11:33
25/3/2019

Nawet 70% dysków z drugiej ręki może zawierać dane poprzednich właścicieli. Najczęściej jest to wynik usuwania w danych w standardowy sposób, przez co łatwo je odzyskać. Co gorsza zdarza się, że dyski do sprzedaży nie są czyszczone w żaden sposób(!).

W Niebezpieczniku doskonale wiemy, że w Polsce zdarza się kupienie używanego dysku z danymi, albo otrzymanie urządzenia zastępczego, które nie zostało bezpiecznie wyczyszczone. Nie mieliśmy jednak pojęcia jak powszechne może być to zjawisko. Dlatego z zainteresowaniem przyjrzeliśmy się wynikom dwóch badań na ten temat i poniżej je omawiamy. Badania zostały przeprowadzone w UK i USA, ale wątpimy by w Polsce sytuacja była znacząco lepsza.

Złom z danymi za 600 dolarów

Josh Frantz, specjalista związany z firmą  Rapid7, postanowił zrobić badanie za 600 dolarów. Tyle właśnie pieniędzy wydał by nabyć trochę sprzętu refabrykowanego, używanego lub przeznaczonego do oddania. W sumie po odwiedzeniu 31 firm w Wisconsin zdobył:

  • 41 komputerów (stacjonarnych i laptopów),
  • 27 dysków zewnętrznych (m.in. napędy USB i karty pamięci),
  • 11 twardych dysków,
  • 6 telefonów.

Sprzęt został zebrany w jednym miejscu w celu sprawdzenia, czy da się go uruchomić i czy wymaga hasła. Skrypt w PowerShellu ułatwił zindeksowanie dostępnych obrazów, dokumentów, zapisanych e-maili i historii rozmów z komunikatorów, które zostały spakowane i ściągnięte na dysk USB. Specjalna stacja dokująca ułatwiła Frantzowi pobranie danych z twardyh dysków, a skrypt w Pythonie zajął się uporządkowaniem tych danych.


Jeśli chcesz dowiedzieć się jak analizować przypadkiem lub celowo usunięte z dysku dane, to zapraszamy na nasze warsztaty z Informatyki Śledczej (computer forensics) prowadzone przez biegłego sądowego — praktyka z kilkunastoletnim doświadczeniem w branży. Przez 2 dni dowiesz się jak za pomocą darmowych narzędzi możesz poddać analizie firmowe komputery i ustalić co się na nich działo w ostatnich godzinach, dniach i tygodniach — a także — co z nich świadomie lub nieświadomie usunięto. To dziś niezbędna wiedza, którą powinni dysponować zarówno zwykli administratorzy jak i profesjonalne zespoły reagowania na incydenty. Przyda się nie tylko podczas infekcji złośliwym oprogramowaniem… por. Jak namierzono wrogą pracownice w pewnej polskiej firmie.

Najbliższe terminy tych warsztatów w Warszawie, Krakowie i Wrocławiu znajdziesz na tej stronie.

Kłopotliwe były stare telefony komórkowe, bo wymagały one nietypowych ładowarek. Urządzenia udało się kupić, co podniosło koszty badania do 650 dolarów.Telefony nie były chronione PIN-em, choć w niektórych przypadkach nie udało się znaleźć oprogramowania pozwalającego na wygodne zgranie danych.

Ciekawostka luźno związana z tekstem. To nie jest starożytny artefakt, ale dysk poddany temperaturze 1000 stopni Celsjusza (autor: secumem, lic. CC BY-SA 3.0).

Na 85 urządzeń tylko 5 zabezpieczonych?

Już na pierwszym etapie eksperymentu pojawiły się nieco niepokojące wnioski.

  • Ze wszystkich 85 urządzeń tylko dwa zostały odpowiednio wyczyszczone (jeden laptop Della i jeden stary dysk Hitachi).
  • Tylko trzy urządzenia były zaszyfrowane.

Kiedy już Josh Frantz uporządkował zgrane dane, zaczął je przeszukiwać numerów SSN, dat urodzenia, numerów kart kredytowych i obrazów (przydały się do tego wyrażenia regularne oraz pyocr). Tabela poniżej prezentuje informacje, jakie udało się wyciągnąć ze starego sprzętu.

