Format basso livello per messa in vendita hdd esterno

[Usag]

Salve a tutti,
dopo l'acquisto di un nuovo hdd esterno WD My Book da 4 TB da utilizzare come backup, ho deciso quindi di mettere in vendita uno dei miei 3 hdd esterni (tutti da 500 GB l'uno); l'hard disk in questione è uno Store and Play della Packard Bell, acquistato nel 2007, numero di serie: 104587596311.
Bene, ovviamente prima di metterlo in vendita, avrei bisogno di dargi una 'pulitina' interna abbastanza a fondo, formattandolo a basso livello.
Premetto che uso fondamentalmente Linux (Ubuntu 12.04), quindi so che esistono un paio di utility native del Kernel, molto potenti allo scopo.
Una è dd e l'altra è shred; credo che la più potente sia cmq la dd.
A questo scopo, so che con quest'ultima utility, il comando da dare è:

Codice: Seleziona tutto

sudo dd if=/dev/urandom of=/dev/sdX

e conosco anche il suo significato; volendo potrei anche andar più a fondo sostituendo a 'urandom', 'random'.
L'unica cosa che non mi riesce mettere in pratica è il verbose, per rendersi conto del procedimento del processo, visto che si parla di tempi astronomici per tale operazione. ho provato ad aggiungere a fine riga -v, ma mi dice che il comando non è riconosciuto.
Inoltre, secondo voi, farei bene ad usare dd o shred, per un lavoro più profondo? qual'è più efficace?
P.S.Ho inserito anche il numero di serie dell'hdd multimediale sopra descritto in quanto, come detto, è in vendita, quindi nel caso, il messaggio è anche per voi utenti del forum. se siete interessati all'acquisto, è sufficiente che mi facciate un fischio.
L'oggetto è in ottimo stato, ha il software interno aggiornato all'ultima versione disponibile e comprende i cavi Scart e i jack (3) per la connessione alla TV, nonché ovviamente il cavo di alimentazione e il relativo cavetto Usb.
grazie per gli eventuali suggerimenti.

[hashcat]

Utilizza pure dd. Quest'ultimo non è però provvisto di un argomento "verbose".
Il comando da impartire per "azzerare" il disco è:

Codice: Seleziona tutto

sudo dd if=/dev/zero of=/dev/sdX

Utilizzando urandom come dispositivo da cui leggere i dati da scrivere sul disco, riempirai i settori con dati pseudorandomici (in questo caso non porta benefici e richiede più tempo).

P.S.: Se preferisci utilizzare uno strumento ad hoc per azzerare i dischi, dai un'occhiata a Darik's Boot And Nuke.

[Usag]

Ciao,
sì, il comando lo conoscevo, era solo per sapere se fosse o meno possibile rendersi conto via via a che punto è, visti i tempi non proprio brevi.
guarderò il software da te indicato.
e su Shred che mi dici? è più scarso?
Grazie.

[hashcat]

su Shred che mi dici? è più scarso?
Grazie.

Con shred puoi impartire il seguente comando (sovrascrivi l'hard-disk con un passaggio di zero e mostra lo stato d'avanzamento):

Codice: Seleziona tutto

sudo shred -n 0 -z -v /dev/sdx

[Usag]

Bene, grazie!
un'ultima cosa: sempre usando l'utility dd, proprio ieri ho tentato di copiare un dvd video (fatto da me con Nero, a suo tempo, quindi legale e senza protezione), dando il comando:

Codice: Seleziona tutto

dd if=/dev/sr0 of=/home/utente/Scrivania/disco.iso

La procedura parte senza problemi e va avanti per circa 20 minuti; a un certo punto, s'interrompe sa sé, restituendomi un errore di cui non ricordo la sintassi, ma sinteticamente diceva che non era riuscito a copiare tutto il dvd, e mi indicava il numero dei 'record' rimasti dentro e quelli rimasti fuori (traducendo letteralmente dall'inglese il messaggio d'errore in output).
E in effetti, vedendo la dimensione di 600 MB circa dell'immagine che doveva esser prodotta contro la dimensione reale di 3.7 GB, ho constatato che effettivamente non ha portato il lavoro a termine.
Il dvd è sano, senza graffi e viene riprodotto regolarmente dal lettore, quindi escluderei un problema di lettura.
Sai per caso da cosa potrebbe dipendere ciò?
grazie ancora

