Pot fi recuperate datele șterse de pe SSD? (Securitatea informațiilor, Criminalistică, Ștergere, Memorie Flash, Hardware)

cutrightjm a intrebat.

Citeam o altă postare despre distrugerea unităților IDE și despre cum se pot elimina datele, șterge sau pur și simplu distruge unitatea. Datele eliminate ar fi încă acolo într-o anumită stare, deși nu ar fi ușor de accesat fără software. Datele șterse sunt doar date eliminate, dar au fost suprascrise și sunt practic dispărute. Un disc distrus, dacă este făcut suficient de bine, va elimina totul sau va face aproape imposibilă recuperarea oricărui lucru. Conform înțelegerii mele.

Ce ziceți de o unitate solid-state? Pot fi recuperate datele de pe unul dintre acestea odată șterse? Se pare că aceasta ar fi calea de urmat dacă vă ocupați în mod constant de date sensibile și le eliminați, dar SSD-urile au o durată de viață foarte scurtă (din nou, din câte am înțeles).

Datele de pe un SSD pot fi recuperate în vreun fel după ce au fost eliminate, chiar dacă nu au fost suprascrise?

Comentarii

  • A se vedea și Este suficient să ștergeți o singură dată o unitate flash? –  > Por Gilles „SO- nu mai fi rău.
  • Da, bineînțeles că datele șterse pot fi recuperate cu ușurință, dar nu este posibil să recuperați datele odată ce au fost suprascrise. Chiar și eu m-am confruntat cu problema în care am șters din greșeală o partiție de pe unitatea mea SSD care conținea dosare de fișiere importante, fotografii, videoclipuri etc. Am folosit Yodot Hard Drive Recovery pentru recuperarea partițiilor SSD. Caracteristicile acestui software sunt foarte bune. Doar încercați-l. S-ar putea să vă ajute și pe dumneavoastră. – user20031
  • Într-un fel da: datele nu sunt întotdeauna suprascrise, în alte feluri nu: Datorită colectării gunoiului pe SSD-urile moderne, cu cât o unitate este folosită mai mult timp, cu atât mai greu va fi să localizați și să citiți datele. –  > Por Noiembrie.
  • Știu că acest topic este un pic mai vechi, dar căutam informații pe această temă și m-am gândit că ar merita să menționez următoarele: Deși se pot recupera date de pe SSD-uri folosind instrumente terțe, se pare că un caz de utilizare a fost omis aici… Din câte am înțeles, DATELE șterse de pe SSD-urile interne cu „TRIM” activat nu pot fi recuperate (vezi acest articol).. –  > Por JayC.
  • În legătură cu acest subiect (și de interes special pentru @JayC), următorul fir de discuție oferă o explicație interesantă despre modul în care cipul NAND subiacent gestionează celulele marcate ca nefolosite și poate, de fapt, să le reseteze: Comanda ATA Trim șterge irecuperabil datele de pe un SSD? –  > Por WhiteWinterWolf.
6 răspunsuri
D.W.

Da. Dacă faceți un format normal, datele vechi pot fi recuperate. Un format normal șterge/scrie doar o mică parte din metadatele sistemului de fișiere, dar nu suprascrie toate datele în sine. Datele sunt încă acolo. Acest lucru este valabil mai ales în cazul SSD-urilor, datorită nivelării uzurii și a altor caracteristici ale acestora.

Următoarea lucrare de cercetare studiază ștergerea datelor de pe SSD-uri:

O lecție de învățat este că ștergerea în siguranță a datelor de pe un SSD este un pic mai dificilă. Unul dintre motive este faptul că suprascrierea datelor pe un SSD nu funcționează așa cum ați crede, din cauza nivelului de uzură și a altor caracteristici. Atunci când cereți SSD-ului să „suprascrie” un sector existent, acesta nu suprascrie sau șterge imediat datele existente. În schimb, scrie noile date în altă parte și schimbă doar un pointer pentru a indica noua versiune (lăsând vechea versiune în urmă). Este posibil ca vechea versiune să fie în cele din urmă ștearsă sau nu. Prin urmare, chiar și datele pe care credeți că le-ați șters pot fi încă prezente și accesibile pe SSD.

De asemenea, SSD-urile sunt puțin mai dificil de igienizat (ștergerea completă), deoarece metodele care funcționau pentru HDD-urile magnetice nu funcționează neapărat în mod fiabil pe SSD-uri (din cauza nivelării uzurii și a altor probleme menționate mai sus). În consecință, utilitățile care sunt anunțate ca oferind funcționalitatea de „ștergere securizată a unității” pot să nu fie complet sigure, dacă sunt aplicate pe un SSD. De exemplu, lucrarea FAST a constatat că, în majoritatea cazurilor, efectuarea unei suprascrieri complete a tuturor datelor de pe SSD de două ori a fost suficientă pentru a igieniza unitatea de disc, dar au existat câteva cazuri excepționale în care unele date au rămas încă prezente. Pot exista și alte motive pentru a nu dori să efectuați suprascrieri repetate ale întregii unități: este foarte lent și poate reduce durata de viață ulterioară a unității.

