Hva skjer når du sletter filer?

[n0va]

Det håper Frode Joarson og Iain Sutherland fra Noroff å lære deg

 

Hva skjer når du sletter filer?

 

[Frobe]

Interessant å Google Noroff, her er et av treffene.

 

Forøvrig stoler jeg mer på Ibas.

 

Så vidt jeg vet er det ikke realistisk å gjenfinne data som er wipet en gang.

Selv om amerikanerne har vært på månen sliter de med å klare det på nytt, det koster for mye...

 

SSD har større problemer med 100% sikker wiping, da de har algoritmer for bruk og skjuling av brukte minneceller (10% av minnecellene er gjerne usynlige for datamaskinen).

[Kakeshoma]

Hadde vært gøy om IBAS så gikk opp på scenen og hentet ut info fra den ødelagte disken og sagt, det er nok ikke så enkelt... Tar kanskje litt lenger tid da

 

Håper forøvrig de fleste på TG vet dette.

[007CD]

Men hvorfor ikke bare wipe mange ganger, er ikke det trygt nok?

Frode har svaret på det også. Det fins maskiner som tar magnetiske bilder og rekonstruer dem slik an deretter kan gjennoppbygge informasjonen som var på harddisken. Derfor er Noroffs forslag, at om du vil ha ditt privatliv, ikke selg harddisken på internett, slå den heller sund og kast den.

Disse gutta her vil jeg gjerne se i aksjon, for å snu på flisa så vet jeg bare av en gang slik teknologi ble brukt, og det var i ett flykrasj hvor CVR eller Cockpit Voice Recorder lå under saltvann i noen måneder til vraket ble funnet.

Dette var av den gamle typen (Tenk kasetter) og for hvert sekund med lyddata så ble det brukt 3-4 måneder med rekonstruering bit for bit.

 

Snur vi på flisa til en harddisk som har mange ganger tettere lagret data, så blir det fort umulig å lese av med denne metoden, og har du i tillegg brukt DBAN (Som faktisk er sertifisert av flere instanser ala CIA og co) så sitter du der med skjegget i postkassen.

Det blir som å finne ut hvilke regnestykker gir 200 til svar og deretter vite hvilken som er det riktige...

 

Teknikken disse gutta beskriver funket i gamle dager når harddiskene var unge, men ikke lenger idag, de hadde også en mulighet til "The great zero challenge" som var en runde med dd i Linux (Ikke trygt) og her meldte samtlige pass.

[Howy95]

Å gjenopprette slettede filer er ingen sak. Har gjort dette med mobilen et par ganger og fått tilbake filene.

En harddisk er enda enklere. Det eneste problemet er at det tar tid. Det er aldri ferdig på et blunk. Det tar flere timer å finne igjen filene, men man får det tilbake.

 

Vil gjerne anbefale TestDisk og PhotoRec om du skal ha tilbake enkeltfiler som er slettet. Om det er snakk om partisjoner burde man gå for ddrescue.

[Pseudopod]

Hvor godt fungerer det når det er snakk om data som har blitt overskrevet et dusin ganger?

[A-Jay]

Jeg er enig med de som mener at det er trygt nok å overskrive data. Dette er støttet i forskningen. Les mer om dette her: Wikipedia-artikkelen om datasletting

 

Peter Gutmann, som er en anerkjent sikkerhetsekspert, anbefaler spesifikt følgende verktøy for å slette harddisken: Eraser

Er man såpass paranoid at man vil ødelegge harddisken fysisk likevel anbefaler han følgende verktøysett: DiskStroyer

 

Men Gutmann har også påpekt at trygg sletting for SSD-disker er et stort problem. De har nemlig en innebygd mekanisme for utjevning av slitasje som gjør at det er tilfeldig hvor dataene blir skrevet til på harddisken, og man har ingen garanti for at hele disken blir slettet selv om man kjører sletteprogrammer. Her har harddiskprodusentene et ansvar for å legge til rette for at det kan lages verktøy som kan deaktivere utjevningsmekanismen og slette data direkte. (Om slike verktøy finnes foreløpig vet jeg ikke.)

Endret 7. april 2012 av A-Jay

[Big SturL]

Usaklig innlegg:

 

"Visst feil folk"

 

C'MON! Vi bruker da vitterlig fortsatt "hvis" på bokmål.

[tha_lode]

To hull med en drill i gjennom en vanlig hd og ingen kommer til å ta seg bryet med å rekonstruere en dritt. Behøver ikke rifle eller veivalse for å fikse den biffen. Ikke selg gamle disker. Man får så lite for de at det ikke er verdt det.

 

Har ikke tenkt på at ssd er en helt annen sak før nå... Noe å bryne de små grå på når jeg en gang i fremtiden skal skrote laptopen.

