-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•---[ Хроника пропавшей информации или Shredders, Wipers, Cleaners & Erasers. ]-- by
ShadOS
/* Вступление */ [Технологии] Ну что же, перейдем к делу: Попытаюсь изложить тебе нечто более применимое, чем статьи конституции, а именно технологии безвозвратного удаления информации с магнитных носителей. Позволю себе напомнить, что я не ставлю своей целью написать мануал твоих действий в случае посещения твоего дома веселыми ребятами из Маски-шоу, а всего лишь пытаюсь расширить твой кругозор в данной области и обезопасить тебя от различных любопытствующих, вроде соседа Васи снизу или тети Клавы сверху =), которые не прочь покопаться в чужой личной информации, в том числе и хранящейся на твоем компьютере. Как тебе, надеюсь, известно, в том числе и из нашего журнала, информация, удаленная средствами операционной системы, будь то Windows или Linux, легко может быть восстановлена любым мало-мальски продвинутым пользователем при наличие определенного софта, а уж тем более профессионалами, обвешанными спецоборудованием, которое можно увидеть лишь в шпионских фильмах =) Простейшие технологии восстановления информации основаны на том, при удалении информации средствами операционной системы фактически стирается информация из таблицы размещения о расположении файла на диске, а информация, хранящаяся в области данных, остается в исходном состоянии. И помимо того, например в Windows 2003 Server существует так называемая «система версий», которая предотвращает случайное уничтожение файлов пользователем. Измененные файлы хранятся в специально отведенной скрытой области диска (shadow area), и их также необходимо удалять, чтобы предотвратить возможность восстановления данных. Есть еще в Windows и временные копии файлов, и данные, находящиеся в файле подкачки, и за всем этим нужно следить, чтобы не упустить конфиденциальную информацию. Но все же процедура восстановления стертых файлов без учета скрытых областей, сводится к последовательному поиску информации по всему жесткому диску, однако этот метод не гарантирует полного восстановления и сложность его использования пропорциональна степени фрагментации файловой системы. Не стоит думать, что если ты ни разу не запускал дефрагментатор, это спасет тебя от посягательств на твои данные: если ты хоть немного ходил на институтские лекции о физике, тебе должно быть известно о таком явлении, как гистерезис. Суть гистерезиса заключается в отставании изменения магнитной индукции B от изменения напряженности магнитного поля H. Грубо говоря, гистерезис обусловлен внутренним трением областей самопроизвольного перемагничивания. Именно благодаря (а может и не благодаря :)) этому отставанию в областях на краях дорожки магнитного носителя, становится доступным восстановление даже перезаписанной информации. В самом простом случае для уничтожения инфы достаточно открыть текстовым редактором желаемый файл и забить его случайной белибердой. Данный способ уже однозначно отметает огромное число достаточно известных утилит, таких как Easy Recovery или GetDataBack, заставляя их нервно курить в сторонке. Но не стоит списывать их со счетов, ведь они создавались не для столь сложных задач и речь о них вести сегодня не буду я. Однако спешу тебя огорчить и, наконец, открыть страшную тайну: существуют специальные утилиты и устройства, которые позволяют восстановить информацию даже после столь сложных извращений с текстовым редактором. Кроме того, не стоит думать, что этими средствами обладают только спецслужбы: использование средств и методов восстановления инфы положено многими фирмами на поток, принося реальную прибыль в тоннах зелени... Ах да, я замечтался и отвлекся. [Information Static Collection] Итак, первый из известных мне способов основан на статистическом накоплении информации при многократном считывании данных из секторов диска, которые подверглись зачистке. Суть этого метода можно пояснить следующим образом. Как известно, информация на жестком диске хранится в двоичной форме - в виде последовательности единиц и нулей, которые представляются различным образом намагниченными участками поверхности магнитного носителя. Условно говоря, 1 записанная на жесткий диск, будет прочитана контроллером жесткого диска как 1, а записанный 0 будет прочитан как 