Окончательно удалить уже удаленное
Запустил утилиту file-recovery и обнаружил множество имен удаленных когда-то файлов. Как затереть эту информацию в записях директорий, чтобы окончательно лишиться всяких записей об этих файлах? Дефрагментация не помогла, это точно. Среди имен есть и те, что были удалены до нескольких последних дефрагментаций. Затирание свободного места утилитой Eraser тоже не помогает.
Никогда не дефрагментируйте диск до очистки свободного пространства, иначе от второго действия будет очень мало проку.
У Вас проблема, по-моему, с сохранившимися именами файлов в журнале файловой системы (NTFS, наверное, да?). Проверьте, если само содержимое файлов восстановить не удастся, то всё именно так. Eraser не может очищать журнал ФС при очистке свободного пространства (он уничтожает имя файла в журнале только непосредственно при стирании файла). Такую функцию имеет PGP Freespace Wipe. Насчёт BSwipe (от создателей BestCrypt) ничего сказать по этому поводу не могу, слишком давно им пользовался.
Извинияюсь, что не сказал сразу – речь о файловой системе FAT.
Судя по описания на сайте BCWipe умеет, то что мне надо (Wipe Empty Directory Entries). Спасибо. К сожалению, программа не freeware, кк хотелось бы.
Молток, кислоту, взрывчатку!
И ещё: даже если дефрагментировали сразу, прийдётся запускать софт, который директивно перезапишет весь диск чем-то новым типа мусора, и лучше – раза бы так 3.
spinore, ваше словоблудие не имеет никакого отношения рассматриваемой задаче. Что сказать хотели?
Это честно говоря стало для меня открытием. Очень неприятным. Был уверен, что Eraser намного функциональнее аналогов в этом отношении. А PGP Freespace Wipe наоборот не внушал доверие после обнаруженной в 8.x версии ошибки (если не ошибаюсь, слэк не чистил).
Был бы очень благодарен, если бы прозвучало название 2-3 самых "правильных" дата-шреддеров (из них хотя бы один бесплатный). Это все-таки такие "основы" которые на этом форуме должны быть обязательно.
Кстати кто юзает Eraser в версиях 5.8 и 5.8.1 не пытайтесь вайпить диск по методу Only fist and last 2Kb – убивает раздел. Обновитесь до версии 5.82 – там исправлено.
Исследования показали что:
Eraser затирает directory entries, но только на FAT16 (и видимо на FAT12)
BCWipe затирает и на FAT32, путем создания большого количества файлов со случайными именами и последующим их удаленнием. В принципе, можно написать самому скрипт для этих целей.
Eraser и BCWipe. Ничего лучше Вы не найдёте.
К слову, более органичное решение — просто держать все ценные файлы в криптоконтейнере. Если и понадобится когда-нибудь от них безопасно избавиться — просто удалите контейнер и уничтожьте ключ.
Ну тогда придется в NTFS для переодической чистки свободного пространства – PGP Freespace Wipe, для удаления конкретных файлов как по расписанию, так и из контексного меню Explorer'а – Eraser.
А для полной чистки флешек (FAT32) по необходимости – BCWipe или тот же PGP Freespace Wipe.
Будет время – буду тестить все остальное: East-Tec Eraser, Shredder, InternetSpurenVernicter, Stellar Wipe, Data Eraser, SDelete, NecroFile, Shred File, OverWrite, Active@ ERASER, 12Ghosts Shredder, ArchiCrypt Shedder, XL Delete, Sure Delete, SecureClean, File Shredder, AEVITA Wipe and Delete, Mutilate File Wiper, O&O SafeErase, CHAOS Shredder, Deletor, Drive Washer, Digital File Shredder Pro, Data Shredder Gold, CBL Data Shredder, BPS Data Shredder (его пару лет назад юзал – игрушка для детей, не более), Wipe Secure File Deletion, DataVernichter, Shredder & File Shredder – но это так для успокаения души, сомневаюсь, что хоть одна из этих прог представляет из себя что-то стоящее.
К шифрованию вместо удаления сам склоняюсь. Только не всегда реально всю приватную инфу держать исключительно в криптоконтейнере, возможны утечки за пределы его. Да и например логи некоторых системных программ, регистр (это проблема и случае просто удаления без шифрования), понятно что логи почти всегда можно отключить, и т.д. Шифровать полностью – DCPP – все отлично, но тормозит ужастно, да и смотря где использовать, иногда покупать приходится – дорого. TrueCrypt+TCTEMP+VMware – тем более тормоза, ужас. Ждем TrueCrypt Plus Pack :)
Это вряд ли. Сами разработчики в FAQ отмечали, что функцию шифрования раздела, не преводящего к уничтожению содержимого (что необходимо, если требуется зашифровать раздел с ОС), они реализовывать не намерены по соображениям безопасности (спорное утверждение, правда).
Может на базе какого-то иного свободного софта (FreeOTFE, скажем) нечто подобное сделают.
А можно поподробнее, в чем опастность может заключатся?
Если я не ошибаюсь, этот баг был удален в версии 9.0.2 или 9.0.3. Во всяком случае в последней версии этой ошибки нет.
http://www.sdean12.org/Comparison_Shredders.htm
Обзор шредеров, правда стрый очень – 2001 год
Так в чем опастность может быть? Я до этого думал, что все проблемы только в том, откуда брать "хорошие" данные для ГСЧ до загрузки ОС...
Я же указал источник информации — официальный FAQ. Если вкратце, это может способствовать криптоанализу (хотя лично для меня больше напоминает отговорку).
