ssd forensik€¦ · ssd grundlagen daten schreiben & modifizieren •speicherbereich muss leer...
TRANSCRIPT
SSD Forensik
Das Problem Garbage CollectionSecurity Forum 2015
www.pwc.com
PwC
Agenda
2
Security Forum 2015
1 Grundlagen
SSD Grundlagen
HDD Imaging
Garbage Collection & TRIM
Verschlüsselung
Secure Erase
Ansätze
3 Zusammenfassung
2 Problemfelder
Statistiken
Zusammenfassung
AusblickSSD Forensik
PwC
Grundlagen
SSD Grundlagen
HDD Imaging
3
Security Forum 2015SSD Forensik
PwC
SSD GrundlagenFunktionsweise - Controller
• Schnittstelle Betriebssystem <-> Flash Chips
• Ausführung von Firmware
Wear Leveling
Garbage Collection
Komprimierung
Verschlüsselung
…
SSD Forensik
4
Security Forum 2015
SSD
Controller
Chip Chip Chip Chip
Chip Chip Chip Chip
OS
PwC
SSD GrundlagenFunktionsweise – Flash Chips
• Datenspeicher
• Unterteilung
Cells
Pages
Blocks
Planes
SSD Forensik
5
Security Forum 2015
Block 2
Block 3
… … …
… …Block
n
CellsPage
2Page
3
… … …
… …Page
n
Plane
PwC
SSD GrundlagenDaten schreiben & modifizieren
• Speicherbereich muss leer sein
• Wear Leveling
Gleichmäßige Auslastung
Controller entscheidet Verwendung
• Over Provisioning
Reservespeicher
Nicht frei verfügbar
Verwendet für SSD Funktionen und als Ersatzspeicher
• Vergleich HDD
Speicherbereich muss nicht leer sein
Direktes Überschreiben von unbenutztem SpeicherSSD Forensik
6
Security Forum 2015
PwC
HDD Imaging
SSD Forensik
7
Security Forum 2015
PwC
SSD GrundlagenDaten löschen
• TRIM-Command
OS informiert Controller über gelöschte Datei
SSD-Controller kann Daten sofort löschen
• Garbage Collection
Keine sofortige Information über gelöschte Dateien
Bereinigung unbenutzter Bereiche
• Vergleich HDD
Alte Dateien bleiben bestehen
Eintrag in File Table wird gelöscht
SSD Forensik
8
Security Forum 2015
PwC
Problemfelder & Ansätze
Garbage Collection
TRIM Command
Verschlüsselung
Secure Erase
Ansätze
9
Security Forum 2015SSD Forensik
PwC
Garbage CollectionFunktionsweise & Auswirkungen
• Funktionsweise
Bereinigung unbenutzter Blöcke
Abhängig von Implementierung
Einfluss durch SSD-Auslastung
• Auswirkungen
Nicht zwingend vollständige Löschung
Datenwiederherstellung oft noch möglich
SSD Forensik
10
Security Forum 2015
GC GC GC GC
GC GC
GC GC GC GC
GC GC
GC GC GC GC
GC GC GC GC}
PwC
Garbage CollectionFunktionsweise & Auswirkungen
• Funktionsweise
Bereinigung unbenutzter Blöcke
Abhängig von Implementierung
Einfluss durch SSD-Auslastung
• Auswirkungen
Nicht zwingend vollständige Löschung
Datenwiederherstellung oft noch möglich
SSD Forensik
11
Security Forum 2015
F F
GC GC F F1. 2. 3.