Adresy e-mail 611
Daty urodzenia 50
SSN 41
Numery kart 19
Numery praw jazdy 6
Numery paszportów 2

Jak te liczby zinterpretować? Hmmm… to jest ciekawe.

Jest drogo, ale i tak ciekawie

Z jednej strony te dane pokazują, że ludzie pozostawiają na starym sprzęcie masę osobistych informacji. Jednak z drugiej strony nabycie takiej ilości danych za 600 dolarów jest… nieopłacalne. W darknecie da się kupić informacje o numerach SSN za dolara lub mniej. Informacje o e-mailach sprzedaje się w paczkach. Josh Frantz stwierdził, że wyłudzenia i wycieki danych są tak powszechne, że znacznie obniżyły cenę takich danych.

Jednak “rynkowa cena” danych nie zawsze jest dobrym miernikiem ich wartości, bądź zagrożenia jakie mogą sprowadzić. Josh Frantz pobrał ze starego sprzętu ponad 200 tys. obrazów i ponad 150 tys. e-maili. Nawet jeden obraz lub jeden e-mail potrafią kogoś pogrążyć, a cały zestaw tych danych może się przydać do zorganizowania bardzo udanego oszustwa. Właśnie z tego powodu dyski powinny być niszczone albo przynajmniej czyszczone w taki sposób, aby znacznie obniżyć prawdopodobieństwo ujawnienia danych.

Badania University of Hertfordshire

Eksperyment Frantza miał charakter doświadczenia przeprowadzonego w warunkach niemal domowych. Obszerniejszy raport na ten sam temat wydali naukowcy z University of Hertfordshire wspólnie z firmą Comparitech. W przypadku tego badania zakupiono 200 używanych dysków USB, w tym 100 z UK i 100 z USA. Wykres poniżej bardzo wiele mówi.

Wykres: Comparitech Źródło danych: University of Hertfordshire

Aż 19 dysków z UK nie zostało wyczyszczonych w żaden sposób (w przypadku USA dotyczyło to tylko 1 dysku). To sugeruje, że pomiędzy UK i USA jest ogromna przepaść w świadomości użytkowników takich urządzeń.

W przypadku obu krajów najwięcej było dysków, z których dane usunięto, ale w sposób pozwalający na odzyskanie danych (64 dyski z USA i 47 dysków z UK). Liczba dysków sformatowanych, z których dane dało się odzyskać, wynosiła 8 dla USA i 16 dla UK. Liczba dysków bezpiecznie wyczyszczonych wynosiła 18 dla USA i 16 dla UK.

Uwagę zwraca mała liczba dysków szyfrowanych. No i gdybyśmy chcieli jednym zdaniem podsumować wyniki badania to musielibyśmy powiedzieć, że blisko 70% dysków z drugiej ręki zawiera dane poprzednich użytkowników (a mówiąc ściślej, 68% dysków z USA i 57% z UK).

Trafiły się nagie fotki

Dane odzyskane lub zgrane z dysków obejmowały:

  • dokumenty biznesowe (36 przypadków na dyskach z USA i 16 na dyskach z UK),
  • dokumenty prywatne (8 z USA, 1 z UK),
  • zdjęcia (15 z USA, 30 z UK),
  • CV (7 z USA, 1 z UK),
  • treści nacechowane seksualnie (3 przypadki z UK).

Treścią o charakterze seksualnym były zdjęcia mężczyzny w średnim wieku wraz z jego danymi kontaktowymi. Inne “interesujące” treści obejmowały fotografie pieniędzy i broni oraz nakazów przeszukania, raportów śledczych i innych dokumentów z postępowania. Były też dokumenty o bezpieczeństwie chemicznym, pożarowym i energetycznym dla pewnego konkretnego projektu. Znalazły się raporty laboratoryjne z firmy petrochemicznej, dokumenty o transakcjach giełdowych, oświadczenia podatkowe i nawet fotografie żołnierza z danymi o miejscu pełnienia służby i miejscu zamieszkania.

Co robić? Jak żyć?

