Hur fungerar återskapande av överskriven hårddisk?

Novis på området men har funderat en del på hur man kan återskapa en hårddisk som skrivits över. Läser om program som skriver över 3 gånger, 7 gånger och ibland ännu mer.

Om jag i teorin skriver ettor på en hel hårddisk, hur lyckas man återskapa den?

Jag hävdar att det bara fungerar i teorin, i praktiken är det inte möjligt.

Det fungerar genom att ett magnetfält är ju inte 1 eller 0, utan det är analogt.

Det vanliga läshuvudet i en hårddisk har ett tröskelvärde, låt oss säga 0.5
Över detta tröskelvärde anses det vara skriven en etta, och under detta så anses det vara en nolla.

När du skriver en nolla över en nolla, så kanske det blir säg 0.1
När du skriver en nolla över en etta, så kanske det blir säg 0.2
När du skriver en etta över en nolla så kanske det blir 0.8
Och när du skriver en etta över en etta så kanske det blir 0.9

På samma sätt är inte läshuvudet 100% exakt i spåret utan kan hamna lite "utanför" varför information i klartext kan finnas ute i kanterna på spåret.

Genom att med ett extra känsligt sådant huvud, i renrun och laboratorium, analysera diskytan, så kan man få fram delar av informationen.

Observera att det är omöjligt att få fram hela informationen, men säg en kryptonyckel på 128 bitar. Räcker ju att få fram kanske 40 % av nyckeln och sedan kan man knäcka resten i ett kluster.

-----

På samma sätt kan man också svara på om en viss fil funnits på hårddisken.

Vi tar ett tillspetsat exempel för att få en förståelse varför det kan vara "dåligt" ur säkerhetssynpunkt:
Ta exemplet att om "eid_fortknox.crt" har funnits på din dator så vet en förövare att du har lösenordet till Fort Knox valv och kan tortera ur dig lösenordet, men om "eid_fortknox.crt" inte funnits på din dator, så kan förövaren inte vara säker på att han/hon plockat rätt person.

Förövaren har tillgång till hela filen eid_fortknox.crt

Förövaren kan nu med hjälp av de spår som finns i magnetismen, förutsäga sannolikheten för att filen funnits på din hårddisk.


Om man ska dra en analogi till målarfärg, så kan man se det som att du har ett svart/vitt rutmönster på väggen.
Du målar nu över detta. Färgen är inte 100% täckande.
Det innebär att de vita rutor du målar, kommer vara något gråare där det är svart bakom.
Och de svarta rutor du målar, kommar vara något ljusare där det är vitt bakom.
Dessutom kan man se på kanterna eftersom man inte kan måla 100% perfekt, vad som funnits bakom.

På så sätt kan man avgöra vad som funnits bakom.

Genom att skriva över minst 2 gånger med randomdata och sedan en gång med nollor, så tillser man att spåren "grävs" så djupt att det är omöjligt att hitta informationen, och dessutom att data skrivs dessutom ute i kanterna genom att läshuvudet skriver flera pass över samma punkt så att ena gången kanske läshuvudet är aningen till vänster, andra gången aningen åt höger osv.

Att det inte är möjligt att återskapa information i laboratorium även efter 3 överskrivningar, beror på att även om du kan få fram hur många ettor och hur många nollor som skrivits på ett visst ställe på hårddisken, så vet du inte ordningen. De ettor och nollor som är nyast är dock något "starkare" än äldre ettor och nollor, och det gör att när man skriver över med slumpdata 2 ggr och sedan skriva över med nollor en gång, så ser man till att de ettor/nollor som man inte vill ska komma ut, hamnar bland det "gamla" och försvinner i bruset som är en del av imperfektionerna i det magnetiska materialet.

En annan sak är också att även om informationen bara lagras i ytskiktet på aluminiumskivorna i disken (ett ytskikt som består av olika legeringar och material som lagrar magnetism väldigt bra), så påverkas ändå aluminiumet av magnetismen och det sätter spår i aluminiumet molekylstruktur, något som kan avläsas med elektronmikroskåp.
Fundera lite på varför en aluminiumbit blir varm om den passerar genom ett magnetfält en massa gånger, varför aluminiumet bromsas upp, och vad som händer inuti molekylstrukturen, på atomnivå, när aluminiumet utsätts för mekanisk påverkan på grund av ett magnetfält som kortsluts av aluminiumet.


