Сергей КОЖЕНЕВСКИЙ,
генеральный директор компании «ЕПОС»
Юрий МУЛ,
начальник сервисного центра
Владимир ПОРЕЧНЫЙ, инженер-исследователь
Источник: http://www.epos.ua/
В информационных системах, базовым элементом которых является компьютер, основные объёмы информации хранятся на жёстких магнитных дисках (НЖМД).Именно на НЖМД хранится и с него загружается в оперативную память компьютера его операционная система, информация, обрабатываемая в процессе использования, а также использованная и удаляемая информация.
Широкому применению НЖМД способствует ряд его положительных эксплуатационных качеств: надежность, быстрота доступа и дешевизна в расчёте на единицу хранения информации. Кроме того, один из самых важных показателей – энергонезависимость делает НЖМД практически незаменимым для оперативного и долговременного хранения больших массивов информации.
В то же время размещение и хранение информации в устройствах долговременной энергонезависимой памяти создаёт предпосылки для несанкционированного доступа к ней.
Электронный документооборот, так называемая «безбумажная технология» в сфере государственного управления, сосредоточение конфиденциальной информации в базах данных различных правительственных и коммерческих структур представляют собой реальную ценность, а утечка информации в ряде случаев способна нанести существенный ущерб интересам её собственника.
Ущерб от компьютерных преступлений ежегодно составляет примерно 5 млрд долларов в США, 1 млрд франков во Франции, 4 млрд марок в Германии и 20 млрд рублей в России.
Одним из каналов утечки информации, позволяющим несанкционированно и практически законно снимать информацию, хранящуюся на НЖМД, является установившаяся практика эксплуатации НЖМД с гарантийным или послегарантийным их обслуживанием.
Ввиду невозможности в большинстве случаев произвести ремонт и обслуживание вышедшего из строя НЖМД на месте производят его замену на новый. При этом вся информация в доступном или недоступном для операционной системы виде остаётся на подлежащем замене НЖМД.
В закупаемых за рубежом компьютерах в гарантийный период обслуживания может быть применён принцип имитации выхода компьютеров из строя по вине НЖМД после определённого периода функционирования и накопления информации. Так как договор гарантии распространяется на всю партию компьютерной техники и предусматривает замену НЖМД на безоплатной основе при сохранности пломб и соблюдении правил эксплуатации, то сервисному центру или организации, обеспечивающим поставку компьютерной техники (как правило, зарубежной), добровольно передаётся информация, хранящаяся на НЖМД.
Это относится и к отечественным поставщикам компьютерной техники, которые закупают комплектующие у дистрибьюторов ведущих зарубежных фирм. В этом случае при выходе из строя НЖМД у пользователя эти фирмы производят его замену и отправляют дистрибьютору, который в свою очередь отправляет этот НЖМД фирме-производителю за рубеж. Можно только представить масштабы и объёмы утечки информации. Чаще всего выход НЖМД из строя для пользователя является неожиданным и происходит в самый неподходящий момент. Поэтому зачастую пользователь не может самостоятельно уничтожить информацию, хранившуюся на ставшем неисправным НЖМД.
В иных ситуациях пользователь, когда приходит время удалять (стирать) ненужную информацию, применяет стандартную для операционной системы операцию. При этом файл выделяется и выполняется команда DELETE. Стандартные средства визуализации информируют об удалении файла, и у пользователя создаётся иллюзия, что он уничтожен.
Однако опытному специалисту известно, что это только кажущееся уничтожение информации. Информация не исчезла, пропали только ссылки на неё в каталоге и таблице размещения файлов. Сама же информация по-прежнему находится на НЖМД и может быть восстановлена. Когда стираемая информация несущественна, пользователя мало интересует возможность её восстановления посторонними лицами. Другое дело, когда информация носит конфиденциальный характер. В этом случае должна быть уверенность в надёжности её уничтожения.
Кажущаяся на первый взгляд несложной задача уничтожения информации, хранящейся на НЖМД, перерастает в серьёзную проблему гарантированной утилизации информационных отходов.
Одним из аспектов общей проблемы защиты от несанкционированного доступа к конфиденциальной информации, хранящейся на накопителях с жёсткими магнитными дисками, является проблема надежного уничтожения (стирания) информации, как в процессе постоянной эксплуатации накопителя, так и в случаях вывода накопителя из эксплуатации по различным причинам. Ввиду обширности данной проблемы рассмотрим только некоторые возможные способы уничтожения (стирания) информации при выводе накопителя из эксплуатации.
