Sigurno uklanjanje datoteka

Prilikom brisanja datoteke iz datotečnog sustava računala, operacijski sustav željenu datoteku ne uklanja u potpunosti, nego samo uklanja vezu (pokazivač) na tu datoteku. Dakle, podaci o odabranoj datoteci i dalje ostaju zapisani na disku računala. Iako nije moguće klasično doći do „obrisane“ datoteke preko alata za pristup datotekama operacijskog sustava, koristeći razne besplatne i komercijalne alate, moguće je rekonstruirati datoteke koje su naizgled uklonjene iz datotečnog sustava računala. U ovom dokumentu bit će opisane metode uništavanja podataka s tvrdog diska računala te neki od alata i standarda koji se koriste u te svrhe.

Keywords: sigurno uklanjanje datoteka; brisanje datoteka; CCleaner; KillDisk; ShredIt X; formatiranje diska;

Osnovne naredbe za brisanje datoteka iz datotečnog sustava računala uklanjaju samo izravne pokazivače na sektore podatkovnih diskova te ostavljaju iza sebe podatke koje je vrlo lako moguće povratiti. Sigurno uklanjanje datoteka nadilazi ove osnovne naredbe te korisniku omogućuje trajno i nepovratno uklanjanje datoteka iz datotečnog sustava računala, a može biti riješeno sklopovski ili programski. Programskim rješenjem prepisuju se sektori medija za pohranu određenim uzorkom bitova. Za izvođenje ovih radnji postoje razni komercijalni i besplatni alati čije metode rada se mogu razlikovati, ali daju jednak rezultat – disk s kojeg su željene datoteke trajno i sigurno uklonjene. Sklopovskim rješenjem najčešće se uništava medij za pohranu (npr. magnetskim zračenjem magnetskih diskova).

Prilikom brisanja datoteke s računala, datoteka se prvo premjesti u koš za smeće, što znači da je samo premještena u drugi direktorij. Pražnjenjem koša za smeće datoteka se briše s računala. No, čak i tada velik dio informacija ostaje na tvrdom disku, a koliko točno - ovisi o operacijskom sustavu računala te datotečnom sustavu koji se koristi.

Kad računalo izbriše datoteku ili se koš za smeće isprazni, uklanja se zaglavlje datoteke i referenca na datoteku na tvrdom disku. Nakon toga računalo više ne može vidjeti datoteku. Prostor koji je datoteka zauzela više nije rezerviran za tu datoteku i na tom se mjestu može pohraniti bilo koja nova. Dakle, računalo više ne može pročitati tu datoteku, no datoteka ostaje na tvrdom disku sve dok se druga datoteka ili dio druge datoteke ne spremi na isto mjesto.

Budući da je datoteka tehnički tamo, može se povratiti pomoću alata za oporavak podataka za ponovnu izgradnju zaglavlja datoteke, što omogućuje računalu da je ponovo vidi. Takav softver radi samo ako na mjestu izbrisane datoteke nije spremljena nijedna druga datoteka. Dakle, izvorni, obrisani, podaci mogu ostati netaknuti tjednima ili mjesecima, ovisno o pojedinostima sustava.

U prethodnom poglavlju objašnjeno je kako jednostavno brisanje datoteka s računala nije dovoljno za potpuno uklanjanje istih s tvrdog diska.

Postoje tri učinkovite metode trajnog brisanja podataka s tvrdog diska:

• Demagnetizacija tvrdog diska (eng. degaussing)
• Fizičko uništavanje tvrdog diska
• Sigurno uklanjanje datoteka s tvrdog diska (eng. data wiping, data erasure, data destruction)

Postupkom demagnetizacije posebnim uređajem (eng. degausser) stvara se jako magnetsko polje te se trajno uništava magnetski zapis s tvrdog diska. Izvršavanjem demagnetizacije na samom uređaju ne vide se nikakve promjene, no on je uništen i nije ispravan za daljnje korištenje. Uređaji za demagnetizaciju skupi su i u praksi se može dogoditi da uređaj nije dovoljno jak i pouzdan za uništavanje podataka s tvrdog diska.

Fizičko uništavanje jedini je u potpunosti siguran način trajnog uklanjanja podataka s tvrdog diska. Postoje razni načini uništavanja: mljevenje, usitnjavanje, spaljivanje, topljenje… Dovoljna je bilo koja metoda koja uništava ploču tvrdog diska.

