You are here: TUTWiki>Tietoturva/Tutkielmat>LamminsaariT?>2006-3
Mikko Lounatkari:

Sähköisesti tallennetun tiedon hävittäminen

Johdanto

Tutkielmassa keskitytään tarkastelemaan kiintolevylle sähköisesti tallennetun tiedon täydellisen hävittämisen keinoja. Tutkielma tukeutuu pääosiltaan digitodayn tietoturva-artikkeliin "Tiedon hävitys on tekniikkalaji" (10.11.2003) [1].

Tiedon täydellisellä hävittämisellä tarkoitetaan tässä yhteydessä sitä, ettei ko. tietoa pystytä enää hävitysoperaation jälkeen palauttamaan millään olemassa olevalla tekniikalla. Tutkielma pureutuu siten syvemmälle kuin monelle käyttäjälle tiedon poistamista tarkoittavaan ”siirrä roskakoriin – tyhjennä roskakori”-toimintosarjaan. Aluksi selvennetään, miksi edellä mainittu ja muut vastaavat käyttöjärjestelmien tarjoamat poisto-operaatiot eivät ole riittäviä keinoja tiedon täydelliseen hävittämiseen. Tämän jälkeen tutkitaan muutamaa yleisintä meillä ja maailmalla käytössä olevaa tapaa tallennetun tiedon oikeaoppiseen totaaliseen hävittämiseen. Näistä esitetään myös esimerkkejä.

Yleistä

Tiedoston poistaminen

Kuten jo aiemmin mainittiin, moni kotikäyttäjä ymmärtää tiedoston poistamisen toiminnoksi, jossa tiedosto siirretään käyttöjärjestelmän roskakoriin. Ja kun roskakori tyhjennetään, on tiedosto lopullisesti poistettu. Todellisuudessa tiedon täydellinen hävittäminen on huomattavasti vaikeampaa ja siihen vaaditaan huomattavasti enemmän työtä ja toimenpiteitä kuin edellä mainitussa tapahtumasarjassa oli. Tietokoneen käyttöjärjestelmän poistaessa tiedoston, se ainoastaan merkitsee tiedostolle varatun tilan vapaaksi tilaksi. Tiedosto sijaitsee kuitenkin edelleen fyysisesti kiintolevyllä ja on palautettavissa tietyillä keinoilla niin kauan, kunnes sen päälle fyysisesti kirjoitetaan uutta dataa.

Tiedostojen poistamisen rinnalla monesti tehokkaampina tiedon hävittämisen keinoina pidetyt kiintolevyn formatointi ja osiointi eivät myöskään merkitse tiedostojen lopullista tuhoa, sillä loppujen lopuksi formatoinnissa ja osioinnissa ei ole kyse sen kummemmasta toimenpiteestä kuin deletoinnissakaan; pienestä muutoksesta kiintolevyn loogisessa rakenteessa eli osion tiedonvaraustaulukon merkitsemisestä vapaaksi tilaksi. Itse tiedostot sijaitsevat yhä levyllä ja ovat sopivien työkalujen avulla palautettavissa.

Tiedo(sto)n palauttaminen

Deletoimalla, formatoimalla tai osioimalla poistetun tiedoston palauttaminen on tänä päivänä hyvin yksinkertaista, ja siihen tarvittavat välineet ovat kaikkien saavutettavissa.Internet tarjoaa useita (joista osa täysin ilmaisia) apuohjelmia (mm. FreeUndelete? yms. [2]), joilla jokainen kotikäyttäjä voi helposti päästä käsiksi kiintolevyltä poistettuihin ja tuhotuiksi luultuihin tiedostoihin. Apuohjelmat eivät käytä käyttöjärjestelmän levyjärjestelmän tilanvaraustietoja, vaan lukevat kiintolevyn sektoreita suoraan. Tällä tavalla ne saavat luettua tiedostoja, jotka eivät enää näy osana käyttöjärjestelmän tiedostojärjestelmää. Osa sovelluksista tarjoavat esimerkiksi drag&drop-toimintoja tiedon palauttamiseen. Parhaimmassa (tai pahimmassa) tapauksessa palautettavat tiedostot ovat säästyneet täydellisesti ylikirjoittamiselta ja ne voidaan palauttaa täysin ehjinä ja alkuperäisinä muodoltaan ja sisällöltään.

Äärimmäisissä tapauksissa tietojen palautus voi vaatia työskentelyä ns. puhdastilassa (eng. cleanroom) , jonka tarkoituksena on pitää tiedonpalautusprosessiin kuulumattomat epäpuhtaudet poissa. Tila on ylipaineistettu muuhun ympäristöönsä nähden ja tietojen palautus tapahtuu lukemalla levypintoja sitä varta vasten suunnitellulla laitteistolla. Yleensä puhdastilan käyttö tulee ajankohtaiseksi siinä vaiheessa, kun tavoitteena on palauttaa tietoja esimerkiksi kiintolevyltä, joka on rikkoutunut [3] .

