jak bezpiecznie usunąć dane

Jak bezpiecznie usunąć dane – fakty i mity

Jak bezpiecznie usunąć dane?

Tytułowe pytanie pojawia się najczęściej przy okazji sprzedaży laptopa lub telefonu, którego właściciel chce mieć pewność, że nowy nabywca nie będzie w stanie odtworzyć danych przechowywanych wcześniej na urządzeniu.

Pytanie to bardzo często zadają sobie również osoby odpowiedzialne za bezpieczeństwo informacji w organizacjach, które z przyczyn biznesowych lub chociażby wymaganej prawem ochrony danych osobowych muszą mieć pewność, że dane usuwane są z ich systemów w sposób skuteczny i nieodwracalny.

Mity

Do najczęściej powtarzanych błędów związanych ze skutecznym usuwaniem danych zaliczyć należy porady w stylu „sformatuj / usuń partycję” lub „potraktuj dysk młotkiem”. Na drugim biegunie znajdują się natomiast teorie mówiące o tym, że nawet kilkukrotne nadpisanie danych nie jest skuteczną metodą na ich nieodwracalne usunięcie. W politykach bezpieczeństwa i procedurach bezpiecznej utylizacji nośników znajduje się też często takie metody jak palenie dysków czy przewiercanie talerzy. Żadnego z powyższych zaleceń nie można jednak traktować jako profesjonalnego podejścia do zagadnienia.

Fakty

Aby bliżej przyjrzeć się zagadnieniu warto przytoczyć kilka podstawowych informacji dotyczących sposobu zapisu danych na nośnikach. Najistotniejsza w kontekście bezpiecznego usuwania danych wiedza ogranicza się do kilku poniższych punktów:

  • Dane podczas zapisywania na dysku trafiają do tablicy alokacji plików – swoistego „spisu treści” na podstawie którego pliki są później odnajdowane bez konieczności skanowania całej powierzchni dysku.
  • Podczas kasowania pliku (np. przez użycie przycisku „delete” lub wybranie z menu kontekstowego polecenia „usuń”) nie jest on fizycznie usuwany z nośnika, a jedynie z samej tablicy alokacji plików. Dlatego usunięcie nawet dużej ilości danych trwa o wiele krócej niż ich zapisanie.
  • Usunięcie pliku z tablicy alokacji sprawia, że nie jest on widoczny w momencie listowania zawartości katalogu, a zajmowana przez niego przestrzeń jest uznawana za niewykorzystaną i dostępną do zapisu. Fizycznie w dalszym ciągu znajduje się on jednak na dysku do momentu, w którym zostanie nadpisany przez inne dane.
  • Dokładnie w taki sam sposób działa tzw. „szybkie formatowanie” – polega ono jedynie na wyczyszczeniu tablicy alokacji plików, podczas gdy dane w dalszym ciągu pozostają na nośniku.
  • Po zwykłym usunięciu pliku lub przeprowadzeniu „szybkiego formatowania” dane są najczęściej możliwe do odzyskania przy pomocy prostego oprogramowania, które skanuje całą powierzchnię dysku i na podstawie znalezionych danych tworzy listę usuniętych wcześniej plików.
  • Powyższe działanie nie jest możliwe w stosunku do plików, które zostały już nadpisane nowymi danymi. Należy pamiętać, że nawet w sytuacji gdy nie wgrywamy nowych danych na dysk system operacyjny tworzy m.in. pliki tymczasowe i pliki wymiany, które mogą spowodować nadpisanie przestrzeni uznanej za niewykorzystywaną.

Dotąd wszystko wydaje się proste. Bazując na powyższych informacjach uznać można, że skutecznym środkiem pozbycia się danych jest nadpisanie całej zawartości dysku innymi danymi. Do tego celu powstało m.in. oprogramowanie, które zapisuje całą dostępną przestrzeń zerami, jedynkami lub wartościami losowymi. Ten sam efekt przynosi t.zw. „pełne formatowanie”, które polega na wyczyszczeniu tablicy alokacji plików i zapisaniu zerami całej powierzchni dysku. Na tym etapie naszej wiedzy odpowiedź na pytanie „jak bezpiecznie usunąć dane” brzmi: „nadpisz je lub wykonaj pełne formatowanie”.

