Необходимо развеять один из мифов, который прочно закрепился в умах обывателей: «Если человек скрывает что-то, значит, ему есть что скрывать!». Так что даже если не занимаешься темными делишками, ты имеешь полное право шифровать содержимое своего диска и проводить регулярную зачистку свободных секторов.
Есть ли у вас на жестком диске ценная для вас информация? Несомненно, есть, курсовые и дипломы, другие важные документы, музыка и фильмы, любимые игрушки, а также гигабайты другой ценной информации, которую возможно вы собирали годами. А хотели бы вы в один прекрасный день потерять все это или хоть что-то из вашей "бессмертной" коллекции? Разумеется, у каждого из вас при одной мысли про это мурашки по коже прокатились. А это ведь вполне возможно и случиться может уже завтра.
Каждый уважаемый себя журнал по компьютерной тематике осветлял тему восстановления данных после непредвиденных ситуаций (вирусной активности, "шаловливых ручек" и т.д.), а также писал уйму статей о том, как это избежать.
Информация, удаленная средствами операционной системы, будь то Windows или Linux, легко может быть восстановлена любым мало-мальски продвинутым пользователем при наличии определенного софта, а уж тем более профессионалами, обвешанными спецоборудованием, которое можно увидеть лишь в шпионских фильмах.
Цель моей работы состояла в том, чтобы изучить проблему, важную для любого пользователя ПК, такую как хранение и защита информации, а в частности, ее полное и безвозвратное удаление и восстановление с устройств хранения данных.
Для достижения цели мне требовалось решить следующие задачи:
1. Рассмотреть алгоритмы безвозвратного удаления информации.
2. Изучить технологию восстановления удалённой информации.
Практической значимостью работы является то, что рассмотренные алгоритмы и технологии могут быть использованы каждым пользователем ПК.
Простейшие технологии восстановления информации основаны на том, что при удалении информации средствами операционной системы реально ничего с жесткого диска не удаляется, а удаляется информация о размещении на диске данного файла, поэтому файл становится невидимым для пользователя, цепочка кластеров, содержащих данный файл, считается далее свободной. Но информация на жестком диске остается неизменной. Для специалиста восстановить ее не составит труда. Измененные файлы хранятся в специально отведенной скрытой области диска и их также необходимо удалять, чтобы предотвратить возможность восстановления данных. Есть еще в Windows и временные копии файлов, и данные, находящиеся в файле подкачки, и за всем этим нужно следить, чтобы не упустить конфиденциальную информацию. Но данный метод не гарантирует успешного восстановления информации.
Не стоит думать, что если вы ни разу не запускали дефрагментатор, то это спасет вас от посягательств на ваши данные. В физике есть такое явлении, как гистерезис.
Суть гистерезиса заключается в отставании изменения магнитной индукции от изменения напряженности магнитного поля Н. Грубо говоря, гистерезис обусловлен внутренним трением областей самопроизвольного перемагничивания. Именно благодаря этому отставанию в областях на краях дорожки магнитного носителя, становится доступным восстановление даже перезаписанной информации.
В самом простом случае для уничтожения информации достаточно открыть текстовым редактором желаемый файл и забить его случайным набором символов. Данный способ уже однозначно отметает огромное число достаточно известных утилит таких, как Easy Recovery или GetDataBack. Но не стоит списывать их со счетов, ведь они создавались не для столь сложных задач. Однако существуют специальные утилиты и устройства, которые позволяют восстановить информацию даже после столь сложных извращений с текстовым редактором.
Итак, первый способ уничтожения информации основан на статистическом накоплении информации при многократном считывании данных. Суть этого метода можно пояснить следующим образом. Как известно, информация на жестком диске хранится в двоичной форме — в виде последовательности единиц и нулей, которые представляются различным образом намагниченными участками поверхности магнитного носителя. Условно говоря, единица, записанная на жесткий диск, будет прочитана контроллером жесткого диска как 1, а записанный 0 будет прочитан как 0. Однако, если поверх 0 будет записана 1, то результат, условно говоря, будет равен 0,95 и, наоборот, если поверх 1 будет записана 1, результат будет равен 1,05. Для контроллера эти различия совершенно несущественны. Но, используя специальную аппаратуру, можно легко прочитать, какую последовательность 1 и 0 содержала искомая запись.
Второй метод был разработан не так давно и является еще более мощным средством восстановления. Он основан на принципах магнитной силовой микроскопии и сканирующей зондовой микроскопии. Разрешающая способность этого метода достаточна для раздельного считывания нескольких последовательных записей информации, а значит, не спасет даже двух, или даже трехкратное затирание данных.
