Защита жесткого диска от правоохранительных органов

Bnlvdn

Модератор
Команда форума
Модератор
Друзья проекта
Участник проекта

Bnlvdn

Модератор
Команда форума
Модератор
Друзья проекта
Участник проекта
Регистрация
10 Ноя 2018
Темы
28
Сообщения
103
Реакции
110
Что такое компьютерная криминалистика и работа на «месте преступления»
Компьютерная криминалистика по другому - «форензика» — это калька с английского слова forensics, которое, в свою очередь, является сокращенной формой от forensic science, «судебная наука», то есть наука об исследовании доказательств. В русском это понятие чаще называют криминалистикой, а слово «форензика» закрепилось за компьютерной ее частью.

Форензика — это удел спецов из групп быстрого реагирования, которые включаются в работу, если произошел инцидент, например взлом веб-сервера или утечка конфиденциальной информации, шифрование ценных данных и тому подобные проблемы. Перед экспертами-криминалистами в таком случае ставятся следующие задачи:
  • понять, как была реализована атака;
  • построить сценарий взлома;
  • восстановить хронологию (таймлайн) атаки;
  • собрать артефакты;
  • предложить превентивные защитные меры, чтобы такого впредь не повторилось.
Естественно, что эксперты будут работать над тем, чтобы обнаружить все файлы в системе субъекта преступления. Это включает в себя существующие активные, невидимые, удаленные, скрытые, защищенные паролями или зашифрованные файлы. Во многих случаях во время проведения компьютерной экспертизы собирается информация, которая обычно недоступна или не может даже просматриваться обычным пользователем, например фрагменты каких-нибудь данных, которые можно найти в пространстве, выделенном для существующих файлов (так называемом slack-пространстве). Для получения такого рода информации или доказательств необходимы специальные навыки и инструменты.

Эксперт может восстановить практически все ваши удаленные файлы, а также другие данные, которые еще не были перезаписаны. По мере того, как вы пользуетесь компьютером, операционная система постоянно записывает какие-нибудь данные на жесткий диск. Время от времени ОС будет сохранять новые данные на жестком диске, перезаписывая те, которые все еще существуют на диске, но больше ей не нужны, то есть перезаписывая удаленные файлы. Таким образом, постоянное использование компьютера может уничтожить данные, которые могли быть восстановлены до того момента, как они будут перезаписаны новыми данными.

Как защититься
Стандартное удаление файлов заключается в том, что операционная система помечает файловое пространство как доступное для повторного использования. При очистке данных (data-wiping) происходит перезаписывание всего пространства данных на устройстве хранения, т.е. происходит замена полезных данных мусорными. В зависимости от используемого метода эти данные могут быть нулями (также известными как «заполнение нулями» или zero-fill) или это могут быть различные произвольно сгенерированные паттерны данных. Вот почему простого удаления информации никогда не бывает достаточно. Вы должны предпринять активные шаги для обеспечения тотального удаления информации без возможности ее восстановления.

Для выполнения этой операции мы будем использовать замечательный загрузочный диск DBAN.

Darik's Boot and Nuke ("DBAN") — консольная утилита запускаемая с самостоятельного загрузочного CD / DVD диска или USB флеш-накопителя (ранее и с дискеты) предназначенная для полного и необратимого удаление данных с жесткого диска с целью сделать невозможным их восстановление. DBAN стоит использовать только при потребности если нужно уничтожить всё что когда либо имелось на всех HDD находящихся в компьютере (безвозвратно уничтожить личные/секретные файлы).

Шаг 1. Скачайте и запишите DBAN
Это может быть сделано на компьютере, который вы собираетесь очистить или на совершенно ином. Однако вы делаете это, цель заключается в том, чтобы получить ISO файл и затем записать на загрузочное устройство, например флэш-накопитель.

Вы можете скачать DBAN с Sourceforge. Когда в вашем распоряжении будет .ISO-образ, все что останется сделать — это записать его на чистую флэшку. Вставьте флэшку в компьютер и перезагрузите его. Большинство компьютеров настроены в первую очередь на загрузку системы с жесткого диска. Если это так и ваш компьютер не загружается с флэшки, то вам нужно будет войти в настройки BIOS и изменить порядок приоритетов загрузки.

Шаг 2. Загрузитесь и работайте

После запуска с флэшки вы увидите следующее окно:

3862
Просто нажмите Enter, чтобы запустить DBAN в интерактивном режиме. Главное меню, показанное на скриншоте ниже, должно отобразить ваш жесткий диск, над которым предполагается провести процедуру зачистки данных.

