Как стать автором
Обновить

Подчищаем за собой: учимся удалять данные с HDD и SSD

Время на прочтение17 мин
Количество просмотров106K
Всего голосов 18: ↑16 и ↓2+23
Комментарии84

Комментарии 84

В случае вскрытия HDD, созданного по технологии HelioSeal, гелий мгновенно улетучивается, замещаясь более плотным атмосферным воздухом, из-за чего расстояние между головками чтения/записи и магнитных пластин в несколько раз увеличивается. В этих условиях силы магнитного поля, создаваемого пишущим модулем, оказывается уже недостаточно для записи данных, хотя с чтением каких-либо проблем не возникает. Этот нюанс был предусмотрен при разработке гелиевой платформы, чтобы в случае нештатных ситуаций вы могли без особых проблем перенести информацию с поврежденного по тем или иным причинам накопителя на исправный

Странно слушать рассказы от WD про диски WD/HGST в которых утверждается, что гелиевый диск все еще будет работать после вскрытия. В ваших дисках датчик стоит, который косвенно измеряет уровень гелия в банке и при падении уровня гелия ниже критического firmware просто не загрузится и диск превратится в кирпич. Поэтому проблем с переносом информации в случае разгерметизации будет очень много.

Ну да, у меня тоже первая мысль, что за наглое гонево, ещё кто поверит и покалечился.

С другой стороны, вы же сами прекрасно понимаете, что отказ в обслуживании не есть кирпич, а просто так выглядит. Они же так типа о содержимом блинов заботятся, чтобы его можно было без проблем вычитать

НЛО прилетело и опубликовало эту надпись здесь

Розик - действительно хороший специалист. А с гелиевыми дисками умеет работать далеко не он один :)

без каких-либо проблем

это вам так кажется :) Там приседать надо долго с этими дисками.

Внутри корпуса такого устройства расположен соленоид, генерирующий при активации магнитное поле силой свыше 500 кА/м, которое полностью размагничивает блины, а заодно и выжигает всю электронику, так что после проведения очистки диск становится не пригоден для эксплуатации.

Прикольная штучка.

Ну да, проблема во времени, и даже не во времени, а в возможности запуска процесса. Итого при наличии непреодолимого компромата непосредственно в точке разработки возможность мгновенного уничтожения носителя стремится к нулю, рассчитывать на нее не следует. Мне кажется, это стоит отдельно подчеркнуть.

Для плановой ликвидации подходят многие способы, описанные в обзоре. Хорошая дотошная работа.

Микроволновки недостаточно?

Не знаю - у меня никогда не было микроволновки. Да я бы и не догадался ее таким образом юзать. Да и стирать "под ноль" не приходилось. Флешки все сами сыпались.

Трансдент на 16 гигов сломался от падения со стола на пол. Я поразился: высота, с которой флешка упадет неизбежно, не заложена в конструкцию?

А вот вопрос: на кистевом эспандере написано 25 kg. Что это значит? Что если его сжать и на веревочке подвесить груз, то он поднимет 25 кг?

Не менее, чем на пять минут.

А, если просто после удаления данных на место их перезаписать какой нибудь большой файл сколько нужно раз (например файл ISO какого нибудь большого дистрибутива Linux на нескольно Гб) до полного исчерпания свободного места на стёртом пространстве диска.
Насколько это решение применимо?

P.S. А, потом уже сдавать диск в комиссионку. :)

Ключевое здесь, на их место, LBA не всегда соответствует месту, и если в случае с HDD можно даже ничего не дописывать переписав лишь конкретные LBA то SSD придётся шумом дописывать.

Для SSD лучше сделать Secure Erase и не париться, ну разве что для контроля поискать потом по диску заведомо имеющийся на нем текст.

Перезапись на SSD не гарантированно заливает весь объем флешки, часть блоков поменяется с резервными, и там может что-то остаться.

А, потом уже сдавать диск в комиссионку. :)

Браво за правильную формулировку задачи. Практически единственная реальная ситуация необходимости убийства данных для частника.

