I dati su un SSD di MacBook Pro possono essere ripristinati dopo la formattazione usando Utility Disco

7

Il mio MacBook Pro sta per un nuovo proprietario e voglio essere certo che i dati siano stati cancellati in modo adeguato sull'SSD interno (flash PCIe). Esistono due domande / risposte Stack Exchange che sembrano presentare fatti contrastanti sull'utilizzo o meno dell'utilità Disco per cancellare una partizione che renderà sufficientemente sufficientemente difficile da impedire il recupero dei dati:

Suggerisce che un semplice "Cancella" in Utility Disco farà il lavoro:

Come ottenere la funzione "cancella in modo sicuro" di Utility Disco su El Capitan & Sierra

Suggerisce che un SSD che è stato cancellato possa essere ragionevolmente recuperato:

link

Quindi, in base a queste informazioni conflittuali, come posso essere ragionevolmente sicuro che i dati sull'SSD cancellato siano scomparsi e non siano ripristinabili? È vero che quando si formatta un'unità su un MacBook Pro (fine 2016) che la funzione TRIM cancellerà tutti i residui dei file o se sono ancora presenti nell'unità, pronti per consentire a qualcuno con un programma di ripristino di accedervi?

Sono tentato di provare diskutil secureErase , ma non voglio cancellare accedentiallly il disco / partizione errato né mettere inutilmente logoramento sull'SSD.

    
posta Swisher Sweet 22.01.2017 - 16:04
fonte

2 risposte

5

Poiché ero l'autore della risposta collegata, darò una spiegazione a cosa sta succedendo ....

Innanzitutto, è importante notare che lo studio FAST fa riferimento alla comunità di sicurezza delle informazioni SE, Cancellare in modo affidabile i dati da unità a stato solido basate su Flash è dal 2011 e ora ha 6 anni 1 .

La conferenza in cui è stato presentato questo documento risale al febbraio 2011. Ricorda che la specifica SATA 3.1 che ha affrontato i problemi TRIM non è stato rilasciato fino a luglio del 2011

All'interno della specifica TRIM, inclusa in SATA 3.1,

A drawback of the original ATA TRIM command is that it was defined as a non-queueable command and therefore could not easily be mixed with a normal workload of queued read and write operations. SATA 3.1 introduced a queued TRIM command to remedy this.[62]

There are different types of TRIM defined by SATA Words 69 and 169 returned from an ATA IDENTIFY DEVICE command:

  • Non-deterministic TRIM: Each read command to the Logical block address (LBA) after a TRIM may return different data.
  • Deterministic TRIM (DRAT): All read commands to the LBA after a TRIM shall return the same data, or become determinate.
  • Deterministic Read Zero after TRIM (RZAT): All read commands to the LBA after a TRIM shall return zero.

Ciò a cui tutto questo dipende è il tipo di comando TRIM che il tuo hardware è in grado di eseguire. Dalla ricerca che ho fatto fino ad ora, i moderni SSD usano DRAT o RZAT a seconda della "qualità" del disco (una qualità superiore generalmente significa che RZAT è implementato).

Nelle unità che implementano DRAT, lo spazio cancellato è contrassegnato come "inutilizzato", i dati "possono" essere recuperati, in un punto. Con le unità che usano RZAT, una volta eseguito il comando TRIM, l'unità restituirà "zeri" indipendentemente da qualsiasi dato si trovi in quello spazio. 2

Il MBP 2016 utilizza la memoria SanDisk SDRQKBDC4 064G 64 GB 3 NAND, che è specificamente OEM per Apple. Sfortunatamente, non ho trovato specifiche dettagliate sul supporto TRIM per queste particolari unità (il white paper loro il riferimento è 404). Anche se non riesco a mettere le mani su specifiche tecniche dettagliate di questa unità, scommetto che usa il comando RZAT TRIM e non DRAT.

Per farla breve, se l'SSD ha solo la capacità di DRAT, c'è la possibilità di recuperare i dati, ma di solito è in una situazione in cui è possibile interrompere il processo di cancellazione e avviare immediatamente il recupero dei dati. Se implementa RZAT, puoi essere abbastanza sicuro che il ripristino restituirà solo zeri a meno che non lo portino (insieme a un ordine del tribunale) al produttore per ottenere un recupero a basso livello. 2

TL; DR

Con i nuovi e moderni Mac e macOS, se si pulisce l'unità e si reinstalla macOS su di esso è altamente improbabile che qualcuno possa recuperare i propri file.

Se si è preoccupati che l'utente porti il disco in un laboratorio forense per recuperare i dati, (si tratta di un problema completamente diverso), è necessario sostituire l'unità. Nulla di meno e starai bene.

1 Conferenza USENIX su file e tecnologie di archiviazione, 2011.

2 Recupero di prove dalle unità SSD nel 2014: informazioni su TRIM, Garbage Collection ed esclusioni . 23 settembre 2014

3 MacBook Pro 13 "Touch Bar Teardown Ifixit.com, ~ dicembre 2016.

    
risposta data 23.01.2017 - 02:07
fonte
3

Quest'ultima risposta cita ha tutte le informazioni. È complicato cancellare un SSD. Quindi dipende dalle tue esigenze di sicurezza.

Come dice il primo articolo, l'eliminazione dei file durante l'utilizzo di TRIM fa un buon lavoro nel distruggere i dati, ma c'è una possibilità che alcuni dati possano essere recuperati.

Per maggiore sicurezza, puoi crittografare il tuo disco con Filevault o cancellarlo. Il risultato dovrebbe essere praticamente lo stesso (usura e sicurezza). Ma come dice quest'ultima risposta non è garantito al 100% che alcuni bit siano recuperabili.

Soprattutto nel secondo caso sarebbe piuttosto difficile per un utente malintenzionato ricostruire i dati e alcuni strumenti commerciali non eliminati probabilmente non sarebbero sufficienti per farlo.

    
risposta data 23.01.2017 - 01:10
fonte

Leggi altre domande sui tag