[realgamer]

[teretalv]

kõige kindlam kustutamine on siis kui partitsioon kustutada ja siis unallocated space killdiskiga üle lasta US DoT meetodil (5x) üle, olgu või USA pommikoodid seal peal, neid enam sealt kätte ei saa!

[Andrus Luht]

Nullidega üle laskmine ei ole hea mõte. Tundliku lugemispead veidi offset'i ajades on võimalik lugeda radade äärtelt elektromagneetilist tolmu ja selle põhjal tuvastada, kas enne zero-fill'i oli see bit püsti või pikali. Kui seda teha veel paralleelselt mõlemalt poolt raja äärest siis võib zero-fill'i eelse pildi kokku panna. Kindlasti mitte ilma vigadeta aga suure pildi saad kokku. Kõige õigem on ikka random pattern'iga ja nii 5...6 korda järjest. Eriti hea oleks kui selleks tegevuseks saaks kuidagi tõsta kirjutuspeade toitepinget grammikese, et radade ääred korralikult õigetpidi pöörata...

[sukelduja]

[Andrus Luht]

sukelduja, olen nõus, et perpendikulaarse salvestusmeetodi korral on minu eelnimetatud ja lihtsustatud metoodika vähe efektiivne aga vaidleks sulle selle linnalegendi osas vastu. Pigem on linnalegend see, et zero-fill'itud kettalt pole võimalik infot kätte saada...

[teretalv]

[Andrus Luht]

teretalv, Eesti Vabariigis pole ka selliseid tegelasi, kelle tegemistel tasuks nii kalli tehnoloogiaga silma peal hoida. Antud teema on aga just pigem teoreetilist laadi kui Eesti Vabariigis võimalik teha laadi... Teooria on praktika aluseks!
Kui jutt käib sellest, et kas kirjutada ketas täis nulle või random datat siis eelistama peaks viimast. Justnimelt sellepärast, et mitu korda randomiga ülekirjutatud ketast on eksponentsiaalselt keerukam taastada kui zero-fill'itud ketast.

[sukelduja]

[Andrus Luht]

sukelduja, mitte just nii vana artikkel MFM'i kasutamisest: http://blogs.techrepublic.com.com/datacenter/?p=272
Ma ei saa sinuga sel teema rohkem vaielda mitmel põhjusel, mida ei saa siin avaldada ja pean nõustuma teretalv'ega, et Eesti Vabariigis sellist tehnoloogiat pole, mis aga ei tähenda, et seda ei kasutata mujal.

[sukelduja]

[Andrus Luht]

sukelduja, rahva rahustuseks ja edukamaks taastamiseks avaldatakse ka selliseid artikleid: http://www.securityfocus.com/brief/888 Samas on aga selle kirjatüki autorid saba jalgevahel oma algallika kustutanud...

Soovitan sul lugeda selle sama 1996 aasta uurimustöö epiloogi. Sinna on autor lisanud vähe värskemat infot:

[HacaX]

Tegelikult maksaks tolle viidatud artikli puhul tähele panna seda, et paljulubav pealkiri on täielikus vastuolus sisuga. Mitte ühegi ketta kohta pole konkreetset infot et tegu on wipe'itud kettaga, isegi nende 10 mis andmekustutusega tegelevast firmast pärinevad kohta pole seda öeldud. Tõsi, tekstis on lause "All proved to be clean." aga see tundub, vähemalt ülejäänud leidude valguses, käivat "täismahus" failide kohta. Nii et kirjatüki sisu on ikkagi tavapärane "kasutajad ei teadnud et DELETE tegeleb ainult faili nimede ja mitte sisuga" probleemiga, mitte zero fillingu ebaefektiivsusega.
Ma küll nõustun BReaK da iCE'iga selles osas et kui valida on nullidega ja random jadaga ülekirjutamise vahel siis võiks neist viimase valida. Põhjuseks aga mitte kõgema taseme taastamistehnikad vaid lihtlabane kasutajate mugavusega arvestamine - (meelevaldselt) eeldan et leidub kasutajaid kes wipe'ivad oma andmeid failisüsteemi piires "tavalise" OSi all (vastandina kogu ketta fillimisele ja/või spetshäälestusega väliselt kettalt käivitatud OSile), sellises olukorras aga võib vabalt tulla mängu failisüsteemi pakkimine mis nullide kogumi märksa väiksemaks teeb nii et ainult osa kettal olevast failist üle saab kirjutatud. Veidigi asjalikuma PRNG korral ei anna kirjutamiseks kasutatavat jada kompresseerida ja nii kirjutatakse sellega üle kõik kirjutama mida peaks.

