Varjatud andmed ja andmete varundamine
Andmete kustutamisest üldisemalt
Failide kustutamine toimub enamikes operatsioonisüsteeemides nii, et kustutav ala märgitakse uuesti kasutatavaks. Seega andmeid ei kustutata vaid muudetakse inimestele nähtamatuks. Ala, mis on märgitud uuesti kasutatavaks saab operatsioonisüsteem vajadusel üle kirjutada uute andmetega. Failide salvestamiseks kasutatav loogika on määratud kasutatava failisüsteemi ja operatsioonisüsteemi poolt, seega toimub andmete ülekirjutamine erinevalt erinevatel operatsioonisüsteemidel (näiteks Windows ja Linux).
Seega pole võimalik tavakasutajal kindlaks teha, millal kustutatud andmed tegelikult muutuvad loetamatuks. Selleks, et andmeid turvaliselt kustutada (muuta tarkvara poolt taastamatuks) tuleb vastavad alad üle kirjutada. Seda saab teha turvalise kustutamise jaoks loodud tarkvaraga, millega saab üle kirjutada kas terveid andmekandjaid või üksikuid faile.
Terve andmekandja sisu kustutamine
Andmekandjal olevate andmete kustutamise meetod ja seega ka tarkvara tuleb valida vastavalt andmekandja tüübile. Kõvakettal ehk HDD olevate andmete kustutamiseks tuleks kõvakettal olevad andmed tervenesti üle kirjutada. Selleks sobib näiteks programm "Darik's Boot And Nuke", mis asub veebilehel http://www.dban.org/.
DBAN ekraanitõmmis, allikas
Välkmäluseadme (SSD, mälupulk, mälukaart) korral ei tohiks kasutada sama meetodit nagu kõvakettal, kuna välkmäluseadmel kontrollib kirjutamist seadme enda kontroller ja seega ei saa tarkvara määrata ülekirjutatavat ala nii nagu seda saab teha kõvakettal. Seadme kontroller määrab asukohad kuhu andmed kirjutatakse ja seetõttu ei saa kasutada üksiku faili ülekirjutamise meetodit.
Üksikute failide kustutamiseks tuleks kasutada SSD-d, mis toetab TRIM funktisonaalsust. TRIM võimaldab operatsioonisüsteemil öelda SSD-le kustutatavate failide asukoha ning siis saab SSD vastavad andmed ära kustutada. Siiski ei ole TRIM universaalne lahendus, paljud vanemad SSD seadmed ei toeta antud funktsionaalsust. Lisaks sellele sõltub TRIM töö seadmete ühendusest, failisüsteemist ja operatsioonisüsteemi toest. Oluline on see, et usb mälupulkadel pole TRIM funktsionaalsust. Rohkem infot selle kohta leiab raportist SSD Forensics 2014.
TRIM ei tööta juhul kui:
- SSD on osa RAID-st
- SSD on ühendatud FireWire abil
- SSD on pakendatud karbi sisse, mis ühendub arvutiga kasutades usb-d
- SSD on osa NAS-st
- kasutatakse vanemat operatsioonisüsteemi
- kasutatakse operatsioonisüsteemis Windows NTFS failisüsteemist erinevat failisüsteemi
Terve SSD kustutamiseks tuleb anda seadmele turvalise kustutamise käsk (“ATA Secure Erase”), mis tõstab seadmel kasutatavat pinget ja seeläbi kustutab välkmälus salvestatud elektronid.
Turvalise kustutamise tarkvarad
Windows
Üksikute failide kustututamiseks tuleb need üle kirjutada. Windowsis on turvalise kustutamise jaoks mitmeid võimalusi, näiteks Eraser, SDelete, BleachBit.
EFF soovitab kasutada kustutamise jaoks avatud lähtekoodiga tarkvara BleachBit, mis töötab nii Windowsi kui ka Linuxiga. Nad on koostanud ka hea juhendi selle tööriista kasutamiseks: How to: Delete Your Data Securely on Windows. Rohkem infot Bleachbit kohta leiab nende poolt avaldatud dokumentatsioonist.
Harjutus: Proovige kasutada programmi Bleachbit, et turvaliselt üle kirjutada nii faile kui ka kettal olevat vaba ruumi.
macOS
Mac OS X-s enne versiooni 10.11 oli failide turvaline kustutamine operatsioonisüsteemi sisse ehitatud. Selleks tuli kõigepealt failid tõsta prügikasti nagu tavaliselt ning siis valida menüüst Finder -> Secure Empty Trash... Kahjuks alates versioonist El Capitan (10.11) on see funktsionaalsus turvavea tõttu eemaldatud. Seetõttu tuleb kasutada sisseehitatud käsureaprogrammi srm või mõnda kolmanda osapoole tarkvara. Kui on vaja turvaliselt kustutada tervet partitsiooni või kõiki kettal olevaid andmeid, siis on vastav funktsionaalsus olemas programmis Disk Utility (2019).
