Jag har sett frågan "Hur många gånger måste jag skriva över data på min hårddisk för att vara säker på att den inte kan återskapas?" ett par gånger nu, och jag ser många som svarar att de måste wipea flera gånger, för att det inte ska kunna återskapas. Min fråga till er som påstår detta är följande: Vad är er källa till att det ska behövas flera gånger? Har ni någon källa överhuvudtaget eller är detta bara paranoia utifall att amerikanska myndigheter har ett superprogram som kan plocka fram datan om det inte wipeats X antal gånger?
Det räcker att skriva över alla addresserbara sektorer på hårddisken EN GÅNG, med nollor. Anledningen till att detta räcker baserar jag på följande:
1. NIST (National Institute of Standards and Technology), som ger riktlinjer till allt från universitet till myndigheter i USA, säger att det räcker med EN överskrivning för att datan inte ska kunna återskapas:
"Advancing technology has created a situation that has altered previously held best practices regarding magnetic disk type storage media. Basically the change in track density and the related changes in the storage medium have created a situation where the acts of clearing and purging the media have converged. That is, for ATA disk drives manufactured after 2001 (over 15 GB) clearing by overwriting the media once is adequate to protect the media from both keyboard and laboratory attack."
Detta stycke finns att läsa i en publikation från NIST, kapitel 2.3, http://csrc.nist.gov/publications/nistpubs/800-88/NISTSP800-88_rev1.pdf.
2. Flera erkända forensic specialister har sagt att det räcker med EN WIPE. Jag gick en SANS (www.sans.org) kurs i "Advanced Forensic analysis and incident response" för ett antal år sedan där kursledaren pratade om just denna myten i 15 minuter. Kursledaren är Rob Lee och ni kan läsa mer om honom här: http://www.sans.org/security-training/instructors/Rob-Lee. Kursen spelades in i sin helhet och om jag hittar den nån gång ska jag dela med mig av den diskussionen.
Anledningen till att denna myt skapats och ännu lever är följande:
1. Peter Gutmann släppte ett white paper 1996 som beskrev hur man kunde återskapa överskriven data med hjälp av elektronmikroskop. Simpelt beskrivet så fungerar metoden genom att när en binär etta skrivs över med 0, så blir resultatet inte 0, utan snarare 0.001. Skrivs denna bit över med en etta så blir resultatet 0.999. Skrivs den över igen med 0 så blir resultatet 0.002 osv. Med hjälp av denna observation kunde man statistisk sett ta reda på hur data såg ut innan det skrevs över. Denna metod fungerar inte längre, då hårddiskarna har blivit så pass stora, och bitarna existerar på en så pass liten yta att elektronmikroskopen inte längre kan urskilja dem. Gutmanns papper finns att läsa här: http://www.usenix.org/publications/library/proceedings/sec96/full_papers/gutmann/index.html
2. DoD 5220.22-M var den amerikanska försvarsmaktens krav på media sanitization, vilket krävde minst tre wipes. Den gäller dock inte längre, utan nu kräver de att mediat "degaussas", alltså total eliminering av magnetiska fält på disken, eller att disken förstörs fysiskt. Överskrivning räcker alltså inte längre. I alla fall inte för DoD, DoE, NRC och CIA, såvitt jag förstått. Anledningen till att de har sådana extrema krav beror inte på att de känner till ett superhemligt sätt att återskapa data, utan vanlig hederlig paranoia. Fast i dessa fallen är paranoian, enligt min åsikt, befogad då det kan finnas kärnvapenhemligheter på diskarna och utifall att wiping mjukvaran skulle misslyckas av en eller annan anledning, skulle konsekvenserna kunna vara katastrofala. Ett liknande exempel är att bara för att de inte tillåter AES att användas som kryptostandard för top secret material så betyder inte det de har knäckt AES, utan de är paranoida och satsar på egna algoritmer och "security through obscurity" utifall att någon fiende nation har hittat ett hål i AES, vilket är högst osannolikt.
3. Mjukvaruföretag som utnyttjar Gutmann's papper och DoD's media sanitization metod, samt folks okunskap om ämnet, för att tjäna pengar med totalt onödiga produkter. På grund av mängden sådana program som "raderar data säkert" så tror folk att det går att återskapa överskriven data.
Jag ställer samma fråga som jag ställde i början av detta inlägg: Finns det någon som kan komma med källor till forskning som visar att överskriven data kan återskapas?
Ett gratis och enkelt sätt att att radera all data från en hårddisk utan möjlighet att återskapa den följer:
1. Ladda ner backtrack (http://www.backtrack-linux.org) eller annan valfri Linux live-distro och bränn den på en skiva. Se till att programmet dd (eller någon variation av programmet, tex dcfldd kan jag rekomendera) finns tillgänglig
2. Se till att hårddisken sitter i datorn eller i en HDD docka eller liknande.
2. Mounta hårddisken med programmet mount
3. Kör kommandot "dd if=/dev/zero of='path to hard drive'" och låt den göra sitt jobb
Det kommer resultera i EN WIPE, och det räcker. Spendera inte pengar på onödiga program och spendera inte onödig tid på att wipea mer än en gång.
