Skuteczne kasowanie danych – kwestie nadpisywania i odzysku danych

0
97

 

Już na wstępie należy zaznaczyć, iż możliwość odzyskania utraconych danych warunkowana jest jednym podstawowym czynnikiem – pliki nie mogą zostać nadpisane, czyli po przypadkowym usunięciu pliku, sformatowaniu nośnika czy awarii urządzenia żadna nowa informacja nie może zostać zapisana w miejscu pliku, który chcielibyśmy odzyskać. Ten warunek bywa jednak niekiedy kwestionowany – wszystko w kontekście pewnych teoretycznych rozważań, którym poświęcimy dziś nieco miejsca.

Sposób zapisywania informacji na dyskach twardych

Wszelkie usunięte dane ciągle obecne są na dysku, jednak nie posiadają już swoich adresów. Miejsca, które zajmują określane są jako gotowe do zapisania przez kolejne porcje danych. Wszystkie operacje, jak kasowanie plików czy usuwanie partycji, odbywają się bowiem jedynie w obrębie tablicy alokacji – dane pozostają na swych miejscach, a zmianie ulegają jedynie wpisy w tablicy, które informują o zasobach systemu. Zatem dopóki kolejne pliki nie zostaną zapisane w miejscu wcześniej usuniętych, dopóty będzie istnieć możliwość ich odczytania. Warunkiem jest jednak uniemożliwienie jakiegokolwiek nowego zapisu.

Odczytanie pewnych fragmentów danych jest także możliwe po wykonaniu powtórnego zapisu, ale tylko wtedy gdy pozostaną niezapisane końcówki klastrów – przestrzeni służącej do zapisu danych. Małe pliki nie zajmują całych przestrzeni klastrów pozostawiając nienadpisane, możliwe do odzyskania strzępy danych (slack space). Znajdują się one w przestrzeni niedostępnej dla użytkownika, ani dla systemu operacyjnego. Jednak dzięki odpowiedniemu oprogramowaniu przestrzeń ta może stać się otwarta i znajdujące w niej okruchy informacji dostępne. Fragmenty takie posłużyć mogą do zrozumiałego odtworzenia zapisanych uprzednio informacji. Ma to szczególne znaczenie przy wszelkich działaniach z zakresu informatyki śledczej.

Nadpisywanie jako sposób uniemożliwiający odczytanie skasowanych danych jest zatem szczególnie interesujące nie tylko w kontekście ewentualnego odzysku, ile właśnie w sytuacji jego skutecznego uniemożliwienia. Stanowi bowiem podstawę wielu algorytmów wykorzystywanych przez oprogramowanie służące do certyfikowanego bezpowrotnego usuwania zapisanych na nośnikach magnetycznych informacji.

Nadpisanie danych a skuteczność ich ekstrakcji

Programowe nadpisanie danych polega na zapisaniu całej przestrzeni dysku nowymi danymi według określonego wzorca. Zabieg taki wykonywany jest jednorazowo bądź wielokrotnie. Parametry zapisu określane są przez zastosowany algorytm programowy, przy czym wybór algorytmu w kontekście liczby powtórzeń zapisu wydaje się nie mieć znaczenia, ponieważ już jednokrotne nadpisanie całej przestrzeni nośnika uniemożliwia w praktyce możliwość odczytania zapisanych uprzednio informacji. Kwestia ta jednak, jak wspomnieliśmy na wstępie, budzi pewne kontrowersje w środowiskach zajmujących się teoretyczna analizą zagadnienia.

Źródłem owej polemiki stał się artykuł Petera Gutmanna Secure deletion of data from magnetic and solid–state memory1 opublikowany w roku 1996, w którym autor przedstawił potencjalne możliwości odczytania nadpisanego dysku HDD z pomocą specjalistycznego badania pola magnetycznego. Gutmann wyjaśniał, iż podczas nadpisywania danych logicznej wartości „1” będą odpowiadać nieco inne wartości analogowe – trochę wyższe lub niższe od „1”, które mogą być odczytane poprzez precyzyjny pomiar sygnału analogowego. I tak, jeśli „0” zostanie nadpisane przez „1”, to wartość pola magnetycznego będzie bliższa 0,95. Na podstawie owej różnicy teoretycznie można by zatem uzyskać wartość zapisanych poprzednio stanów logicznych. Według Gutmanna, dokonując takich pomiarów można wyliczyć ciągi binarne nawet po dwukrotnym cyklu nadpisywania.