Linux
Eelnevalt sai mainitud, et BleachBit toimib ka Linuxis. Enamasti kasutatakse Linuxi distributsioonides siiski failide turvaliseks kustutamiseks käsurea programme nagu näiteks shred või srm.
Ajutised failid ja nende kustutamine
Arvuti kasutamise ajal salvestatakse ajutiselt mitmeid faile, et arvuti tööd kiirendada või selleks, et mõningaid ülesandeid täita (näiteks printimine). Brauserid salvestavad sirvimise ajalugu, küpsiseid, ajutisi faile. Windows salvestab logi faile, ajutisi faile, hiljuti avatud dokumentide logisid jne. Suuremat osa niisugustest failidest saab ilma suurema vaevata käsitsi kustutada, aga selleks, et kõike kustutada tuleks kasutada spetsiaalset tarkvara. Windowsil endal on selleks programm Disk Cleanup, mida operatsioonisüsteem soovitab kasutada, kui mõni ketas täis hakkab saama. Aga seda saab ka ise eraldiseisvalt kasutada.
Vaikimisi lubab programm kustutada vaid sisselogitud kasutaja ajutisi faile, aga kindlasti tasub vajutada nuppu Clean up system files kui on olemas administraatori juurdepääs. Nii saab eemaldada ka näiteks süsteemiuuendused, mis enam ei kehti (näiteks seetõttu, et neist on uuemad versioonid).
Disk Cleanup on kiire ja lihtne võimalus üleliigsetest failidest vabaneda, aga mõnikord on kasulik kasutada selleks ka eraldiseisvat tarkvara, näiteks "CCleaner", mille koduleht asub aadressil http://www.piriform.com/ccleaner. Hoiatus: alates 2018 aastast on CCleaneriga olnud mitmeid probleeme. Kõige hullem juhtum oli seotud häkkeritega, kellel õnnestus tööriistale lisada kahjurvara nii, et selle avastamiseks kulus vastava tarkvara arendajatel terve kuu. Loomulikult eemaldati kahjurvara, aga plekk jäi neile külge. Praegu pakutakse antud tööriista paigaldamisel ka Avasti antiviirust.
CCleaner otsib "kasutuid" faile rohkemetest kohtadest kui Disk Cleanup ja samas pakub granulaarsemat kontrolli eemaldatavate failide valimiseks. Samas tuleb "CCleaneri" kasutamisel olla ettevaatlik, sest ta võib kustutamiseks pakkuda ka faile, mille kustutamine ei pruugi süsteemile ohutu olla.
Harjutus: Proovige praktikumis kasutada programmi "CCleaner".
Andmete taastamine
Kuna operatsioonisüsteemid muudavad tavaliselt kustutatud andmed ülekirjutatavaks ja ei kirjuta neid kohe üle, siis saab suurt osa kustutatud andmetest taastada. Nii saab taastada kogemata kustutatud faile, aga seda meetodit kasutavad ka kriminaaluurijad, kui nad analüüsivad kurjategijate arvuteid. Kustutatud failide taastamisel on võimalik leida ka failide kohta käivat metainfot, mis kirjeldab failide loomise ja muutmise aegu. Niisuguseid andmeid saab kasutada asitõenditena.
Kuna kustutatud failide taastamine on vastava tarkvara olemasolul küllaltki lihtne, siis tuleks mõelda failide turvalise kustutamise peale kui on vaja müüa või ära anda vanu andmekandjaid.
Windows - failide taastamine
Windowsi jaoks on loodud palju erinevaid failide taastamise programme. Meie kasutame tarkvara Recuva Free, sest tegu on lihtsalt kasutatava tarkvaraga. Seda tarkvara proovime kasutada esimeses praktikumis ning see on ka osa esimesest kodutööst.
Harjutus 1: Paigaldage programm "Recuva Free" ja uurige kuidas see töötab. Virtuaalmasinasse on see tarkvara juba paigaldatud.
Harjutus 2: Kasutage programmi Recuva Free, et leida virtuaalmasinas "USB" nime kandvalt partitsioonilt kustutatud faile. Missugusele kettale / partitsioonile tuleks taastatud failid kirjutada? Avage leitud pildifail ja kirjutage sellele joonistusprogrammi abil enda eesnimi. Seejärel salvestage muudatused ning esitage fail osana esimesest kodutööst. Lahendus tuleb esitada aine kodulehelt. Minge ülesannete rubriiki ning otsige üles esimesest kodutööst andmete taastamise ülesanne, seal on ka lahenduse esitamise vorm. Lahenduse esitamiseks peate courses.cs.ut.ee lehele enda TÜ kasutajaga sisse logima.
Harjutus 3: Kui kodutöö lahendus on esitatud, siis kasutage programmi BleachBit, et taastatud failid üle kirjutada.
Linux - failide taastamine
Linux kasutab teistsugust failisüsteemi kui Windows ja seega toimub failide taastamine Linuxit kasutades teisiti kui Windowsis.
PhotoRec
Linuxis saab faile taastada programmiga "PhotoRec", mille koduleht asub aadressil http://www.cgsecurity.org/wiki/PhotoRec. PhotoRec ignoreerib failisüsteemi ja tegeleb ainult andmetega ning seetõttu töötab see ka katkise failisüsteemi korral.