Teorie

Sytuację, która dotąd wydawała się zrozumiałą komplikują niestety pewne teorie i doniesienia mówiące o tym, że w warunkach laboratoryjnych i przy wykorzystaniu odpowiedniego sprzętu możliwe jest stwierdzenie, jaka wartość zapisana była na powierzchni nośnika magnetycznego przed wartością aktualną. Nie wdając się zbytnio w szczegóły natury fizycznej i ujmując rzecz obrazowo chodzi o to, że możliwe miałoby być rozróżnienie jedynki, która wcześniej była zerem od jedynki, która wcześniej była jedynką poprzez badanie wartości pola magnetycznego. Jest to sytuacja analogiczna do znanego z telewizorów plazmowych „wypalania się” pikseli wyświetlających cały czas ten sam obraz (np. logo stacji TV) – po zmianie stacji na inną, logo w dalszym ciągu jest widoczne ponieważ piksele, które je tworzyły są nieco jaśniejsze, pomimo iż wyświetlają już inną barwę. W tym momencie odpowiedź na pytanie „jak bezpiecznie usunąć dane” staje się niestety mniej oczywista.

Praktyka

No dobra, teoria teorią ale jak to się ma do praktyki? Czy rzeczywiście możliwe jest, że ktoś dysponując dostępem do odpowiedniego sprzętu byłby w stanie odtworzyć dane po ich nadpisaniu? Nie mogąc znaleźć wiarygodnych informacji na ten temat postanowiłem zapytać o zdanie osoby, która zawodowo zajmuje się odzyskiwaniem danych z nośników pamięci – Marka Sochę. Warto tutaj podkreślić, że Marek cieszy się w swojej branży pozytywną renomą i uchodzi za jednego z lepszych fachowców (ale skromnie uważa że są lepsi od niego 🙂 ) Oto, co udało mi się dowiedzieć:

Marek Socha:
„Niegdyś niejaki Peter Gutmann przedstawił (kilkanaście lat temu) publikację, która w teorii ukazywała możliwości odzyskania nadpisanych danych za pomocą mikroskopu sił tunelowych (nawet po 7-krotnym nadpisaniu). Jest to takie fajowe urządzonko, z którym miałem do czynienia na studiach (Politechnika Poznańska – wydział fizyki technicznej). Badaliśmy dzięki niemu rozmieszczenie domen magnetycznych na powierzchni użytkowej playera dysku twardego. Niestety stosując się do treści zawartej w publikacji Petera Gutmanna (bez dowodów praktycznych i doświadczalnych) wykonaliśmy szereg operacji, w wyniku których otrzymaliśmy jedynie obraz domen w postaci obrazu BMP, z którego nie dało się odzyskać ani jednego bajta chociażby dokumentu tekstowego… Ale publikacja jak wszystko co pojawia się w Internecie i nie znika zrobiła sporo zamieszania. Dlatego też organy rządowe idąc tym tropem zaleciły stworzenie bezpiecznego algorytmu, który miałby nadpisywać dane wielokrotnie powodując tym samym, że niemożliwe będzie ich odzyskanie opisaną przez Gutmanna techniką.”

W taki oto sposób w amerykańskim departamencie obrony powstał standard DoD 5220.22-M (DoD od Department of Defense).

DoD 5220.22-M

Stworzony w latach ’90 algorytm po dzień dzisiejszy w niektórych materiałach wskazywany jest jako zalecany sposób bezpiecznego pozbywania się danych. Jego działanie w skrócie wygląda następująco:

  • Faza 1: nadpisanie danych zerami i weryfikacja zapisu.
  • Faza 2: nadpisanie danych jedynkami i weryfikacja zapisu.
  • Faza 3: nadpisanie wartościami losowymi (w niektórych wersjach stosowana jest wartość „97” zamiast losowej) i weryfikacja zapisu.

