановление данных с помощью стандартных аппаратных интерфейсов и команд ATA/SCSI. • Цифровая очистка делает невозможным восстановление данных с помощью любых цифровых технологий, включая недокументированные команды для работы с диском, а также вмешательство в работу контроллера или микропрограммного обеспечения устройства. • Аналоговая очистка искажает до полной невозможности восстановления аналоговый сигнал, используемый для шифрования данных. • Криптографическая очистка полностью уничтожает данные в сегментах памяти, где хранится криптографический ключ, с помощью которого зашифрованы данные на накопителе.
Для жестких дисков достаточно программной перезаписи (цифровой очистки), заключают исследователи. «До сих пор никто публично не продемонстрировал возможность массового восстановления данных с жесткого диска после такой очистки». Другое дело – твердотельные накопители.
Совсем другая история
Жесткие диски основаны на магнитных запоминающих пластинах, так что перезаписать их – не проблема. Однако в твердотельных накопителях используется флеш-память, что делает невозможным перезапись или изменение сегментов, в которых хранятся данные. Для записи новой информации прежние данные сначала необходимо удалить. На первый взгляд несложная операция, однако удлинение процесса на один шаг приводит к задержкам при обработке данных.
Чтобы этого избежать, в твердотельных накопителях используется микропрограммное обеспечение Flash Translation Layer (FTL), которое ищет и сохраняет данные в новых сегментах, обновляя карту их распределения на накопителе.
По этой причине на SSD выполняется только логическая очистка (делающая данные недоступными для чтения с использованием стандартных команд ATA или SCSI), а на самом деле при перезаписи файлы остаются нетронутыми и могут быть восстановлены.
Что обнаружили исследователи
Ученые попытались выяснить, позволяет ли хоть один из методов очистки сделать данные на твердотельном накопителе полностью нечитаемыми. Для начала двенадцать разных SSD очистили с помощью встроенной команды уничтожения данных (классическое «Erase Unit» для ATA/SCSI). В результате полностью удалить файлы удалось только на четырех накопителях. Другими словами, метод ненадежен и его лучше избегать, заключают исследователи.
Затем ученые попытались перезаписать все видимое адресное пространство SSD и пришли к выводу, что двукратная полная перезапись (во избежание проблем с FTL) уничтожает данные в большинстве случаев, но не всегда (тут можно припомнить мой вопрос про ноутбук Coca Cola). Исследователи предупреждают: «В целом результаты перезаписи оставляют желать лучшего: в некоторых случаях этот метод эффективен для широкого спектра накопителей, однако универсальным его назвать невозможно».
Ученые также опробовали метод размагничивания флеш-памяти (который обычно применяется для магнитных накопителей) и не добились никакого результата: данные остались нетронутыми. Затем была предпринята попытка уничтожения отдельных файлов. В итоге выяснилось, что ни один из методов безвозвратного удаления, предназначенных для жестких дисков, не работает на SSD.
Порадовали исследователей только зашифрованные твердотельные накопители: полное уничтожение ключа шифрования делает данные бесполезными. Проблема, правда, в том, что никак нельзя гарантировать полную очистку сегментов памяти, хранящих ключ шифрования.
Прямо об этом не говорится, но по результатам прочтения статьи создается впечатление, что на данный момент не существует более надежного метода удаления данных на SSD, чем физическое уничтожение самого накопителя.
Ищется выход
На сайте NVSL упоминается, что исследователям все-таки удалось найти решение: «Наша лаборатория разработала технологию, позволяющую обойти Flash Translation Layer (FTL) на SSD и получить доступ напрямую к NAND флеш-памяти для проверки эффективности любого метода очистки накопителя».
Чтобы решить проблему, достаточно добавить в микропрограммное обеспечение FTL три дополнения. Теперь сложность в том, чтобы уговорить на это производителей SSD.
