Potenziali insidie ​​associate all'eliminazione sicura dei dischi SSD


12

Devo rimuovere due dischi SSD da uno dei miei server ospitati Linux.

Per i dati in modo sicuro di eliminazione archiviati nei dischi avevo intenzione di utilizzare: hdparm --security-erase.

Ho letto questo documento e mi ha suggerito di non avere alcun disco collegato all'host, oltre a quelli destinati alla cancellazione.

E questo articolo sottolinea che se ci sono bug del kernel o del firmware, questa procedura potrebbe rendere inutilizzabile l'unità o causare l'arresto anomalo del computer su cui è in esecuzione .

Questo server è attualmente in produzione, con una configurazione RAID software per i dischi di produzione. Non esiste un controller RAID per i dischi che devo rimuovere.

Domanda:

Si tratta di un'operazione piuttosto sicura da eseguire in un ambiente di produzione o sarebbe meglio servirmi rimuovendo i dischi ed eseguendo questa procedura in un altro host?

Modifica: solo un collegamento con una bella procedura documentata


8
Bruciateli seriamente, se la sicurezza è la cosa più importante, distruggeteli con il fuoco, gli SSD sono relativamente economici in questi giorni - è l'unico modo per essere sicuri :)
Chopper3

2
A meno di eliminarli dall'orbita.
Lilienthal,

1
Qualcuno ha chiamato?
Lightness Races con Monica il

Risposte:


18

ATA Secure Erase fa parte delle specifiche ATA ANSI e, se implementato correttamente , cancella l'intero contenuto di un'unità a livello hardware anziché tramite strumenti software. Gli strumenti software sovrascrivono i dati su dischi rigidi e SSD, spesso attraverso più passaggi; il problema con gli SSD è che tali strumenti di sovrascrittura del software non possono accedere a tutte le aree di archiviazione su un SSD, lasciando dietro di sé blocchi di dati nelle aree di servizio dell'unità (esempi: blocchi danneggiati, blocchi di livellamento dell'usura riservati, ecc.)

Quando un comando ATA Secure Erase (SE) viene emesso contro un controller integrato SSD che lo supporta correttamente , il controller SSD ripristina tutte le sue celle di memoria come vuote (rilasciando elettroni memorizzati), ripristinando così l'SSD alle impostazioni predefinite di fabbrica e prestazioni di scrittura . Se correttamente implementato, SE elaborerà tutte le aree di archiviazione, comprese le aree di servizio protette dei media.

Liberamente copiato da http://www.kingston.com/us/community/articledetail?ArticleId=10 [via archive.org] , enfatizza il mio.

Il problema è che, secondo alcuni, mancano sia il supporto che la corretta attuazione di ATA Secure Erase da parte dei produttori.

Questo documento di ricerca del 2011 mostra su metà degli SSD testati che la cancellazione sicura ATA non è riuscita a distruggere efficacemente i dati sul disco.

In quello stesso documento di ricerca, i test hanno dimostrato che forse sorprendentemente per alcuni, le tradizionali sovrascritture multi-pass dell'SSD hanno avuto in realtà per lo più successo, anche se alcuni dati (probabilmente da quelle aree riservate di un SSD che sono al di fuori delle dimensioni riportate sui dischi) potrebbero essere recuperati .

Quindi la risposta breve è: l'uso del software per la sanificazione di un intero SSD può essere o meno efficace al 100%.
Potrebbe comunque essere sufficiente per le tue esigenze.

In secondo luogo, farlo su un server che esegue la produzione: la mia impressione è che la maggior parte dei manuali consiglia di eseguire l'avvio da un disco di ripristino per cancellare i dischi per la semplice ragione che l'uso del software per cancellare il disco di avvio / sistema operativo fallirà miseramente e la maggior parte dei laptop e PC ha solo un disco singolo.
Naturalmente si applicano anche i rischi universali di eseguire comandi distruttivi potenzialmente (o piuttosto intenzionali) sui sistemi di produzione.

La crittografia delle unità renderà molto meno probabile il ripristino (parziale) dei dati dai dischi eliminati (SSD o di tipo rotante). Fintanto che l'intero disco è stato crittografato e ovviamente non hai una partizione non crittografata (swap).

Altrimenti, questi sono sempre i trituratori .


8

Fondamentalmente - a causa del modo in cui funzionano gli SSD - è impossibile "pulire in modo sicuro". Soprattutto per le unità aziendali: la maggior parte di esse è più grande di quanto appaia in primo luogo, perché ha una capacità "di riserva" in esse, a fini di livellamento dell'usura.

Lo stesso livellamento dell'usura significa che la cancellazione dello stile "sovrascrivi" non fa neanche quello che pensi.

A un livello piuttosto fondamentale, dipende dal rischio che ti preoccupa è:

  • se vuoi semplicemente "ripulire" e ridistribuire l'hardware all'interno della tua azienda: formatta e completa l'operazione.
  • se sei preoccupato per un avversario malintenzionato e dotato di risorse che acquisisce materiale sensibile: non preoccuparti di pulire, distruggi fisicamente *.

(*) dove per 'distruggere fisicamente' intendo distruggere, incenerire e controllare. Resisti alla tentazione del fai-da-te - non è comunque così divertente sugli SSD.


1
-1, non c'è motivo di aspettarsi che l'implementazione ATA Secure Erase del produttore del disco non cancelli effettivamente tutti i blocchi.
Andrew Medico,

7
+1 da me perché sì, c'è. Vedi, ad esempio, cseweb.ucsd.edu/~m3wei/assets/pdf/FMS-2010-Secure-Erase.pdf : " I comandi di cancellazione sicura basata su disco non sono affidabili " (su nove combinazioni controller-SSD testate, una rifiutata per fare la cancellazione, due non hanno fatto correttamente la cancellazione, e uno non l'ha fatto affatto, ma ha riferito di averlo fatto). Quel rapporto ha alcuni anni, ma significa che abbiamo bisogno di ragioni positive per fidarci della cancellazione sicura moderna, piuttosto che supporre che funzioni ora.
MadHatter,

1
Sono paranoico. Ho visto troppe occasioni in cui "irrecuperabile" non è così irrecuperabile come immagino. Tuttavia vorrei anche sottolineare il punto: il più delle volte semplicemente non ha importanza. Se ti fidi vagamente dove sta andando e il contenuto non è incredibilmente sensibile, non fa molta differenza. E se è incredibilmente sensibile, allora perché lasci che lasci l'edificio in primo luogo?
Sobrique,

1
Dovrei aggiungere che è non è impossibile. Ma dovresti fidarti dell'implementazione del produttore in quanto non puoi farlo in modo affidabile usando solo i comandi del settore di scrittura.
the-wabbit,

6

Non consiglierei sicuramente il lancio di operazioni di cancellazione sicura su un sistema che ha tutte le unità a cui tieni ancora connessi. Tutto ciò che serve è un piccolo errore di battitura per distruggere i dati di un'unità ancora in uso oltre ogni speranza di recupero.

Se hai intenzione di utilizzare Secure Erase, fallo sicuramente in un sistema che non ha unità a cui sei collegato.

Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.