Le tecnologie integrate negli SSD renderebbero la vita difficile, quasi impossibile, alle analisi forensi condotte dalle agenzie d'intelligence o dalle forze di polizia. Graeme B. Bell e Richard Boddington della Murdoch University di Perth, Australia, hanno effettuato diversi esperimenti prima di arrivare a questa sconvolgente realtà .
I due ricercatori hanno confrontato un SSD Corsair da 64 GB e un hard disk magnetico di Hitachi da 80 GB. Con l'hard disk non ci sono stati problemi e le tecniche usate per il recupero dei dati hanno dato i frutti sperati. Con l'SSD il processo si è dimostrato ben più difficile per colpa degli algoritmi usati dagli SSD per mantenere le massime prestazioni.
La prova si è svolta su più livelli. Gli studiosi hanno tracciato i dati dell'SSD e l'hanno formattato rapidamente. Dopodiché hanno atteso che si mettessero in moto le routine di recuperato dei dati – un processo che richiede solitamente tra 30 e 60 minuti - prima che l'unità iniziasse a scrivere sulle celle e a cancellare i dati irrimediabilmente. Con loro somma sorpresa il lavoro della routine sull'SSD si è svolto molto più rapidamente, in soli tre minuti, dopo i quali solo 1.064 dei 316.666 file presenti erano stati recuperati.
Per andare a fondo della vicenda, i due ricercatori hanno rimosso l'unità dal PC e l'hanno connessa a un "write blocker", una soluzione hardware progettata per isolare il disco e bloccare la cancellazione dei contenuti. Dopo soli 20 minuti gli studiosi hanno riscontrato che il 19 percento dei file erano stati cancellati per sempre, quindi il write block si era rivelato inefficace.
Secondo i due ricercatori gli SSD possono avviare alcune routine autonomamente da un computer, basta l'alimentazione. Questi risultati riguardano non solo chi compie analisi forensi, ma anche avvocati e tecnici. "Anche in assenza d'istruzioni da parte di un computer, un SSD moderno può distruggere in modo permanente le prove, in un breve periodo di tempo, e in una maniera sconosciuta agli attuali hard disk magnetici", ha concluso il team.
Clicca per ingrandire
"Se il disco elimina i dati più rapidamente rispetto alla loro estrazione e il processo di eliminazione può iniziare e svolgersi mentre l'analista estrae i dati, come si può sperare di ottenere un'immagine completa del disco che sia rappresentativa dello stato all'arrivo nel laboratorio?".
In futuro c'è il rischio che anche le chiavette USB, sempre più capienti, possano essere equipaggiate con tecnologie simili a quelle degli attuali SSD, amplificando il problema. Inoltre è pronosticabile che gli algoritmi di "garbage collection" diventino sempre più aggressivi negli anni a venire. Al momento non sembra esserci una contromisura efficace a questo problema.
Questa ricerca potrebbe sembrare in contraddizione con un'altra, recente, pubblicata da ricercatori californiani (Cancellare tutti i dati dagli SSD? Oggi è impossibile). I due studi sono tuttavia diversi: nel primo caso la ricerca era incentrata su come cancellare i dati in modo garantito e controllato dalla porzione di disco in cui erano localizzati, servendosi degli algoritmi usati per gli hard disk.