Na szkoleniach i w tekstach na Niebezpieczniku zawsze uczymy, aby stosować szyfrowanie twardego dysku. Jest to o tyle dobre, że jesteśmy chronieni nawet w razie nagłej utraty lub kradzieży urządzenia. Jeśli już chcemy pozbyć się jakiegoś nośnika to musimy mieć na uwadze dwie rzeczy.

  • Tylko zniszczenie nośnika daje absolutną pewność, że żadne dane nie zostaną odzyskane.
  • Proste usunięcie danych z dysku nie jest wystarczające. Jeśli chcesz utrudnić odzyskanie tych danych, musisz skorzystać ze specjalnego programu do usuwania (na rynku są różne rozwiązania). No i trzeba mieć świadomość, że dyski SSD trudno jest bezpiecznie wyczyścić.

Nie licz na to, że sprzedawca używanego dysku zadba o Twoje bezpieczeństwo. Redaktorom Niebezpiecznika zdarzało się kupić używane dyski, z których dane w ogóle nie zostały usunięte (w jednym przypadku mieliśmy sporo fotek z wakacji). Zdarzyło się nam również, że sprzedawca usuwał dane w sklepie przy naszym redaktorze, po prostu przenosząc je do kosza i klikając “opróżnij kosz”. To się ciągle zdarza.

Pamiętajcie też, aby swoje urządzenia właściwie zabezpieczyć przed oddaniem do serwisu gwarancyjnego, a jeśli serwisant prosi o hasło do urządzenia to niekoniecznie musicie je od razu ujawniać.

Przeczytaj także:

34 komentarzy

Dodaj komentarz
  1. A jak wyglada sprawa z używanymi iPhonami? Czy funkcja „Wymaż wszystkie ustawienia i zawartość” to zwykły format dysku czy może coś bardziej zaawansowanego?

    • Właśnie, jak tutaj wygląda sprawa? Sam miałem pomysł, by przed sprzedażą rozwiązać problem w sposób chałupniczy. Po usunięciu wszystkich zdjęć (tylko te dane są wrażliwe) postawić telefon przy oknie i nakręcić kilkugodzinny film.

  2. Polecam darmowy programik Eraser z heidi.de .

  3. “Jeśli chcesz utrudnić odzyskanie tych danych, musisz skorzystać ze specjalnego programu do usuwania (na rynku są różne rozwiązania).” – Czy wystarczy (przyjmując że chodzi nam od dysk sda) dd if=/dev/zero of=/dev/sda ?

    • /dev/urandom wystarczy do każdego zastosowania poza jakimiś tajemnicami grubej skali gdzie trzeba jednak stosować ekrypcję. Zadaniem jest zablokowanie przeciętnego misia z ulicy który odpala gotowe softy do szukania danych. Prawda jest taka że w trywialnym wypadku wystarczuy /dev/zero i to załatwia problemy dla Kowalskiego.

  4. `twardyh`

    • to znaczy nie mienkih :)

  5. 600 usd nie starczyło na bloker? :)

  6. I pomysłeć,że znajomi patrzyli na mnie jak na szaleńca,gdy rozwalałem młotkiem stary, zepsuty telefon.

  7. na winie cipher daje rade przy zaczernianiu “usuniętych” danych.

  8. Co do nowych dysków SSD z pamięciami TLC to teoretycznie żeby skutecznie pozbyć się z nich danych to wystarczy taki dysk włożyć do szuflady na jakiś rok, może dwa i po wyciągnięciu go, dysk powinien być pusty i gotowy do odsprzedaży ;) Ale przydałby się jakiś test sprawdzający ile w tym prawdy.

    Przy okazji mam pytanie od redakcji – czy planujecie może jakiś artykuł na temat tzw. ACTA2? Bo jakoś tym razem mało w internecie rzetelnych informacji na ten temat, a głosowanie tuż tuż.

    • Ja po prostu zapycham dysk na maksa jakimś xxx w ilości kopii dostosowanym do wielkości, a pozostałą mniejszą przestrzeń Majką “na raz, na dwa”.
      Następnie to po prostu kasuję i powodzenia ;)

      pozdrawiam.

  9. Po co pod górę?
    shred i n=3 oraz na koniec zerami.

  10. A co się stanie z dyskiem, gdy w filmowy sposób wrzucimy go do mikrofali na 30 sekund?
    Wymaże dane? Nie będzie można ich odczytać?

