Sprawdź, jak bezpiecznie usuwać dane

Dodano: 11 grudnia 2019
73426f70863127f68d86c2bbe4754282d28e60dd-large

Przedstawiamy metody bezpiecznego usuwania danych z nośników zgodnie z normą NIST 800-88 Rev. 1.

Podczas zwykłego usuwania danych z dysku dane te zwykle nie są usuwane fizycznie z dysku; znikają jedynie odpowiednie wpisy w tablicy alokacji plików. Podobnie dzieje się podczas tzw. szybkiego formatowania, które nie usuwa danych z dysku, lecz jedynie tworzy nową tablice alokacji plików, zaś same dane nadal pozostają na dysku. Zatem do faktycznego usunięcia danych z dysku potrzebujemy odpowiednich narzędzi.

Jednak dyski twarde to nie jedyne medium, z którym mamy współcześnie do czynienia; coraz bardziej popularne są dyski SSD i pamięci flash. Z kolei w większych organizacjach do celów archiwizacyjnych stosowane są nadal taśmy, dyski M-DISC i inne. Amerykańska norma NIST 800-88 [1] oferuje kompleksowe podejście do zagadnień związanych z bezpiecznym usuwaniem danych z różnych używanych obecnie nośników, zalecając użycie rozwiązań adekwatnych do poziomu ryzyka związanego z ujawnieniem danych znajdujących się na nośniku.

Działy IT stają przed problemem bezpiecznego usuwania danych przede wszystkim w dwóch sytuacjach: (1) utylizacja lub sprzedaż sprzętu oraz (2) przeniesienie sprzętu z jednego działu do drugiego. W obu przypadkach, rozważając dobór odpowiedniego rozwiązania, należy wziąć pod uwagę koszt odzyskania danych. NIST 800-88 przedstawia trzy kategorie metod usuwania danych:

  • Czyszczenie (clear): to tradycyjne nadpisywanie danych uniemożliwiające odzyskanie danych metodami programowymi; odnosi się do nośników obsługujących operację ponownego zapisu. Nadpisane powinny zostać wszystkie bloki adresowalne przez użytkownika. Niektóre typy nośników, takie jak pamięć flash, mogą utrudnić kompletne wyczyszczenie całego nośnika tego rodzaju metodą ze względu na wbudowane mechanizmy chroniące nośnik przed zużyciem.
  • Czyszczenie gruntowne (purge): techniki uniemożliwiające odzyskanie danych metodami laboratoryjnymi wykorzystujące dedykowane funkcje czyszczenia bądź nadpisywania bloków zamiast standardowych mechanizmów zapisu i odczytu. Do tej grupy zalicza się również mechanizm kryptograficznego usuwania danych (CryptographiC Erase, CE). Stosowany jest on w dyskach, których zawartość jest zaszyfrowana. Funkcja CE powoduje usunięcie (odpowiednio silnego) klucza szyfrującego, co w praktyce prowadzi do niemożności odzyskania danych. Zaletą tej metody jest szybkość działania: wielokrotne nadpisanie całej zawartości dysku twardego może trwać nawet wiele dni, natomiast usunięcie klucza szyfrującego - jedynie ułamek sekundy.
  • Zniszczenie fizyczne (destroy): metody uniemożliwiające odzyskanie danych i dalsze korzystanie z nośnika, np. poprzez demagnetyzację nośnika magnetycznego. Uwaga: metoda zniszczenia powinna być dostosowana do typu nośnika. Niszczenie przeprowadzane jest zwykle przez specjalistyczne firmy dysponujące odpowiednim sprzętem i certyfikatami. Niszczenie jest jedyną metodą w przypadku uszkodzonych dysków i innych nośników, w przypadku których dwie poprzednie metody okazują się nieskuteczne.

Po wyczyszczeniu danych należy przeprowadzić weryfikację, sprawdzając za pomocą dostępnych narzędzi, czy faktycznie z urządzenia nie da się odzyskać żadnych danych.

Korzystanie z funkcji usuwania kryptograficznego (CE) jest dopuszczane przez normę NIST 800-88, pod warunkiem, że wrażliwe dane znalazły się na nośniku już po włączeniu funkcji CE. Jeśli znajdowały się tam już wcześniej bądź nie jesteśmy pewni, w którym momencie została włączona funkcja CE, NIST radzi nie korzystać z CE. Zwraca też uwagę na rozwiązania sprzętowo-programowe, w których klucze służące do szyfrowania są przechowywane poza dyskiem, np. w systemie plików, co w niektórych sytuacjach jest wygodne, ma jednak negatywny wpływ na bezpieczeństwo danych „usuwanych” za pomocą CE. Innym istotnym argumentem przeciw stosowaniu CE są błędy w implementacji szyfrowania w dyskach różnych producentów.