0. Однако если поверх 0 будет записана 1, то результат, условно говоря, будет равен 0,95 и, наоборот, если поверх 1 будет записана 1, результат будет равен 1,05. Для контроллера эти различия совершенно несущественны. Но, используя специальную аппаратуру, можно легко прочитать, какую последовательность 1 и 0 содержала искомая запись. [MFM] Второй метод был разработан не так давно и является еще более мощным средством восстановления. Он основан на принципах магнитной силовой микроскопии (MFM) и сканирующей зондовой микроскопии. Разрешающая способность этого метода достаточна для раздельного считывания нескольких последовательных записей информации, а значит, О, ужас!!! тебя не спасет даже двух, или даже трехкратное затирание данных! Постараюсь объяснить метод MFM более подробно и без пафоса =) Магнитный наконечник зонда движется над поверхностью пластины на расстоянии порядка 10 - 100 Ангстрем. В зависимости от силы магнитного взаимодействия между магнитной пластиной жесткого диска и читающей головкой, расстояние между ними изменяется. Эти колебания расстояния детектируются оптическим интерферометром. Полученное изображение представляет собой образ распределения намагниченности. Этими методами можно измерить магнитный рельеф поверхности диска и, следовательно, восстановить информацию. Вследствие очень высокой плотности записи механическая система привода магнитной головки не в состоянии точно следовать по требуемой траектории, следовательно, при записи новых данных поверх конфиденциальной информации новые данные всегда будут записаны с некоторым смещением относительно ранее записанных данных. Каждая дорожка магнитного диска содержит образ каждой записи, когда-либо сделанной на ней, но вклад каждой такой записи (магнитного слоя) тем меньше, чем раньше была сделана запись. [Top Security] Но и здесь был найден выход из столь тяжелой ситуации. Методы гарантированного удаления информации существуют! И тебе совсем не придется долбить свой жеский диск кувалдой, жарить и шпарить его в микроволновке, взрывать, стирать заводские сервометки магнитных пластин, скидывать с балкона, травить кислотой, отправлять в ядерный реактор или производить на HDD ультразвуковое воздействие: согласись, все это представляет собой страшное зрелище, хоть и влияет на магнитную поверхность порой с огромным повреждающим успехом. Задача полного физического удаления информации вполне выполнима программными методами, и сводится к тому, чтобы произвести как можно больше записей поверх дорожки, содержащей секретные данные. Каждая дорожка должна быть полностью перемагниченна, исключая воздействие гистерезиса (остаточную намагниченность). А эта задача в свою очередь сводится к безопасной минимизации количества итераций затирания. Однако, как и в любой задаче, минимизация очень часто граничит с безопасностью, и чтобы получить наилучший результат, необходимо применять алгоритмы, четко ориентированные на каждую модель жесткого диска, что, согласись, достаточно сложно... Но умные люди давно все за нас с тобой придумали, причем так хорошо, что свели все алгоритмы в национальные стандарты, которыми пользуются и по сей день. Большинство из этих алгоритмов предполагают около четырех перезаписей. Кажется, немцы и здесь выиграли благодаря своей щепетильности, а за нашу страну мне стало стыдно, точнее за тех «специалистов», которые принимают столь слабые алгоритмы уничтожения информации. Убедиться в этом и понять в чем суть (а ссуть то в нашем подъезде =)), ты можешь изучив таблицу на врезке. Интересная деталь: руководство по защите информации NISPOM запрещает использование алгоритма DoD 5220.22-M для уничтожения данных с грифом: "СОВ. СЕКРЕТНО" Альтернативными способами в соответствии с ним же являются: · размагничивание по стандарту P-5239-26 NAVSO · физическое разрушение Среди всех перечисленных стоит особое внимание уделить двум, которые я считаю наиболее надежными: Алгоритм Брюса Шнайера, который он предложил в своей книге «Прикладная криптография» и Алгоритм Питера Гутмана, "вечного аспиранта" на кафедре компьютерной науки университета города Окленд, который разработал свою собственную систему уничтожения информации и инструментарий безопасности Cryptlib. Именно эти алгоритмы вызывают наибольшее доверие и получили наибольшее распространение. Одну из самых известных его работ ты можешь почитать здесь: http://www.cs.auckland.ac.nz/%7Epgut001/pubs/secure_del.html Далее при рассмотрении доступных программных средств будем особое внимание уделять наличию этих алгоритмов.   [ Гутман ] [ Шнайер ]