    • Dane fizycznie nadal znajdują się na talerzach, bo mikrofalówka nie rozmagnesowuje urządzenia tylko uszkadza elektronikę i mechanikę dysku. Teoretycznie dane są nadal na dysku, w praktyce koszt odzyskania danych z tak potraktowanego nośnika jest nieopłacalnie duży, choć to akurat zależy od rodzaju danych jakie znajdują się na takim dysku. Najprościej: Kowalskiemu nie opłaca się, korpo może się opłacać.

  11. Skoro polecacie swój wykład:

    “Przez 2 dni dowiesz się jak za pomocą darmowych narzędzi możesz poddać analizie firmowe komputery”

    rozumiem że omawiane są WYŁĄCZNIE darmowe narzędzia? W sensie Encase czy FTK Imager się u Was na zajęciach nie nauczę? Czy omawiane są też blokery oraz ściąganie danych ze smartfonów??

    • Omawiane są darmowe softy, w tym FTK Imager jako jeden z nich. Jest praca na blokerach i klonerach. Analiza smarfonów to zupełnie inne szkolenie.

  12. Drogi niebezpieczniku..
    A jak ma się przewiercenie fizyczne dysku? Niszczy dane kompletnie? Bo mój kierownik twierdzi że nawet po 2 odwiertach można coś odzyskać…
    Mówię o hdd

    • Pewnie zależy gdzie ten otwór się wywierci. Jeśli chodzi o tradycyjne talerzowe dyski to jako bardzo skuteczną i średnio czasochłonną metodę (myślę że nie bardziej niż wiercenie) polecam rozkręcić dysk i trochę powyginać talerze, np. kombinerkami albo młotkiem przywalić. Na 100% bez jakichś super technologii niczego z takiego dysku (zniszczona powierzchnia talerzy) już się nie odzyska.
      Z prostszych metod to programowo zerowanie lub przynajmniej nadpisanie usuniętych danych. Ze sprzętowych to upadek włączonego dysku z wysokości ok 1m lub uszkodzenie płytki z elektroniką.

  13. Kiedyś poczytałem w temacie usuwania danych z dysków… To co polecam, to odpalenie linux live-cd i wykonanie albo shred-a (wspomnianego w komentarzach) albo ata secure erase.
    Tutaj fajny opis:
    https://ata.wiki.kernel.org/index.php/ATA_Secure_Erase
    Czasami stosuje gdy przez chwile muszę przetrzymywać czyjeś dane, żeby po zakończeniu prac nie mieć pozostałości po tych “czyichś danych”

  14. Drogo i nieefektywnie. Dane ważne są na szyfrowanych dyskach, dane łatwe do odzyskania są małej wartości. Ważne dane firmowe nieszyfrowane są na dyskach starych drukarek/ksero sprzedawanych z dużych firm. I nie znam sposobu na szyfrowanie dysku takiego urządzenia wielofunkcyjnego. Ciekawe czy w PL ministerstwa i Policja czyści np. dyski swoich Xeroxów?

  15. W Polsce jest znacznie lepiej. U nas znacznie rzadziej sprzedaje się używany sprzęt, tylko trzyma aż padnie. A na popsuty dysk ciężko znaleźć kupca i odzyskanie danych z padniętego dysku to zupełnie inna skala trudności i kosztów. Szyfrowanie dysków też jest prawie zawsze bez sensu: nieporównanie częściej od utraty/zbywania dysków zdarza się sytuacja gdy trzeba dane z uszkodzonego kompa zgrać lub naprawiać kompa jakimiś programami narzędziowymi i wtedy ten co zaszyfrował przeważnie ma problem, bo nawet jak zgrał klucze, to mają one tendencję do zagubienia się w najbardziej potrzebnych momentach. Ponadto po co dbać o dysk, jak się trzyma dane w zagranicznych chmurach, nad którymi nie ma się rzeczywistej kontroli?

    • > jak się trzyma dane w zagranicznych chmurach
      > nad którymi nie ma się rzeczywistej kontroli?

      Można dane zaszyfrować na swoim komputerze i dopiero potem wysłać na cudzy komputer (żadna “chmura” nie istnieje, są tylko cudze komputery).

