Un sacco di diversi programmi, come Darik's Boot e Nuke , ti permettono di scrivere su un disco rigido più volte con il pretesto di esso essere più sicuro di farlo solo una volta. Perché?
Un sacco di diversi programmi, come Darik's Boot e Nuke , ti permettono di scrivere su un disco rigido più volte con il pretesto di esso essere più sicuro di farlo solo una volta. Perché?
Riepilogo: era leggermente migliore nelle unità meno recenti, ma non importa ora. Passate multiple cancellano un albero con eccessivo potere ma perdono il resto della foresta. Usa la crittografia.
L'origine sta nel lavoro di Peter Gutmann, che ha mostrato che c'è un po 'di memoria in un bit del disco: uno zero che è stato sovrascritto con uno zero può essere distinto da uno che è stato sovrascritto con uno zero, con una probabilità superiore a 1/2. Tuttavia, il lavoro di Gutmann è stato in qualche modo sovrascritto e non si estende ai dischi moderni. "La leggenda urbana della sovrascrittura del disco rigido multipass e del DoD 5220-22- M "di Brian Smithson ha una buona panoramica dell'argomento.
L'articolo che lo ha avviato è "Eliminazione sicura dei dati dalla memoria magnetica e allo stato solido "Di Peter Gutmann , presentato a USENIX nel 1996. Ha misurato la rimanenza dei dati dopo ripetuti salviettine e ha visto che dopo 31 passaggi, non era in grado (con costose apparecchiature) di distinguere un messaggio sovrascritto da un multiplo sovrascritto zero. Quindi ha proposto una salvietta a 35 passaggi come misura di overkill.
Si noti che questo attacco presuppone un utente malintenzionato con accesso fisico al disco e attrezzature piuttosto costose. È piuttosto irrealistico pensare che un aggressore con tali mezzi sceglierà questo metodo di attacco piuttosto che, per esempio, crittografia di pipe lead .
Le scoperte di Gutmann non si estendono alle moderne tecnologie del disco, che impacchettano i dati sempre di più. "Sovrascrivere i dati del disco rigido: la grande poltiglia di spazzamento" di Craig Wright, Dave Kleiman e Shyaam Sundhar è un recente articolo su l'argomento; non erano in grado di replicare il recupero di Gutmann con le unità recenti. Notano anche che la probabilità di recuperare bit successivi non ha una strong correlazione, il che significa che è molto improbabile che un utente malintenzionato recuperi, ad esempio, una chiave segreta completa o addirittura un byte. La sovrascrittura con gli zeri è leggermente meno distruttiva della sovrascrittura con i dati casuali, ma anche un singolo passaggio con gli zeri rende molto bassa la probabilità di un recupero utile. Gutmann in qualche modo contesta l'articolo ; tuttavia, è d'accordo con la conclusione che le sue tecniche di recupero non sono applicabili ai dischi moderni:
Any modern drive will most likely be a hopeless task, what with ultra-high densities and use of perpendicular recording I don't see how MFM would even get a usable image, and then the use of EPRML will mean that even if you could magically transfer some sort of image into a file, the ability to decode that to recover the original data would be quite challenging.
Gutmann ha successivamente studiato tecnologie flash , che mostrano più rimanenza.
Se sei preoccupato per un attaccante con possesso fisico del disco e apparecchiature costose, la qualità della sovrascrittura non è ciò di cui dovresti preoccuparti. I dischi riallocano i settori: se un settore viene rilevato come difettoso, il disco non lo renderà più accessibile al software, ma i dati memorizzati potrebbero essere recuperati dall'attaccante. Questo fenomeno è peggiore su SSD a causa del loro livello di usura.
Alcuni supporti di memorizzazione dispongono di un comando di cancellazione sicura (cancellazione sicura ATA). CMRR UCSD fornisce un'utilità DOS per eseguire questo comando ; sotto Linux puoi usare hdparm --security-erase
. Si noti che questo comando potrebbe non aver superato test approfonditi e non sarà possibile eseguirlo se il disco è morto a causa dell'elettronica fritta, un motore in avaria o teste schiantate (a meno che non si ripari il danno, che costerebbe più di un nuovo disco).
Se sei preoccupato che un utente malintenzionato prenda possesso del disco, non mettere alcun dato confidenziale su di esso. O se lo fai, crittografalo. La crittografia è economica e affidabile (oltre che affidabile quanto la scelta della password e l'integrità del sistema).
C'è un riferimento ben noto articolo di Peter Gutmann sull'argomento . Tuttavia, quell'articolo è un po 'vecchio (15 anni) e i dischi rigidi più recenti potrebbero non funzionare come descritto.
Alcuni dati potrebbero non essere completamente cancellati da una singola scrittura a causa di due fenomeni:
Vogliamo scrivere un bit (0 o 1) ma il segnale fisico è analogico. I dati vengono memorizzati manipolando l'orientamento di gruppi di atomi all'interno del mezzo ferromagnetico; quando viene riletto, la testa produce un segnale analogico, che viene quindi decodificato con una soglia: ad esempio, se il segnale supera il 3,2 (unità fittizia), è un 1, altrimenti è uno 0. Ma il mezzo potrebbe avere qualche rimanenza: possibilmente, scrivere un 1 su quello che prima era uno 0 produce 4,5, mentre scrivendo un 1 su quello che era già un 1 pompa il segnale a 4.8. Aprendo il disco e utilizzando un sensore più preciso, è concepibile che la differenza possa essere misurata con sufficiente affidabilità per recuperare i vecchi dati.
I dati sono organizzati per traccia sul disco. Quando si scrive su dati esistenti, la testina viene approssimativamente posizionata sulla traccia precedente, ma quasi mai esattamente su quella traccia. Ogni operazione di scrittura potrebbe avere un po 'di "jitter laterale". Quindi, parte dei dati precedenti potrebbe essere ancora leggibile "sul lato".
