it-swarm-eu.dev

Perché scrivere zero (o dati casuali) su un disco rigido più volte rispetto a farlo una volta sola?

Molti programmi diversi, come Darik's Boot e Nuke , ti consentono di scrivere su un disco rigido più volte con il pretesto che sia più sicuro che farlo una volta sola. Perché?

94
Tom Marthenal

Riepilogo: era leggermente migliore su unità più vecchie, ma non importa ora. Passaggi multipli cancellano un albero con eccessivo ma manca il resto della foresta. Usa la crittografia.

L'origine risiede nel lavoro di Peter Gutmann, che ha mostrato che c'è un po 'di memoria in un bit del disco: uno zero che è stato sovrascritto con uno zero può essere distinto da uno che è stato sovrascritto con uno zero, con una probabilità superiore a 1/2 . Tuttavia, il lavoro di Gutmann è stato in qualche modo sovrascritto e non si estende ai dischi moderni. "La leggenda urbana della sovrascrittura del disco rigido multipass e del DoD 5220-22-M" di Brian Smithson ha una buona panoramica dell'argomento.

L'articolo che lo ha iniziato è "Cancellazione sicura dei dati dalla memoria magnetica e a stato solido" di Peter Gutmann , presentato a USENIX nel 1996. Ha misurato la rimanenza dei dati dopo ripetute operazioni di pulizia e ha visto che dopo 31 passaggi , non era in grado (con attrezzature costose) di distinguere uno moltiplicato e sovrascritto da uno zero moltiplicato. Quindi ha proposto una pulizia a 35 passaggi come misura eccessiva.

Si noti che questo attacco presuppone un utente malintenzionato con accesso fisico al disco e attrezzature alquanto costose. È piuttosto irrealistico supporre che un attaccante con tali mezzi sceglierà questo metodo di attacco piuttosto che, diciamo, crittografia di piombo .

I risultati di Gutmann non si estendono alle moderne tecnologie dei dischi, che comprimono sempre più i dati. "Sovrascrivere i dati del disco rigido: la grande controversia sulla pulizia" di Craig Wright, Dave Kleiman e Shyaam Sundhar è un articolo recente sull'argomento; non sono stati in grado di replicare il recupero di Gutmann con unità recenti. Notano anche che la probabilità di recuperare bit successivi non ha una forte correlazione, il che significa che è molto improbabile che un attaccante recuperi, per esempio, una chiave segreta completa o persino un byte. La sovrascrittura con zero è leggermente meno distruttiva della sovrascrittura con dati casuali, ma anche un singolo passaggio con zero rende la probabilità di qualsiasi recupero utile molto bassa. Gutmann contesta in qualche modo l'articolo ; tuttavia, concorda con la conclusione che le sue tecniche di recupero non sono applicabili ai dischi moderni:

Qualsiasi unità moderna sarà molto probabilmente un compito senza speranza, che cosa con densità altissime e utilizzo della registrazione perpendicolare non vedo come l'MFM otterrebbe persino un'immagine utilizzabile, e quindi l'uso dell'EPRML significherà che anche se potessi magicamente trasferire una sorta di immagine in un file, la possibilità di decodificare quella per recuperare i dati originali sarebbe piuttosto impegnativa.

Gutmann in seguito studiò tecnologie flash , che mostrano più rimanenza.

Se sei preoccupato per un utente malintenzionato con possesso fisico del disco e apparecchiature costose, la qualità della sovrascrittura non è ciò di cui dovresti preoccuparti. I dischi riallocano i settori: se un settore viene rilevato come difettoso, il disco non lo renderà mai più accessibile al software, ma i dati che sono stati memorizzati potrebbero essere recuperati dall'aggressore. Questo fenomeno è peggiore su SSD a causa del loro livellamento dell'usura.

Alcuni supporti di memorizzazione dispongono di un comando di cancellazione sicura (ATA Secure Erase). CSD CMRR fornisce un'utilità DOS per eseguire questo comando ; sotto Linux puoi usare hdparm --security-erase. Si noti che questo comando potrebbe non essere stato sottoposto a test approfonditi e non sarà possibile eseguirlo se il disco è morto a causa di componenti elettronici danneggiati, un motore guasto o teste danneggiate (a meno che non si ripari il danno, che costerebbe più di un nuovo disco).

