Metody bezpiecznego niszczenia danych
Współczesna informatyka śledcza wymaga nie tylko wiedzy dotyczącej metodologii odzyskiwania danych, ale także ich bezpiecznego usuwania, a w niektórych przypadkach nawet niszczenia całych nośników w sposób trwały.
Dlaczego niszczenie danych jest ważnym elementem informatyki śledczej? Powodów jest kilka. Jednym z nich są kryteria regulacyjne wymagające by dane poufne lub tajne były niszczone w sposób bezpieczny uniemożliwiający ich odzyskanie (zgodnie z procedurami), innym zaś powodem mogą być obawy o prywatność danych użytkownika.
Usługi kasowania danych są niezbędne nie tylko dla spokoju ducha użytkowników czy organizacji, lecz często, będąc wymogiem regulacyjnym i obowiązkowym jego niezastosowanie może poskutkować poważnymi konsekwencjami finansowymi i karnymi. Więcej o kwestiach prawnych można dowiedzieć się z naszego osobnego artykułu.
Wyróżniamy zasadniczo dwa główne typy niszczenia danych: procesy, w których dane niszczone są fizycznie wraz z nośnikiem oraz takie, które kasują dane, ale bez niszczenia nośnika.
Metody niszczenia danych bez uszkodzenia nośnika
Metody niszczenia danych z zachowaniem nośnika są operacjami programowymi polegającymi na nadpisywaniu danych na nośniku sektor po sektorze w taki sposób, iż nie jest możliwy ponowny odczyt zapisanych informacji. Jest to metoda bardzo popularna, sprawdzona, powszechna i zaakceptowana de facto jako standard przez wiele organizacji rządowych. Możemy wyróżnić trzy różne metody nadpisywania danych bez niszczenia nośnika w sposób trwały:
- Programowe nadpisywanie danych
- Nadpisywanie danych z firmware
- Degaussing (bez destrukcji nośnika)
Nadpisywanie programowe obejmuje niszczenie danych poprzez narzędzia zewnętrzne generowane z poziomu systemu operacyjnego lub poprzez bezpośrednią aplikację uruchamianą z pozycji tzw. bootloadera, korzystającą z przerwań BIOS lub innych wywołań systemowych (architektury inne niż x86 np. ARM czy MIPS). Kasowanie programowe ma tą przewagę, iż może się odbywać według dowolnego algorytmu nadpisującego, dzięki czemu możliwe jest tworzenie oprogramowania, które spełnia wymogi dowolnych standardów w różnych krajach.
Typowe algorytmy powodują nadpisanie tego samego sektora przynajmniej jednokrotnie, używając do tego sekwencji zer, wartości losowych o dużej entropii lub konkretnych sekwencji znaków. W większości typów takich algorytmów stosuje się nadpisanie co najmniej kilkukrotne ze względu na zabezpieczenie przed teoretyczną możliwością odzysku informacji polegającą na obserwacji sektora danych pod mikroskopem elektronowym. Można w ten sposób, używając metod statystycznych, wywnioskować jakie dane znajdowały się tam przed poprzednim nadpisaniem. Teoretyczną podstawą dla podjącia takich czynności jest fakt, iż głowica dysku nie jest idealna i ten sam bit zapisany w „tym samym” miejscu na dysku może często znajdować się w miejscach oddalonych od siebie nawet o kilka nanometrów. Na podstawie takiej obserwacji możliwe jest wnioskowanie z dużym prawdopodobieństwem jaki bit znajdował się tam przed nadpisaniem.
Ataki tego typu są niezwykle kosztowne i pozostają raczej w sferze teorii, gdyż są one nieekonomiczne oraz ekstremalnie czasochłonne nawet dla poważnych agencji rządowych, być może z wyjątkiem organizacji takich jak NSA (National Security Agency) czy GRU (Главное Разведывательное Управление), dysponujących olbrzymim budżetem oraz zapleczem technologicznym.
Niektóre bardziej znane standardy nadpisywania danych w sposób programowy to:
Gutmann 35. Metoda opracowana w latach 90. wymagająca nadpisania danych aż 35. krotnie. Wielokrotne nadpisywanie było podyktowane mechanizmem zapisu danych wystepującym w czasach projektowania procedury (MFM/RLL). Dziś, według samego autora tej metody, nie ma powodu by stosować aż 35. krotne nadpisywanie danych.
Schneier's 7. Metoda nadpisująca dane siedmiokrotnie wg algorytmu: nadpisz dane z wartością "1", następnie nadpisz dane z wartością "0", następnie pięciokrotnie nadpisz dane wartością losową.
HMG IS5 (Infosec Standard 5 Base). Metoda nadpisująca dane dwukrotnie: za pierwszym razem wartością "0", za drugim razem wartościami losowymi.
HMG IS5 (Infosec Standard 5 Enhanced). Metoda nadpisująca dane trzykrotnie: za pierwszym razem wartościami "0", za drugim wartościami "1", zaś za trzecim wartościami losowymi.