Все возможные способы уничтожения информации, хранящейся на накопителях с жёсткими магнитными дисками, при выводе накопителей из эксплуатации можно разбить на две большие группы:
Сущность способов первой группы заключается в таком воздействии на рабочие слои дисков, в результате которого разрушается физическая, химическая либо магнитная структура рабочего слоя. К таким способам можно отнести: механическое разрушение дисков (прессование, механическое эрозирование поверхности – пескоструй, ультразвуковое и электрохимическое эрозирование), химическое травление в агрессивных средах и обжиг или переплавку дисков. Съём данных с магнитных дисков, подвергшихся таким воздействиям, становится невозможным ни практически, ни теоретически.
К этой же группе можно отнести и воздействие на диски мощным постоянным или переменным магнитным полем, при котором разрушается магнитная структура рабочих поверхностей, в том числе служебная информация низкоуровневого форматирования и сервометки. Хотя в этом случае и существует теоретическая возможность восстановления работоспособности накопителя, связанная с повторной записью сервометок и последующим низкоуровневым форматированием, но практическая реализация такой возможности (даже при успешном решении организационных вопросов с заводом-изготовителем) сомнительна с экономической точки зрения. Следует отметить, что этот способ не исключает теоретической возможности съёма информации с дисков по остаточным следам зон намагниченности путём использования особо чувствительных специальных головок чтения и использования статистических методов обработки сигналов с накоплением.
Ко второй группе способов (с сохранением работоспособности накопителя) можно отнести традиционные способы уничтожения только данных пользователя путём многократной записи на их место случайных (шумоподобных) кодов, в результате которой разрушается магнитная структура только тех участков дорожек, на которых хранились данные, а структура всех служебных областей полностью сохраняется. При таком способе уничтожения данных возможность съёма информации является столь же теоретической, как и при воздействии мощного электромагнитного поля, но работоспособность накопителя полностью сохраняется.
Для того чтобы определить, где на НЖМД находятся данные пользователя, которые необходимо уничтожить (стереть), рассмотрим более детально структуру размещения информации на поверхности магнитного диска.
Информация на магнитном диске НЖМД хранится в строго определённом порядке, который однозначно задаётся операционной системой (ОС). Современные ОС – по крайней мере, широко распространённые системы – во многом похожи друг на друга. Прежде всего это вызвано требованием переносимости программного обеспечения. Именно для обеспечения переносимости был принят POSIX (Portable OS Interface based on uniX) – стандарт, определяющий минимальные функции по управлению файлами, межпроцессному взаимодействию и т.д., которые должна уметь выполнять система.
Кроме того, за четыре с лишним десятилетия, прошедших с момента разработки первых ОС, сообщество программистов достигло понимания того, что:
Важной частью любой операционной системы является файловая система (ФС), которая отвечает за организацию хранения и доступа к информации на каких-либо носителях. Рассмотрим в качестве примера файловую систему FAT16 для наиболее распространённых в наше время носителей информации – магнитных дисков. Как известно, информация на жёстком диске хранится в секторах (обычно 512 байт) и само устройство может выполнять лишь команды считывания/записи информации в определённый сектор на диске. В отличие от этого, файловая система позволяет пользователю оперировать с более удобным для него понятием – файл. Файловая система берёт на себя организацию взаимодействия программ с файлами, расположенными на дисках. Для идентификации файлов используются имена.
Под каталогом в ФС понимается, с одной стороны, группа файлов, объединённых пользователем исходя из некоторых соображений, с другой стороны, каталог – это файл, содержащий системную информацию о группе составляющих его файлов. Файловые системы обычно имеют иерархическую структуру, в которой уровни создаются за счёт каталогов, содержащих информацию о файлах и каталогах более низкого уровня.
Рассмотрим более подробно структуру жёсткого диска. Базовой единицей жёсткого диска является раздел, создаваемый во время разметки жёсткого диска. Каждый раздел содержит один том, обслуживаемый какой-либо файловой системой и имеющий таблицу оглавления файлов – корневой каталог. Жёсткий диск может содержать до четырёх основных разделов. Это ограничение связано с характером организации данных на жёстких дисках IBM-совместимых компьютеров. Многие операционные системы позволяют создавать так называемый расширенный (extended) раздел, который по аналогии с разделами может разбиваться на несколько логических дисков.