Sam Peter Gutmann jako bezpieczną sugerował natomiast metodę bazującą na 35-krotnym nadpisaniu danych wartościami losowymi. Na tym etapie w dalszym ciągu nie wiemy zatem jak bezpiecznie usunąć dane chcąc do tematu podejść profesjonalnie. Czy należy się przejmować zaleceniami DoD i Gutmanna, które powstały dwie dekady temu?

Tutaj znowu o komentarz poprosiłem Marka Sochę:

„Dzisiejsze nośniki danych to nie są nośniki z lat 80tych, 90tych. Są zupełnie inne w swojej budowie i zasadzie działania. Skoro w dzisiejszych czasach zwykła lustrzanka ma funkcję pełnego formatu, który nadpisuje kartę pamięci w przeciągu kilkunastu sekund zerami i nie można potem żadnych danych z tego odzyskać, to o czym to świadczy?”.

Czy istnieją jakieś nowsze standardy?

Wielu profesjonalistów w dziedzinie ochrony danych zadaje sobie często to pytanie. W sytuacji, gdy od skutecznego usunięcia informacji zależeć może np. bezpieczeństwo państwa nie można sobie pozwolić na niedoskonałość. Poza tym profesjonaliści lubią się odnosić do norm i standardów, których stosowanie może być zweryfikowane i dawać gwarancję skuteczności. Mówiąc wprost jeżeli nie chcemy brać na siebie odpowiedzialności za skuteczność wybranej metody, prościej i wygodniej jest zastosować standard, który jest oficjalnie zalecany. Takim standardem na chwilę obecną jest NIST 800-88.

NIST 800-88

National Institute of Standards and Technology jest amerykańską instytucją rządową, której zadaniem jest m.in. opracowywanie zaleceń i standardów dotyczących bezpieczeństwa. W ramach Computer Security Resource Center opracowano tam wspomnianą publikację NIST 800-88 pod tytułem „Guidelines for Media Sanitization”. Najnowsza, pochodząca z  2014 roku wersja tego dokumentu stanowi obszerne opracowanie poświęcone zagadnieniom doboru odpowiedniej do sytuacji metody pozbywania się danych. Bierze ona pod uwagę m.in. takie aspekty jak krytyczność danych, rodzaj nośnika, stosowanie szyfrowania, przeznaczenie nośnika (czy opuści on organizację, czy pozostaje w jej granicach).

Streszczenie całości publikacji w kilku zdaniach byłoby trudne. W największym skrócie ideę opracowania oddaje poniższy schemat:

bezpiecze usuwanie danych NIST 800-88

Jak widać w podejmowaniu decyzji brany jest pod uwagę poziom poufności danych dla organizacji: Low, Moderate oraz High i w zależności od tego, czy nośnik jest jedno-, czy wielokrotnego użytku oraz czy opuszcza organizację, czy pozostaje pod jej kontrolą zalecane są odpowiednie działania: Clear, Purge lub Destroy.

Na uwagę zasługuje tutaj na pewno fakt, że w przypadku danych o najwyższym stopniu krytyczności i nośnika, który ma zostać poza kontrolą organizacji zalecaną praktyką jest jego zniszczenie. Trudno stwierdzić z czego wynika takie podejście. Czy jest to pokłosie publikacji Petera Gutmanna, brak wystarczającego zaufania do oprogramowania (albo jego autorów) stosującego algorytmy wielokrotnego nadpisywania danych (jak wspomniany DoD 5220.22-M), czy może niedostępna zwykłym śmiertelnikom wiedza dotycząca metod będących w posiadaniu służb specjalnych lub agencji bezpieczeństwa (vide afera Snowdena).

Istotny jest też fakt, że dla zalecanych działań (Clear, Purge, Destroy) publikacja nie wskazuje konkretnych narzędzi, którymi powinniśmy się posłużyć. Wyjaśnijmy może zatem na czy polegają wspomniane trzy akcje:

