Как без остатка удалить данные с цифрового носителя
Считается, что уничтожать информацию на цифровых носителях — удел черных хакеров или других групп незаконопослушных граждан. Однако это часто необходимо и коммерческим фирмам, государственным учреждениям, а также простым пользователям, если они хотят продать, подарить или попросту выбросить свой жесткий диск, ноутбук или системный блок. Стирание данных — важная часть жизненного цикла любого накопителя. О том, как гарантированно удалить личную или корпоративную информацию, мы расскажем в этой статье, подготовленной совместно с компанией «Акронис-Инфозащита».
В 2017 году британская фирма Kroll Ontrack, специализирующаяся на восстановлении утерянных данных, купила на eBay 37 бывших в употреблении жестких дисков (HDD) и 27 твердотельных накопителей (SSD). После непродолжительного анализа на 30 носителях были обнаружены не до конца удаленные данные.
При этом на шести винчестерах находилась бизнес-информация: технические чертежи, документы, фотографии и даже пароли и ключи доступа в незашифрованном виде. На одном из дисков оказались файлы целого онлайн-магазина, включая не только его настройки и конфигурации, но и виртуальный POS-терминал, а также счета-фактуры и товарные чеки с личными данными клиентов.
Интересно, что одна из компаний, продавших использованные жесткие диски на eBay, воспользовалась перед их реализацией услугами фирмы по «удалению информации». Тем не менее, восстановить стертые файлы не составило труда. В руках инженеров Kroll Ontrack оказалась база данных с именами покупателей, их домашними адресами, телефонными номерами и реквизитами кредитных карт.
Сама того не ведая, компания отдала в публичный доступ информацию, достаточную для совершения мошеннических действий в отношении ее клиентов. И это далеко не первый случай.
В 2013 году власти Великобритании оштрафовали госпиталь в графстве Суррей на 200 тысяч фунтов стерлингов, после того как на выставленных ими на продажу винчестерах нашли регистрационные карточки и истории болезней 3 тысяч пациентов.
А в 2009 году на купленном с рук жестком диске обнаружили ни много ни мало критическую информацию о THAAD (Terminal High Altitude Area Defense) — противоракетном комплексе подвижного наземного базирования для высотного заатмосферного перехвата ракет средней дальности, стоящего на вооружении в США, Израиле, Южной Корее, Саудовской Аравии и ОАЭ.
Впрочем, проблема неполного удаления данных с дисков касается не только корпораций и военных. Продавая на «Авито» свой старый ноутбук, вы можете не только выручить немного денег, но и предоставить злоумышленникам логины и пароли от своих онлайн-банков, доступ к кошелькам с криптовалютой, соцсетям и мессенджерам, личным фотографиям и видео.
Как же избежать подобных неприятностей?
Сейчас персональные компьютеры и ноутбуки чаще всего оснащаются двумя типами устройств для хранения данных. Первый — классические жесткие диски (HDD), состоящие из нескольких вращающихся пластин и электромагнитных головок чтения-записи.
Вторые — твердотельные накопители SSD, в которых нет механических деталей. Вместо них на монтажной плате размещаются чипы флэш-памяти SLC, MLC, TLC или QLC. Они различаются тем, что способны хранить от одного до четырех битов информации в одной ячейке. Вне зависимости от типа, каждый из них — это банк данных. Информация на чипе хранится постранично.
Начнем с нестареющей классики HDD. Обычно пластины для них производят из композитных материалов и покрывают тонким слоем ферромагнетика. Именно он хранит записанные данные.
На заводе-изготовителе выполняется низкоуровневое форматирование: вся площадь пластины делится на окружности — дорожки, которые, в свою очередь, разбиваются на короткие отрезки — секторы. Чтобы получить к ним доступ, необходимо знать номера диска, головки для чтения и сектора.
Слой ферромагнетика состоит из множества магнитных доменов — микроскопических однородно намагниченных участков, отделенных границами. Если приложить к домену внешнее магнитное поле, то на его поверхности останется зона остаточной намагниченности, что и позволяет записать в домен какую-либо информацию. Каждая из таких зон кодирует один бит — 0 или 1.
