Заметаем следы. Как уничтожить данные быстро и безвозвратно
Скажу банальность: в разных типах устройств способы хранения информации сильно различаются. Более того, отличаются и способы удаления записанных данных. У пользователей «обычных дисков» — с вращающимися магнитными пластинами и без шифрования — именно удаление (перезапись) данных с других типов носителей часто вызывает удивление и непонимание. Поэтому начнем с магнитных дисков.
Как уничтожить информацию на жестком диске
В этом разделе под термином «жесткий диск» мы будем понимать классическое устройство с вращающимися пластинами и движущимися электромагнитными головками чтения-записи. Информация, записанная на пластину, так и остается на ней вплоть до момента, когда данные будут перезаписаны.
Традиционный способ удаления данных с магнитных дисков — форматирование. К сожалению, при использовании Windows даже полное форматирование диска может привести к разным — и временами неожиданным — результатам.
Так, если используется ОС на Windows XP (или еще более старая версия Windows), при полном форматировании диска система вовсе не запишет нули в каждый сектор. Вместо этого ОС всего лишь произведет поиск плохих секторов с помощью последовательного чтения данных. Поэтому, если ты собираешься выбросить старый компьютер, работающий под управлением Windows XP, форматируй диск в командной строке, задав параметр /p:<число проходов> . В этом случае команда format перезапишет содержимое диска нулями столько раз, сколько задано параметром <число проходов> . Пример:
Начиная с Windows Vista разработчики Microsoft изменили логику работы команды полного форматирования. Теперь форматирование диска действительно перезаписывает данные нулями, и параметр /p становится избыточным.
Собственно, для обычного пользователя, не страдающего паранойей, на том все и заканчивается. Пользователи же, более обычного озабоченные безопасностью удаленных данных, могут вспомнить о существовавших пару десятилетий назад методах (кстати, очень дорогих), которыми на специальном оборудовании можно попробовать восстановить данные, анализируя остаточную намагниченность дорожек. Теоретическая идея метода в том, чтобы обнаружить следы информации, которая была ранее записана на дорожке, анализируя слабую остаточную намагниченность (вариация метода — анализ краевой намагниченности, когда считывать пытаются данные из промежутков между дорожками). Метод прекрасно работал для накопителей размером со шкаф и электромагнитами, которые могли сорвать с военного кокарду. Заметно худшие результаты метод показывал на дисках с объемом в десятки мегабайт и совсем плохо работал с накопителями, объем которых приближался к гигабайту (нет, это не ошибка, здесь речь именно о мегабайтах и гигабайтах).
В теории следы остаточной намагниченности можно попробовать восстановить из областей, показанных желтым (источник: www.anandteth.com)
Для современных накопителей с высокой плотностью записи, объем которых измеряется в терабайтах, подтвержденных случаев успешного применения данного метода нет, а для дисков, использующих «черепичную» запись SMR, подход невозможен в принципе.
В современных накопителях плотность записи данных слишком высока для того, чтобы метод сработал (источник: www.anandteth.com)
Впрочем, чтобы исключить даже теоретическую возможность его использования, достаточно перезаписать диск не нулями, а некоторой последовательностью данных — иногда не один раз.
Алгоритмы гарантированного уничтожения информации
Во многих организациях используются специальные процедуры для утилизации устройств хранения информации, подразумевающие их санацию (безвозвратное уничтожение информации). Для уничтожения действительно секретной информации применяют деструктивные методы, но для данных, не представляющих особой ценности, допустимо использовать и программные алгоритмы. Таких алгоритмов существует великое множество.
Начнем, пожалуй, с широко известного, но неверно интерпретируемого американского стандарта DoD 5220.22-M. Большинство бесплатных и коммерческих приложений, которые поддерживают этот стандарт, ссылаются на старую (действовавшую до 2006 года) его ревизию. Действительно, с 1995-го по 2006-й «военный» стандарт уничтожения информации разрешал использовать метод перезаписи данных. Стандарт подразумевал трехкратную перезапись диска. Первым проходом выполнялась запись любого символа, затем — его XOR-комплимента и, наконец, в последнем проходе — случайной последовательности. Например, так:
В настоящее время военными этот алгоритм не используется; для санации носители физически уничтожают или полностью размагничивают, что называется, «в горниле ядерного взрыва». Однако для уничтожения несекретной информации этот алгоритм до сих пор применяется в различных государственных учреждениях США.
Канадская полиция уничтожает несекретную информацию при помощи утилиты DSX собственной разработки. Утилита перезаписывает данные нулями, затем — единицами, после чего записывает на диск последовательность данных, в которой закодирована информация о версии утилиты, дате и времени уничтожения данных. Секретная информация все так же уничтожается вместе с носителем.
Похожим образом предлагает уничтожать информацию известный специалист в области криптографии Брюс Шнайер. Предложенный им алгоритм отличается от канадской разработки лишь тем, что третьим проходом записывается не предопределенная последовательность данных, а псевдослучайная. В момент публикации этот алгоритм, использующий генератор случайных чисел для перезаписи, подвергался критике как более медленный в сравнении с алгоритмами, которые записывали предопределенную последовательность данных. На сегодняшний (а также вчерашний и позавчерашний) день трудно себе представить процессор, который способна хоть как-нибудь нагрузить такая простая задача, но на момент публикации алгоритма в 1993 году в ходу были процессоры класса i486, работавшие на частотах порядка 20–66 МГц…
В Германии для уничтожения несекретных данных принят несколько другой подход. Стандарт BSI Verschlusssachen-IT-Richtlinien (VSITR) позволяет использовать от двух до шести проходов (в зависимости от классификации информации), записывающих поочередно псевдослучайную последовательность и ее XOR-комплимент. Последним проходом записывается последовательность 01010101.
Наконец, в качестве технического курьеза приведем алгоритм Питера Гутмана, предложившего перезапись в 35 проходов. Опубликованный в 1996 году алгоритм был основан на теоретическом предположении уровня остаточного магнетизма в 5% и уже на момент публикации выглядел всего лишь теоретическим изыском. Тем не менее и этот алгоритм поддерживается многими приложениями для уничтожения информации. Фактически же его использование избыточно и совершенно бессмысленно; даже трехкратная перезапись информации по любому из описанных выше алгоритмов даст точно такой же результат.
Какой алгоритм использовать? Для современных (не старше 10–15 лет) жестких дисков однократной перезаписи псевдослучайной последовательностью более чем достаточно для надежного уничтожения информации. Все, что делается сверх этого, способно лишь успокоить внутреннюю паранойю, но никак не уменьшить вероятность успешного восстановления информации.
Продолжение доступно только участникам
Вариант 1. Присоединись к сообществу «Xakep.ru», чтобы читать все материалы на сайте
Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее
Аппаратные и программные шредеры
Кто владеет информацией — тот владеет миром. Произнесенные когда-то Уинстоном Черчиллем, эти слова сегодня стали еще актуальнее. Конфиденциальная информация должна не только надежно храниться, но и не менее надежно уничтожаться, так как списанные жесткие диски, выброшенные дискеты, компакт-диски и т.п. — один из основных каналов утечки данных.
Известно немало прецедентов, когда, например, на жестких дисках компьютеров, списанных при обновлении компьютерного оборудования компании и затем проданных, оставалась конфиденциальная информация: персональные данные сотрудников (номера лицевых счетов в банке, кредитных карточек, размер заработной платы), бухгалтерские и другие внутренние документы. Согласно результатам исследования «Data, Data Everywhere», опубликованным в апреле 2004 года, 75% продаваемых на аукционах жестких дисков содержат информацию, которую при желании несложно восстановить при помощи соответствующих утилит. Нетрудно догадаться, как будет использована такая конфиденциальная информация, если она попадет в руки злоумышленников. Например, из данных, восстановленных с жесткого диска, и из содержимого выброшенных в мусорную корзину «битых» дискет и компакт-дисков хороший специалист от конкурирующей фирмы сможет извлечь немало полезной информации. Он получит представление о ситуации в компании, вычислит перспективных клиентов, сориентируется относительно планов развития и т.п., и остается только догадываться, к каким убыткам и упущенной выгоде для компании в дальнейшем это может привести. Для отдельных пользователей подобная утечка информации менее опасна (если речь не идет о банковских счетах, номерах кредитных карт и т.п.), однако если ваши материалы представляют какую-то коммерческую ценность или являются компрометирующими, то не исключена ситуация, что ими тоже захотят воспользоваться.