  16. Raczej zwykły format bo szybki jest

    • dokładnie, koszty bardzo wysokie a prawdopodobieństwo “sukcesu” w mojej opinii nieadekwatne do kosztów i ryzyka

    • Spróbuj szybkiego formatu a następnie tak sformatowany dysk (może być pendrajw) przepuścić przez jakiś program do odzyskiwania danych. Program może być darmowy jakich wiele w necie. Ciekawe doświadczenie. A jeszcze lepiej dysk kupiony na serwisie aukcyjnym albo przyniesiony przez kogoś obcego. Temat stary i mocno wielokrotnie odgrzewany kotlet. Do trwałego usunięcia danych z hdd wystarczy użycie dd i nadpisanie wszystkiego zerami. Nie wiem jak z realokowanymi sektorami. Natomiast na ssd lub penach nie jest to już tak oczywiste. :D

  17. Zawsze się teoretycznie da odczytać z HDD, tylko w miejscu przewiercenia pewnie będą pęknięcia, a to znacznie wszystko utrudnia

    • Rozebrałem niedawno dysk z laptopa 500GB produkcji HGST. I teraz takie spostrzeżenia.
      – Proponowane wyginanie kombinerkami można sobie odpuścić bo wystarczy delikatnie palcami wygiąć. Po dosłownie delikatnym wygięciu strzela jak szkło. I może nawet jest to szło bo tak się zachowywało, uszczerbienia wyglądały identycznie jak by szkło okienne łamać a w miejscu ukruszenia, gdzie odpadła warstwa magnetyczna dysk był przeźroczysty.
      – w związku z powyższym wjechanie dużym wiertłem rozmiecie pewnie na kawałki taki dysk.
      – w związku powyższym nie widzę tego, jakby miały głowice się unosić podczas odczytu nad dziurą (zaryją i będzie po nich) a po kawałkach to już wcale,
      – a w związku z powyższym szkoda czasu na rozbieranie tylko tania wiertarka i duże wiertło.

      Zdrówko

    • Wiercenie powoduje magnesowanie metalu. Oczywiście można sprzętem za miliony dolarów skanować powierzchnię dysków poza otworem, następnie wirtualnie odtwarzać powierzchnię talerzy i odczytywać co zostało. Tylko że to niepołacalne przy losowo trafionym dysku.

  18. Czy jeśli mam dysk od nowości szyfrowany veracryptem i potem tylko zformatowany to mam się czego bać?

  19. Trafił do mnie niedawno laptop z norweskich “elektrośmieci” z zepsutym dyskiem. Po podpięciu go do kompa przez kieszeń zewnętrzną, okazało się, że wystarczy przepuścić go przez CHKDSKa i znowu działa.
    A na dysku masa danych jakiejś duńskiej nastolatki: zdjęcia, filmiki, wypracowania do szkoły, zalogowany skype z kontaktami i całą historią.
    Nie wywalajcie swoich dysków nawet gdy wydają się zepsute.

    • Tylko wszystkie trzymać do końca świata i jeden dzień dłużej? To niektórzy mieli by u siebie niezłe wysypiska :P

  20. Programy nadpisujące dane przy usuwaniu faktycznie mają sens, czy tylko fizyczne uszkodzenie dysku daje gwarancję?
    Mam tu na myśli oprogramowanie typu Shredder.

  21. Przypominająco:
    już w połowie lat 90-tych 20 wieku m.in. USA zalecało do usuwania danych z HDD (talerzowych) metodę NIST (https://www.nist.gov/news-events/news/2006/08/how-guide-removing-data-storage-media). W skrócie:
    1) wielokrotne nadpisanie
    2) demagnetyzacja
    3) zniszczenie fizyczne
    Dopiero po trzecim etapie uznawano dysk za bezpiecznie zniszczony

    @Henry- bo on był szklany, podczas wejścia na rynek był reklamowany jako supercichy plus cośtam ze względu na szklane talerze kryte warstwą tlenku żelaza.
    Ja rozebrałem kiedyś stary dysk 240MB, bodajże WD, miał talerze z metalu i dalej działał po ponownym złożeniu :-)

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: