Скільки пропусків вам потрібно стерти / подрібнити, щоб вони не змінювалися?

20

Якщо у вас є приватні дані на нещодавньому звичайному жорсткому диску - скільки пропусків потрібно, щоб видалити дані, щоб зробити їх неможливими?

Не в тому сенсі, що судово-медична група з 20 експертів з бюджетом 100 мільйонів євро або доларів і 10 років часу, щоб відновити пару байтів з відомої адреси з 80% точністю, але мало людей з кількома 1000 євро / $ бюджет, який не витратив би більше двох тижнів на роботу і хто не знає, де на диску, який вони шукають.

Linux / GNU shredв посібнику говорить:

   -n, --iterations=N
          overwrite N times instead of the default (3)

але, з одного боку, я чув про пропозицію НДА перезаписати 27 разів, а з іншого боку, професіональні фірми з відновлення даних не змогли відновити дані з накопиченого диска, який лише один раз протерли.

Докази, папери, докази?

Примітка. Що це не за запитання:

  • Йдеться не про погані сектори, де дані можуть проскочити
  • Йдеться не про старі MFM / RLL-накопичувачі з початку 90-х
  • Мова не про різні інструменти
  • Справа не стільки в методі (випадкові числа 0s, 0xFF і химерні візерунки).
  • Йдеться не про різні прийоми безпечного протирання (магнітна потужність, плавлення, наповнення піском та обертання).
  • Мова не йде про особливі проблеми флеш-накопичувачів
hard-drive  data-recovery  secure-erase 
користувач невідомий
джерело
5
Ніхто ніколи не довів, щоб відновити корисні дані після 1 перезапису на сучасний жорсткий диск .... nber.org/sys-admin/overwritten-data-gutmann.html
Моав

Відповіді:

48

Раз.

Сучасні магнітні носії є досить ефективними і залишають після себе дуже мало свідчень про колишні бітові позиції. Що залишається позаду, потрібні електронні мікроскопи та / або високотехнологічні магнітометричні сканери (або як їх ще називають). Усі подібні пристрої страшенно дорогі, і навіть з найкращим обладнанням та найкваліфікованішими фахівцями, це займає монументальну кількість часу (думайте, роки на одній платі; всі жорсткі диски мають кілька плат) і має дуже високий показник відмов.

Якщо ви маєте справу з урядовими таємницями (як це є АНБ), то пишіть один раз, мабуть, недостатньо добре, тому що в Китаї немає проблем з отриманням та використанням цих пристроїв, а також з використанням команд з сотні спеціалізованих експертів для їх використання.

Якщо, з іншого боку, ви просто маєте справу з особистими паролями банківської справи та вашим секретним сховищем pr0n, одного пропуску достатньо, щоб зробити дані повністю неможливими для неможливості будь-якого практичного використання.

Однак, сучасні диски досить швидкі, і якщо ви не витираєте всю сукупність жорсткого диска, кілька проходів займають так мало часу, що насправді немає причин не робити цього. Таким чином, хоча помилковість, яку вам доведеться перезаписати кілька разів складними шаблонами пропусків, є досить поширеною, що всі програмні засоби "безпечного видалення" за замовчуванням на кілька проходів, насправді дуже мало сенсу переосмислити ці типові настройки. Коли я використав shred(кількість пропусків за замовчуванням: 3), я дозволяю йому робити 3 пропуски; коли я використовую Eraser у Windows (кількість пропусків у файлі за замовчуванням: 35), я дозволяю йому робити свої 35 пропусків. (Під час видалення вільного місця на жорсткому диску гумою за замовчуванням є лише один прохід; це теж дозволяю запускати за замовчуванням.)

Тож відповідь на ваше запитання (скільки пропусків потрібно?): "Один". Відповідь на ваше мається на увазі запитання (чи слід переосмислити 3 пропуски за замовчуванням?): "Ні."

