Svært at slette alt på SSD'en - total destruktion er det eneste sikre

De første pc'er med flashbaserede SSD-drev er pensionsmodne, men du kan ikke bare slette dataene og sælge pc'en.

Data på gamle harddiske kan let havne i de forkerte hænder, hvis harddisken eller pc'en sælges videre. Derfor findes der værktøjer til grundig sletning af data på harddiske, men når harddisken er erstattet med en SSD, så giver det nye problemer.

I praksis er det nemlig svært at være helt sikker på, at data forsvinder fra en SSD, når man sletter dem. Faktisk kan man være ganske sikker på, at data stadig ligger i hukommelseschipsene.

»Hvis man vil fjerne muligheden 100 procent for, at andre kan tilgå dataene på drevet, så er det eneste sikre at ødelægge hele drevet. Men det er jo ikke særlig miljøvenligt,« siger direktør Henrik Andersen fra data recovery-firmaet Ibas Kroll Ontrack til Version2.

Læs også: Når SSD'en skal skrottes: Ingen sikker måde at slette data

En undersøgelse fra University of California, San Diego, konkluderede allerede i 2011, at det eneste sikre for flash-baserede lagermedier var destruktion ved eksempelvis at makulere og knuse hele drevet.

»Der er nogle virksomheder, der var meget hurtige til at bruge SSD'er, som de nu har liggende, fordi de ikke har en metode til sikker sletning. Vi har været ude flere steder, hvor de har 4.000 SSD'er liggende i kælderen,« fortæller Henrik Andersen.

Du skriver i blinde til en SSD

Problemet med SSD-drev er, at de er bygget helt anderledes op end de magnetiske harddisk, de erstatter i bærbare pc'er, servere og mobile enheder.

På en harddisk ligger data i små segmenter på de magnetiske plader, disken består af. Når man læser og skriver til en harddisk, får diskens skrivehoved besked på at flytte sig til det område på pladen, hvor det segment ligger, man skal have fat i.

Det er muligt at styre ganske præcist, hvilke sektorer data bliver lagt i, og derfor kan man også overskrive dem med nye data for at slette alle spor af, hvad der var skrevet i sektoren tidligere.

En SSD består af hukommelseschips, som er inddelt i blokke, der består af pages, som igen indeholder et antal celler. Men hver af de mikroskopiske celler, som lagrer de enkelte bit ved at holde på en elektrisk spænding, kan kun holde til at blive tændt og slukket et vist antal gange.

Derfor har selve computeren og styresystemet ikke mulighed for at bestemme præcis, hvilke celler der bliver brugt til at gemme en bit i modsætning til på harddisken.

I stedet fungerer SSD'ens controller-chip og firmware som mellemmand, der sørger for at sprede skrivningerne ud over chipsenes mange celler, så enkelte celler ikke bliver slidt op hurtigere end andre.

»I harddisken har du adgang til at overskrive specifikke fysiske blokke. I en SSD sidder der en controller foran, så du har ikke fysisk kontrol over, hvor der bliver skrevet,« forklarer direktør Ulf Munkedal fra sikkerhedsfirmaet Fort Consult til Version2.

I praksis betyder det, at hvis du ændrer i eksempelvis et tekstdokument, så kan der, hver gang du gemmer dokumentet, blive gemt en kopi af dokumentet i friske celler på SSD'en i stedet for at overskrive den originale kopi.

Gamle data kan gemme sig i krogene

SSD'ens indbyggede software vil forsøge at rydde op automatisk, så celler der indeholder data, som ikke længere skal bruges, bliver nulstillet og kan bruges igen. Men det er umuligt at vide, om en bestemt blok med celler, der har været brugt, stadig indeholder data.

Selvom man overskriver hele SSD'ens kapacitet med nye data, så kan der nemlig stadig være blokke med gamle data. Det skyldes, at de fleste SSD'er holder et antal blokke i reserve, som ikke fremgår af drevets officielle kapacitet. Reservepuljen bliver imidlertid skiftet ud løbende, så en blok, der tidligere har været benyttet til aktive data, kan blive en del af reserven, når dataene ikke længere er i brug.

Hvis drevets egen oprydningsmekanisme ikke har nulstillet sådan en blok, kan den indeholde gamle data, der kan gendannes.

»Reserveblokke kan ligge hvor som helst på en SSD og kan indeholde gamle brugerdata, hvis de ikke er blevet slettet af garbage collectoren,« siger Henrik Andersen.

SSD'en kan også markere en blok som defekt, også selvom det måske blot er en enkelt page i blokken, som ikke fungerer korrekt. Det betyder, at resten af blokken kan indeholde brugerdata, som er intakte.

Harddisk-sletning dur ikke

Når en harddisk skal genbruges, for eksempel hvis en pc skal sælges videre, findes der værktøjer, som kan overskrive hele disken med tilfældige data, så det er umuligt at gendanne de oprindelige data. Det kan lade sig gøre, fordi styresystemet har fuld kontrol over, hvor der bliver skrevet til den fysiske disk.

Bruger man de samme værktøjer på en SSD, kan man imidlertid ikke vide sig sikker på, at der ikke ligger gamle data gemt i reserveblokke eller defekte blokke.

»Harddisk-sletningssoftware overskriver kun aktive data, så reserveblokke og defekte blokke bliver ikke overskrevet. Men hvis du laver flere overskrivninger kan du måske tvinge SSD'en til at overskrive reserveblokkene, men du har ingen garanti for det,« siger Henrik Andersen.