Отдельная история — кража персональных данных. Сейчас во всем мире наблюдается лавинообразный рост числа преступлений, связанных с различными финансовыми махинациями, что вызывает серьезную озабоченность у правоохранительных органов разных стран. В США с 1 января текущего года в штате Нью-Джерси даже вступил в силу закон, согласно которому каждая коммерческая компания обязана защищать приватные сведения клиентов, а если эти данные уже не нужны — уничтожать их.
По вышеназванным причинам любая информация на продаваемых или передаваемых в чужие руки носителях должна удаляться так, чтобы ее в принципе невозможно было восстановить, а данные на «битых» носителях должны уничтожаться путем либо физического ликвидирования носителей, либо надежного удаления информации. Под удалением подразумевается не обычное предусмотренное в Windows удаление файлов и папок, а уничтожение информации с помощью специальных программных или аппаратных средств. Дело в том, что удаление файла средствами операционной системы не обеспечивает его реального уничтожения. Удаляется не тело файла, а только его заголовок; кластеры, в которых он был записан, помечаются как пустые, и могут быть прочитаны до тех пор, пока не будут перезаписаны. Более того, возможно, что и после перезаписи кластеров в части из них сохранятся данные из стертого ранее файла. Например, если новый файл, записываемый поверх старого файла, в силу меньшего объема займет меньше кластеров, то оставшиеся в конце кластеры будут содержать какой-то фрагмент данных из уничтоженного файла. Поэтому удаленная обычным способом информация в том или ином объеме может быть восстановлена при помощи специализированных утилит. Не является выходом и форматирование жесткого диска: в этом случае формируется структура хранения данных на диске, то есть файловая система, а конфиденциальная информация сохраняется в секторах жесткого диска, а значит, может быть восстановлена.
Гарантированное уничтожение конфиденциальной информации возможно только при помощи специальных устройств — шредеров. Изначально шредерами (от англ. to shredd — размельчать, кромсать) называли устройства для уничтожения информации на бумажных носителях, которые механически измельчают уничтожаемые документы, в результате чего информация становится нечитаемой. Сегодня данное понятие трактуется более широко и шредерами называют также аппаратные и программные устройства для уничтожения информации на магнитных носителях.
Аппаратные шредеры незаменимы в ситуациях, когда речь идет о быстром или даже экстренном удалении данных, поскольку они уничтожают информацию мгновенно. Такие шредеры позволяют быстро ликвидировать ненужные компакт-диски и удалить информацию, например, с ZIP-дискет, а также очистить от всех данных жесткий диск работающего компьютера, уничтожить информацию на серверах, удалить данные с ноутбука и т.п. Аппаратные шредеры необходимы многим коммерческим, государственным и военным структурам как для быстрого уничтожения компрометирующих данных в критических ситуациях, так и для планомерного удаления данных на вышедших из строя или списанных носителях. Программные шредеры тщательно стирают данные в соответствии с тем или иным алгоритмом уничтожения информации и незаменимы для надежного уничтожения конфиденциальной информации и персональных данных с жесткого диска перед продажей компьютера, возвратом его работодателю, передачей в чужие руки или списанием. Как правило, подобная операция производится в отношении жестких дисков, хотя некоторые приложения гарантированно удаляют информацию и с других носителей. Кроме того, очистку данных при помощи программных шредеров полезно проводить для полного стирания операционной системы, инфицированной возможными скрытыми вирусами и spyware-модулями, перед ее переустановкой. Полное удаление всех данных с жесткого диска в подобной ситуации не только помогает избавиться от ненужных и вредоносных данных, но и приводит к повышению быстродействия компьютера. Поэтому любому пользователю не помешает иметь в своем арсенале программный шредер.
Аппаратные шредеры
По мнению ряда специалистов в области безопасности, программные средства не гарантируют 100-процентной надежности уничтожения данных. Теоретически даже после многократного затирания диска в соответствии с тем или иным алгоритмом остается шанс восстановить отдельные фрагменты информации при помощи специального оборудования. Поэтому применение аппаратных шредеров считается обязательным для уничтожения особо секретных данных в государственных и военных структурах. Например, в Англии в государственных организациях рекомендуется физическое уничтожение жестких дисков и даже регламентирован размер и вес молотка, которым должен быть разбит информационный носитель при необходимости уничтожения данных или после замены жесткого диска на новый. А в Пентагоне для уничтожения особо секретных данных носители разрушаются путем размагничивания и воздействия на них высоких температур.
По сравнению с программными, аппаратные шредеры позволяют уничтожать информацию практически мгновенно. Поэтому они оказываются незаменимыми в критических ситуациях, когда возникает опасность утечки, разглашения или хищения информации и гораздо важнее быстро уничтожить компрометирующую или иную секретную информацию, чем позволить ей попасть в чужие руки. В подобных случаях аппаратный шредер даже в отсутствие пользователя быстро, качественно и незаметно удалит всю конфиденциальную информацию из компьютера, которую затем можно будет восстановить с резервной копии.
Помимо экстренных случаев быстрое удаление информации требуется при уничтожении большого количества носителей информации, например вышедших из строя сменных носителей или старых жестких дисков, ставших ненужными после модернизации компьютерного парка крупной компании, — осуществление той же самой операции программным шредером окажется долгим и утомительным. Программные шредеры, как правило, ориентированы на уничтожение информации с жестких дисков, тогда как подлежащие уничтожению данные могут храниться на самых разных сменных носителях, удалять информацию на которых проще и удобнее при помощи аппаратного шредера.
По принципу уничтожения информации предлагаемые на российском рынке аппаратные шредеры можно разделить на две группы. В первую входят устройства, стирающие информацию с дисков воздействием магнитным полем и не разрушающие носители на физическом уровне (рис. 1), что позволяет, например, использовать жесткие диски повторно после переформатирования с помощью специального оборудования. Вторую группу образуют устройства, приводящие к механическому повреждению носителей информации, которые после такой обработки применять уже нельзя. Стоимость аппаратных шредеров значительно выше программных, поэтому они в основном ориентированы на военные, государственные и коммерческие организации.
Рис. 1. Фотографии поверхности жесткого диска до (а) и после (б) обработки при помощи электромагнитного импульса устройством «Стек»: 1 — внешний край жесткого диска; 2 — дефекты поверхности магнитной пластины; 3 — разметка секторов жесткого диска
Шредеры, использующие физический принцип воздействия магнитным полем
Перечень представленных на российском рынке устройств, стирающих информацию при помощи магнитного поля, достаточно обширен. Наиболее известными являются шредеры серий «Раскат» компании «Новые электронные технологии» (http://www.runtex.ru/), «АБС» компании Nero (http://www.nero.ru/), «Стек» компании «Анна» (http://www.zaoanna.ru/), а также группа устройств компании «Компьютерные сервисные устройства» (http://www.kcy.info/) — см. таблицу. Эти устройства позволяют в течение десятых долей секунды уничтожать данные на различных типах магнитных носителей: на жестких дисках (в том числе эксплуатируемых на момент стирания), дискетах, стримерных лентах, накопителях семейства Zip, аудио- и видеокассетах и других магнитных накопителях. Одни из предлагаемых на рынке устройств подключаются или встраиваются в компьютер заказчика (рис. 2), другие предназначены для уничтожения информации с носителей при их транспортировке или хранении.
