Кивино гнездо: Закон Мёрфи для хранения данных

Две любопытные исследовательские статьи из разных концов планеты, опубликованные в Сети практически сразу друг за другом, дают существенно новый взгляд на криминалистические аспекты в работе SSD, или твёрдотельных устройств хранения данных, часто именуемых флэш-драйвами.

Читать:
Закон Мёрфи для хранения данных
Версия для печати

Автор статьи: Берд Киви

tag: SSD, Криминалистика, Восстановление данных, HDD

P.S. В раздел "Электроника" не стал постить, т.к. тема больше оффтоп.

-----
EnJoy!

| Сообщение посчитали полезным:

Статья полужелтая. Даже нет желания указывать на многочисленные неточности, поскольку статья состоит из них чуть менее, чем полностью.

-----
PGP key <0x1B6A24550F33E44A>

| Сообщение посчитали полезным:

Что то я не догнал
В результате этих санитарных процедур происходят постоянное затирание, изменение и перенос тех файлов, которые помечены системой как уничтоженные.

Т.е. в драйве зашита прошивка, которая знает все файловые системы? А если будет создана своя файловая система, баста?

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

ntldr
а про две упомянуты работы что можешь сказать?

-----
EnJoy!

| Сообщение посчитали полезным:

PE_Kill пишет:
Что то я не догнал
Не читайте советских газет. Эта статья вконец запутает любого, кто не знает как работает SSD.

PE_Kill пишет:
Т.е. в драйве зашита прошивка, которая знает все файловые системы?
Ничего подобного. Есть пять методов "уничтожения" данных:

Первый - перезапись поверх. В этом случае запись будет произведена в другие ячейки памяти, а старые ячейки будут положены в очередь на стирание (и совсем не обязательно будут стерты, т.к. стирание происходит только блоками по 512к и контроллер будет ждать освобождения всего блока). Для выравнивания износа контроллер может сам освободить остаток блока перенеся данные в другие ячейки. Картина трансляции весьма нелинейна и непрерывная логическая область секторов может быть беспорядочно разбросана по ячейкам памяти.

Второй - посылка накопителю команды TRIM, указывающей что переданная карта логических секторов не нужна файловой системе. TRIM поддерживают не все SSD (самые первые не поддерживали), а из ОС поддерживают только Windows 7, Windows 2008 R2 и Linux с специальной сборкой драйвера ФС (хотя яхз, может уже включили стандартно в новых дистрибутивах).
При получении команды TRIM (которая посылается ФС при удалении файлов) накопитель переводит карту логических адресов в карту блоков флеш-памяти и начинает стирание непрерывных блоков в ближайший момент неактивности. Фрагментированные блоки помечаются как частично свободные, стирание будет произведено при очередной оптимизации карты трансляции либо при освобождении других хранящихся в них логических секторов.

Третий - перезапись поверх нулей. Нулевые сектора для некоторых контроллеров SSD имеют особый магический смысл, нули не записываются во флеш, а помечаются в карте трансляции как обнуленные участки. Участки где раньше хранились данные будут переданы на стирание как и в первом случае. Такой метод оптимизации присущ не всем SSD и не только SSD. Я встречал карточки CompactFlash которые вели себя так-же.

Четвертый - посылка команды SECURE ERASE. При этом накопитель сбрасывает карту трансляции и стирает всё содержимое флеш-памяти. Эта команда раньше использовалась чтобы чинить старые SSD не поддерживающие TRIM, производительность которых сильно деградировала в результате фрагментации карты трансляции.

Пятый - перезапись случайными числами всего накопителя. Очень действенный метод, но не следует забывать что накопитель имеет много резервного флеша для выравнивания износа, поэтому перезаписывать нужно несколько раз. Но старые накопители могут иметь дохлые ячейки памяти, из которых возможно чтение, но в которые не возможна запись, данные из них можно только "вырубить топором".

