Potencjalne pułapki związane z bezpiecznym usuwaniem dysków SSD

12

Muszę wycofać dwa dyski SSD z jednego z moich serwerów hostowanych w systemie Linux.

W celu bezpiecznie usunąć danych zapisanych na dyskach miałem zamiar użyć: hdparm --security-erase.

Przeczytałem ten dokument i zasugerowałem, że nie ma żadnych dysków podłączonych do hosta, innych niż przeznaczone do usunięcia.

W tym artykule wskazano, że jeśli występują błędy jądra lub oprogramowania układowego, procedura ta może spowodować, że dysk nie będzie nadawał się do użytku lub spowoduje awarię komputera, na którym działa .

Ten serwer jest obecnie w produkcji, z programową konfiguracją RAID dla dysków produkcyjnych. Nie ma kontrolera RAID dla dysków, które muszę usunąć.

Pytanie:

Czy jest to raczej bezpieczna operacja do wykonania w środowisku produkcyjnym, czy też lepiej by mnie obsłużyło usunięcie dysków i wykonanie tej procedury na innym hoście?

Edycja: tylko link z ładną udokumentowaną procedurą

Matías
źródło
8
Po prostu je spal, poważnie, jeśli bezpieczeństwo jest najważniejsze, po prostu zniszcz je ogniem, dyski SSD są dziś stosunkowo tanie - to jedyny sposób, aby się upewnić :)
Chopper3
2
Brak ostrzału z orbity.
Lilienthal
1
Czy ktoś zadzwonił?
Wyścigi lekkości na orbicie

Odpowiedzi:

18

ATA Secure Erase jest częścią specyfikacji ATA ANSI, a po prawidłowym zaimplementowaniu czyści całą zawartość dysku na poziomie sprzętowym zamiast za pomocą narzędzi programowych. Narzędzia programowe nadpisują dane na dyskach twardych i dyskach SSD, często przez wiele przebiegów; problem z dyskami SSD polega na tym, że takie narzędzia do nadpisywania oprogramowania nie mogą uzyskać dostępu do wszystkich obszarów pamięci na dysku SSD, pozostawiając bloki danych w obszarach serwisowych dysku (przykłady: złe bloki, zarezerwowane bloki wyrównujące zużycie itp.)

Po wydaniu polecenia ATA Secure Erase (SE) wbudowanemu kontrolerowi SSD, który poprawnie go obsługuje , kontroler SSD resetuje wszystkie komórki pamięci jako puste (zwalniając zapisane elektrony) - przywracając w ten sposób SSD do domyślnych ustawień fabrycznych i wydajności zapisu . Po prawidłowym wdrożeniu SE przetworzy wszystkie regiony przechowywania, w tym chronione regiony usługowe nośnika.

Liberalnie skopiowane z http://www.kingston.com/us/community/articledetail?ArticleId=10 [via archive.org] , moje podkreślenie.

Problem polega na tym, że zdaniem niektórych brakuje zarówno wsparcia, jak i prawidłowego wdrożenia ATA Secure Erase przez producentów.

Ten artykuł badawczy z 2011 r. Pokazuje, że na połowie dysków SSD przetestowane bezpieczne wymazywanie ATA nie zniszczyło skutecznie danych na dysku.

W tej samej pracy badawczej testy wykazały, że być może zaskakujące dla niektórych, tradycyjne wieloprzebiegowe nadpisywanie dysku SSD były w rzeczywistości w większości udane, chociaż nadal niektóre dane (być może z tych zarezerwowanych obszarów dysku SSD, które znajdują się poza zgłaszanym rozmiarem dysków) mogły zostać odzyskane .

Krótka odpowiedź brzmi więc: użycie oprogramowania do dezynfekcji całego dysku SSD może, ale nie musi być w 100% skuteczne.
Może to jednak być wystarczające dla twoich wymagań.