Documentul FAST a constatat, de asemenea, că degaussing (o metodă standard utilizată pentru igienizarea hard disk-urilor magnetice) nu este deloc eficientă pentru igienizarea SSD-urilor.

Mai mult, documentul FAST a constatat că utilitățile standard de igienizare a fișierelor individuale sunt foarte puțin fiabile în cazul SSD-urilor: deseori, o mare parte din date rămâne prezentă undeva pe unitate. Prin urmare, ar trebui să presupuneți că nu există nicio modalitate fiabilă de a șterge în siguranță fișiere individuale pe un SSD; trebuie să igienizați întreaga unitate, ca o unitate întreagă.

Cea mai fiabilă modalitate de a șterge în siguranță un întreg SSD este să utilizați comanda ATA Secure Erase. Totuși, acest lucru nu este infailibil. Documentul FAST a constatat că majoritatea SSD-urilor o implementează corect, dar nu toate. În special, 8 din cele 12 SSD-uri studiate suportau ATA Secure Erase, iar 4 nu. Dintre cele 8 care îl suportau, 3 aveau o implementare defectuoasă. O implementare defectuoasă a fost foarte proastă: a raportat succesul, dar a lăsat de fapt datele pe loc. Acest lucru este îngrozitor de rău, deoarece software-ul nu avea cum să detecteze eșecul ștergerii. 2 implementări defectuoase au eșuat și au lăsat datele vechi pe loc (în anumite condiții), dar cel puțin au raportat eșecul, astfel încât, dacă software-ul care trimite comanda ATA Secure Erase verifică codul de rezultat, cel puțin eșecul ar putea fi detectat.

Cealaltă abordare posibilă este să folosiți criptarea completă a discului: asigurați-vă că întregul sistem de fișiere de pe unitate este criptat de la început (de exemplu, Bitlocker, Truecrypt). Când doriți să igienizați unitatea, uitați toate cheile de criptare și ștergeți-le în siguranță, apoi ștergeți unitatea cât mai bine posibil. Aceasta ar putea fi o soluție viabilă, deși, personal, aș dori probabil să o combin și cu ștergerea securizată ATA, pentru o securitate cât mai bună.

Consultați și următoarele întrebări de pe acest site:

  • Este suficient să ștergeți o singură dată o unitate flash?

  • Securitatea SSD (memorie flash) atunci când datele sunt criptate pe loc

  • Cum pot fi șterse fișierele într-un mod care să respecte normele HIPAA?

  • A încercat cineva să extragă cheia de criptare de pe un SSD?

Comentarii

  • Am făcut o „ștergere securizată” scriind date aleatorii în mod secvențial pe întreaga unitate, de două ori. Dacă unitatea își reciclează fondul de blocuri de rezervă pentru a minimiza uzura, acest lucru POATE funcționa prin faptul că a scris fiecare bloc fizic cel puțin o dată. Dar chiar nu am nicio idee dacă fiecare bloc ar fi folosit cu adevărat într-o trecere sau alta. Poate trei treceri? –  > Por Skaperen.
  • Bună @Skaperen: Unitățile SSD sunt foarte complexe. Mă îndoiesc că cineva va putea să vă răspundă la întrebarea dvs. în mod autoritar, din primele principii. În schimb, cred că singura modalitate de a ști este să faci experimente și să te uiți la datele rezultate. Pentru câteva date despre cât de bine funcționează suprascrierea de două ori, consultați răspunsul meu de mai sus, partea care începe cu „The FAST paper found that, in most cases, performing a full overwrite of all of the data on the SSD twice was…”. Pentru date despre o altă modalitate de a șterge un SSD, consultați paragraful care începe cu „Cea mai fiabilă modalitate de a șterge în siguranță un întreg SSD este…”. Asta e tot ce știu. –  > Por D.W..
  • Degaussing nu a mai funcționat pentru unitățile cu platane de siliciu din anii ’90, FYI. Acestea sunt prea dense și nu mai sunt suficient de magnetice. Totuși, un ciocan funcționează întotdeauna. –  > Por SilverbackNet.
  • Trebuie doar să suprascrieți o singură dată întreaga unitate cu date aleatorii, deoarece nu există praguri pentru cipurile flash. Datele originale vor dispărea. –  > Por rustyx.
  • Nu am văzut nicio mențiune despre comanda TRIM. SSD-urile nu pot scrie într-o locație scrisă anterior fără a o șterge mai întâi. Ceea ce înseamnă, de asemenea, că algoritmul de nivelare a uzurii al unui SSD va scrie date noi pe o zonă din ce în ce mai mică a memoriei flash, uzând unitatea mai repede, cu excepția cazului în care un proces de fundal execută în mod regulat TRIM pentru a șterge memoria flash eliberată sau dacă memoria este ștearsă imediat înainte de o scriere. Aceasta din urmă are implicații serioase asupra performanței. –  > Por Craig.
O’Niel