Недавно как раз это делал на Макосе wipe с 7мю проходами 1тб диска занял у меня больше суток

но зачем. достаточно сделать dd if=/dev/zero of=/dev/sdb 1 раз

военным это надо что бы разворовать бюджеты и подольше штаны просиживать а вам?

Забивание нулями можно восстановить, лучше писать из /dev/random и несколько раз. С другой стороны, если дойдёт до того что такое будут восстанавливать, значит что-то уже конкретно пошло не так в контуре безопасности.

Как можно восстановить что то кроме того что туда было записано последним? Емкость диска на самом деле намного больше что ли

Есть такое распространенное мнение, что по краям секторов остается остаточное намагничивание и если переписать основную область сектора однотипными значениями, то возможно выделить остаточную разницу по краям и таким образом предположить, какие данные были записаны. Как это может работать с черепичной структурой не представляю, но возможно после однократной записи что-то где-то остается.

мне кажется это какая-то байка.
как можно "предположить" что там было записано? Кроме этой байки я ни разу не слышал, чтоб такое хоть где-то применялось.

Тоже не понимаю этот момент, но метод Гутмана всё же придуман для чего-то. Как хорошо в статье написано - "техномагия" какая.

Я правильно понимаю, что для винчестеров с черепичной записью это в принципе не применимо ?

Намагниченность — это аналоговое свойство. Оно не строго 0/1. Но я сейчас изучил мешок статей и похоже единственный раз такое восстановление было проведено на дискете, на современных же дисках ничего публичного про восстановление не нашел.

Намагниченность — это аналоговое свойство. Оно не строго 0/1.

намагниченность большого куска ферромагнетика - возможно, но намагниченность магнитного домена может быть только в двух состояниях, собственно именно это свойство и применяется для хранения информации

Всё это тянется со времён первых hdd, когда у них были проблемы с позиционированием головок. На современных жёстких дисках с этим все хорошо. И даже АСМ тебе не будет помощником для восстановления после 1-2 прогонов (опустим вопрос о площади которую он может обрабатывать за раз, а так же вопрос сбора данных в целое и их интерпретацию)

Это даже не со времен первых hdd, это на дискетах проблемы с позиционированием на разных дисководах были.

Замучаетесь ждать /dev/random. Скорее уж /dev/urandom. Да и то на ТБ-х будет долгонько.

Кстати про случайности. Тут подумал, что телефоны со всеми их датчиками могут быть хорошими генераторами случайных чисел.

Иронично после недавнего взлома сетевых дисков WD, когда когда диски умудрялись сами себя почистить, даже когда их не просили.

Зачем ломать, есть же HDShreder

Софтверные "стиратели" никак не стирают реаллокированные сектора накопителя, в которых могут быть остатки суперсекретных документов. Единственный способ софтверного решения задачи предотвращения несанкционированного доступа это шифрование всех данных перед записью.

По вопросу безвозвратности стирания flash-памяти здесь же как-то попадалась переводная статья с ровно противоположным утверждением — автор приводил способ обнаружения неравномерностей остаточного заряда в стёртых ячейках, основанный на дозированном "дозаряде", причём без "космического" оборудования: начинаем запись нулей, ждём точное время, прерываем запись сбросом, читаем, повторяем. Ячейки, до стирания содержавшие нули, быстрее начинают выдавать нули, т.к. стирание разрядило их не полностью, а лишь ниже порога 0/1.

Ага. Только с практической точки зрения, когда вы стёрли нужный файл, например, этот способ не применим. Как и чтение по краям дорожек.

Если в современном SSD есть изкоробочное шифрование и существет возможность заставить контроллер "забыть" ключ - этого достаточно чтобы обломать любого желающего. Данные за доли секунды превратятся в труху.

Я недавно так тоже думал, пока не наткнулся на один гайд по безопасности. Оказалось, что компании-производители дисков не сильно хорошо умеют в шифрование тык

Пока хз, исправили ли это со временем или нет.

