Usuwanie danych

Tylko niektórzy zdają sobie sprawę z tego, że skuteczne usuwanie danych również jest jednym z elementarnych składników bezpieczeństwa. Poświęca się temu mało uwagi. Każdy użytkownik Windows wie, że może odzyskać dokumenty usunięte do Kosza. Równie wielu uważa, że opróżnienie Kosza oznacza definitywne usunięcie plików. Ale czy dane te rzeczywiście znikły?

Tylko niektórzy zdają sobie sprawę z tego, że skuteczne usuwanie danych również jest jednym z elementarnych składników bezpieczeństwa. Poświęca się temu mało uwagi. Każdy użytkownik Windows wie, że może odzyskać dokumenty usunięte do Kosza. Równie wielu uważa, że opróżnienie Kosza oznacza definitywne usunięcie plików. Ale czy dane te rzeczywiście znikły?

Każdy, kto w biurze lub w domu chce pozbyć się ważnych dokumentów, które nie powinny dostać się w niepowołane ręce, przepuści je przez niszczarkę lub co najmniej podrze. Co bardziej ostrożni dodatkowo spalą resztki. A co robisz z ważnymi danymi, które przechowujesz w komputerze?

Można odzyskać dane usunięte poleceniem Delete lub przez opróżnienie Kosza. System operacyjny nie usuwa fizycznie plików z systemu plików, a jedynie informację o ich lokalizacji. Za pomocą specjalnych programów można odszukać i zrekonstruować tak usunięte dane.

Kopalnia wiedzy eBay

Resztki - podczas nadpisywania klastrów pozostają w nich często ślady wcześniej zapisanych danych.

Resztki - podczas nadpisywania klastrów pozostają w nich często ślady wcześniej zapisanych danych.

Dwaj naukowcy z MIT, Simson Garfinkel i Abhi Shelat, udowodnili to w sposób bardzo spektakularny ( http://www.computer.org/security/garfinkel.pdf ): wylicytowali na eBay 158 używanych twardych dysków i spróbowali za pomocą stosunkowo prostych narzędzi odtworzyć dane. Stwierdzili przy tym, że tylko z dwunastu dysków prawidłowo usunięto dane. Na pozostałych znaleźli listy miłosne, zdjęcia pornograficzne, dokumenty i dane pacjentów z przychodni lekarskich. "Główną nagrodą" był twardy dysk z amerykańskiego bankomatu, który zawierał numery i stany kont, a także fragmenty oprogramowania samej maszyny.

Nawet jeśli przyjąć, że było to tylko badanie wyrywkowe, nasuwa się wniosek: w takich ważnych obszarach, jak służba zdrowia czy bankowość, nie ma dostatecznej świadomości potrzeby zabezpieczenia danych w razie wymiany sprzętu czy samych dysków.

Obecnie rośnie liczba dzierżawionych komputerów, które po zakończeniu umowy wracają do leasingodawcy. A co się dzieje z twardymi dyskami? Czy są gruntownie opróżniane albo wręcz niszczone? Niektóre przedsiębiorstwa i organa władzy opracowały procedury, których zakres sięga od niszczenia dysków do ich czyszczenia za pomocą specjalnego programowania. Niestety, nie jest to powszechna praktyka.

Gdzie przechowywane są pliki?

Życie w cieniu - za pomocą usługi Volume Shadow Copy .NET przechowuje również starsze wersje plików.

Życie w cieniu - za pomocą usługi Volume Shadow Copy .NET przechowuje również starsze wersje plików.

Aby móc skutecznie skasować istotne dane, trzeba wiedzieć, gdzie się znajdują. Często usunięcie wszystkich śladów wymaga nie tylko skasowania zasadniczego pliku. Kopiowanie, przenoszenie i kompresowanie plików pozostawia ślady ich pierwotnych wersji. Szczególnie ostrożnie trzeba korzystać z funkcji bądź programów zapisujących różne wersje dokumentów, które przechowują wszystkie wcześniejsze wersje w celu porównania lub późniejszego wykorzystania.

Zwłaszcza trzeba uważać na nowy system operacyjny Windows 2003 Server i jego nową funkcję Shadow Copy. Ma uchronić użytkownika przed przypadkowym usunięciem lub modyfikacją plików na serwerze. W tym celu w specjalnie wydzielonej przestrzeni twardego dysku przechowywane są informacje o modyfikacjach plików, pozwalające odtworzyć starsze wersje. Całkowite usunięcie danych wymaga również nieodwracalnego usunięcia tych plików.

Ale przecież i "zwykły" Windows wykonuje kopie danych - w folderach tymczasowych znajdują się wersje pośrednie właściwych plików, a w pliku wymiany - fragmenty pamięci, które w danej chwili nie są potrzebne, ale za moment mogą być ponownie załadowane do pamięci głównej. Pliki tymczasowe są z reguły usuwane po zakończeniu pracy programu, ale to usuwanie to znów tylko zwalnianie miejsca na dysku. Dane można bez większego wysiłku odtworzyć.