В большинстве таких шредеров можно выделить три основных блока: модуль накопления заряда, камеру для стирания и модуль управления. В модуле накопления заряда происходит накопление необходимого для стирания информации заряда, на что уходит порядка 2-4 с. После этого устройство готово к уничтожению, причем при наличии электрического питания в таком виде оно может находиться сколь угодно долго — до тех пор, пока не поступит соответствующий сигнал. После поступления сигнала данные на носителе информации уничтожаются под воздействием импульса магнитного поля в камере для стирания (для разных модификаций устройств используются различные варианты камер). Что касается персональных компьютеров, то камеры, как и весь блок, встраиваются в корпус ПК таким образом, чтобы не мешать размещению в нем остальных аппаратных компонентов (рис. 3).
Рис. 2. Общий вид устройства «Модуль» серии «Раскат» (может использоваться как отдельное устройство или встраиваться в корпус ПК)
Рис. 3. Вариант установки моделей информационных сейфов НСА2.2км и НСА2.4км в системный блок компьютера
Модуль управления предназначен для принятия команд, их обработки в соответствии с заданным алгоритмом и запуском процесса уничтожения данных. В самом простом варианте команда на стирание подается путем нажатия кнопки, встроенной в устройство. Возможен также вариант использования вынесенной кнопки, расположенной удаленно, например на посту охраны. Кроме того, может быть предусмотрена возможность срабатывания устройства при подаче команды с радиобрелока. Обычно применяются два типа брелоков: типовой (действует на расстоянии до 50 м в зоне прямой видимости) и усиленный (позволяет не только включить изделие с расстояния до 1 км в зоне прямой видимости, но и получить подтверждение о прохождении команды). Кроме того, предусмотрена подача сигнала при несанкционированном доступе к носителю информации (при необходимости санкционированного доступа персонала к носителю информации требуется использовать специальный ключ доступа). В случае необходимости модуль управления может быть связан с детекторами движения или с другими охранными датчиками.
Шредеры, использующие механический принцип воздействия
Перечень подобных шредеров от российских разработчиков невелик, а из известных и зарекомендовавших себя здесь можно назвать только устройство «Унидиск» одноименной компании (http://www.unidisk.ru/).
Данное устройство предназначено для уничтожения данных с жестких дисков работающих ПК и серверов. «Унидиск» монтируется в короб системного блока, при этом винчестер, находящийся в устройстве, работает в обычном режиме. При получении управляющего импульса шредер срабатывает: один из его механизмов с огромной силой ударяет по крышке винчестера, пробивает ее насквозь и наносит винчестеру непоправимые физические повреждения (сквозное отверстие диаметром 5 мм с деформацией геометрии пластин — рис. 4). Сигнал может быть подан с дистанционного пульта управления или по команде с телефона, кроме того, сигналом может быть команда датчиков, срабатывающих при вскрытии корпуса.
Рис. 4. Жесткий диск, уничтоженный устройством «Унидиск»
К этой же группе шредеров относятся и модели CD/DVD-шредеров западных разработчиков, позволяющих достаточно быстро избавиться от ненужных CD- и DVD-дисков. В настоящее время на рынке предлагается много моделей таких шредеров, отличающихся друг от друга способом уничтожения информации и производительностью. Одни ограничиваются уничтожением информации с дисков путем повреждения их поверхности, другие уничтожают диски физически, превращая их в мелкую стружку.
Наиболее широко на рынке представлены настольные модели, отличающиеся небольшими размерами (устройство помещается на рабочем столе), а потому идеальные для малых офисов и организаций. Как правило, такие шредеры способны уничтожить за минуту информацию с 15-30 компакт-дисков. Примерами компактных шредеров могут служить модели Alera DVD/CD Shredder, Norazza Data Destroyer, Logicube CD Destroyer и аналогичные. При этом, например, шредеру Alera DVD/CD Shredder (рис. 5) для уничтожения информации на одном диске требуется всего 2 с.
Рис. 5. Alera DVD/CD Shredder
Крупным компаниям, где используется много DVD/CD-дисков, стоит обратить внимание на более мощные устройства, отличающиеся высокой производительностью и способные уничтожать огромное количество дисков. Среди таких устройств — шредеры Alera DVD/CD Shredder Plus XC (рис. 6) от компании Alera Technologies и Primera DS-360 Disc Shredder (рис. 7) от компании Primera Technology. Оба уничтожают CD- и DVD-диски на физическом уровне (на ликвидацию одного диска требуется около 7 с) и дополнительно могут применяться для уничтожения кредитных карт и небольших объемов бумаги (до пяти листов).
Рис. 6. Alera DVD/CD Shredder Plus XC
Рис. 7. Primera DS-360 Disc Shredder
Программные шредеры
Для программного уничтожения информации на рынке предлагается огромное количество шредеров, использующих разные алгоритмы стирания данных и характеризующихся различными надежностью (уровнем секретности) и быстродействием. Все алгоритмы удаления информации основываются на многократной перезаписи информации в секторах жесткого диска и предусматривают запись в каждый байт каждого сектора жесткого диска неких фиксированных значений или случайных чисел — в разных алгоритмах данная операция производится от одного до 35 раз. Например, американский национальный стандарт Министерства обороны DoD 5220.22-M (E) предполагает в первый проход запись случайных чисел, во второй — чисел, дополнительных к записанным на предыдущем проходе, а в третий — случайных чисел. По методу Брюса Шнаира при первом проходе на место данных записывается битовая комбинация «00», при втором — «11», а при следующих пяти проходах — случайные числа. В знаменитом алгоритме Питера Гутмана, который считается одним из самых надежных, на место уничтожаемых данных по очереди пишутся все известные комбинации разрядов (всего осуществляется 35 проходов). В итоге на выполнение данного алгоритма потребуется времени в 7 раз больше, чем на затирание данных на том же самом диске по алгоритму Брюса Шнаира, и примерно в 15 раз больше, чем по стандарту Министерства обороны США DoD 5220.22-M (E).
Уровень секретности, обеспечиваемый шредером, определяется выбранным алгоритмом и числом проходов — при увеличении количества проходов степень надежности удаления информации повышается и одновременно увеличиваются временные затраты. Условно можно выделить несколько уровней секретности уничтожения данных: самый низкий (данные затираются в 1 проход), низкий (3 прохода), средний (6 проходов), высокий (7 проходов) и самый высокий (35 проходов). Для гарантированного уничтожения конфиденциальной информации в большинстве случаев считается достаточным выполнение семи проходов, и лишь уничтожение особо секретной информации в организациях, имеющих дело с государственной, военной или коммерческой тайной, требует применения метода Питера Гутмана. Более того, для прочтения данных, «забитых» даже в результате трех проходов с применением самых простых шредеров, потребуется дорогостоящее оборудование, поэтому таких мер вполне достаточно, если, конечно, данные не представляют интереса для профессиональных сыщиков.
Стоит иметь в виду, что уничтожение данных шредером — длительная по времени операция, которая может занять от нескольких часов до нескольких дней. Длительность операции напрямую зависит от метода затирания данных и объема диска, при этом чем метод надежнее, тем процедура дольше. Таким образом, программные шредеры не смогут помочь в ситуациях, когда требуется быстрое уничтожение данных.
Гарантированное удаление информации с магнитных носителей может быть осуществлено разными способами. Можно воспользоваться входящей в поставку ОС Windows 2000 и XP утилитой Cipher. Основное ее назначение — шифрование папок и файлов, однако при запуске с ключом /w:Путь эта утилита позволяет удалять данные из неиспользуемых разделов тома без возможности их восстановления путем однократного затирания случайной информацией. Надежность такого удаления низкая, но вполне достаточная для уничтожения несекретной информации. Запускать утилиту придется из командной строки, что не очень удобно. Однако утилита Cipher входит в поставку Windows, а значит, за нее не нужно платить и не придется ее скачивать, поэтому данный вариант может стать неплохим, хотя и не очень удобным решением для домашних пользователей.