Мой комментарий обсуждает не качество защиты данных, а способ их уничтожения. Требования значительно ниже, достаточно просто уметь и использовать aes, а так же забывать ключ шифрования по команде. И даже если контроллер не пометит область как пустую, а после не отправит команду trim - вытащить оттуда нечто осмысленное уже задача близкая к неразрешимой. Это не касается устройств, не способных, ввиду неких причин забывать ключи шифрования. К сожалению, простой пользователь, не имеет возможности отличить такие устройства от других.

НЛО прилетело и опубликовало эту надпись здесь

О, у меня тоже дежа вю

Хотите быстро и надёжно уничтожить - ставьте диски в съёмные карманы, а рядом ставьте наковальню и молоток кил на 10. Это будет 100% гарантия. Всякие форматирования со 100500+ проходами - это когда есть время действовать без спешки и вдумчиво. Там то раздел может оказаться кем-то занят, то ещё какая ерунда.

В мае 2015 года Попелышей повторно задержали в ходе совместной спецоперации МВД и ФСБ в Санкт-Петербурге. В качестве экспертов при обыске участвовали специалисты Group-IB. Когда полицейский спецназ выпиливал металлическую дверь квартиры, где жили Попелыши, братья в панике пытались смыть в туалете полмиллиона рублей, флешки и сим-карты. На случай полицейской облавы у братьев был заготовлен даже электромагнитная пушка для размагничивания жестких дисков уничтожения компьютеров.

Никакие молотки не помогут.

Это смотря в чём подразумевается помощь. Если у вас половина серверной завалена брикетами с героином, то по поводу данных можно вообще не заморачиваться ибо с таким багажом, в зависимости от страны, либо расстреляют, либо возьмут на полное гос. обеспечение до конца жизни.

Уничтожение данных с носителей - это всего лишь часть комплекса мер. Если ты расхренячил винт, но оставил "чёрную первичку" или "чёрный нал", то скорее всего добьёшься того, что тебе добавят пару годков за противодействие.

В контексте моего комментария, современными жесткими дисками считаются те, у которых в качестве механизма позиционирования используется звуковая катушка а не шаговый двигатель.

  1. Остаточная намагниченность. На современных жестких дисках нет возможности отличить "слабую единицу", которая так записалась из-за того, что на этом месте раньше был ноль, от "слабой единицы", которая так записалась в силу каких-то других причин, которых может быть довольно много.

  2. Данные по краям дорожек можно считать на некоторых моделях дисков, которые ещё можно встретить в эксплуатации. Вот прям вполне себе современных. С ходу не помню модели, если интересно, уточню у сведущих людей. (На последних моделях головка при записи "зашумляет" края и там ничего не остаётся.) Но практической пользы от считанных с краёв секторов данных нет. Потому что вы просто не знаете что это и как интерпретировать. Это действительно кусок какого-то перезаписанного файла? Который был здесь вчера? А может год назад? А может это шум, который тут с завода?

В общем многократная перезапись - это атавизм и пустая трата времени. Одного раза достаточно.

При этом надо конечно принимать во внимание, что сектор с данными может быть переназначен и выведен из пользовательского адресного пространства. И перезаписан будет уже резервный сектор, а не сектор с данными.

Из того, что существуют какие-то регламенты, которые требуют многократной перезаписи следует только вопрос о том, были ли эти регламенты актуальны хоть когда-то, или они изначально разработаны некомпетентными людьми. И предположение о том, что чиновники не хотят брать на себя лишнюю ответственность и тратить время на их актуализацию.

Периодически в компанию, где я работаю, обращаются с просьбой проверить, возможно ли восстановить данные после использования того или иного метода уничтожения. Например, после покупки оборудования для размагничивания.

Случалось наблюдать такое, что электромагнитный импульс выводил из строя плату управления, а данные на пластинах оставались в идеальном состоянии.