PwC
Garbage CollectionLazy Garbage Collection
• Durchführung nur bei SSD Idle
• Kein Wissen über Dateisystem
• Kein Wissen über gelöschte Dateien
• Daten evtl. noch verfügbar
SSD Forensik
12
Security Forum 2015
PwC
Garbage CollectionFile Slack
• Kleinste schreibbare Einheit: 1 Page
• Kleinste löschbare Einheit: 1 Block
SSD Forensik
13
Security Forum 2015
Block File 1 Block File 1 Block File 1 & 2 Block File 2
PwC
TRIM CommandFunktionsweise & Auswirkungen
• Funktionsweise
OS informiert SSD über gelöschte Dateien
SSD erhält Informationen über ungenutzte Bereiche
Markierung der Bereiche für Garbage Collector
Löschen der entsprechenden Bereiche
• Auswirkungen
Vollständige Löschung von Dateien
Daten nicht wiederherstellbar
SSD Forensik
14
Security Forum 2015
PwC
TRIM CommandDRAT/DZAT
• Deterministic Read After Trim
Gelesene Daten immer gleich nach TRIM
Neubeschreibung ändert Daten
Möglicherweise Original-Daten
• Deterministic Read Zero After Trim
Immer Null-Bytes nach TRIM
SSD Forensik
15
Security Forum 2015
PwC
TRIM CommandBetriebssystem
• TRIM wird nicht von allen Betriebssystemen unterstützt
• Zusätzlich von Dateisystem (NTFS, Ext4,…) abhängig
SSD Forensik
16
Security Forum 2015
Betriebssystem Unterstützt ab
Microsoft Windows Windows 7 bzw. Windows Server 2008 R2
Linux Kernel 2.6.28
Mac OS X 10.6.8
FreeBSD 8.1
PwC
TRIM CommandAnschlüsse & Konfiguration
• Nicht alle Anschlüsse übertragen den TRIM-Command
• Unterstützt
SATA / eSATA
SCSI
PCI Express: ab Windows 8
• Nicht unterstützt
USB
RAID (mit Ausnahmen)
NAS (mit Ausnahmen)
SSD Forensik
17
Security Forum 2015
PwC
TRIM CommandKleine Dateien
• Speicherung in MFT
• Keine Garbage Collection
• Nur sehr kleine Dateien
• <900 Bytes
• Daten wiederherstellbar
SSD Forensik
18
Security Forum 2015
PwC
TRIM CommandKorrupte Systembereiche
• Beschädigte Partition Tables
• Beschädigte Dateisysteme
• TRIM-Command wird nicht ausgeführt
• Dateien leichter wiederherstellbar
SSD Forensik
19
Security Forum 2015
PwC
TRIM CommandBugs
• Firmware auf Controller
• Möglicherweise fehlerhaft
TRIM-Command
Over-Provisioning
Wear Leveling
…
SSD Forensik
20
Security Forum 2015
PwC
VerschlüsselungFunktionsweise & Auswirkungen
• Self Encrypting Drives
Hardware basierend
Full-Disk Encryption
Bereinigung durch Schlüsseltausch
• Tools
Vollständige Verschlüsselung
Verschlüsselung verwendeter Bereiche
SSD Forensik
21
Security Forum 2015
PwC
VerschlüsselungFolgen für Forensik
• Vollständige Verschlüsselung
Schlüssel notwendig
Evtl. Wiederherstellung gelöschter Dateien möglich
• Verschlüsselung verwendeter Bereiche
Rückschlüsse auf Datengröße möglich
Rückschlüsse auf Dateisystem möglich
SSD Forensik
22
Security Forum 2015
PwC
Secure EraseFunktionsweise & Auswirkungen
• Funktionsweise
Vollständiges Löschen der SSD
Spannungsspitze zum Zurücksetzen der Bits
• Auswirkungen
Daten nicht wiederherstellbar
Möglicherweise fehlerhaft
Anti-Forensik
SSD Forensik
23
Security Forum 2015
PwC
Ansätze
• Informationen sammeln
Host
OS
Verbindung
SSD-Hardware
• SSD nur unmittelbar vor Imaging einschalten
• USB3.0 WriteBlocker für Geschwindigkeitsgewinn
• Chip-Off-Forensik
nur mit Spezialkenntnissen und –hardware
• Keine offiziellen Best-Practice Ansätze von NIST, BSI,…
SSD Forensik
24
Security Forum 2015
PwC
Zusammenfassung
Statistiken
Zusammenfassung
Ausblick
Quellen
25
Security Forum 2015SSD Forensik
PwC
Statistiken
Random.small Random.large
NTFS Ext4 HFS+ NTFS Ext4 HFS+
TR
IM
Idle, Low 0,39% 100% 0,39% 0,55% 100% 0,58%
Idle, High 0,39% 100% 0,39% 0,47% 100% 0,50%
Activity, Low 0,39% 100% 0,39% 0,58% 100% 0,50%
Activity, High 0,39% 100% 0,39% 0,52% 100% 0,58%
No T
RIM
Idle, Low 100% 100% 100% 100% 100% 100%
Idle, High 100% 100% 100% 100% 100% 100%
Activity, Low 100% 100% 35,25% 100% 100% 100%
Activity, High 100% 0,39% 35,26% 100% 0,39% 100%
SSD Forensik
26
Security Forum 2015
• Diverse Testszenarien
• Prozent der wiederhergestellten Bytes nach einer Stunde
Quelle: Nisbet, Lawrence, Ruff: A Forensic Analysis and Comparison of Solid State Drive Retention With Trim Enable File Systems
PwC
Statistiken
SSD Forensik
27
Security Forum 2015
• Recovery nach Quick Format
Quelle: Bell, Boddington: Solid State Drives: The Beginning of the End for Current Practice in Digital Forensic Recovery?