Aș dori să fac referire la acest video.Acesta explică modul în care datele pot fi recuperate de pe HDD-uri folosind praguri. Ceea ce include faptul că nivelul de semnal dat returnat de un HDD nu se bazează doar pe conținutul actual, ci și pe ceea ce a fost anterior acolo. Modificând „acuratețea” detectării semnalului, puteți găsi ceea ce a existat anterior. Totuși, aceasta este, desigur, doar o teorie, în practică acest lucru nu se face aproape niciodată. Vezi celălalt mesaj.

De asemenea, se explică de ce ștergerea datelor de pe flash-drive/SSD nu este atât de sigură pe cât ați putea crede. Pentru că atunci când ștergeți date de pe un SSD, microcontrolerul din acel SSD nu șterge/scrie instantaneu acele blocuri care conțin acele date, ci le pune pe o listă de „ștergere în viitor”.

De asemenea, pentru a prelungi durata de viață a SSD-urilor, acestea folosesc sistemul de nivelare a uzurii. Ceea ce înseamnă că, atunci când se suprascrie un anumit bloc, microcontrolerul reface blocurile și creează un nou bloc care indică vechiul bloc nemarcat. Rețineți că scrierea în tot spațiul liber va anula nivelarea la uzură, deoarece atunci microcontrolerul nu mai are blocuri de redistribuit.

Cu toate acestea, rețineți că, dacă doriți să vă asigurați că datele nu pot fi recuperate. Criptarea unității și renunțarea la cheie (ștergerea de pe unitate/nu stocarea nicăieri) va fi, de asemenea, un nivel suplimentar de securitate. Cu excepția cazului în care nu reușesc să vă spargă cheia, bineînțeles.

Alraat

Datele criptate nu pot fi decriptate decât dacă folosiți cheia hash sau parola, dar este o infracțiune să nu divulgați cheia atunci când o instanță vă ordonă să o dezvăluiți.

De asemenea, distrugerea în siguranță poate elimina conținutul, dar legăturile, termenii de căutare și fișierele temporare pot rămâne în altă parte, ceea ce poate indica acțiuni ilegale care vă pot face să fiți acuzat de poliție dacă aceasta are motive să vă cerceteze viața sau activitatea. Cel puțin, s-ar putea să vă pierdeți tot echipamentul digital în timp ce se efectuează testele criminalistice și s-ar putea să îl pierdeți definitiv dacă instanțele de judecată vă găsesc vinovat de ceva.

Dacă informațiile sunt cu adevărat atât de sensibile sau dacă sunteți paranoic, ar trebui să distrugeți fizic toate unitățile de discuri din mașină și să montați altele noi.Și fiți atenți la copiile de rezervă în cloud și la furnizorii de IP care înregistrează termenii de căutare…

lorenzog

Acesta nu este un răspuns direct la întrebarea dvs., dar dacă sunteți îngrijorat de recuperarea datelor, atunci criptați datele de la început ar putea fi o soluție.

Desigur, diavolul stă în detalii: trebuie să folosiți fie criptarea software a întregului disc, fie să vă bazați pe capacitățile de criptare ale SSD-ului. Și, în timp ce prima variantă vine cu un cost de performanță, cea de-a doua poate fi o responsabilitate din unele dintre motivele explicate în alte postări, cum ar fi implementarea eronată etc.

De asemenea, dacă preocuparea dvs. este de a proteja datele în repaus de un atacator motivat pe o perioadă lungă de timp (de exemplu, 10, 20 de ani), atunci criptarea ar putea să nu fie cea mai bună soluție pentru dvs.: atacurile împotriva criptării software ar putea să o facă ineficientă, iar șansele unui bug de implementare în firmware-ul unui SSD nu sunt zero.