Гарантированное удаление информации обеспечивают и ряд программ настройки и оптимизации Windows (System Mechanic, Magic Tweak и др.), однако уровень надежности такого уничтожения данных в каждом пакете свой. Чтобы сориентироваться, нужно обратить внимание на задействованные алгоритмы и число проходов при затирании информации. Скорее всего, данный вариант окажется вполне достаточным для обычных пользователей, но недопустимым для уничтожения секретной информации.
Утилиты для надежного уничтожения данных довольно часто входят в состав пакетов, предназначенных для защиты конфиденциальной информации, — например StrongDisk Pro и Acronis Privacy Expert Suite. Имеющийся в составе StrongDisk Pro модуль Burner обеспечивает затирание свободного места на диске, заполняя области диска случайными данными. А пакет Acronis Privacy Expert Suite содержит несколько разноплановых модулей для гарантированного уничтожения данных.
И наконец, существуют специализированные программы-шредеры, основная задача которых как раз и состоит в уничтожении данных. Разнообразие представленных на рынке программных шредеров огромно: приложения различаются по уровню надежности уничтожения данных, могут быть как платными, так и бесплатными, ограничиваются удалением конфиденциальной информации только с жестких дисков или позволяют дополнительно уничтожать информацию на других типах магнитных носителей. Столь же велико и число ситуаций, когда возникает необходимость в использовании подобной программы. При выборе оптимального приложения нужно учитывать требуемый уровень секретности, производительность шредера, удобство его применения для конкретной задачи, перечень поддерживаемых носителей информации и стоимость, поэтому назвать лучшие решения просто невозможно.
В данной статье мы рассмотрим комплексное решение для обеспечения конфиденциальности и безопасности работы на компьютере — пакет Acronis Privacy Expert Suite — и несколько программ-шредеров, стараясь охватить разные ситуации и учесть интересы разных групп пользователей. С помощью данных шредеров коммерческие структуры могут защитить от неправомочного доступа свои удаленные финансовые отчеты, разнообразные статистические, аналитические и прочие данные о компании (что необходимо, например, перед списанием носителей с информацией), а частные пользователи — разнообразную персональную информацию (это обязательно, например, в случае продажи старого жесткого диска).
BCWipe 3.07
Разработчик: Jetico, Inc.
Размер дистрибутива: 2,59 Мбайт
Способ распространения: shareware
Работа под управлением: Windows 95/98/Me/NT/2000/XP/2003 Server
Набор утилит BCWipe представляет собой комплексное решение для гарантированного удаления конфиденциальной информации с жестких дисков в соответствии с американским стандартом DoD 5200.28-STD или, если речь идет об особо секретной информации, алгоритмом Питера Гутмана. При желании можно разработать и использовать собственные схемы затирания данных, корректируя число проходов и определяя двоичные структуры, задействованные при каждом проходе (рис. 8). Учитывая поддержку приложением алгоритмов с самым высоким уровнем секретности, возможность разработки собственных алгоритмов, а также широкие перспективы в плане оптимизации уничтожения данных, BCWipe можно считать наиболее удачным решением для компаний и государственных структур.
Рис. 8. Создание пользовательского алгоритма в BCWipe
В приложении реализованы, наверное, все возможные варианты уничтожения информации. Можно удалять файлы и папки с одновременным уничтожением определенной информации с диска (Delete with wiping), выбирая соответствующую команду из контекстного меню проводника Windows (рис. 9). Для устранения следов ранее удаленных данных предусмотрена возможность очистки свободного дискового пространства (Wipe free disk space — рис. 10). Избавиться от данных, скрытых в файле подкачки, где ОС может сохранять части ранее открывавшихся прикладными программами файлов, поможет затирание файла подкачки (Swap file wiping). Перед продажей или передачей жесткого диска удобно применить функцию затирания всего жесткого диска (Wiping a whole hard drive). Кроме того, в BCWipe предусмотрены возможности очистки «концов файлов» (дискового пространства от конца файла до последнего кластера, используемого этим файлом) и стирания записей каталога (зарезервированного пространства диска, где файловая система хранит имена и атрибуты файлов).
Рис. 9. Удаление файлов с одновременным стиранием соответствующих им данных в BCWipe
Рис. 10. Очистка свободного дискового пространства в BCWipe
В BCWipe предусмотрены широкие возможности для оптимизации процесса уничтожения данных под конкретную ситуацию. Пользователем может быть четко определено, что и в каких случаях необходимо очищать, могут быть выставлены четкие ограничения на отдельные папки, в которых информация меняется нечасто, поэтому регулярное очищение данных проводить не требуется (это особенно актуально для таких длительных по времени операций, как, например, очистка «концов файлов»). Часть операций в программе может быть автоматизирована. Так, можно регулярно уничтожать информацию из файла подкачки, затирать свободное пространство, стирать список недавно использованных файлов, очищать специальные системные папки Windows при запуске системы и определенные пользовательские папки в конкретный день и час и т.п. Утилита шифрования файла подкачки обеспечивает дополнительную защиту данных, что не помешает при работе с особо секретной информацией, а с помощью модуля BestCrypt можно включить шифрование любых пользовательских данных: отдельных файлов, почтовых сообщений, баз данных и т.п. BestCrypt использует такие известные алгоритмы шифрования, как Blowfish, Twofish, ГОСТ 28147-89 и Rijndael. Встроенный просмотрщик файлов позволяет проверить содержимое файлов после процедуры затирания, чтобы удостовериться в надежности операции, — это особенно актуально при экспериментах с пользовательскими алгоритмами уничтожения данных.
WipeDrive 3.1.1
Размер дистрибутива: 2,22 Мбайт
Способ распространения: shareware
Цена: Wipe Drive & Media Wiper — 39,95 долл., Wipe Drive Pro & Media Wiper — 99,95 долл.
Работа под управлением: Windows 3.x/95/98/Me/NT/2000/XP
Утилита WipeDrive представляет собой удобное решение для полного и сравнительно быстрого удаления всех данных, включая файлы операционной системы, программные файлы и любые иные данные с жестких дисков без возможности их восстановления. Входящий в поставку модуль MediaWiper (рис. 11) дополнительно позволяет уничтожать данные с таких сменных носителей, как флоппи-диски, USB-диски, Zip-диски и др. Благодаря встроенному мастеру, полностью управляющему процессом уничтожения данных, работа с программой окажется по силам даже новичкам. Поэтому WipeDrive можно рекомендовать в качестве эффективного инструмента уничтожения данных перед продажей (передачей) компьютера или просто перед переустановкой зараженной вирусами и/или spyware-модулями ОС для широкой категории пользователей — от коммерческих и государственных структур до домашних пользователей, тем более что программа представлена разными по стоимости версиями: WipeDrive & MediaWiper и WipeDrive Pro & MediaWiper. Последняя отличается тем, что в ней предусмотрено использование пакета на неограниченном количестве компьютеров при условии, что программа не будет запускаться на нескольких компьютерах одновременно.
Рис. 11. Уничтожение информации средствами MediaWiper
WipeDrive поддерживает жесткие диски любого размера (IDE или SCSI) и позволяет уничтожать данные в соответствии с различными алгоритмами, обеспечивающими разный уровень секретности и отличающимися друг от друга скоростью удаления информации. По умолчанию выбирается самый быстрый вариант затирания данных в один проход случайными значениями, в ряде случаев вполне достаточный для удаления обычной информации (но не конфиденциальной: паролей, номеров кредитных карт и т.п.) домашними пользователями. Однако может быть установлен и любой другой из поддерживаемых методов, включая американские стандарты DoD 5220.22-M, Army AR380-19, Air Force 5020, HMG IS5, NAVSO P-5239-26, NCSC-TG-025, канадский OPS-II, немецкий VSITR и российский ГОСТ P50739-95. Кроме того, в программе предусмотрена возможность использования собственных алгоритмов затирания данных.