Итак, выводы для шпионов из вышесказаного:
1) Полностью стереть отдельный файл с гарантией нельзя. Непрерывные области секторов > 512кб можно стереть, но без гарантии, т.к. они могут быть фрагментированы во флеше.
2) Лучшим методом стирания отдельного файла является его простое удаление, а не перезапись шредерами. Конечно при условии использования ОС из вышеприведенного списка.
3) Стереть все содержимое накопителя можно. Достаточно послать соответствующий TRIM (посылается при форматировании диска штатными средствами), либо SECURE ERASE. Через несколько минут данных 100% нет. Параноики могут перед этим два раза перезаписать все сектора случайными числами.
4) Следует с осторожностью относиться к накопителям имеющим "прожженные" ячейки, черт знает что в них застряло. Определить наличие таких ячеек можно по данным SMART.

Выводы для криминалистов:
1) Все наработанные нынче методы работы с HDD на свалку. Прискорбно, но с SSD придется начитать чуть ли не с чистого листа.
2) Для сохранения неизменности данных накопитель нельзя включать. Нужно выпаивать микросхемы памяти, читать их на программаторе и склеивать дамп специфичным для каждой модели SSD образом.
3) Создание аппаратно-программных комплексов для криминалистики потребует либо титанической реверс-инженерной работы, либо поголовного сотрудничества всех производителей SSD. В общем жопа.
Все вышесказанное не относится к русским "экспертам", ибо у нас эксперт может делать всё по велению мизинца левой руки, написать бред и чушь в заключении и суд это схавает.


Ну и наконец совет для всех пользователей SSD: Летайте самолётами аэрофлота. Шифруйте данные все и сразу.
Я рекомендую DiskCryptor потому что он учитывает особенности работы SSD.

Jupiter пишет:
а про две упомянуты работы что можешь сказать?
Работы несомненно нужные, они показывают что старые криминалистические методы непригодны и для SSD надо придумывать новые. Но в них нет ничего, что бы не было известно ранее.

-----
PGP key <0x1B6A24550F33E44A>

| Сообщение посчитали полезным: _ruzmaz_, SaNX, VAD87, sniper

Это действительно не новость. Слышал об этом уже давным-давно.

PE_Kill пишет:
Т.е. в драйве зашита прошивка, которая знает все файловые системы? А если будет создана своя файловая система, баста?

В дисках SSD, с другой стороны, для цифрового хранения используются чипы, для управления контентом применяющие FTL или "слой флэш-трансляции". Когда данные в таком носителе модифицируются, то FTL часто записывает новые файлы в разные места, попутно обновляя карту распределения памяти для отражения сделанных перемен. Результатом таких манипуляций становится то, что остатки от прежних файлов, которые авторы именуют "цифровыми останками", в виде неконтролируемых дубликатов продолжают сохраняться на диске.

Вся суть в том, что речь идет не о секторах файловой системы, в которой флэшки размечаются.

ntldr пишет:
Все вышесказанное не относится к русским "экспертам", ибо у нас эксперт может делать всё по велению мизинца левой руки, написать бред и чушь в заключении и суд это схавает.

Бред и чушь эксперт не напишет хотя бы уже по той причине, что он несет ответственность по статьям УК РФ.

А статья носит развлекательный характер, тут обсуждать вообще нечего

-----
Харе курить веники и нюхать клей, к вам едет из Америки бог Шива, и он еврей.

| Сообщение посчитали полезным:

Crawler пишет:
Бред и чушь эксперт не напишет хотя бы уже по той причине, что он несет ответственность по статьям УК РФ.
Несет ответственность лишь в случае, если доказан факт дачи заведомо ложного заключения. Ну а быть некомпетентными дураками экспертам не запрещается. Вы почитайте примеры экспертизы компьютерных улик из уголовных дел, сами убедитесь какой пиздец и ужас там творится.

-----
PGP key <0x1B6A24550F33E44A>

| Сообщение посчитали полезным:

ntldr, это зависит и от эксперта, согласитесь. Приходилось читать и адекватные заключения. Просто единой формы не предусмотрено, разделов - тоже, инструментарий у каждого свой, и это сказывается на качестве заключений.