В первом физическом секторе жёсткого диска располагается головная запись загрузки и таблица разделов (табл. 1). Головная запись загрузки (master boot record, MBR) – первая часть данных на жёстком диске. Она зарезервирована для программы начальной загрузки BIOS – ROM Bootstrap routine, которая при загрузке с жёсткого диска считывает и загружает в память первый физический сектор на активном разделе диска, называемый загрузочным сектором (Boot Sector). Каждая запись в таблице разделов (partition table) содержит начальную позицию и размер раздела на жёстком диске, а также информацию о том, первый сектор какого раздела содержит загрузочный сектор.
Таблица 1
Структура таблицы разделов
| Описание | Размер (байт) |
| Загрузочная запись (MBR) | 446 |
| Запись 1 раздела | 16 |
| Запись 2 раздела | 16 |
| Запись 3 раздела | 16 |
| Запись 4 раздела | 16 |
| Сигнатура 055Aah | 2 |
Можно ли уничтожить информацию путём уничтожения содержимого первого сектора? Конечно, нет. В этом секторе нет данных пользователя. Будет уничтожена информация о количестве разделов, их ёмкости и местонахождении на диске. Просто НЖМД не будет виден как логическое устройство и не более того. С помощью специальных программ автоматически или вручную можно гарантированно восстановить всю информацию на диске.
Различие между файловыми системами заключается в основном в способах распределения пространства между файлами на диске и организации на диске служебных областей.
Файловая система FAT (File Allocation Table) была разработана Биллом Гейтсом и Марком Макдональдом в 1977 году и первоначально использовалась в операционной системе 86-DOS. Чтобы добиться переносимости программ из операционной системы CP/M в 86-DOS, в ней были сохранены ранее принятые ограничения на имена файлов. В дальнейшем 86-DOS была приобретена Microsoft и стала основой для ОС MS-DOS 1.0, выпущенной в августе 1981 года. FAT была предназначена для работы с гибкими дисками размером менее 1 Мбайт и вначале не предусматривала поддержки жёстких дисков. Структура раздела FAT изображена на рис. 1.
| Загрузочный сектор Блок параметров BIOS (BPB) |
FAT | FAT (копия) |
Корневой каталог | Область файлов |
Рис. 1. Структура раздела FAT
В блоке параметров BIOS содержится необходимая BIOS информация о физических характеристиках жёсткого диска. Файловая система FAT не может контролировать отдельно каждый сектор, поэтому она объединяет смежные сектора в кластеры (clusters). Таким образом, уменьшается общее количество единиц хранения, за которыми должна следить файловая система. Размер кластера в FAT является степенью двойки и определяется размером тома при форматировании диска. Кластер представляет собой минимальное пространство, которое может занимать файл.
Уничтожение загрузочного сектора не является серьёзным препятствием для восстановления данных, так как конкретные значения блока параметров BIOS (размер кластера, число кластеров в томе, число элементов FAT и т.п.) может быть получено расчётным путем.
Своё название FAT получила от одноимённой таблицы размещения файлов. В таблице размещения файлов хранится информация о кластерах логического диска. Каждому кластеру в FAT соответствует отдельная запись, которая показывает, свободен ли он, занят ли данными файла или помечен как сбойный (испорченный). Если кластер занят под файл, то в соответствующей записи в таблице размещения файлов указывается адрес кластера, содержащего следующую часть файла. Из-за этого FAT называют файловой системой со связанными списками.
Файловая система FAT всегда заполняет свободное место на диске последовательно от начала к концу. При создании нового файла или увеличении уже существующего она ищет самый первый свободный кластер в таблице размещения файлов. Если в процессе работы одни файлы были удалены, а другие изменились в размере, то появляющиеся в результате пустые кластеры будут рассеяны по диску. Если кластеры, содержащие данные файла, расположены не подряд, то файл оказывается фрагментированным.
Уничтожение таблиц FAT (например, при форматировании диска) значительно усложняет задачу восстановления данных, т.к. именно они являются жизненно важными схемами расположения файлов. Вся область файлов становится морем информации без каких-либо указателей. Автоматическое восстановление данных с помощью утилит не гарантирует полного восстановления, и чем больше степень фрагментации файлов, тем меньше вероятность восстановления. Полное восстановление возможно в «полуавтоматическом» режиме специалистами по восстановлению информации, но это требует значительных временных затрат.
За таблицами размещения файлов следует корневой каталог. Каждому файлу и подкаталогу в корневом каталоге соответствует 32-байтный элемент каталога (directory entry), содержащий имя файла, его атрибуты (архивный, скрытый, системный и «только для чтения»), дату и время создания (или внесения в него последних изменений), а также прочую информацию (табл. 2).
