Data verwijderen van een gegevensdrager
Elke dag maken we gebruik van allerlei bestanden en verschillende soorten data. We creëren tekstbestanden, spreadsheets, grafische bestanden, e-mails en vele andere soorten bestanden. Vervolgens muteren we de bestanden, we delen ze en uiteindelijk worden de bestanden weer verwijderd. Dit doen we meestal zonder na te denken wat er nu echt met de bits en bytes gebeurt, bijvoorbeeld wanneer we iets verwijderen.
Verwijderd is niet verwijderd
Meer dan eens bereiken ons de verhalen van mensen die hun harde schijf hadden geformatteerd en dat de data toch terug was getoverd door zogenaamde experts. Het moge duidelijk zijn dat voor de meest simpele vorm van datarecovery je geen expert hoeft te zijn.
Een probleem met het verwijderen van bestanden is dat het niet zo zichtbaar is als het verwijderen van papieren documenten. Wanneer we een papieren document weggooien, doormidden knippen of verbranden, is het duidelijk dat het niet meer fysiek en intact op ons bureau ligt, en we weten waar het gebleven is.
Dit is op een computersysteem een probleem. Wanneer we een bestand verwijderen is het nogal onduidelijk wat er precies gebeurt. Indien we met documenten werken die vertrouwelijk zijn, willen we er soms zeker van zijn dat een bestand echt weg is.
Een bestand kan bijvoorbeeld verplaatst zijn naar de prullenbak, in dit geval is een bestand zo terug te halen. Een andere optie is dat we een bestand definitief verwijderen, zonder dat dit in de prullenbak terechtkomt. In dit geval lijkt het bestand weg te zijn, maar is dat ook zo?
Het antwoord is nee: verwijderd is niet verwijderd.
Formatteren is niet formatteren
We kennen allemaal de oplossing voor het geval de pc het niet meer doet: formatteren en opnieuw installeren. Of wanneer we een harde schijf wegdoen: even formatteren en alle data is weg. De zogenaamd echte experts willen er nog wel een schepje bovenop doen: drie keer formatteren en dan is de schijf helemaal leeg.
Dat klinkt allemaal erg overtuigend, maar is dat echt wel zo? Dat is moeilijk te zeggen, de bovenstaande beweringen zijn deels waar. Een echte (low level) format verwijdert inderdaad alle data. Wat Microsoft Windows onder formatteren verstaat, wordt ook wel een high level format genoemd. Bij een high level format, of een Microsoft Windows format, worden (in het geval van een FAT-bestandssysteem) de FAT-tabellen geleegd en de rootdirectory geleegd, maar alle sectoren blijven ongewijzigd.
De consequentie is dat formatteren, zoals we dat meestal gewend zijn om te doen, net zoveel data verwijdert als wanneer we een bestand verwijderen: namelijk alle verwijzingen naar de data worden verwijderd, maar de data zelf blijft bestaan. Dat betekent dat wanneer een bedrijf bijvoorbeeld een paar honderd pc's weggooit of weggeeft, nadat netjes alle harde schijven zijn geformatteerd, die pc's nog steeds alle data op de harde schijven hebben staan. Dit gebeurt helaas nog veel te vaak.
Oplossing: Media wipe
Wipen houdt in dat de gehele harddisk wordt overschreven met nieuwe data. De data die tijdens het wipen wordt weggeschreven naar de harde schijf is ‘leeg’. Het heeft geen inhoud en in de volksmond wordt het 'overschrijven met nulletjes en ééntjes' genoemd. Dat is ook precies wat het doet. Het grote voordeel hiervan is dat, afhankelijk van de manier waarop je het doet, de data nooit meer kan worden teruggehaald. Ook niet met data recovery tooltjes.
Wanneer een gegevensdrager gewiped wordt, kan dit op een aantal manieren. De bytes kunnen allemaal op nul gezet worden, of alle bytes kunnen overschreven worden met willekeurige data. Wat in ieder geval van belang is, is dat alle data overschreven wordt.
DoD-standaard
Het Amerikaanse Department of Defence (DoD) heeft vele standaarden gedefinieerd voor wat veilig is, zo ook voor het verwijderen van data. Het DoD geeft aan dat wanneer data verwijderd moet worden, men elke bit moet beschrijven met eerst een één en dan een nul of andersom, en vervolgens het geheel moet controleren. In de iets strengere variant moet dit proces diremaal herhaald worden. Het grote nadeel hiervan is wel dat dit zeer veel tijd kost, vooral op grote harde schijven. De tool Eraser biedt beide DoD-standaarden ook aan als wipemethode.
Er kunnen wel vraagtekens worden gezet bij de noodzaak van het keer op keer data overschrijven. Volgens de NSA, National Security Agency, is het al voldoende om eenmaal de data te overschrijven. Deze bewering is in ieder geval waar voor de standaard data-recovery-software, dus bijvoorbeeld wanneer we een pakket als FTK Imager gebruiken.
DD
Er zijn veel, soms commerciële, producten op de markt die bijvoorbeeld een harde schijf volledig kunnen wipen. De meest basale variant is DD, een Unix/Linux commando dat ruwe data kan kopiëren. Door het gebruik van DD heeft de computergebruiker een volledige controle over wat er gebeurt bij het kopiëren van data. Een manier om DD voor het wipen te gebruiken, is door allemaal nullen te kopiëren naar de schijf. Hiervoor kan het speciale Unix/Linux bestand /dev/zero als invoerbestand worden gebruikt. Dit speciale bestand bevat alleen nullen. Door data van /dev/zero naar de schijf te kopiëren, overschrijven we de gehele harde schijf met nullen. Ook kunnen we voor het wipen gebruikmaken van /dev/random welke willekeurige data bevat. Wanneer we met /dev/random een harde schijf overschrijven staat de gehele schijf gevuld met willekeurige data. Er is ook een Windows variant gemaakt, genaamd DD for Windows.
Vernietigen
Wanneer we een computer weggooien is het natuurlijk ook een optie om de harde schijven echt te vernietigen. Dit is de meest veilige manier om te zorgen dat de data niet toegankelijk is voor anderen, maar het is niet altijd even makkelijk. Ook het Department of Defence spreekt over het vernietigen van media als oplossing voor zeer geheime informatie, één van de mogelijkheden die het beschrijft is het omsmelten van je harde schijf. Als we dit echt zelf willen doen moet de gehele harde schijf gesloopt worden en moeten de platen die erin zitten vernietigd worden: een aardige klus maar wel effectief!
© 2012 - 2024 Tomski, het auteursrecht van dit artikel ligt bij de infoteur. Zonder toestemming is vermenigvuldiging verboden. Per 2021 gaat InfoNu verder als archief, artikelen worden nog maar beperkt geactualiseerd.
Gerelateerde artikelen
Data recovery, hoe werkt het?Data recovery is het reconstrueren van data welke nog op een gecrashde harde schijf staat. Er zijn softwarematige progra…
Maak je computer snellerWanneer je een computer lang in gebruik hebt kan het gebeuren dat deze traag wordt. Programma's starten minder snel op e…
Een laptop adapter kopenNet als je bezig bent met het uitwerken van een verslag of als je lekker aan het surfen bent op het internet valt je lap…
Bronnen en referenties
- www.security.nl
- http://home.zonnet.nl/roberthoenselaar/BestandenVerwijderen.html