Potensi jebakan yang terkait dengan menghapus disk SSD dengan aman

12

Saya perlu menonaktifkan dua disk SSD dari salah satu server yang saya hostkan di Linux.

Dalam rangka untuk data yang aman menghapus disimpan dalam disk saya berencana untuk menggunakan: hdparm --security-erase.

Saya membaca dokumen ini dan menyarankan agar tidak ada disk yang terhubung ke host, selain yang dimaksudkan untuk dihapus.

Dan artikel ini menunjukkan bahwa jika ada bug kernel atau firmware, prosedur ini mungkin membuat drive tidak dapat digunakan atau crash komputer yang sedang berjalan .

Server ini sedang dalam produksi, dengan konfigurasi RAID perangkat lunak untuk disk produksi. Tidak ada pengontrol RAID untuk disk yang harus saya hapus.

Pertanyaan:

Apakah ini operasi yang agak aman untuk dilakukan di lingkungan produksi, atau apakah saya akan lebih baik dilayani dengan melepas disk dan melakukan prosedur ini di host lain?

Sunting: hanya tautan dengan prosedur terdokumentasi yang bagus

Matías
sumber
8
Bakar saja, serius, jika keamanan adalah yang paling penting hancurkan mereka dengan api, SSD sekarang ini relatif murah - itu satu-satunya cara untuk memastikan :)
Chopper3
2
Pendek nuking mereka dari orbit.
Lilienthal
1
Apakah ada yang menelepon?
Lightness Races dengan Monica

Jawaban:

18

ATA Secure Erase adalah bagian dari spesifikasi ATA ANSI dan ketika diimplementasikan dengan benar , seka seluruh isi drive pada tingkat perangkat keras alih-alih melalui alat perangkat lunak. Perangkat lunak menulis data berlebihan pada hard drive dan SSD, seringkali melalui beberapa lintasan; masalah dengan SSD adalah bahwa perangkat penulisan yang berlebihan pada perangkat lunak tersebut tidak dapat mengakses semua area penyimpanan pada SSD, meninggalkan blok data di wilayah layanan drive (contoh: Bad Block, Block-Leveling Block yang dicadangkan, dll.)

Ketika perintah ATA Secure Erase (SE) dikeluarkan terhadap pengontrol internal SSD yang mendukungnya dengan benar , pengontrol SSD mengatur ulang semua sel penyimpanannya sebagai kosong (melepaskan elektron yang disimpan) - dengan demikian mengembalikan SSD ke pengaturan default pabrik dan kinerja penulisan . Ketika diterapkan dengan benar, SE akan memproses semua wilayah penyimpanan termasuk wilayah layanan yang dilindungi media.

Disalin secara bebas dari http://www.kingston.com/us/community/articledetail?ArticleId=10 [via archive.org] , beri tekanan pada saya.

Masalahnya adalah, bahwa menurut beberapa pihak, baik dukungan dan implementasi ATA Secure Erase yang tepat oleh pabrikan "kurang".

Makalah penelitian ini dari tahun 2011 menunjukkan pada setengah SSD menguji ATA secure erase gagal untuk secara efektif menghancurkan data pada drive.

Dalam pengujian makalah penelitian yang sama menunjukkan bahwa mungkin mengejutkan bagi sebagian orang, overwrite tradisional multi-pass SSD sebenarnya sebagian besar berhasil, meskipun masih beberapa data (mungkin dari daerah yang dipesan dari SSD yang berada di luar ukuran disk yang dilaporkan) dapat dipulihkan. .

Jadi jawaban singkatnya adalah: menggunakan perangkat lunak untuk membersihkan seluruh SSD mungkin atau mungkin tidak 100% efektif.
Mungkin masih cukup untuk kebutuhan Anda.