Se sei preoccupato che un utente malintenzionato acquisisca il disco, non inserire alcun dato confidenziale su di esso. O se lo fai, crittografalo. La crittografia è economica e affidabile (bene, affidabile quanto la scelta della password e l'integrità del sistema).

C'è un noto riferimento articolo di Peter Gutmann sull'argomento. Tuttavia, l'articolo è un po 'vecchio (15 anni) e i nuovi dischi rigidi potrebbero non funzionare come descritto.

Alcuni dati potrebbero non essere completamente cancellati da una singola scrittura a causa di due fenomeni:

  • Vogliamo scrivere un bit (0 o 1) ma il segnale fisico è analogico. I dati vengono archiviati manipolando l'orientamento di gruppi di atomi all'interno del mezzo ferromagnetico; quando viene riletto, la testa genera un segnale analogico, che viene quindi decodificato con una soglia: ad esempio, se il segnale supera 3.2 (unità fittizia), è un 1, altrimenti è uno 0. Ma il supporto potrebbe avere rimanenza: possibilmente, scrivere un 1 su quello che era precedentemente uno 0 produce 4,5, mentre scrivere un 1 su quello che era già un 1 porta il segnale a 4.8. Aprendo il disco e utilizzando un sensore più preciso, è concepibile che la differenza possa essere misurata con sufficiente affidabilità per recuperare i vecchi dati.

  • I dati sono organizzati per tracce sul disco. Quando si scrive su dati esistenti, la testa è approssimativamente posizionata sulla traccia precedente, ma quasi mai esattamente su quella traccia. Ogni operazione di scrittura può avere un po 'di "jitter laterale". Quindi, parte dei dati precedenti potrebbe essere ancora leggibile "a lato".

Scritture multiple con vari schemi mirano a controbilanciare questi due effetti.

I moderni dischi rigidi raggiungono un'altissima densità di dati. Ha senso che maggiore è la densità dei dati, più diventa difficile recuperare tracce di vecchi dati sovrascritti. È plausibile che il recupero dei dati sovrascritti non sia più possibile con la tecnologia odierna. Almeno nessuno attualmente sta pubblicizzando positivamente un servizio del genere (ma questo non significa che non possa essere fatto ...).

Si noti che quando un disco rileva un settore danneggiato (errore di checksum al momento della lettura), l'operazione di scrittura successiva su quel settore verrà rimappata silenziosamente a un settore di riserva. Ciò significa che il settore danneggiato (che ha almeno un bit sbagliato, ma non necessariamente più di uno) rimarrà intatto per sempre dopo quell'evento e nessuna quantità di riscrittura può cambiarlo (la scheda elettronica del disco stessa rifiuterà di utilizzare quel settore mai più). Se vuoi essere sicuro di cancellare i dati, è molto meglio non lasciare che raggiungano il disco in primo luogo: usa la crittografia dell'intero disco.

32
Tom Leek

Le risposte fornite finora sono informative ma incomplete. I dati sono memorizzati su un disco rigido (magnetico) usando codifica Manchester , in modo tale che non sia se il dominio magnetico punta su o giù che codifica uno o zero, è il transizioni tra su e giù che codificano i bit.

La codifica Manchester di solito inizia con un po 'di dati senza senso adatti a definire il "ritmo" del segnale. È possibile immaginare che se il tuo tentativo di sovrascrivere i dati con tutti gli zero una volta non fosse esattamente in fase con i tempi in cui sono stati archiviati i dati originali, sarebbe comunque semplicissimo rilevare il ritmo e gli spigoli originali, e ricostruire tutti i dati.

