Quantas passagens você precisa limpar / desfiar seus arquivos para torná-los não elimináveis?

20

Se você possui dados particulares em um disco rígido normal recente - quantas passagens você precisa excluir os dados para torná-los irrecuperáveis?

Não é nesse sentido que uma equipe forense de 20 especialistas, com um orçamento de 100 milhões de euros ou dólares e 10 anos para restaurar alguns bytes de um endereço conhecido com 80% de precisão, mas poucas pessoas com alguns 1000 € / $ orçamento, que não passaria mais de duas semanas no trabalho e que não sabem onde estão pesquisando.

Linux / GNU shreddiz no manual:

   -n, --iterations=N
          overwrite N times instead of the default (3)

mas, por um lado, ouvi falar de uma sugestão da NSA para substituir 27 vezes e, por outro lado, empresas profissionais de recuperação de dados não conseguiram recuperar dados de uma unidade que foi apagada apenas uma vez.

Provas, documentos, provas?

Nota: O que esta pergunta não é:

  • Não se trata de setores defeituosos, onde os dados podem passar despercebidos
  • Não se trata das antigas unidades MFM / RLL do início dos anos 90
  • Não se trata de ferramentas diferentes
  • Não se trata tanto do método (números aleatórios 0s, 0xFF e padrões sofisticados).
  • Não se trata de técnicas diferentes para limpá-lo com segurança (potência magnética, fusão, enchimento com areia e torneamento).
  • Não se trata de problemas especiais de pen drives
hard-drive  data-recovery  secure-erase 
Usuário desconhecido
fonte
5
Ninguém jamais provou para recuperar quaisquer dados úteis após 1 de substituição em um disco rígido moderno .... nber.org/sys-admin/overwritten-data-gutmann.html
Moab

Respostas:

48

Uma vez.

Os meios magnéticos modernos são bastante eficientes e deixam muito pouca evidência das antigas posições de bits. O que é deixado para trás requer microscópios eletrônicos e / ou scanners magnetométricos de alta tecnologia (ou como são chamados). Todos esses dispositivos são terrivelmente caros e, mesmo com os melhores equipamentos e especialistas mais especializados, leva um tempo monumental (pense em anos para um único prato; todos os discos rígidos têm vários pratos) e tem uma taxa de falhas muito alta.

Se você está lidando com segredos do governo (como é a NSA), escrever uma vez provavelmente não é bom o suficiente, porque a China não tem problemas em obter e usar esses dispositivos, nem empregar equipes de centenas de especialistas especializados para usá-los.

Se, por outro lado, você estiver apenas lidando com senhas bancárias pessoais e seu estoque secreto de dinheiro, uma única passagem é suficiente para tornar os dados completamente irrecuperáveis ​​por qualquer meio prático .

Dito isto, os discos modernos são bastante rápidos e, a menos que você esteja limpando a totalidade de um disco rígido, várias passagens levam tão pouco tempo que não há realmente nenhuma razão para fazê-las. Portanto, embora a falácia de sobrescrever várias vezes com padrões complexos de passes seja generalizada o suficiente para que todos os softwares de "exclusão segura" sejam padronizados para vários passes, há realmente muito pouco sentido em substituir esses padrões. Quando eu usei shred(número padrão de passes: 3) deixei fazer seus 3 passes; quando uso o Eraser no Windows (número padrão de passes em um arquivo: 35), deixo que ele faça 35 passes. (O apagador usa como padrão apenas uma única passagem ao excluir espaço livre em um disco rígido; isso também deixo executar no padrão.)

Portanto, a resposta para sua pergunta (quantos passes são necessários?) É: "Um". A resposta para sua pergunta implícita (devo substituir as 3 passagens padrão do shred?) É: "Nah".