З іншого боку, якщо ви секретний урядовий агент, ну, один пройти на самому ділі не досить , тому що ви робите у Китаю після ваших даних. Якщо це так, ви повинні запитати свого начальника / обробника, які правила вашого агентства стосуються безпечного видалення конфіденційних даних, а не SU. ;-)

Caveat: На основі флеш-носіїв використовується система під назвою "вирівнювання зносу" для продовження терміну служби пристрою. Не вникаючи в подробиці того, що означає цей термін, або причини, що його обумовлюють, це означає, що ви дійсно не можете надійно видалити файли на носіях, що базуються на флеш-пам'яті, якщо ви безпечно не стерте весь носій, і навіть це не завжди може гарантувати, що алгоритми вирівнювання зносу не залишили після себе неочищені дані, які ви не змогли записати. Що стосується флеш-медіа, найкраще зробити зашифрування будь-яких конфіденційних даних, що надходять на нього, за допомогою надійного пароля.

Документація TrueCrypt включає чудове обговорення цієї проблеми та шляхи її вирішення.

Кромей
джерело
Багато, багато плюсів для приголомшливої ​​відповіді. Шкода, що я можу дати лише одного. :(
CajunLuke
4
що повністю прибило його. Я також додам, старий гутман-прохідник з 35 пропусканням припускав, що ви не знаєте, який тип диска використовували, і як такий запустив шаблони, характерні для MFM та інших застарілих конструкцій
Journeyman Geek
Одне застереження щодо дисків полягає в тому, що теоретично деякі дані можна відновити, змістивши голову, щоб забрати дані, записані, коли привід був теплішим або прохолодніше, а значить, головка розташована дещо інакше. Але я ніколи не чув, щоб ця методика фактично була використана (принаймні поза межами АНБ).
Даніель Р Хікс
1
@Kromey - Сучасні диски використовують зворотний зв'язок сервоприводу для позиціонування голови, що є технологією компенсації температури. Старі приводи свого часу використовували крокові двигуни. За допомогою одного з них ви можете залишити комп'ютер без харчування на ніч у неопалюваному гаражі, і він повністю не зможе знайти трек 0. Запустіть комп'ютер і дайте йому працювати півгодини, скиньте його, і він завантажиться, оскільки блюдо виріс достатньо, щоб поставити доріжка назад під головою для читання / запису. Тому ми залишили сервер на ніч у нашому магазині.
Лабораторії Фіаско
1
Мені подобається, як цей хлопець висвітлював сценарій "Якщо ти секретний агент".
Dushyant Bangal
16

Це давнє питання, але я змушений був кинути свої два центи, враховуючи, що у мене є криміналістичний досвід відновлення даних.

Питання, яке задається, є суто академічним, тому ця відповідь також є суто академічною. Практично кажучи, прийнята відповідь правильна; одного проходу достатньо, щоб зробити дані на накопичувачі неможливими. Однак є причина, що уряди призначають кілька пропусків.

Люди думають про жорсткий диск як про цифровий пристрій; що магнітні шматочки розташовані в тісному малюнку і «перекидаються» на приводні головки або вимикаються. Але насправді жорсткий диск є аналоговим пристроєм, що стосується фізики магнітних носіїв. Поверхня пластин покрита підкладкою, повною магнітних диполей, менших за цифровий "біт", який вони кодують. Достатня кількість цих диполів в одній орієнтації проти іншого становить чистий електричний опір на рівні окремого біта. Це поріг опору, який визначає, чи інтерпретується біт як 1 або 0, а не цифровий "on" або "off" полярність.

Що стосується електроніки накопичувача, то електричний сигнал, що надходить від головок, є модульованою синусоїдою, а не бітовим потоком 1 і 0. Це саме те, як магнітні стрічки записували аудіосигнали десятиліття тому - лише тепер підкладка набагато щільніша, і ми використовуємо математику для витягу цифрового сигналу з аналогового «шуму».