[hashcat]

Il dvd è sano, senza graffi e viene riprodotto regolarmente dal lettore, quindi escluderei un problema di lettura.
Sai per caso da cosa potrebbe dipendere ciò?
grazie ancora

Se il DVD non è protetto da copia e non presenta graffi, non saprei cosa possa impedire a dd di effettuarne una copia completa. Una possibilità è che il disco presenti alcuni settori sparsi danneggiati (tali da non alterarne in maniera evidente la riproduzione ma da impedire a dd di portare a termine una copia completa ed esatta (settore per settore)).

Prova ad impartire il seguente comando e vedi come si comporta:

Codice: Seleziona tutto

dd if=/dev/sr0 of=/home/utente/Scrivania/disco.iso bs=2048 conv=noerror,sync

P.S.: Il comando "obbliga" dd a riempire i dati memorizzati nei settori illegibili con 0 (parametro sync) continuando la copia anche in caso di errori di lettura (parametro noerror).
P.S.2: Sudo non è richiesto, vero?

[Usag]

Bene, perfetto; stasera proverò.

Sudo non è richiesto, vero?

Si può fare anche con Sudo, ma diverrebbe un file 'root', leggibile quindi esclusivamente in qualità di super utente.


Grazie di nuovo. ti farò sapere l'esito del tuo comando.

[hashcat]

Si può fare anche con Sudo, ma diverrebbe un file 'root', leggibile quindi esclusivamente in qualità di super utente.

Questo lo so. Chiedevo per essere sicuro che non fossero necessari i poteri del superuser per accedere in lettura al device sr0.

[ninja]

Utilizza pure dd. Quest'ultimo non è però provvisto di un argomento "verbose".
Il comando da impartire per "azzerare" il disco è:

Codice: Seleziona tutto

sudo dd if=/dev/zero of=/dev/sdX

Utilizzando urandom come dispositivo da cui leggere i dati da scrivere sul disco, riempirai i settori con dati pseudorandomici (in questo caso non porta benefici e richiede più tempo).

Il mio consiglio?

Dovendo utilizzare dd per sovrascrivere un disco, io aggiungerei anche l'opzione bs, Block Size, specificando un valore non inferiore al megabyte, ovvero bs=1M
Questo permette la scrittura più velocemente fruttando maggiormente la cache invece di scrivere solo pochi byte per volta...
... ti posso assicurare che il tempo impiegato cala drasticamente rispetto a non specificare nulla o a specificare un blocco dati piccolo.

Per esempio io avrei provato con

Codice: Seleziona tutto

sudo dd if=/dev/zero of=/dev/sdX bs=1M

oppure

Codice: Seleziona tutto

sudo dd if=/dev/zero of=/dev/sdX bs=8M

Naturalmente la riscrittura di un intero disco non richiede pochi secondi, comunque ricordo che l'operazione può essere interrotta in qualsiasi momento con Ctrl+C...
... e nessuno ci vieta di fare altro finchè l'operazione è in corso, non essendo un disco di sistema si dovrebbe riuscire a navigare per esempio...



Per la lettura dei supporti contenenti errori mi ricordo che c'era un utility apposita... ora non ricordo qual'è, ma sono sicuro che con una veloce ricerca la si trova.

[Usag]

Ok grazie; quindi dici che cmq l'opzione zero è potente come urandom? farò come dici.
grazie mille!

[ninja]

Purtroppo no...

... con random la sicurezza è maggiore, specie se si effettuano alcune passaggi, quindi la richiesta di tempo è molto elevata per aver la certezza assoluta del fatto che i dati siano effettivamente irrecuperabili...

