Skocz do zawartości
Forum Kopalni Wiedzy
KopalniaWiedzy.pl

Z SSD nie można bezpiecznie usunąć danych

Rekomendowane odpowiedzi

SSD powoli zdobywają popularność i odbierają rynek HDD. Wciąż są od nich sporo droższe, jednak szybszy transfer danych i większa niezawodność przekonują do tych urządzeń coraz więcej osób. Okazuje się jednak, że SSD mają poważną wadę, która jest szczególnie ważna dla przedsiębiorstw czy agend rządowych. Badania przeprowadzone przez naukowców z Laboratorium Systemów Nieulotnych (Non-Volatile Systems Laboratory - NVSL) z Uniwersytetu Kalifornijskiego w San Diego dowodzą, że z SSD znacznie trudniej jest usunąć dane niż z HDD. Ma to olbrzymie znaczenie, gdy chcemy pozbyć się starego SSD.

Nasze badania dowodzą, że naiwne zastosowanie w SSD technik przeznaczonych do skutecznego usuwania danych z HDD, takich jak nadpisywanie czy używanie wbudowanych komend bezpiecznego kasowania, jest nieskuteczne i czasem może powodować, iż dane pozostaną nietknięte. Co więcej, niszczenie informacji zawartych w pojedynczym pliku jest znacznie trudniejsze na SSD niż na tradycyjnych dyskach twardych - czytamy w raporcie z badań.

Podczas jednego z eksperymentów wobec plików zastosowano 14 różnych metod usuwania danych. Wykorzystano m.in. algorytmy amerykańskich sił zbrojnych (US DoD 5220.22-M, US Air Force 5020, US Army AR380-19), rosyjski GOST P50739-19, brytyjski HMG ISS, Schneier 7 Pass i inne. Żaden z nich nie usunął pliku całkowicie, pozostawiając na SSD od 10 do 1000 megabajtów informacji.

Uczeni z NVSL pracują teraz nad technikami, które umożliwią dokładne kasowanie danych z SSD. Ostrzegają, że dopóki technologie takie nie zostaną opracowane, właściciele SSD powinni zachowywać szczególną ostrożność podczas pozbywania się dysków wykorzystywanych do przechowywania istotnych danych.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Czyli nie ma to jak stare ale jare spalenie w piecu ;-)

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

trudno się dziwić, algorytmy zapisu implementowane układach dysków SSD unikają zapisu w jednym miejscu, pozwalając na równomierne zużywanie się tych dysków. Prawdopodobnie dzięki temu nadpisywanie pliku może nie działać tak jak powinno i nie nadpisywane jest odpowiednie miejsce. Prawdopodobnie wystarczy stworzenie odpowiedniego firmware-u. Na 99% zadziała też mój sposób - zapisywania CAŁEGO dysku przed jego sprzedażą ;-)

 

BTW. Słowo "Dysk" oczywiście nijak pasuje do konstrukcji pamięci SSD, jednak chyba nikt nie zamierza się przestawiać na inne wyrażenie ;) Nawet po angielsku bardzo często ostatnia literka skrótu jest tłumaczona na "Disk". Wpisując wyrażenie "solid state disk" w google dostaniemy więcej wyników od "solid state drive". Myślę więc że nie musicie unikać wyrażeń "Dysk SSD" :P

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

maciejo masz 100% racji.

 

Dokładnie analogiczny porblem jest z pendrajwem i reszta kart pamięci.

Jak usuniemy pliczek to jest duże prawdopodobieństwo ze wszystkie zapisy sekwencji nadpisywania danych wylądują gdzieś indziej. Problem jest taki ze warstwa fizyczna (komórki pamięci) jest "zwirtualizowana" i zrzutowa na strukturę logiczna.

