Niszczenie danych: Mission Impossible

środa, 20 stycznia 2016 przez Matt Prince

DST_image_970x300_hero-data-erasure

Eksperci odzyskiwania danych często mają do czynienia z sytuacjami, w których ważne dane zostały skasowane przez właściciela lub kogoś innego - przypadkiem lub celowo. Historie takie nie zawsze kończą się tak samo, a dane – o ile klient nie robił niczego nadmiernie kreatywnego– przeważnie da się odtworzyć. To dobra wiadomość dla ludzi, którzy utracili ważne dane, ale zła dla tych, którzy potrzebują je trwale zniszczyć.

Dlaczego możliwe jest odzyskanie plików, które zostały już skasowane? Jest tak, ponieważ plik pozostaje na nośniku danych, dopóki miejsce, gdzie został umieszczony, nie zostanie fizycznie nadpisane przez inny plik. Użytkownik nie ma kontroli nad procesem nadpisywania, choć oczywiście prawdopodobieństwo nadpisania skasowanych plików jest tym większe, im więcej plików zostanie później zapisanych na dysku twardym. Zarówno kasowanie pojedynczego pliku, jak i formatowanie partycji to procesy polegające na modyfikacji tablicy alokacji plików (jedne z popularniejszych systemów plików – np. FAT i NTFS – oparte są na systemie tablicy alokacji plików). Proces ten nie obejmuje przestrzeni dyskowej, która modyfikowana jest wyłącznie, gdy rozpoczynany jest inny proces zapisywania pliku po „skasowaniu” danego pliku lub sformatowaniu partycji. Jeśli więc nic nie zostanie zapisane na fizycznym miejscu zajmowanym przez usunięty plik, będzie można go przywrócić.

To samo dotyczy wszystkich plików systemowych, o których wspomniałem wcześniej (np. plików tymczasowych, plików stronicowania, drukowania i hibernacji); nawet, jeśli dany plik został nadpisany w jednym miejscu, może być możliwe odtworzenie go z innej lokacji na dysku twardym. Jak więc widzicie, „ręczne” kasowanie bardziej przypomina zabawę w kotka i myszkę z danymi.

Wymazywanie danych – dalsze komplikacje

Nie jest to całość problemu – niektóre urządzenia, np. smartfony i pendrive'y, jeszcze bardziej utrudniają usunięcie danych. Przywracanie telefonu do ustawień fabrycznych na Androidzie nadal nie działa w pełni skutecznie na wielu urządzeniach, więc gdy kupujecie telefon albo tablet z drugiej ręki, często otrzymujecie także dane poprzedniego właściciela.

Analogiczny problem występuje w systemach przechowywania danych opartych na pamięci flash (dyski SSD, karty SD, itp.). Pamięć flash podzielona jest na bloki (z kolei bloki dzielą się na 128 stron, po 4 kB każda, a fizycznie reprezentowane są jako ramki). Pamięć flash składa się z czterech rodzajów bloków, każdy o własnej funkcji przechowywania danych i właściwościach.

  1. Bloki systemowe – nigdy nie przechowują danych użytkownika; uszkodzenie bloku systemowego powoduje błąd logiczny w całym dysku (co nie pozostawia innego wyboru, jak wymazać umieszczone tam dane programowo).
  2. Bloki aktywne – tu przechowywane są dane użytkownika; mogą być zapisywane w każdym miejscu bloku.
  3. Bloki wolne – tu przechowywane są stare („skasowane”) dane; dane te również mogą być zapisywane w każdym miejscu bloku.
  4. Bloki używane – nie mają już wolnego miejsca na zapisywanie danych, ale nadal zawierają dane zapisane przez użytkownika.

Dyski SSD często posiadają wbudowane funkcje zwiększające ich wydajność, np. Garbage Collector, które nie tylko przyspieszają działanie dysku, ale tworzą także kilka kopii każdego pliku. Oznacza to, że na każdym dysku istnieje znacznie więcej kopii każdego pliku, a część z nich znajduje się w blokach, które nie są nadpisywane, co sprawia, że niezwykle trudno jest je skutecznie nadpisać

UWAGA: jedyny sposób, by skuteczne usunąć plik, to go całkowicie nadpisać!

I obawiam się, że to nadal nie jest całość problemu. Nawet wielokrotne nadpisywanie plików nie gwarantuje, że wszystkie ich ślady zostały usunięte. Zajmę się tą kwestią w następnym poście.

img_600x600_shirtontrack

Poproś o bezpłatną wycenę:
32 630 48 65Darmowa konsultacja