5
user185

Una bella domanda con una risposta in due parti:

  1. Quando parliamo di "ye hard disk medio", c'è un primo motivo per sovrascrivere più volte.

    In breve: gli HD sono come i dischi magnetici. C'è la possibilità di rimanere "byte d'ombra" che potrebbero essere recuperati. Questo è il motivo per cui NSA e co hanno utilizzato più sovrascritture per anni. Questi "byte ombra" non sono altro che resti "fantasmi" di dati precedentemente cancellati e sovrascritti. Le società di recupero HD utilizzano effettivamente quelli per recuperare i dati critici quando vengono persi.

    Un altro modo sarebbe usare potenti magneti per uccidere il tuo HD, ma in questo modo - le probabilità sono grandi che non utilizzerai una forza magnetica abbastanza forte, o distruggerai più del tuo HD di quanto vorresti. Quindi questa non è davvero un'opzione.

  2. Probabilmente vorrai anche controllare alcuni degli standard di cancellazione dei dati per informazioni più dettagliate http://en.wikipedia.org/wiki/Data_erasure#Standards e notare che il gli standard sovrascrivono solo 1 volta, rendono sempre obbligatoria la verifica della cancellazione dei dati .

    Su "alcuni sistemi operativi" (nota che non sto iniziando una discussione politica sul sistema operativo migliore o peggiore qui), questa verifica della cancellazione non è solida come dovrebbe essere .. il che significa che la loro "verifica della cancellazione" è in realtà abbastanza pericolosa di cui preoccuparsi di persino iniziare a pensare a potenziali resti di byte ombra che potrebbero essere recuperati.

[~ ~ #] aggiornamento [~ ~ #]

Dato che si tratta di un argomento molto discusso, con molte persone che dicono "pro" e "contra" citando il documento "Cancellazione sicura dei dati dalla memoria magnetica e allo stato solido", pubblicato da Peter Gutmann nel 1996 ( http://www.usenix.org/publications/library/proceedings/sec96/full_papers/gutmann/index.html ), è necessario tenere presente quanto segue:

... I ricercatori di sicurezza di Heise Security, che hanno esaminato il documento presentato all'edizione dello scorso anno dell'International Conference on Information Systems Security (ICISS), spiegano che un singolo byte di dati può essere recuperato con una probabilità del 56%, ma solo se la testa è posizionata esattamente otto volte, che di per sé ha una probabilità di verificarsi solo dello 0,97%. "Il recupero di qualsiasi cosa oltre un singolo byte è ancora meno probabile", concludono i ricercatori ...

(fonte: http://news.softpedia.com/news/Data-Wiping-Myth-Put-to-Rest-102376.shtml )

D'altra parte, ci sono cancellazioni di dati militari e governativi che definiscono più sovrascritture come un must. (Mi asterrò dal giudicarlo, ma dovresti pensare al "perché" di questo fatto.)

Alla fine, si tratta di "quali dati" si desidera "proteggere" cancellandoli e di quanto sia importante che i dati cancellati siano irrecuperabili in ogni caso potenziale. Mettiamola in questo modo: se vuoi eliminare il tuo caseificio personale, probabilmente non hai bisogno di sovrascrivere ogni singolo settore libero ... ma se stai lavorando a piani per una centrale nucleare o qualche "progetto segreto" per il tuo governo, non vorrai lasciare un solo byte così com'è.

Quando le persone mi chiedono personalmente, rispondo sempre: "meglio che curare. Ci sono standard solidi che definiscono le sovrascritture multiple di settori liberati come un must. C'è una ragione per questo. I documenti scientifici (anche quelli recenti) mostrano che il recupero dei dati cancellati è possibile utilizzando mezzi diversi. Anche quando la possibilità è piccola, non mi assumerei il rischio e penso che sarebbe poco professionale consigliare a chiunque di non pensare a quel rischio. "

Immagino che lo avvolga meglio.

WRAPPING IT UP

Quindi, per rispondere correttamente alla tua domanda:

Molti programmi diversi, come Darik's Boot e Nuke, ti consentono di scrivere su un disco rigido più volte con il pretesto che sia più sicuro che farlo una volta sola. Perché?

Lo fanno, sulla base del documento di Gutmann e degli standard esistenti utilizzati dalle istituzioni governative.

4
user6373