En ældre standard for sikker bortskaffelse af harddiske fra amerikanske NIST anbefaler syv overskrivninger af en almindelig harddisk. Det skyldes, at på harddiske før cirka år 2000 kunne en enkelt bit ligge i et område, der var så stort, at det teoretisk var muligt at måle på magnetfeltet og beregne sandsynligheden for, om den var blevet overskrevet eller var uændret. Det er dog en metode, der aldrig er blevet demonstreret i praksis til at gendanne brugbare data.

Læs også: Slet harddisken fuldstændigt med kun én overskrivning

Læs også: Recovery-ekspert punkterer harddiskmyte

Flere overskrivninger giver imidlertid mening på en SSD, fordi det netop kan bruges til at bringe reserveblokkene i brug, så man er sikker på, at den skjulte ekstra kapacitet på SSD'en også bliver overskrevet.

»Vores egen software laver fem overskrivninger, og så har vi ikke selv været i stand til at rekonstruere data,« siger Henrik Andersen.

Forskellig indmad i SSD'er

Mens der kun findes en håndfuld harddiskproducenter, så har mere end 100 forskellige firmaer fremstillet flashbaserede lagermedier, som ganske vist er baseret på chips og controllere fra nogle få producenter, men kombineret på forskellige måder og med forskellig firmware.

Det gør det vanskeligt at bruge den funktion til sikker sletning, som ellers burde være en standard, Secure Erase, der dog primært er implementeret for at forbedre ydelsen over tid i mange SSD-drev og ikke som en pålidelig metode til sikker sletning af alle data.

Netop fordi man ikke kan være sikker på, at Secure Erase faktisk sletter alle data, anbefaler sikkerhedseksperter, at man først overskriver SSD'en flere gange med tilfældige data, før man sletter dem med Secure Erase.

»Secure Erase skulle overskrive alt, undtagen systemblokkene på drevet, men producenterne implementerer kommandoen forskelligt, så du har ingen garanti. På de nye modeller er det som regel implementeret korrekt, men det er det ikke, hvis vi går bare én generation tilbage,« siger Henrik Andersen.

I undersøgelsen fra University of California fra 2011 var det blot fire ud af ni SSD-drev, hvor Secure Erase-kommandoen beviseligt fungerede efter hensigten. Derfor bør man især være opmærksom, hvis man har SSD'er fra de første generationer, der skal bortskaffes forsvarligt.

Kryptering virker - nogenlunde

Mange SSD'er har indbygget kryptering af data, så de ligger krypteret i hukommelseschipsene. Det er dog ikke mere sikkert, end at man kan sætte SSD'en i en ny pc og se dataene helt normalt, medmindre brugeren selv definerer et godt kodeord.

Læs også: Pas på: Selvkrypterende SSD'er giver ingen chance for at redde data

Det kan imidlertid være vanskeligt at gendanne data fra en beskadiget SSD'en, hvis den er krypteret på hardwareniveau, fordi hardwareproducentens nøgle kan blive beskadiget.

Derfor lyder anbefalingen fra flere sikkerhedsfirmaer, at man bruger softwarebaseret kryptering på sine drev, fordi man på den måde selv har mere kontrol over krypteringen.

»En hurtig måde at sikre en SSD på vil være at lave en fuld diskkryptering. Det betyder ikke så meget for ydelsen, som det gør på en konventionel harddisk. Hvis man bruger et bare nogenlunde godt kodeord, så vil det være utrolig svært at få fat i data,« siger chefsikkerhedskonsulent Peter Schjøtt fra sikkerhedsfirmaet Symantec til Version2.

Når data ligger krypteret, så vil man blot kunne formatere drevet, hvorefter det skulle være sikkert at overdrage det til andre. I hvert fald hvis det sker inden for virksomheden eller familien.

Hvis man er i en branche med strenge krav til destruktion af fortrolige data, så kan selv kryptering imidlertid give problemer på en SSD. Der findes nemlig brancher, hvor man skal dokumentere, at data er destrueret.

Her er det altså ikke nok, at dataene blot er ulæselige på grund af kryptering, eller at de sandsynligvis er slettet af SSD'ens firmware.

»Det er et problem, og den eneste måde, du kan være rigtig sikker, er fysisk destruktion af drevet,« siger Ulf Munkedal.

For de fleste almindelige brugere vil kryptering og flere overskrivninger med slette værktøjer dog være tilstrækkeligt, fordi det i praksis er usandsynligt, at brugbare data kan genskabes. Det er blot umuligt at bevise, at ingen kan læse de oprindelige data.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (48)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Anonym

Er sletning af SSD's reelt et problem. Man skal skille drevet at, lodde flash kredsene ud, bygge en særlig læser for at få fat i indholdet, og så skal man kende til drevets pakningsmekanisme og eventuelle interne kompression og kryptering. Det kan en efterretningstjeneste selvfølgelig godt finde ud af, og måske meget store virksomheder som gerne vil have fat i konkurrentens data. Men mon ikke der er lettere veje til det end at lodde brugte SSDs fra hinanden?

I undersøgelsen fra University of California, er der dog en anden tankevækkende oplysning, som måske er mere problematisk. Sletningsproblemerne gælder i endnu højere grad for USB baserede memorysticks. Faktisk er problemet endnu værre fordi de ikke er udstyret med interne slettefunktioner overhovedet.

Selvfølgelig skal det hele loddes fra hinanden for at man måske kan få noget ud, men mon ikke man skulle overveje at bruge en ny tom og frisk USB memory næste gang man sender et eller andet på sådan en - just in case.