Если мы удаляем какой-либо файл стандартными средствами операционной системы, то фактически лишь помечаем в таблице файловой системы совокупность секторов (с множеством доменов), содержащих «удаленные» данные, как свободное пространство. Таким образом, пока какой-либо новый файл не будет записан на их место, данные можно легко прочитать.
Не помогут и стандартные методы высокоуровневого форматирования, так как в этом случае система лишь отыщет поврежденные секторы, пометит как неисправные, исключив в дальнейшем запись на них, и произведет перезапись таблицы файловой системы.
А декларируемое многими утилитами и специализированными компаниями низкоуровневое форматирование на самом деле не является таковым. На современных винчестерах оно производится лишь один раз на фабрике посредством особого оборудования — серворайтера.
Так что же делать, если мы хотим обезопасить себя и полностью вычистить диск?
Сериал «Мистер Робот» по праву считается одной из самых технически точных экранизаций жизни хакеров. Главный герой фильма — гениальный компьютерщик и глава группировки хактивистов «FSociety» Эллиот Алдерсон, совершив очередной взлом, отправил в микроволновку SIM-карту телефона и SD-диск, а винчестер многократно просверлил перфоратором и выкинул.
Действительно, физическое уничтожение носителя информации — подходящий метод навсегда избавиться от секретных или компрометирующих данных. Однако, вероятно, сверление — не самый эффективный из возможных способов.
Для полного и безвозвратного стирания всех данных необходимо создать внешний источник коэрцитивной силы — магнитное поле такой напряженности, при которой слой ферромагнетика на пластинах жесткого диска полностью размагнитится.
Считается, что для гарантированного стирания информации магнитное поле должно быть не менее 450 килоампер на метр, а с учетом его ослабления корпусом диска — 500 килоампер на метр.
В домашних условиях собрать аппарат, генерирующий подобное магнитное поле, непросто. Однако в России и других странах мира немало производителей, делающих специальное оборудование для экстренного размагничивания винчестеров.
Обычно в них применяется плоская катушка или объемный излучатель (соленоид). В последнем случае диск помещается внутрь камеры, и соленоид создает равномерное и мощное магнитное поле со всех его сторон. Именно воздействие магнитного поля на весь диск гарантирует его полное размагничивание и нарушение работоспособности.
Объемные излучатели доказали свою надежность, поэтому в России они используются в устройствах для уничтожения данных на жестких дисках, сертифицированных для защиты информации повышенной секретности и государственной тайны.
В большинстве случаев коэрцитивный удар делает жесткий диск непригодным для дальнейшего использования, так как уничтожает низкоуровневое форматирование, производимое во время его изготовления.
Многочисленные тесты показывают, что размагниченный диск чаще всего уже не позиционируется по сервометкам, а информацию без использования туннельного или магнитно-силового микроскопа уже не восстановить.
Последний способ, доступный любому пользователю, однако, как и другие деструктивные методы, навсегда исключающий возможность перепродажи бывшего в употреблении диска и какого-либо его повторного использования, — сжигание слоя ферромагнетика.
Сделать это можно с помощью обычной горелки. Так, температура пламени при горении пропаново-бутановой смеси достигает 1300 градусов по Цельсию, а композитные пластины жесткого диска начнут плавиться уже при температуре порядка 660 градусов.
Впрочем, нагревать жесткий диск до такой температуры вовсе необязательно. Достаточно лишь достигнуть точки Кюри. В ней интенсивность теплового движения атомов ферромагнетика оказывается достаточной для разрушения его самопроизвольной намагниченности. При этом информация, хранящаяся на диске, предположительно стирается.
На практике этот способ вызовет массу неудобств (например, задымление и вонь, из-за чего использовать его в квартире не представляется возможным), да и времени займет немало.
Кроме того, нужно учитывать, что были прецеденты полного восстановления информации с обгоревших жестких дисков. Самый показательный случай: после крушения шаттла «Колумбия» специалисты NASA смогли почти полностью считать информацию с практически расплавленного винчестера.
Помимо физических методов есть и чисто программные. И для большинства фирм, государственных учреждений и частных лиц их будет вполне достаточно (если вы, конечно, не храните у себя на диске пусковые коды ядерных баллистических ракет или 100 тысяч биткоинов).