 

HDD jest zresztą ten sam porblem z adresowaniem tylko inne konsekwencje z tego wynikają. Na przykład adresowanie LBA to jest jedna z takich "warstw abstrakcji" w stosunku do fizycznego adresowania CHS. Ale podobna warstwę abstrakcji tworzy system relokacji uszkodzonych sektorów. efekt tego jest taki ze na wyjściu mamy w miarę "ciągłą" strukturę a co się tam w środku hdd wyrabia to już nas nie interesuje bo wszystko jest zamknięte w pudełku. Problem jest jeśli to co jest wirtualizowane traktujemy jako fizyczną rzeczywistość.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się

  • Podobna zawartość

    • przez KopalniaWiedzy.pl
      Inżynierowie w University of Texas at Austin stworzyli najmniejsze w dziejach urządzenie do przechowywania danych. Profesor Deji Akiwande i jego zespół opierali się na opisywanych już przez nas badaniach, w czasie których powstał atomistor, najcieńsze urządzenie do składowania danych. Teraz naukowcy poczynili krok naprzód zmniejszając przekrój swojego urządzenie do zaledwie 1 nm2.
      Kluczem do dalszej redukcji rozmiarów urządzenia było dobre poznanie właściwości materiałów w tak małej skali i wykorzystanie roli defektów w materiale. Gdy pojedynczy dodatkowy atom metalu wypełnia dziurę, przekazuje materiałowi nieco ze swojego przewodnictwa, co prowadzi do zmiany czyli pojawienia się efektu pamięciowego, mówi Akinwande. Mniejsze układy pamięci pozwolą na stworzenie mniejszych komputerów i telefonów. Układy takie zużywają też mniej energii, pozwalają przechować więcej danych w mniejszej przestrzeni, działają też szybciej.
      Wyniki tych badań przecierają drogę do opracowania przyszłych generacji interesującego Departament Obrony sprzętu takiego jak ultragęste układy pamięci, neuromorficzne systemy komputerowe, systemy komunikacyjne działające w zakresie fal radiowych i inne, mówi Pani Veranasi, menedżer w US Army Research Office, które finansowało najnowsze badaniach.
      Atomristor, na którym oparto najnowsze badania, był już najcieńszym układem pamięci. Jego grubość wynosiła zaledwie 1 atom. Jednak dla zmniejszenia urządzeń ważny jest również ich przekrój poprzeczny. Tym, czego poszukiwaliśmy było spowodowanie by pojedynczy atom kontrolował funkcje pamięci. Udało się nam to osiągnąć, mówi Akinwande.
      Nowe urządzenie należy do kategorii memrystorów, urządzeń zdolnych do modyfikowania oporności pomiędzy dwoma punktami końcowymi bez potrzeby używania bramki w roli pośrednika. Opracowana właśnie odmiana memrystora, którą stworzono dzięki wykorzystaniu zaawansowanych narzędzi z Oak Ridge National Laboratory, daje szanse na osiągnięcie gęstości zapisu rzędu 25 Tb/cm2. To 100 krotnie więcej niż obecnie dostępne komercyjne układ flash.
      Nowy układ pamięci wykorzystuje dwusiarczek molibdenu (MoS2). Jednak jego twórcy zapewniają, że w tej roli można wykorzystać setki innych materiałów o podobnej budowie.