[tahanteada]

sukelduja: On olemas väga lihtne selgitus, et miks saab andmeid taastada ka "ülekirjutatud ketastelt".

Süüdlane on magnetkiht ise, kuna magnetkihil on olemas "mälu" - ja seda saab vajadusel taastada.
--------------------------------------------------------
Tee lihtne katse:
1. Hangi endale kassett- või lintmagnetofon
2. Võta sellelt ära kustutuspea
3. Nüüd kirjuta see kassetilint / lintmakilint a 10x üle.

4. Nüüd kuula, mis sellel lindil on.

Tulemus: Kõige tugevamana kuuled viimast salvestust, iga eelmine salvestus on järjest nõrgem.
Ning teatud salvestuskorrast edasi on kuuldav ainult arusaamatu müra.
-------------------------------------------------------
Täpselt samamoodi annab maha lugeda HDD magnetkihi salvetuste erinevaid tugevusi.

Seega on kogu küsimus selles, et ülekirjutust tuleb teha niimitu korda, et varasem salvestustugevus muutub taastamatuks müraks.
Kunagistel turvakoolitustel räägiti isegi kuni "mitmekümnekordsetest" ülekirjutustest.

Omaette küsimus on, et kas kellelgi on niipalju raha, et taolist taastamisteenust välismaalt tellida.
Ning teine asi - kas on aega kuid või aastaid oodata, kuni selline info taastada suudetakse.

Edu ketaste ülekirjutamistel

[teretalv]

kustutus programmidel peaks olema kustutus turvalisuse valikus kirjas ka kui palju konkreetne kustutusviis võib andmetaastajatele maksma minna dollarites ja kindlasti oleks seal valikutes ka lõpmatuse märgiga rahasumma...
Mitmekümne kordne kustutus viis on ka reaalselt sellistes programmides olemas
Siis tuleb SSD kettad kasutusele võtta, et nullidega ülekirjutamine oleks lõplik lahendus

[tahanteada]

Leidsin internetist ka ühe huvitava programmi, mis suudab täita 17 erinevat turvastandardit ja mille võimalused näitavad, mida kõike nõutakse kõvaketta korral andmete hävitamisel.

Active@ Kill Disk - Hard Drive Eraser
http://www.killdisk.com/

Edu selle programmiga 99-kordsel ketta ülekirjutamisel

[teretalv]

[sukelduja]

[aixi]

http://arvutiturve.wordpress.com/2013/04/21/failide-turvaline-havitamine-arvutist-voi-valistelt-andmekandjatelt-secure-eraser/
http://arvutiturve.wordpress.com/2010/10/03/salajaste-failde-purustamine-arvutist-eraser-ja-free-file-shredder-abil/
http://arvutiturve.wordpress.com/2011/10/08/kovakettalt-voi-usb-andmekandjatelt-failide-taielik-havitamine-enne-nende-muumist/
http://arvutiturve.wordpress.com/2011/07/02/kuidas-kustutada-faile-ja-kaustu-mis-ei-lase-end-arvutist-kustutada/
http://arvutiturve.wordpress.com/2010/10/10/vabane-arvutis-olevatest-delikaatsetest-ja-konfidensiaalsetest-failidest-igaveseks/
http://arvutiturve.wordpress.com/2010/06/06/privaatsete-failide-turvaline-kustutamine/
Aga kui efektiivne see on kui sisestan op installplaadi vajutan shift f10 ja ilmuvasse cmd aknasse kirjutan diskpart ja siis ajan kettani välja ja lõpuks sisestan käsu format recommended override.