... con zero cancelli l'intero disco riempiendolo di zeri, il che risulta senza dubbio molto efficace per tentativi "software" di recupero dati, dati che invece sono ancora in buona parte recuperabili in camera bianca (quella sterile per capirci) da ditte specializzate, che aprono il dispositivo e leggono direttamente la superficie dei dischi alla ricerca delle bande laterali delle traccie non sovrascritte completamente dagli ultimi passaggi delle testine in fase di scrittura e che contengono quindi ancora i dati di "alcune scritture" (quindi anche diversi file, magari quelli cancellati e poi sovrascritti durante il normale uso del disco da parte del sistema operativo).

Quindi abbiamo due casi:
1° con una sola riscrittura di zeri o dati casuali il disco può ancora essere recuperato da una "costosa" analisi in laboratori specializzati, quindi anche gli zeri vanno benissimo e il processo dovrebbe essere più veloce rispetto ai dati random;
2° solo una ripetuta scrittura di dati casuali (non meno di 6-7 volte ti consiglierei io come compromesso fra tempo e sforzo per ottenere l'effetto desiderato, anche se i più pignoli ti consiglierebbero non meno di 30 volte) può garantirti l'effettiva cancellazione e irrecuperabilità dei dati contenuti a scapito di un'elevata richiesta di tempo da dedicare all'operazione.

Conclusione:
Se non pensi che chi acquista il tuo disco lo faccia con l'intenzione di metterlo in una camera bianca per recuperarne i dati, in classico stile spy story, direi che il comando sopra postato è un ottimo compromesso tra velocità d'esecuzione e risultato finale.

[Usag]

Perfetto, proprio quello che volevo sapere.
Grazie mille, Ninja; chiarissimo come sempre

[hashcat]

con random la sicurezza è maggiore, specie se si effettuano alcune passaggi, per aver la certezza assoluta del fatto che i dati siano effettivamente irrecuperabili

Falso. Non è possibile recuperare i dati originariamente memorizzati in uno specifico settore se questi sono stati realmente ed integralmente sovrascritti con ulteriori informazioni.

con zero cancelli l'intero disco riempiendolo di zeri, il che risulta senza dubbio molto efficace per tentativi "software" di recupero dati, dati che invece sono ancora in buona parte recuperabili in camera bianca (quella sterile per capirci) da ditte specializzate
con una sola riscrittura di zeri o dati casuali il disco può ancora essere recuperato da una "costosa" analisi in laboratori specializzati

Falso. Ritengo inoltre necessario aggiungere che l'operazione di sovrascrittura via software presenta notevoli limiti:
Non è in grado di operare sui settori rimappati.
Non è in grado di gestire la HPA (Host Protected Area).
Non è in grado di gestire la DCO (Device Configuration Overlay).

Personalmente, ad un utente che desideri raggiungere un livello di sicurezza, profondità ed affidabilità consistente, raccomando di usufruire del comando ATA Secure ERASE.

Al momento sono da cellulare; appena possibile vedrò di approfondire e motivare quanto precedentemente sostenuto.

EDIT: Aggiunto qualche riferimento.

studies have shown that most of today’s media can be effectively cleared by one overwrite […] for ATA disk drives manufactured after 2001 (over 15 GB) the terms clearing and purging have converged.

IT StackExchange, StackOverflow (1), StackOverflow (2).

The Myth of Data Remanence

[ninja]

con random la sicurezza è maggiore, specie se si effettuano alcune passaggi, per aver la certezza assoluta del fatto che i dati siano effettivamente irrecuperabili

Falso. Non è possibile recuperare i dati originariamente memorizzati in uno specifico settore se questi sono stati realmente ed integralmente sovrascritti con ulteriori informazioni.

La meccanica non è una scienza esatta... la testina ha una certa tolleranza nei movimenti, il recupero dati in ambiente protetto sfrutta proprio questa caratteristica... per "realmente e integralmente sovrascriverli" c'è chi consiglia 35 riscritture per averne la certezza.

con zero cancelli l'intero disco riempiendolo di zeri, il che risulta senza dubbio molto efficace per tentativi "software" di recupero dati, dati che invece sono ancora in buona parte recuperabili in camera bianca (quella sterile per capirci) da ditte specializzate
con una sola riscrittura di zeri o dati casuali il disco può ancora essere recuperato da una "costosa" analisi in laboratori specializzati

Falso. Ritengo inoltre necessario aggiungere che l'operazione di sovrascrittura via software presenta notevoli limiti:
Non è in grado di operare sui settori rimappati.