Por outro lado, se você é um agente secreto do governo, bem, uma passagem realmente não é suficiente, porque você fazer tem China depois de seus dados. Se esse for o caso, você deve perguntar ao seu superior / responsável quais são os regulamentos da sua agência em relação à exclusão segura de dados confidenciais, não SU. ;-)

Advertência: a mídia baseada em Flash emprega um sistema chamado "nivelamento de desgaste" para prolongar a vida útil do dispositivo. Sem entrar em detalhes sobre o significado do termo ou as razões por trás dele, significa que você realmente não pode excluir arquivos com segurança em mídias baseadas em flash, a menos que limpe com segurança toda a mídia e mesmo isso nem sempre garante que o arquivo algoritmos de nível de desgaste não deixaram para trás dados não limpos que você não pôde escrever. No caso de mídia baseada em flash, sua melhor aposta é simplesmente criptografar todos e quaisquer dados confidenciais inseridos nela, usando uma senha forte.

A documentação do TrueCrypt inclui uma excelente discussão sobre esse problema e maneiras de resolvê-lo.

Kromey
fonte
Muitas, muitas vantagens para uma resposta incrível. Pena que só tenho um para dar. :(
CajunLuke
4
que acertou em cheio. Eu também acrescentaria que o antigo guttman wipe de 35 passes supunha que você não sabia que tipo de unidade usava e, como tal, executava padrões específicos para o MFM e outros designs obsoletos
Journeyman Geek
Uma ressalva em relação aos discos é que, em teoria, alguns dados podem ser recuperados deslocando a cabeça para coletar dados gravados quando a unidade estava mais quente ou mais fria e, portanto, a cabeça estava posicionada de maneira ligeiramente diferente. Mas nunca ouvi falar dessa técnica realmente sendo empregada (pelo menos fora da NSA).
precisa saber é o seguinte
1
@Kromey - Os acionamentos modernos usam feedback servo para o posicionamento da cabeça, que é uma tecnologia de compensação de temperatura. Os drives antigos já usavam motores de passo. Com um deles, você pode deixar um computador sem energia durante a noite em uma garagem sem aquecimento e deixá-lo completamente incapaz de encontrar a faixa 0. Inicie o computador e deixe-o funcionar por meia hora, redefina-o e inicialize porque o prato cresceu o suficiente para colocar a faixa de volta sob a cabeça de leitura / gravação. É por isso que deixamos o servidor durante a noite em nossa loja.
Fiasco Labs
1
Eu gosto de como esse cara cobriu o cenário "Se você é um agente secreto".
Dushyant Bangal
16

Esta é uma pergunta antiga, mas me senti obrigado a jogar meus dois centavos, pois tenho experiência em recuperação de dados forenses.

A pergunta feita é puramente acadêmica, portanto, essa resposta também é puramente acadêmica. Na prática, a resposta aceita está correta; uma passagem é suficiente para tornar os dados em uma unidade irrecuperáveis. No entanto, existe uma razão pela qual os governos exigem vários passes.

As pessoas pensam em um disco rígido como um dispositivo digital; os bits magnéticos são dispostos em um padrão rígido e são "ativados" ou desativados pelas cabeças de acionamento. Mas, na realidade, um disco rígido é um dispositivo analógico no que diz respeito à física da mídia magnética. A superfície dos pratos é revestida com um substrato cheio de dipolos magnéticos menores do que o 'bit' digital que eles estão codificando. Números suficientes desses dipolos em uma orientação versus a outra constituem uma resistência elétrica líquida no nível de bit individual. É o limiar de resistência que determina se um bit é interpretado como 1 ou 0, não como uma polaridade digital "ligada" ou "desligada".

No que diz respeito à eletrônica do inversor, o sinal elétrico proveniente dos cabeçotes é uma onda senoidal modulada, e não um fluxo de bits de 1 e 0. É exatamente assim que as fitas magnéticas gravaram sinais de áudio décadas atrás - só que agora o substrato é muito mais denso e estamos usando a matemática para extrair um sinal digital do "ruído" analógico.