Obje gore navedene metode čine uređaj neispravnim za daljnju uporabu pa se koriste u slučajevima kada se žele ukloniti osjetljivi podaci bez potrebe za daljnim korištenjem tvrdog diska.

Za razliku ranije opisanih metoda, metoda sigurnog uklanjanja podataka nakon sebe ostavlja funkcionalan disk spreman za daljnu uporabu. No, ovom metodom ne može se sa stopostotnom sigurnošću tvrditi kako su svi podaci s tvrdog diska zauvijek uništeni.

U nastavku poglavlja navedene su neke od mnogobrojnih poznatih standarda sigurnog uklanjanja podataka.

Metoda se sastoji od samo jednog prolaska u kojem se preko postojeće informacije koju želimo ukloniti s tvrdog diska prepisuju nule. Kod originalne verzije Write Zero metode ne provodi se verifikacija uspješnosti. U novijim Windows operacijskim sustavima (10, 8, 7, Vista), prilikom formatiranja diska prema zadanim postavkama koristi se metoda Write Zero. Naredba se može koristiti u naredbenom retku, bez potrebe za preuzimanjem bilo kakvog dodatnog alata, no ova metoda dostupna je i u većini alata za sigurno uklanjanje podataka s tvrdog diska [2].

Metoda inicijalno definirana od strane američkog Nacionalnog programa industrijske sigurnosti. Osnovna verzija metode (E) izvodi se u 3 prolaska:

• 1. prolazak: Svaki sektor medija za pohranu prepisuje se nulama te verificira uspješnost,
• 2. prolazak: Svaki sektor medija za pohranu prepisuje se jedinicama te verificira uspješnost,
• 3. prolazak: Svaki sektor medija za pohranu prepisuje se pseudoslučajnim nizom bitova te verificira uspješnost.

Proširena varijanta metode DoD 5220.22-M (E), DoD 5220.22-M (ECE), izvodi se u 7 prolazaka:

• 1.-3. prolazak: DoD 5220.22-M (E) metoda
• 4. prolazak: Svaki sektor medija za pohranu prepisuje se pseudoslučajnim bitom
• 5.-7. prolazak: DoD 5220.22-M (E) metoda

Ministarstvo obrane SAD-a više ne prihvaća DoD 5220.22-M metode s 3 i 7 prolazaka kao metode trajnog brisanja podataka s medija za pohranu koji sadrže podatke s vojnom klasifikacijom “tajna” i “strogo čuvana tajna”, no u brojnim javnim institucijama i tvrtkama s nižim razinama klasifikacije tajnosti ove metode i dalje su najčešće korištene [2].

Korišten od strane britanske vlade i vrlo sličan prethodno navedenom DoD 5220.22-M standardu. Standard definira dvije razine rada:

• Osnovno prepisivanje podataka uključuje dva prolaza: prepisujući svaki sektor tvrdog diska nulama u prvom prolazu, pseudoslučajnim nizom bitova u drugom prolazu te zatim verifikacijom uspješnosti.
• Poboljšano prepisivanje uključuje tri prolaza: svaki se sektor prepisuje prvo jedinicama, potom nulama, a zatim pseudoslučajnim nizom bitova te verifikacijom uspješnosti [2].

Metoda razvijena 1996. godine od strane Petera Guttmana. Ova metoda izvodi se u 35 prolazaka od kojih se u prva i zadnja 4 prolaska koriste pseudoslučajni bitovi za prepisivanje postojećih, a u ostalim prolascima (5.-31.) koristi se složeni obrazac prepisivanja [2]. Svaki tvrdi disk koristi samo jednu od metoda kodiranja, a kod Guttmanove metode pretpostavljalo se da nije poznato koja vrsta diska se koristi. Iz tog razloga ova metoda sastoji se od 35 prijepisa - u mnogobrojnim prijepisima sadržani su scenariji korištenja raznih zastarjelih tipova kodiranja diska (sve do inačica iz 1996. kada je metoda razvijena). Dakle, obavljanje svih 35 prijepisa imat će isti efekt kao da je obavljeno i samo nekoliko njih, a oduzet će mnogo više vremena [5].