Po drugie, robię to na serwerze z produkcją: Mam wrażenie, że większość podręczników zaleca uruchamianie z dysku ratunkowego w celu wyczyszczenia dysków z tego prostego powodu, że użycie oprogramowania do wyczyszczenia dysku rozruchowego / systemu operacyjnego nie powiedzie się źle, a większość laptopów i komputerów PC ma tylko pojedynczy dysk.
Oczywiście obowiązują również uniwersalne zagrożenia związane z wykonywaniem potencjalnie (lub raczej celowych) destrukcyjnych poleceń w systemach produkcyjnych.

Szyfrowanie dysków sprawi, że (częściowe) odzyskiwanie danych z usuwanych dysków (dysków SSD lub wirujących) będzie znacznie mniej prawdopodobne. Tak długo, jak cały dysk był zaszyfrowany i oczywiście nie miałeś na nim niezaszyfrowanej (wymiany) partycji.

W przeciwnym razie są to zawsze niszczarki .

HBruijn
źródło
8

Zasadniczo - ze względu na sposób działania dysków SSD - niemożliwe jest „bezpieczne czyszczenie”. Zwłaszcza w przypadku dysków dla przedsiębiorstw - większość z nich jest większa niż się wydaje, ponieważ jest w nich „zapasowa” pojemność na potrzeby wyrównywania zużycia.

To samo wyrównanie zużycia oznacza, że ​​usuwanie w stylu „nadpisywania” nie działa tak, jak myślisz.

Na dość podstawowym poziomie zależy od tego, jakie ryzyko dotyczy:

  • jeśli chcesz po prostu „wyczyścić” i ponownie wdrożyć sprzęt w swojej posiadłości: sformatuj i gotowe.
  • jeśli martwisz się, że złośliwy, dobrze zaopatrzony przeciwnik zdobędzie wrażliwy materiał: Nie przejmuj się wycieraniem, zniszcz fizycznie *.

(*) gdzie przez „zniszcz fizycznie” mam na myśli niszczenie, spalanie i audyt. Oprzyj się pokusie majsterkowania - i tak nie jest to tak zabawne na dyskach SSD.

Sobrique
źródło
1
-1, nie ma powodu, aby oczekiwać, że implementacja ATA Secure Erase dostawcy dysku faktycznie nie usuwa wszystkich bloków.
nikt nie
7
+1 ode mnie, bo tak, jest. Patrz np. Cseweb.ucsd.edu/~m3wei/assets/pdf/FMS-2010-Secure-Erase.pdf : „ Polecenia bezpiecznego kasowania na dysku są niewiarygodne ” (spośród dziewięciu przetestowanych kombinacji kontrolera-SSD jedna odmówiła aby usunąć, dwóch nie wykonało poprawnie, a jeden w ogóle tego nie zrobił, ale zgłosił, że to zrobił). Ten raport ma kilka lat, ale oznacza to, że potrzebujemy pozytywnych powodów, aby zaufać nowoczesnemu bezpiecznemu usuwaniu danych, zamiast zakładać, że teraz działa.
MadHatter
1
Jestem paranoikiem. Widziałem zbyt wiele okazji, gdy „nie do odzyskania” nie jest tak niemożliwe do odzyskania, jak bym przypuszczał. Ale chciałbym też powiedzieć, że - przez większość czasu to po prostu nie ma znaczenia. Jeśli niejasno ufasz, dokąd zmierza, a treść nie jest niezwykle wrażliwa, nie robi to dużej różnicy. A jeśli jest niezwykle wrażliwy, to dlaczego przede wszystkim pozwalasz mu opuścić budynek?
Sobrique
1
Powinienem dodać, że nie jest to niemożliwe. Ale musisz zaufać implementacji producenta, ponieważ nie możesz tego zrobić niezawodnie przy użyciu samych komend sektora zapisu.
the-wabbit
6

Na pewno nie polecam rozpoczęcie operacji bezpieczne Erase w systemie, który ma żadnych napędów dbasz o jeszcze podłączone. Wystarczy jedna drobna literówka, aby zniszczyć dane wciąż używanego dysku, bez jakiejkolwiek nadziei na odzyskanie.

Jeśli zamierzasz użyć Bezpiecznego wymazywania, zdecydowanie zrób to w systemie, w którym nie ma żadnych podłączonych dysków.

nikt
źródło