Да у них там в FAQ ровно одна общая фраза на эту тему, которая переводится ровно так как SATtva и сказал.
Можно только поставить себя на их место и предполагать, что они подразумевали.
Я представляю себе процесс шифрования так – все процессы, которые связаны с данным разделом останавливаются, раздел полностью размонтируется, затем каждый сектор считывается в память, шифруется и записывается обратно. Здесь уже видны по крайней мере три проблемы:
1. Хорошо бы раздел сначала заполнить случайными данными, только затем создавать на нём шифрованную файловую систему. Тогда бы на неполностью заполненном разделе часть блоков была бы случайными. Это необязательное условие, но даёт дополнительный выигрыш в защите, при условии, что системы дискового шифрования неидеальны. Выполнить это условие невозможно не уничтожив данные на разделе.
2. Как размонтировать корневой раздел если на нём работает операционная системы? Это можно было бы сделать с помощью загрузочного диска. Но проблемы с загрузочными дисками под Win я только что обсуждал в другой теме[link1].
3. Если всё-таки удалось обойтись без загрузочных дисков и перешифровывать блоки на лету, то не будет ли происходить нежелательной утечки информации в ходе этого процесса?
Сами по себе все эти проблемы некритичны и могут быть решены. Точно не помню как это всё решено в PGP WD (кажется там используется схема загрузки на основе Linux), но это всё сложно реализовать так, чтобы не получилось громоздкое решение и на уровне компромиссов между функциональностью и безопасностью.
По первому пункту, я думаю это как-раз обязательно, ведь данные (а среди них могет находиться и ценная информация), поверх которых пишется криптораздел, находятся в незашиврованном состоянии, и после одкократной перезаписи (поверх них пишется криптораздел) не так уж сложно восстановить.
Интересно реализовано ли это в PGP WD и DCPP?
Вот обсуждение в Википедии[link2], почему Truecrypt скорее всего не может зашифровать весь диск. Это связано с особенностями режима шифрования LRW, при котором существует проблема того, что tweak key будет сам зашифрован. Этого можно избежать, перенося его в своп-файл (что небезопасно и невозможно при полном шифровании работающей ОС) или выделяя случайные ключи по параметру Хэмминга, но при этом также существует небольшой шанс зашифровать ключ. В общем режим шифрования LRW для полного шифрования всей системы неподходит в принципе. Как выкрутились в PGP WD, я точно не знаю, но скорее всего вынесли весь загрузчик с функциями шифрования за пределы ОС.
Так и есть. Он исполняется ещё до запуска ОС и в дальнейшем полностью работает из оперативной памяти.
Подскажите, где это могут сделать, и сколько это будет стоить?
Почему-то мне кажется, что восстановить легко только в теории, а на практике не получиться нихрена.
В спецлаборатории ФСБ или других спецслужб мира. Да, были отчётные статьи в инете по этому поводу. Иногда, при определённых обстоятельствах, может удасться восстановить не только предыдущее, бывшее записанным, но и то, что было записано ещё ранее из-за того, что магнитные головки и прочая там сильно следят на диске (оставляют следы). В общем, не буду сочинять, но соответствующие статьи о том как это делаются имеются и описания демонстрационных экспериментов, вроде бы, тоже. Классический шредер трёт и перезаписывает инфу 35 раз. Слабые шредеры, не критичные, – 3 раза.
По утверждению Питера Гутмана, автора этой и других методик уничтожения информации с магнитных дисков и чипов памяти, даже это может не помочь...
В качестве альтернативы для перезаписи информацию с целью её безопасного удаления часто используют другой трюк: хранят все данные в зашифрованном виде (скажем, в криптоконтейнере), а при необходимости избавиться от них — уничтожают ключевой материал или "забывают" пароль. Уничтожить небольшой по объёму ключ (он может размещаться и на дешёвом отторгаемом носителе типа флоппи-диска или CD, или даже перфокарты) значительно проще любым физическим способом: от измельчения и сжигания до утопления в серной кислоте.
Знаю я про лаборатории ФСБ, знакомый там работает, и говорит что не восстанавливают там ничего сложнее обычного форматирования. Нет такого оборудования у нас попросту.
Имхо если сильно надо человека посадить, то можно поступить проще – записать то что нужно самому, и пускай потом докажет что не верблюд.
Странно, почему все так верят в всемогущество спецслужб? Поймите, они такие же люди как и мы, и у них нет ничего такого, чего не смогли бы получить мы за деньги.
Сотрудники одной лаборатории могут не знать о существовании другой, которая занимается более серьезными поручениями.
Вот именно. Для рутинных, рядовых дел несильно надо. А как в таких организациях принято решать вопросы, если его уже нет в живых, а информация или важна для спасения других людей или, что циничнее, но ближе к правде жизни, дороже жизней многих других людей?
Серьёзной компьютерной экспертизой (в числе прочих задач) занимается экспертный отдел Министерства юстиции, а не ФСБ. Представители ФСБ могут выступать экспертами только по части криптографии.
А протоколы осмотра с датами/подписями тоже подделать? Тогда пожелаю приятного аппетита адвокату подследственного.
Все делается просто. Эксперт лаборатории дает заключение о том, что на предоставленом винте была восстановлена стертая путем перезаписи информация, которая и пойдет в протокол. Попробуй проверь так оно или нет.
P. S. вообще, если надо человека посадить, то есть способы куда проще и надежнее (наркотики подбросить например)
Независимая экспертиза, лаборатории существуют (тот же центр НИП Информзащита).
А это действительно правда, и здесь что-либо оспорить бывает гораздо труднее (среди оперативников порой находятся прям-таки Коперфильды).