Di quanti passaggi hai bisogno per cancellare / distruggere i tuoi file per renderli non cancellabili?


20

Se disponi di dati privati ​​su un disco rigido recente e normale, quanti passaggi devi eliminare per renderli irrecuperabili?

Non nel senso che un team forense di 20 esperti con un budget di 100 milioni di euro o dollari e 10 anni di tempo per ripristinare un paio di byte da un indirizzo noto con una precisione dell'80%, ma poche persone con pochi 1000 € / $ budget, che non impiegherebbero più di due settimane a lavorare e che non sanno dove stanno cercando.

Linux / GNU shreddice nel manuale:

   -n, --iterations=N
          overwrite N times instead of the default (3)

ma da un lato ho sentito di un suggerimento della NSA di sovrascrivere 27 volte, e dall'altro le aziende di recupero dati professionali non sono riuscite a recuperare i dati da un'unità che è stata cancellata solo una volta.

Prove, documenti, prove?

Nota: cosa non è questa domanda:

  • Non si tratta di settori danneggiati, in cui i dati potrebbero sfuggire
  • Non si tratta di vecchie unità MFM / RLL dei primi anni '90
  • Non si tratta di strumenti diversi
  • Non si tratta molto del metodo (numeri casuali 0s, 0xFF e modelli elaborati).
  • Non si tratta di tecniche diverse per pulirlo in modo sicuro (potenza magnetica, fusione, riempimento con sabbia e rotazione).
  • Non si tratta di problemi speciali delle unità flash

5
Nessuno ha mai dimostrato di recuperare dati utili dopo 1 sovrascrittura su un disco rigido moderno .... nber.org/sys-admin/overwritten-data-gutmann.html
Moab

Risposte:


48

Una volta.

I moderni supporti magnetici sono abbastanza efficienti e lasciano pochissime prove di posizioni di bit precedenti. Ciò che resta indietro richiede microscopi elettronici e / o scanner magnetometrici ad alta tecnologia (o come si chiamano). Tutti questi dispositivi sono orribilmente costosi e anche con le migliori attrezzature e gli esperti più qualificati, ci vuole una quantità monumentale di tempo (pensa anni per un singolo piatto; tutti i dischi rigidi hanno più piatti) e ha un tasso di fallimento molto elevato.

Se hai a che fare con i segreti del governo (come lo è l'NSA), scrivere una volta probabilmente non è abbastanza buono, perché la Cina non ha problemi a ottenere e utilizzare questi dispositivi, né impiegando team di centinaia di esperti specializzati per usarli.

Se, d'altra parte, hai semplicemente a che fare con password bancarie personali e il tuo segreto segreto, un singolo passaggio è sufficiente per rendere i dati completamente irrecuperabili da qualsiasi mezzo pratico .

Detto questo, i dischi moderni sono abbastanza veloci e, a meno che non si stia ripulendo l'intero disco rigido, più passaggi impiegano così poco tempo che non c'è davvero motivo di non eseguirli. Pertanto, mentre l'errore di dover sovrascrivere più volte con schemi di passaggi complessi è abbastanza diffuso che tutti i software di "eliminazione sicura" passano automaticamente a più passaggi, c'è davvero un piccolo punto per ignorare tali valori predefiniti. Quando ho usato shred(numero predefinito di passaggi: 3) gli ho lasciato fare i suoi 3 passaggi; quando uso Eraser su Windows (numero predefinito di passaggi su un file: 35), gli lascio fare i suoi 35 passaggi. (L'impostazione predefinita di Gomma è un solo passaggio quando si elimina lo spazio libero su un disco rigido; anche questo, ho lasciato correre l'impostazione predefinita.)

Quindi la risposta alla tua domanda (quanti passaggi sono necessari?) È: "Uno". La risposta alla tua domanda implicita (dovrei ignorare i 3 passaggi predefiniti di Shred?) È: "No".

