Ausztrál kutatók kimutatták, hogy a mai Flash, SSD (NAND) alapú memóriák és háttértárak biztonsági szempontból újszerűen viselkednek az eddig megszokott mágneses adattárolókhoz képest. Szakértők erre a problémára a napokban hívták fel a szakma és főleg az IT biztonsági helyszinelő/nyomrögzítők figyelmét.
A technológia átállása az új tárolási megoldásokra folyamatosan zajlik és miközben csendben lecseréljük a régi adathordozókat (vannak olyan számítógépek, amelyek már nem is rendelkeznek hagyományos meghajtókkal) észre sem vettük, hogy a biztonság terén milyen változásokat hoznak.
Hogyan dolgoznak a biztonsági bizonyíték gyűjtők?
- A gépek és azok adathordozóinak tartalmát igyekeznek "megfagyasztani" és egy pillanatfelvételt készíteni az adatokról. Ezekről másolat készül és azt már lehet boncolni.
- A "boncolás" közben bizonyítékokat, elrejtett tartalmat és konkrét információkat keresnek.
- Előfordulhat, hogy dekódolni kell titkosított tartalmat vagy visszafejteni nehezen értelmezhető elemeket.
- Érdekes, hogy a Windows-os rendszerek nagyon sok nyomot hagynak maguk után (sok ideiglenes állomány, több helyen letárolt adatok) és akkor még nem beszéltünk a felhasználók átalános figyelmetlenségéről (rossz helyre lementett vagy nem törölt adatállományok).
- És akkor ott vannak még persze a hackerek vagy a nagyon leleményes felhasználók, akik érdekes helyekre is eldughatnak adtokat (pl. képekbe rejte szövegeket).
Mikre mutat rá a tanulmány?
- Az új adathordozókon törlésre kijelölt adatok helyét csak akkor lehet feltölteni új tartalommal, ha azokat ténylegesen letörli a meghajtó. Nem úgy, ahogy egy mágneses adathordozó esetében teszi, hanem az eredeti adat megsemmisítésével (elektronikai úton történő törlésével). Vagyis az eredeti adat tényleg teljesen elvész.
- Az új tárolóeszöközök (pl. SSD memóriát használók, pendriveok stb.) a felszabadítandó területet három percen belül autmotikusan törlik. Erre azért van szükség, mert az új adathordozók lassan törölnek (blockokat kell törölniük, amelyek nagyok) és azért a gyártók egy Self-Healing vagy Garbage Collection nevű automatikus technológiával rendszeresen törlik a "nem használt" részeket.
Miért probléma ez?
- A bizonyítékokat gyűjtő adatvédelmi szakértők elől a memóriák maguk törlik az információt, még mielőtt rögzíteni lehetne őket.
- A már letörölt adatokat nem lehet visszaállítani (a hagyományos mágneses tárolóknál ez sokkal egyszerűbb volt).
- A korródálódott digitális bizonyítékok (pl. egy bírósági perben) nem használhatóak fel vagy nehézkes a felhasználásuk.
- A megnövekedett adatmennyiséggel már így is sok probléma van (pl. átnézni egy terrabyte-os háttértárat), a törlések vagy nem törlések és adatállomány maradványok még tovább nehezítik a helyzetet.
- Egy másik tanulmány a problémák közül utolsónak említett gonddal kapcsolatban éppen azt mondja, hogy nehéz eldönteni, hogy a tároló letörölt-e valamit vagy sem. Vagyis bizonytalan. Ez talán a legrosszabb hír egy biztonsági szakértő számára.
A lényeg az, hogy úgy néz ki, hogy az operációs rendszer és a tárolóegységek egymástól független működése bizonytalanná teszi az adatok törlésének, bizonyítékként való megőrzésének vagy törlés után történő visszaállításának kérdését. Ez komoly biztonsági probléma és azoknak is rossz hír, akik nem szoktak mentéseket készíteni a fontos állományokról, mert ha elveszik az egyetlen példány egy modern memória meghajtón, akkor lehet, hogy soha többé nem jutunk hozzá.
Az eredeti tanulmány letölthető itt.
A The Register eredeti cikkét itt olvashatjuk.
Keleti Arthur
Utolsó kommentek