USB-nøgler, SSD'er og embeddede flashdiske, som findes både i nye computere, i netbooks, tavlecomputere og mobiltelefoner, har en indbygget teknologi, som gør dem upålidelige for jurister, når de skal bruge dataindholdet som bevis i vigtige retssager. For eksempel mod spioner eller distributører af børneporno.

Problemet er, at der findes automatiske mekanismer i alle flashhukommelser, som sletter og overskriver de fysiske dataceller, helt uden brugerens vidende, når bare der er strøm på flashen.

Derfor slår de australske forskere, Graeme Bell og Richard Boddington fra Murdoch-universitetet i Perth, nu alarm i en forskningsrapport for at gøre opmærksom på, at gemte data, der hidtil har kunnet findes frem på selv grundigt slettede harddiske, hvis man skulle bruge dem som beviser, går tabt fremover, fordi flashdiske og USB-nøgler bliver mere udbredte og erstatter harddiske.

Det sker, fordi flashhukommelser konstant bliver billigere, hurtigere og mindre strømforbrugende end harddiske.

Eksperters betydning i retten lakker mod enden
Den nye viden om flashdiskes upålidelighed står i skarp kontrast til den senest kendte, videnskabelige opdagelse fra februar i år - at det er næsten umuligt at slette følsomme data fra de samme flashhukommelser. Selv ved gentagne overskrivninger.

Flashhukommelsen er dermed en mønt med to djævelske sider. For det viser sig, at de to videnskabelige påstande ikke er i modstrid. Djævelen ligger som altid i detaljen.

Men konsekvensen af den nye viden er foreløbig, at dygtige it-folk med speciale i at genfinde tabte data, de såkaldte 'forensic investigators' (en slags data-ligsynseksperter, red.) kan begynde at vinke farvel til rollen som det afgørende vidne i retten.

Det handler om, at flash-hukommelse, som er elektroniske chips, opbygget af NAND-gate-transistorer, har indbyggede kredsløb, som udfører et job, der kaldes ’garbage collection’. Det er en slags oprydning, som cirka 2-3 minutter efter, at der er kommet strøm på, begynder at ændre eller slette data, der er blevet markeret elektronisk med beskeden ’slettes’, skriver forskerne.

Samtidig er der en anden funktion, som automatisk fordeler sliddet på de enkelte hukommelsesceller. Det sker ved at flytte rundt på de logiske adresser på cellerne, så de overliggende softwarelag i computerens filsystem bliver snydt og tror, de skriver data i forlængelse af hinanden. Snyderen kaldes FTL (Flash Transition Layer) og findes gemt i flashens elektronik.

Eksperters værktøjer dur ikke mere
Garbage collection-jobbet går i gang af sig selv, helt uden brugerens medvirken. Og der bliver heller ikke givet noget signal om, at det sker, for eksempel i form af et lys i en lysdiode.

Og så kommer den dårlige nyhed for eksperterne. De plejer nemlig at bruge en række teknikker, blandt andet såkaldte ’write blockers’, for at isolere flashhukommelsens indhold, mens de henter en kopi ud til deres egne harddiske. Men det viser sig, at disse blokeringsteknikker ikke beskytter indholdet mod de indbagte oprydningsalgoritmer, der er indlejret i flash-firmwaren.

»Hvis garbage collection går i gang inden eller under kopieringsprocessen, vil det resultere i en ødelæggende sletning af store mængder værdifulde data, som normalt ville blive indsamlet som beviser. Vi kalder fænomenet for beviskorrosion,« siger en af forskerne i artiklen.

Denne viden kan ikke undgå at få konsekvenser for brugen af it-eksperter i retten. For hvis den anklagedes jurister kan underbygge, at data fra en vigtig flashdisk eller USB-nøgle er blevet ændret, efter at den blev konfiskeret, så kan beviset afvises som ubrugeligt.

Og dette bevis er nemt. Harddiske og flashdiske, der skal bruges som bevis, får udregnet en kryptografisk hash-værdi, som udgør en slags vandmærke. Tallet er et bevis på, at data er uændrede. Hvis hash-værdien ikke passer, er beviset ødelagt.

Der er ingen konflikt
Men hvordan passer den nye viden så med den tidligere opdagelse fra University of California, at flashdiske er svære, næsten umulige at slette ordentligt?

Hvis man læser de to forskningsartikler (se de vedlagte filer), vil man imidlertid se, at der ikke er nogen modstrid. Den ene fortæller, at ’man ikke kan stole på, at data bliver slettet ordentligt’. Det kan nemlig godt lade sig gøre at slette sådan, at data bliver fuldstændig ødelagt, men der er for stor forskel på de mange forskellige producenters implementeringer af sletnings-algoritmen. Derfor er sletning ikke en pålidelig funktion.

Og i den nye viden er konklusionen, at de mange producenter implementerer den nødvendige garbage collection så forskelligt, at man ikke kan være sikker på, det er muligt at udtage slettede data pålideligt, før de indlejrede rutiner har ødelagt eller ændret dem. Somme tider kan man, men andre gange kan man ikke. Men det værste er, at selv best-practice-metoder blandt eksperter ikke kan garantere mod, at flash-firmwaren selv bliver aktiv og griber ind.

Firmwaren handler selvstændigt
Det nytter ikke at udvikle nye ’best-practice’ metoder, skriver forskerne. For udviklingen af flash-algoritmer går så hurtigt, så det svarer til at skyde efter et bevægeligt mål.

Tværtimod må retssystemet indse, at slettede data ikke behøver at være bevis for, at den anklagede har haft ond hensigt til at skjule noget inden politiets konfiskation. Det kan være firmwaren, der har handlet på egen hånd.

Den endelige konklusion er, ifølge de australske forskere, at man ikke kan lovgive sig ud af problemet - for eksempel ved at forbyde garbage collection. Den teknologiske tendens er snarere, at garbage collection vil gå hurtigere og blive mere aggressiv for at øge flashhukommelsens ydeevne.

Derfor må retssystemet indstille sig på, at der i fremtiden altid vil være et gråt område i flashhukommelser, som eksperter og jurister ikke kan nå.