Acronis Privacy Expert Suite 9.0
Размер дистрибутива: 45,2 Мбайт
Способ распространения: shareware
Работа под управлением: Windows 98 SE/Me/NT/XP/2003 Server
Основное назначение пакета Acronis Privacy Expert Suite — обеспечение безопасности и конфиденциальности работы на компьютере, а представляющая интерес в ракурсе данной статьи возможность уничтожения информации — лишь одна из его дополнительных функций. Тем не менее мы сочли необходимым включить это приложение в обзор, так как по соотношению цены и возможностей гарантированного удаления данных Acronis Privacy Expert Suite неплохо смотрится даже на фоне специализированных шредеров, а наличие русскоязычного интерфейса делает программу еще более привлекательной как для коммерческих структур, так и для домашних пользователей.
В программе реализованы три направления, характерные для программных шредеров: гарантированное удаление заданных каталогов и файлов (модуль «Шредер» — рис. 12), забивание ранее удаленных данных сразу на всем диске или в его отдельных разделах с одновременным форматированием (модуль «Очистка диска») и затирание данных в swap-файле (модуль «Очистка файла подкачки»). Затирание производится с помощью восьми различных методов уничтожения информации, удовлетворяющих наиболее известным национальным стандартам, включая американские стандарты DoD 5220.22-M, NAVSO P-5239-26 (RLL) и NAVSO P-5239-26 (MFM), немецкий VSITR, российский ГОСТ P50739-95, а также алгоритмы Брюса Шнайера и Питера Гутмана.
Рис. 12. Гарантированное удаление заданных файлов и папок в Acronis Privacy Expert Suite
O&O SafeErase 2.0
Разработчик: O&O Software GmbH
Размер дистрибутива: 5,45 Мбайт
Способ распространения: shareware
Работа под управлением: Windows NT 4.0/2000/XP/2003
Программа-шредер O&O SafeErase — надежное и удобное решение для гарантированного уничтожения самой разной, в том числе конфиденциальной, информации с жесткого диска. Пользователю на выбор предоставляются пять методов удаления данных, отличающихся задействованными алгоритмами и числом проходов и обеспечивающих в итоге разный уровень секретности. Самым быстрым и наименее надежным из них является затирание данных путем однократного перезаписывания случайными значениями. Большую надежность обеспечивают поддерживаемые программой американские национальные стандарты Министерства обороны DoD 5220.22-M (E) и DoD II и немецкий стандарт BSI (Bundesamt fьr Sicherheit in der Informationstechnik). Самую высокую безопасность, которая требуется для уничтожения документов с грифом «Совершенно секретно», обеспечивает метод, базирующийся на алгоритме Питера Гутмана и выполняющийся в 35 проходов.
Использование программы предельно просто: либо уничтожать данные сразу, например из проводника Windows, выбрав появившуюся после установки приложения соответствующую команду в контекстном меню (рис. 13), или очистить корзину по окончании работы (рис. 14). Кроме того, предусмотрена возможность полного очищения диска с помощью функции O&O TotalErase, что удобно для быстрой подготовки диска к продаже или к передаче в чужие руки. С учетом предельной простоты работы с программой в совокупности с широким набором методов, обеспечивающих разный уровень надежности удаления данных, и с приемлемой ценой, программа оказывается очень привлекательной для широкого круга пользователей, в первую очередь для коммерческих структур и домашних пользователей.
Подчищаем за собой: учимся удалять данные с HDD и SSD
Благодаря научно-техническому прогрессу контролировать данные с каждым годом становится все сложнее. И дело отнюдь не только в развитии сетевых технологий. Если раньше чтобы быть уверенным в собственной безопасности достаточно было сжечь несколько писем пикантного содержания, то сегодня удаляя компрометирующие вас документы с жесткого диска или SSD вы не можете быть на 100% уверены, что их не удастся восстановить. О том, почему так происходит и какие существуют способы гарантированного уничтожения информации, мы и поговорим в сегодняшнем материале.
Системные утилиты для безопасного удаления файлов с HDD
А начнем мы с классических винчестеров и программных методов уничтожения данных. Ни для кого не секрет, что при удалении файлов через стандартный менеджер якобы стертая информация на самом деле никуда не девается. Все, что при этом происходит — присвоение соответствующим секторам статуса свободных, чтобы в будущем они были перезаписаны. Однако до тех пор, пока этого не произошло, файлы можно без особого труда восстановить при помощи специализированных программ.
Вывод напрашивается сам собой: для того, чтобы гарантированно удалить тот или иной файл, нам следует инициировать его принудительную перезапись. Для этих целей существует немало утилит, однако проще всего воспользоваться штатными средствами вашей операционной системы.
Windows
Начиная с Windows Vista операционные системы Microsoft по умолчанию однократно перезаписывают содержимое выбранного раздела нулями во время его полного форматирования. Количество циклов перезаписи можно задать и самостоятельно, однако для этого придется прибегнуть к услугам командной строки:
В данном примере мы форматируем том D в файловую систему NTFS, при этом даем операционной системе команду предварительно перезаписать весь раздел нулями 10 раз, используя параметр /p («passes»), задающий количество проходов. Перезаписать конкретный файл или каталог прицельно Windows, к сожалению, не позволяет. Впрочем рассматривать это как серьезный недостаток нельзя: если уж и хранить конфиденциальную информацию, которую в какой-то момент может понадобится уничтожить, на ПК, то делать это следует, как минимум, на специально выделенном для этого разделе, а лучше всего — на отдельном накопителе, который можно будет быстро очистить непосредственно из вашей ОС.
Linux
Операционные системы семейства Linux традиционно предлагают своим пользователям куда больше простора. Так, например, если вам понадобилось быстро и надежно удалить один или несколько файлов, вы можете воспользоваться консольной утилитой shred:
В этом примере мы перезаписали файл file.txt случайными данными 40 раз подряд (параметр -n , по умолчанию же shred совершает 25 проходов) и затем удалили его (параметр -u , поскольку по умолчанию shred не удаляет файлы, а сразу перезаписывает). Также утилита поддерживает удаление файлов по маске (например, *txt) или обработку сразу нескольких файлов подряд в рамках одной команды — для этого необходимо указать ведущие к ним абсолютные пути, разделенные пробелами:
Если же вы хотите дополнительно скрыть и сам факт «зачистки», то можете воспользоваться параметром -z :
Единственный недостаток shred — данная утилита не умеет работать с директориями. Поэтому если вам требуется уничтожить содержимое целого каталога с вложенными папками, стоит воспользоваться wipe:
В данном примере мы отдали команду рекурсивно ( -r ) удалить все, что находится в папке private, а также отключили запрос подтверждения удаления папок и файлов ( -f ), которое wipe выводит по умолчанию. Среди интересных дополнительных опций, поддерживаемых утилитой, стоит выделить принудительное выполнение chmod для каталогов и файлов, защищенных от перезаписи ( -c ), работу в тихом режиме ( -s ) и возможность заставить wipe следовать символическим ссылкам ( -D , конфликтует с -r ).
Mac OS
В версиях операционной системы с 10.4 по 10.10 вы могли инициировать перезапись файлов, переместив их в корзину, а затем выбрав в Finder опцию «Очистить корзину необратимо», однако впоследствии Apple от нее отказалась. Вплоть до версии 10.11 для безопасного удаления данных можно было воспользоваться консольной командой srm:
В данном примере мы рекурсивно удаляем содержимое папки private ( -r ), перезаписывая каждый файл случайными данными 7 раз подряд ( -m ). Также можно выбрать однократную перезапись файлов ( -s ) или же не указывать этот параметр вовсе — в этом случае утилита выполнит 35 проходов.