Vero, ma c'è anche da dire che normalmente sono pochissimi i settori rimappati (per cui la possibilità che contengano informazioni rilevanti e abbastanza bassa), sui due dischi che utilizzo da anni (160 e 200 GB) sono ancora a 0 (informazioni ottenute con smartctl -a /dev/sda e smartctl -a /dev/sdb), in casi di normale utilizzo dei dischi di solito ho notato che non superano le poche decine, invece nei casi in cui si presentavano nell'ordine di alcune centinaia nel giro di pochi giorni i dischi decedono (e passano dal cabinet alla spazzatura).

Non è in grado di gestire la HPA (Host Protected Area).

Come ben sai, di solito hanno usi particolari, come i sistemi di recovery dei portatili o dei desktop venduti dalla grande distribuzione (quelli venduti senza CD di ripristino, per capirci, nell'HPA potrebbe trovarsi l'immagine di ripristino del disco a impostazioni di fabbrica)...

... infatti sempre nei miei due dischi risulta disabilitata... {volendo è facile controllare}

Codice: Seleziona tutto

nicola@Ubuntu-desktop:~$ sudo hdparm -N /dev/sda

/dev/sda:
 max sectors   = 398297088/398297088, HPA is disabled
nicola@Ubuntu-desktop:~$ sudo hdparm -N /dev/sdb

/dev/sdb:
 max sectors   = 312581808/312581808, HPA is disabled

Inoltre, azzerare tale area del disco potrebbe potenzialmente portare a possibili malfunzionamenti, comunque non è normalmente utilizzata per immagazzinare dati utente (a meno che un "utente esperto" non lo faccia di proposito per nasconderci informazioni, nel qual caso ne è già a conoscenza e si muoverà di conseguenza).

Non è in grado di gestire la DCO (Device Configuration Overlay).

Che normalmente è utilizzata dalle ditte che non sono produttori di dischi e quindi l'utilizzano per "rimarchiarli" ed eventualmente limitarne le dimensioni...
... e che comunque non dovrebbe contenere "dati sensibili" o di interesse per l'utente (a meno che non voglia recuperare l'eventuale capacità nascosta al BIOS del PC).

Comunque, anche se il disco è ridimensionato, l'eventuale area non utilizzata non contiene dati utente... quindi non c'è nulla da cancellare (a meno che non si sospetti che il firmware del disco fisso vi salvi dati con l'intenzione di spiare l'utente... lascio a voi tirare le infinite e gravi implicazioni anche del solo pensiero...).

Personalmente, ad un utente che desideri raggiungere un livello di sicurezza, profondità ed affidabilità consistente, raccomando di usufruire del comando ATA Secure ERASE.

Che non fa altro che fare esattamente il zerofill descritto sopra... (pag 232-234 parla del Secure Erase ed Enhanced Secure Erase)

Al momento sono da cellulare; appena possibile vedrò di approfondire e motivare quanto precedentemente sostenuto.

EDIT: Aggiunto qualche riferimento.

studies have shown that most of today’s media can be effectively cleared by one overwrite […] for ATA disk drives manufactured after 2001 (over 15 GB) the terms clearing and purging have converged.

IT StackExchange, StackOverflow (1), StackOverflow (2).

The Myth of Data Remanence

Quando ho un po' di tempo darò un'occhiata anche a questi...

[hashcat]

per "realmente e integralmente sovrascriverli" c'è chi consiglia 35 riscritture per averne la certezza.