Christian Nobel

Man skal skille drevet at, lodde flash kredsene ud, bygge en særlig læser for at få fat i indholdet, og så skal man kende til drevets pakningsmekanisme og eventuelle interne kompression og kryptering. Det kan en efterretningstjeneste selvfølgelig godt finde ud af, og måske meget store virksomheder som gerne vil have fat i konkurrentens data.

Og det fordrer altså at man fysisk har fat i disken, så måske det her skal sættes i rette proportioner.

I en verden hvor der ukritisk plæderes for at alting skal ud i skysovs, så er det da et marginalt problem hvad der sker med en disk, og for USA'nske virksomheder er det vel nemmere at kontakte en ven i NSA, som jo alligevel har fingrene dybt nede i kagedåsen.

Herudover, så er min erfaring at SSDs er ganske gode til at destruere sig selv (på tidspunkter hvor det er absolut mest ubelejligt).

Kim Kaos

Til mit nye ASUS ROG MB er der en funktion i deres bios der lover 100% sletning ad SSD - om det virker ved jeg dog endnu ikke - men det skal da afprøves på et tidspunkt.

Jeg har benyttet en del sletteprogrammer igennem årene - nogle med DOD-speks. - men det har altid været en tommelfingerregel her at ALLE HD´er fik en tur med hammeren når de blev kasseret og jeg mener ALLE - uanset hvilke programmer der var blevet brugt til at slette med først.

Svenne Krap

Øhh, understøtter de ikke alle SECURE ERASE fra ATA spec'en?

I praksis er de fleste vist krypteret hele tiden (også selvom man ikke har sat password på disken), og hvis man vælger "secure erase" så overskrives passwordet med noget nyt (også random).

Så teknisk set, er den ikke slettet, men god fornøjelse med at genskabe data (altså knække drevets crypto)

Anonym

Hvad med at stritte SSD'en i mikrobølgeovnen?
Bare en tanke.


Jeg er ret sikker på, at mikrobølgeovnen vil ødelægge SSD disken. Det er ikke opvarmningen som sådan der tager livet af den, men derimod den strøm der løber gennem alle metaldele (induktion). Selv med et alu cover over disken vil jeg gætte på, at der er tilpas mange utætheder til, at mikrobølgerne kan nå ind i de enkelte chips.

Det vil formodentlig være lettere at tage coveret af, og hamre et søm gennem hver memory chip. Og DET virker.

Men som Christian skriver: Det her er altså ikke noget stort problem.

Palle Simonsen

For år tilbage arbejde jeg i en virksomhed, der bl.a. håndterede Bank Desktops. Når en sådan ikke skulle returneres, men destrueres eller videresælges anvendte man at placerer PC'en henholdsvis disken på en 'masterclear', der simpelthen var en stor elektromagnet. Efter en dyb 50 hz brummelyd kunne man ikke engang low-level formaterer disken :)

Kim Kaos

Hammerslag på en harddisk ødelægger ikke data. Hvorfor tror du dog det ?

Jeg sidder ikke og banker lidt på den - den får en omgang seriøs tæsk og når jeg er færdig kan der ikke genskabes noget fra den disk ;)

Claus Jacobsen

Der er nu temmelig mange måder man kan dræbe elektronik på, men du kan få en "boks" der udsender en emp i en afskærmet kass, og så er det altså dødt det stakkels elektronik. Mener en "lille" en til blandt andet harddiske ligger i omkring en 15-20K. En god investering hvis man har særdeles følsomme data der ikke må komme nogen steder hen. - Det kaldes for en Degausser. :-)
Den virker også til gamle backup-bånd :-)

Johnnie Hougaard Nielsen

Det kaldes for en Degausser. :-)

Den er glimrende til magnetiske disk, men det er altså ikke via emp, og den dur ikke til SSD.

En leverandør skriver:

How Do I Erase a Solid State Hard Drive (SSHD)?

Several types of newer hard drives employ solid state memory as opposed to a disk. Solid state drives cannot be degaussed because they are not magnetic media. A one-pass secure overwrite is recommended for a SSHD, such as Secure Erase. However, the best way to be assured of security erasure of a solid state drive is to physically destroy the drive using an industrial shredder.

Thomas Vedel

Jeg har udelukkende brugt SSD drev i mine bærbare de sidste mange år. Jeg bruger altid drev med mindst 128 bit kryptering på hardwareniveau, og kombinerer det med et meget langt HDD password i BIOS'en, så disken nægter at svare, hvis ikke man kender adgangskoden.

Det har som konsekvens at computeren beder om harddiskens adgangskode ved hver kold-boot, men sikrer til gengæld at ingen får glæde af hverken computer eller disk, hvis computeren bliver stjålet.

Eneste bagdel er at en disk, som én gang er beskyttet med password på hardwareniveau, ikke igen kan åbnes så den kan benyttes uden at man kender adgangskoden. Det betyder at man ikke kan genbruge disken i andre sammenhænge.

Anders Jorsal

Det burde vel hjælpe godt, hvis man får disken helt fyldt op med filer (som ikke må være tomme). Så bliver controlleren jo nødt til at bruge alle flash-kredse. Det burde give en okay sikring.

Eneste problem er så desværre bare de måske 20-30% overhead af reservekapacitet til tilfælde af dårlige kredse eller måske mere på en dyr disk, som man ikke er herre over - hvor enkelte data måske ligger og nu ikke er tilgængelig, da controlleren har disabled disse kredse.
Hmm. Måske er mikrobølgeovnen eller højspændingstester den bedste løsning - men hvem siger, at der ikke er en enkelt chip der overlever det?

Johnnie Hougaard Nielsen

Det burde vel hjælpe godt, hvis man får disken helt fyldt op med filer (som ikke må være tomme). Så bliver controlleren jo nødt til at bruge alle flash-kredse. Det burde give en okay sikring.