Većina alata za uništavanje podataka iz memorije računala podržava više standarda za sigurno uklanjanje tako da je moguće odabrati željeni. Prilikom odabira treba uzeti u obzir trajanje izvršavanja metode. Sagledavajući vremensko trajanje brisanja memorije, za sigurno uklanjanje velike količine memorije Write Zero metodi, koja se sastoji od samo jednog prolaska, trebat će puno manje vremena od DoD 5220.22-M metode s 3, odnosno 7 prolazaka, koja će opet biti puno brža od Gutmann metode s 35 prolazaka. Kod metoda koje imaju jednak broj prolazaka, brzinu izvršavanja definiraju i provjere ispravnosti prepisivanja podataka nakon prolazaka. Na primjer, kod DoD 5220.22-M metode kod koje se na kraju svakog prolaska provjerava ispravnost prepisivanja podataka, cijeli će postupak trajati dulje nego korištenje HMG Infosec Standard 5 metode koja čeka do samog kraja posljednjeg prolaska da provjeri jesu li podaci prepisani. Nekim alatima moguće je sigurno obrisati slobodni prostor diska, dok neki nude i sigurno uklanjanje pojedinačnih datoteka i direktorija.

U ovom poglavlju opisani su neki od mnogobrojnih besplatnih alata za sigurno uklanjanje datoteka iz memorije računala.

CCleaner je alat za Windows, macOS i Android operacijske sustave koji nudi sigurno brisanje slobodnog prostora na disku kako bi se spriječilo obnavljanje obrisanih datoteka pomoću aplikacija za oporavak diska. Nudi prepisivanje slobodnog prostora na disku pomoću 3 metode:

• Zero Out
• 7-pass erase
• 35-pass erase

KillDisk je alat za Windows, Linux i macOS operacijske sustave koji nudi sigurno brisanje neiskorištenog prostora na disku ili brisanje cijelog diska. Budući da se KillDisk može pokretati s diska ili USB-a, može se koristiti i za brisanje tvrdog diska na kojem je instaliran operacijski sustav računala.

KillDisk ima opciju odabira postotka verifikacija sigurnog uklanjanja podataka s diska.

Podržava 23 različite metode sigurnog uklanjanja podataka te User defined opciju u kojoj korisnik sam odabire opcije sigurnog uklanjanja, no samo One Pass Zeros metoda je dostupna za korištenje u besplatnoj verziji alata.

ShredIt X je alat za Windows, macOS i iOS operacijske sustave koji nudi sigurno brisanje pojedinačnih datoteka i direktorija ili pak cijelog slobodnog prostora diska.

Podržava više metoda sigurnog uklanjanja podataka te samostalan odabir broja prolazaka (Number of Writes) i bitove kojima će podaci biti prepisani - nule, jedinice ili pseudoslučajni niz bitova (Write Pattern).

Također, moguće je postaviti raspored sigurnog brisanja slobodnog prostora na disku.

Verifikacija zapisa označava provjeru medija za pohranu kako bi se osiguralo da je željeni sadržaj zaista uklonjen i zamijenjen nulama, jedinicama ili pseudoslučajnim nizom bitova, ovisno o odabranoj metodi sigurnog uklanjanja podataka.

Neki softverski alati za sigurno uklanjanje podataka omogućuju ručnu promjenu broja verifikacija, neki zadržavaju broj provjera inicijalno određenih odabranom metodom sigurnog uklanjanja, dok neki ne nude opciju verifikacije.

Većina alata ipak nudi postupak verifikacije nakon prepisivanja podataka, no iako alat javlja da je verifikacijom utvrđena ispravnost prepisivanja, postoji mogućnost da je dio diska preskočen u postupku. Prednost komercijalnih alata nad besplatnim je veća pouzdanost učinkovitosti takvih alata.

Provjera uspješnosti prepisivanja tvrdog diska može se obaviti i izvan samog alata za sigurno uklanjanje podataka. U tu svrhu koriste se heksadecimalni uređivači koji pružaju direktan uvid u stanje memorijskih lokacija na disku. Na primjer, ako je alat za sigurno uklanjanje podataka na disku koristio Write Zero metodu brisanja, heksadecimalni uređivač pokazuje jesu li sve memorijske lokacije zaista prepisane nulama [1].