Czyszczenie zwykłe

Do przeprowadzenia czyszczenia zwykłego tradycyjnych dysków twardych wystarczy popularne narzędzie Darik’s Boot And Nuke [2] czy CBL Data Shredder [3]. DBAN dystrybuowany jest w postaci obrazu ISO, który należy wypalić na płycie bądź skopiować na pendrive’a odpowiednim narzędziem (Win32DiskImager w Windows, dd w Linuksie). Po zrestartowaniu komputera wybieramy nośnik zawierający DBAN jako urządzenie rozruchowe. Uwaga: domyślnie DBAN czyści wszystkie nośniki podłączone do komputera, musimy więc najpierw wybrać nośnik do wyczyszczenia przyciskiem F1, a dopiero potem przejść do metody usuwania danych.

Czyszczenie gruntowne

Jedną z metod gruntownego usunięcia danych (purge) jest użycie funkcji ATA Secure Erase, która jest opcjonalną funkcją standardu ATA i można ją znaleźć w dyskach PATA i SATA wyprodukowanych po 2001 roku. Funkcji Secure Erase można użyć za pomocą różnych narzędzi, takich jak Parted Magic [4], MHDD [5], HDDerase [6], Victoria [7] oraz Hdparm [8]; w dalszej części artykuły zajmiemy się tą ostatnią opcją.

Opisany niżej proces nie daje gwarancji powodzenia i może doprowadzić do trwałego uszkodzenia dysku. Zanim więc go przeprowadzimy, należy wyczyścić dysk w zwykły sposób (np. DBAN-em). Dodatkowo metoda ta nie sprawdzi się w przypadku dysków podłączanych przez USB, nie zaleca się też korzystania z Hdparma w wersji starszej niż 9.31. Jeśli proces się nie powiedzie, można spróbować przywrócić dysk do stanu poprzedniego, wywołując Hdparma z opcją --disable-security. Do przeprowadzenia poniższych czynności będzie nam potrzebna dowolna dystrybucja Linuksa.

1. Najpierw sprawdzamy, czy nasz dysk nie ma statusu frozen (/dev/sdX to nazwa urządzenia, które chcemy wyczyścić):

hdparm -I /dev/sdX

Po wykonaniu tego polecenia powinniśmy ujrzeć kilka wierszy, wśród nich not frozen. Jeśli natomiast ujrzymy samo frozen (bez not), przeprowadzenie operacji nie będzie możliwe.

2. Drugi krok to ustawienie tymczasowego hasła:

hdparm --user-master u --security-set-pass HASŁO /dev/sdX

Jeśli sprawdzimy teraz status dysku poleceniem hdparm -I /dev/sdX, w sekcji Security pod Master password i supported powinniśmy ujrzeć dodatkowy wiersz enabled.

3. Trzeci krok to samo uruchomienie funkcji ATA Secure Erase:

hdparm --user-master u --security-erase HASŁO /dev/sdX

W zależności od rodzaju dysku (HDD/SSD) i jego pojemności wykonanie tego polecenia może trwać od kilkunastu sekund do kilku godzin.

4. Po bezpiecznym usunięciu danych hasło zabezpieczenie hasłem powinno zostać wyłączone, co można sprawdzić, ponownie wydając polecenie hdparm -I /dev/sdX. Jeśli wszystko przebiegło, jak należy, wspomniany wyżej wiersz enabled powinien zmienić formę na not enabled.

Podsumowanie

Wybór metody bezpiecznego usunięcia danych z dysku zależy od wielu czynników, z których decydujące znaczenie ma rodzaj nośnika, typ przechowywanych informacji i konsekwencje dostania się ich w niepowołane ręce. Norma NIST 800-88 definiuje trzy poziomy bezpiecznego usuwania danych, przy czym nie każdy nośnik obsługuje wszystkie trzy poziomy. W przypadku dysków dobry rezultat uzyskamy, korzystając z opcji ATA Secure Erase. Użycie funkcji Cryptographic Erase, choć wygodne, wiąże się z pewnymi ograniczeniami. W NIST 800-88 znajdziemy też obszerną listę różnych urządzeń – od telefonów komórkowych po routery – wraz z dostępnymi metodami usuwania danych dla każdego z nich.

 

Czytelnicy tego artykułu skorzystali również z poniższych narzędzi

Nasi partnerzy i zdobyte nagrody


© Portal Poradyodo.pl

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

SPRAWDŹ »

x
wiper-pixel