De combien de passes avez-vous besoin pour effacer / déchiqueter vos fichiers pour les rendre non effaçables?

20

Si vous avez des données privées sur un disque dur normal récent - combien de passes avez-vous besoin pour supprimer les données pour les rendre irrécupérables?

Pas dans le sens où une équipe médico-légale de 20 experts avec un budget de 100 millions d'euros ou de dollars et 10 ans de temps pour restaurer quelques octets à partir d'une adresse connue avec une précision de 80%, mais peu de gens avec quelques 1000 € / $ budget, qui ne passerait pas plus de deux semaines au travail, et qui ne savent pas où sur le disque ils recherchent.

Linux / GNU shreddit dans le manuel:

   -n, --iterations=N
          overwrite N times instead of the default (3)

mais d'une part, j'ai entendu parler d'une suggestion de la NSA d'écraser 27 fois, et d'autre part, les entreprises de récupération de données professionnelles ne pouvaient pas récupérer les données d'un lecteur qui avait été effacé une seule fois.

Des preuves, des papiers, des preuves?

Remarque: ce que cette question n'est pas:

  • Il ne s'agit pas de mauvais secteurs, où les données pourraient passer
  • Il ne s'agit pas de vieux disques MFM / RLL du début des années 90
  • Il ne s'agit pas de différents outils
  • Ce n'est pas tant la méthode (nombres aléatoires 0s, 0xFF et motifs fantaisistes).
  • Il ne s'agit pas de différentes techniques pour l'essuyer en toute sécurité (puissance magnétique, fusion, remplissage avec du sable et retournement).
  • Il ne s'agit pas de problèmes particuliers des lecteurs flash
Utilisateur inconnu
la source
5
Personne n'a jamais prouvé qu'il récupérait des données utiles après 1 remplacement sur un disque dur moderne .... nber.org/sys-admin/overwritten-data-gutmann.html
Moab

Réponses:

48

Une fois que.

Les supports magnétiques modernes sont assez efficaces et laissent très peu de traces d'anciennes positions de bits. Ce qui reste nécessite des microscopes électroniques et / ou des scanners magnétométriques de haute technologie (ou tout autre nom). Tous ces appareils sont terriblement chers, et même avec le meilleur équipement et les experts les plus qualifiés, cela prend un temps considérable (pensez à des années pour un seul plateau; tous les disques durs ont plusieurs plateaux) et a un taux de défaillance très élevé.

Si vous avez affaire à des secrets gouvernementaux (comme l'est la NSA), l'écriture unique n'est probablement pas suffisante, car la Chine n'a aucun problème à obtenir et à utiliser ces appareils, ni à employer des équipes de centaines d'experts spécialisés pour les utiliser.

Si, d'autre part, vous ne faites que traiter des mots de passe bancaires personnels et de votre cachette secrète de pr0n, un seul passage suffit amplement pour rendre les données complètement irrécupérables à partir de tout moyen pratique .

Cela dit, les disques modernes sont assez rapides, et à moins que vous n'essuyiez l'intégralité d'un disque dur, plusieurs passes prennent si peu de temps qu'il n'y a vraiment aucune raison de ne pas les faire. Ainsi, alors que l'erreur que vous devez écraser plusieurs fois avec des modèles complexes de passes est suffisamment répandue pour que tous les logiciels de «suppression sécurisée» par défaut passent à plusieurs passes, il est vraiment très inutile de remplacer ces valeurs par défaut. Quand j'ai utilisé shred(nombre de passes par défaut: 3) je l'ai laissé faire ses 3 passes; lorsque j'utilise Eraser sous Windows (nombre de passes par défaut sur un fichier: 35), je le laisse faire ses 35 passes. (Par défaut, Eraser ne fait qu'un seul passage lors de la suppression d'espace libre sur un disque dur; cela aussi, je laisse courir par défaut.)

Donc, la réponse à votre question (combien de passes sont nécessaires?) Est: "Un." La réponse à votre question implicite (Dois-je remplacer les 3 passes par défaut de shred?) Est: "Non."