А что касается некомпетентных дураков, так на то имеется аттестация. Сомневаюсь, что после обнаружения факта некомпетентности эксперта он будет допущен к работе.

-----
Харе курить веники и нюхать клей, к вам едет из Америки бог Шива, и он еврей.

| Сообщение посчитали полезным:

> Приходилось читать и адекватные заключения
Например?
> Я рекомендую DiskCryptor потому что он учитывает особенности работы SSD.
Юзаю OCZ Agility 120Gb SSD + DC, всё ок.

-----
Shalom ebanats!

| Сообщение посчитали полезным:

Crawler пишет:
ntldr, это зависит и от эксперта, согласитесь
В том то и дело что зависит. Потому у нас с экспертизой всё очень плохо.

Crawler пишет:
Просто единой формы не предусмотрено, разделов - тоже, инструментарий у каждого свой, и это сказывается на качестве заключений.
Во-во, всё так как я и говорил. Метод работы, инструментарий и заключение можно высосать из пальца, и эксперту за это ничего не будет.

Crawler пишет:
А что касается некомпетентных дураков, так на то имеется аттестация
Какая аттестация если нет единой методики которой все обязаны соответствовать? В лучшем случае экспертов опросят по методичке какой-нибудь РАО, а ней творится мракобесие и беззаконие ужас-ужас.


Crawler пишет:
Сомневаюсь, что после обнаружения факта некомпетентности эксперта он будет допущен к работе.
Например эксперт выдал заключение что программы "xxx", "yyy" и "zzz" являются контрафактными. Такое заключение - есть прямое свидетельство некомпетентности, т.к. вывод о контрафактности не может быть сделан компьютерной экспертизой, такой вывод требует не только осмотра "электронных улик", но и проверки бухгалтерской документации и юридической экспертизы лицензии, выносить такие заключения эксперт не имеет права. Однако эксперты выносят, пользуясь порой совсем левыми соображениями, суды их принимают, и экспертам ничего не было даже тогда, когда результаты последующей независимой экспертизы прямо им противоречили.

-----
PGP key <0x1B6A24550F33E44A>

| Сообщение посчитали полезным:

ntldr пишет:
Вы почитайте примеры экспертизы компьютерных улик из уголовных дел
А где можно почитать?

| Сообщение посчитали полезным:

http://www.internet-law.ru/forum/board=9.0

-----
PGP key <0x1B6A24550F33E44A>

| Сообщение посчитали полезным: _ruzmaz_, sniper

ntldr пишет:
Например эксперт выдал заключение что программы "xxx", "yyy" и "zzz" являются контрафактными. Такое заключение - есть прямое свидетельство некомпетентности, т.к. вывод о контрафактности не может быть сделан компьютерной экспертизой

А вот здесь, ИМХО, вы не вполне правы. В компетенцию эксперта входит исследование как носителя, так и содержимого. Отсюда следует, что можно сделать заключение о том, что возможно:

а) содержит ли обнаруженный носитель лицензионную копию ПО, или он является контрафактным (голограммы, надписи, тиснение на футлярах, заводская печать на носителях, хэш-суммы образов носителей);
б) монтировался ли носитель на исследуемой машине;
в) когда, в какое время осуществлялся процесс установки, был ли в качестве источника использован предоставленный в распоряжение эксперта носитель или нет. Здесь могут в качестве доказательства использоваться сотни и сотни косвенных и прямых признаков.

Собственно, это очень и очень примитивная схема (здесь я за точность терминов не ручаюсь. Запариваться сейчас лень).


ntldr пишет:
Какая аттестация если нет единой методики которой все обязаны соответствовать? В лучшем случае экспертов опросят по методичке какой-нибудь РАО, а ней творится мракобесие и беззаконие ужас-ужас.

Ну, я бы сказал, что и здесь Вы не совсем правы.

