In che misura la formattazione di un disco (in modo sicuro) rimuove i suoi dati?

23

Se l'obiettivo è rendere i dati non più recuperabili, quanto è sicuro formattare il disco? Ho assunto che la formattazione del disco sovrascriva lo spazio libero (rendendo quindi sicura la scommessa che nessuno sarà in grado di recuperare i dati) ma secondo Webopedia questo non è il caso. Quanto è più sicuro cancellare i file con un'utilità di cancellazione (utilizzando qualcosa come il metodo di Schneier ) rispetto alla formattazione dell'unità? In che modo la formattazione dell'unità non cancella tutti i dati: la formattazione comporta la ricreazione del file system, quindi questo sembra implicare che i dati non siano recuperabili.

UPDATE: generalmente non scelgo l'opzione "quick format".

    
posta Celeritas 27.04.2016 - 12:24
fonte

3 risposte

45

La formattazione rapida di un disco fisso cancella semplicemente le strutture e le tabelle del file system e ne scrive quelle nuove, dando l'illusione di un disco nuovo di zecca. I vecchi dati vengono semplicemente sovrascritti come e quando necessario, ma rimangono comunque sul disco. Le utilità di intaglio dei file possono passare attraverso i dati del disco e recuperare frammenti di file, quindi ricucirli insieme senza bisogno delle voci del filesystem originale. Questo è comunemente offerto in applicazioni commerciali "non recuperate", ma i metodi più completi sono disponibili nei pacchetti forensi.

Pulire un disco con un singolo passaggio di dati casuali (o zeri, o qualsiasi cosa sia realmente) è sufficiente per rimuovere completamente tutte le tracce dei dati dai settori sovrascritti. Più passaggi sono inutili sui dischi moderni, anche contro la minaccia percepita di attacchi di ripristino a livello di hardware. Ti rimando a questa domanda per i dettagli, ma la risposta breve è che le vecchie tecniche come la microscopia a forza magnetica (MFM) non sono mai state realmente efficaci nel recuperare i dati sovrascritti in primo luogo sui dispositivi a bassa densità e nei nuovi dischi magnetici hanno densità così elevate che è fisicamente impossibile. Le sovrascritture multi-pass sono lì per aiutare le persone a convalidare il loro bisogno di sicurezza, o vendere software di pulizia del disco magico, nonostante sia inutile e dannoso per la longevità del disco.

L'unica eccezione è rappresentata dal flash (ad esempio unità flash USB e SSD), che presentano settori aggiuntivi di livellamento dell'usura per aumentare la durata del dispositivo. I settori fisici sono esposti come una mappa logica al sistema, il che rende impossibile sovrascrivere direttamente tutti i dati. Anche se si sovrascrivono tutti i settori logici, i dati precedenti potrebbero rimanere nei settori di livellamento dell'usura. Per combattere questo problema, alcune specifiche del dispositivo flash includono un requisito di crittografia per aumentare la difficoltà di ripristino (poiché non è più possibile leggere direttamente i dati dai chip di memoria utilizzando sonde hardware).

Negli SSD, è possibile utilizzare la crittografia per accelerare la funzionalità di cancellazione sicura ATA. Tutti i settori del disco sono crittografati utilizzando una chiave memorizzata nell'hardware e questa chiave può essere scartata e una nuova generata quando viene inviato un comando Cancellazione sicura al dispositivo, rendendo così tutti i dati sul disco (incluso il lasco / livellamento dell'usura) aree) illeggibile. Secure Erase è anche possibile senza crittografia, ma in questo caso l'unità deve effettivamente eliminare tutte le celle di memoria, il che potrebbe richiedere del tempo.

    
risposta data 27.04.2016 - 13:13
fonte
4

Una parte della tua domanda sembra non avere una buona risposta, quindi voglio aggiungere a questo:

Formattando un'unità, di solito si sceglie di eseguire un "formato veloce". Questo non sovrascrive i dati, ma cancella solo le informazioni in cui è archiviato ogni file. Pertanto, è facile come avviare un programma per recuperare un disco rigido che è stato appena "formattato rapidamente".

Forse questo paragone ti aiuta a capirlo meglio: il tuo disco fisso è come un libro - e le partizioni e il / i file system sono il sommario. Un formato veloce cancella solo il ToC. Questo è più veloce di cancellare ogni singola pagina, ma le informazioni nel libro rimangono recuperabili.

Almeno per i dischi rigidi classici, la sovrascrittura di ogni singolo settore dovrebbe fornire una sicurezza sufficiente per la maggior parte dei casi.

    
risposta data 27.04.2016 - 13:50
fonte
1

Se "disco" significa "disco a stato solido", sei un po 'fortunato. È possibile rendere immediatamente (quasi) impossibile il recupero dei dati utilizzando lo strumento di cancellazione sicura del produttore. Questo processo è molto veloce e sicuro grazie al modo in cui funzionano queste unità: crittografano tutti i dati scritti sull'unità, senza eccezioni. Facendo una "cancellazione di sicurezza", semplicemente getta la chiave in mare, e i dati, quando sono ancora presenti, non sono recuperabili senza la chiave.

Altrimenti (cioè "disco" significa "disco rigido"), l'unico metodo sicuro per rendere irrecuperabili i dati è smontare il dispositivo e distruggere fisicamente i piatti.

Il motivo è duplice. In primo luogo, i dati sovrascritti possono ancora essere letti. La densità dei dati è aumentata considerevolmente durante l'ultimo decennio, e alcune persone sostengono che ciò che è stato sovrascritto una volta è fondamentalmente irrecuperabile, ma se è davvero, davvero importante, non scommetterei la mia mano destra su quello. Non ho provato a recuperare i dati cancellati negli ultimi 15 anni, ma era che il recupero di 5-6 volte i dati sovrascritti era un po 'noioso, ma per il resto assolutamente nessun problema. Forse è diverso ora, forse hai solo bisogno di sovrascrivere due volte, o forse una volta. Ma c'è un problema più grande in anticipo.

Il secondo problema, molto più importante, è che non sai se e quando sovrascrivi qualcosa. Questo è un problema molto serio.

Le moderne unità fanno livellamento dell'usura trasparente e riallocazione del settore e forse persino la memorizzazione nella cache su MCL (unità ibride). Non hai alcuna conoscenza, né controllo, cosa viene scritto quando e dove, o cosa viene sovrascritto.

Quindi, anche una "cancellazione sicura" che sovrascrive lo stesso file dieci volte con pattern diversi potrebbe effettivamente sovrascrivere dieci diversi settori sul disco, nessuno dei quali appartiene al file originale (e si potrebbe ancora avere una vecchia copia di i dati memorizzati in un blocco ritirato, ora inaccessibile).

L'unico modo per sapere con certezza è smontare il drive, mettere un magnete neodym sui piatti per alcuni minuti e dare alla tavola e ai piatti un piccolo trattamento con il martello in seguito.

    
risposta data 27.04.2016 - 13:10
fonte

Leggi altre domande sui tag