Так, Министерство обороны США с 1995 по 2006 годы использовало стандарт DoD 5220.22-M (где DoD — Department of Defense). В настоящее время военные этот алгоритм не используют, предпочитая для уничтожения действительно секретной информации полностью размагничивать жесткие диски, как было описано выше, либо сжигать дотла при очень высоких температурах.
Однако этот алгоритм нашел массовое применение в других государственных учреждениях США, а также в различном специализированном программном обеспечении. Например, его использует утилита Acronis Drive Cleanser.
Суть метода тривиальна — для уничтожения информации используют трехкратную перезапись данных на диске. Первым проходом выполняется запись любого символа, затем его побитового комплéмента — двоичного числа, полученного путем переключения всех битов в предыдущем числе (то есть преобразования 0 бита в 1 и 1 бита в 0), выполненного с помощью функции XOR (исключающее или); а в завершение — случайной последовательности:
01010101
10101010
11011100
Альтернативный вариант — полная перезапись данных нулями, затем — единицами, после чего запись на диск любой произвольной последовательности данных.
00000000
11111111
11000110
Аналогичный подход к удалению информации предлагает и известный шифропанк, специалист в области криптографии и информационной безопасности Брюс Шнайер.
В его первоначальной версии на заре компьютерной техники также предполагалось три прохода: запись нулей, затем единиц и, наконец, псевдослучайной последовательности, сформированной генератором случайных чисел. Впоследствии, с ростом вычислительной мощности компьютеров, Шнайер дополнительно усилил свой алгоритм, доведя число проходов записи данных до семи.
Существуют две его вариации. В одной после двукратного повторения описанных выше итераций последним шагом записывается последовательность 01010101. А в другой — наиболее сейчас распространенной — сначала записывают исключительно единицы, затем нули, а потом делают четыре прохода с псевдослучайными числами.
Именно этот наиболее надежный алгоритм также применяется в Acronis Drive Cleanser.
Случайные числа — последовательность значений случайной величины с равномерным распределением — обычно получают, измеряя физические шумы. Например, атмосферный или шум, полученный с помощью радиоактивного распада. А вот алгоритмические реализации генераторов случайных чисел не могут генерировать полностью случайные числа. Рано или поздно они начинают повторять одну и ту же последовательность. Поэтому алгоритмически сгенерированные реализации случайной величины называют псевдослучайными числами.
Ряд других алгоритмов использует до шести проходов, записывающих поочередно псевдослучайную последовательность, а затем ее побитовый комплéмент.
Ну а для параноиков существует алгоритм Питера Гутмана, осуществляющий перезапись в 35 проходов! Он был разработан в 1996 году для жестких дисков той эпохи, исходя из предположения о наличии феномена остаточного магнетизма в 5 процентов.
Дело в том, что тогда использовались методы продольной и, позже, перпендикулярной записи, которые в теории оставляли возможность восстановить данные, анализируя слабую остаточную намагниченность дорожек либо краевую намагниченность, когда считывают данные из промежутков между дорожками.
Однако современные винчестеры применяют метод черепичной записи высокой плотности, что практически полностью исключает вероятность остаточного магнетизма.
Поэтому фактически использование алгоритма Гутмана избыточно (хотя в продуктах Acronis он тоже есть) — для современных жестких дисков достаточно трехкратной перезаписи информации по любому из описанных выше алгоритмов с помощью любой подходящей утилиты.
Последним и в ряде случаев наиболее удобным методом является аппаратное шифрование содержимого жестких дисков. При его использовании критическую информацию можно удалить с винчестера практически мгновенно, так как существует особая команда ATA Secure Erase, которую можно выполнить с помощью стандартной утилиты hdparm.
Она моментально уничтожит ключ шифрования. А при условии, что на диске использовался алгоритм стойкого шифрования (с ключом длиной от 128 бит и выше), расшифровать данные на нынешнем уровне развития информационных технологий практически невозможно.
Стандартов аппаратного шифрования существует несколько, самые распространенные — Opal и eDrive. Оба при включении автоматически шифруют все данные на винчестере во время записи и расшифровывают в ходе чтения.
Аппаратное шифрование используется в основном в корпорациях, хостинговых и облачных компаниях. Для рядовых пользователей применить его может быть затруднительно, так как есть вероятность, что команда Secure Erase не сработает как надо из-за особенностей BIOS.