Budući da postoji mnogo metoda sigurnog uklanjanja podataka s medija za pohranu s različitim brojem prijepisa koji se u tim metodama koriste za prepisivanje podataka jedinicama, nulama i pseudoslučajnim nizovima znakova, postavlja se pitanje koja metoda te koliki broj prolazaka su dovoljno sigurni.

Na tradicionalnom tvrdom disku podaci se pohranjuju magnetski što je dovelo do teorija da će čak i nakon prepisivanja određenog sektora biti moguće ispitati magnetsko polje magnetskim mikroskopom te utvrditi njegovo prethodno stanje. Mišljenje da veći broj prolazaka osigurava manju vjerojatnost oporavka uklonjenih podataka proizlazi iz shvaćanja da magnetski disk pamti sve što je ikad zapisano na njemu, ali da doprinos svakog “sloja” postaje sve manji što se više slojeva dodaje [4]. Tvrdi diskovi iz godine u godinu postaju sve veći, odnosno gušći - sve više podataka spremljeno je na sve manjim i manjim područjima, što teoretski oporavak podataka čini u osnovi nemogućim. Do danas nije zabilježen slučaj korištenja magnetskog mikroskopa za oporavak prepisanih podataka. Napad ostaje teoretski i ograničen na starije verzije tvrdih diskova.

Američki Nacionalni institut za standarde i tehnologiju (eng. National Institute of Standards and Technology, NIST) u svojim smjernicama za sigurno čišćenje medija za pohranu iz 2014. godine [6] navodi da za uređaje za pohranu koji sadrže magnetske medije metoda prijepisa sa samo jedinm prolazom nekim fiksnim uzorkom (kao što su binarne nule) obično ometa oporavak podataka čak i ako se za pokušaj primjenjuju najsuvremenije laboratorijske tehnike za preuzimanje podataka. No, također su skrenuli pozornost kako treba riješiti i skrivena područja pogona [5].

Dakle, sigurno uklanjanje podataka s tvrdog diska metodama s više prolazaka bilo je efikasnije na starijim tvrdim diskovima, dok su na današnjim verzijama dovoljne i metode s jednim prolaskom.

Napadači koji pokušavaju oporaviti podatke s medija za pohranu na kojima se nalaze strogo čuvane tajne uložit će i više vremena i više novca u pokušaje oporavka željenih podataka, pa organizacije koje na svojim medijima za pohranu spremaju takve tajne koriste posebne metode prepisivanja podataka koje bi, prema njihovom istraživanju, trebale spriječiti rad ovih naprednih metoda oporavka. No, i dalje je najsigurnija metoda potpunog uklanjanja podataka fizičko uništenje tvrdog diska na kojem se ti podaci nalaze.

Premještanjem datoteka na računalu u koš za smeće ne znači trajno uklanjanje odabranih datoteka s računala. Ukoliko se podaci žele trajno ukloniti s tvrdog diska, potrebno ih je ukloniti na siguran način. Sigurno uklanjanje podataka s tvrdog diska računala može se izvesti sklopovski, demagnetizacijom ili fizičkim uništavanjem tvrdog diska, pri čemu se tvrdi disk uništava i više nije uporabljiv, ili programski, sigurnim uklanjanjem podataka jednim od brojnih standarda i alata koji postoje. Standardi se razlikuju po bitovima kojima prepisuju postojeće podatke te brojem ponavljanja prepisivanja diska. Iako postoje metode sa do 35 ponavljanja, za sigurno uklanjanje podataka s tvrdog diska dovoljan je i jedan prolazak.

[1] Sigurno uklanjanje datoteka. Centar informacijske sigurnosti, 2011.

[2] Fisher, T. Data sanitization methods. Lifewire, 2020.

[3] Pale, P. and Ruklić, L. Forenzika datotečnih sustava. Fakultet elektrotehnike i računarstva, 2018.

[4] Wright, C., Kleiman, D. and Sundhar R.S., S. Overwriting Hard Drive Data: The Great Wiping Controversy, 2008.

[5] Hoffman, C. You Only Need to Wipe a Disk Once to Securely Erase It, 2016.

[6] Kisser, R., Regenscheid, A., Scholl, M. and Stine, K. Guidelines for Media Sanitization, 2014.