3863
На следующем скриншоте показано, что DBAN готов приступить к работе. По умолчанию используется метод DoD Short wipe, и он прекрасно подойдет для наших целей.

3864
Чтобы выбрать этот способ, просто нажмите пробел и DBAM начнет свою грязную работу по очистке ваших данных. Очистка DoD займет определенное время, особенно на больших жестких дисках.

Как только DBAN полностью завершит удаление данных на отдельных жестких дисках, вы увидите сообщение "DBAN succeeded".

На данный момент можно безопасно удалить диск или USB-устройство, на которое вы установили DBAN и затем выключить или перезагрузить компьютер.

Твердотельные накопители
Безвозвратно удалить данные с твердотельного накопителя SSD и проще, и сложнее, чем с магнитного жесткого диска. Давай разберемся, что происходит внутри SSD-накопителя при удалении данных.

Ты наверняка слышал о том, что микросхемы памяти, использующиеся в SSD-накопителях, позволяют быстро считать информацию, не очень быстро записать данные в чистый блок и совсем медленно записать информацию в область, занятую другими данными. Нас сейчас интересует именно последнее свойство SSD-накопителей. Для того чтобы записать в ячейку данные, контроллер накопителя должен будет сперва очистить (стереть) данные в этой ячейке, и только после этого станет возможной операция записи. Поскольку процесс инициализации ячейки очень и очень небыстрый, производители разработали ряд алгоритмов, благодаря которым в распоряжении контроллера всегда есть достаточное количество пустых ячеек.

А что произойдет, если операционная система захочет записать данные в ячейку с определенным адресом, но по этому адресу уже хранятся какие-то данные? В этом случае контроллер SSD выполнит моментальную подмену адресов: нужный адрес будет назначен другой, пустой ячейке, а занятый блок получит другой адрес или вовсе уйдет в неадресуемый пул для последующей фоновой очистки.

3865

Принцип работы «сборщика мусора» и Trim

При обычном использовании на диск записывается гораздо больше данных, чем он способен вместить. Пул свободных ячеек со временем сокращается, и в какой-то момент контроллеру становится доступным лишь пул из неадресуемого пространства «запасной» емкости. Эту проблему производители решают при помощи механизма Trim, работающего совместно с операционной системой. Если пользователь удаляет какой-то файл, форматирует диск или создает новый раздел, система передает контроллеру SSD информацию о том, что определенные ячейки не содержат полезных данных и могут быть очищены.

Обрати внимание: в результате работы Trim сама операционная система не перезаписывает эти блоки и не стирает информацию. Контроллеру всего лишь передается массив адресов ячеек, которые не содержат полезной информации. С этого момента контроллер может начать фоновый процесс удаления данных из ячеек.

Что произойдет, если на SSD-диске содержится большой объем информации, а контроллеру поступила команда Trim на все содержимое диска? Дальнейшее никак не зависит от действий пользователя или операционной системы: алгоритмы контроллера начнут очистку ненужных ячеек. А что случится, если пользователь (или злоумышленник) попытается считать данные из ячеек, на которые уже поступила команда Trim, но которые еще не были физически очищены?

Здесь начинается самое интересное. Современные SSD определяют три возможности:
  1. Non-deterministic Trim: неопределенное состояние. Контроллер может вернуть фактические данные, нули или что-то еще, причем результат может различаться между попытками (SATA Word 169 bit 0).
  2. Deterministic Trim (DRAT): контроллер гарантированно возвращает одно и то же значение (чаще всего, но не обязательно нули) для всех ячеек после команды Trim (SATA Word 69 bit 14).
  3. Deterministic Read Zero after Trim (DZAT): гарантированное возвращение нулей после Trim (SATA Word 69 bit 5).
Определить, к какому типу относится твой SSD, можно при помощи команды hdparm:

Код:
$ sudo hdparm -I /dev/sda | grep -i trim
    * Data Set Management TRIM supported (limit 1 block)
    * Deterministic read data after TRIM
SSD первого типа в настоящее время практически не встречаются (хотя до сих пор подобным поведением отличаются накопители стандарта eMMC). Как правило, для обычного использования производители предлагают диски второго типа, а SSD с поддержкой DZAT предназначены для использования в составе многодисковых массивов.