Le scritture multiple con vari pattern mirano a controbilanciare questi due effetti.
I moderni hard disk raggiungono una densità di dati molto elevata. È logico che maggiore densità di dati sia, più difficile diventa recuperare tracce di vecchi dati sovrascritti. È plausibile che il recupero dei dati sovrascritti non è più possibile con la tecnologia odierna. Almeno, nessuno attualmente sta pubblicizzando in modo positivo un tale servizio (ma questo non significa che non possa essere fatto ...).
Si noti che quando un disco rileva un settore danneggiato (errore di checksum alla lettura), la successiva operazione di scrittura su quel settore verrà rimappata silenziosamente in un settore di riserva. Ciò significa che il settore danneggiato (che ha almeno un bit sbagliato, ma non necessariamente più di uno) rimarrà intatto per sempre dopo quell'evento, e nessuna quantità di riscrittura può cambiarlo (la stessa scheda elettronica del disco rifiuterà di utilizzare quel settore mai più). Se vuoi essere sicuro di cancellare i dati, è molto meglio non lasciare mai che raggiunga il disco in primo luogo: usa la crittografia a disco intero.
Le risposte fornite finora sono informative ma incomplete. I dati sono memorizzati su un disco rigido (magnetico) utilizzando codifica Manchester , in modo che non sia se il dominio magnetico punta verso l'alto o verso il basso che codifica uno o zero, sono le transizioni tra su e giù che codificano i bit.
La codifica di Manchester di solito inizia con un po 'di dati privi di senso adatti per definire il "ritmo" del segnale. È possibile immaginare che se il tuo tentativo di sovrascrivere i dati con tutti gli zero una volta non fosse esattamente in fase con i tempi in cui sono stati memorizzati i dati originali, sarebbe comunque estremamente facile rilevare il ritmo e i bordi originali, e ricostruire tutti i dati.
Una bella domanda con una risposta in due parti:
Quando parli di "disco medio" , c'è una prima ragione per sovrascrivere più volte.
In breve: le HD sono come i dischi magnetici. C'è la possibilità di rimanere "shadow byte" che potrebbero essere recuperati. Questo è il motivo per cui NSA e co hanno utilizzato più di una sovrascrittura per anni. Questi "shadow byte" non sono altro che residui "fantasma" di dati precedentemente cancellati e sovrascritti. Le aziende di recupero HD utilizzano effettivamente quelle per recuperare i dati critici quando sono persi.
Un altro modo sarebbe usare magnetici potenti per uccidere il tuo HD, ma in questo modo - è probabile che tu non usi una forza magnetica abbastanza strong, altrimenti distruggeresti più HD che non vorresti . Quindi non è davvero un'opzione.
Probabilmente vorrai anche controllare alcuni degli standard di cancellazione dei dati per informazioni più dettagliate link e noti che gli standard si limitano a sovrascrivere 1 volta, rendi sempre obbligatoria la verifica della cancellazione dei dati .
Su "alcuni sistemi operativi" (si noti che non sto avviando una discussione politica sul sistema operativo migliore o peggiore qui), questa cancellazione non è solida come dovrebbe essere. .. il che significa che la loro "cancellazione delle verifiche" è in realtà non abbastanza sicura da preoccuparsi che persino iniziare a pensare a potenziali residui di byte ombra che potrebbero essere recuperati.
Aggiorna
Dato che questo argomento è molto discusso, molte persone dicono "pro" e "contro" mentre citano il documento "Eliminazione sicura dei dati dalla memoria magnetica e allo stato solido", pubblicato da Peter Gutmann nel 1996 (< a href="http://www.usenix.org/publications/library/proceedings/sec96/full_papers/gutmann/index.html"> link ), si osservi quanto segue:
...Security researchers from Heise Security, who have reviewed the paper presented at last year's edition of the International Conference on Information Systems Security (ICISS), explain that a single byte of data can be recovered with a 56 percent probability, but only if the head is positioned precisely eight times, which in itself has a probability of occurring of only 0.97%. “Recovering anything beyond a single byte is even less likely,” the researchers conclude...
(fonte: link )
D'altra parte, esistono cancellazioni di dati militari e governative che definiscono come sovrascritture più sovrascritture. (Mi asterrò dal giudicare ciò, ma dovresti pensare al "perché" di questo fatto).
Alla fine, si tratta di "quali dati" si desidera "proteggere" cancellandolo e quanto è importante che i dati cancellati siano irrecuperabili in ogni caso potenziale. Mettiamola così: se vuoi eliminare il tuo caseificio personale, probabilmente non hai bisogno di sovrascrivere ogni singolo settore libero ... ma se stai lavorando a piani per una centrale nucleare o qualche "progetto segreto" per il tuo governo, non vorrai lasciare un singolo byte così com'è.
Quando le persone mi chiedono di persona, rispondo sempre: "meglio prevenire che curare. Ci sono standard solidi che definiscono come sovrannaturali i sovrascritture multiple dei settori liberati. ) mostrano che il recupero dei dati cancellati è possibile usando diversi mezzi: anche quando la possibilità è piccola, non correrei il rischio e penso che sarebbe poco professionale consigliare a chiunque di non pensare a quel rischio ".
Immagino che lo avvolga meglio.
WRAPPING IT UP
Quindi, per rispondere correttamente alla tua domanda:
Lots of different programs, such as Darik's Boot and Nuke, let you write over a hard drive multiple times under the guise of it being more secure than just doing it once. Why?
Lo fanno, sulla base del documento di Gutmann e degli standard esistenti utilizzati dalle istituzioni governative.
Leggi altre domande sui tag storage deletion data-leakage