Уничтожать улики и заметать следы — удел не самых законопослушных граждан. Мы же сегодня поговорим о том, как гарантированно удалить информацию с разнообразных носителей в тех случаях, когда ты собираешься продать, подарить или попросту выбросить диск, телефон или компьютер.

Скажу банальность: в разных типах устройств способы хранения информации сильно различаются. Более того, отличаются и способы удаления записанных данных. У пользователей «обычных дисков» — с вращающимися магнитными пластинами и без шифрования — именно удаление (перезапись) данных с других типов носителей часто вызывает удивление и непонимание. Поэтому начнем с магнитных дисков.

 

Как уничтожить информацию на жестком диске

В этом разделе под термином «жесткий диск» мы будем понимать классическое устройство с вращающимися пластинами и движущимися электромагнитными головками чтения-записи. Информация, записанная на пластину, так и остается на ней вплоть до момента, когда данные будут перезаписаны.

Традиционный способ удаления данных с магнитных дисков — форматирование. К сожалению, при использовании Windows даже полное форматирование диска может привести к разным — и временами неожиданным — результатам.

Так, если используется ОС на Windows XP (или еще более старая версия Windows), при полном форматировании диска система вовсе не запишет нули в каждый сектор. Вместо этого ОС всего лишь произведет поиск плохих секторов с помощью последовательного чтения данных. Поэтому, если ты собираешься выбросить старый компьютер, работающий под управлением Windows XP, форматируй диск в командной строке, задав параметр /p:<число проходов>. В этом случае команда format перезапишет содержимое диска нулями столько раз, сколько задано параметром <число проходов>. Пример:

$ format D: /fs:NTFS /p:1

Начиная с Windows Vista разработчики Microsoft изменили логику работы команды полного форматирования. Теперь форматирование диска действительно перезаписывает данные нулями, и параметр /p становится избыточным.

Собственно, для обычного пользователя, не страдающего паранойей, на том все и заканчивается. Пользователи же, более обычного озабоченные безопасностью удаленных данных, могут вспомнить о существовавших пару десятилетий назад методах (кстати, очень дорогих), которыми на специальном оборудовании можно попробовать восстановить данные, анализируя остаточную намагниченность дорожек. Теоретическая идея метода в том, чтобы обнаружить следы информации, которая была ранее записана на дорожке, анализируя слабую остаточную намагниченность (вариация метода — анализ краевой намагниченности, когда считывать пытаются данные из промежутков между дорожками). Метод прекрасно работал для накопителей размером со шкаф и электромагнитами, которые могли сорвать с военного кокарду. Заметно худшие результаты метод показывал на дисках с объемом в десятки мегабайт и совсем плохо работал с накопителями, объем которых приближался к гигабайту (нет, это не ошибка, здесь речь именно о мегабайтах и гигабайтах).

В теории следы остаточной намагниченности можно попробовать восстановить из областей, показанных желтым (источник: www.anandteth.com)
В теории следы остаточной намагниченности можно попробовать восстановить из областей, показанных желтым (источник: www.anandteth.com)

Для современных накопителей с высокой плотностью записи, объем которых измеряется в терабайтах, подтвержденных случаев успешного применения данного метода нет, а для дисков, использующих «черепичную» запись SMR, подход невозможен в принципе.

В современных накопителях плотность записи данных слишком высока для того, чтобы метод сработал (источник: www.anandteth.com)
В современных накопителях плотность записи данных слишком высока для того, чтобы метод сработал (источник: www.anandteth.com)

Впрочем, чтобы исключить даже теоретическую возможность его использования, достаточно перезаписать диск не нулями, а некоторой последовательностью данных — иногда не один раз.

Ты уже восстанавливал данные с б/у носителей?

Загрузка ... Загрузка ...
 

Алгоритмы гарантированного уничтожения информации

Во многих организациях используются специальные процедуры для утилизации устройств хранения информации, подразумевающие их санацию (безвозвратное уничтожение информации). Для уничтожения действительно секретной информации применяют деструктивные методы, но для данных, не представляющих особой ценности, допустимо использовать и программные алгоритмы. Таких алгоритмов существует великое множество.

Начнем, пожалуй, с широко известного, но неверно интерпретируемого американского стандарта DoD 5220.22-M. Большинство бесплатных и коммерческих приложений, которые поддерживают этот стандарт, ссылаются на старую (действовавшую до 2006 года) его ревизию. Действительно, с 1995-го по 2006-й «военный» стандарт уничтожения информации разрешал использовать метод перезаписи данных. Стандарт подразумевал трехкратную перезапись диска. Первым проходом выполнялась запись любого символа, затем — его XOR-комплимента и, наконец, в последнем проходе — случайной последовательности. Например, так:

01010101 > 10101010 > 11011010*
* случайные данные

В настоящее время военными этот алгоритм не используется; для санации носители физически уничтожают или полностью размагничивают, что называется, «в горниле ядерного взрыва». Однако для уничтожения несекретной информации этот алгоритм до сих пор применяется в различных государственных учреждениях США.