Ну что же, пожалуй, приступим к рассмотрению тех самых программных средств, но сначала упомяну, что злобный редактор Бублик так боялся что эту статью заберут во «Взлом», что запретил мне рассматривать утилиты для unix-like систем, посему ругать его и только его.(Бубль, только попробуй удалить эту строчку. К темной стороне это ведет. =)) Кроме того, я считаю, ты и сам не маленький, и вполне сообразишь, где искать подобный софт под свою open-source систему. Если не совсем получится, пиши мне или Андрюшку, редактору Юниксоида. [Acronis Drive Cleanser] Первым в моем обзоре будет небезызвестная контора Acronis с ее утилитой Acronis Drive Cleanser. Обычно, она входит в состав еще более крупного пакета обеспечения твоей безопасности Acronis Privasy Expert Suit. Софт, производимый этой фирмой, достаточно хорош, в том числе и Drive Cleanser. Минусы у него все же есть, но скажу о них чуть позже. Сначала сухие факты о достоинствах этой системы: · Огромный выбор алгоритмов (Практически все, сведенные в таблицу) · Возможность составлять собственные методы затирания данных · Составление алгоритмов по шаблону · Достаточно приятный интерфейс · Подробная документация · Удобное расширение pupup-меню графической оболочки Лично мне сразу в голову пришла мысль составит гибриды американских стандартов NISPOM и NAVSO, так как именно их комбинация применяются для удаления документов “Top Secret” (Как было сказано выше, NISPOM сам по себе для этих нужд не применяется). И это у меня отлично получилось. Кроме того, посоветую тебе забыть о такой комбинации клавиш, как shift+del – их с лихвой заменит обычная корзина и затирание с помощью акронисовского чистильщика.   [O&O Software SafeErase] Вторым номером, широко шагая, идет программа от O&O Software под названием SafeErase. Пожалуй, она ничем не уступает пакету от Acronis, а в чем-то и превосходит его. Как и продукт от Acronis, SafeErase добавляет свое расширение к главному popup-меню. Второй более надежный способ сокрытия следов подразумевает полное затирание всей системы. Его я не решился испытывать дома и test-drive провел на одной из институтских тачек с 20 Гб HDD, 128 Мб RAM и процессором Celeron 600. В общей сложности процесс удаления занял три часа, причем два с половиной из них я и мой помощник – младший научный сотрудник Simm подготавливались сами, заливая себя самым хакерским напитком. В результате Runtime Software DiskExplorer показал, что HDD полностью забит нулями. Но все же мне эти пол часа показались вечностью: за это время мою дверь уже могли выбить, отрубить электричество, заломить мне руки, и увезти в управление люди в черном… Печально, но факт остается фактом: юзать можно и нужно. Однозначно.   Номер три. Jetico BCWipe. Вот это что-то совсем особенное: похоже, разработчики учли здесь все: и скрытые копии Windows, и остаточные данные в полу занятых кластерах, и временные файлы, и данные RAM, и информацию в файле подкачки, и расписание, и полное удаление всей информации. Уж простят меня разработчики, если я что-то забыл упомянуть. Единственный недостаток этой системы в том, что пользоваться ей не так уж просто: она состоит из нескольких исполняемых файлов, причем каждый отвечает за свою юрисдикцию возможностей системы, и мне после всей красоты Acronis и O&O показалось, что порт этой системы изначально создавался под Linux. Ну не может быть столь мощной утилиты в таком разобщенном стиле под Windows… [Eraser, просто Eraser] В заключение стоит сказать о последней утилите, которая отличается от остальных стилем распространения - она полностью бесплатная и распространяется с исходными кодами по GPL лицензии. Как и в BCWipe, есть здесь возможность удалять файлы, вытирать своп и зачищать свободное место по расписанию, так же нет и здесь ни немецкого стандарта, ни алгоритма Шнайера, и, опять же как и в BCWipe любителям командной строки есть где разгуляться.   Автор: ShadOS Email:
ShadOS [at] real [d0t] xakep [d0t] ru
http://hellknights.void.ru/ -•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•- (c)
ShadOS, Hell Knights Crew
|