-----
Харе курить веники и нюхать клей, к вам едет из Америки бог Шива, и он еврей.

| Сообщение посчитали полезным:

Crawler пишет:
А вот здесь, ИМХО, вы не вполне правы. В компетенцию эксперта входит исследование как носителя, так и содержимого.
Но в кометенцию эксперта не входит исследование правовых вопросов. Их может решать только суд.
В доказательство своей правоты сошлюсь на законные акты:

Постановление Пленума Верховного суда №15 от 19 июня 2006г, гласит:
Понятие контрафактности экземпляров произведений и (или) фонограмм является юридическим. Поэтому вопрос о контрафактности экземпляров произведений или фонограмм не может ставиться перед экспертом.

Crawler пишет:
голограммы, надписи, тиснение на футлярах, заводская печать на носителях, хэш-суммы образов носителей
На это отвечу так:
ПЛЕНУМ ВЕРХОВНОГО СУДА РОССИЙСКОЙ ФЕДЕРАЦИИ N 5
ПЛЕНУМ ВЫСШЕГО АРБИТРАЖНОГО СУДА РОССИЙСКОЙ ФЕДЕРАЦИИ N 29
ПОСТАНОВЛЕНИЕ от 26 марта 2009 года
О НЕКОТОРЫХ ВОПРОСАХ, ВОЗНИКШИХ В СВЯЗИ С ВВЕДЕНИЕМ В ДЕЙСТВИЕ ЧАСТИ ЧЕТВЕРТОЙ ГРАЖДАНСКОГО КОДЕКСА РОССИЙСКОЙ ФЕДЕРАЦИИ

п.25: Материальный носитель может быть признан контрафактным только судом. При необходимости суд вправе назначить экспертизу для разъяснения вопросов, требующих специальных знаний.

Итак, мы выяснили что контрафактность - юридическое понятие, и её установление не входит в компетенцию эксперта. Эксперт лишь может разъяснить суду технические вопросы, но не имеет права делать выводы о контрафактности/лицензионности. Более того - у контрафактности не может быть технических признаков, как не может быть технических признаков краденности вещи.


Crawler пишет:
Ну, я бы сказал, что и здесь Вы не совсем правы.
А теперь представьте, что сдаете экзамен в ГИБДД. Единых ПДД нет, есть рекомендации опытных водителей и их толкование гайцами. Доехел из пункта А в пункт Б никого по дороге не убив и не сильно побив машину - экзамен сдан. Что бы тогда творилось на дорогах?

-----
PGP key <0x1B6A24550F33E44A>

| Сообщение посчитали полезным:

Приведу несколько примеров имевших место быть:

Допстим есть 1С крякнутая соболем. Контрафакт ли это? По мнению правообглодателей и "экспертов" - несомненный контрафакт. По закону нет, если 1С была честно куплена, а крякнута лишь для избавления от глюков хаспа (частенько эмулятор ключа ставят даже официальные представители 1С если ключ не удалось завести).

Или другой случай. Есть ноутбук с установленной Windows XP, которая была установлена из пиратского дистрибутива и с пиратским ключом, что достоверно установлено экспертизой. Казалось бы всё очевидно, но если ноутбук продавался с предустановленной Vista Ultimate, то это не контрафакт, т.к. лицензия висты разрешает даунгрейд до XP.

Третий случай: установлена виста, дистрибутив и голографическая наклейка утеряны. С точки зрения Microsoft это контрафакт, о чем говорится в их методичках и имеются какие-то туманные пункты лицензии под которые можно подвести этот случай. По закону это не контрафакт, так как закон не требует наличия каких-либо наклеек или голограмм, а всякие требования в лицензии вроде "стоять на голове пятницу тринадцатого" правообладатель может засунуть себе поглубже, они юридически ничтожны.

Чего только стоит порочная практика признавать кряки и даже безобидные патчи вроде русификаторов вредоносными программами. Очевидно что вредоносность - еще более юридическое понятие чем контрафактность, и этот вопрос находится далеко вне компетенции эксперта. Тут такой сложный вопрос, что вагон юристов не сразу разберется.