Nej. Du kan ikke på nogen måde sikre en lineær gennemskrivning, uden huller. Det er ikke nok at have grund til at formode at 99% er væk.

Så vidt jeg se er det næppe realistisk at få sikkerhed for at alle bit er slettet uden ekstreme fysiske metoder som granulering eller smeltning. Om en krypterings strategi kan gøre intakte bit ubrugelige er jo så en anden sag.

Benjamin Bach

Undskyld, at jeg bringer "sølvpapirshatten" i spil, jeg går nemlig rigtig meget ind for ansvarlig håndtering af data. Og i denne søde juletid, er det måske også god timing for lidt diskussion om ressourcespild.

99% af data på en harddisk er oftest slet ikke personfølsomme, men de personfølsommedata skal naturligvis altid krypteres! Chancen for at få stjålet sin laptop er uendeligt meget større end chancen for, at nogen med et højteknologisk laboratorium bruger månedsvis på at gendanne data; men enhver (selvhøjtidelig) nørd med respekt for sig selv og sine data tror naturligvis, at man vil blive gjort denne store ære :) Hvis man fylder drevet op med random data og bruger ATA Secure Erase, så er der ikke noget at komme efter.

Og hvorfor skulle man destruere disken, når man sælger sin computer? Så behold den dog selv eller giv den til nogen, du stoler på!! Sølvpapirshatte-destruktion af harddiske er selvvisk og smagløst ift. den ressource, som hardware repræsenterer (natur + menneskeligt arbejde).

Hvis valget står mellem ressourcebevaring eller sølvpapirshat, så ville jeg vælge at bevare harddisken / sælge den / donere den; men dette er langt fra hele historien, da der som flere påpeger jo burde have været kryptering lige fra start af!!

Ibas Kroll Ontrack lever af, at folk er overdrevent bange for, at deres data falder i de forkerte hænder. Det er prisværdigt at skabe praksis for god data-overskrivning, men det er aldeles destruktivt at skabe et massehysteri, som resulterer i ressourcespild og unødigt besvær.

Så lad os lige repetere:

1) Du har personfølsomme data. Derfor krypterer du dem, fordi det er relevant ved tyveri af datamaten.
2) Når du sælger/videregiver din computer og dermed videregiver harddisken til tredjemand, kan du nøjes med en simpel overskrivning, dersom 1) er opfyldt... hvilket det SKAL SKAL SKAL være, ellers har du ikke prioriteterne i orden!!
3) Dersom du alligevel har haft ukrypterede data på disken, kan du overskrive med 0'er en enkelt gang, hvis det er en magnetdisk (se seneste NIST-rapporter) og hvis det er SSD, kan du sætte din lid til, at en fuld udfyldning med random data + ATA Secure Erase gør det astronomisk usandsynligt, at dine data kommer igen.

Kim Kaos

Nu er der ikke os alle sammen der til dagligt kun håndtere hjemmePCere - men rent faktisk har ansvar for maskiner der indeholder særdeles følsomme data.

Der til kommer at der findes mennesker rundt omkring der har alverdens tid og når de støder på en læstgående harddisk ser de det som en personlig udfordring at få adgang til de data der findes på den og i nogle tilfælde misbruge dem.

Du er da velkommen til at sænke debatniveauet og kalde alle dem der ikke deler dine synspunkter for sølvpairhatte mv. hvis det gør dig glad.

Vi andre vil så forsætte med at beskytte os selv og evt. dem vi arbejder for og gøre vores til at absolut ingen data falder i de forkerte hænder.

Kim Kaos

Og så lige en ting til:

"- eller giv den til nogen, du stoler på!!" Skriver du

Hvad sker der så efter et år når de udskifter den? I det øjeblik du overdrager en harddisk har du ingen kontrol med hvad der sker med den fremover.

Og beholde dem er jo lidt tosset - hvis jeg havde beholdt alle mine ville mit klædeskab sgu være fyldt med gamle harddiske ;)Og et par af de virksomheder jeg har arbejdet for udskifter harddiske i så store mængder at det ville kræve en lagerhal hvis de skulle gemmes

Nope - det er nogle tørre tæsk de skal have - så er man på den sikre side

Benjamin Bach

Kim Kaos, jeg har stor respekt for sikring af data, hvilket jeg gentager flere gange i indlægget. Mit mål er det samme som dit, dog med den undtagelse, at jeg helst ikke ser funktionsdygtigt hardware blive destrueret og smidt på lossepladsen (i Kina). Kan du ikke evt. komme med nogle konstruktive bud på dette, så vi bedre kan følges ad?

Rent niveau-mæssigt, forsøger jeg at sammenkoble sikring af følsomme data ved brug af harddiske og overdragelse til tredjepart, det er ikke to særskilte problemer mener jeg.

Det er ikke mere end et par år siden, at Skatteministeriet fik stjålet et større antal computere. Det viser, at man skal have prioriteterne vedr. kryptering i orden, det kan man ikke overlade til G4S. Dermed løser problemet med overdragelse af harddiske sig selv.

Hvis man ikke stoler på, at ens virksomheds ansatte har sikret sig mod ukrypteret lagring af følsomme data, er ens problem da ikke langt mere fundamentalt end selve overskrivning af diskene?

Jeg kan godt forstå, at det er svært at løfte opgaven, hvis man som IT-ansvarlig skal kunne skrive under på, at man sikkert har videregivet harddiske til tredjepart uden frygt for lækage; men hvad med det ansvar, man har, når man har hældt 1000 harddiske på lossepladsen? Fortjener det ikke også at blive taget seriøst?

