Biztonságos törlés több menetben?

Linux-security

Egy gép leállítása előtt szeretnék minden adatot biztonságosan törölni róla.

Miután letöröltem a kritikus fájlokat, törölném a felszabadult területet is. Erre megtaláltam az swap és sfill programokat.

Amit nem értek, miért kell több menetben is felülírni a tárterületet? Miért nem elég minden szabad helyre 0-át írni?

  • 868 megtekintés

( neutrino v | 2020. 02. 17., h – 10:28 )

Szerkesztve: 2020. 02. 17., h – 10:29

Azért, mert amikor te simán "letörölsz" róla valamit az csak a fájlrendszerből tűnik el, (átbillen a foglaltságjelző 1-ről 0-ra), viszont a lemezen ott marad a tényleges adat, amit recovery cuccokkal ki lehet bányászni. Ezért szokták többször újrairni, random adattal, 0-val, whatever. De olyat is láttam már céges környezetben, ahol ki volt adva, hogy csak akkor secure a törlés, ha a diszket teljes egészében legalább 10x végigirtuk random adattal.

1904.04.08.
RIP Jákub.
neut @

Konkrétan igy zajlott a párbeszéd:

-Selejtezünk, ki kell dobni ezt a C6500-at is, kérlek tegyétek használhatatlanná

Szemöldököm felszalad: Oké főnök, de azon túl, hogy letörlöm a configot róla mire gondolsz? Kócoljam össze a bővítőkártya tüskéket csavarhúzóval vagy mégis mi?

-Hát hogy ne működjön, ne lehessen vele semmit se kezdeni. A csavarhúzós jónak látszik, legyen az.

 

Szakmai fájdalmaim ilyenkor néha vannak, elvégre az eszköz még akkoriban használtan is 800k-1M HUF körül ment és azon kivül, hogy újabbra váltottak nem volt vele gond.

1904.04.08.
RIP Jákub.
neut @

( eff | 2020. 02. 17., h – 10:46 )

Szerkesztve: 2020. 02. 17., h – 10:50

Az adatmegmaradasrol:

Finally, even when the storage media is overwritten, physical properties of the media may permit recovery of the previous contents. In most cases however, this recovery is not possible by just reading from the storage device in the usual way, but requires using laboratory techniques such as disassembling the device and directly accessing/reading from its components.

https://en.wikipedia.org/wiki/Data_remanence

Secure erase:

https://wiki.archlinux.org/index.php/Securely_wipe_disk#shred

Az a baj, hogy a "hagyományos" adatmegsemmisítés úgy működik, hogy az érintett disk területeket (néhányszor) felülírod értéktelen adatokkal. Egy SSD esetén viszont az, hogy te arra a számú blokkra írsz, ahonnan a neked érdekes fájl adatait ki lehet olvasni a wear leveling miatt nem garantálja, hogy fizikailag is ugyanabban a blokkban fog kikötni az adatod. De erről a törlő szoftver nem tud.

A másik probléma, hogy a wear leveling számára fenn van tartva valamennyi flash terület, amit kívülről nem lehet elérni. Ebben szintén maradhat érdekes adat, amihez a memóriachipek leszerelésével és közvetlen kiolvasásával (az SSD saját vezérlőjét megkerülve) hozzá lehet férni. És ez az egész fekete dobozként viselkedik, gyártónként más-más algoritmusok alapján, fogalmad sincs róla, hogy belül mi történik.

( egmont | 2020. 02. 17., h – 10:56 )

Több menetben, felváltva nullával és randommal azért illik felülírni, mert a tényleges tárolás nem digitális, hanem analóg. Sima szoftverrel 0-t fogsz olvasni, ha egyszer azt írtad oda. De ha mondjuk adatmentéssel foglalkozó cég vagy, vagy titkosszolgálat, akkor valószínűleg megvannak az eszközeid arra, hogy az 1-ről felülírt 0-t 0.02-nek olvasd ki, míg a 0-ról újból megerősített 0-t pedig 0.01-nek. (Ez ilyen mese-mese-mátka szintű szemléltetés hasraütött számokkal, konkrét jelentés nélkül.) Vagy abból nyerj ki információt, hogy a mágnesezés nem egészen pontosan ugyanott történik mindig, hanem epszilonnal arrébb.

Azt azért jegyezzük meg, hogy a topikindító ügyesen eltitkolta, hogy ez pontosan milyen meghajtó. HDD vagy SSD? Amit írsz az HDD-kre igaz. Egyébként ez a többszöri felülírás paranoia, én nem tudok olyan publikált esetről, amikor egyszer felülírt HDD-ről bárki is visszahozott volna valamit. Elméletileg gyengeségnek tartják egyszer felülírni, de a gyakorlatban már az egyetlen körös felülírás is rettenet hatékonyságú.

Windows 95/98: 32 bit extension and a graphical shell for a 16 bit patch to an 8 bit operating system originally coded for a 4 bit microprocessor, written by a 2 bit company that can't stand 1 bit of competition.”

Hirtelen nem találom, de olvastam egyszer erről egy tanulmányt.

Az volt a lényege, hogy régi HDD-k esetén még valóban meg lehetett ezt csinálni, de az újabb tányérokon már akkora az adatsűrűség, hogy igen kicsi az esélye a sikeres visszaállításnak. Valamikor 2010. környékén találkoztam ezzel, az akkori lemezeken minden bitre 1x% rémlik, amiből látszik, hogy már egyetlen byte is nagy valószínűséggel hibás lesz, egész fájlnyi sorozatokról nem is beszélve.