  • Clear – oznacza logiczne techniki nadpisania całej dostępnej użytkownikowi przestrzeni adresowej nośnika nowymi danymi z zastosowaniem poleceń read/write interfejsu danych (np. ATA, SCSI). Ma zabezpieczać przed możliwością odzyskania danych przy użyciu prostych technik z zastosowaniem dedykowanego oprogramowania.
  • Purge oznacza techniki fizyczne lub logiczne uniemożliwiające odtworzenie danych przy użyciu najnowocześniejszych metod laboratoryjnych. Przykładem takich technik mogą być implementowane przez producentów dysków mechanizmy typu Secure Erase zapewniające niskopoziomowe nadpisanie danych również w przestrzeni adresowej nośnika, która standardowo nie jest dostępna (np. sektory oznaczone wcześniej jako uszkodzone). Ma to szczególne znaczenie w przypadku dysków SSD ponieważ dysponują one tzw. przestrzenią serwisową, której pojemność stanowi pewien nadmiar w stosunku do nominalnej pojemności dysku i również jest używana do zapisu danych.
    Przykładem fizycznych technik należących do tej kategorii są natomiast urządzenia służące do rozmagnesowywania powierzchni nośników magnetycznych, chociaż często mogą one jednocześnie prowadzić do ich destrukcji (a zatem zalicza się je również do ostatniej grupy).
  • Destroy – oznacza, jak w poprzednim przypadku, brak możliwości odtworzenia danych przy użyciu najnowocześniejszych metod laboratoryjnych ale jednocześnie brak możliwości jakiegokolwiek późniejszego użycia nośnika. Akcje zaliczane do tej grupy to m.in. dezintegracja nośnika (np. poprzez zmielenie lub pocięcie w przypadku dokumentów papierowych), rozpuszczenie i spalenie. Należy pamiętać, że akcje tego typu są jedynymi, którymi możemy się posłużyć w przypadku uszkodzonych nośników danych. Niesprawny dysk nie pozwoli nam bowiem na usunięcie danych poprzez ich nadpisanie.

Załącznik A publikacji NIST 800-88 zawiera obszerną listę nośników danych oraz urządzeń takich jak telefony czy routery i zalecane dla nich techniki wykonywania poszczególnych działań (Clear, Purge, Destroy). W zestawieniu nie są jednak podawane żadne konkretne nazwy programów czy urządzeń, a jedynie powtarzające się wielokrotnie zdanie, iż „należy użyć do tego celu zatwierdzonych i sprawdzonych przez organizację technologii/narzędzi/metod”.

Jak nie zwariować?

Czy możliwe jest zatem stworzenie uniwersalnej i jednoznacznej instrukcji mówiącej nam jak bezpiecznie usunąć dane? Postarajmy się podsumować to, czego dotychczas się dowiedzieliśmy w kilku punktach:

  • Pojedyncze nadpisanie danych uznać można za bezpieczne i wystarczające w przypadku nośników magnetycznych. Nadgorliwcy chcący się wykazać stosowaniem jakiegoś standardu mogą używać oprogramowania zgodnego z DoD 5220.22-M stosującego wielokrotny zapis.
  • W przypadku dysków SSD istnieje ryzyko, że niewielki procent danych pozostanie w obszarach serwisowych dysku. Zalecane jest zatem użycie niskopoziomowych metod nadpisywania, takich jak np. wbudowana w firmware funkcjonalność Secure Erase. Co istotne korzystać z niej należy tylko wówczas gdy dysk jest podłączony bezpośrednio do interfejsu danych bez użycia adapterów takich jak SATA -> USB czy karty RAID.
    Jeżeli natomiast nie przejmujemy się możliwościami laboratoryjnego odzyskania części naszych danych (mogą one nie być tego warte) to nadpisanie zgodne z punktem poprzednim powinno nam wystarczyć.
  • W przypadku pamięci przenośnych typu flash skuteczne będzie kilkukrotne nadpisanie przy użyciu oprogramowania stosującego np. standard DoD 5220.22-M (ze względu na istnienie obszarów serwisowych i brak możliwości skorzystania z Secure Erase). Jako alternatywę rozważyć należy szyfrowanie tego typu nośników.
  • W przypadku nośników uszkodzonych, co do których niemożliwe jest zastosowanie powyższych metod konieczne będzie ich zniszczenie.

Powyższe cztery zalecenia powinny się sprawdzić w 99% organizacji. Jeżeli natomiast pracujemy w jakiejś trzyliterowej rządowej agencji, to zgodnie z zaleceniami NIST 800-88 powinniśmy stosować niszczenie nośnika za każdym razem gdy ma on się znaleźć poza naszą kontrolą.