В плане качественного уничтожения могу отметить устройства компании "Самурай24" (не имею к ним отношения). В дисках после использования их устройств аж головки импульсом отрывало. И что-то странное происходило с поверхностью, что - мы так и не разобрались. На вид всё нормально, повреждений нет, но донорские исправные головки выходили из строя мгновенно. Возможно поверхность так сильно намагничивалась, что влияла на головки, меняя их свойства. Данных само собой никаких там уже не было.

В качестве средства "гарантированного средства уничтожения данных для бытового применения" подойдёт форматирование с последующим заполнением любыми не конфиденциальными данными, или тест записи "по всей поляне", любой софтиной, которая умеет это делать. Тестером, например https://rlab.ru/tools/rtester.html

У SSD виртуальные адреса, управляет ими отдельный контроллер, реальные адреса ОС не видит. Запись в тот же виртуальный адрес, физически - это запись "в уже другой блок".

А GC SSD делает только пометку, что блок не содержит данных.

/dev/urandom, иначе помереть можно, пока будет перезаписываться жёсткий диск целиком.

НЛО прилетело и опубликовало эту надпись здесь

Фигасе какие грубые методы программного удаления в Винде, через форматирование. Зачем? Ну ладно, если диск продаётся...

Но если например там побывало то что от чего не должно остаться следов, но так же есть куча данных который удалять не планируется, то ради этого форматировать диск не нужно. Есть куча утилит работающих по свободному пространству.

Например CCleaner, он затрёт не только все свободное пространство, отменив возможность восстановить файлы хранящиеся непосредственно в фс. Так же она делает длительный проход по созданию огромного количества папок и вложенных папок, чтобы стереть все файлы, которые хранились не в самой ф.с. а в MFT (мелкие файлы в NTFS хранятся непосредственно в MFT, как бы не занимая места на диске, а тратя только место из файловой таблицы).

Ну и удаляет достаточно сносно, пробовал после восстановить данные из RStudio - ничего не восстанавливает, даже маленькие текстовые файлы.

Т.е. достаточно надёжный путь подчисить за собой диск.

Например CCleaner

В Windows 10 есть Storage Reserve – функция, по умолчанию включенная для системного тома (который обычно диск C:). Эта функция, помимо прочего, сокращает "видимый" объем свободного пространства в файловой системе, чтобы свободное место с точки зрения пользователя "закончилось" раньше, чем это реально происходит (это делается, чтобы операционная система могла поставить обновления, используя зарезервированную область; при этом сама зарезервированная часть свободного пространства заранее как-то не выделяется, все реализовано в банальном уменьшении "видимого" объема свободного пространства).

CCleaner такие области чистить не умеет (даже если подключить очищаемый накопитель как внешний, а не работать на "живой" системе), только cipher. А в этих областях вполне могут быть пользовательские данные.

к счастью я не работаю с 10й и 11й. Я на Win8, и похоже это последняя ос от Майкрософт (и на мой взгляд самая удачная) которой я пользуюсь. Дальше, опять вернусь на Linux скорее всего. До этого уже собственно и был на Linux-e, но поставил Win, когда увлекся фотографией, таки проприертарный софт пободрее для творчества, чем всякие Гимпы, ДаркРумы, и упаси случай Вайн+Проприертарщина. Но увлечение фотографией прошло, а Win осталась :)

К тому же я все же думаю что и в 10 и в 11 как-то можно отключить резервирование пространства для обновлений. Возможно даже официальными инструментами...

Если речь идёт об удалении данных со всего накопителя, то shred можно прям на диски натравливать и он хорошо справляется

shred -v /dev/sda

А что, блины HDD ныне уже не стеклянные?

А что касается спец оборудования для уничтожения - езжайте на шашлыки, там костер дармовой будет.

Не всегда.

НЛО прилетело и опубликовало эту надпись здесь

Вопрос - при очистки корзины стандартными способами, данные затираются или остаются помеченными на удаление?

Только метятся. Проверить легко - удаление 1 файла 12 байт и 1,2 GB по времени одинаково.

