Ja przede wszystkim patrzyłbym na problem z perspektywy korzyści/ryzyka zainteresowanej osoby lub firmy. Bo w zależności od tego właściciel danych podejmie różne środki do ich usunięcia, a ten, kto chce je odzyskać, będzie musiał dysponować odpowiednim budżetem.

W tego typu książce chętnie przeczytałbym wiele przykładów sposobów niszczenia danych lub całych nośników w odniesieniu do kosztów i możliwości odzyskania danych. Od ekspertów mających doświadczenie w tej dziedzinie usłyszałem, że wystarczy przewiercić talerze dysku w trzech miejscach – dane oczywiście zostają na nieuszkodzonych częściach, ale ich odzyskanie stanowi koszt (techniczny i zaangażowania ludzi), na który mogą sobie pozwolić nieliczne armie na świecie. Dlatego na sprawę nie powinno się patrzeć zero-jedynkowo – fakt nieusunięcia wszystkich danych nie powoduje, że są one łatwo dostępne.

Natomiast bardzo duży problem robi się ze wspomnianym zastosowaniem pamięci półprzewodnikowych do przechowywania informacji, nawet w zwykłych HDD, jako cache różnego poziomu (w dyskach hybrydowych ma on kilka GB, więc dużo cennych skarbów można tam znaleźć). A dla zwykłego śmiertelnika znalezienie ma płytce elektroniki dysku odpowiedniej kości pamięci, żeby ją też przewiercić, może być wyzwaniem.

Osobny temat to dyski SSD, których już kolejne generacje trafiają do utylizacji (szczególnie te, które nie przetrwały chorób wieku dziecięcego lub miały mały parametr TBW). Nadpisywanie danych w sprawnych modułach SSD nie ma sensu ze względu na obecność nadmiarowych kości pamięci, wyłączonych z użytku, do których nie ma normalnego dostępu z poziomu systemu operacyjnego. A moim zdaniem bardzo niska jest świadomość obecności tych kości, podobnie jak dostępności zapewnianego przez producentów SSD oprogramowania umożliwiającego weryfikację stopnia zużycia dysku (TBW) oraz bezpiecznego wykasowania wszystkich danych nie z poziomu systemu operacyjnego, ale bezpośrednio z poziomu kontrolera, włącznie z niedostępnymi komórkami kości nadmiarowych.

W tego typu publikacji skupiłbym się raczej nie na obawach, bo żeby je mieć, to najpierw trzeba mieć świadomość 🙂 A tej brakuje praktycznie na każdym etapie i pokutuje przeświadczenie, że skoro nie widać danych, to ich nie ma (do tego dochodzi ignorancja, szczególnie przedstawicieli młodszych pokoleń, ale to odrębny temat…). Dlatego właśnie, jak już wspomniałem, dokonałbym dość precyzyjnego podziału na rodzaj użytkownika (prywatny/firma/korporacja/public/służby oraz laik/nieco świadomy/bardzo świadomy), jak też przykłady danych, które z różnego powodu właściciel chce ukryć (prawo/przestępstwo/paranoja), a ktoś inny (służby/przestępcy/dziennikarze) odzyskać.

Jest jeszcze jedna kwestia, związana pośrednio z usuwaniem danych – ich szyfrowanie. Panuje bowiem przeświadczenie, że gdy zaszyfrujemy solidnie dane, to w przypadku wycofania nośnika (dysku, taśmy…) z użytku wystarczy zniszczyć klucze szyfrujące. Tymczasem podobno służby wielu krajów „kolekcjonują” takie zaszyfrowane zbiory danych na wszelki wypadek i czekają za spopularyzowanie się… komputerów kwantowych 🙂 Nowe metody szyfrowania mają być odporne na działanie technik kwantowych, ale stare nie są. Dlatego patent z niszczeniem kluczy szyfrujących jest dość słaby…

Pozdrawiam serdecznie
Krzysztof Jakubik (CRN)