Но и здесь был найден выход из столь тяжелой ситуации. Методы гарантированного удаления информации существуют. Задача полного физического удаления информации вполне выполнима программными методами, и сводится к тому, чтобы произвести как можно больше записей поверх дорожки, содержащей секретные данные.
Среди всех алгоритмов уничтожения информации стоит особое внимание уделить двум, которые считаются наиболее надежными: Алгоритм Брюса Шнайера, который он предложил в своей книге «Прикладная криптография» и Алгоритм Питера Гутмана, «вечного аспиранта» на кафедре компьютерной науки университета города Окленд, который разработал свою собственную систему уничтожения информации и инструментарий безопасности Criptlib. Именно эти алгоритмы вызывают доверие и получили наибольшее распространение.
Восстановление информации
Как восстановить файл из Корзины, известно всем. А можно ли восстановить файл, удаленный из Корзины? Или с дискеты - ведь там Корзина не используется? Или при удалении файла без помещения его в Корзину? Да, можно, ведь при удалении файла данные никуда не исчезают с диска (заметьте, как быстро происходит удаление файлов по сравнению с их записью). Фактически затирается только служебная информация и система начинает считать кластеры, использовавшиеся ранее файлом свободными. Более того, возможно даже восстановить информацию с отформатированного раздела жесткого диска или удаленного логического раздела. Вероятность восстановления информации тем выше, чем меньше дефрагментация диска (то есть кластеры файла идут последовательной цепочкой), и чем больше вероятность того, что кластеры не были перезаписаны.
Программ для восстановления информации немало, например, FinalData Recovery, PC Inspector File Recovery, Acronis Recovery Expert, Zero Assumption Recovery, GetDataBack. Все они имеют свои особенности, разную скорость сканирования и восстановления и различные алгоритмы работы.
Глава 2. Программы и алгоритмы
Уничтожение конфиденциальной информации на неиспользуемом более жестком диске осуществляет компонент программного пакета Acronis Power Utilities программа Acronis DriveCleanser.
В настоящее время все большее количество информации создается в цифровой форме или переводится в нее и доверяется для хранения компьютерам. На жестких дисках хранятся документы, ранее создававшиеся исключительно с помощью печатной машинки, таблицы, файлы баз данных, мультимедийные файлы.
На жестких дисках хранится колоссальное количество персональных данных, в том числе таких важных и не предназначенных для посторонних глаз, как номера банковских лицевых счетов и кредитных карточек, данных деловых приложений — банковских, финансовых, бухгалтерских, производственного назначения. Перечислить все существующие документы и данные, которые ни в коем случае не должны попасть в руки лиц с криминальными наклонностями или просто конкурентов, не представляется возможным — настолько велико их многообразие.
Основное свойство этих документов, с точки зрения данного руководства, заключается в том, что они содержат конфиденциальную информацию. Однако иногда упускается из вида, что для обеспечения конфиденциальности информация должна не только храниться по специально разработанным правилам, но и уничтожаться по строгим правилам.
Неосторожное хранение ненужного более жесткого диска легко может привести к утрате конфиденциальной информации. Лучше всего сразу после того, как данные будут перенесены на новый диск, полностью уничтожить их на старом диске. Уничтожить! Не стереть информацию, не удалить более ненужные файлы, а именно уничтожить!
Можно привести следующую яркую иллюстрацию сказанному выше: «Американец Джек Вильсон, компьютерный консультант из Брайтона, приобрел ноутбук IBM ThinkPad 600E за 400 долларов на распродаже имущества обанкротившихся Интернет-компаний. Выяснилось, что на жестком диске содержатся данные о софтверной компании IPHighway, которая к тому моменту уже не работала. Среди этих данных были номера карт социального обеспечения и величина заработной платы 46 сотрудников фирмы, платежные ведомости, стратегические планы компании, закрытые решения совета директоров и другие внутренние документы.
Это не единичный случай приобретения конфиденциальной информации при покупке бывшего в употреблении компьютера».
Надежное уничтожение информации на жестких дисках возможно только с использованием специально разработанных программ, реализующих специально разработанные алгоритмы.
Под гарантированным уничтожением информации на магнитных носителях понимается невозможность ее восстановления квалифици- рованными специалистами с помощью любых известных устройств и способов реставрации.
Гарантированное уничтожение конфиденциальной информации на жестких магнитных дисках с помощью специальных алгоритмов предлагает программа Acronis DriveCleanser.