Data på gamle harddiske kan let havne i de forkerte hænder, hvis harddisken eller pc’en sælges videre. Derfor findes der værktøjer til grundig sletning af data på harddiske, men når harddisken er erstattet med en SSD, så giver det nye problemer.
I praksis er det nemlig svært at være helt sikker på, at data forsvinder fra en SSD, når man sletter dem. Faktisk kan man være ganske sikker på, at data stadig ligger i hukommelseschipsene.
»Hvis man vil fjerne muligheden 100 procent for, at andre kan tilgå dataene på drevet, så er det eneste sikre at ødelægge hele drevet. Men det er jo ikke særlig miljøvenligt,« siger direktør Henrik Andersen fra data recovery-firmaet Ibas Kroll Ontrack til Version2.
En undersøgelse fra University of California, San Diego, konkluderede allerede i 2011, at det eneste sikre for flash-baserede lagermedier var destruktion ved eksempelvis at makulere og knuse hele drevet.
»Der er nogle virksomheder, der var meget hurtige til at bruge SSD’er, som de nu har liggende, fordi de ikke har en metode til sikker sletning. Vi har været ude flere steder, hvor de har 4.000 SSD’er liggende i kælderen,« fortæller Henrik Andersen.
Du skriver i blinde til en SSD
Problemet med SSD-drev er, at de er bygget helt anderledes op end de magnetiske harddisk, de erstatter i bærbare pc’er, servere og mobile enheder.
På en harddisk ligger data i små segmenter på de magnetiske plader, disken består af. Når man læser og skriver til en harddisk, får diskens skrivehoved besked på at flytte sig til det område på pladen, hvor det segment ligger, man skal have fat i.
Det er muligt at styre ganske præcist, hvilke sektorer data bliver lagt i, og derfor kan man også overskrive dem med nye data for at slette alle spor af, hvad der var skrevet i sektoren tidligere.
En SSD består af hukommelseschips, som er inddelt i blokke, der består af pages, som igen indeholder et antal celler. Men hver af de mikroskopiske celler, som lagrer de enkelte bit ved at holde på en elektrisk spænding, kan kun holde til at blive tændt og slukket et vist antal gange.
Derfor har selve computeren og styresystemet ikke mulighed for at bestemme præcis, hvilke celler der bliver brugt til at gemme en bit i modsætning til på harddisken.
I stedet fungerer SSD’ens controller-chip og firmware som mellemmand, der sørger for at sprede skrivningerne ud over chipsenes mange celler, så enkelte celler ikke bliver slidt op hurtigere end andre.
»I harddisken har du adgang til at overskrive specifikke fysiske blokke. I en SSD sidder der en controller foran, så du har ikke fysisk kontrol over, hvor der bliver skrevet,« forklarer direktør Ulf Munkedal fra sikkerhedsfirmaet Fort Consult til Version2.
I praksis betyder det, at hvis du ændrer i eksempelvis et tekstdokument, så kan der, hver gang du gemmer dokumentet, blive gemt en kopi af dokumentet i friske celler på SSD’en i stedet for at overskrive den originale kopi.
Gamle data kan gemme sig i krogene
SSD’ens indbyggede software vil forsøge at rydde op automatisk, så celler der indeholder data, som ikke længere skal bruges, bliver nulstillet og kan bruges igen. Men det er umuligt at vide, om en bestemt blok med celler, der har været brugt, stadig indeholder data.
Selvom man overskriver hele SSD’ens kapacitet med nye data, så kan der nemlig stadig være blokke med gamle data. Det skyldes, at de fleste SSD’er holder et antal blokke i reserve, som ikke fremgår af drevets officielle kapacitet. Reservepuljen bliver imidlertid skiftet ud løbende, så en blok, der tidligere har været benyttet til aktive data, kan blive en del af reserven, når dataene ikke længere er i brug.
Hvis drevets egen oprydningsmekanisme ikke har nulstillet sådan en blok, kan den indeholde gamle data, der kan gendannes.
»Reserveblokke kan ligge hvor som helst på en SSD og kan indeholde gamle brugerdata, hvis de ikke er blevet slettet af garbage collectoren,« siger Henrik Andersen.
SSD’en kan også markere en blok som defekt, også selvom det måske blot er en enkelt page i blokken, som ikke fungerer korrekt. Det betyder, at resten af blokken kan indeholde brugerdata, som er intakte.
Harddisk-sletning dur ikke
Når en harddisk skal genbruges, for eksempel hvis en pc skal sælges videre, findes der værktøjer, som kan overskrive hele disken med tilfældige data, så det er umuligt at gendanne de oprindelige data. Det kan lade sig gøre, fordi styresystemet har fuld kontrol over, hvor der bliver skrevet til den fysiske disk.
