Come "criptato" sono i dati su un disco RAID5?

Nell'interesse di testare questo, ho fatto riferimento a una copia di Foremost su un disco che precedentemente faceva parte di un RAID-6 array (reso disponibile grazie a Seagate). L'array aveva una dimensione del blocco di 512 KB, quindi ogni file di 512 KB o meno è teoricamente presente intatto. I dati sull'array derivano da circa 25 anni di utilizzo del computer, comprese le immagini del disco di tutti i computer che ho posseduto.

La quantità di dati che ho recuperato è stata, francamente, spaventosa. Documenti di Word contenenti compiti di scuola superiore. File di dati di giochi che ho disinstallato decenni fa. File DLL da cento diverse versioni di WINE. Immagini allegate ai messaggi Usenet non letti. Diecimila pagine Web memorizzate nella cache. L'aggiunta di una regola di estrazione personalizzata ha rilevato tre chiavi private SSL e una chiave SSH.

Un'altra cosa da notare è che non è sempre necessario estrarre l'intero file per ottenere informazioni compromettenti. Ad esempio, i primi 512k di un PDF possono darti il sommario, i primi 512k di un BMP possono darti una didascalia (BMP memorizza i dati dell'immagine sottosopra), ei primi 512k di un JPEG possono darti un miniatura. I file MPEG e MP3 sono progettati per essere riproducibili, quindi anche un chunk nel mezzo di uno può dare a qualcuno dati utili.

Quanto criptato sono i dati su un disco RAID 5? Non abbastanza criptato.

Raid 5 traccia i dati attraverso i dischi ma i blocchi utilizzati per lo striping sono in genere piuttosto grandi. Per lo meno loro saranno dei settori bizzarri, ma normalmente saranno molto più grandi di così. Ad esempio, il valore predefinito di madm è di mezzo chunk. Anche un settore è abbastanza grande da consentire di trovare blocchi di testo recuperabili e con le dimensioni tipiche dei blocchi è molto probabile che interi file riconoscibili siano presenti sulle singole unità dall'array.

Sembra che le persone possano confondere le dimensioni del settore delle unità (in genere da 512B a 4KB) con le dimensioni di stripe RAID 5 (in genere da 16KB a 128 KB, a volte più grandi). La dimensione della striscia RAID è la dimensione scrivibile logica per l'array, quindi ogni parte della striscia su ciascuna unità conterrà più dati. Se un intero file si adatta alle dimensioni dello stripe, sarà probabilmente visibile come blocco contiguo sull'unità di rimozione.

Un singolo membro di un array RAID 5 sarà costituito da blocchi semplici e blocchi di parità, ad esempio 75% di parità e 25% di parità per un array di 4 membri. I blocchi semplici possono essere letti in bella vista; non c'è rimescolamento di questi blocchi e non è necessario fare riferimento ad altri membri per dare un senso a questo. Questi blocchi sono in genere da 16KB a 512 KB di dimensioni, sebbene con RAID-5 questo sia in genere di 128 KB o inferiore per ridurre al minimo l'amplificazione di scrittura. C'è molto spazio per leggere i dati sensibili che appaiono in blocchi così semplici.

Ogni blocco di parità contiene dati generati da tre blocchi semplici su altre unità, in modo tale che se una di quelle tre altre unità (in un array di quattro membri) viene persa, le informazioni possono essere recuperate applicando un algoritmo al blocco di parità e ai blocchi degli altri due dischi rimanenti. I dati in un blocco di parità non hanno senso e non possono essere recuperati da soli, a meno che non si possa indovinare il contenuto di due degli altri tre blocchi con cui si combina, il che può essere in alcuni casi semplice se due dei tre blocchi erano vuoti (zeri) o contenere dati prevedibili. Pertanto, anche se non è crittograficamente sicuro, le informazioni in un blocco di parità sono generalmente inutili senza due degli altri tre blocchi da cui è stato generato.

RAID 4 aveva un design simile a RAID 5, tranne per il fatto che tutti i blocchi di parità erano memorizzati su una sola unità, quindi se avessi solo quell'unità, non avresti dati facilmente recuperabili. RAID 5 lo ha modificato per distribuire i blocchi di parità in modo uniforme tra i membri, il che significa che qualsiasi unità da sola conterrà un sacco di blocchi semplici dai quali è possibile recuperare i dati.

Or is the fact that it was part of a RAID5 array sufficient for the data to have been scrambled beyond recognition?

La regola generale sarebbe quella di cancellare sempre i supporti magnetici prima di cederli in tali circostanze (riciclaggio, donazione, ecc.). Non fare ipotesi circa i dati sottostanti, se siano stati crittografati, se si trattasse di RAID0 o RAID 5, ecc.

Anche se la saggezza contemporanea è che qualcosa è sicuro, l'esperienza ci ha dimostrato che tali convinzioni possono essere invalidate in futuro (ad esempio, il numero di anni in cui i problemi di sicurezza Spectre / Meltdown sono stati scoperti, fino a quando i ricercatori hanno scoperto in che modo potrebbero abusare comportamento dei processori).

Nei data center in cui lavoro, prendiamo molto seriamente la sicurezza dei dati. Se l'unità faceva parte di un array che non era crittografato, sì, è ancora disponibile un numero sufficiente di dati che possono essere recuperati dall'unità. Consiglierei onestamente eseguire il lavaggio dell'unità se è ancora funzionante o se non è funzionale Raccomando smagnetizzare l'unità con una sorta di dispositivo magnetico controllato.