Enigmă

Este posibil să recuperați date de pe cipuri SSD goale prin fluctuația foarte rapidă a tensiunii de alimentare în timp ce matricea este scanată – uneori acest lucru funcționează. De asemenea, am reușit să citesc carduri microSD complet moarte, dar cu tensiune de tragere, folosind o metodă proprie care implică raze X de joasă energie și cititoare modificate, obținând o rată de succes de aproximativ 25-30% în acest mod. Ipoteza mea de lucru este că acest lucru activează nivelarea uzurii rupte și permite citirea unor date de pe cipuri aproape moarte, de asemenea, împingerea moleculelor în jurul valorii de uneori funcționează temporar, deoarece firele de legătură sunt de aur și se încălzesc puțin sub fluența razelor X. Uneori, frigul extrem funcționează și el din același motiv, dacă se face cu atenție (adică mai puțin de 5c/minut).

Comentarii

  • Sunteți sigur că acest lucru funcționează pentru șterse date șterse, nu doar pentru SSD-uri sau microSD-uri care s-au stricat și care nu returnează citiri în condiții normale? Pare extrem de improbabil ca vreuna dintre acestea să funcționeze pentru o șterse dispozitiv flash. –  > Por forest.
  • Am testat-o pe o cartelă AData nefuncțională (distrusă, dar în rest în regulă din punct de vedere electric). De asemenea, am avut ceva succes în citirea înapoi a cardurilor uSD șterse cu Winhex, unele fragmente supraviețuind doar unui singur ciclu de umplere cu zero. Am aflat, de asemenea, că tehnica cu raze X ar fi putut funcționa deoarece scrie zgomot în matrice în mod aleatoriu, permițând biților marginali să citească înapoi datele originale dacă au fost setați la un complement (1 sau 0) doar o singură dată. De fiecare dată când suprascrieți, structura moleculară se modifică ușor în cazul cipurilor flash moderne, astfel încât corecția erorilor ține cont de acest lucru. –  > Por Enigmă.
  • Îmi pare rău, dar acest lucru sună prea mult ca o balivernă tehnică pentru a fi credibil („schimbarea moleculelor”?). Ați putea adăuga câteva surse pentru a explica de ce credeți că acest lucru ajută? –  > Por sleske.
abzcomputers

Dacă există un motiv legitim pentru a șterge datele și ștergerea datelor este legitimă Formatați în totalitate unitatea sau faceți o restaurare a sistemului de operare care va compacta toate datele esențiale într-un spațiu mai puțin fragmentat, astfel încât spațiul gol maxim să fie din nou disponibil, rulați un program de ștergere a unității, cum ar fi ccleaner și apoi formatați sau restaurați din nou sistemul de operare, apoi rescrieți pe ea videoclipuri lungi și de înaltă calitate, superfine, care utilizează maximul de pixeli, până când este complet plină, scoateți unitatea, apoi ștergeți o parte și suprascrieți din nou. Dacă folosiți un telefon, rulați o restaurare a sistemului de operare, utilizați un ștergător de unități precum ccleaner, apoi setați înregistrarea video la maximul de pixeli și superfine și mergeți să înregistrați lucruri aleatorii care nu pot fi eliminate pur și simplu din ecuația de reconstrucție ca un film până când spațiul de stocare este plin, nu ștergeți totul imediat, dar faceți spațiul de care aveți nevoie pentru copierea datelor. dacă este posibil, mutați o parte din noile videoclipuri aleatorii pe sd extern și înregistrați noi videoclipuri aleatorii.

Țineți cont de faptul că multe programe de ștergere a datelor folosesc blocuri mici, cum ar fi 1gb, pentru a suprascrie și pot lăsa spații, mai ales dacă utilizați dispozitivul în acest proces, înregistrarea video aleatorie de înaltă calitate a dispozitivului ar trebui să fie capabilă să scrie întregul spațiu de stocare gol într-un singur fișier și, de obicei, nu există un factor „x” cunoscut pentru a elimina din proces atunci când încercați o restaurare.

Comentarii

  • Sunt atât de multe lucruri greșite în acest răspuns încât nici nu pot începe. Tot ceea ce spuneți este fie incorect, fie inutil. De exemplu, formatarea nu nu șterge în siguranță o unitate, cu atât mai puțin un SSD. –  > Por pădure.
  • Acest răspuns nu este atât de deplasat pe cât pare. Windows are un cipher /w care mai mult sau mai puțin face exact acest lucru – umple spațiul liber al discului cu date. Dacă formatați rapid, reinstalați Windows și rulați această comandă, veți șterge efectiv HDD-ul. Problema este că acest lucru nu va funcționa pe un SSD – puteți scrie doar pe ceea ce este în prezent cartografiat de firmware (de obicei, 85%-95% din capacitatea reală a SSD-ului). Accesul fizic la cipuri sau punerea unității în modul fabrică ar putea, teoretic, să recupereze restul. –  > Por craig65535.