Jeg mener, man finder løsningen ved at betragte risici med en realitetssans. Det er nemt nok at dumpe hardware på lossepladsen, men dermed rammer man blot en etisk problemstilling.

Hvem garanterer i øvrigt, at et søm gennem disken eller en shredding er en teoretisk sikret model? Bevares, harddisken holder op med at være plug-and-play, men man kunne jo bare tape delene sammen igen i selvsamme mytiske laboratorium, som også genskaber data ved mikroskop-analyse af magnet-elementer og granskning af reserve-celler i SSDen.

Kim Kaos

Det er dine sølvpapirhatte der giver mislyde.

Selvfølgelig er det spild at man ødelægger fremfor at overdrage - men efter 30+ år har jeg på den hårde måde lært det er bedre at være safe than sorry.

Og der er ikke kun når det kommer til afskaffelse - det gælder også backup og kryptering osv.

En del af mine kunder igennem årene har oplevet en del kedelige ting og min erfaring og rigide regler vedr. håndtering af data har betydet at det kun er sjældent de igen oplever det samme igen.

Jeg har da også med blødende hjerte måtte stå sammen med et par betroede medarbejdere og hælde over 100 harddiske i en industri-shredder - og det forgik med flere kontrollag og afkrydsnings lister med serie.nr. osv. - men der var ingen vej uden om.

Måske er jeg overforsigtig - men det skyldes udelukkende at jeg i mange år var den der blev tilkaldt når det først var gået galt og jeg igen og igen har set hvor lemfældigt mange virksomheder behandlede deres data.

Så erfaringen har lært mig at man aldrig kan være for forsigtig.

Og lad mig lige afslutte - jeg har ikke gjort mig til talsmand for et søm igennem eller lign. - når jeg er færdig med en harddisk så er den med garanti komplet færdig og ingen kan genskabe nogle data fra den - og det er med garanti.

Johnnie Hougaard Nielsen

men hvad med det ansvar, man har, når man har hældt 1000 harddiske på lossepladsen?

Det er jo ikke det vi taler om.

Hvis du vil være konstruktiv, så er det et dårligt signal at starte med tale om sølvpapirshatte, i en branche der dog har en del stillinger hvor paranoia er en nødvendig kvalifikation. At der så er en del som træner deres paranoia i situationer hvor proportionerne ikke matcher den reelle risiko ved datatab, er så en anden debat. Under alle omstændigheder er der værdi i at snakke om hvad der egentlig skal til for grundigt at sikre sig mod at intakte stumper data kan graves frem. Det kan jo tydelig ses at nogle har misforståelser omkring metoder, som ikke giver den sikkerhed de startede med at tro.

Der er jo i øvrigt intet til hinder for at en fysisk ødelæggelse af gamle HDD/SSD kombineres med genbrug af materialer (især metaller), hvilket da mindsker ressourcespildet en hel del. Kompleksiteten i at satse på at "tape delene sammen" fra en shredded disk, er forresten langt større end den ikke kun teoretiske mulighed for at overføre flash chips til dertil egnet aflæsnings udstyr.

En del af risikoen ved datalæk er forresten at selv om det ikke er så følsomme data, kan der komme grusomt dårlig PR ud af en tur gennem mediernes shredder :-)

Benjamin Bach

Det er jo ikke det vi taler om.

Man kan ikke se bort fra konsekvenserne af valg af destruktion som metode. Hvis man ikke taler om konsekvenserne, taler man udenom et vigtigt komponent i debatten!

Altså hvis harddiske voksede på træerne, ville jeg være tilbøjelig til at være mere ligeglad -- men smid-væk-kulturen er grim, fordi 1) harddiske naturligvis repræsenterer en ressource og 2) fordi harddiskproducenterne har sænket niveauet til at matche vores disk-kultur. Det er ikke længere standard at sælge harddiske med lang levetid og garanti, fordi efterspørgslen ikke er der. 3) Fordi der ligger en kuriøs erkendelse i praksis ved destruktion, nemlig at man ikke med overbevisning kan sige, at disken er fri for ukrypterede hemmeligheder. Det er da en erkendelse, der er problematisk, er det ikke? Så kan det jo være lige meget, om man shredder i stedet for at overkrive, så bør prioriteringen være at indføre kryptering.

Hvis du vil være konstruktiv, så er det et dårligt signal at starte med tale om sølvpapirshatte

Jeg starter med at undskylde et stærkt udtryk i præcis første sætning; men altså hvis man ikke må snakke om at være for forsigtig af frygt for at træde jeres faglighed over tæerne, så er det svært at trænge igennem med et budskab om, at livrem og seler faktisk er med til at skabe et ressourcespild. Hvordan kan man da sætte grænser for, hvor meget man bør gøre for at sikre sine data?

Folk har jo også data i deres hjerner, hvornår begynder dette at være et mere relevant emne? Fredag aften nede på værthuset ryger der mange flere forretningshemmeligheder, end der nogenside er kommet igennem fra en overskreven harddisk :) ...det er mere for at sige, at man aldrig er mere sikker end det svageste led.

Jeg kan godt forstå, at Kim Kaos vælger rigide retningslinjer for sikkerhed. Det skal man. Og der vil altid være ressourceomkostninger ved backups og redundans i IT-drift; men jeg ville blot opstille nogle rigide linjer for overskrivning frem for destruktion af førnævnte grunde.

Jeg ville sagtens turde udstede garantier til virksomheder på, at deres data var sikre efter at have overskrevet dem. Og her er så min opfodring til udøvende IT-folk:

Stop troen på, at teoretisk genskabelse af data på en overskreven disk er en reel trussel og prioritér genbrug mere.