[magnemoe]

Men hvorfor ikke bare wipe mange ganger, er ikke det trygt nok?Frode har svaret på det også. Det fins maskiner som tar magnetiske bilder og rekonstruer dem slik an deretter kan gjennoppbygge informasjonen som var på harddisken. Derfor er Noroffs forslag, at om du vil ha ditt privatliv, ikke selg harddisken på internett, slå den heller sund og kast den.

Disse gutta her vil jeg gjerne se i aksjon, for å snu på flisa så vet jeg bare av en gang slik teknologi ble brukt, og det var i ett flykrasj hvor CVR eller Cockpit Voice Recorder lå under saltvann i noen måneder til vraket ble funnet.Dette var av den gamle typen (Tenk kasetter) og for hvert sekund med lyddata så ble det brukt 3-4 måneder med rekonstruering bit for bit.Snur vi på flisa til en harddisk som har mange ganger tettere lagret data, så blir det fort umulig å lese av med denne metoden, og har du i tillegg brukt DBAN (Som faktisk er sertifisert av flere instanser ala CIA og co) så sitter du der med skjegget i postkassen.Det blir som å finne ut hvilke regnestykker gir 200 til svar og deretter vite hvilken som er det riktige...Teknikken disse gutta beskriver funket i gamle dager når harddiskene var unge, men ikke lenger idag, de hadde også en mulighet til "The great zero challenge" som var en runde med dd i Linux (Ikke trygt) og her meldte samtlige pass.

IBAS redded dataene på en disk som hadde ligget under vann i flere måneder for noen år siden, var en hurigbåt som gikk på grunn.

For oss andre, en enkel whipe holder for å hindre at noen drittsekker begynner å snoke på hva som ligger på en pc de kjøper.

At CiA eller kripos kan finne ut av det, er temmelig akademisk om du ikke er en hacker som akkurat overførte 100 mill til en konto i sveits :o)

I såfall funker søppeldunken til naboen godt nok.

[n0va]

Usaklig innlegg:"Visst feil folk"C'MON! Vi bruker da vitterlig fortsatt "hvis" på bokmål.

 

Rettet. Takk for at du pekte ut den der.

[007CD]

Men hvorfor ikke bare wipe mange ganger, er ikke det trygt nok?Frode har svaret på det også. Det fins maskiner som tar magnetiske bilder og rekonstruer dem slik an deretter kan gjennoppbygge informasjonen som var på harddisken. Derfor er Noroffs forslag, at om du vil ha ditt privatliv, ikke selg harddisken på internett, slå den heller sund og kast den.

Disse gutta her vil jeg gjerne se i aksjon, for å snu på flisa så vet jeg bare av en gang slik teknologi ble brukt, og det var i ett flykrasj hvor CVR eller Cockpit Voice Recorder lå under saltvann i noen måneder til vraket ble funnet.Dette var av den gamle typen (Tenk kasetter) og for hvert sekund med lyddata så ble det brukt 3-4 måneder med rekonstruering bit for bit.Snur vi på flisa til en harddisk som har mange ganger tettere lagret data, så blir det fort umulig å lese av med denne metoden, og har du i tillegg brukt DBAN (Som faktisk er sertifisert av flere instanser ala CIA og co) så sitter du der med skjegget i postkassen.Det blir som å finne ut hvilke regnestykker gir 200 til svar og deretter vite hvilken som er det riktige...Teknikken disse gutta beskriver funket i gamle dager når harddiskene var unge, men ikke lenger idag, de hadde også en mulighet til "The great zero challenge" som var en runde med dd i Linux (Ikke trygt) og her meldte samtlige pass.

IBAS redded dataene på en disk som hadde ligget under vann i flere måneder for noen år siden, var en hurigbåt som gikk på grunn.

For oss andre, en enkel whipe holder for å hindre at noen drittsekker begynner å snoke på hva som ligger på en pc de kjøper.

At CiA eller kripos kan finne ut av det, er temmelig akademisk om du ikke er en hacker som akkurat overførte 100 mill til en konto i sveits :o)

I såfall funker søppeldunken til naboen godt nok.

 

Denne boksen lå under saltvann på stort dyp og brukte like lang tid for ett sekund, men var såpass kostbart.

Ett enda bedre eksempel er Skywest 1549 som ble harvet ned av en 737 i LA, her var det en feil med samme typen CVR som gjorde at den ikke slettet og overskrev gammel data med nytt.

Resultatet var en "kafe" stemning når du hørte på tapen, ingen nyttig info kunne hentes ut, og her snakker vi overskriving ala det disse hevder kan motvirkes på simpleste nivå.

En harddisk er mange ganger så komplekst og enda større datatetthet, resultatet er at du ikke vet om den biten du ser der er 0 eller 1 i ditt mikroskop siden det er såpass tett og en bit feil = ugyldige data ganske raskt.