Narzędzia

Wiemy już jak bezpiecznie usunąć dane. Spróbujmy zatem jeszcze wskazać jakieś narzędzia, którymi będziemy się mogli posłużyć.

„Na partyzanta”

W przypadku pojedynczego nadpisywania danych użyć można jakiegokolwiek polecenia generującego na wyjściu strumień danych i przekierować go do pliku / dysku. Najprostszy sposób jaki znam i osobiście stosuję w sytuacji, gdy nie mam pod ręką dedykowanych narzędzi to linuksowa komenda yes:

~$ yes > /dev/sdX

Polecenie to zapisuje znak ‚y’ (lub inny ciąg znaków podany jako parametr) na dysku sdX do momentu jego zapełnienia. Nie jest to zbyt eleganckie podejście, ale warto je znać ponieważ polecenie yes znajdziecie w większości dystrybucji Linuksa. Również w systemach embedded, na których oparte są różne urządzenia sieciowe, a także w Androidzie. Daje więc ono możliwość kasowania i nadpisywania konfiguracji na urządzeniach, które mogą nie być wyposażone w funkcję przywracania ustawień fabrycznych, albo w których funkcja ta bazuje jedynie na usunięciu plików konfiguracyjnych, bez ich nadpisywania.

Nadpisywanie

Spośród narzędzi dedykowanych do jedno- lub wielokrotnego nadpisywania danych najbardziej popularnym i godnym zaufania jest dostępny zarówno w wersji darmowej, jak i komercyjnej DBAN. Oferuje on wszystkie opisane w artykule metody: jednokrotne nadpisanie danych, 7-krotne nadpisanie algorytmem DoD 5220.22-M (lub 3-krotne jego skróconą wersją) oraz 35-krotne algorytmem Gutmanna.

jak bezpiecznie usunąć dane

Secure Erase

Zalecana dla akcji typu Purge funkcja Secure Erase dostępna jest w popularnym systemie do partycjonowania i czyszczenia dysków Parted Magic. Występuje on jedynie w wersji komercyjnej ale koszt 11$ nie jest zatrważający, a graficzny interfejs tego narzędzia oszczędzi nam na pewno czasu.

Jeżeli mimo wszystko nie możemy sobie pozwolić na wydatek i nie odstraszają nas narzędzia tekstowe wymagające podawania wielu parametrów to odsyłam do instrukcji linuksowego narzędzia hdparm (tutaj wersja spolszczona). Zalecam jednak szczególną ostrożność.

Niszczenie

Przegląd urządzeń do niszczenia dysków wykracza trochę poza ramy tego artykułu. Urządzenia tego typu są kosztowne (dziesiątki a nawet setki tys. zł ) i co za tym idzie mało popularne. W przypadku konieczności fizycznego zniszczenia nośnika dobrym wyjściem jest zatem skorzystanie z usług firmy zewnętrznej, która dysponuje odpowiednim sprzętem i wystawi nam certyfikat potwierdzający zgodne ze sztuką zniszczenie. Należy tutaj jednak zwrócić szczególną uwagę na wiarygodność i pozycje rynkową danej firmy. Zdarza się niestety, że niszczeniem dysków zajmują się amatorzy, którzy w domowych warunkach rozkręcają je na części lub przewiercają wiertarką.

Podsumowanie

Mam nadzieję, że powyższy tekst w wyczerpujący sposób odpowiedział na postawione w tytule pytanie „jak bezpiecznie usunąć dane”. Jeżeli macie w tym temacie jakieś własne przemyślenia zachęcam gorąco do pozostawienia komentarza.

 

 

3 komentarze

  1. Secure Erase można wykonać przy pomocy wielu darmowych programów – np. MHDD lub Wiktorii. Nadpisanie raz jest w zupełności wystarczające.

    1. Dziękuję za komentarz. Dobrze jest mieć opinię większej liczby fachowców sprawie, która wciąż nie dla wszystkich jest oczywista.

Leave a Reply

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

This site uses Akismet to reduce spam. Learn how your comment data is processed.