В актуальных версиях Mac OS инициировать безопасное удаление файлов с жесткого диска можно с помощью Дисковой утилиты (для этого необходимо нажать на кнопку «Параметры безопасности» и задать количество циклов перезаписи), либо через терминал, используя конструкцию вида:
Параметр -P является специфичным для Mac OS и сообщает утилите, что удаляемые файлы необходимо трижды перезаписать.
Как вы наверняка обратили внимание, по умолчанию однократную перезапись файлов предлагает лишь встроенная в ОС Windows утилита format , тогда как все прочие средства безопасного удаления файлов совершают от 3 до нескольких десятков прогонов за раз. Аналогичным образом обстоят дела с бесплатным и коммерческим софтом от сторонних разработчиков. Но с чем это связано и кто здесь прав?
Разобраться в этом нам вполне могли бы помочь государственные стандарты защиты секретных данных различных стран, но на деле такие документы не вносят ни толику ясности. Судите сами. В США вплоть до 2006 года придерживались DoD 5220.22-M, согласно которому секретные файлы требовалось перезаписывать трехкратно: один раз с использованием любого символа, второй — его XOR-комплимента, а третий — с использованием псевдослучайных данных. Однако сейчас накопители с секретной информацией предписано уничтожать физически.
Аналогичный подход используется и в Канаде (весь регламент изложен в Руководстве по уничтожению конфиденциальной информации на жестких дисках G2-003), с той лишь разницей, что во время третьего прохода на HDD циклично записывается последовательность символов, представляющая собой закодированную информацию о версии ПО, используемого для уничтожения данных, а также дата и время проведения процедуры. Но эта методика считается пригодной лишь для документов категорий A/B/Confidential, тогда как носители, содержащие засекреченные сведения, полностью уничтожаются.
В Германии все еще строже. BSI Verschlusssachen-IT-Richtlinien (VSITR) предписывает семикратную перезапись данных уровня «конфиденциально»: в ходе первых 6 проходов чередуются символ и его XOR-комплимент, а в 7-ом используется псевдослучайная последовательность. Но если на HDD хранилась секретная информация, то он все равно должен быть уничтожен.
Впору схватиться за голову: неужели с винчестера можно извлечь данные даже после многократной перезаписи и все программные методики бесполезны? Ну не могут же, в самом деле, ошибаться в Пентагоне и Бундесвере? Спешим успокоить: приведенные нами утилиты, как и многие другие их аналоги, великолепно справляются с возложенной на них задачей. В то же время и военные ведомства мировых держав отлично знают свое дело. Выглядит противоречиво? На самом деле нет, если четко осознавать два факта.
Первый: раньше данные с HDD действительно можно было восстановить даже после их перезаписи, воспользовавшись методом анализа краевой намагниченности, при котором информацию пытаются считать из промежутков между треками. Этот способ мог сработать в 80-х или 90-х, когда объемы винчестеров еще исчислялись мегабайтами, однако с повышением плотности записи он практически полностью утратил свою актуальность.
Второй: когда речь идет о секретной информации, никто не хочет оказаться крайним и попасть под раздачу в случае утечек сведений, составляющих государственную тайну. При работе с подобными материалами всем будет куда спокойнее, если списанный винчестер не просто сотрут, но и измельчат, расплавят, а затем растворят в кислоте. Плюс к этому утилизация позволяет решить проблему с хранением списанного оборудования, поскольку на eBay такие винчестеры по понятным причинам тоже не продашь.
Не убедили? В таком случае вы можете последовать примеру американских военных и уничтожить сам жесткий диск. Благо сделать это отнюдь не так сложно, как может показаться на первый взгляд.
Радикальный подход: уничтожаем винчестер
В сочетании с предварительным софтверным удалением файлов, физическое уничтожение накопителя полностью исключает вероятность восстановления данных с HDD даже с применением спецсредств. Способов расправиться с жестким диском существует немало, однако все их можно разделить на три обширные группы:
Механическое уничтожение
Нас интересует сугубо уничтожение магнитных пластин, так как DRAM-буфер, в котором кэшируются данные, очищается автоматически после обесточивания HDD, а единственное ПЗУ, имеющееся у винчестера, используется лишь для хранения на нем микропрограммы. Сразу оговоримся, что бить по жесткому диску кувалдой практически бесполезно: да, вы сможете уничтожить текстолитовые платы, разбить корпус (его пластиковую часть) и серьезно повредить блины, однако у профессионала все еще останутся шансы на восстановление информации. Чтобы достичь нужного результата, можно прибегнуть к услугам специализированного шредера.
Главная проблема таких устройств заключается в том, что они чрезвычайно дороги и занимают уйму места. Например, даже за самый простой агрегат уровня Ideal 0101 HDP придется выложить более 200 тысяч рублей, а ведь все, что умеет такой «малыш» с габаритными размерами 850 x 495 x 470 мм и весом 63 кг — проделывать в жестких дисках сквозные отверстия, что хотя и выводит винчестеры из строя, не может являться 100% гарантией уничтожения данных.
Более серьезный аппарат вроде HSM StoreEx HDS 230, буквально измельчающий накопители в труху, обойдется вам уже в 1,7–1,8 миллиона рублей. Такая «прелесть» имеет габариты 3х1х1,7 метра и вес 1.25 тонны, зато успешно справляется с 3.5-дюймовым HDD за каких-то 20 секунд, а извлечь информацию с переработанного носителя данных не возьмется ни один эксперт.
Разумеется, когда речь идет о рисках для репутации, свободы, здоровья или даже жизни, любые средства оказываются хороши, но давайте смотреть на вещи трезво: найти лишнюю пару миллионов и помещение под такой агрегат будет не под силу даже многим представителям бизнеса, не говоря уже о частных лицах.
Альтернативой шредеру способна послужить ручная шлифовальная машинка.
С ее помощью вы можете достаточно быстро удалить слой ферромагнетика (его толщина составляет лишь несколько десятков нанометров) с поверхности блинов, после чего ваши данные уже точно никто не восстановит, поскольку алюминиевая основа не сохраняет следов магнитного поля. На самом деле это, пожалуй, лучший способ механической «зачистки»: он бюджетен, надежен, сравнительно безопасен для оператора и не требует специальных навыков.
Термическое уничтожение
По сравнению с механической переработкой этот метод имеет одно весьма интересное преимущество: выбрав его, вы можете не беспокоиться о предварительном стирании данных с помощью специализированных утилит. Давайте вспомним определение ферромагнетика. Ферромагнитные материалы представляют собой кристаллические соединения, способные сохранять намагниченность в условиях отсутствия внешнего магнитного поля при температуре ниже точки Кюри. По достижении последней ферромагнетик утрачивает свои свойства, так что вся записанная информация оказывается гарантировано удалена.
Далее — простая математика:
точка Кюри ферромагнитного покрытия на основе оксида хрома, которое используется в жестких дисках, составляет около 386 градусов Кельвина, то есть 113°С;
температура плавления алюминия, из которого состоят сами пластины, составляет 660°С;
температура пламени пропан-бутановой горелки, которую можно приобрести в любом строительном магазине, достигает 1300°С.
Плюсы такого подхода — ультрабюджетность и возможность «обработки» накопителя в домашних условиях, минусы — длительность процедуры и пожароопасность. Так что если вы твердо решили именно «печь блины», стоит заблаговременно обзавестись компактной муфельной печью.