Kedua, melakukannya pada server yang menjalankan produksi: Kesan saya adalah bahwa sebagian besar manual menyarankan boot dari disk penyelamat untuk menghapus disk karena alasan sederhana bahwa menggunakan perangkat lunak untuk menghapus boot / OS disk akan gagal total dan kebanyakan laptop dan PC hanya memiliki disk tunggal.
Risiko universal untuk mengeksekusi perintah yang berpotensi (atau lebih disengaja) pada sistem produksi juga berlaku.

Mengenkripsi drive Anda akan membuat (sebagian) pemulihan data dari disk yang dibuang (SSD atau jenis pemintalan) jauh lebih kecil kemungkinannya. Selama seluruh drive dienkripsi dan Anda tentu saja tidak memiliki partisi (swap) yang tidak dienkripsi.

Kalau tidak, ini selalu shredder .

HBruijn
sumber
8

Pada dasarnya - karena cara SSD bekerja - tidak mungkin untuk 'menghapus dengan aman'. Terutama untuk drive perusahaan - kebanyakan dari mereka lebih besar daripada yang muncul di tempat pertama, karena ada kapasitas 'cadangan' di dalamnya, untuk keperluan leveling aus.

Leveling keausan yang sama berarti penghapusan gaya 'timpa' juga tidak melakukan apa yang Anda pikirkan.

Pada tingkat yang cukup mendasar, itu tergantung pada risiko yang Anda khawatirkan adalah:

  • jika Anda hanya ingin 'membersihkan' dan memindahkan perangkat keras di wilayah Anda: Format dan selesai dengan itu.
  • jika Anda khawatir tentang lawan jahat, sumber daya bagus yang mendapatkan materi sensitif: Jangan repot-repot menghapus, hancurkan secara fisik *.

(*) di mana dengan 'menghancurkan secara fisik' yang saya maksud adalah rusak, insinerasi, dan audit. Tahan godaan untuk DIY - itu tidak menyenangkan di SSD pula.

Sobrique
sumber
1
-1, tidak ada alasan untuk berharap bahwa implementasi ATA Secure Erase vendor disk tidak benar-benar menghapus semua blok.
Andrew Medico
7
+1 dari saya karena ya, ada. Lihat, misalnya, cseweb.ucsd.edu/~m3wei/assets/pdf/FMS-2010-Secure-Erase.pdf : " perintah penghapusan aman berbasis disk tidak dapat diandalkan " (dari sembilan kombinasi kontroler-SSD yang mengujinya, satu menolak untuk melakukan penghapusan, dua tidak melakukan penghapusan dengan benar, dan satu tidak melakukannya sama sekali tetapi melaporkan bahwa itu menghapus). Laporan itu sudah berumur beberapa tahun, tetapi itu berarti kita perlu alasan positif untuk memercayai penghapusan aman modern, daripada hanya menganggapnya berfungsi sekarang.
MadHatter
1
Saya paranoid. Saya telah melihat terlalu banyak kesempatan ketika 'tidak dapat dipulihkan' tidak semudah yang saya duga. Namun saya juga akan menjelaskan - sebagian besar waktu itu tidak masalah. Jika Anda samar-samar mempercayai ke mana ia akan pergi, dan kontennya tidak sensitif luar biasa, itu tidak membuat banyak perbedaan. Dan jika itu sangat sensitif, lalu mengapa Anda membiarkannya meninggalkan gedung?
Sobrique
1
Saya harus menambahkan bahwa itu bukan tidak mungkin. Tetapi Anda perlu mempercayai implementasi pabrikan karena Anda tidak dapat melakukannya dengan andal menggunakan perintah sektor tulis saja.
the-wabbit
6

Saya pasti tidak akan merekomendasikan meluncurkan operasi Secure Erase pada sistem yang memiliki setiap drive Anda peduli tentang masih terhubung. Yang diperlukan hanyalah salah satu kesalahan ketik kecil untuk menghancurkan data drive yang masih digunakan di luar harapan pemulihan.

Jika Anda akan menggunakan Secure Erase, pasti lakukan dalam sistem yang tidak memiliki drive apa pun yang Anda lampirkan.

Andrew Medico
sumber