Inny sposób odtworzenia nadpisanej informacji związany jest z brakiem precyzji zapisu prowadzonego za pomocą głowic magnetycznych. W kolejnych cyklach zapisu dane nie są fizycznie umieszczane w tych samych miejscach co bity starej informacji – ślady kasowanych danych pozostają widoczne np. na krawędzi ścieżki. Stosując specjalistyczne przyrządy pomiarowe, jak mikroskop sił magnetycznych rejestrujący minimalne zmiany w polu magnetycznym, można pokusić się o próbę odczytania pozostawionych strzępów informacji.

Tyle teoria. Wnioski z tych analiz mogły utwierdzać w przekonaniu, że nawet kilkukrotne nadpisanie bitów informacji nie jest bezpieczną metodą ich usunięcia, wykluczającą możliwość ewentualnego odzysku. Receptą miało być zaproponowane przez Gutmanna wielokrotne nadpisywanie przestrzeni dyskowej różnymi ciągami bitów. Przedstawiony został algorytm oferujący nawet 35-krotne nadpisywanie różnymi wzorami ciągów binarnych gwarantujący skasowane pliki danych niemożliwymi do odczytu. Przy czym, w zależności od różnych czynników określonych przez autora, rekomendowane było korzystanie z maksymalnie kilkunastu opisanych wzorów. „Metoda Gutmanna” stała się jednym z funkcjonujących komercyjnie algorytmów bezpiecznego usuwania danych, który jest oferowany przez popularne programy służące do zarządzania plikami informacji.

Recepcja i krytyka

Artykuł wzbudził żywe zainteresowanie. Pojawiło się jednak pytanie o praktyczne wykorzystanie tych koncepcji. Nie istnieje bowiem żaden udokumentowany przypadek odzyskania danych w oparciu o „metodę Gutmanna”. Sam Gutmann zresztą wielokrotnie odnosił się do swojego opracowania zwracając uwagę, iż miało jedynie charakter teoretyczny i dotyczyło technik zapisu informacji powszechnych w roku 1996. W dodanym po latach wstępie do artykułu zastrzegał, iż przedstawione wówczas rozważania nie mogły być już właściwe 15 lat później, kiedy to znacznie zmieniły się sposoby zapisu, wzrosła gęstość i precyzja prowadzenia ścieżek informacji.

Krytycznej analizy tekstu Gutmanna podjął się Daniel Feenberg2. Poddał on pod wątpliwość realność twierdzeń Gutmanna, jak również przydatność mikroskopu sił magnetycznych w tego typu operacjach – skanowanie powierzchni dysku jest czynnością ekstremalnie czasochłonną, a ewentualnie uzyskany obraz byłby kolażem nachodzących na siebie ścieżek, których kolejność byłaby niemożliwa do ustalenia. Dane zapisane wcześniej praktycznie uniemożliwiają odczyt interesujących laborantów informacji, w takim samym stopniu, jak te, które zostały zapisane później.

Praktycznej próby odzyskania zapisanych danych wg sposobu przedstawionego przez Gutmanna podjęli się w 2008 roku Craig Wright, Dave Kleiman i Shyaam Sundhar3. Przeprowadzając szereg eksperymentów kategorycznie stwierdzili, iż szansa na odzyskanie danych po jednokrotnym nadpisaniu jest mniejsza niż 0,01%, i to w przypadku gdy dysk nie był wcześniej w ogóle używany. Niemożliwe również było określenie czy otrzymane w wyniku pomiarów nieco mniejsze bądź większe wartości sygnału analogowego były wynikiem nałożenia ścieżek danych, czy też wpływem wilgotności i temperatury pomieszczenia.