Quel qualcuno è Peter Gutmann. L'algoritmo di cancellazione sicura è detto metodo Gutmann.
Il funzionamento del suo metodo viene solitamente frainteso, portando ad un utilizzo erroneo dello stesso (mi riferisco proprio alle 35 sovrascritture). Di seguito riporto quanto afferma lo stesso Gutmann riguardo a questo sbaglio:

In the time since this paper was published, some people have treated the 35-pass overwrite technique described in it more as a kind of voodoo incantation to banish evil spirits than the result of a technical analysis of drive encoding techniques. As a result, they advocate applying the voodoo to PRML and EPRML drives even though it will have no more effect than a simple scrubbing with random data. In fact performing the full 35-pass overwrite is pointless for any drive since it targets a blend of scenarios involving all types of (normally-used) encoding technology, which covers everything back to 30+-year-old MFM methods (if you don't understand that statement, re-read the paper). If you're using a drive which uses encoding technology X, you only need to perform the passes specific to X, and you never need to perform all 35 passes. For any modern PRML/EPRML drive, a few passes of random scrubbing is the best you can do. As the paper says, "A good scrubbing with random data will do about as well as can be expected". This was true in 1996, and is still true now.

La meccanica non è una scienza esatta...

Su questo siamo pienamente d'accordo.

Vero, ma c'è anche da dire che normalmente sono pochissimi i settori rimappati (per cui la possibilità che contengano informazioni rilevanti e abbastanza bassa

Condivido anche questa conclusione, tuttavia se l'utente è paranoico o realmente intenzionato a sovrascrivere tutti i dati, è necessario che sia a conoscenza di questa limitazione (della cancellazione non via firmware).

nei casi in cui si presentavano nell'ordine di alcune centinaia nel giro di pochi giorni i dischi decedono (e passano dal cabinet alla spazzatura).

Purtroppo, come giustamente menzionavi nel tuo precedente messaggio, i dati contenuti in quei settori sono spesso recuperabili / parziamente recuperabili dalle ditte che si occupano di recupero dati.

Come ben sai, di solito hanno usi particolari, come i sistemi di recovery dei portatili o dei desktop venduti dalla grande distribuzione […] Inoltre, azzerare tale area del disco potrebbe potenzialmente portare a possibili malfunzionamenti, comunque non è normalmente utilizzata per immagazzinare dati utente (a meno che un "utente esperto" non lo faccia di proposito per nasconderci informazioni, nel qual caso ne è già a conoscenza e si muoverà di conseguenza).

In questo caso condivido la linea generale ma non le conclusioni: nell'HPA puó risiedere codice ostile non desiderato.

Some rootkits hide in the HPA to avoid being detected by anti-rootkit and antivirus software.

Che normalmente è utilizzata dalle ditte che non sono produttori di dischi e quindi l'utilizzano per "rimarchiarli" ed eventualmente limitarne le dimensioni...
... e che comunque non dovrebbe contenere "dati sensibili" o di interesse per l'utente (a meno che non voglia recuperare l'eventuale capacità nascosta al BIOS del PC).

Comunque, anche se il disco è ridimensionato, l'eventuale area non utilizzata non contiene dati utente...

La mia risposta a questo punto segue la stessa linea della precedente.

Che non fa altro che fare esattamente il zerofill descritto sopra...

Grazie del link (la pubblicazione è molto interessante).
Mi ha permesso di ricordare che il comando che intendevo suggerire era l'Enhanced Secure Erase.
Chiaramente si tratta ugualmente di uno zerofill paragonabile a quello effettuabile via software (non firmware). La differenza fra questi due è che il primo è in grado di pulire più a fondo (raggiungendo aree accessibili esclusivamente via firmware e solitamente richiede meno tempo).



P.S.: QUI puoi consultare un documento che descrive in maniera piuttosto approfondita l'HPA ed il DCO dal punto di vista dell'informatica forense.

[ninja]

per "realmente e integralmente sovrascriverli" c'è chi consiglia 35 riscritture per averne la certezza.

Quel qualcuno è Peter Gutmann. L'algoritmo di cancellazione sicura è detto metodo Gutmann.
Il funzionamento del suo metodo viene solitamente frainteso, portando ad un utilizzo erroneo dello stesso (mi riferisco proprio alle 35 sovrascritture).

Sempre nello stesso documento, a pagina 228 si parla proprio del Gutmann Wipe... ovvero il programma per la cancellazione sicura dei file utilizzando il metodo Gutmann...