[Simen1]

Jeg stoler faktisk mer på trygg sletting av HDD enn fysisk ødeleggelse. Bare se på IBAS sine sider over hva de har klart å gjenopprette. Hele veien er det disker med fysiske skader de klarer å redde data fra. Ikke disker som har gjennomgått trygg sletting. IBAS har eksempler:

 

- En PC som hadde vært i brann og brent helt ut, det meste av data ble reddet.

- Harddisker fra gulfkrigen v1.0 som ble forsøkt destruert ved å slå spiker gjennom platene og fylt med epoxylim. Det meste av innholdet ble gjenopprettet og saumfart av amerikansk etteretning.

 

Med trygg sletting mener jeg overskriving. Gjerne flere ganger med ulike mønstre om man har statshemmeligheter på disken, men til privat bruk holder det fint med engangs overskriving.

 

Reservesektorer er mer et teoretisk problem fordi de reservesektorer er noe som overtar for sektorer som er i ferd med å feile. Innholdet kopieres og den defekte sektoren deaktiveres. Deaktiveringen er hardware-basert og lar seg ikke oppheve eller omgås med programvare. Det trengs fysisk inngripen for å få lest ut de defekte sektorene og de er mest sannsynlig sterkt svekket og vanskelig å lese fra. Defekte sektorer er ganske små blokker som inneholder ganske lite data. Typisk 4 kB. Dette er mest sannsynlig bare ørsmå bruddstykker av innholdet på disken. Totalt settes det sjeldent av mer enn ca 1% av plassen på disken til reservesektorer så mot slutten av levetida er det altså bare opp mot ca 1% som i teorien kan gjenopprettes. For ikke å snakke om det detektivarbeidet det er å finne ut om noen av bruddstykkene hører sammen eller det går an å få noe fornuftig ut av det. Med tanke på kostnader så må man ha rimelig viktige statshemmeligheter for at noen i det hele tatt skal ta seg bryet med å prøve. Med andre ord: et teoretisk problem, ikke noe man bør tenke på i praksis.

Endret 7. april 2012 av Simen1

[JohndoeMAKT]

DBAN er allerede nevnt en gang her i tråden og er det rette verktøyet om du ikke har veldig kontroll over hva du driver med. Det er en boot-CD med forskjellige verktøy med slettealgoritmer godkjent ganske høyt i bla. amerikansk sikkerhetstjeneste.

 

http://www.dban.org/

 

Ellers har jeg hørt mye om det elektromikroskopet som kan gjenopprette overskrevet data ved å måle "hvor mye 1 og hvor mye 0" dataene er eller noe slikt, men jeg har aldri hørt om noen som har greid å gjenopprette data på denne måten på en moderne (20 år) harddisk. Minnepinner, minnekort og SSD-disker derimot, de kan være litt mer vanskelige å vite om slettingen er utført på, så de anbefaler jeg ikke å gi/selge videre om sensitive data er lagret på de, med mindre dataene alltid har vært kryptert.

[007CD]

@Simen1:

Det finnes en kommando i ATA kommando settet som SATA og harddisker bruker som forteller enheten at den blir nå slettet.

Disken vil da også skrive over data i sektorer som reallokert, ergo hele disken uten unntak og de skadede sektorene.

DBAN er verktøyet som gjør dette og er hva som gjør det unikt, andre slette program baserer seg på samme prinsipp som dd kommandoen i Linux og vil ikke ta seg av de skadede sektorene siden harddisken bare tror dette er lagring av data.

[puse]

Det er ingen som har klart å få tilbake data som har blitt skrevet over enda, ihvertfall ingen som har gått offentlig om det. Det betyr ikke at store etterretningstjenester som CIA/NSA ikke kan det, men selv de hadde nok publisert noe materiale om de hadde funnet en metode som fungerer.

[007CD]

Om det kommer fram at CIA og co har slik teknologi så vet jeg om MANGE som kommer til å bli fly forbannet, spesielt når så mange flykrasj mysterier kunne vært løst og bekreftet.

[Solaar]

Klarer ikke se for meg at et fly har innebygd overskriving av data i tilfelle styrt.

[JohndoeMAKT]

Ferdskriveren i fly (og trolig tilsvarende i båter) overskriver seg selv etter hvert som den tar opp nye data. Den inneholder altså bare de siste X antall timer/dager med opptak slik at data ved et uhell er tilgjengelig, men datamengden ikke blir uoverkommelig stor samt at mannskapets personvern blir holdt ved at det ikke holdes en kontinuerlig ekstern logg over alt som skjer på hendelsesfrie flyvninger. I tilfeller hvor opptaket ikke blir stoppet etter hendelsen vil dataene bli overskrevet gitt nok tid.

[Multiverktøy]

leste om et program (recuva) som kunne finne slettede filer som ikke var skrevet over og fant ut at det funket ganske bra, fant navnet på en film jeg hadde hatt for 1 år siden. men da jeg formaterte harddisken fant jeg ikke noen slettede elementer. er ikke det nok å formatere(ikke hurtigformatering...)?