Tiedo(sto)n täydellinen hävittäminen

Yleensä tiedon täydellistä hävittämistä tarvitaan tilanteissa, kun käsiteltävänä on hyvin luottamuksellisia ja arkaluontoisia tietoja. Esimerkiksi suomalaista alkuperää olevan kansainvälisen tiedonhävitysyhtiö Blanccon [4] asiakkaita ovat muiden muassa suuryhtiöt, pankit, vakuutusyhtiöt ja eri maiden valtiolliset organisaatiot. Tällaisten tahojen toiminnan yksi edellytyksistä on, ettei niiden luottamuksellisiksi luokitellut tiedot vuoda ulkopuolisten tietoon [1].

Eräs esimerkki onnettomasta tietovuototapauksesta huolimattoman tiedon hävittämisen seurauksena voidaan mainita Yhdysvaltain Tanskan suurlähetystön tietokonekaupat. Suurlähetystö huutokauppasi vanhat tietokoneensa, joiden kiintolevyjä ei oltu tyhjennetty asianmukaisesti, eräälle televisioyhtiölle ja onnistui siinä samalla vuotamaan valtionsalaisuuksia tanskalaisten tiedotusvälineiden keskuuteen [1]. Myös Blanccon [4] perustamisen taustalla on kotimaassa tapahtunut tietovuototapaus, joka sattui sekin vanhojen tietokoneiden myynnin seurauksena. Ostaja löysi sairaalalta ostamistaan tietokoneista potilastietoja ja sairaskertomuksia ja ilmoitti niistä poliisille sillä seurauksella, että asia vietiin oikeuteen, jossa sairaalan IT-päällikkö todettiin syylliseksi, mutta asian ollessa vielä tuohon aikaan niin uusi, ei rangaistuksia jaettu [1].

Ylikirjoittaminen

Kuten ylempänä jo kertaalleen mainittiin, yksi tiedon lopullisen hävittämisen keino on deletoidun tiedon ylikirjoittaminen. Ylikirjoittaminen on myös keinoista se, joka on tavallisen kotikäyttäjän helpoiten saavutettavissa. Yksi niksi on deletoinnin jälkeen ylikirjoittaa koko kiintolevyn alueelle jotakin uutta tietoa, mutta valitettavasti tämäkään ei useissa tapauksissa ole riittävä toimenpide. Paras tapa varmistua poistettavaksi tarkoitetun tiedon lopullisesta häviämisestä on ylikirjoittaa nimenomaan koko kiintolevy, sillä informaation sijaitessa kiintolevyllä, siitä jää jälkiä useampaankin kuin yhteen paikkaan. Ylikirjoituksen jälkeen pitäisi siis olla varma, että kiintolevy on käyty täydellisesti lävitse ja tämä ei välttämättä kotikonstein onnistu.

Perusteellinen ylikirjoittaminen tapahtuu siihen varta vasten suunnitellulla apuohjelmalla, joka kirjoittaa kiintolevyn jokaiseen kohtaa uutta dataa. Apuohjelma ohittaa kiintolevyllä sijaitsevan käyttöjärjestelmän sekä BIOS:in, jolloin se pääsee kiintolevyyn suoraan käsiksi. Tiedon hävittämisen onnistumista voi myös tehostaa asettamalla ohjelman kirjoittamaan kiintolevyn ylitse useampaan kuin yhteen kertaan. Esimerkiksi Yhdysvaltain puolustusministeriön standardi 5220.22-M suosittaa ylikirjoituskertojen määräksi kolmea [6].

Esimerkiksi yksi alan johtavista yrityksistä, Norman Ibas Oy, tarjoaa yritys- ja kotikäyttöön tarkoitetun tyhjennysohjelman, ExpertEraser?, joka suoritettaessa hävittää koko kiintolevyn sisällön ylikirjoittaen sen jokaisen sektorin, mukaanlukien käynnistyssektorin ja partitiontitaulukon. Ohjelman suorittamisen jälkeen kiintolevyn luvataan olevan vastaavassa kunnossa kuin tehtaalta toimitettu täysin uusi levy [5]. Ylikirjoittamiseenkin on olemassa ilmaisia vaihtoehtoja kuten muun muassa Suomalaista tuotantoa oleva Windows-ympäristöön kehitetty Eraser [7].