С практической точки зрения это означает только одно: сразу после удаления данных (хоть пофайлово, хоть форматированием, хоть переразбивкой разделов) информация станет недоступной для чтения как с компьютера, так и на специальном стенде.

Казалось бы, все просто? Нет, здесь есть крупный подвох, и даже не один.

Во-первых, уверен ли ты, что на твоей системе корректно функционирует Trim? Дело в том, что Trim поддерживается на уровне операционной системы начиная с Windows 7 и только при соблюдении ряда условий. Всех условий! Во-первых, диск должен быть подключен напрямую (SATA, NVME); для подавляющего большинства внешних (USB) накопителей Trim не поддерживается (бывают исключения). Во-вторых, Windows поддерживает Trim только для томов NTFS. Наконец, Trim должны поддерживать как драйверы, так и BIOS компьютера. Проверить работоспособность Trim в Windows можно командой

$ fsutil behavior query DisableDeleteNotify

Результат:
  • 0 — Trim включен и работает корректно;
  • 1 — Trim неактивен.
Обрати внимание: для USB-накопителей (внешних SSD) Trim с большой вероятностью не будет активен, хоть и может поддерживаться на уровне встроенного в накопитель контроллера.

Еще один момент. Да, остановить процесс фоновой сборки мусора невозможно: если на SSD-накопитель подается питание, то контроллер будет продолжать уничтожать данные после Trim независимо ни от чего. Однако достаточно извлечь из накопителя чипы памяти, и при помощи несложного стенда данные с них можно считать. Да, у исследователя будет сильнейшая головная боль, связанная с физической фрагментацией ячеек из-за переадресации блоков и сверх того — логической фрагментации данных. Тем не менее решить такую проблему все-таки можно.

Что приводит нас к последнему пункту. Заметная часть емкости накопителя (в некоторых моделях — до 10%) отводится под резервный неадресуемый пул. В теории ячейки в этом пуле должны очищаться; на практике из-за многочисленных особенностей реализации и ошибок в прошивках это работает далеко не всегда и данные могут физически оставаться на месте даже после завершения очистки.

Таким образом, ситуация с удалением данных с SSD выглядит следующим образом.
  1. Ты можешь мгновенно удалить данные со встроенного SSD-накопителя, просто отформатировав раздел (используй NTFS в качестве новой файловой системы). Trim пометит блоки как неиспользуемые, а контроллер постепенно удалит информацию из этих ячеек.
  2. Если все прошло правильно, то никакими недеструктивными способами добраться до информации будет невозможно. Более того, если злоумышленник подключит диск к другому компьютеру или специализированному стенду, контроллер SSD продолжит методично затирать ячейки.
  3. Если же из SSD извлекут микросхемы, то оставшиеся в ячейках данные удастся считать. Более того, даже если процесс очистки, казалось бы, завершен, в неадресуемом резервном пуле могут остаться ячейки, в которых содержатся «удаленные» данные.
Как полностью и надежно уничтожить содержимое SSD-накопителя? К сожалению, это не один, а два разных вопроса. Полностью очистить содержимое SSD можно при помощи уже знакомой команды ATA Secure Erase, которую можно выдать через hdparm. А вот «надежно» — увы, остается лишь надеяться на правильную реализацию Secure Erase разработчиками контроллера. Практика показывает, что в некоторых случаях Secure Erase не производит полной очистки ячеек из резервного пула (из-за простейших ошибок в прошивке). Таким образом, гарантию даст исключительно использование криптоконтейнера: если удаляется криптографический ключ, расшифровать остатки содержимого будет практически невозможно. Но и здесь есть свои но: о депонированных ключах мы уже говорили. Организации, работающие с секретной информацией, и вовсе не признают иных способов очистки SSD, кроме физического уничтожения носителя.

Заключение

DBAN работает с IDE и SATA интерфейсами жестких дисков. Не смотря на спартанский вид и минимум возможностей с своей основной задачей DBAN справляется на отлично! Для очистки дисков Dariks Boot and Nuke использует метод рекомендованный Министерством Обороны США (DoD).

Безвозвратно удалить информацию непросто, а сделать это быстро — еще сложнее. И если магнитный жесткий диск при наличии свободного времени можно очистить целиком и полностью, то в случае с SSD дела обстоят куда более запутанно. Надеемся, что эта статья поможет тебе найти оптимальную стратегию уничтожения информации.
 

Количество пользователей, читающих эту Тема (Пользователи: 0, Гости: 0)