Поэтому использовать аппаратное шифрование без поддержки со стороны операционной системы — не самое надежное решение.
Повсеместное распространение дисков SSD — по сути объемных накопителей флэш-памяти — поставило перед пользователями новые вопросы.
Принцип работы флэш-памяти основывается на изменении и регистрации электрического заряда в изолированной области полупроводниковой структуры. Здесь ничего сложного. А вот механизм функционирования SSD гораздо хитрее, чем HDD, что создает немалые проблемы в окончательном удалении с них информации.
Для чтения сектора с данными в HDD сначала нужно вычислить, где он находится, потом переместить магнитную головку на нужную дорожку, дождаться, пока необходимый сектор окажется под ней, и произвести считывание. А в SSD все проще: вычисляется лишь адрес нужного блока, и сразу же происходит доступ к нему на чтение или запись.
Подводные камни этой памяти обнаруживаются при перезаписи и стирании.
Дело в том, что во флэш-памяти наименьший размер записываемой информации 4 килобайта, а стереть данные можно минимум блоками по 512 килобайт. Для этого контроллер диска группирует и переносит данные для освобождения целого блока.
Поэтому, как только информация записана, она не может быть перезаписана до тех пор, пока не будет очищена. По сути, при записи контроллер выполняет моментальную подмену адресов — нужный адрес будет назначен пустой ячейке, а занятая ячейка переместится в пул для последующей фоновой очистки.
В итоге количество свободных ячеек постепенно сокращается. В какой-то момент контроллеру остается доступен лишь пул «мусорных» ячеек. И тогда включается особый механизм TRIM.
Контроллеру передается массив адресов ячеек, которые не содержат полезных данных и могут быть очищены. С этого момента контроллер может начать фоновый процесс удаления оттуда информации. Если команда TRIM подается на все содержимое носителя, то начинается необратимый процесс очистки ячеек памяти.
Казалось бы, все прекрасно: данные можно удалить простым форматированием верхнего уровня, которое запустит TRIM. Однако корректно этот механизм сработает, лишь если он поддерживается на уровне операционной системы (начиная с Windows 7), драйверов и BIOSа, а диск подключен напрямую (SATA, NVME) и разбит на тома NTFS.
Кроме того, в SSD всегда часть емкости накопителя (иногда до 20 процентов) отводится под резервный пул ячеек. Это недоступная память для стандартных операций записи или чтения. Она необходима на случай износа ячеек для замены поврежденных блоков.
Дополнительный резерв ячеек используется динамически — по мере физического изнашивания основных ячеек на замену предоставляется какая-либо из резервных. В теории они тоже должны очищаться посредством TRIM, но на практике это работает далеко не всегда, и данные могут физически оставаться на месте даже после завершения очистки.
Из-за этих особенностей считается, что единственным относительно надежным методом для окончательного удаления информации с SSD является аппаратное шифрование.
Однако и тут оказывается, что в некоторых случаях Secure Erase не производит полной очистки ячеек из резервного пула. Поэтому все, кто работает с по-настоящему секретной информацией, не признают иных способов очистки SSD, кроме физического уничтожения носителя.
Из всего вышесказанного следует, что если вы простой пользователь, а не носитель государственных секретов, храните личные сведения на старых добрых HDD и при необходимости используйте утилиты для многократной перезаписи.
Если же у вас диск SSD и вы хотите не беспокоиться о том, что ваша конфиденциальная информация станет кому-то доступна, просто один или два раза проведите высокоуровневое форматирование с использованием механизма TRIM.
Даже если часть данных все-таки сохранится, они будут невероятно фрагментированы и для их восстановления потребуется целый стенд специальной аппаратуры.
В то же время, если там была компрометирующая информация или кошелек для криптовалют, то надежнее сжечь свой SSD, чем передавать его в чужие руки даже после нескольких очисток или аппаратного шифрования.
Даниил Кузнецов
Почему чиновники и бизнес не могут обойтись без науки
Наверняка вам доводилась слышать расхожие трюизмы: «простых решений не бывает», «мир сложен», «не все так однозначно». За ними стоит важная мысль: принятие решений требует глубоких знаний и понимания контекста, которым обладают не все. И если в древности власть имущие просили благословения богов, прежде чем на что-либо решиться, то сегодня они обращаются к ученым.