Подобный аппарат обойдется вам примерно в 20 тысяч рублей, обеспечит нагрев до 1250°С (чего для наших целей, опять же, более, чем достаточно), а объем камеры 5 литров позволит одновременно «обработать» целый RAID-массив.
Химическое уничтожение
Смесь концентрированных азотной и соляной кислот, взятых в соотношении 1:3, более известная под названием «царская водка», способна без труда растворить жесткий диск даже целиком, не оставив и следа ни от сохраненных данных, ни от самого накопителя. Впрочем, HNO3 неплохо справляется с покрытием блинов даже соло.
Все перечисленные нами методики достаточно эффективны, хотя и не лишены ряда недостатков. Во-первых, подобные манипуляции потенциально травмоопасны, особенно в условиях нехватки времени: если в спешке можно серьезно повредить руку даже шлифовальной машинкой, то что уж говорить о кислоте или горелке? Во-вторых, вам потребуется закупить специальное оборудование, а для работы с кислотой так и вовсе иметь мини-лабораторию с хорошей вытяжкой. В-третьих, они мало подходят для ситуаций, когда «за вами уже выехали»: любой из приведенных методов занимает достаточно времени, часть которого придется потратить на разборку винчестера.
Но что если проявить толику смекалки, заранее выкрутить все болты, удерживающие крышку HDD, и посадить ее на скотч, чтобы в случае чего быстро сорвать и извлечь блины? Хотя это действительно поможет сэкономить драгоценное время, здравой подобную идею не назовешь.
Если речь идет о «воздушном» накопителе (к таковым относятся модели емкостью до 6 ТБ включительно), вскрытие устройства негативно скажется на его надежности. Пускай такие винчестеры и не являются герметичными, даже они собираются в стерильных условиях, а барометрическое отверстие, присутствующее в корпусе каждого диска, и предназначенное для выравнивания давления, надежно защищено микрофильтром, задерживающим влагу и мелкодисперсные частицы. Кстати, для большей надежности внутрь HDD устанавливается еще и фильтр рециркуляции, обеспечивающий очистку воздуха в гермозоне во время работы устройства.
После вскрытия диска внутрь гермозоны неизбежно станет просачиваться пыль, что сперва приведет к появлению множественных ошибок чтения/записи, обусловленных нагревом сенсоров под действием силы трения, возникающей, когда движущаяся на огромной скорости пыль станет задевать их поверхность, а затем и к полному выходу винчестера из строя, поскольку мелкодисперсные частицы, подобно абразиву, будут повреждать слой ферромагнетика и стачивать сами головки чтения/записи. Ведь не стоит забывать, что размеры последних у современных жестких дисков не превышают 120 нанометров, а зазор между сенсорами и поверхностью блина составляет всего 12–15 нм, вследствие чего винчестеры чрезвычайно уязвимы.
Если же попытаться вскрыть тот же WD Red Plus WD80EFBX объемом 8 терабайт, то, во-первых, вам придется сильно постараться, а во-вторых, накопитель после такого вмешательства выйдет из строя. Все дело в том, что винчестеры повышенной емкости создаются на базе платформы HelioSeal и заполняются разреженным гелием — инертным газом, плотность которого в 7 раз меньше воздуха. Такой подход помог значительно снизить сопротивление газовой среды и показатели турбулентности внутри гермозоны, что, в свою очередь, позволило уменьшить толщину магнитных пластин и добавить дополнительные, добиться большей плотности записи методом CMR благодаря повышению точности позиционирования головки и сократить энергозатраты на раскрутку шпинделя.
Как следствие, гелиевые накопители оказываются не только вместительнее, но и практически на 50% экономичнее и на 4–5°C холоднее «воздушных» аналогов, что делает подобные устройства идеальным решением для эксплуатации в составе серверов и сетевых хранилищ, работающих в режиме 24/7. Но в то же время в случае разгерметизации вы больше не сможете записать на такой диск ни единого бита информации, хотя все ранее записанные файлы будут по-прежнему доступны.
Это объясняется самим принципом работы современных винчестеров, пишущие головки которых буквально парят над поверхностью блинов на определенной высоте благодаря экранному эффекту: при стремительном движении магнитных пластин под пилонами блока головок образуется воздушная подушка, обеспечивающая необходимую подъемную силу. В случае вскрытия HDD, созданного по технологии HelioSeal, гелий мгновенно улетучивается, замещаясь более плотным атмосферным воздухом, из-за чего расстояние между головками чтения/записи и магнитных пластин в несколько раз увеличивается. В этих условиях силы магнитного поля, создаваемого пишущим модулем, оказывается уже недостаточно для записи данных, хотя с чтением каких-либо проблем не возникает. Этот нюанс был предусмотрен при разработке гелиевой платформы, чтобы в случае нештатных ситуаций вы могли без особых проблем перенести информацию с поврежденного по тем или иным причинам накопителя на исправный.
В свете всего сказанного перечисленные способы расправы над жестким диском можно рассматривать лишь в качестве мер планомерной утилизации, когда об имеющейся у вас информации еще никто не знает и за вами никто не едет. Для срочной же ликвидации данных подойдут только электромагнитные приборы экстренного уничтожения винчестеров.
Внутри корпуса такого устройства расположен соленоид, генерирующий при активации магнитное поле силой свыше 500 кА/м, которое полностью размагничивает блины, а заодно и выжигает всю электронику, так что после проведения очистки диск становится не пригоден для эксплуатации. Отдавать предпочтение следует моделям с цилиндрическими соленоидами, поскольку подобная геометрия катушки обеспечивает наиболее равномерное распределение магнитного поля, гарантировано затирая данные на всех магнитных пластинах.
Уничтожители выпускаются в самых разных вариантах, в том числе в виде модулей с интерфейсами SATA/SAS и активным охлаждением, благодаря чему их можно использовать в качестве корзин для жестких дисков, что поможет сэкономить драгоценные секунды в чрезвычайных ситуациях. Продвинутые модификации могут похвастаться и множеством дополнительных опций, вроде активации с пульта ДУ, по SMS или при пересечении охраняемого периметра. Единственный недостаток подобных решений — цена от 40 до 100 тысяч рублей (и даже выше), так что если время не поджимает, та же муфельная печь оказывается более интересным выбором по соотношению цены и надежности уничтожения данных.
Горе от ума: уничтожение данных на SSD
По сравнению с классическими винчестерами, твердотельные накопители обладают целым рядом преимуществ, главными из которых являются высокая производительность, защищенность от механических воздействий и энергоэффективность, да и принцип их работы кардинально отличается от HDD. Так может быть, и для хранения конфиденциальной информации SSD окажутся лучшим выбором?
В общем и целом ответить на этот вопрос можно утвердительно, но есть несколько нюансов. Когда речь заходит об уничтожении информации, твердотельные накопители действительно выигрывают у жестких дисков во многих аспектах, однако даже они не могут гарантировать моментальное и безвозвратное стирание сохраненных данных. И главная проблема заключается в том, что подобные устройства чересчур «умные».
Для большей наглядности давайте вспомним, как вообще работает флеш-память. Кодирование битов информации происходит путем изменения величины заряда в так называемых CTF-ячейках (Charge Trap Flash — «ловушка заряда») за счет квантового туннелирования электронов сквозь слой диэлектрика, обусловленного высокой напряженностью электрического поля. С точки зрения физики мы имеем дело с явлением обратимого лавинообразного пробоя. Разгоняясь в электрическом поле электроны получают достаточную кинетическую энергию для ударной ионизации молекул диэлектрика, в результате чего возникает пара элементарных частиц, несущих противоположный заряд, которые также разгоняются электрическим полем, и процесс многократно повторяется, при этом количество носителей заряда возрастает в геометрической прогрессии (отсюда и название).