… Вывод напрашивается сам собой: для того, чтобы гарантированно удалить тот или иной файл, нам следует инициировать его принудительную перезапись. Для этих целей существует немало утилит, однако проще всего воспользоваться штатными средствами вашей операционной системы.

Windows

format d: /fs:NTFS /p:10
...
Радикально — для перезаписи файла мусорными данными использовать format

Для Windows есть куча сторонних утилит, в т.ч. бесплатных и/или open source, удаляющих и перетирающих файл (примитивная операция), а также утилит, перетирающих всё свободное пространство на диске. Что удобнее в использовании, т.к. можно запускать по расписанию и навсегда успокоить свою паранойю.

Запускать чистку по расписанию хороший вариант, но годится только для HDD, в случае SSD это очевидно неприемлимый расход ресурса накопителя.

В случае SSD можно озаботиться установкой аппаратно шифрованных дисков, которым можно отдать команду secure erase, заменив ключ шифрования — после такого никто ничего не прочтет.

В данном примере мы форматируем том D в файловую систему NTFS, при этом даем операционной системе команду предварительно перезаписать весь раздел нулями 10 раз, используя параметр /p («passes»), задающий количество проходов. Перезаписать конкретный файл или каталог прицельно Windows, к сожалению, не позволяет.

Но-о... cipher.exe же. Работает только с ntfs, но может перезаписывать каталоги и всё пустое место на диске. Насколько помню, по умолчанию делает три прохода - нули, единицы и случайный.

Для windows есть sdelete от Марка Руссиновича. Не системная, но скачать можно

Linux shred и папки
$ find ./target -type -f -print0 | xargs -0 shred -zvu -n10
$ rm -rf ./target

Не нужно нарушать закон, и тогда не потребуется эти методы.

Законы, которые пишут упыри-людоеды?

А если просто шифровать диск, например, через VeraCrypt с суперсложным паролём (который мы не сохраняем), а потом форматировать диск быстрым форматом? Будет быстрее чем куча проходов формата, и гарантировано что файлы не восстановят.

Всё зависит от модели угроз. Если задача - просто сделать так, чтоб украденный/потерянный диск нельзя было прочитать, то FDE вполне достаточно. Если же задача - убедить маски-шоу, что спецотдел не сможет ничего прочитать с диска, то тогда - один из описанных способов, причём желательно, чтоб "маски" из шоу видели аппарат, из которого вышло то, что раньше было диском. Иначе могут решить, что просто недостаточно настойчиво спрашивают пароль от диска.

НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь

А разве накопители на металлических пластинах еще не вымерли? Везде же стоит тонкое стекло, которое двумя ударами молотка превращается в полную труху из сотен осколков, которые при всем желании обратно не склеить.
И в сочетании с шуруповертом, которым моментально можно открутить 5-6 болтов препятствующей доступу крышки, молоток - идеальный способ быстрого немассового уничтожения. И зачем тогда все эти методы с кислотой, шлифмашинкой?

Как раз наоборот в современных HDD используются алюминиевые пластины, так что молоток особо не поможет.

Если надо без шуму, а пативэн ещё в пути, то проще отвёрткой, шилом, ножницами и т. п. проковырять в крышке пару тройку отверстий, кинуть в кастрюлю с водой и варить до готовности. Соль, сахар по вкусу. Можно использовать соду. Когда уже ломятся в дверь и совсем не за солью, то остаётся вариант со строительным пистолетом и дюбель гвоздями.

Только кто сейчас данные хранит чувствительные локально? Обычно где-то там и зашифровано.

FAR забыли! Ctrl-Del или Shift-Del, не помню уже,- достаточно удовлетворили мою паранойю.

Alt-Del — wipe file

Прочитал я про то как легко очистит SSD диск и вспомнился мне один WD Blue ssd который имеет привычку забывать о записанных на него данных при смене контроллера к которому он подключен. Буквально если подключить его через один usb контроллер, отформатировать, записать какие нибудь данные, а потом подключить через другой usb контроллер то диск рапортует о своей девственной чистоте и отсутствии даже форматирования, при этом подключение через старый контроллер возвращает данные на место .
Кто нибудь знает что это за фича такая и как её можно отключить?