Ukryte pamięci

Dane ukrywają się często w miejscach, do których przeciętny użytkownik raczej nie ma dostępu. Jednym ze źródeł problemów są tak zwane cluster tips. Każdy twardy dysk jest dzielony podczas formatowania na jednostki - bloki. To najmniejsza jednostka dysku, do której może odwołać się system operacyjny. Przy dzisiejszych pojemnościach twardych dysków, liczonych już w setkach gigabajtów, nie są rzadkością bloki o wielkości 64 KB. Z punktu widzenia systemu operacyjnego oznacza to, że nawet plik o wielkości 12 KB zajmuje na dysku 64 KB. Pozostałe miejsce z bloku pozostaje niewykorzystane.

Zasadniczo nie jest to specjalny problem - z wyjątkiem ewentualnej rozrzutności w gospodarowaniu pojemnością dysku. Trzeba jednak pamiętać, że zwolnione miejsce jest ponownie zapisywane. Wyobraźmy sobie, że plik ma wielkość 62 KB i zajmuje jeden blok. Gdy zostaje usunięty, dane pozostają, a znika tylko wpis do katalogu. W tym samym bloku zostaje zapisany nowy plik. Przyjmijmy, że ma wielkość 10 KB. W tej sytuacji nadpisywane jest tylko pierwsze 10 KB bloku, pozostałe 52 KB starego pliku pozostają na swoim miejscu i można je odczytać za pomocą edytora dyskowego. Większe pliki są dzielone na bloki, a ostatni blok zwykle nie jest zajęty w całości. Te fragmenty danych określane są właśnie mianem cluster tips. Na czym polega problem? Fragmenty te są niedostępne, ponieważ blok został przypisany do istniejącego pliku. Obszary te można skutecznie wyczyścić tylko za pomocą specjalnego oprogramowania. Takie czyszczenie nosi nazwę wiping - wymiatanie.

Dane między wierszami

Obok ścieżki - dane zapisują się nie tylko na właściwej ścieżce dysku, ale również po obu jej stronach. To skutek niewielkich drgań głowicy.

Obok ścieżki - dane zapisują się nie tylko na właściwej ścieżce dysku, ale również po obu jej stronach. To skutek niewielkich drgań głowicy.

Zapisywanie danych na dysku polega na magnesowaniu maleńkich cząstek materiału magnetycznego, które zależnie od kierunku namagnesowania przyjmują wartość 0 lub 1. Cząsteczki znajdują się na powierzchni talerza twardego dysku i są podzielone na ścieżki, żeby głowice dysku mogły je zapisywać i odczytywać. Jednak dane są zapisywane nie tylko na głównych ścieżkach, ale również na ich krawędziach, co oznacza, że obok ścieżek również znajdują się te same dane. Zwykle nie stanowi to problemu, ponieważ elektronika dysku odfiltrowuje podczas odczytu te szumy.

Te składowe mogą wystarczyć, żeby osoba nieuprawniona odczytała dane. Kiedyś stosowano proste metody, na przykład minimalne rozregulowanie głowicy. Dziś jest to dużo trudniejsze ze względu na znacznie większą gęstość zapisu. Wymaga znacznych nakładów pracy, jednak wydaje się, że dobrze wyposażone laboratoria odzyskujące dane czy służby specjalne mogą to zrobić.

Ukryte sektory

Kolejne kryjówki danych to te sektory twardego dysku, które na jego wewnętrznej liście zaznaczone są jako uszkodzone. Mogą wśród nich być informacje istotne, dające się odzyskać przez proste zresetowanie listy. Ponieważ użytkownik zwykle w ogóle nie zauważa takich wpisów, ma niewielkie możliwości działania.

Proste usterki elektroniki sterującej powodują 14 procent awarii dysków. Talerze pozostają w takim przypadku na ogół nienaruszone. Gdy stanie się to w trakcie gwarancji, często wymieniamy dysk na nowy. I tu może się zdarzyć, że nasz stary dysk z nową płytką elektroniki trafi ponownie do obrotu. Będzie wprawdzie sformatowany, ale jak wykazaliśmy wcześniej, w pewnych warunkach można odzyskać dane.

Skuteczne usuwanie danych

Usuwanie danych może mieć różne skutki. Jak wspomnieliśmy, umieszczenie plików w Koszu, a następnie opróżnienie go nie powoduje rzeczywistego usunięcia plików z dysku. Usuwany jest tylko wpis w katalogu, a właściwe dane pozostają i mogą zostać odtworzone. Nawet formatowanie partycji czy wręcz formatowanie z poziomu BIOS-u (low level formatting) nie jest bezpiecznym rozwiązaniem - dane wciąż można odzyskać, choć już z większym nakładem pracy.


Zobacz również