[Dogbert]

Format kirjutab üle vaid MBR-i, see ei hävita mingeid andmeid. Windowsi installikas sisaldab vaid üht vahendit, mis ketta reaalselt üle kirjutada suudab ja seda teeb ta väidetavalt üsna ebaefektiivselt - kolm korda nimelt. Ühest piisaks kaasaegsel kettal täiesti, kaks ülejäänut on puhas ajaraisk. Üle kirjutatakse vaid tühi ruum, nii et esmalt tuleb ikkagi format teha, kui terve partitsiooni üle kirjutada tahad
Käsk terve ketta ülekirjutamiseks on

cipher /W <kettatähis>:

ehk C ketta jaoks cipher /W C:

Kettatootja utiliit teeb zero filli ära 3x kiiremini (kui see väide cipher-i kolmekordsest ülekirjutamisest peaks paika pidama), ata secure erase peaks veel tiba nobedam olema (aga pole ehk nii riskivaba, kui ei tea päris täpselt mida teed).

[aixi]

Aga kui kirjutan format käsu asemel cmds clean all kuidas see toimib.

[Dogbert]

"clean" käsku pole olemas Windowsis

[Andrus Luht]

Dogbert, windows xp/vista/7/8 ja server 2003+ on olemas tööriist nimega diskpart ja seal see clean käsk täiesti olemas.

[Dogbert]

Jutt oli "clean all" otse cmd-sse sisestamisest ja seal ta kindlasti ei toimi.

Aga tõsi ta on - olen diskparti kasutanud mõne korra, aga ega selle käsud mul meeles küll pole. Usaldan Linuxi tööriistu (parted, fdisk, gdisk jt) veidi rohkem ja eelistan partitsioneerimisel neid. Kasutamine on ka mugavam neil.
Aga kui nüüd selle diskparti clean käsu ja aixi küsimuse juurde tagasi tulla, siis ei kustuta see kindlasti kettal olevaid andmeid, vaid muudab ainult partitsioonitabelit.

[aixi]

Dogbert et kõige parem oleks siis teha diskpartis format recommended override ja siis cipher /W C

[Dogbert]

Ei, kõige parem oleks kettatootja kodukalt alla laadida ketta diagnostika utiliit, mis töötab DOS-is ja sellega zero fill teha kettale.
Utiliidi kasutamiseks võib teha DOS-i bootiva mälupulga ja siis utiliidi pulgale kopeerida. Siis bootida mälupulgalt ja käivitada utiliit.
http://www.sevenforums.com/tutorials/46707-ms-dos-bootable-flash-drive-create.html

Peaks zero filli (või low level formati - olenevalt tootja valitud nimetusest) ära tegema 3x kiiremini windoosa cipher-ist. (Ja tõsiselt suurel kettal võtab see sellegipoolest tunde, kui mitte päev(a/i))
Lisaväärtuseks on see, et hoiatab sind, kui ketas peaks olema kõlbmatu edasiseks kasutamiseks. Kasutada on ka lihtsam.

Kui kolm korda ketta üle lased nühkida, nagu cipher (väidetavalt) teeb, siis mädaned sinna kõrvale ära

http://www.seagate.com/support/downloads/seatools/
http://support.wdc.com/product/download.asp?groupid=606&sid=2&lang=en

[Optimist]

[Dogbert]

jah, muidugi ma soovitan kõrval passida ja oodata

Paari terabaidise ketta kolm korda ülenühkimine võtab aga juba rohkem kui ühe öö pikkus seda on, isegi kui kasutaks ata secure erase'i. Kõik muud meetodid on sellest veel aeglasemad.

[HacaX]

OT: tea kas need DOSi-põhised lahendused siiski kõige mõistlikum variant oleks. Alates sellest, et kas modernset ketast üldse üles leitakse (s.o. kui BIOS mõistlikul kujul ette ei anna ja lahendusel SATA draiverit kaasas pole) ja lõpetades sellega, et DOSi all IIRC jooksid kõik kettad vaikimisi PIO resiimis (toda FreeDOSi raames arendatavat UDMA draiverit vist eriti kasutama ei kiputa).
Pigem mingi Linuxi-baasil hävitaja, a'la DBAN.