Helsinkiläinen DataPrey? Oy sen sijaan lupaa myös hävittää jopa asiakkaan pyytämät yksittäiset tiedostot [8].Tämäkin on mahdollista, kunhan ns. "directory entry" eli tiedoston nimi ja sen sijainnin alkamiskohta kiintolevyllä, tilanvaraustaulukossa (FAT) oleva merkintä ko. tiedostosta sekä tiedoston varaamat kiintolevyn sektorit ovat hävittäjän tiedossa [9].

Demagnetointi (degaussing)

Ylikirjoittamisen kiistaton etu muihin tiedon hävittämisen keinoihin on se, ettei tallennusmediasta, tässä tapauksessa kiintolevystä, tule toimenpiteen jälkeen käyttökelvotonta vaan on käytettävissä uudelleen entiseen tapaan. Yksi keinoista, joka tekee sivuvaikutuksena kiintolevystä entisen on demagnetointi eli ns. degaussing-menetelmä. Magnetointia voidaan käyttää jos esimerkiksi tyhjennettävä kiintolevy on niin varioitunut, että sen ylikirjoittaminen ei enää onnistu. Demagnetoinnissa kiintolevyyn kohdistetaan erittäin voimakas magneettikenttä. Tämä aiheuttaa levyn pinnan eri magneettivarausten, jotka esittävät tallennettua dataa bitteinä, sekoamisen, jonka jälkeen levyä on mahdotonta enää lukea. Demagnetoinnin aiheuttama sekasorto levyn magneettivarauksissa tekevät siitä samalla myös jatkossa käyttökelvottoman.

Esimerkiksi Norman Ibas Oy on kehittänyt erityisen laitteen magneettisten tallennusmedioiden (levykkeet, nauhat, kiintolevyt) demagnetoimalla tyhjentämistä varten. Tämän ns. degausserin käyttöä suositellaan normaalien ohjelmistopohjaisten ylikirjoittavien tyhjennysmenetelmien sijaan juuri siinä tapauksessa, jos kiintolevyyn ei päästä sen vioittumisen takia ohjelmallisesti käsiksi [5].

Levyn fyysinen tuhoaminen

Jos kiintolevyn uudelleenkäyttömahdollisuus ei siis ole tärkeää tiedon perusteellisen hävittämisen rinnalla, yksi tehokas ja hyvin maalaisjärkeenkin käypä keino hävittää levyn sisältämä informaatio, on koko kiintolevyn fyysinen tuhoaminen. Tässä yhteydessä fyysinen tuhoaminen tarkoittaa kiintolevyn murskaamista satoihin, jopa tuhansiin sirpaleisiin. Kiintolevyn tuhoaminen on luotettavin tiedon hävittämisen keino ja sitä on käytetty paljon esimerkiksi valtionhallintoon liittyvien levyasemien hävittämisen yhteydessä. Lyhyesti sanottuna, kiintolevyn olemassaolon loppumisen seurauksena päättyy myös sillä sijainneiden tietojen elinkaari sataprosenttisen varmasti.

Esimerkkinä fyysisestä hävittämisestä voidaan mainita Yhdysvaltalainen SemShred? yhtiö, joka on erikoistunut erilaisten dokumenttien hävittämiseen, kuten paperien silppuamiseen ja suorittaa muun muassa myös kiintolevyjen ja jopa kokonaisten tietokoneiden "silppuamista". Yhtiö on kehittänyt erityisen "Model 22 HDD" -kiintolevynsilppuamislaitteen, joka kuljettaa kiintolevyjä liukuhihnan välityksellä murskauskammionsa syövereihin ja silppuaa ne pienenpieniksi palasiksi kahdenkymmenen kiintolevyn tuntivauhtia. Prosessi perustuu teräksisen rattaan pyörimisliikkeeseen, johon kiinnitetyt terät suorittavat silppuamisen yhdessä murskauskammion seinämissä olevien kiinteiden terien kanssa. Käsittelyn jälkeen levyä on enää mahdotonta rekonstruktoida. Samalla "silppurilla" on mahdollista hävittää periaatteessa kaikkea tallennuslaitteistoa aina 3½ tuuman kokoon saakka, kuten esimerkiksi kämmenmikroja. Laite kerää silpun irroitettavaan säiliöön, josta se on helppo siirtää vaikkapa tavalliseen roska-astiaan [10].