Зараз фізично неможливо виготовити 100% ідеальну тарілку, і навіть якщо ви могли, операційне середовище також ніколи не є 100% ідеальним. У масштабах фізики, на яких працюють сучасні жорсткі диски, існує буквально сотні факторів, які створюють мікроскопічні недосконалості в сигналі, і вони створюють проблему, досить значну, що до типового накопичувача досягає 1-2% місця "даремно" на виправлення помилок, щоб вирішити їх. Ваш жорсткий диск буквально оговтується від помилок весь час . Нормальна робота на жорсткому диску - це насправді імовірнісна гра, в якій "хороший" сектор - це лише n% -й вірогідність того, що введені там дані є точними.

Тепер давайте розглянемо випадок поганих секторів, і ви можете побачити, як та сама техніка може бути застосована до хороших.

Якщо сектор позначений як "поганий" (контролером, а не ОС), це означає, що ймовірність ВСІХ бітів даних у певному секторі, якщо взяти їх у цілому, опустилася нижче межі математичної відновлюваності алгоритмами виправлення помилок накопичувача. Це не означає, що шматочки насправді мертві; тільки що контролер не може бути впевнений, що вони правильні.

Однак ви можете відновити поганий сектор, прочитавши його сотні, а може й тисячі разів, залежно від того, наскільки шкода. З кожним проходом голови над «поганим» сектором сектор читається дещо по-іншому. Коливання блюд, температура, вібрації, перекос годинника тощо можуть бути дещо різними. Але якщо порівняти кожен пропуск з тисячами пропусків перед ним достатньо разів, ви можете відновити (з дещо меншою, ніж абсолютною впевненістю), які дані містив поганий сектор, перш ніж він на вас погіршився. Саме так працює програмне забезпечення для відновлення даних типу SpinRite.

Тепер застосуємо цю логіку до "хорошого" сектору. Коли ви витирали накопичувач одним проходом, контролер на 100% впевнений, що кожен сектор містить будь-яку бітну схему, якою ви заповнили диск. Але в цих показаннях все ще є помилки, і контролер все ще їх виправляє. Деякі з цих помилок є екологічними, але є велика ймовірність того, що багато з них є також залишками будь-яких даних, які існували до того, як сектор був перезаписаний.

Пам'ятайте, що ми говоримо про ту саму технологію, яку ми використовували на аудіокасетах десятиліттями тут. Не всі ті магнітні диполі перевернулися в одному проході, тому в шумі все ще є сигнал "привид".

Цитуючи Адама Савиджа (з Мітбустерів): "Я відкидаю вашу реальність і підставляю свою". Якщо взяти контролер накопичувача (з його математичної упевненістю в стертом шаблоні даних) з рівняння і просто подивитися на синусоїдах відриваючись електронікою накопичувача, це може бути можливо в теорії , щоб відновити дані , які були присутні на диску перед тим, як його витерти - так, як ми звикли до аудіокасет, які були "стерті".

А може, ні. Це не допомогло зниклих 18 хвилин стрічок Nixon Watergate ... Або це було? ;-)

Тепер це практично? Чи існує такий пристрій, здатний це зробити? Можливо. Можливо ні. Якби це було, це, безумовно, було б державною таємницею. Але оскільки це теоретично можливо, ви повинні теоретично оберігатися від цього. Це означає, що робити кілька проходів з декількома бітовими шаблонами, щоб максимально зашифрувати цей привидний сигнал.

Якщо ви уряд, який намагається стерти секретні дані, це важливо врахувати. Якщо це ваша таємна скринька pr0n, ймовірно, це не так (якщо ваша дружина не працює в АНБ).

Уес Сайед
джерело
3
Занадто багато думок і зусиль, щоб цього не підтримати.
Деймон
До речі, якби я мав державні секрети на жорсткому диску, я б не довіряв жодній кількості перезаписів на ньому. Я б погодився або на кутову шліфувальну машину, або на ударну машину.
Марк.2377
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.