D'autre part, si vous êtes un agent secret du gouvernement, eh bien, une seule passe est vraiment pas assez parce que vous n'avez la Chine après vos données. Si tel est le cas, cependant, vous devriez demander à votre supérieur / gestionnaire quelles sont les réglementations de votre agence concernant la suppression sécurisée des données sensibles, pas SU. ;-)

Avertissement: les supports Flash utilisent un système appelé "nivellement d'usure" pour prolonger la durée de vie de l'appareil. Sans entrer dans les détails de ce que signifie le terme ou les raisons qui le sous-tendent, cela signifie que vous ne pouvez vraiment pas supprimer en toute sécurité des fichiers sur un support flash, sauf si vous effacez en toute sécurité l' intégralité du support, et même cela ne peut pas toujours garantir que le les algorithmes de nivellement de l'usure n'ont pas laissé de données non effacées sur lesquelles vous ne pouviez pas écrire. Dans le cas des médias flash, votre meilleur pari est de simplement crypter toutes les données sensibles qui y sont stockées, en utilisant un mot de passe fort.

La documentation de TrueCrypt comprend une excellente discussion de ce problème et des moyens de le résoudre.

Kromey
la source
Beaucoup, beaucoup d'avantages pour une réponse impressionnante. Dommage que je n'en ai qu'un à donner. :(
CajunLuke
4
qui l'a totalement cloué. J'ajouterais également que l'ancien chiffon guttman à 35 passes supposait que vous ne saviez pas quel type de lecteur vous utilisiez, et en tant que tel, exécutait des modèles spécifiques à MFM et à d'autres conceptions obsolètes
Journeyman Geek
Une mise en garde concernant les disques est qu'en théorie, certaines données peuvent être récupérées en décalant la tête pour récupérer les données écrites lorsque le lecteur était plus chaud ou plus froid et que la tête était donc positionnée légèrement différemment. Mais je n'ai jamais entendu parler de cette technique réellement utilisée (en dehors de la NSA, au moins).
Daniel R Hicks
1
@Kromey - Les entraînements modernes utilisent un retour d'asservissement pour le positionnement de la tête, qui est une technologie de compensation de température. Les anciens entraînements utilisaient autrefois des moteurs pas à pas. Avec l'un d'entre eux, vous pouvez laisser un ordinateur hors tension pendant la nuit dans un garage non chauffé et le rendre complètement incapable de trouver la piste 0. Démarrez l'ordinateur et laissez-le fonctionner pendant une demi-heure, réinitialisez-le et il démarrerait car le plateau a grandi suffisamment pour être placé la piste de retour sous la tête de lecture / écriture. C'est pourquoi nous avons laissé le serveur allumé toute la nuit dans notre boutique.
Fiasco Labs
1
J'aime la façon dont ce type a couvert le scénario "Si vous êtes un agent secret".
Dushyant Bangal
16

C'est une vieille question, mais je me suis senti obligé de mettre mes deux cents étant donné que j'ai une expérience de récupération de données médico-légales.

La question posée est purement académique, donc cette réponse est aussi purement académique. Pratiquement parlant, la réponse acceptée est correcte; un seul passage est suffisant pour rendre les données d'un disque irrécupérables. Cependant, il y a une raison pour laquelle les gouvernements imposent plusieurs passes.

Les gens considèrent un disque dur comme un appareil numérique; que les bits magnétiques sont disposés en un motif serré et se "retournent" sur ou hors par les têtes d'entraînement. Mais en réalité, un disque dur est un appareil analogique en ce qui concerne la physique des supports magnétiques. La surface des plateaux est recouverte d'un substrat plein de dipôles magnétiques plus petits que le «bit» numérique qu'ils encodent. Un nombre suffisant de ces dipôles dans une orientation par rapport à l'autre constitue une résistance électrique nette au niveau du bit individuel. C'est le seuil de résistance qui détermine si un bit est interprété comme un 1 ou un 0, pas une polarité numérique «on» ou «off».

En ce qui concerne l'électronique du variateur, le signal électrique provenant des têtes est une onde sinusoïdale modulée, pas un flux binaire de 1 et de 0. C'est exactement la façon dont les bandes magnétiques enregistraient les signaux audio il y a des décennies - ce n'est que maintenant que le substrat est beaucoup plus dense et nous utilisons les mathématiques pour extraire un signal numérique du «bruit» analogique.