Device 64 GB Corsair
P64 SSD
Files Recovered Description of recovered Files
1064 deleted
‘evidence’ text files
from the drive
604 File name and temporal metadata recovered and file partially
readable but could not be recovered as original text documents
460 File name and temporal metadata recovered but not readable
and could not be reconstituted as original text documents
An additional 26
deleted ‘evidence’ text
files were carved from
unallocated space
23 File name and temporal metadata recovered and file readable
but could not be reconstituted as original text documents
3 File name and temporal metadata recovered but not readable
and could not be reconstituted as original text documents
Total files recovered 1090 Compared to 316666 files present prior to quick format &
other experiment study period
PwC
Statistiken
SSD Forensik
28
Security Forum 2015
• Recovery nach 24 Stunden mit TRIM
• Recovery nach 16 Stunden ohne TRIM
Quelle: Bonetti, Viglione, Frossi, Maggi, Zanero: A Comprehensive Black-box Methodology for Testing the Forensic Characteristics of Solid-State Drives
SSD FS Files Recovered
Samsung S470 NTFS 0%
Ext4 0%
Corsair F60 NTFS 70,79%
Ext4 0%
Crucial M4 NTFS 0%
Ext4 0%
SSD Files Recovered
Samsung S470 100%
Corsair F60 100%
PwC
Statistiken
SSD Forensik
29
Security Forum 2015
• Recovery nach Durchführung diverser Überschreibungsmethoden
Quelle: Wei, Grupp, Spada, Swanson: Reliably Erasing Data From Flash-Based Solid State Drives
Overwrite Operation Data recovered
Filesystem delete 4,3 – 91,3%
Gutmann 0,8 – 4,3%
Gutmann “lite” 0,02 – 8,7%
US DoD 5220.22-M (7) 0,01 – 4,1%
RCMP TSSIT OPS-II 0,01 – 9,0%
Schneier 7 Pass 1,7 – 8,0%
German VSITR 5,3 – 5,7%
US DoD 5220.22-M (4) 5,6 – 6,5%
British HMG IS5 (Enh.) 4,3 – 7,6%
US Air Force 5020 5,8 – 7,3%
US Army AR380-19 6,91 – 7,07%
Russian GOST P50739-95 7,07 – 13,86%
British HMG IS5 (Base.) 6,3 – 58,3%
Pseudorandom Data 6,16 – 75,7%
Mac OS X Sec. Erase Trash 67%
PwC
Zusammenfassung & Ausblick
• Zusammenfassung
Kein einheitliches Rezept
Jede SSD kann sich anders verhalten
Herkömmliche Wege nicht mehr zielführend
Herkömmliche Wege keine Garantie für Datenintegrität
Viele Stolpersteine für Forensiker
• Ausblick
Evtl. Support von SSD-Herstellern
Bessere SSD-Forensik-Hardware
SSD Forensik
30
Security Forum 2015
PwC
Fragen
SSD Forensik
31
Security Forum 2015
?
PwC
Quellen
• Bell, Boddington: Solid State Drives: The Beginning of the End for Current Practice in Digital Forensic Recovery?
• Bonetti, Viglione, Frossi, Maggi, Zanero: A Comprehensive Black-Box Methodology for Testing theForensic Characteristics of Solid-State Drives
• Elcomsoft: SSD Evidence Acquisition and Crypto Containers
• Gubanov, Afonin: Why SSD Drives Destroy Court Evidence, and What Can Be Done About It
• Gubanov, Afonin: SSD Forensics 2014
• Nisbet, Lawrence, Ruff: A Forensic Analysis And Comparison of Solid State Drive Data Retention With Trim Enabled File Systems
• Wei, Grupp, Spada, Swanson: Reliably Erasing Data From Flash-Based Solid State Drives
SSD Forensik
32
Security Forum 2015
Kontakt
This publication has been prepared for general guidance on matters of interest only, and does
not constitute professional advice. You should not act upon the information contained in this
publication without obtaining specific professional advice. No representation or warranty
(express or implied) is given as to the accuracy or completeness of the information contained
in this publication, and, to the extent permitted by law, PwC Wirtschaftsprüfung GmbH, its
members, employees and agents do not accept or assume any liability, responsibility or duty of
care for any consequences of you or anyone else acting, or refraining to act, in reliance on the
information contained in this publication or for any decision based on it.
© 2015 PwC Wirtschaftsprüfung GmbH. All rights reserved. In this document, “PwC” refers to
PwC Wirtschaftsprüfung GmbH which is a member firm of PricewaterhouseCoopers
International Limited, each member firm of which is a separate legal entity.
Dr. Christian Kurz
Manager
Forensic Technology Solutions
+43 699/163 050 47
Christoph Dulghier
Consultant
Forensic Technology Solutions
+43 676/833 771 416