Окончательно удалить уже удаленное
Запустил утилиту file-recovery и обнаружил множество имен удаленных когда-то файлов. Как затереть эту информацию в записях директорий, чтобы окончательно лишиться всяких записей об этих файлах? Дефрагментация не помогла, это точно. Среди имен есть и те, что были удалены до нескольких последних дефрагментаций. Затирание свободного места утилитой Eraser тоже не помогает.
комментариев: 9796 документов: 488 редакций: 5664
Можно только поставить себя на их место и предполагать, что они подразумевали.
Я представляю себе процесс шифрования так – все процессы, которые связаны с данным разделом останавливаются, раздел полностью размонтируется, затем каждый сектор считывается в память, шифруется и записывается обратно. Здесь уже видны по крайней мере три проблемы:
1. Хорошо бы раздел сначала заполнить случайными данными, только затем создавать на нём шифрованную файловую систему. Тогда бы на неполностью заполненном разделе часть блоков была бы случайными. Это необязательное условие, но даёт дополнительный выигрыш в защите, при условии, что системы дискового шифрования неидеальны. Выполнить это условие невозможно не уничтожив данные на разделе.
2. Как размонтировать корневой раздел если на нём работает операционная системы? Это можно было бы сделать с помощью загрузочного диска. Но проблемы с загрузочными дисками под Win я только что обсуждал в другой теме.
3. Если всё-таки удалось обойтись без загрузочных дисков и перешифровывать блоки на лету, то не будет ли происходить нежелательной утечки информации в ходе этого процесса?
Сами по себе все эти проблемы некритичны и могут быть решены. Точно не помню как это всё решено в PGP WD (кажется там используется схема загрузки на основе Linux), но это всё сложно реализовать так, чтобы не получилось громоздкое решение и на уровне компромиссов между функциональностью и безопасностью.
Интересно реализовано ли это в PGP WD и DCPP?
комментариев: 9796 документов: 488 редакций: 5664
комментариев: 11558 документов: 1036 редакций: 4118
Так и есть. Он исполняется ещё до запуска ОС и в дальнейшем полностью работает из оперативной памяти.
Подскажите, где это могут сделать, и сколько это будет стоить?
Почему-то мне кажется, что восстановить легко только в теории, а на практике не получиться нихрена.
комментариев: 1515 документов: 44 редакций: 5786
В спецлаборатории ФСБ или других спецслужб мира. Да, были отчётные статьи в инете по этому поводу. Иногда, при определённых обстоятельствах, может удасться восстановить не только предыдущее, бывшее записанным, но и то, что было записано ещё ранее из-за того, что магнитные головки и прочая там сильно следят на диске (оставляют следы). В общем, не буду сочинять, но соответствующие статьи о том как это делаются имеются и описания демонстрационных экспериментов, вроде бы, тоже. Классический шредер трёт и перезаписывает инфу 35 раз. Слабые шредеры, не критичные, – 3 раза.
комментариев: 11558 документов: 1036 редакций: 4118
По утверждению Питера Гутмана, автора этой и других методик уничтожения информации с магнитных дисков и чипов памяти, даже это может не помочь...
В качестве альтернативы для перезаписи информацию с целью её безопасного удаления часто используют другой трюк: хранят все данные в зашифрованном виде (скажем, в криптоконтейнере), а при необходимости избавиться от них — уничтожают ключевой материал или "забывают" пароль. Уничтожить небольшой по объёму ключ (он может размещаться и на дешёвом отторгаемом носителе типа флоппи-диска или CD, или даже перфокарты) значительно проще любым физическим способом: от измельчения и сжигания до утопления в серной кислоте.
Знаю я про лаборатории ФСБ, знакомый там работает, и говорит что не восстанавливают там ничего сложнее обычного форматирования. Нет такого оборудования у нас попросту.
Имхо если сильно надо человека посадить, то можно поступить проще – записать то что нужно самому, и пускай потом докажет что не верблюд.
Странно, почему все так верят в всемогущество спецслужб? Поймите, они такие же люди как и мы, и у них нет ничего такого, чего не смогли бы получить мы за деньги.
комментариев: 9796 документов: 488 редакций: 5664
Вот именно. Для рутинных, рядовых дел несильно надо. А как в таких организациях принято решать вопросы, если его уже нет в живых, а информация или важна для спасения других людей или, что циничнее, но ближе к правде жизни, дороже жизней многих других людей?
комментариев: 11558 документов: 1036 редакций: 4118
Серьёзной компьютерной экспертизой (в числе прочих задач) занимается экспертный отдел Министерства юстиции, а не ФСБ. Представители ФСБ могут выступать экспертами только по части криптографии.
А протоколы осмотра с датами/подписями тоже подделать? Тогда пожелаю приятного аппетита адвокату подследственного.
P. S. вообще, если надо человека посадить, то есть способы куда проще и надежнее (наркотики подбросить например)
комментариев: 11558 документов: 1036 редакций: 4118
Независимая экспертиза, лаборатории существуют (тот же центр НИП Информзащита).
А это действительно правда, и здесь что-либо оспорить бывает гораздо труднее (среди оперативников порой находятся прям-таки Коперфильды).