Question:
À quel point les données d'un disque RAID5 sont-elles «brouillées»?
Mausy5043
2018-01-08 22:10:52 UTC
view on stackexchange narkive permalink

Ma préoccupation est l'élimination d'un disque remplacé à partir d'une matrice de disques RAID5 privée.

J'ai dû remplacer un disque de ma matrice de disques RAID5 personnelle. Il avait commencé à développer des erreurs, donc il est parti.

Mais maintenant, j'ai ce disque sur mon bureau et cela m'a fait me demander ... Les données sur le tableau n'ont jamais été chiffrées. Je crains que le rendre à la station de recyclage puisse être un risque pour la sécurité.
Est-il possible qu'un individu malicieux soit capable de récupérer des données personnelles (photos, fichiers, etc.) à partir du disque? Ou est-ce que le fait qu'il fasse partie d'une matrice RAID5 est suffisant pour que les données aient été brouillées au-delà de la reconnaissance?

de manière anecdotique, j'ai récupéré beaucoup de vignettes intégrées jpeg à partir de lecteurs raid5 uniques dans le passé
Si c'est un disque mort et magnétique, vous pouvez le mettre dans un démagnétiseur pour effacer les données, c'est assez rapide mais en trouver un peut être difficile.Je sais que l'élimination des données ne faisait pas partie de la question, mais j'ai pensé que je le mentionnerais
Si ses erreurs se développent, cela ne vaut rien.Je passais quelques minutes avec un marteau et un ciseau froid sur le côté pour briser ou déformer les plateaux, puis les remettre à la station de recyclage.
meilleur moyen de s'assurer que les données ne peuvent pas être récupérées: https://i.stack.imgur.com/McuAt.jpg
Un centre de recyclage d'ordinateurs spécialisé (nous en avons au moins un ici à Seattle - et commodément, il se trouve en bas du pâté de maisons de la "station de transfert" de la ville) aura un appareil qui perce un trou juste dans la chose - amusant à regarder et vaut bienles 5 $ / lecteur qu'ils facturent, OMI.
Bien sûr, il existe [des moyens plus intéressants] (https://www.youtube.com/watch?v=-bpX8YvNg6Y) pour détruire un disque dur ...
Si vous souhaitez tout de même vous débarrasser du disque, la destruction physique semble la meilleure solution.Nous avons déjà une question à ce sujet :-): [Comment détruire un vieux disque dur?] (Https://security.stackexchange.com/questions/11313/how-do-you-destroy-an-old-hard-drive).
"... et maintenant, PFY, je vais utiliser mon outil d'élimination des informations sensibles au disque dur pour m'assurer que personne ne le récupérera jamais" "C'est un marteau. Et un très gros, en plus.""Oui oui ça l'est"
Vous pouvez envisager de configurer le chiffrement au-dessus ou en dessous de la matrice RAID, pour votre sécurité future.
@SeanC [c'est la seule méthode garantie] (https://upload.wikimedia.org/wikipedia/commons/7/79/Operation_Upshot-Knothole_-_Badger_001.jpg)
Ce n'est pas le travail de RAID de brouiller les données.Le RAID n'est pas une méthode de sécurité.
J'ai dû faire face à quelque chose comme ça une fois.J'ai fini par démonter le disque dur et le montrer à mes parents, car ils n'avaient jamais vu quelque chose comme ça auparavant et étaient curieux.J'ai donc tué 2 oiseaux d'une pierre: satisfait la curiosité de mes parents + rendant le lecteur complètement inutilisable.
Si possible, cryptez votre baie.Imaginez les données volées par un cambrioleur.Maintenant, comparez cela à la faible surcharge du chiffrement et à la façon dont il résout des problèmes tels que l'élimination des disques morts.
@xorsyst post-chiffrer une matrice RAID n'est pas une mince affaire.Mais j'y penserai certainement.
Six réponses:
#1
+60
Peter Green
2018-01-08 22:15:14 UTC
view on stackexchange narkive permalink

Raid 5 répartit les données sur les disques mais les blocs utilisés pour le striping sont généralement assez gros. À tout le moins, ils seront des secteurs entiers, mais normalement ils seront beaucoup plus grands que cela. Par exemple, madm utilise par défaut des blocs d'un demi-mégaoctet. Même un secteur est suffisamment grand pour que vous soyez susceptible de trouver des morceaux de texte reconnaissables et avec des tailles de bloc typiques, il est fort probable que des fichiers reconnaissables entiers seront présents sur les disques individuels du tableau.