[Dogbert]

Õigus jah, neetud PIO ei tulnud mul enam meeldegi. Ma ütlen, et pole päris ammu zero filli teinud ühegi utiliidiga - kasutan Linuxis ja ka Windowsis hdparm-i abi ata secure erase käivitamiseks. Tõepoolest, DBAN oleks tõenäoliselt parim ata secure erase järel ja ka juhul kui see pole näiteks kasutatav.
Windowsis loodav ja mälupulgalt käivitatav lahendus on kirjeldatud siin: http://www.pendrivelinux.com/install-dban-to-a-usb-flash-drive-using-windows/
(DBAN pakub ise vaid CD pealt käivitatavat iso tõmmist)

[Plumbum]

Tahan näha kes taastab kettalt kasvõi ühe faili kui on ketas zero fillitud.
See mitmekordse ülekirjutamise jutt on müüt, eriti moodsate ketaste puhul kus data on väga tihedalt salvestatud.

http://computer-forensics.sans.org/blog/2009/01/15/overwriting-hard-drive-data/

[tahanteada]

[Dogbert]

Plumbum, sa ikka lugesid, et üheski sel aastal tehtud postituses ei ole mitmekordset ülekirjutamist keegi soovitanud? Täpselt vastupidi - windowsi utiliit, mis (vähemalt väidetavalt) valikuvõimalust andmata kolmekordse ülekirjutuse teeb, sai maha laidetud. Ja just seesama põhjus sai ära nimetatud.

[tahanteada]

Eks kodus Wipeb / Eraseb igaüks oma arvutiketast nagu oskab ja viitsib, firmades /asutustes kehtivad konkreetsed standardid, kuidas andmeid loetamatuteks / taastamatuteks muudetakse.

Üks standardi-näide ja seda standardit pole keegi tühistanud ja on täie edukusega endiselt olemas:
Standard DoD 5220.22-M, US DoD 5220.22-M (ECE)
US Department of Defense in the clearing and sanitizing standard DoD 5220.22-M recommends the approach "Overwrite all addressable locations with a character, its complement, then a random character and verify" (see table with comments) for clearing and sanitizing information on a writable media.

To conform this security standard in Active@ KillDisk Professional version this approach has been implemented, i.e. triple data overwriting for the destruction of remains of sensitive data.
http://www.killdisk.com/dod.htm

[Dogbert]

tahanteada, see DoD standard on kiviajast pärit ja põhineb tõestamata teoorial, st et seda nõuti igaks juhuks. Pole välistatud, et seda endiselt järgitakse, aga mingit mõtet sel küll ei ole.

[tahanteada]

Linuximaailmas on, eelmisel aastal, kokkupandud üsna hea jutt sellest "andmete hävitusvärgist" ja näha on, et isegi vana hea Gutmanni meetod pole siiani lõplikult minema visatud.

How to Erase a Hard Drive (Linux, Windows or Mac)
http://linuxmoz.com/how-to-erase-hard-drive/

[sukelduja]

[aixi]

Aga kui tõhus see on kui lasen korduvalt vaheldumisi Windowsi ja Linuxi peale.

[Märt.]

Mõttetu. 1x zero fill aitab küll.

[Betamax]

[Dogbert]

[tahanteada]

Väike leid netist: Suuremat sorti, kaheosaline, läbi aastate kandunud Neverending-vaidlus teemal, et kas piisab siis ühest Wipe-st või mitte.
PS: Mina olen endiselt arvamusel, et probleemiks pole mitte see mitu korda ketast Wipe-takse, vaid probleemiks on see, et tavakasutaja ei Wipe isegi ühte korda ja siis hiljem imestatakse, miks RAW-taastus kettalt välja tirib sadu või tuhandeid, täiesti tundmatuid, minigi varasema kasutaja faile.
-----------------------
Nüüd siis see netileid ise:
1. Esimene osa:
https://www.anti-forensics.com/disk-wiping-one-pass-is-enough/
2. Teine osa:
https://www.anti-forensics.com/disk-wiping-one-pass-is-enough-part-2-this-time-with-screenshots/

[aixi]

http://support.microsoft.com/kb/814599
Mis see chiper siis hävitab ennast ka kõige lõpuks ära või.

[sukelduja]

[aht0]