For lige at gentage det: Essensen af det, jeg siger, er, at man skal sikre sine data OG genbrug samtidig. Det er således fint for mig at debattere praksis ved overskrivning og jeg ser den samme værdi som Johnnie Hougaard Nielsen i at have en levende debat om mulighederne for at genskabe stumper af data fra overskrevne harddiske.

Kim Kaos

Genbrug er godt og jeg håber da at alle de harddiske og andre elektronikting jeg har sendt til skrotning er endt som køleskabe mv.

Rent faktisk så mener jeg at kunne genkende lidt af guldet i den krone jeg fik sidste år og jeg tror det stammer fra et par gamle 486´er jeg sendte til skrotning ;)

Ps. undskyldning accepteret.

Johnnie Hougaard Nielsen

Jeg ville sagtens turde udstede garantier til virksomheder på, at deres data var sikre efter at have overskrevet dem.

Når vi taler om en almindelig HDD, lyder det rimeligt, med en passende grundig overskrivningsprocedure. Her er det ganske rigtigt ikke realistisk at genlæse overskrevne data i mystiske laboratorier.

Situationen er blot helt anderledes, når vi taler om SSD, der har et software lag, der skal fordele brugen af celler. Så kan en overskrivning ikke siges at ramme alle celler med data, fordi reservepuljen ikke er statisk. Secure Erase er selvfølgelig den rigtige vej her, men meldingerne går jo på at den ved ældre SSD ikke altid er korrekt implementeret. Og så er det ikke blot teoretisk at der kan reddes data stumper fra en afmonteret chip.

Jeg er da ganske enig i at den primære vej må være at have en god strategi omkring kryptering og nøgleadministration, og ikke bare vanemæssigt lade enhver plan for udfasning af hardware slutte med en fysisk destruktion. Det må dog siges at nedkørte SSD næppe kan siges at være egnede til genbrug af andet end materialerne, således at destruktionen ikke gør så meget her. Eller har du bedre anvendelser for en afdanket SSD?

Ved anvendelse i lukkede servermiljøer, er afvejningen mellem om der skal laves kryptering eller ej noget anderledes. Hvis det kan gøres en smule hurtigere med ukrypterede data, vil dette ofte blive prioriteret højt. Og det fører jo naturligt til ekstra sikkerhedskrav ved disk udskiftning, med reel sikkerhed for at kunne sige at alle data er overskrevet 100%.

Under alle omstændighedder forekommer destruktion og genanvendelse af materialerne mig at være en betydeligt bedre vej, end at se affald som noget der deponeres i fremtidens miner for råstoffer: Lossepladser. Hellere undgå dette forsinkende led på vejen til genbrug :-)

Benjamin Bach

Det må dog siges at nedkørte SSD næppe kan siges at være egnede til genbrug af andet end materialerne, således at destruktionen ikke gør så meget her. Eller har du bedre anvendelser for en afdanket SSD?

Tjah. Jeg tror på det bedste i SSDen, men meget kunne tyde på, at den ikke kommer til at udgøre den store ressource for genbrug på samme måde som harddiske fra 90'erne og start 00'erne ofte stadig spinner; men der skal da gøres plads til de SSD'er som undtagelsesvis er driftsikre og kan holde i mange år :) Man kan da i hvert fald sige, at det godt at være parat til når dagen for solid Solid State kommer :)

Der er masser af energiforbrug ved produktion, og elektronikaffald skader både mennesker og miljø. Det mest direkte svar på problematikken er at holde IT-udstyr i drift så længe som muligt, så man reducerer produktion og generering af affald.

I lukkede servermiljøer vil jeg give dig ret i, at kryptering ikke er vejen frem. Her er det dog (correct me if I'm wrong) ikke nær så almindeligt at destruere fungerende diske, da harddiske har en meget kortere levetid og langt mere sandsynligt køres i sænk, inden det bliver relevant at videregive dem.

I øvrigt ad. Secure Erase. Lad os sige, at en HD-producent har implementeret Secure Erase fejlagtigt enten for at profitmaksimere eller fordi de har et hemmeligt samarbejde med efterretningstjenesten osv.: Hvad kan man stille op over for denne løgn? Bør de da ikke være juridisk ansvarlige over for, at data havner i andres hænder? Man kan jo som IT-ansvarlig dokumentere, at man har sendt Secure Erase kommandoen og disken har svaret positivt.. herefter burde ansvaret ligge hos producenten.

Ad. Shredding, så anbefales det faktisk af artiklens videnskabelige kilde at overlade ansvaret til producenten, dersom kryptering, kompression og over-provisioning gør det problematisk at stole fuldt og fast på software metoder.

Our results lead to three conclusions: First, built-in commands are effective, but manufacturers sometimes implement them incorrectly. Second, overwriting the entire visible address space of an SSD twice is usually, but not always, sufficient to sanitize the drive. Third, none of the existing hard drive-oriented techniques for individual file sanitization are effective on SSDs.

...og senere i konklusionen:

Overall, we conclude that the increased complexity of SSDs relative to hard drives requires that SSDs provide verifiable sanitization operations.

http://nvsl.ucsd.edu/index.php?path=projects/sanitize

Af ren og skær oplysthed, ville jeg mene, at man kan kombinere flere aspekter af genbrug af SSDer for at sikre sig:

1) Hvis det er en dårlig model, der ofte fejler, så gør som Johnnie Hougaard Nielsen foreslår og spring genbrug over, det er blot besværligt og vil gøre næste ejermand en bjørnetjeneste.