Étant donné que des secteurs entiers (512 octets ou 4 kilo-octets) à mégaoctets représentent une plage assez large, il peut être intéressant de mentionner que mdadm utilise par défaut des blocs de 512 kilo-octets.
Je suppose que RAID6 serait pire car il a une redondance à 2 disques sur un système à 4 disques, où RAID5 n'en a qu'un.
@Mausy5043, sans aucun rapport.La redondance est constituée de blocs de parité, qui ne sont pas très utiles en eux-mêmes.Et la taille des blocs / bandes n'est pas liée au niveau RAID.
@J ..., les techniques ne sont pas "assez avancées".Tous les logiciels "d'annulation de suppression", sauf les plus primitifs, ont un mode qui ignorera la structure du système de fichiers et recherchera directement sur le disque des éléments qui ressemblent à des fichiers.Je l'ai utilisé pour extraire des miniatures JPEG du vidage de la mémoire d'une machine virtuelle;un seul disque d'une matrice RAID ne posera aucun problème.
@J Vous devrez peut-être faire attention si vous avez une recette de haricots sur votre lecteur.https://blondiesbearista.files.wordpress.com/2013/06/img_2840.jpg
@J ..., dans l'intérêt de la science, j'ai pointé une copie de [Foremost] (http://foremost.sourceforge.net/) sur un disque dur retiré d'une matrice RAID-6.La quantité de données reconnaissables qu'il a trouvées est, franchement, effrayante, et certaines d'entre elles sont étonnamment anciennes (une publicité pour GTE Internet Services? Un écran de démarrage personnalisé pour Windows 95?)
@Mark ne peut pas discuter avec la science ... cela pourrait probablement être une réponse.
@AndrolGenhald `Étant donné que des secteurs entiers (512 octets ou 4 kilo-octets) à mégaoctets sont une plage assez grande, il peut être intéressant de mentionner que mdadm utilise par défaut des blocs de 512 kilo-octets` Ne pas dire que vous vous trompez, mais 512 Ko ne sont pas dans la plage 512B-4KB.Voulez-vous dire que la valeur par défaut est 512B?(Question honnête, je n'ai aucune idée)
@xDaizu La plage commence par «secteurs», qui est généralement de 512 à 4 Ko, et se termine par «mégaoctets».
@Mark: J'ai eu la même expérience avec https://www.cgsecurity.org/wiki/PhotoRec sur de vieux disques durs ou des cartes SD à moitié cassés.C'est impressionnant de voir combien de vieilles photos peuvent encore être trouvées.
#2
+35
Mark
2018-01-10 04:03:39 UTC
view on stackexchange narkive permalink

Dans le but de tester cela, j'ai pointé une copie de Foremost sur un disque qui faisait auparavant partie d'un tableau RAID-6 (rendu disponible grâce à Seagate). Le tableau avait une taille de bloc de 512 Ko, donc tout fichier de 512 Ko ou moins est théoriquement présent intact. Les données de la baie proviennent de près de 25 ans d'utilisation de l'ordinateur, y compris des images disque de tous les ordinateurs que j'ai possédés.

La quantité de données que j'ai récupérée était, franchement, effrayante. Documents Word contenant des devoirs de lycée. Fichiers de données de jeux que j'avais désinstallés il y a des décennies. Fichiers DLL d'une centaine de versions différentes de WINE. Images attachées à des messages Usenet non lus. Dix mille pages Web mises en cache. L'ajout d'une règle d'extraction personnalisée a trouvé trois clés privées SSL et une clé SSH.

Une autre chose à noter est que vous n'avez pas toujours besoin d'extraire le fichier entier pour obtenir des informations compromettantes. Par exemple, les 512 premiers Ko d'un PDF peuvent vous donner la table des matières, les premiers 512 Ko d'un BMP peuvent vous donner une légende (BMP stocke ses données d'image à l'envers), et les premiers 512 Ko d'un JPEG peuvent vous donner un la vignette. Les fichiers MPEG et MP3 sont conçus pour être diffusés en continu, de sorte que même un morceau du milieu de l'un d'eux peut donner à quelqu'un des données utiles.

À quel point les données sont-elles brouillées sur un disque RAID 5? Pas assez brouillé.

Merci d'avoir essayé cela, et aussi, je suis étonné que vous ayez encore un disque de 25 ans encore utilisé!
@JPhi1618, J'ai quelques disques de 25 ans en cours d'utilisation, mais ce n'est pas l'un d'entre eux.Il ne contient que des images (partielles) de ces disques.
#3
+15
Steve Dirickson
2018-01-09 03:22:56 UTC
view on stackexchange narkive permalink

On dirait que les gens peuvent confondre la taille du secteur de disque (généralement 512 à 4 Ko) avec la taille de bande RAID 5 (généralement 16 Ko à 128 Ko, parfois plus grande). La taille de la bande RAID est la taille inscriptible logique de la matrice, de sorte que chaque partie de la bande sur chaque disque contiendra autant de données. Si un fichier entier correspond à la taille de la bande, il sera probablement visible sous la forme d'un bloc contigu sur le lecteur de suppression.