Kort sagt, skall du radera något så är det åtminsonde DoD Short som gäller, dvs skriv över med slumpmässigt 2 ggr och sedan med nollor sista passet.
eller detta (samma som DoD Short):
# dd if=/dev/urandom of=/dev/sdX bs=1M
# dd if=/dev/urandom of=/dev/sdX bs=1M
# dd if=/dev/zero of=/dev/sdX bs=1M

För att gardera sig mot skadade sektorer bör man sedan återläsa all information och verkligen tillse att allt är nollor. Om någon etta återfinns efter att man kört /dev/zero på disken så bör disken förstöras fysiskt, för då kan det finnas fler ställen där urandom inte kunnat skriva.


3 gånger räcker för all civilbefolkning helt enkelt. Även om du har 10 miljarder på banken och dina bankkoder finns på disken så är det inte tillräckligt intressant för en förövare att lägga ner miljontals med pengar för att KANSKE få fram informationen.

Däremot om vi pratar om försvarshemligheter och riktigt bombhemlig information, då är 7-pass eller t.o.m. guttman 35-pass att föredra.
Och om disken inte ska återanvändas längre så brukar man också förstöra disken fysiskt i en flismaskin.

-----


En sak är i alla fall 100% garanterad:
Det är omöjligt, med hjälp av MJUKVARA, få fram någon som helst information ur disken, när disken körts ett pass med:
dd if=/dev/zero of=/dev/sdX bs=1M

Men skickar du disken till Ibas så är det andra bullar.

Det förklarade! Tack!

Detta var väldigt intressant, du har inte lust att länka någon/några bra artiklar/wiki-sidor för vidare läsning?

Hur fungerar det med SSD, de är ju inte magnetiska?

SpecialEdition: Lite ungefär samma där, fast där handlar det om ett elektriskt fält. Det är en magnitud knepigare att "skaka fram" information ur en raderad eller överskriven SSD, eftersom risken är stor att man laddar ur fältet så fort man öppnar disken så diskarna måste hanteras i väldigt, elektriskt sterila miljöer, men också en magnitud knepigare att radera pga wear leveling som är en algoritm som slumpar ut skrivningarna över disken för att inte enskilda celler ska bli allt för slitna.

Därför har lite mer proffsigare SSDer en inbyggd hårdvarukryptering, där nyckeln lagras i klartext i några celler.
När du sedan skickar kommandot ATA SECURE ERASE till disken, så skriver den över denna nyckel ett antal gånger med en ny nyckel, vilket gör att all information raderas på ett nafs.
(Det gör att krypteringen inte blir särskilt säker iofs, men krypteringen finns där enbart för att underlätta radering)
Sedan kan kvalitén på RNG's i hårddiskarna diskuteras, finns lite papers på det där man lyckats förutsäga vissa delar av nycklar på detta sätt.

Du behöver inte ta någon större notis om inlägget ovan. Den enorma missuppfattningen att överskriven data går att återskapa har sitt ursprung i en gammal rapport som Peter Gutmann gav ut på 90-talet. Resonemanget i rapporten gällde ~30 år gammal hårdvara och är idag inaktuell. Folk väljer dock fortsätta tro att detta är möjligt på dagens diskar på samma sätt som andra tror på tomtar, troll och ufon. Detta trots fullständig avsaknad av fallstudier eller andra rapporter (bortsett från Gutmann) med positiva resultat.

Aldrig sett en rapport eller hört någon återskapa överskriven information från en modern hårddisk. IBAS klarar heller inte av det.

Jodå SSD är också magnetiska fast de är uppbyggda på ett helt annat sätt. Det finns bara två tekniker för att lagra data dvs magnetiskt eller optiskt. Allt som inte är CD/DVD/Blu-Ray är alltså magnetisk lagring.

Att återskapa överskriven data från en hårddisk är mycket svårt och vad jag förstått nästan omöjligt på moderna hårddiskar. Detta var mer aktuellt på 80-talet då hårddiskarna hade mycket mindre kapacitet så sektorerna dvs fälten som bestod av bittar (1 eller 0) var mycket större vilket gjorde det lättare mäta på punkterna. De få vetenskapliga rapporter som finns om detta på moderna hårddiskar visar att vid redan 1 överskrivning så kan man knappt återskapa något.

Vill man skydda sin data är det bättre köra med kryptering då är allt skyddat även om det är raderat eller inte. Läs mer om detta ämne i (FB) Stora tråden om polisbeslag och IT-forensik (/Mod)

FB visar sig från sin bästa sida! Tack!