IMHO - или разные схемы трансляции у этих контроллеров, или они (один или оба) шифруют данные при записи на носитель, при этом ключи (и алгоритмы) разные и второй контроллер не отдает ничего разумного компьютеру при подключении диска, размеченного и записанного на первом. Как я понимаю - простыми средствами не лечится.

Речь же о USB-SATA(NVMe) контроллерах?

Да о USB-SATA контроллерах и слабо верится что контроллеры шифруют диск, хотя теоретически случайно могут активировать какой нибудь SED на диске, но wd dashboard показывает что шифрования нет. И потом проблем с другими дисками на этих контроллерах не возникало.
Я всё таки склоняюсь к мнению что это какая то секьюрити фича самого диска типа защиты от кражи, но что это за фича и как её отключить не знаю.

Да о USB-SATA контроллерах и слабо верится что контроллеры шифруют диск

WD выпускало внешние диски аж на 5 разных USB контроллерах, которые шифрует диски. До сих пор выпускают WD DUO где USB контроллер шифрует диски.

Я просто с этим столкнулся пару лет назад - помер контроллер в USB боксе, винчестер был исправен, но прочитать с него ничего не вышло - шифрованный мусор. Причем такой же контроллер не помог (видимо, ключи разные?). Благо ничего критичного там не было, просто потаскунчик для переноса данных.

PS: Поэтому уже много лет беру одну и ту же модель (Agestar 3UB2P) - она ничего не шифрует, и кабель прилагаемый весьма прочен ;)

Ко мне в мастерскую как-то попросился один знакомый, работник банка. Ему нужно было штук 20 HDD уничтожить. Процедура проста. Сверло 10мм и сверлильный станок.
Часа полтора он дрюкался, но у него всё получилось! В каждом винте 3 сквозных отверстия - и никто уже не восстановит.

Этого недостаточно ;) Многие параноики от IT искренне считают, что их яшмовые данные настолько ценны, что кто-то может заморочиться анализом дырявых пластин с помощью электронного сканирующего микроскопа, и собрать оттуда все имевшиеся там когда-либо данные, причем по каждому сектору послойно, от самых свежих, до первой записи после приобретения.

Потом этот массив данных проанализировать и выдать выписку по счету ООО "Ромашка".

PS: Для таких очередной раз порекомендую термитную смесь с электроподжигом ;)

Да, есть такое!
Я этому человеку задал вопрос: "Зачем 3 отверстия? Ведь уже после первого диск станет нерабочим и данные будут недоступны!".
Он ответил, что таков регламент уничтожения, так требует руководство.
Представляете, каково это сверлть жёсткий диск тупым сверлом, которое он с собой принёс? )))

Зачем 3 отверстия? Ведь уже после первого диск станет нерабочим и данные будут недоступны!.

Это зависит от драйва и места где проделана дыра, некоторые диски еще можно частично прочитать, так что 3 дыры на разном удалении от края пластины это самое оно.

В Windows для очистки неиспользуемого пространства на HDD не обязательно форматировать том. С давних времен есть встроенная утилита cipher, которая помимо работы с зашифрованными файлами умеет очищать неиспользуемое пространство.

Для очистки диска D: достаточно запустить:

cipher /w:D:

Подробнее https://docs.microsoft.com/en-us/windows-server/administration/windows-commands/cipher

Возможные недостатки:

  1. Метаданные о файле скорее всего не очищаются.

  2. NTFS может хранить маленькие файлы прямо в MFT (до 696 байт при некоторых условиях). Тоже сомнительно, что они очищаются.

Для SSD достаточно двух полных перезаписей рандомными данными, чтобы захватить страницы в резервной области.

Зарегистрируйтесь на Хабре, чтобы оставить комментарий