Azt azért szintén jegyezzük meg, hogy a topicindító azért titkolta el, hogy HDD vagy SSD, mert épp nem értette, mi értelme egyáltalán ennek a törlési módnak. A magyarázatok tükrében meg már eléggé egyértelműen látszik, hogy HDD esetén van értelme, bár az SSD is analóg tárolja az értékeket, tehát akár ott is lehet haszna.

Egyébként HDD.

( ncc1701 | 2020. 02. 17., h – 11:30 )

Ha ezek olyan adatok, amiért pár évet kaphatsz, akkor én csak memóriában tárolnám őket. Lemezre még véletlen sem írnám ki.

( suckit | 2020. 02. 17., h – 12:08 )

Titkosítsd el az adatokat, és minden alkalommal, amikor már nincs rá szükséged, dobd el a kulcsot (majd kezdd elölről).

Csinálhatod hardveresen és szoftveresen is.

Úgy érted, eleve titkosítva kellene (kellett volna) ezeket tárolni. Mert ugye az SSD wear leveling, meg a HDD bad sector reallokációja, meg ilyesmi révén amit egyszer már ráírtál titkosítás nélkül, az ki tudja meddig marad még rajta logikai felülírás után is. Az egyébként szerintem teljesen korrekt dolog, hogy a feloldáshoz szükséges kulcs ott van a gépben/bootloaderben, és kód nélkül is elindul, lényeg, hogy ne az adatdiszken legyen, ekkor kulcs nélkül az adatdiszken semmi adat nem lesz visszanyerhető elvileg. Azért még 1x ezt is felül lehet írni urandom-ból, nehogy a kódot próbálja meg valaki visszafejteni.

Mi köze a modernséghez? A lemezbe épített titkosításra gondolsz? Én a gyártók inkompetenciája miatt nem bíznék abban. Ami a SATA kábelen titkosítás nélkül megy át, az már gond. A mondandóm lényege, hogy a lemezre csak olyan adat menjen, amit a lemez nélkül nem lehet kiolvasni róla.

( bucko | 2020. 02. 17., h – 16:23 )

Amit nem értek, miért kell több menetben is felülírni a tárterületet?

Elmagyarázom. ;)

Sok-sok évtizeddel korábban az író-olvasó fejek pozicionálása mechanikus és a maihoz képest pontatlan volt. Akkoriban az informatikus parasztgyereknek ki volt adva, hogy sokszor írja felül a megsemmisítendő adatot, mert nem volt más megoldás. Mágnesszalagnál elég volt egy csavarhúzó, diszknél meg volt microstep, amivel két track közé lehetett pozicionálni.

Az idők folyamán a biztos ami ziher alapon a sokszori felülírást és az alkalmazott mintákat szabványosították. A szabvány túlélte a műszaki fejlődést...

Manapság a pozicionálás a diszkre felírt szervo információ segítségével történik. Megjelent a (S)ATA szabvány is. Minden diszknek (ssd-nek is) van Secure Erase Unit parancsa, amely végrehajtásával a teljes diszk törlődik.

A törlő parancs kiadásához nem kell operációs rendszer, sem az azon futó csodaprogramok, sőt, még azt az 5 sor assembler kódot sem kell megírnod. Helyette ott a BIOS.

Látszólag csak be kellene állítani a hdd password értékét, majd némi ki-bekapcsolgatás után kitörölni. Erre a diszk végrehajtja a Secure Erase Unit parancsot, azaz végigtörli a diszket.

Sajnálatos módon az egyes gyártók igen ötletgazdagon össze-vissza valósították meg ezt a fícsört. Némi támpontot adhat ez a leírás.

A Secure Erase Unit végrehajtásának időtartama specifikált a diszk adatlapján.

( lcsaszar v | 2020. 02. 17., h – 20:21 )

Bulk Eraser

Hangstúdiókban használták az orsós magnószalagok törlésére. Gyakorlatilag egy nagy baromi erős elektromágnes, amire ráteszik az orsót, ráadják az 50Hz-et, majd lassan leveszik az orsót, és elviszik messzebbre. Garantáltan nem marad semmi utána, és azért jobb, mintha magán a magnón törölnénk a beépített törlőfejjel, mert zaj sem marad. Na meg gyors.

( uid_6201 v | 2020. 02. 18., k – 06:50 )

Szerkesztve: 2020. 02. 19., sze – 06:32

Nagyon lassú a wipe-olás, főleg TB-os méretben. Helyette ha már nem tervezed használni a merevlemezt, akkor szétszedi, mágnes jó lesz a gyereknek. A tányért pedig satu+kalapács meggörbíteni.

( YleGreg | 2020. 02. 18., k – 08:45 )

Nálunk is volt ilyen igény.

Kétféleképpen oldottuk meg.

Amely régi vinyókhoz még szerencsére találtunk olyan gépet amibe még bele lehetett dugni őket, azoknál USB kulcsról boot, raid0 kötet létrehozás, aztán shred (ami nyolcszor randomot ír aztán nulláz) és reggelre üresek lett az adott kupac vinyó. Egy hétig tartott mire azt monduk, hogy jóvan, ezt már csak a CIA tudja visszaállítani, ennyi rizikó belefér.

Ami vinyóhoz már nem találtunk olyan gépet ami kezelni tudta volna őket, vagy már nem pörgött fel, azt nagyon óvatosan és szakszerűen szédszedtük, (mert Isteni mágnes bánya van bennök), majd rekreációs és dühkezelési tevékenység körében... amiben szerepet játszott egy kalapács is... Nos, békés emberként csak annyit mondok, hogy csak részben vagyok rá büszke, de ripityára!