Det räcker att skriva över alla addresserbara sektorer på hårddisken EN GÅNG, med nollor. Anledningen till att detta räcker baserar jag på följande:
1. NIST (National Institute of Standards and Technology), som ger riktlinjer till allt från universitet till myndigheter i USA, säger att det räcker med EN överskrivning för att datan inte ska kunna återskapas:
"Advancing technology has created a situation that has altered previously held best practices regarding magnetic disk type storage media. Basically the change in track density and the related changes in the storage medium have created a situation where the acts of clearing and purging the media have converged. That is, for ATA disk drives manufactured after 2001 (over 15 GB) clearing by overwriting the media once is adequate to protect the media from both keyboard and laboratory attack."
Detta stycke finns att läsa i en publikation från NIST, kapitel 2.3, http://csrc.nist.gov/publications/nistpubs/800-88/NISTSP800-88_rev1.pdf.
2. Flera erkända forensic specialister har sagt att det räcker med EN WIPE. Jag gick en SANS (www.sans.org) kurs i "Advanced Forensic analysis and incident response" för ett antal år sedan där kursledaren pratade om just denna myten i 15 minuter. Kursledaren är Rob Lee och ni kan läsa mer om honom här: http://www.sans.org/security-training/instructors/Rob-Lee. Kursen spelades in i sin helhet och om jag hittar den nån gång ska jag dela med mig av den diskussionen.
Anledningen till att denna myt skapats och ännu lever är följande:
1. Peter Gutmann släppte ett white paper 1996 som beskrev hur man kunde återskapa överskriven data med hjälp av elektronmikroskop. Simpelt beskrivet så fungerar metoden genom att när en binär etta skrivs över med 0, så blir resultatet inte 0, utan snarare 0.001. Skrivs denna bit över med en etta så blir resultatet 0.999. Skrivs den över igen med 0 så blir resultatet 0.002 osv. Med hjälp av denna observation kunde man statistisk sett ta reda på hur data såg ut innan det skrevs över. Denna metod fungerar inte längre, då hårddiskarna har blivit så pass stora, och bitarna existerar på en så pass liten yta att elektronmikroskopen inte längre kan urskilja dem. Gutmanns papper finns att läsa här: http://www.usenix.org/publications/library/proceedings/sec96/full_papers/gutmann/index.html
2. DoD 5220.22-M var den amerikanska försvarsmaktens krav på media sanitization, vilket krävde minst tre wipes. Den gäller dock inte längre, utan nu kräver de att mediat "degaussas", alltså total eliminering av magnetiska fält på disken, eller att disken förstörs fysiskt. Överskrivning räcker alltså inte längre. I alla fall inte för DoD, DoE, NRC och CIA, såvitt jag förstått. Anledningen till att de har sådana extrema krav beror inte på att de känner till ett superhemligt sätt att återskapa data, utan vanlig hederlig paranoia. Fast i dessa fallen är paranoian, enligt min åsikt, befogad då det kan finnas kärnvapenhemligheter på diskarna och utifall att wiping mjukvaran skulle misslyckas av en eller annan anledning, skulle konsekvenserna kunna vara katastrofala. Ett liknande exempel är att bara för att de inte tillåter AES att användas som kryptostandard för top secret material så betyder inte det de har knäckt AES, utan de är paranoida och satsar på egna algoritmer och "security through obscurity" utifall att någon fiende nation har hittat ett hål i AES, vilket är högst osannolikt.
3. Mjukvaruföretag som utnyttjar Gutmann's papper och DoD's media sanitization metod, samt folks okunskap om ämnet, för att tjäna pengar med totalt onödiga produkter. På grund av mängden sådana program som "raderar data säkert" så tror folk att det går att återskapa överskriven data.
Jag ställer samma fråga som jag ställde i början av detta inlägg: Finns det någon som kan komma med källor till forskning som visar att överskriven data kan återskapas?
Ett gratis och enkelt sätt att att radera all data från en hårddisk utan möjlighet att återskapa den följer:
1. Ladda ner backtrack (http://www.backtrack-linux.org) eller annan valfri Linux live-distro och bränn den på en skiva. Se till att programmet dd (eller någon variation av programmet, tex dcfldd kan jag rekomendera) finns tillgänglig
2. Se till att hårddisken sitter i datorn eller i en HDD docka eller liknande.
2. Mounta hårddisken med programmet mount
3. Kör kommandot "dd if=/dev/zero of='path to hard drive'" och låt den göra sitt jobb
Det kommer resultera i EN WIPE, och det räcker. Spendera inte pengar på onödiga program och spendera inte onödig tid på att wipea mer än en gång.