D'altra parte, se sei un agente segreto del governo, così, un passaggio non è davvero sufficiente perché si fare avere Cina dopo i dati. In questo caso, tuttavia, dovresti chiedere al tuo superiore / gestore quali sono le norme della tua agenzia in materia di cancellazione sicura di dati sensibili, non di SU. ;-)

Avvertenza: i supporti basati su Flash utilizzano un sistema chiamato "livellamento dell'usura" per prolungare la durata del dispositivo. Senza entrare nei dettagli di cosa significhi il termine o dei motivi dietro di esso, significa che non è davvero possibile eliminare in modo sicuro i file su supporti basati su flash a meno che non si cancelli in modo sicuro l' intero supporto e anche questo non può sempre garantire che il Gli algoritmi di livellamento dell'usura non hanno lasciato dati non cancellati su cui non si poteva scrivere. Nel caso di supporti basati su flash, la soluzione migliore è semplicemente crittografare tutti i dati sensibili che li riguardano, utilizzando una password complessa.

La documentazione di TrueCrypt include un'eccellente discussione di questo problema e dei modi per risolverlo.


Tanti, tanti vantaggi per una risposta fantastica. Peccato che ne abbia solo uno da dare. :(
CajunLuke,

4
che inchiodato totalmente. Aggiungerei anche, il vecchio wipe di guttman a 35 passaggi presupponeva che tu non sapessi quale tipo di unità hai usato, e come tale correva schemi specifici per MFM e altri progetti obsoleti
Journeyman Geek

Un avvertimento per quanto riguarda i dischi è che in teoria alcuni dati possono essere recuperati spostando la testa per raccogliere i dati scritti quando l'unità era più calda o più fredda e quindi la testa era posizionata in modo leggermente diverso. Ma non ho mai sentito parlare di questa tecnica effettivamente utilizzata (al di fuori della NSA, almeno).
Daniel R Hicks,

1
@Kromey - I moderni convertitori utilizzano il feedback servo per il posizionamento della testa, che è una tecnologia di compensazione della temperatura. Vecchi azionamenti utilizzati contemporaneamente motori passo-passo. Con uno di questi, potresti lasciare un computer senza alimentazione durante la notte in un garage non riscaldato e non riuscire a trovare la traccia 0. Avvia il computer e lascialo funzionare per mezz'ora, ripristinalo e si avvierà perché il piatto è cresciuto abbastanza da mettere la traccia torna sotto la testina di lettura / scrittura. È per questo che abbiamo lasciato il server acceso durante la notte nel nostro negozio.
Fiasco Labs

1
Mi piace come questo tizio abbia coperto lo scenario "Se sei un agente segreto".
Dushyant Bangal,

16

Questa è una vecchia domanda, ma mi sono sentito costretto a buttare i miei due centesimi dato che ho esperienza forense di recupero dei dati.

La domanda che viene posta è puramente accademica, quindi anche questa risposta è puramente accademica. In pratica, la risposta accettata è corretta; un passaggio è sufficiente per rendere irrecuperabili i dati su un'unità. Tuttavia, c'è una ragione per cui i governi impongono più passaggi.

La gente pensa a un disco rigido come a un dispositivo digitale; che i bit magnetici sono disposti in modo stretto e vengono "capovolti" dentro o fuori dalle testate. Ma in realtà, un disco rigido è un dispositivo analogico per quanto riguarda la fisica dei supporti magnetici. La superficie dei piatti è rivestita con un substrato pieno di dipoli magnetici che sono più piccoli del "bit" digitale che codificano. Un numero sufficiente di questi dipoli in un orientamento rispetto all'altro costituisce una resistenza elettrica netta a livello di singolo bit. È la soglia di resistenza che determina se un bit viene interpretato come 1 o 0, non come una polarità digitale "on" o "off".

Per quanto riguarda l'elettronica dell'azionamento, il segnale elettrico proveniente dalle teste è un'onda sinusoidale modulata, non un flusso di bit di 1 e 0. Questo è esattamente il modo in cui i nastri magnetici hanno registrato segnali audio decenni fa - solo ora il substrato è molto più denso e stiamo usando la matematica per estrarre un segnale digitale dal "rumore" analogico.