Нетрудно догадаться, что подобные процессы вызывают постепенный износ диэлектрических слоев, в результате повышается вероятность утечки заряда в соседние ячейки, что, в свою очередь приводит к повреждению или даже полной утрате данных. Причем дальнейшее уменьшение техпроцесса лишь усугубляет ситуацию, ведь расплатой за повышение плотности хранения информации оказывается и снижение толщины диэлектрика.
Бороться с износом флеш-чипов можно различными способами, в том числе и на уровне архитектуры микросхем, однако полностью нивелировать повреждение изолирующих слоев невозможно. При этом ситуация усугубляется еще и тем, как именно происходит запись данных на SSD, ведь все доступные ячейки флеш-памяти объединены в страницы, а страницы, в свою очередь, — в блоки, при этом запись информации осуществляется постранично, а ее стирание — поблочно. Из-за этого каждая ячейка памяти испытывает куда большую нагрузку, поскольку любая операция записи и стирания файла может запустить целый каскад циклов программирования/очистки. Схематично это выглядит так.
Пускай новые данные, которые мы хотим записать, занимают две страницы в блоке, однако реально свободна лишь одна: хотя старая страница (выделена желтым) была удалена пользователем ранее, по факту записанная информация никуда не делась. Чтобы расчистить место для новых данных, контроллер инициирует процедуру, известную, как «Garbage Collection» (сборка мусора), удаляя ненужные данные и перераспределяя существующие. Для этого все страницы, за исключением ненужной, копируются во второй, свободный блок, тогда как первый полностью стирается. Затем актуальные страницы переносятся обратно в первый блок, удаляются из второго, и лишь после этого новые данные занимают свое законное место.
В приведенном выше примере ради записи пары страниц пришлось дважды полностью перезаписать 2 блока по шесть страниц каждый. На самом же деле процесс сборки мусора будет выглядеть куда сложнее и количество циклов перезаписи окажется значительно больше. Реальную картину можно оценить только зная коэффициент усиления записи (Write Amplification), который показывает, во сколько раз фактическая нагрузка на флэш-память превышает расчетную. Данный показатель может быть равен единице лишь при записи информации на абсолютно чистый, только что отформатированный диск, во всех прочих случаях его значение будет варьироваться в пределах от 2 до 25. Причем даже у, с первого взгляда, идентичных накопителей он может значительно отличаться, так как зависит от модели используемого контроллера и особенностей микропрограммы.
Нетрудно догадаться, что столь сложная процедура удаления и записи данных негативно сказывается на производительности твердотельных накопителей. Для решения этой проблемы прибегают к простой хитрости: до тех пор, пока на SSD достаточно свободного места, новые файлы сразу записываются на свободные страницы, а сборка мусора откладывается вплоть до момента простоя накопителя, что позволяет не тратить время на перетасовку ранее сохраненных данных.
В свою очередь, проблему чрезмерного износа ячеек в силу избыточной перезаписи помогает решить выравнивание износа (Wear Leveling). В общем случае данный процесс выглядит следующим образом. Вы купили новенький SSD и пока на нем есть свободное место, информация будет записываться в свободные блоки. По мере эксплуатации вы начинаете удалять ненужные файлы, и механизм сборки мусора осуществляет их очистку в фоновом режиме, однако для записи они будут использоваться лишь после того, как на диске не останется ни одного блока, в который хотя бы раз не были бы записаны данные. Поскольку операционные системы используют логический механизм адресации блоков данных (LBA), тогда как сам контроллер оперирует уже физическими адресами (PBA), соотнося их с логическими, реализовать подобный механизм не составляет особого труда.
Все сказанное выше определяет сильные и слабые стороны SSD применительно к сценарию уничтожения конфиденциальной информации. К преимуществам твердотельных накопителей можно отнести следующие:
1. Если информация была действительно стерта из памяти накопителя, она не подлежит восстановлению ни при каких обстоятельствах.
Никакое определение краевой намагниченности и прочая «техномагия» здесь не помогут: CTF либо несет определенный заряд, кодирующий биты данных, либо нет.
2. Даже если процедура сборки мусора не была завершена, посторонний не сможет получить доступ к неочищенным ячейкам обычным способом.
При попытке обращения к формально (но не физически) очищенным ячейкам контроллеры современных SSD возвращают одно и то же установленное значение (Deterministic TRIM, DRAT) или же гарантированно возвращают нули (Zero Return After TRIM, ZRAT).
3. Пока на твердотельный накопитель поступает питание, сборка мусора продолжит выполняться.
Даже если ваш SSD попадет не в те руки, время станет работать на вас, ведь пока злоумышленник будет изучать доступные файлы, контроллер продолжит неумолимо уничтожать стертые данные, и остановить этот процесс штатными средствами, опять же, невозможно.
Однако все перечисленные преимущества перечеркивает серьезный недостаток: управлять сборкой мусора не сможете даже вы. Заботясь о вас, контроллер SSD самостоятельно выберет оптимальное время и интенсивность очистки более неиспользуемых ячеек памяти, и этот процесс может длиться достаточно долго. Если же до накопителя доберутся третьи лица, считать «мусор», который контроллер еще не успел собрать, им удастся путем выпаивания флеш-чипов и прямого к ним обращения. Конечно, тому, кто будет этим заниматься, не позавидуешь, ведь исследователю придется решить проблему не только физической, но и логической фрагментации данных, однако сделать это вполне реально.
По этой причине полагаться на простое удаление критических данных через файловый менеджер операционной системы не следует даже при работе с SSD, да и программы-шредеры здесь никак не помогут. Тем не менее в случае с твердотельными накопителями все оказывается гораздо проще и надежнее, поскольку для безвозвратного стирания информации зачастую достаточно воспользоваться фирменной утилитой, предлагаемой самим производителем накопителя. Так, владельцы SSD от Western Digital могут воспользоваться для этих целей Western Digital SSD Dashboard.
Данное приложение существует в нескольких вариациях, адаптированных под разные серии устройств с учетом их специфики. Например, WD_BLACK SSD Dashboard, предназначенная для мониторинга и обслуживания высокопроизводительных NVMe-накопителей SN750 и SN850, ориентированных на геймеров, профессионалов и энтузиастов, получила поддержку «Gaming Mode». При переводе такого SSD в игровой режим полностью отключаются энергосберегающие функции группы APST (Autonomous Power State Transition), что позволяет выжать из накопителя максимум за счет минимизации времени задержки при первичном обращении к данным. На практике это позволяет избавиться от фризов, вызванных подгрузкой текстур, даже в наиболее тяжелых (или плохо оптимизированных) AAA-играх, или же дополнительно ускорить процесс рендеринга видео или трехмерных моделей, если речь идет о производстве контента.
Версии Western Digital SSD Dashboard для SATA-накопителей и среднебюджетных NVMe SSD SN550 подобной опции, закономерно, не получили (да она им, откровенно говоря, и ни к чему), однако базовый функционал всех перечисленных версий приложения практически идентичен. Помимо таких операций, как обновление микропрограммы, мониторинг производительности или отслеживание износа флеш-чипов, утилита позволяет выполнить принудительное удаление всех записанных данных (функция «Sanitize» или, в русскоязычной версии программы, «Очистка», которая находится в разделе «Tools», или же «Сервис»).
После запуска процедуры очистки на выбранном устройстве не просто удаляется таблица сопоставлений, как при обычном форматировании, но и очищаются все записанные блоки данных. SSD, не являющийся системным, можно очистить непосредственно через утилиту. Если же вам требуется удалить все данные с системного накопителя, для этого сперва придется создать загрузочную флешку с помощью опции «Create a bootable USB-drive to perform Sanitize» («Создайте загрузочное USB-устройство для выполнения операции очистки»).
В зависимости от объема накопителя процесс стирания может занимать достаточно длительное время. Однако по его окончании вы будете на 100% уверены в том, что вся критически важная информация была безвозвратно удалена и не подлежит восстановлению.