К слову, не стоит считать, что у нас отжигает лишь компьютерная экспертиза. Лингвистическая жжот еще больше. Известны случаи, когда даже наркологическая экспертиза отжигала так, так что хоть смейся глядя со стороны, хоть плачь, если не повезло стать участником этого действа.

-----
PGP key <0x1B6A24550F33E44A>

| Сообщение посчитали полезным:

Вообще человека можно поймать тогда когда он ставит кому небуть притский софт,а если комне предут домой и начнут копатся в диске и что то найдут, то трудно докозать им будет что именно я поставил софт сам себе, единственное что они могут сделать, потребовать удалить этот софт.

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным:

ClockMan ты уверен?
твой комп ты и отвечаeшь, а если у тебя найдут CP, думаешь будут просить удалить?

| Сообщение посчитали полезным:

ntldr пишет:
Итак, мы выяснили что контрафактность - юридическое понятие, и её установление не входит в компетенцию эксперта. Эксперт лишь может разъяснить суду технические вопросы, но не имеет права делать выводы о контрафактности/лицензионности. Более того - у контрафактности не может быть технических признаков, как не может быть технических признаков краденности вещи.

Ну, экспертиза и не оперирует юридическими терминами (по крайней мере, компьютерная экспертиза). Эксперт имеет право делать выводы какие угодно, в т.ч. - и о контрафактности продукции, если это входит в его компетенцию. В теории, может быть, доказать и сложно, но на практике эксперту приходит носитель с нелицензионной копией, носитель с предустановленным ПО, и эксперт делает вывод о том, что прецедент имел место. Всё, без лишних запарок. И посмотрел бы я на адвоката, который оспорит такое заключение в суде.

-----
Харе курить веники и нюхать клей, к вам едет из Америки бог Шива, и он еврей.

| Сообщение посчитали полезным:

Crawler пишет:
Эксперт имеет право делать выводы какие угодно, в т.ч. - и о контрафактности продукции, если это входит в его компетенцию
Ну так мы ведь выяснили что не входит. Эксперт может написать что программа была установлена с переданного на экспертизу носителя, может написать что на носителе был обнаружен файл sable.exe, но не более того.

Crawler пишет:
но на практике эксперту приходит носитель с нелицензионной копией, носитель с предустановленным ПО, и эксперт делает вывод о том, что прецедент имел место. Всё, без лишних запарок.
Я знаю что на практике имеет место быть грубое нарушение закона. Но это не значит, что суд любого уровня может грубо наплевать на постановления верховного суда РФ.

Crawler пишет:
И посмотрел бы я на адвоката, который оспорит такое заключение в суде.
Любой адвокат знающий специфику таких дел знает и постановления верховного суда, которые я привел. В первой инстанции судье пофиг на всё, он обычно не рассматривает дело а просто признает обвиняемого виновным, но в кассации дело с такой экспертизой можно развалить, случаи были. Другое дело что обычно основой доказательной базы является не экспертиза, а показания обвиняемого.

-----
PGP key <0x1B6A24550F33E44A>

| Сообщение посчитали полезным:

ntldr
Вопрос не в тему, но вдруг ... Вы случайно не в курсе, прокатит ли такой вариант?
К примеру у меня есть просто ключ HASP для 1С (скажем так - я его где-то нашёл ). Соответственно откуда-то скачана платформа и конфигурация (и естественно ничего не покупалось). И если за мной придут - прокатит ли такой нелепый отмаз, типа "коробку покупал когда-то очень давно, документы о покупке и бумажки от 1С утерял, и у кого покупал не помню" ?

| Сообщение посчитали полезным:

Ну с виду всё легально (если юзается ключ, а не эмуль), но если покупала огранизация, то соответствующие расходы должны быть отражены в бухгалтерии. За непорядок в бухгалтерии могут впаять штраф. Еще могут изъять компы "до выяснения", а выяснение может затянутся, но тут уж как с проверяющим договоришься.
Если юзается эмуль, а ключ непонятно от чего лежит на полке, то проблемы будут, но от уголовки можно будет отмазаться. Отсутствие проблем может гарантировать лишь наличие всех положенных документов, и то не всегда.