Salakirjoitetut levyt

Automaattisesti datansa salakirjoittavia kiintolevyjä käytettäesä, koko tiedostojen tuhoaminen saattaa menettää merkityksensä. Kun levy poistetaan käytöstä, riittää että sen omistaja "unohtaa" levyn käyttöön vaaditun salanan ja levy on tyhjätty. Mikäli salasana on ollut riittävän vahva, levyn käsiinsä saaneella on edessään ylivoimainen urakka yrittäessään purkaa levyn sisältöä. Periaatteessa kaikille muille paitsi alkuperäiselle omistajalle levy siis vastaa uutta alustamatonta levyä. Kiintolevyjen valmistajilla, esimerkiksi Seagatella, on valikoimissaan levyjä, joissa salaus on toteuttu levynohjaimessa rautatasolla. Tämän lisäksi kotikäyttäjille tutustumisen arvoinen sovellus on TrueCrypt?. Sillä voi salakirjoittaa kokonaisia levyosioita tai vaihtoehtoisesti luoda jollekin osiolle virtuaalisen salakirjoitetun levyosion.

Yhteenveto

Sähköisesti tallennetun tiedon hävittäminen on todellakin haastavampi tehtävä kuin pelkän tutun roskakorin käyttäminen. Hävitystekniikoista erityisesti ylikirjoittaminen on jokaisen käyttäjän saavutettavissa. Nämä, joskus jopa ilmaiset apuohjelmat, tarjoavat huomattavasti tietoturvallisemman tavan tuhota tiedostoja kuin mitä käyttöjärjestelmissä on oletuksena tarjolla. Ammattimaisempaa hävitysoperaatiota kaipaava voi halutessaan turvautua maksullisiin ohjelmistoihin tai antaa ylikirjoituksen kokonaan siihen erikoistuneen yrityksen tehtäväksi. Samat yritykset tarjoavat useimmissa tapauksissa vaihtoehtoja ylikirjoittamiselle demagnetoinnin (kiintolevyn pinnan varausten sekoittaminen) ja kiintolevyn fyysisen tuhoamisen muodossa. Nämä keinot ovat paras valinta silloin, kun tyhjennettävälle kiintolevylle ei ole enää kaavailtu uusiokäyttöä.

Jatkokehitysideoita

  • Erilaisiin kiintolevyjen yms. tietovarastojen itsetuhomekanismeihin perehtyminen (kannettavissa, kämmenmikroissa ja USB-muisteissa näitä ainakin on jo saatavilla).
  • Tiedonhävittämisbisnes meillä ja maailmalla. Kuinka suuresta liiketoiminnasta loppujen lopuksi tässä on kyse?
  • Eri maiden mahdollinen lainsäädäntö, standardit ja sertifikaatit koskien tietojen hävittämistä.

Lähteet

[1] digitoday / Tietoturva / Tiedon hävitys on tekniikkalaji (viitattu 6.11.2006)
[2] List of Data Recovery Software / Wikipedia (viitattu 15.1.2007)
[3] Tietojen palautus / Wikipedia (viitattu 14.12.2006)
[4] Blancco (viitattu 14.12.2006)
[5] Norman Ibas Oy (viitattu 6.11.2006)
[6] Department of Defense 5220.22-M / Wikipedia (viitattu 14.12.2006)
[7] Eraser / Tolvanen.com (viitattu 15.1.2007, tiedosta kiitokset harjoitustyön t-16 tekijälle)
[8] DataPrey Oy (viitattu 14.12.2006)
[9] Runtime Software / Data Recovery Software - Hard Drive & File System Utilities (kuvauksia tiedonpalautusohjelmien toimintaperiaatteista) (viitattu 15.1.2007)
[10] SemShred Corp. / Model 22-HDD Hard Drive Destruction Unit (viitattu 14.12.2006)
[11] Self-Encrypting Drives for Servers, NAS and SAN Arrays, Technology paper, Seagate Viitattu 17.11.2009

Tenttitehtäviä aiheeseen: Sähköisesti tallennetun tiedon hävittäminen

1. Miksi tiedoston täydellistä hävittämistä tavoiteltaessa normaalit käyttöjärjestelmän tarjoamat tiedon poistamiskeinot (delete, format, fdisk) eivät ole riittäviä?
2. Esittele lyhyesti kolme (3) toimintatapaa, joilla tietokoneen kiintolevyllä olevat tiedostot saadaan hävitettyä niin, ettei niitä kyetä enää palauttamaan.
3. Miksi koko kiintolevyn ylikirjoittaminen on periaatteessa varmempi tapa hävittää levyn tiedot kuin yksittäisten tiedostojen poistaminen?
4. Mitä hyviä ja/tai huonoja puolia on tiedon ylikirjoittamisessa verrattuna magnetointiin ja kiintolevyn fyysiseen tuhoamiseen?

-- TomiLamminsaari? - 20 Sep 2009
Print version |  PDF  | History: r3 < r2 < r1 | 
Topic revision: r3 - 17 Nov 2009 - 01:52:34 - TomiLamminsaari?
 

TUTWiki

Copyright © by the contributing authors. All material on this collaboration platform is the property of the contributing authors.
Ideas, requests, problems regarding TUTWiki? Send feedback