Канадская полиция уничтожает несекретную информацию при помощи утилиты DSX собственной разработки. Утилита перезаписывает данные нулями, затем — единицами, после чего записывает на диск последовательность данных, в которой закодирована информация о версии утилиты, дате и времени уничтожения данных. Секретная информация все так же уничтожается вместе с носителем.

Примерно так:

00000000 > 11111111 > 10110101*
* предопределенная кодированная последовательность

Похожим образом предлагает уничтожать информацию известный специалист в области криптографии Брюс Шнайер. Предложенный им алгоритм отличается от канадской разработки лишь тем, что третьим проходом записывается не предопределенная последовательность данных, а псевдослучайная. В момент публикации этот алгоритм, использующий генератор случайных чисел для перезаписи, подвергался критике как более медленный в сравнении с алгоритмами, которые записывали предопределенную последовательность данных. На сегодняшний (а также вчерашний и позавчерашний) день трудно себе представить процессор, который способна хоть как-нибудь нагрузить такая простая задача, но на момент публикации алгоритма в 1993 году в ходу были процессоры класса i486, работавшие на частотах порядка 20–66 МГц…

Примерно так:

00000000 > 11111111 > 10110101*
* псевдослучайные данные

В Германии для уничтожения несекретных данных принят несколько другой подход. Стандарт BSI Verschlusssachen-IT-Richtlinien (VSITR) позволяет использовать от двух до шести проходов (в зависимости от классификации информации), записывающих поочередно псевдослучайную последовательность и ее XOR-комплимент. Последним проходом записывается последовательность 01010101.

Примерно так:

01101101* > 10010010** > 01010101
* псевдослучайная последовательность 1
** XOR-комплимент псевдослучайной последовательности 1

Наконец, в качестве технического курьеза приведем алгоритм Питера Гутмана, предложившего перезапись в 35 проходов. Опубликованный в 1996 году алгоритм был основан на теоретическом предположении уровня остаточного магнетизма в 5% и уже на момент публикации выглядел всего лишь теоретическим изыском. Тем не менее и этот алгоритм поддерживается многими приложениями для уничтожения информации. Фактически же его использование избыточно и совершенно бессмысленно; даже трехкратная перезапись информации по любому из описанных выше алгоритмов даст точно такой же результат.

Какой алгоритм использовать? Для современных (не старше 10–15 лет) жестких дисков однократной перезаписи псевдослучайной последовательностью более чем достаточно для надежного уничтожения информации. Все, что делается сверх этого, способно лишь успокоить внутреннюю паранойю, но никак не уменьшить вероятность успешного восстановления информации.

Как долго выполняется гарантированное удаление данных на HDD объемом 4 Тбайт?

Загрузка ... Загрузка ...

Продолжение доступно только подписчикам

Вариант 1. Оформи подписку на «Хакер», чтобы читать все материалы на сайте

Подписка позволит тебе в течение указанного срока читать ВСЕ платные материалы сайта. Мы принимаем оплату банковскими картами, электронными деньгами и переводами со счетов мобильных операторов. Подробнее о подписке

Вариант 2. Купи один материал

Заинтересовала информация, но нет возможности оплатить подписку? Тогда этот вариант для тебя! Обрати внимание: этот способ покупки доступен только для материалов, опубликованных более двух месяцев назад.


13 комментария

  1. inkognito.o

    23.04.2018 at 18:44

    У меня есть программа Altap Salamander!
    Если там я пытаюсь выполнить команду shredder, то получаю следующую message:
    Вы уничтожили file меньше чем 1024 bytes. NTFS передвигает маленькие файлы в MFT. Очень сложно уничтожить находимое там, так как MFT — это системный файл и все изменения протоколируются в специальном файле, куда так просто программы не могут подойти.
    Мы рекомендуем оставлять sensible files на партициях FAT32!

    Ничего про это здесь не сказанно!