Agora, fisicamente, é impossível fabricar um prato 100% perfeito, e mesmo que você possa, o ambiente operacional também nunca é 100% perfeito. Na escala da física em que os discos rígidos modernos operam, existem literalmente centenas de fatores que conspiram para criar imperfeições microscópicas no sinal, e eles representam um problema significativo o suficiente para que 1-2% do espaço em um disco típico seja "desperdiçado" na correção de erros para lidar com eles. Seu disco rígido está literalmente se recuperando de erros o tempo todo . A operação normal do disco rígido é na verdade um jogo de probabilidade em que um setor "bom" é meramente uma probabilidade de n% de que os dados codificados nele sejam precisos.

Agora, vejamos o caso de setores defeituosos e você pode ver como a mesma técnica pode ser aplicada aos bons.

Se um setor é marcado como "ruim" (pelo controlador, não pelo SO), isso significa que a probabilidade de TODOS os bits de dados em um setor específico, quando considerados como um todo, caiu abaixo do limite da capacidade de recuperação matemática pelos algoritmos de correção de erros do inversor. Isso não significa que os bits estão realmente mortos; apenas que o controlador não pode ter certeza de que está correto.

No entanto, você pode recuperar um setor defeituoso lendo-o centenas ou possivelmente milhares de vezes, dependendo da gravidade do dano. A cada passo da cabeça no setor "ruim", o setor lê de uma maneira um pouco diferente. A oscilação do prato, a temperatura, as vibrações, a inclinação do relógio etc. podem ser ligeiramente diferentes. Porém, se você comparar cada passagem com milhares de vezes antes, o suficiente para recuperar (com um pouco menos do que a certeza absoluta) dos dados que o setor defeituoso continha antes de azedar você. É exatamente assim que funciona um software de recuperação de dados como o SpinRite.

Agora vamos aplicar essa lógica a um setor "bom". Quando você limpou a unidade com uma única passagem, o controlador está 100% certo de que cada setor contém qualquer padrão de bit com o qual você preencheu a unidade. Mas ainda existem erros nessas leituras e o controlador ainda as está corrigindo. Alguns desses erros são ambientais, mas há uma boa chance de que muitos deles também sejam remanescentes de quaisquer dados existentes antes da substituição do setor.

Lembre-se de que estamos falando da mesma tecnologia que usamos em fitas de áudio há décadas aqui. Nem todos esses dipolos magnéticos foram acionados nessa única passagem, portanto ainda há um sinal de "fantasma" no ruído.

Para citar Adam Savage (dos Caçadores de Mitos): "Rejeito sua realidade e substituo a minha". Se você tirar o controlador da unidade (com sua certeza matemática do padrão de dados apagados) da equação e apenas observar a onda senoidal saindo dos componentes eletrônicos da unidade, em teoria , pode ser possível reconstruir os dados que estavam presentes na unidade antes de ser apagado - como costumávamos fazer com as fitas de áudio "apagadas".

Ou talvez não. Não ajudou nos 18 minutos que faltaram nas fitas Nixon Watergate ... Ou ajudou? ;-)

Agora, isso é prático? Existe um dispositivo capaz de fazer isso? Talvez. Talvez não. Se assim fosse, certamente seria um segredo de estado. Mas como é teoricamente possível, você deve se proteger contra isso. Isso significa fazer várias passagens com vários padrões de bits para embaralhar o sinal fantasma o máximo possível.

Se você é um governo que tenta limpar dados classificados, é importante considerar. Se é seu esconderijo secreto, provavelmente não é (a menos que sua esposa trabalhe para a NSA).

Wes Sayeed
fonte
3
Pensamento e esforço demais para não aprovar isso.
Damon
Aliás, se eu tivesse segredos de estado em um disco rígido, não confiaria em nenhuma quantidade de substituições. Eu usaria um rebarbadora ou um maçarico.
Marc.2377
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.