US DoD 5220.22-M (8-306. /E, C and E) 7. Metoda będąca standardem Departamentu Obrony Stanów Zjednoczonych, stosowana dla różnych nośników (od pamięci RAM, poprzez dyski twarde, aż po pamięć bąbelkową), różniąca się zastosowanym typem w zależności od operacji - dla dysków twardych jest to siedmiokrotne nadpisanie dysku jednym charakterem. Jest to metoda dopuszczająca kasowanie danych nawet oznaczonych jako tajne i ściśle tajne dla oficjalnych dokumentów rządowych. Można więc założyć, iż jest to metoda w pełni bezpieczna.
US DoD 5220.22-M (8-306. / E) 3. Metoda analogiczna do powyższej, jednak nadpisująca dane tylko trzykrotnie. Metoda zapisująca dane znakami losowymi w jednokrotnym przebiegu.
Nadpisywanie danych bezpośrednio poprzez firmware dysku (tzw. „ATA Secure Erase”). Operacja taka odbywa się bez udziału systemu operacyjnego, przerwań BIOS, czy jakichkolwiek wywołań systemowych i następuje stricte pod kontrolą firmware samego dysku twardego. Zaletą tego typu kasowania jest dużo większa prędkość operacji oraz gwarancja nadpisania całej przestrzeni dyskowej, niezależnie od systemu operacyjnego czy ograniczeń nałożonych przez BIOS. Minusem tej metody jest fakt, iż nie każdy dysk obsługuje taką funkcję oraz to, iż wielu producentów implementuje to rozwiązanie w błędny sposób, odbiegający od standardu, przez co nie daje to 100% gwarancji, iż tak przeprowadzona operacja nadpisania danych będzie skuteczna.
W przypadku dysków SSD oraz pamięci typu FLASH występuje możliwość kasowania danych poprzez wywołanie specjalnej komendy dla chipsetu sterującego danym urządzeniem. Jest to funkcja analogiczna do „ATA Secure Erase”, jednakże znacznie mniej ustandaryzowana i różniąca się w zależności od producenta oraz typu urządzenia.
Degaussing jest to mechanizm polegający na umieszczeniu urządzenia w specjalnym pomieszczeniu generującym ekstremalnie silne impulsy elektromagnetyczne (12-20 Gaussów) mające na celu rozmagnesowanie powierzchni nośnika w sposób losowy. Metoda ta cechuje się relatywnie dużym bezpieczeństwem i wysoką gwarancją zniszczenia informacji, aczkolwiek znane są przypadki, iż nie wszystkie dane ulegają skasowaniu w ten sposób. Wynika to głównie z konieczności dostosowania mocy do wciąż rosnących pojemności dysków twardych. Tak więc degausser działający idealnie w roku 2000, niekoniecznie musi dać tan sam rezultat na dysku współczesnym. Metodą ta stosowana w przypadków dysków twardych de facto uniemożliwia ich ponowne użycie, choć niekiedy producenci są w stanie przeprowadzić niskopoziomową re-magnetyzację niektórych dysków aby nadawały się do ponownego użycia. Degaussing nie daje pewności skasowania danych z nośników typu flash. To samo dotyczy dysków hybrydowych.
Metody niszczenia danych wraz z uszkodzeniem nośnika
Znanych jest kilka metod bezpiecznego niszczenia nośnika:
Kompletne zniszczenie nośnika poprzez jego stopienie (np. w piecu indukcyjnym). Metoda w 100% skuteczna i nie wymagająca zaawansowanej technologii, lecz nie zawsze praktyczna i na pewno najmniej ekologiczna.
Niszczenie dysku metodą chemiczną. Metoda polega na pokryciu lub zanurzeniu dysku w specjalistycznych substancjach (często z zastrzeżonym patentowo składem), którego efektem jest kompletne rozpuszczenie dysku twardego lub innego nośnika.
Niszczenie nośnika precyzyjnymi metodami mechanicznymi. Jedną z takich metod jest tzw. wiórkowanie, polegające na fizycznym uszkodzeniu nośnika danych, np. przy użyciu tzw. shreddera, który tnie nośnik (np. dysk twardy) na elementy nie większe niż 5-30 milimetrów kwadratowych. Niestety nie jest to metoda w 100% skuteczna, a to ze względu na ekstremalnie dużą gęstość zapisu danych we współczesnych dyskach (fragment talerza o wymiarach 1x1 mm potrafi zawierać dane wielkości kilkuset megabajtów) i możliwość odczytu całkiem sporych porcji informacji z tak pokawałkowanych nośników. Proces odzyskania takich danych może być jednak operacją kompletnie nieopłacalną, a jedynym zainteresowanym mogą być w tym przypadku największe organizacje rządowe, jak wspomniane NSA czy GRU. Alternatywą dla procesu wiórkowania jest np. sprasowanie dysku przy pomocy miażdżarki hydraulicznej.
Reasumując, istnieje wiele różnych metod bezpiecznego kasowania danych, jest to temat ciągle rozwijany i być może przyszłość przyniesie nam nowe pomysły zarówno na odzyskiwanie, jak i bezpieczne kasowanie danych.