  2. Олег Афонин

    Олег Афонин

    23.04.2018 at 19:21

    И не будет сказано. В этой статье описывается санация данных на уровне разделов и физических дисков. Безопасно удалить отдельный файл в общем случае невозможно (автор в курсе не только про MFT, которая, кстати, хранится на диске в двух экземплярах, но и про так называемый slack space — «хвосты», возникающие в результате несовпадения размера кластеров тома и собственно диска). Добавьте сюда чехарду с SSD, который попросту выбросит блоки в резервный неадресуемый пул, и все иллюзии о «безопасном» удалении отдельного файла пропадут. А ещё есть автоматические «точки восстановления системы», есть встроенные инструменты дублирования и резервного копирования файлов вроде Windows 10 File History… в общем, удалять и затирать отдельные файлы бесполезно. Более-менее эффективно получится очистить только весь диск целиком.

    • AgentJordan

      23.04.2018 at 21:00

      Не говоря уже о CoW файловых системах.

    • fabien

      24.04.2018 at 10:34

      Олег, скажите, пожалуйста, а удаление единичного файла с раздела FAT32 надежно, как пишет Altap Salamander, или все же брехня?

      • Олег Афонин

        Олег Афонин

        24.04.2018 at 10:51

        Я не знаю, какие алгоритмы использует Altap и на каком уровне он осуществляет запись на диск. Если приложение пользуется стандартными API, доступными приложениям в обычном режиме без эскалации привилегий, то это всё совершенно не надёжно. Если пишет на низком уровне прямо на диск, получив эскалацию привилегий, то я бы держался от него подальше — вы не знаете, куда ещё и что ещё он запишет и не порушит ли вам файловую систему (хотя, если речь о FAT32, там не может быть ничего важного по определению — Windows вы туда не поставите, шифрование не включите, коиптоконтейнер не создадите в силу ограничений на максимальный размер файла, так что — баловство это.) Наконец, если у вас SSD, то FAT32 там вообще не в тему, а надёжно удалить единичный файл не получится вообще. Ещё раз подчеркну, что при работе на уровне файловой системы о безвозвратном удалении данных говорить нельзя. Какие-то следы всё равно останутся.

  3. AgentJordan

    23.04.2018 at 21:02

    Хотелось бы немного прояснить ситуацию с методом Гутмана. Привожу цитату с его работы, которую можно прочитать по ссылке: https://www.cs.auckland.ac.nz/~pgut001/pubs/secure_del.html секция «Epilogue»
    «In the time since this paper was published, some people have treated the 35-pass overwrite technique described in it more as a kind of voodoo incantation to banish evil spirits than the result of a technical analysis of drive encoding techniques. As a result, they advocate applying the voodoo to PRML and EPRML drives even though it will have no more effect than a simple scrubbing with random data. In fact performing the full 35-pass overwrite is pointless for any drive since it targets a blend of scenarios involving all types of (normally-used) encoding technology, which covers everything back to 30+-year-old MFM methods (if you don’t understand that statement, re-read the paper). If you’re using a drive which uses encoding technology X, you only need to perform the passes specific to X, and you never need to perform all 35 passes. For any modern PRML/EPRML drive, a few passes of random scrubbing is the best you can do. As the paper says, «A good scrubbing with random data will do about as well as can be expected». This was true in 1996, and is still true now.»

    Сам Гутман говорит, что:
    1) метод не подразумевал использование 35ти проходов; для конкретного диска использовались конкретные проходы;
    2) для текущих HDD достаточно пары перезаписей.

  4. wunagi

    24.04.2018 at 21:29

    У меня Samsung SSD EVO 840 1 Tb. С ним идет программа Samsung Magician. В ней есть кнопка Secure Erase. Кто знает, как она работает?

  5. Kadist

    25.04.2018 at 11:44

    Стандарты…стандарты… Слишком много важности и скорее для возможности использования своего метода в госучреждениях для отчетности, ну и для платной основы 🙂
    Ничего проще нет чем просто забить диск рандомными значениями. Например HDTune и поставить тест на рандомную запись. Так же и к SSD, ведь Trim нужна для ускорения записи. А записывая принудительно, скорость упадет для стирания ячейки, но будет перезаписана. Да просто записав 0101, твоё личное проно, ключи коинов уже не достанут (всякие сторонники остаточной намагниченности идите лесом…теоретики/ботаники)
    Спасибо за информацию про format c: /p:1 — считаю этого достаточно.

  6. Михаил Абеленцев

    26.04.2018 at 15:59

    Кому что, я делаю проще…сверло по металлу и пять сквозных отверстий крестом насквозь

  7. rutkit

    27.04.2018 at 06:22

    Дрель в диск самое надёжное удаление данных!

Оставить мнение

Check Also

Энкодеры msfvenom. Разбираемся с кодированием боевой нагрузки при бинарной эксплуатации

Генерация полезной нагрузки — неотъемлемая часть эксплуатации. При использовании модулей M…