Решив проследить этот процесс дальше, ученые вынули флэш-диск из компьютера и подключили его к блокиратору записи — аппаратному устройству, специально предназначенному для изоляции от всех процедур, способных изменить содержимое носителя. Но и здесь всего через 20 минут после подключения почти 19% всех файлов было затерто из-за внутренних процессов, которые инициирует прошивка самого SSD без каких-либо внешних команд. Для сравнения можно отметить, что на эквивалентном магнитном жестком диске все данные после аналогичного форматирования оставались восстановимыми в независимости от прошедшего времени — как и ожидалось исследователями.

Понятно, что для криминалистов, озабоченных сохранностью всех данных на носителе, эта особенность SSD представляет большую проблему. Как пишет в комментарии к их статье один из соавторов, Грэм Белл, «Несколько человек в сообществе компьютерных криминалистов имело представление о том, что с данными в SSD происходят какие-то забавные вещи, однако почти все, кому мы показывали наши результаты, были шокированы масштабами того, что обнаружилось».

Если «сбор мусора» в SSD происходит перед или во время криминалистической процедуры снятия образа, то это приводит к необратимому уничтожению потенциально крупных массивов ценных данных. Тех данных, которые в обычном случае были бы получены как улики в ходе следственного процесса — откуда родился новый термин «коррозия улик».

Нет сомнений, что открытия австралийских специалистов неизбежно будут иметь серьезные последствия для тех уголовных и гражданских судебных дел, которые опираются на цифровые свидетельства. Если диск, с которого были получены улики, имеет признаки того, что с данными происходили изменения после изъятия устройства у владельца, то оппонирующая сторона получает основания потребовать исключения этих свидетельств из судебного рассмотрения.

Авторы статьи также предупреждают, что по мере роста емкости USB-флэшек, изготовители могут начать встраивать аналогичные технологии очистки и в них, порождая ту же самую проблему и для массива вторичных (внешних) носителей информации. Кроме того, Белл и Боддингтон предполагают, что утилиты «сбора мусора» со временем будут становиться все более агрессивными — по мере того, как изготовители внедряют все боле и более мощные в своей функциональности прошивки, чипсеты и большего объема диски.

В итоговом заключении статьи, содержащем 18 пунктов проблемы, исследователи не предлагают никаких методов лечения, полагая, что простого и эффективного решения для этой проблемы не существует.

Если говорить о другой американской исследовательской статье, также посвященной специфическим особенностям хранения данных в SSD, то на первый взгляд ее результаты кажутся явно конфликтующими с теми, что получены австралийцами. Здесь команда исследователей пришла к совершенно иному открытию — что фрагменты данных, хранимых в памяти флэш-драйвов, могут оказываться практически неуничтожаемыми.

Как демонстрируют авторы этой статьи, флэш-драйвы очень трудно очистить от чувствительных к компрометации данных, используя традиционные методы безопасного затирания файлов и дисков. Даже в тех случаях, когда устройства SSD показывают, что файлы уничтожены, до 75% данных, в них содержавшихся, могут все еще находиться в памяти флэш-драйвов. В частности, в некоторых случаях, когда твердотельные диски свидетельствуют, будто файлы «безопасно стерты», на самом деле их дубликаты остаются в значительной степени нетронутыми во вторичных местоположениях.

Таковы, вкратце, выводы исследования, проведенного в Калифорнийском университете Сан-Диего и представленного в последних числах февраля на конференции Usenix FAST 11 («Reliably Erasing Data From Flash-Based Solid State Drives» by Michael Wei, Laura Grupp, Frederick Spada, Steven Swanson. PDF).

Проблемы с надежным затиранием данных на SSD, как пишут авторы работы, происходят из-за радикально иной внутренней конструкции носителя. Традиционные приводы типа ATA и SCSI используют намагничиваемые материалы для записи информации в конкретное физическое место, известное как LBA или адрес логического блока. В дисках SSD, с другой стороны, для цифрового хранения используются чипы, для управления контентом применяющие FTL или «слой флэш-трансляции». Когда данные в таком носителе модифицируются, то FTL часто записывает новые файлы в разные места, попутно обновляя карту распределения памяти для отражения сделанных перемен. Результатом таких манипуляций становится то, что остатки от прежних файлов, которые авторы именуют «цифровыми останками», в виде неконтролируемых дубликатов продолжают сохраняться на диске.