При удалении файлов содержание элемента каталога меняется незначительно, в имени файла первый символ заменяется символом, соответствующим шестнадцатеричному значению Е5, и может быть легко восстановлен. Однако при форматировании диска элементы каталогов в корневом каталоге полностью уничтожаются (прописываются нулями): при этом теряются данные об имени файла, его размере и номере начального кластера с данными. В этом случае можно восстановить все файлы на диске, за исключением тех, имена которых находились в корневом каталоге.
Таблица 2
Структура элемента каталога
| Содержание | Размер (байт) |
| Имя файла | 8 |
| Расширение | 3 |
| Байт атрибутов | 1 |
| Зарезервировано | 10 |
| Время создания | 2 |
| Дата создания | 2 |
| Номер начального кластера с данными | 2 |
| Размер файла | 4 |
Последний элемент структуры раздела FAT – область файлов. В этой области при переформатировании диска и удалении файлов содержимое файлов не изменяется. Чтобы уничтожить эти данные, необходимо поверх старых файлов записать новые данные. На то, чтобы в файловой системе этот процесс произошёл «естественным путем», могут уйти недели и даже месяцы. Поэтому следует использовать специальные программы, которые не только удаляют заголовок файла, но и стирают все данные в использованных секторах. Информацию, стёртую таким образом, восстановить обычными средствами уже невозможно.
Однако природа записи на магнитные носители такова, что жёсткий диск хранит следы ранее записанных файлов, даже если поверх них записана новая информация. На основании этих следов содержание удалённых и затёртых файлов может быть восстановлено с применением специальных средств.
Алгоритмы гарантированного уничтожения информации основываются на многократном перезаписывании новых данных поверх ранее хранившейся на разделе (диске) информации. При этом учитываются особенности технологии записи данных на современные жёсткие диски. После обработки диска с помощью наиболее мощных алгоритмов уничтожения восстановление информации невозможно никакими современными средствами.
Этот способ можно реализовать двумя путями. Первый путь заключается в использовании специальных утилит для ПК, обеспечивающих прямой доступ к секторам накопителя на физическом уровне для записи шумоподобных кодов в обход стандартных функций операционных систем, которые обеспечивают доступ к файлам и папкам. Естественно, что при реализации данного способа должны быть решены организационные и технические вопросы, связанные с возможностью несанкционированного создания резервных копий в процессе уничтожения данных.
Из широко распространёенных программных средств хорошо себя зарекомендовали утилита WipeInfo из пакета Norton Utilities, DataEraser фирмы Ontrack, Acronis Proof Eraser, Sanitizer фирмы Stratfor Systems и многие другие.
Вторым путём является использование автономных устройств, не входящих в состав ПК и обеспечивающих прямую запись шумоподобных кодов во все секторы накопителя. Такой способ уничтожения конфиденциальной информации может быть реализован, например, с использованием прибора «ЕПОС Тестер HDD», разработанного и выпускаемого компанией «ЕПОС». Возможность несанкционированного создания резервных копий в процессе уничтожения данных исключается самой конструкцией прибора.
Рис. 2. ЕПОС Тестер HDD
«ЕПОС Тестер HDD» представляет собой автономный прибор с габаритами 140х190х60 мм, весом около 300 г, подключаемый к любому стандартному источнику питания ПК. Прибор обеспечивает:
Копия создаётся только в одном экземпляре на накопителе-приёмнике, возможность какого-либо другого доступа к копируемым данным исключается. В процессе уничтожения данных также исключается возможность доступа к данным или их несанкционированного копирования.
В состав тестера входит:
Прибор обеспечивает работу со всеми типами и моделями накопителей с интерфейсом IDE.
В процессе копирования постоянно осуществляется контроль состояния поверхностей источника и приёмника. При обнаружении повреждённого сектора источника прочитанные данные записываются в соответствующий сектор приёмника, фиксируется наличие и число повреждённых секторов источника и копирование продолжается. При обнаружении повреждённых секторов на приёмнике дальнейшее копирование прекращается с выдачей соответствующего сообщения.
Прибор имеет встроенную систему самодиагностики, а также защиту от случайных сбоев и от пропадания питания, обеспечивающую надёжное и успешное завершение начатых операций копирования или уничтожения данных.
Каждый факт использования прибора для создания копий или уничтожения данных автоматически регистрируется в энергонезависимой памяти прибора с указанием типов моделей и серийных номеров использованных накопителей и результатов завершения операций.
В настоящее время разрабатывается новая версия конструкции прибора «ЕПОС Тестер HDD» со встроенным источником питания, которая будет также обеспечивать возможность работы с накопителями на магнитооптических дисках и диагностики приводов CD-ROM.
Литература