      « powrót do artykułu
    • przez KopalniaWiedzy.pl
      Na internetowych czarnych rynkach pojawiła się oferta sprzedaży danych 92 milionów Brazylijczyków. Jej cena wywoławcza to 15 000 dolarów. Wiadomo, że oferentem jest ktoś zarejestrowany jako X4Crow, a bazę wystawiono na wielu forach, do których dostęp uzyskuje się za zaproszeniem lub poprzez płatną rejestrację.
      Jak twierdzi sprzedający, baza zawiera nazwiska, daty urodzenia oraz identyfikatory podatkowe około 92 milionów Brazylijczyków. Baza w formacie SQL zajmuje 16 gigabajtów, a zaprezentowane fragmenty wskazują, że jest ona podzielona na poszczególne stany.
      Witryna BleepingComputer poinformowała, że otrzymała próbkę bazy danych. Dziennikarze potwierdzili, że dane te są prawdziwe oraz zawierają m.in. informacje o nazwisku matki. Nie wiadomo, co jest źródłem bazy, jednak sprzedający poinformowali dziennikarzy, że pochodzi ona ze źródeł rządowych.
      Sprzedający twierdzą, że dzięki informacjom z tej bazy możliwe jest pozyskanie dodatkowych informacji, jak dane z dowodów osobistych czy praw jazdy. Niewykluczone, że możliwe jest też zdobycie innych danych osobowych, jak numery telefonów, e-maili, informacji o zawodzie, wykształceniu, członkach rodziny, numerach rejestracyjnych pojazdów i wielu innych.
      Próba sprzedaży danych dotyczących milionów obywateli Brazylii to kolejny w ostatnich tygodniach przykład na masowy wyciek danych z instytucji rządowych. We wrześniu wycikeły informacje na temat około 20 milionów obywateli Ekwadoru, a na początku października do sieci trafiły informacje podatkowe dotyczące około 20 milionów obywateli Rosji.