TestDisk
Programm "TestDisk" võimaldab parandada vigaseid failisüsteeme, partitsioonitabeleid ja taastada kustutatud faile. Programmi "TestDisk" koduleht asub aadressil http://www.cgsecurity.org/wiki/TestDisk.
Mõlemad mainitud programmid töötavad tegelikult ka Mac OS X-is ja Windowsis.
Andmete varundamine
Tähtsamaid faile tuleks kindlasti varundada, et riistvara tõrge või enda hooletu käitumine olulisi andmeid jäädavalt kättesaamatuks ei teeks. Pisemad failid (näiteks tekstidokumendid) saab panna pilveteenusesse ning siis vastutab varundamise eest juba teenuse pakkuja. Siinkohal tasub teenuslepingust muidugi uurida, et kas näiteks tasuta teenuse puhul teile ka mingeid reaalseid garantiisid pakutakse.
Suuremate andmemahtude korral ei pruugi aga pilveteenusest piisata, sest andmete üleslaadimine võtab kaua aega ja lisaruumi eest pilveteenuses tuleb tavaliselt perioodiliselt maksta. Siinkohal tulevad appi teised varunduslahendused, mis tavaliselt pakuvad võimalust tähtsamad (või kõik) failid välisele kõvakettale või võrgukettale kopeerida. Seda saab loomulikult ka käsitsi perioodiliselt teha, aga spetsiaalse tarkvara kasutamisel on mitmeid eeliseid:
- kiirus -- iga kord ei tehta mitte kõikidest andmetest uut koopiat vaid varundatakse ainult need failid, mis eelmisest korrast muutunud on
- igast failist hoitakse mitut eelnevat versiooni, et vajadusel saaks oma muudatusi "tagasi võtta"
- varukoopiaid tehakse automaatselt või tuletatakse kasutajale meelde kui on aeg uus varukoopia teha
Kuna varundamine on oluline, siis on selle tugi tänapäeval juba operatsioonisüsteemi sisse ehitatud. Windowsis on selleks Backup and Restore (Windows Vista ja Windows 7) või File History (Windows 8, Windows 10). Windowsi puhul saab ise valida milliseid kaustu varundatakse, kuid saab ka lasta Windowsil endal otsustada, mis oluline on. Varundamine toimub automaatselt välisele kõvakettale kui see on ühendatud või siis palutakse see aeg-ajalt arvutiga ühendada. Professional ja Ultimate versioonides saab ka varundada võrgukettale.
Mac OS X operatsioonisüsteemi on sisse ehitatud Time Machine, mis vaikimisi varundab kõik failid samuti kas välisele kõvakettale või võrgukettale.
Linuxis sisseehitatud varundustarkvara ei ole. Mõne distributsiooniga võib selline tarkvara küll kaasa tulla, aga üldiselt on igaühe enda valik, millist tarkvara kasutada. Võib kasutada spetsiaalset varundustarkvara, näiteks Flexbackup või lahendada varundamine ise näiteks rsync abil.
Märkus. Varundamise puhul on oluline aeg-ajalt kontrollida, kas varukoopiatest failide taastamine ikka toimib. Isegi aastatepikkusest andmete varundamisest on vähe kasu kui varukoopiast faile kätte saada ei õnnestu!
Andmete pikaajaline säilitamine
Andmekandja kasutamise käigus selle tööaeg lüheneb. Samuti võivad andmed rikneda keskkonna tõttu - liigne niiskus, temperatuur, kiirgused, soolad. Tehnoloogiad muutuvad kiiresti, mistõttu vanad andmekandjad võivad muutuda loetamatuks uutel seadmetel kuna:
- puuduvad vanade andmekandjate lugejad
- puuduvad ühendused eelnevate põlvkondade andmekandjate jaoks
- puuduvad draiverid, mis tunneksid ära eelmiste põlvkondade andmekandjaid
- puudub tarkvara, mis haldab eelnevate põlvkondade andmekandjaid
Näited:
- 3.5 tollised disketid
- videokassetid
- telekamängu kassetid
- paljudel uutel arvutitel pole CD/DVD-plaadi lugejat
- paljudel tahvelarvutitel pole USB ühendust
Andmete pikaajalise säilitamise kohta leiab väärt infot Rahvusarhiivi lehelt, kuna viimane tegeleb ka digitaalarhiivindusega. Näiteks Rahvusarhiiv arhiveerib tekstidokumente lihttekstina, XML- või PDF-dokumentidena, pilte TIFF või PNG formaadis, heli pakkimata WAV kujul ning videot MPEG formaadis (allikas).
Andmekandjate eluea kohta leiate rohkem infot siit ja siit. Andmekandjate võimalikku eluiga kujutatakse järgneval joonisel allikas https://www.crashplan.com.
Kasulikud lingid
- SSD kriminalistika
- Andmete taastamine ja kriminalistika
- Varundamine ja andmekandjate eluiga