Fakty i mity

Praca Gutmanna stała się także przyczynkiem do dyskusji na temat posiadania przez wyspecjalizowane agencje rządowe odpowiednich środków i metod odczytu wcześniej nadpisanych informacji. Pomimo krytycznej weryfikacji, opinie na ten temat ciągle budzą gorące emocje, zwłaszcza, że podgrzewają je państwowe instrukcje odnośnie trybów i sposobów bezpiecznego usuwanie danych. I tak np. amerykański Departament Obrony publikując procedurę trwałego niszczenia danych w 2001 roku zalecał trzykrotne nadpisywanie serią „jedynek”, „zer” i pseudo-losowym ciągiem znaków. Identyczną procedurę zalecała kanadyjska instrukcja bezpieczeństwa, opublikowana w 2006 roku. Obowiązująca obecnie agencje rządowe w USA instrukcja w ogóle nie przewiduje kasowania danych za pomocą nadpisywania – możliwe jest jedynie fizyczne zniszczenie nośnika4.

Na tej podstawie funkcjonują mity dotyczące narzędzi i środków, którymi rzekomo dysponują wyspecjalizowane agencje i służby państwowe. Jak zauważa Piotr Karasek w swym tekście Odzyskiwanie usuniętych dowodów cyfrowych w postępowaniu karnym, nikt jednak nie bierze pod uwagę innych czynników, które mogą decydować o zalecaniu tego rodzaju rozwiązań. Otóż fizyczne zniszczenie nośnika magnetycznego jest łatwo zweryfikować. Ewentualna pomyłka popełniona przez opieszałego pracownika jest mało prawdopodobna i łatwa do zweryfikowania, co znacznie upraszcza proces usuwania danych wrażliwych. Łatwiej jest zmielić dysk niż kontrolować poprawność przeprowadzonego procesu nadpisywania tajnych informacji. Należy też zauważyć, że instrukcje zalecające wielokrotne nadpisywanie danych obowiązywały w okresie sporej dezorientacji odnośnie możliwości odzyskiwania danych po wykonaniu procedury jednokrotnego nadpisania. Innymi słowy, właściwe było dmuchanie na zimne.

Obecnie przekonanie o możliwości odzysku staje się coraz mniej popularne. Wyrazem tego jest instrukcja Amerykańskiego Instytutu Normalizacyjnego i Technicznego (NIST) skierowana do sektora prywatnego, rekomendująca za wystarczająco skuteczne nadpisanie danych nawet jeden raz, a także rządu Nowej Zelandii zalecająca starsze (sprzed 2001 roku) i niewielkie (do 15 GB) dyski nadpisywać trzykrotnie, zaś nowsze i większe tylko raz5.

W obliczu tego co napisano powyżej, właściwie przeprowadzone jednokrotne nadpisanie danych należy uznać za absolutnie skuteczną i wystarczającą metodę usuwania cyfrowej informacji. Potwierdzają to także wyspecjalizowane laboratoria trudniące się odzyskiwaniem danych z magnetycznych dysków twardych (Klinika Danych).

Wątpliwości Gutmanna dotyczące możliwości trwałego usunięcia danych miały raczej naturę hipotetyczną, zresztą, jak sam stwierdził, przy obecnie stosowanych gęstościach i technikach zapisu, ewentualne odzyskanie czegokolwiek po odpowiednio przeprowadzonej procedurze nadpisania należy uznać za nieprawdopodobne.

1P. Gutmann, Secure deletion of data from magnetic and solid–state memory, https://www.cs.auckland.ac.nz/~pgut001/pubs/secure_del.html, dostęp 14.02.2019.

2D. Feenberg, Can intelligence agencies read overwritten data? A response to Gutmann, National Bureau of Economic Research, 2013.

3C. Wright, D. Kleiman, S. Sundhar R. S., Overwriting Hard Drive Data: The Great Wiping Controversy, Information Systems Security, vol. 5352/2008, s. 251, https://www.vidarholen.net/~vidar/overwriting_hard_drive_data.pdf, dostęp 14.02.2019.

4Piotr Karasek, Odzyskiwanie usuniętych dowodów cyfrowych w postępowaniu karnym, Prokuratura i Prawo 7-8, 2016.

5Zob. R. Kissel, M. Scholl, S. Skolochenko, X. Li, NIST Special Publication 800–88: Guidelines for media sanitization, U.S. Department of Commerce, National Institute of Standards and Technology, September 2012 oraz New Zealand Government, Communications Security Bureau, New Zealand information security manual (NZIST–402), June 2011. Za: Piotr Karasek, Odzyskiwanie usuniętych dowodów cyfrowych w postępowaniu karnym, Prokuratura i Prawo 7-8, 2016.