      « powrót do artykułu
    • przez KopalniaWiedzy.pl
      Każde oprogramowanie zawiera błędy, ale jak mogliśmy się dowiedzieć podczas konferencji Black Hat Europe, najwięcej błędów zawiera oprogramowanie tworzone przez instytucje państwowe lub na ich potrzeby.
      Chris Wysopal z firmy Veracode, która specjalizuje się w wyszukiwaniu dziur w programach, poinformował o wynikach badań przeprowadzonych pomiędzy drugą połową roku 2010 a końcem roku 2011.
      W tym czasie jego firma przeanalizowała 9910 różnych aplikacji. Eksperci stwierdzili, że 80% programów nie spełnia wymagań bezpieczeństwa firmy Veracode. Oprogramowanie tworzone dla instytucji państwowych wypadło znacznie gorzej, niż programy komercyjne. Okazało się bowiem, że jedynie 16% stworzonych przez rząd i dla rządu aplikacji sieciowych można było uznać za bezpieczne z punktu widzenia standardów OWASP (Open Web Application Security Project). Dla  sektora finansowego odsetek ten wynosił 24%, a dla innego komercyjnego oprogramowania - 28%.
      Z kolei do wyników badań innych programów niż programy sieciowe posłużono się kryteriami opracowanymi przez SANS Institute. Za bezpieczne uznano 18% oprogramowania rządowego, 28% oprogramowania finansowego i 34% innego oprogramowania komercyjnego.
      Rząd zachowuje się tak, jakby bezpieczeństwo było problemem sektora prywatnego i próbuje go ściśle regulować. Jeśli jednak bliżej się temu przyjrzymy to okazuje się, że sektor prywatny jest zdecydowanie bardziej bezpieczny niż sektor rządowy - mówi Wysopal.
      Aż 40% aplikacji sieciowych wytworzonych dla agend rządowych było podatnych na ataki SQL injection. Dla sektora finansowego odsetek ten wynosił 29%, a dla oprogramowania komercyjnego 30%. Na ataki typu XSS (cross-site scripting) narażonych było 75% rządowych aplikacji sieciowych, 67% aplikacji wytworzonych przez sektor finansowy oraz 55% aplikacji komercyjnych.
      Alan Paller, dyrektor ds. badań w SANS Institute mówi, że przyczyną takiego stanu rzeczy jest to, iż sektor prywatny karze firmy za błędy, a sektor rządowy je nagradza. Jeśli przedsiębiorstwo stworzy komercyjne oprogramowanie zawierające błędy, to ryzykuje utratę klientów oraz dobrego imienia, co wpłynie na jego wyniki finansowe w przyszłości. Jeśli zaś napisze wadliwe oprogramowanie dla sektora rządowego, to zostanie nagrodzone kolejnym kontraktem na poprawienie tego oprogramowania. Nie twierdzę, że nie próbują wykonać swojej pracy właściwie. Ale w ten sposób działa system nagród i zachęt - mówi Paller. To powoduje, że błędy w oprogramowaniu rządowym istnieją nawet wówczas, gdy zanikają w oprogramowaniu komercyjnym. Specjaliści od dwóch lat obserwują spadek odsetka dziur typu SQL injection i XSS w oprogramowaniu komercyjnym. W programach rządowych  nic się w tym zakresie nie zmieniło.
      Wszystkie powyższe dane dotyczą USA.
    • przez KopalniaWiedzy.pl
      Amerykańska Narodowa Agencja Bezpieczeństwa (NSA) poinformowała o zbudowaniu około 100 „ultrabezpiecznych“ smartfonów z systemem Android. Urządzenia Fishbowl powstały w oparciu o standardowe ogólnodostępne podzespoły i są na tyle bezpieczne, że pozwalają agentom na prowadzenie rozmów na tajne tematy.
      Margaret Salter z NSA, przemawiając podczas konferencji RSA powiedziała, że połączenia są prowadzone za pośrednictwem komercyjnej infrastruktury, a mimo to dane pozostają bezpieczne. Przyznała jednocześnie, że napotkano poważne kłopoty podczas budowy urządzeń, a ich główną przyczyną był brak kompatybilności pomiędzy produktami różnych firm. Z tego też powodu wykorzystano np. IPSEC a nie SSL VPN. Zdecydowano się na większą liczbę tego typu kompromisów, jednak ogólne bezpieczeństwo smartfonów nie doznało przez to uszczerbku. Potrzebowaliśmy aplikacji głosowej, która obsługiwałaby DTLS, Suite B oraz SRTP, ale nie mogliśmy takiego kupić. Przemysł bardziej skupia się na Session Description Protocol, więc zdecydowaliśmy się na to rozwiązanie - powiedziała Salter.
    • przez KopalniaWiedzy.pl
      Dzisiaj administracja prezydenta Obamy ma oficjalnie zaprezentować zarys dokumentu [PDF] określanego jako Bill of Rights (Karta Praw) prywatności. To oczywiste nawiązanie do konstytucyjnego Bill of Rights, czyli dziesięciu pierwszych poprawek do Konstytucji USA, które gwarantują podstawowe wolności obywatelskie.
      Zdaniem urzędników z Białego Domu nowe przepisy powinny gwarantować użytkownikom prywatność w internecie. Mają się one opierać na następujących zasadach:
      - indywidualnej kontroli. Użytkownik ma prawo do kontrolowania danych zbieranych na jego temat przez firmy oraz powinien być poinformowany, w jaki sposób są one używane.
      - przejrzystości. Użytkownik powinien posiadać łatwy dostęp do napisanej w sposób dlań zrozumiały polityki prywatności i bezpieczeństwa.
      - zachowanie kontekstu: Użytkownik ma prawo oczekiwać, że firmy będą zbierały, używały i ujawniały dane w sposób, który jest zgodny z kontekstem, w jakim dane zostały im dostarczone.
      - bezpieczeństwo: Użytkownik ma prawo oczekiwać, że dane będą przechowywane w sposób bezpieczny i odpowiedzialny.
      - dostęp i dokładność: Użytkownik ma prawo dostępu i poprawiania swoich danych, które powinny być mu prezentowane w sposób umożliwiający przeprowadzani takich informacji. Zmiana danych powinna odbywać się tak, by informacje pozostawały bezpieczne i by uwzględniać ryzyko związane z pojawieniem się niedokładnych danych.
      - precyzja: Użytkownik ma prawo do ograniczenia ilości informacji, jakie na jego temat firmy zbierają i przechowują.
      - odpowiedzialność: Użytkownik ma prawo oczekiwać,że jego dane będą zbierane tylko przez firmy, które posiadają odpowiednie mechanizmy zapewniające, że Consumer Privacy Bill of Rights będzie przestrzegane.
  • Ostatnio przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników przeglądających tę stronę.

×
×
  • Dodaj nową pozycję...