Bruger man de samme værktøjer på en SSD, kan man imidlertid ikke vide sig sikker på, at der ikke ligger gamle data gemt i reserveblokke eller defekte blokke.
»Harddisk-sletningssoftware overskriver kun aktive data, så reserveblokke og defekte blokke bliver ikke overskrevet. Men hvis du laver flere overskrivninger kan du måske tvinge SSD’en til at overskrive reserveblokkene, men du har ingen garanti for det,« siger Henrik Andersen.
En ældre standard for sikker bortskaffelse af harddiske fra amerikanske NIST anbefaler syv overskrivninger af en almindelig harddisk. Det skyldes, at på harddiske før cirka år 2000 kunne en enkelt bit ligge i et område, der var så stort, at det teoretisk var muligt at måle på magnetfeltet og beregne sandsynligheden for, om den var blevet overskrevet eller var uændret. Det er dog en metode, der aldrig er blevet demonstreret i praksis til at gendanne brugbare data.
Læs også: Recovery-ekspert punkterer harddiskmyte
Flere overskrivninger giver imidlertid mening på en SSD, fordi det netop kan bruges til at bringe reserveblokkene i brug, så man er sikker på, at den skjulte ekstra kapacitet på SSD’en også bliver overskrevet.
»Vores egen software laver fem overskrivninger, og så har vi ikke selv været i stand til at rekonstruere data,« siger Henrik Andersen.
Forskellig indmad i SSD’er
Mens der kun findes en håndfuld harddiskproducenter, så har mere end 100 forskellige firmaer fremstillet flashbaserede lagermedier, som ganske vist er baseret på chips og controllere fra nogle få producenter, men kombineret på forskellige måder og med forskellig firmware.
Det gør det vanskeligt at bruge den funktion til sikker sletning, som ellers burde være en standard, Secure Erase, der dog primært er implementeret for at forbedre ydelsen over tid i mange SSD-drev og ikke som en pålidelig metode til sikker sletning af alle data.
Netop fordi man ikke kan være sikker på, at Secure Erase faktisk sletter alle data, anbefaler sikkerhedseksperter, at man først overskriver SSD’en flere gange med tilfældige data, før man sletter dem med Secure Erase.
»Secure Erase skulle overskrive alt, undtagen systemblokkene på drevet, men producenterne implementerer kommandoen forskelligt, så du har ingen garanti. På de nye modeller er det som regel implementeret korrekt, men det er det ikke, hvis vi går bare én generation tilbage,« siger Henrik Andersen.
I undersøgelsen fra University of California fra 2011 var det blot fire ud af ni SSD-drev, hvor Secure Erase-kommandoen beviseligt fungerede efter hensigten. Derfor bør man især være opmærksom, hvis man har SSD’er fra de første generationer, der skal bortskaffes forsvarligt.
Kryptering virker – nogenlunde
Mange SSD’er har indbygget kryptering af data, så de ligger krypteret i hukommelseschipsene. Det er dog ikke mere sikkert, end at man kan sætte SSD’en i en ny pc og se dataene helt normalt, medmindre brugeren selv definerer et godt kodeord.
Det kan imidlertid være vanskeligt at gendanne data fra en beskadiget SSD’en, hvis den er krypteret på hardwareniveau, fordi hardwareproducentens nøgle kan blive beskadiget.
Derfor lyder anbefalingen fra flere sikkerhedsfirmaer, at man bruger softwarebaseret kryptering på sine drev, fordi man på den måde selv har mere kontrol over krypteringen.
»En hurtig måde at sikre en SSD på vil være at lave en fuld diskkryptering. Det betyder ikke så meget for ydelsen, som det gør på en konventionel harddisk. Hvis man bruger et bare nogenlunde godt kodeord, så vil det være utrolig svært at få fat i data,« siger chefsikkerhedskonsulent Peter Schjøtt fra sikkerhedsfirmaet Symantec til Version2.
Når data ligger krypteret, så vil man blot kunne formatere drevet, hvorefter det skulle være sikkert at overdrage det til andre. I hvert fald hvis det sker inden for virksomheden eller familien.
Hvis man er i en branche med strenge krav til destruktion af fortrolige data, så kan selv kryptering imidlertid give problemer på en SSD. Der findes nemlig brancher, hvor man skal dokumentere, at data er destrueret.
Her er det altså ikke nok, at dataene blot er ulæselige på grund af kryptering, eller at de sandsynligvis er slettet af SSD’ens firmware.
»Det er et problem, og den eneste måde, du kan være rigtig sikker, er fysisk destruktion af drevet,« siger Ulf Munkedal.
For de fleste almindelige brugere vil kryptering og flere overskrivninger med slette værktøjer dog være tilstrækkeligt, fordi det i praksis er usandsynligt, at brugbare data kan genskabes. Det er blot umuligt at bevise, at ingen kan læse de oprindelige data.
Leave a Reply