"Az SSD meghajtókat nehéz biztonságosan törölni..."

Merevlemezek, vezérlők

http://www.tmsi.hu/hu/sophos-anti-virus/hirek/Sophos-SSD-biztonsagos-to…
Ha ennek ellenére, valakinek SSD-t "clean-ezni" támadna kedve, mit javasoltok. Pl. Intel, de más gyártmányok esetén. (Nem szeretném tönkretenni. - Nálam az eddig kipróbált módokon, az Intel eredeti, ezt a célt szolgáló célszoftvere nem hajlandó "nullázni" A konkrét gépen a Live-os megoldás el sem indul, W10-esről nem hajlandó a másodiknak, /nem boot-nak!/ beállított SSD-t "kezelni", - esetleg W7-ről jobb lenne a helyzet?)

  • 4822 megtekintés

( ncc1701 | 2016. 06. 29., sze – 09:38 )

Mi fizikailag szoktuk megsemmisíteni azt az adathordozót, amin kényes adatok vannak.

mi bármilyen leadott adathordozót hozunk be adott ügyfelektől, szerződésben vállaljuk a teljes megsemmisítést. a lemeztányérokból random megy/ment a kolléganőhöz piperetükörnek, a maradék pedig roncsolás aldozata. a vezérlőelektronikát valamikor megtartottam, de mára az is megy a elektromos hulladékba.

én sem bízok vakon a többszörös random felülírásban sem - ennek ellenére kevesebb elvárt dolog esetén a DBAN is vendégünk. nem is baj, hogy ránéztem: 15 Dollárért már certet is ad \o/

--
Vortex Rikers NC114-85EKLS

Tehát ezt a "Live"-ot nyugodtan ráengedhetem egy SSD-re, a többszörös felülírás okozta "kár" mellett, nem teheti végleg tönkre? - Azaz inkább úgy kérdezem, egy 100%-os állapotú SSD drive esetén, mennyi százalék-eséssel lehetséges-kell számolni egy DBAN-al végzett törlés után? - (Vagy majd, kipróbálás után megtudom? - helyesen értelmezem, hogy standard esetben 6x ír felül minden szektort?)

IMHO egyszer kell garantált kikapcsolt trim mellett (na ezt hogy?) egyszer végigírni. Itt nincs koercitív remanencia, sem sáv-árnyék itt a 0 az nulla. Már ha, na. Szóval az ssd drive belső elektronikájának az esetleges trim-jét hogy lehet kikapcsolni? Mert akkor könnyű kiszámolni mennyi max csilliógigabájtból egyszeri teljes mennyiség írása mennyit csökkent az élettartamon. Persze egy ilyen burst írást nem releváns az "időben elnyúló" használattal összevetni.

+1

Ha bizalmasak az adataid, akkor a fizikai hozzáférés ellen is védekezni kell. A fizikai hozzáférés elleni egyetlen értelmes védelem az egész meghajtó titkosítása.

Ha fölmerül a gyanú hogy a feloldó kulcs illetéktelenek kezébe került, akkor kalapás és krematórium.

Ha ilyen gyanú nincs, akkor nincs szükség semmiféle törlésre. Nyugodtan odaadhatod bárkinek. (Odaadod vagy ellopják: biztonság szempontjából ez már lényegtelen.)

Hasznos cikkek, elmentettem. - A Flash memóriák fizikája adja, hogy elpusztításukig a nem nullával felülírt szektorok megőrzik az adatokat. (Persze, bizonyos számú felülírás után a kiolvasásuk azért már nehezebb. (a kalapács után is, :)) Nyilván a "kezelésnek" igazodnia kell, a konkrét drive technológiájához..)

Engem mellékesen egy lehetséges probléma izgat. A telepítések (W10 elterjedése után pláne..) egyre inkább online zajlanak, a nem kívánt azonosítások, telepítések, vagy más követési szándékok is, egyre nagyobb eséllyel kiolvashatók egy felülírásos telepítés alatt v. azt közvetlen megelőzően az adott, újrafelhasznált tárolóeszközről. Minden információtárolást, telepítést szeretnék tiszta lappal indítani. Erre gondoltam a felvetésemmel. - Ez nem merült még így fel?

( bucko | 2016. 06. 29., sze – 13:24 )

No, és most még a cikket is elolvastam.
Kár volt.

Az SSD meghajtókon található adatok biztonsági törléséhez szükséges ATA és SCSI paranccsomagok képességei a tesztelésre adott 12 meghajtóból csak 8-on voltak elérhetőek, és csak 4 meghajtón futottak le sikeresen.
Hályogkovács nekiáll és okoskodik?
Adatlap megnéz. Ha oda van írva, akkor gari. Ha nincs odaírva, akkor ne teszteljük már, hogy a hó piros-e?
Megnéztem a tanulmányt is. Nem derül ki a teszt konfiguráció. Ettől kezdve a kísérletek nem reprodukálhatóak.
A tanulmány 4. oldalán:
- USB mass storage device does not support ATA security - Érdekes. Ezt tesztelés nélkül nem tudták?
- Drive encrypted, unable to verify if keys were deleted - Roppant érdekes. Lila gőzünk sincs ennek az állapotnak az előállításáról. Tényleg nem tudni mit teszteltek.