-----
PGP key <0x1B6A24550F33E44A>

| Сообщение посчитали полезным:

тут просто у меня 2 варианта.
или купить коробку за 14600, или просто ключик за пару тысяч.
но никто внятно не может сказать - натянут меня при проверке или нет, если не будет 1С-вских бумажек

| Сообщение посчитали полезным:

ntldr пишет:
Допстим есть 1С крякнутая соболем. Контрафакт ли это? По мнению правообглодателей и "экспертов" - несомненный контрафакт. По закону нет, если 1С была честно куплена, а крякнута лишь для избавления от глюков хаспа (частенько эмулятор ключа ставят даже официальные представители 1С если ключ не удалось завести).

У нас в конторе именно такая ситуация. Есть купленый ключ 1C и сервер ключа, для раздачи отзывов клиентам. Так вот долбаный сервер не хочет давать эти отзывы, поставили эмулятор сервера (эмулятор сетевого ключа) и всё работает, а сам ключ уже 2 года лежит на полке. Причем сначала хотели сделать всё по уму, вызвали поддержку, поддержка неделю трахалась с этим сервером, всякие дрова ставили, даунгрейдили сервер -> в итоге забили, сказали у вас проблемы с сетью и всё.

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

ntldr пишет:
Ну так мы ведь выяснили что не входит. Эксперт может написать что программа была установлена с переданного на экспертизу носителя, может написать что на носителе был обнаружен файл sable.exe, но не более того.

Ну хорошо, как тогда вообще установить факт контрафактности предустановленного ПО, в чью это компетенцию, по-вашему, входит, если не в компетенцию эксперта? Если не эксперт, кто еще?


ntldr пишет:
Я знаю что на практике имеет место быть грубое нарушение закона.

вот это точно, добрая четверть законов (причем касающихся не только экспертизы и ит в целом) работает только в теории. а особенно бесит все, что связано с экспертизой. Никакой проработки и единой нормативно-правовой базы попросту нет.

-----
Харе курить веники и нюхать клей, к вам едет из Америки бог Шива, и он еврей.

| Сообщение посчитали полезным:

Crawler пишет:
Ну хорошо, как тогда вообще установить факт контрафактности предустановленного ПО, в чью это компетенцию, по-вашему, входит, если не в компетенцию эксперта? Если не эксперт, кто еще?
Бумажный аналитик, следак хз кто там по бумагам работает. Максимум, что может сказать эксперт, это то, что он выявил, что программное обеспечение взломано, но это не равносильно тому, что оно не лицензионное (смотри мой случай). А вот уже, если нет бумаг + факт взлома ПО = контрафактность.

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

Crawler пишет:
Ну хорошо, как тогда вообще установить факт контрафактности предустановленного ПО
Единственный 100% надежный способ - получить свидетельские показания что такой-то осознанно устанавливал контрафакт. В других случаях можно придумать отмазки той или иной степени убедительности, которые рано или поздно проканают при хождении по инстанциям.
Традиционный способ доказательства контрафактности - это контрольная закупка со свидетелями и списком обязательно задаваемых жертве вопросов. Плюс всегда пытаются получить признанку.

Crawler пишет:
в чью это компетенцию, по-вашему, входит, если не в компетенцию эксперта? Если не эксперт, кто еще?
По закону определять контрафактность может только судья и больше никто.

PE_Kill пишет:
вот уже, если нет бумаг + факт взлома ПО = контрафактность
А вот хрен. У меня ключ не заработал вот и пришлось взломать, а бумаги давно потерялись. Если обвиняемый будет твердо стоять на такой позиции и не путаться в показаниях, то без свидетелей или признанки дело дохлое, если не рассыпется до суда, так будет выиграно в кассации. А еще ведь надо доказать что устанавливал именно этот человек, что опять же без свидетелей и признанки нереально.

-----
PGP key <0x1B6A24550F33E44A>

| Сообщение посчитали полезным: