"Внутренние механизмы работы твердотельных запоминающих устройств настолько принципиально отличаются от традиционных жестких дисков, что судебные следователи больше не могут полагаться на современные методы сохранения информации при работе с доказательствами, хранящимися на них, в судебных делах", - заявили австралийские ученые в своей научной работе.

Данные, хранящиеся на флэшках, часто становятся объектом процесса "само-коррозии", в ходе которой материалы безвозвратно стираются или меняются таким образом, который не присущ накопителям на магнитной основе. Изменения происходят без каких-либо вмешательств пользователя. Данные исследования открывают неопределенную "серую зону" в подходе к целостности файлов, извлеченных криминалистами из устройств, и угрожают покончить с "золотым веком" цифрового сбора доказательств, предлагаемого старыми видами хранения.

"Учитывая темпы развития SSD-накопителей и контроллеров, учитывая всё большее увеличение производителей, накопителей и модификаций встроенного программного обеспечения, вероятно будет невозможно устранить или ограничить эту новую серую зону в судебной и правовой области", - пишут ученые из австралийского Университета Мердок. "Похоже, что золотой век для судебных улик и анализа удаленных данных и удаленных метаданных теперь может подойти к концу".

В течение десятилетий исследователи работали с магнитной лентой, флоппи-дисками и жесткими дисками, которые продолжают хранить огромные объемы информации даже тогда, когда содержащихся на них файлы помечены для удаления. Для того, чтобы очищать диски даже не всегда достаточно постоянно стирать содержимое. Однако SSD-накопители хранят данные блоками или страницами, которые должны быть стерты перед повторным использованием.

В результате, большинство SSD- накопителей имеет программное обеспечение, автоматически осуществляющее процедуры "самовосстановления" или "сборки мусора", которые могут постоянно стирать или изменять файлы, отмеченные для удаления. Зачастую процесс начинается сразу же после трёх минут работы устройства и происходит без предупреждения. Пользователю не нужно устанавливать никаких программ, а устройство не излучает никакого света или звука для того, чтобы указать, что происходит очистка.

Более того, использование так называемых блокираторов записи и других техник, направленных на изоляцию устройства во время судебного снятия образа, не предлагает никакой защиты. Это связано с тем, что сбор мусора инициируется программным обеспечением SSD, которое является независимым от команд, выданных компьютером, к которому оно присоединено.

"Если сбор мусора состоится до или во время снятия образа устройства, то это приведет к необратимому удалению потенциально большого количества ценной информации, которая обычно собирается в качестве доказательств в ходе судебного процесса - мы называем это "коррозией доказательства"", - пишут ученые.

Выводы имеют серьезные последствия для уголовных и гражданских судебных дел, которые полагаются на цифровые доказательства. Если диск, с которого поступают данные, оказывается испорченным после того, как его изъяли, противная сторона зачастую имеет основания на непринятие доказательств судом.

На первый взгляд, результаты расходятся с фактами недавней статьи, в которой считается, что фрагменты данных, хранящихся на флэш-накопителях практически не поддаются разрушению. Однако это может быть тем случаем, когда обе исследовательские группы говорят, что данные, хранящиеся на новомодных устройствах, не могут быть надежно удалены или сохранены, как в случае с магнитными носителями.