Par exemple, une clé privée RSA doit peser <= 4 Ko et avoir un texte facilement identifiable - vous pourriez en trouver une avec juste «strings» et «grep».C'est le genre de données que vous pourriez divulguer.
Les tailles de bande de 1 Mo ne sont pas rares.
Et aussi, même si le fichier entier ne rentre pas dans la taille de la bande, les fichiers partiels de ces tailles sont tout autant un «risque de sécurité» dans le sens où l'interrogateur se demande :-)raccroché sur la taille du fichier, par exemple pour penser, "tous mes fichiers vidéo sont beaucoup plus grands que la taille de la bande et donc ils seront brouillés".
#4
+8
thomasrutter
2018-01-09 10:58:28 UTC
view on stackexchange narkive permalink

Un seul membre d'une matrice RAID 5 sera constitué de blocs simples et de blocs de parité, par exemple 75% de base et 25% de parité pour une matrice de 4 membres. Les blocs simples peuvent être lus à la vue de tous; il n'y a pas de brouillage de ces blocs et vous n'avez pas besoin de vous référer à d'autres membres pour en comprendre le sens. Ces blocs ont généralement une taille de 16 Ko à 512 Ko, bien qu'avec RAID-5, cela soit généralement de 128 Ko ou moins pour minimiser l'amplification d'écriture. Il y a beaucoup de possibilités pour lire les données sensibles qui apparaissent dans ces blocs simples.

Chaque bloc de parité contient des données générées à partir de trois blocs simples sur d'autres lecteurs, de telle manière que si l'un de ces trois autres les lecteurs (dans une matrice à quatre membres) sont perdus, les informations peuvent être récupérées en appliquant un algorithme au bloc de parité et aux blocs des deux autres lecteurs restants. Les données d'un bloc de parité n'ont aucun sens et ne peuvent pas être récupérées seules, à moins que vous ne puissiez deviner le contenu de deux des trois autres blocs avec lesquels il se combine - ce qui peut dans certains cas être facile si deux des trois blocs sont vides (zéros) ou contiennent des données prévisibles. Ainsi, bien qu'il ne soit pas cryptographiquement sécurisé, les informations d'un bloc de parité sont généralement inutiles sans deux des trois autres blocs à partir desquels elle est générée.

RAID 4 avait une conception similaire à RAID 5 sauf que toute la parité les blocs étaient stockés sur un seul lecteur, donc si vous n'aviez que ce lecteur, vous n'auriez pas de données facilement récupérables. RAID 5 a modifié cela pour répartir les blocs de parité uniformément entre les membres, ce qui signifie que tout disque contiendra à lui seul un grand nombre de blocs simples à partir desquels vous pourriez récupérer des données.

#5
+4
Phylyp
2018-01-09 17:17:10 UTC
view on stackexchange narkive permalink

Ou est-ce que le fait qu'il fasse partie d'une matrice RAID5 est suffisant pour que les données aient été brouillées au-delà de la reconnaissance?

La règle de base serait de toujours sécuriser l'effacement magnétique médias avant de le donner dans de telles circonstances (recyclage, don, etc.). Ne faites aucune hypothèse sur les données sous-jacentes, si elles ont été cryptées, si elles étaient RAID0 ou RAID 5, etc.

Même si la sagesse contemporaine veut que quelque chose est sécurisé, l'expérience nous a montré que de telles croyances peuvent être invalidées à l'avenir (par exemple, regardez le nombre d'années pendant lesquelles les problèmes de sécurité de Spectre / Meltdown ont existé sans être détectés, jusqu'à ce que les chercheurs découvrent comment cela pourrait abuser du comportement des processeurs).

#6
+2
Terrance
2018-01-10 23:17:19 UTC
view on stackexchange narkive permalink

Dans les centres de données dans lesquels je travaille, nous prenons la sécurité des données très au sérieux. Si le lecteur faisait partie d'un module RAID qui n'a pas été chiffré, oui, il y a encore suffisamment de données qui peuvent être extraites du lecteur. Je recommanderais honnêtement de nettoyer le lecteur s'il est toujours fonctionnel ou s'il ne l'est pas, je recommande de démagnétiser le lecteur avec une sorte de dispositif magnétique contrôlé.

Ou faites-le subir une fonction de hachage physique à l'aide d'un marteau
LOL à "fonction de hachage physique" @martin-bonner.Je dois m'en souvenir.


Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 3.0 sous laquelle il est distribué.
Loading...