Maintenant, physiquement, il est impossible de fabriquer un plateau 100% parfait, et même si vous le pouviez, l'environnement d'exploitation n'est jamais 100% parfait non plus. À l'échelle de la physique à laquelle les disques durs modernes fonctionnent, il existe littéralement des centaines de facteurs qui conspirent pour créer des imperfections microscopiques dans le signal, et ils posent un problème suffisamment important pour que jusqu'à 1-2% de l'espace sur un lecteur typique soit "gaspillé" sur la correction d'erreur pour y faire face. Votre disque dur se remet littéralement d'erreurs tout le temps . Le fonctionnement normal du disque dur est en fait un jeu de probabilités dans lequel un "bon" secteur est simplement une probabilité de n% que les données qui y sont codées sont exactes.


Examinons maintenant le cas des secteurs défectueux, et vous pouvez voir comment la même technique peut être appliquée aux bons.

Si un secteur est marqué comme "mauvais" (par le contrôleur, pas par le système d'exploitation), cela signifie que la probabilité que TOUS les bits de données dans un secteur particulier, pris dans leur ensemble, soient tombées en dessous du seuil de récupérabilité mathématique par les algorithmes de correction d'erreur du lecteur. Cela ne signifie pas que les bits sont réellement morts; seulement que le contrôleur ne peut pas être sûr qu'ils sont corrects.

Vous pouvez cependant récupérer un secteur défectueux en le lisant des centaines, voire des milliers de fois selon la gravité des dégâts. A chaque passage de la tête sur le "mauvais" secteur, le secteur se lit de manière légèrement différente. Le plateau oscille, la température, les vibrations, le décalage d'horloge, etc. peuvent tous être légèrement différents. Mais si vous comparez chaque passe aux milliers de passes avant elle suffisamment de fois, vous pouvez récupérer (avec une certitude légèrement moins qu'absolue) les données que le mauvais secteur contenait avant qu'il ne se détériore. C'est exactement ainsi que fonctionne un logiciel de récupération de données comme SpinRite.

Appliquons maintenant cette logique à un "bon" secteur. Lorsque vous avez effacé le disque en une seule passe, le contrôleur est sûr à 100% que chaque secteur contient le motif binaire avec lequel vous avez rempli le disque. Mais il y a toujours des erreurs dans ces lectures et le contrôleur les corrige toujours. Certaines de ces erreurs sont d'ordre environnemental, mais il y a de fortes chances que bon nombre d'entre elles soient également des vestiges des données qui existaient avant l'écrasement du secteur.

N'oubliez pas que nous parlons de la même technologie que nous utilisons sur les bandes audio depuis des décennies ici. Tous ces dipôles magnétiques n'ont pas été retournés dans cette seule passe, il y a donc toujours un signal "fantôme" dans le bruit.

Pour citer Adam Savage (des Mythbusters): "Je rejette votre réalité et remplace la mienne." Si vous retirez le contrôleur du lecteur (avec sa certitude mathématique du modèle de données effacé) de l'équation et regardez simplement l'onde sinusoïdale provenant de l'électronique du lecteur, il pourrait être possible en théorie de reconstruire les données qui étaient présentes sur le lecteur avant qu'il ne soit effacé - comme nous le faisions avec les cassettes audio qui avaient été "effacées".

Ou peut être pas. Cela n'a pas aidé avec les 18 minutes manquantes des bandes Nixon Watergate ... Ou bien? ;-)


Maintenant, est-ce pratique? Un tel appareil capable de faire cela existe-t-il réellement? Peut être. Peut être pas. Si c'était le cas, ce serait certainement un secret d'État. Mais comme c'est théoriquement possible, vous devez en théorie vous en prémunir. Cela signifie effectuer plusieurs passes avec plusieurs modèles de bits pour brouiller autant que possible ce signal fantôme.

Si vous êtes un gouvernement qui essaie d'effacer des données classifiées, il est important d'en tenir compte. Si c'est votre cachette secrète, ce n'est probablement pas le cas (sauf si votre femme travaille pour la NSA).

Wes Sayeed
la source
3
Trop de réflexion et d'efforts pour ne pas voter contre.
Damon
En fait, si j'avais des secrets d'État sur un disque dur, je ne ferais confiance à aucune quantité d'écrasements dessus. Je voudrais soit une meuleuse d'angle ou un chalumeau.
Marc.2377