A felülírásos tesztek: Ha egyszer tudjuk, hogy a szerkezet nem oda ír, ahova mondják neki, akkor mi értelme van az - ugyan szabványos - mágnesszalagohoz kifejlesztett, és léptetőmotoros diszkekhez továbbfejlesztet módszerek tesztelésének?

Az SSD meghajtók demagnetizálása nem törli az összes rajtuk tárolt adatot. Mivel az SSD-k nem használnak mágneses alapú tárolást, azért még volt némi remény, hogy az elektromágnesesség talán megsemmisítheti a flash chipek elektronikáját.
Sőt, kellő energiájú nagyfrekvenciás mágneses tér el is égeti az egészet. De vajon ennek mi köze a "biztonságos törléshez"?

Nagggyon szakértők!

Köszönöm a hozzászólásokat. Hiánypótló-homályoszlató-hasznos, talán másoknak is. Mivel a különböző gyártók a "flash-SSD" technológia gyakorlati megvalósítását ipari titokként kezelik ezért, - gondolom, - minden teszt egy kicsit "sötét kútba ugrás", és annak ellenére, hogy az itt ajánlott szoftvert, (a DBAN-t) merevlemezek "clean"-ezéséhez fejlesztették, - mivel adatok felülírásárol van szó, a SATA szabvány szerint készülő flash alapú meghajtók esetén is, ezért hát feltételeztem, hogy használható erre a célra. (Azaz, ha tévedtem volna, akkor esetleg "téglásítok" egy amúgy is garanciális, cserélhető tárolót. Nem lett volna veszteség...)

""Ha egyszer tudjuk, hogy a szerkezet nem oda ír, ahova mondják neki..""
Gondolom, ha minden szektort felülír, akkor mindegyikre sor kerül, akkor is ha nem sorrendben. (Kivéve persze, ha a célszofverekkel végrehajtott "nullázás" ellen, külön megoldást fejlesztettek a gyártók.)

Kipróbáltam, óvatos "duhajként" csak egyszeres felülírást kértem. Az SSD 100 százalékos állapotú maradt. KB 4-5 óra alatt végzett a 180GB kapacitással. Az induló állapot 270,9GB írást mutatott. Egy W10 telepítés (pluszban!) után lemérve 459,7GB. Tehát mindent összevetve nem járt jelentős "kárral" az SSD "tisztítás". (Kétségtelen, ez kb. 1 havi munkavégzést jelentett ezen a gépen.)

Az, hogy adott esetben, - ezután visszaállíthatóak-e az esetleg végleg megsemmisíteni kívánt adatok, - fejlett "recovery"-technikákkal biztosan, ("a la" Kürt Kft,) De hát nálam nem is ez volt a cél.

> Gondolom, ha minden szektort felül ír, akkor mindegyikre sor kerül, akkor is ha nem sorrendben.

Nem így van. A benne levő cellák egy része azt az adatot tárolja, hogy melyik cella mennyire volt használva. A valós tárolási kapacitása nagyobb, mint amennyit a külvilág felé mutat. Azért mert nem lehet előre tudni hogy melyik cella mikor megy tönkre, és előre beépítenek extra kapacitást arra, hogy pótolják a kiesett/majdnem tönkrement cellákat. A drágább SSD meghajtó leginkább a jobb kontroller miatt szokott drágább lenni. Jobb algoritmusa van arra, hogy hogyan ossza szét a terhelést a cellák között.

Az is kérdés persze, hogy mennyire nagy a biztonsági kockázat. Szerintem ha simán csak felülírod az egész területet OS szinten, az megfelelő védelem a legtöbb esetben. Ha biztosra akarsz menni, akkor ez nem elég, mert akkor egyesével kiszedhetik a flash chip-eket belőle és dump-olhatják a tartalmát. Így hozzá lehet férni olyan adatokhoz amik olyan területen vannak, amiket SATA-n keresztül már nem tudsz elérni. De ettől a megoldástól csak annak kell félni, aki államtitkot tárol. Hétköznapi adatoknál én simán felülírnám az egész területet egyszer, és az bőven elég.

De amúgy a legeslegjobb megoldás tényleg az, ha eleve titkosított file rendszert használsz. Az kíméli a legjobban a drive-ot, és az a legbiztonságosabb. Ha bizalmasak az adatok, akkor sokkal nagyobb az emberi kockázat (pl. valaki ellopja a drive-ot amikor még nincsenek törölve az adatok) mint a technikai (kikukázzák a drive-ot és megpróbálják visszafejteni).

Olvasd el a belinkelt cikkbe belinkelt tanulmányt! ;)
A sima felülírás helyett kölönbözó felülírási algoritmusokat teszteltek. Igen nagy százalékban visszaállítható adatok maradtak.
Ugyanott leírják a célhardvert, amivel a SATA kontroller "mögé lépnek", így nem kell kihegggeszteni a csipeket.

A kockázat mértéke nagyon egyedi lehet. Pl. kis szerencsével csak azt a <0,1%-ot kell visszafejteni, amin a jelszavak vannak.