2) Hvis det kan bekræftes fra producenten, at Secure Erase er implementeret korrekt eller hvis disken bruger kryptografi, så er det fint at bruge ATA Secure Erase, hvilket i mange tilfælde blot tager et minut! Herfra må det være producentens ansvar og ikke den IT-ansvarliges.

3) Worst case: Hvis Secure Erase ikke kan bekræftes men disken til gengæld ikke har noget datakomprimering, kan det være fint nok at overskrive data -- jo flere gange, des bedre. F.eks. har Kingstons forbruger-SSDer kun en redundans på 7%, så der skal ikke så meget berøring til, før man har spoleret en essentiel mængde data. Hvis du kan overskrive 99% af data og kun 1% indeholder hemmeligheder, så er der 0,1 promille chance for at genskabe relevante data, hvilket vel er ekstremt urentabelt for både industrispionage, kriminelle og efterretningstjenester. Når disken er overgivet til tredjepart, vil denne tredjeparts aktivitet på drevet sikre yderligere forvrængning af de oprindelige data.

Johnnie Hougaard Nielsen

I øvrigt ad. Secure Erase. Lad os sige, at en HD-producent har implementeret Secure Erase fejlagtigt enten for at profitmaksimere eller fordi de har et hemmeligt samarbejde med efterretningstjenesten osv.: Hvad kan man stille op over for denne løgn?

Jeg tror ikke at det har været bevidst, men snarere noget så almindeligt som "kompetencemæssige begrænsninger". Det ville være et pænt træk med en ekstern certificering af sikkerheden, men jeg tror ikke meget på at prisen på en SSD kommer til at inkludere en forsikring mod konsekvenser af sikkerheds svagheder. SSD'en kan vel regnes for defekt, og måske blive udskiftet, men det er jo ikke der smerten ligger, hvis en sag er eksploderet.

så er der 0,1 promille chance for at genskabe relevante data, hvilket vel er ekstremt urentabelt for både industrispionage, kriminelle og efterretningstjenester.

Det ville være dyrt, men rentabiliteten afhænger da af om det kunne være data af meget høj betydning, såsom aktive masternøgler. I øvrigt er det for optimistisk at regne med at 93% fører til en kumulativ mindskning af overlevende data, du kan ikke garantere at den tager nye reserveblokke i brug hver gang. Sikkerhedsmæssigt bør antagelsen være at det er de samme 93% hver gang, med mindre der laves overskrivninger nok til at disse med sikkerhed bliver slidt mere end resten. Worst case skal ikke vurderes ud fra optimistiske kriterier, men med Murphy in mente.

Johnnie Hougaard Nielsen

Som i Rusland. Skrive en erklæring derom på en 500 EUR seddel?

Minder mig om en gammel historie:

Churchill: Madam, would you sleep with me for five million pounds?

Socialite: My goodness, Mr. Churchill... Well, I suppose... we would have to discuss terms, of course...

Churchill: Would you sleep with me for five pounds?

Socialite: Mr. Churchill, what kind of woman do you think I am?!

Churchill: Madam, we've already established that. Now we are haggling about the price

Benjamin Bach

Worst case skal ikke vurderes ud fra optimistiske kriterier, men med Murphy in mente.

Worst case er, at man overskriver en disk og ikke når ind til en fraktion over provisioning, som indeholder følsom data. For at regne risikoen ud, skal vi faktorisere med:

1/X af diskene er såbare over for dette problem, da deres Secure Erase funktion ikke virker (jeg tror, at studiet fandt 1/20 diske)
1/Y af diskene beholdes, men resten smides til fysisk destruktion, da de ikke har kvaliteten til genbrug (kunne antages at være 1/2).
1/Z af diskene kan via producenten verificeres, at de ikke kan overskrives korrekt og kan smides ud med det samme (altså hvis man med sikkerhed ved, at en sikker overskrivning ikke kan lade sig gøre, skal man agere herpå) - dvs. af den tilbageværende fraktion af diske, der er såbare for overskrivningsproblematikken kan man måske verificere at 1/2 af dem faktisk er såbare og smide dem til fysisk destruktion med det samme (konservativt, man kan også genbruge dem på trods af dette)
1/W af data på disken er følsom og ukrypteret
1/Q af data havner på en over provisioning blok
1/K over provisioning rammes ikke af overskrivningen

Nu bliver det lidt naivt... men det er bare for at stoppe nogle tal på, og der er sikkert flere faktorer i regnestykket; men resultatet bliver noget i stil med 1:X×Y×Z×W×Q×K - man kunne f.eks. sige 1:20×2×2×100×13×5 - chancen for at have en disk med følsom data er dermed reduceret til 1:520.000

Hvis tallet er i denne størrelsesorden, skal man altså have et sample på 500.000 overskrevne harddiske for at lave meningsfuld industrispionage i det mytiske laboratorium. Vi kan sagtens sætte talene anderledes, men blot at industrispionagen kræver samples > 1000 overskrevne SSD-harddiske, burde være nok til, at man kan kalde det for aldeles urentabelt at skaffe følsomme data på den måde. Så ville jeg nok mere forsøge noget med at drikke den administrerende direktør fuld :)

Kim Kaos

Det er synd for indsatsen for genbrug, at man skal udsættes for ekstremt rigide retningslinjer, når en fornuftig politik for overskrivning af diske fjerner enhver teoretisk gendannelse af data og at problemet med lækage af følsom data ved overskrivning jo peger i retning af nogle langt mere alvorlige problemer m. mangel på kryptering.

