web-dev-qa-db-ja.com

情報を回復不能にする方法は?

私は会社の機器を管理しており、マネージャーは過去3年間機器を使用しています。彼は私に、その設備を従業員の一人に与えると言った。ただし、回復できないように、情報が削除されていることを確認するように指示されています。

私はこの話題が好きで、あまり詳しくないので、linux "rm"コマンドで情報を削除しました。法医学の手法でそれを回復することはまだ可能です。デバイスの情報は重要でした。顧客情報および今後リリースされるプロジェクトに関する情報。

質問は次のとおりです。

  1. 情報を回復不能にしてデータを上書きするために、何回かフォーマットする必要がありますか? 0と1?
  2. 最初に情報を削除しましたが、パーティションは暗号化されていませんでした。今パーティションを暗号化するとどうなりますか?コンピュータが盗まれた場合、情報は回復可能ですか?
  3. BCWIPEのようなプログラムは機能しますか?
  4. 「rm」で削除した情報を誰も復元できないようにするために、どのような推奨事項を教えてください。

ルート・ディスクはSDDであり、暗号化されていないパーティションはHDDです。現在、システムはManjaroディストリビューションを使用しています。

encryptionforensicsdeletion
2
pobime7177

これは繰り返し発生する問題であり、多くの警告が伴います。

脅威レベルは要因です。これが政府機密データである場合、公式の回答は「ドライブを破壊する!」です。

とはいえ、商業の世界では、はるかに多くの許容範囲があります。

ドライブ全体に対してゼロを指定してDBANまたはddを実行すると、十分にワイプされます。もちろん[〜#〜] verify [〜#〜]ドライブの内容を調べてゼロを確認することにより、ワイプが実際に行われたことを確認する必要があります。ゼロはランダムより確認が簡単です。

磁力顕微鏡の攻撃を防ぐために、複数のワイプパスを実行する必要はありません。これは、20年以上前に使用されなくなったMFMディスクドライブおよび[〜#〜] mega [〜#〜] bytesで測定されるドライブに対する実験室の好奇心でした。それでも、抽出できるバイト数はわずかでした。ゼロの単一パスは、地球ベースの法医学施設を打ち負かします。

確かに、不良セクターと隠しディスクオーバーレイは消去されません。これが現実的な懸念事項である場合は、DoD破壊基準にフォールバックしてください。

ソリッドステートドライブのウェアレベリングを分解することも、ほとんど現実のバガブーです。はい、技術的には、チップオフ除去を実行し、オンチップ摩耗処理をバイパスして、ワイピングで残ったデータを見つけることができます。ただし、このデータは小さな不連続なスニペットとビットであり、コンテキストを再構築することはほぼ不可能です。これは、すべての標準的な法医学ラボを超えており、専門ラボでは数百万ドルの費用がかかるだけで、努力してもほとんど何も得られません。

繰り返しになりますが、これが現実的な懸念事項である場合は、DoD破壊基準にフォールバックしてください。

ドライブのコストは、おそらく数ドル/数百ドル以下であり、それに応じて行動します。

5
user10216038

これは、このサイトで繰り返し発生する質問です。

私はいくつかの詳細な答えを書きました。

トリッキーな部分は、ハードウェアで ウェアレベリング を実行するSSDドライブです。つまり、一部のデータは、オペレーティングシステムからアクセス/ワイプできない「非表示」セクターにあります。

4つのカテゴリがあると思います。

ケース1:最初からフルディスク暗号化を有効にしました。ディスクをフォーマットしてください。ディスクの不快な部分に残っているデータは、存在しないキーで暗号化されます。

ケース2:ハードドライブファームウェアは安全な消去をサポートしています。次に、製造元は、その安全な消去を呼び出すためのドライバーまたはユーティリティを提供していますか?これが、データを書き込むことができない方法で失敗し始めているSSDブロックをどのように処理するかはわかりませんが、それでもフォレンジックで読み取ることができます。それは心配することでもありますか?

ケース3:高度なフォレンジックについて心配していません。オペレーティングシステム内から初期化されていないハードドライブ領域を読み取る攻撃者についてのみ、本当に心配しています。上級の俳優がハードドライブに新しいチップをはんだ付けして、ウェアレベリングまたは障害のあるセクターに残っているデータのフラグメントを読み取る場合は、許可してください。この場合、ddまたは同等のツールで0を1回渡すだけで十分です(他の回答を参照)。

ケース4:上記のいずれでもないいつものように、データが回復不能であることを保証する唯一の保証された方法は、物理的に破壊することです:

Hard drive shredding

2
Mike Ounsworth

ゼロではなく0xFF。 NANDでは1回のワイプで十分ですが、3回のワイプで十分です。ただし、このタイプの書き込みを行うと、一部のソフトウェアがごまかす場合があります(速度のため)。 dd if=/dev/dero bs=4M status=progress conv=fdatasyncのようなものは実際の書き込み速度を示すので、ワイプしているシステムにいつ戻るかを計画できます。そのジャズに夢中なら、代わりにoflag = syncを試してください。ピザを作る。

確かに、一部のデータは破棄されたブロックに残っている可能性がありますが、それらのブロックにアクセスすることは簡単ではありません。 SSDは、回転するドライブ(HDD)よりもはるかに多くのブロックを廃棄します。これは、ドライブの全寿命での総容量の10〜20%です。安いSSDはほとんどを破棄します。 Google TRIM。

ドライブ全体にまたがるveracryptコンテナーを作成し、既存のデータを1回上書きできるようにすることで、正しく取得します(デフォルトで唯一のオプション)。

参照 https://wiki.archlinux.org/index.php/Securely_wipe_disk#Wipe_all_data_left_on_the_device

そして Truecrypt/Veracryptを使用してパーティションを「ワイプ」できますか?

正直なところ、この問題を回避するには、企業のSSDでBitlockerを使用する必要があります。次に、ドライブの重要な部分を積極的に上書きするだけで済みます。深刻な問題である場合は、hiberfil.sysとpagefile.sysが破壊されていることも確認してください。 -> veracrypt

dd if=/dev/zero bs=4M status=progress | tr '\000' '\377' > /dev/sdXを試してください。ただし、trを使用すると遅くなります。

Hdparmを使用して消去する簡単な方法については、 https://techgage.com/article/securely-erasing-your-ssd-with-linux-a-how-to/ を参照してください。

1
user2497