Ora, fisicamente è impossibile produrre un piatto perfetto al 100%, e anche se tu potessi l'ambiente operativo non è nemmeno perfetto al 100%. Alla scala della fisica su cui operano i moderni dischi rigidi, ci sono letteralmente centinaia di fattori che cospirano per creare microscopiche imperfezioni nel segnale e rappresentano un problema abbastanza significativo che fino all'1-2% dello spazio su un disco tipico è "sprecato" nella correzione degli errori per affrontarli. Il tuo disco rigido si sta letteralmente riprendendo da errori per tutto il tempo . Il normale funzionamento del disco rigido è in realtà un gioco di probabilità in cui un settore "buono" è semplicemente una probabilità n% che i dati codificati lì siano accurati.


Ora diamo un'occhiata al caso dei settori danneggiati e possiamo vedere come la stessa tecnica può essere applicata a quelli buoni.

Se un settore è contrassegnato come "non valido" (dal controller, non dal sistema operativo), ciò significa che la probabilità di TUTTI i bit di dati in un determinato settore, se considerati nel loro insieme, sono scesi al di sotto della soglia di recuperabilità matematica dagli algoritmi di correzione degli errori dell'unità. Ciò non significa che i bit siano effettivamente morti; solo che il controller non può essere sicuro che siano corretti.

Tuttavia, puoi recuperare un settore danneggiato leggendolo centinaia o forse migliaia di volte a seconda di quanto sia grave il danno. Ad ogni passaggio della testa sul settore "cattivo", il settore legge in modo leggermente diverso. L'oscillazione del piatto, la temperatura, le vibrazioni, l'inclinazione dell'orologio, ecc. Possono essere leggermente diverse. Ma se si confronta ogni passaggio con le migliaia di passaggi prima di esso abbastanza volte, è possibile recuperare (con una certezza leggermente inferiore all'assoluta certezza) i dati contenuti nel settore danneggiato prima che diventassero aspri. Questo è esattamente il modo in cui funzionano i software di recupero dati come SpinRite.

Ora applichiamo questa logica a un settore "buono". Quando si cancella l'unità con un singolo passaggio, il controller è sicuro al 100% che ogni settore contenga qualsiasi modello di bit con cui è stata riempita l'unità. Ma ci sono ancora errori in quelle letture e il controller li sta ancora correggendo. Alcuni di questi errori sono ambientali, ma ci sono buone probabilità che molti di loro siano anche resti di qualunque dato fosse presente prima che il settore venisse sovrascritto.

Ricorda che stiamo parlando della stessa tecnologia che abbiamo usato sui nastri audio per decenni qui. Non tutti quei dipoli magnetici sono stati lanciati in quel singolo passaggio, quindi c'è ancora un segnale "fantasma" nel rumore.

Per citare Adam Savage (dei Mythbusters): "Rifiuto la tua realtà e sostituisco la mia." Se si toglie il controller dell'unità (con la sua certezza matematica del modello di dati cancellati) dall'equazione e si osserva semplicemente l'onda sinusoidale che fuoriesce dall'elettronica dell'unità, in teoria potrebbe essere possibile ricostruire i dati presenti sull'unità prima che fosse cancellato, proprio come facevamo con i nastri audio che erano stati "cancellati".

O forse no. Non ha aiutato con i 18 minuti mancanti dei nastri Nixon Watergate ... O lo ha fatto? ;-)


Ora, è pratico? Esiste davvero un dispositivo del genere in grado di farlo? Può essere. Forse no. Se lo facesse, sarebbe sicuramente un segreto di stato. Ma dal momento che è teoricamente possibile, devi teoricamente proteggerti. Ciò significa fare più passaggi con più schemi di bit per rimescolare il segnale fantasma il più possibile.

Se sei un governo che cerca di cancellare i dati riservati, è importante considerare. Se è la tua scorta segreta probabilmente non lo è (a meno che tua moglie non lavori per l'NSA).


3
Troppo pensiero e sforzo per non votare questo.
Damon,

A proposito, se avessi segreti di stato su un disco rigido, non mi fiderei di alcuna quantità di sovrascritture su di esso. Vorrei risorse per una smerigliatrice angolare o una fiamma ossidrica.
Marc.2377,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.