Du kan synge og danse - ingen af mine kunder hopper med på den vogn. De vil blæse på genbrug med mindre de først er hakket i stumper. Og det er en politik jeg til fulde bakker op om og i visse tilfælde selv har været med til at indfører - sammen med alle de andre sikkerhedprocedure.

Johnnie Hougaard Nielsen

Nu bliver det lidt naivt... men det er bare for at stoppe nogle tal på, og der er sikkert flere faktorer i regnestykket; men resultatet bliver noget i stil med 1:X×Y×Z×W×Q×K - man kunne f.eks. sige 1:20×2×2×100×13×5 - chancen for at have en disk med følsom data er dermed reduceret til 1:520.000

Jeg er bange for at regnestykket er ikke bare lidt men meget naivt. Du kan ikke tillade dig at regne med W×Q×K, på grund af den måde en SSD må forventes at virke på, med ny fysisk placering hver gang. Hvis vi nu (worst case, I know) regner med et design med en masternøgle og en timestamp for "sidst brugt", som bliver opdateret løbende. Ikke smart men shit happens. Der skal altså meget hyppige skrivninger til, så disse data kan være fordelt ud over de fleste celler i en SSD. Med mindre du kan garantere at samtlige celler er overskrevet, er der stor risiko for at en sådan SSD stadig indeholder en intakt masternøgle i en eller anden krog. Murphy var som bekendt en uforbedrelig optimist :-)

Med andre ord er der brug for konkrete vurderinger, med relevant grad af paranoia, i stedet for at ville tale risikoen ned under gulvbrædderne med fiktive statistiske overvejelser. I virkelighedens verden er valget mellem destruktion som "løsning" ikke svært, når vurderingen ellers bliver kompleks.

Jeg ville bestemt gå ind for at kræve certificeret sikrede SSD, gerne med en stærk krypterings infrastruktur, så fornemmelser af sikkerhed ikke skal afhænge af skæbnen for udrangeret hardware. Men så skal sikkerhedsnivauet være gennemtænkt fra starten, ikke som en efterrationalisering.

Benjamin Bach

Med mindre du kan garantere at samtlige celler er overskrevet, er der stor risiko for at en sådan SSD stadig indeholder en intakt masternøgle i en eller anden krog.

Deri har du et mellemværende med fabrikanten. At beholde en gammel masternøgle på trods af en Secure Erase kommando ville jo være svig-agtigt og rent aftalebrud ift. at man leverer et produkt med nogle bestemte funktioner. Det må også være en overvejelse ved køb af SSD-diske: Kan man overhovedet fjerne data fra dem? Mange virksomheder har intern rotation af it-udstyr, hvor man også vil have behov for denne funktion.

Når jeg smider nogle tal på for at vise noget sandsynlighed, så handler det ikke om, hvor vidt at 1/1000 eller 1/1.000.000 diske kunne efterlade følsomme data -- så handler det om sandsynligheden for, at nogen overhovedet ville bruge tid på at gennemgå harddiske for følsomme data.

Med en fornuftig politik for at bruge overskrivning, når det er muligt, vil man også kunne genanvende SSD.

Jeg synes mildest talt, det er problematisk at anbefale ekstremt rigide retningslinjer for harddisk-bortskaffelse, når det er til direkte skade for andres mulighed for at genbruge værdifulde ressourcer.

Peter Gutmanns 35 overskrivninger benyttes den dag i dag, så jeg synes godt, man kan mane til besindelse ift. politiken for destruktion, så vi ikke havner i samme ekstremer. SSD kunne være en anledning til at starte fra scratch og finde nogle mere fornuftige metoder, der sikre genanvendelse og datasikkerhed samtidig.

Benjamin Bach

De vil blæse på genbrug (...) Og det er en politik jeg til fulde bakker op om

Tror ikke, vi kommer videre herfra. Nu har jeg så ikke sagt, at jeg har dedikeret en stor del af mit levned til netop genbrug, så det gør ondt at læse den slags. Tak for, at du i hvert fald fik forklaret lidt mere om de forhold og overvejelser, du møder i dit professionelle liv.

Hans Schou

Det må også være en overvejelse ved køb af SSD-diske: Kan man overhovedet fjerne data fra dem?


Der er kun én vej at gå: Kryptering.

Jeg tror der er 4 problemer med kryptering:
1. Det gør disk-access langsom
2. Er hele disken krypteret, tager boot længere tid
3. Hvis man glemmer password, er alt væk
4. Dekryptering kan ofte kun ske med samme styresystem

Og hvordan tager man backup af en krypteret disk? Der er flere muligheder, men man skal tænke sig godt om.

Bør man kryptere en laptop? Ja for helvede! Er man så ikke lidt sølvpapirshatagtig? Altså, hvis facebook i forvejen har alle dine data, så er det lidt ligemeget, men hvis det kan koste dig jobbet, så er det nok ikke.

Og husk et godt løsen (kodeord), og pas godt på det. Politiet kunne ikke knække Utimacos kryptering, men Tvind-ansattes lemfældig omgang med løsener gjorde udslaget. Nogle af Tvinds harddiske blev åbnet, men ikke alle, for de havde forskelligt password.

Tillad mig lige at tage dumme-frasen med: Jamen, har du da noget at skjule? Ja dagbogen, mine Vogon-digte, billeder at mine børn der bader (m/tøj på), dankort-credentials, seksuelle præferencer (eller mangel på samme), browserhistorik, favorit herre- og dameundertøj, planer for patenterbare opfindelser, løsener til alle mulige steder etc.

Indrømmet, det er ikke alle mine diske der er krypteret. Det er en (måske dårlig) afvejning.

Log ind eller Opret konto for at kommentere