I firmware dei drive SSD complicano il lavoro degli esperti di informatica forense

La necessità di recuperare i dati da dispositivi basati su memorie flash e dischi allo stato solido (SSD) è sempre più frequente a causa della maggiore diffusione di questi dispositivi sul mercato. La tecnologia di serie con molti drive di questo tipo permette di migliorare l’efficienza dei meccanismi di storage ma può rendere impossibili le analisi forensi di polizia o delle agenzie di intelligence che si occupano di sicurezza.

I firmware di serie con molti drive allo stato solido (SSD) sono progettati per migliorare l’efficienza dei meccanismi di storage, ma potrebbero inavvertitamente rendere impossibili le analisi forensi di polizia o delle agenzie di intelligence che si occupano di sicurezza. Il problema è documentato in uno studio intitolato “Solid State Drives: The Beginning of the End for Current Practice in Digital Forensic Discovery?” curato da Graeme B. Bell e Richard Boddington della Murdoch University di Perth (Australia), una lettura definita da MacWorld USA “sconcertante” per i professionisti del settore.

Dopo aver condotto una serie di esperimenti mettendo a confronto un SSD Corsair da 64GB con un hard disk Hitachi convenzionale (magnetico) da 80GB, il team ha individuato un layer che impediva il data recovery, causato dai meccanismi di “garbage colletion” o algoritmi di pulizia sfruttati dagli SSD al fine di massimizzare costantemente le performance.

Esaminando un drive SSD alla ricerca di tracce con dati dopo aver velocemente inizializzato il drive, il team è rimasto in attesa dei risultati delle routine di recupero (un procedimento avviato immediatamente dopo la formattazione, prima che il drive ricominci a scrivere sui blocchi inutilizzati), questa procedura richiede normalmente dai 30 ai 60 minuti ma è stata completata, invece,  in soli 3 minuti, passati i quali il risultato è stato 1.064 file recuperabili su un totale di 316.666 file.

I ricercatori a questo punto hanno provato a scollegare il drive dal computer utilizzato, connettendolo a un “write blocker”, un dispositivo progettato per isolare il drive e recuperare contenuti scandagliando blocco a blocco il disco. Lasciando collegato il drive, dopo 20 minuti risultatava recuperabile solo il 19% dei file, probabilmente per via della capacità dei dischi SSD di avviare automaticamente alcune routine interne, indipendentemente se il sistema operativo è in funzione o no. Come termine di paragone, dal drive convenzionale è stato invece possibile recuperare il 100% dei file cancellati.

“Anche in assenza di specifiche istruzioni da parte dell’utilizzatore, un moderno drive SSD può distruggere in modo permanente prove importanti e in un breve intervallo, con una modalità tale che con un disco magnetico non sarebbe possibile”, sono le conclusioni dei ricercatori. Un problema che coinvolge a vari livelli chi si occupa d’informatica forense, studi legali e tecnici del settore.

E’ prassi nel campo dell’informatica forense, partire dall’assunzione che gli esperti siano in grado di recuperare snapshot dei drive in esame (backup totali dei drive su un disco uguale, in modo da lavorare sulla copia dell’oggetto), una metodologia non più applicabile con i nuovi drive SSD ora in commercio. 

 

[A cura di Mauro Notarianni]