... a dire la verità ho sempre pensato che 35 volte fossero un'esagerazione (nel caso non si fosse capito), però non mi sono mai soffermato ad approfondire l'argomento, supponevo solo ci fosse uno studio parzialmente basato su un metodo empirico successivamente e volutamente esagerato per ridurre la probabilità di riuscire a reperire i dati, una specie di... se non vi basta questo allora bruciate il disco buttandolo dentro un'inceneritore o un altoforno affinché i dati si fondano col metallo e tutto il resto.

Di seguito riporto quanto afferma lo stesso Gutmann riguardo a questo sbaglio:

In the time since this paper was published, some people have treated the 35-pass overwrite technique described in it more as a kind of voodoo incantation to banish evil spirits than the result of a technical analysis of drive encoding techniques. As a result, they advocate applying the voodoo to PRML and EPRML drives even though it will have no more effect than a simple scrubbing with random data. In fact performing the full 35-pass overwrite is pointless for any drive since it targets a blend of scenarios involving all types of (normally-used) encoding technology, which covers everything back to 30+-year-old MFM methods (if you don't understand that statement, re-read the paper). If you're using a drive which uses encoding technology X, you only need to perform the passes specific to X, and you never need to perform all 35 passes. For any modern PRML/EPRML drive, a few passes of random scrubbing is the best you can do. As the paper says, "A good scrubbing with random data will do about as well as can be expected". This was true in 1996, and is still true now.

Alla fine penso di non esserci andato così lontano...
... il discorso sulla codifica di memorizzazione dei dati casuali secondo lo standard X utilizzato è molto sensato per confondere "le tracce", quindi il suo utilizzo permette di ridurre notevolmente il numero di riscritture rispetto alle 35 contenute nel suo "metodo completo".

Purtroppo, come giustamente menzionavi nel tuo precedente messaggio, i dati contenuti in quei settori sono spesso recuperabili / parziamente recuperabili dalle ditte che si occupano di recupero dati.

Come dicevo, supponiamo che il disco contenga un po' di settori rimappati, potrebbero essere alcuni MB di dati, che spaziano su qualsiasi cosa, spezzoni di file di musica, immagini, video, salvataggi di giochi, file sistema, documenti (ricordiamo che i formati di ultima generazione spesso sono anche compressi e il testo non è in chiaro come in comune un file testuale), swap su disco, ecc... o meglio, potenzialmente pochi frammenti di frammenti di essi...
... concludendo, piccoli frammenti di file su potenziali centinaia di GB o alcuni TB di dati... in percentuale sono pochissimi e talmente frammentari che la possibilità di ricavarci qualcosa di utile è infinitamente bassa.

Come ben sai, di solito hanno usi particolari, come i sistemi di recovery dei portatili o dei desktop venduti dalla grande distribuzione […] Inoltre, azzerare tale area del disco potrebbe potenzialmente portare a possibili malfunzionamenti, comunque non è normalmente utilizzata per immagazzinare dati utente (a meno che un "utente esperto" non lo faccia di proposito per nasconderci informazioni, nel qual caso ne è già a conoscenza e si muoverà di conseguenza).

In questo caso condivido la linea generale ma non le conclusioni: nell'HPA puó risiedere codice ostile non desiderato.

Corretto, però non mi è ancora capitato di incappare in simili malware... mi è capitato d'imbattermi in infezioni dell'MBR, nella sostituzione di driver di accesso al disco di Windows, nel camuffamento come servizi di sistema, ho conosciuto sistemisti che hanno avuto a che fare con infezioni del BIOS dei PC, e molto altro... ma mai un malware che abbia sfruttato lo spazio su HPA o DCO, ma forse sono stato solo fortunato.

Che non fa altro che fare esattamente il zerofill descritto sopra...

Grazie del link (la pubblicazione è molto interessante).
Mi ha permesso di ricordare che il comando che intendevo suggerire era l'Enhanced Secure Erase.
Chiaramente si tratta ugualmente di uno zerofill paragonabile a quello effettuabile via software (non firmware). La differenza fra questi due è che il primo è in grado di pulire più a fondo (raggiungendo aree accessibili esclusivamente via firmware e solitamente richiede meno tempo).

Nella pubblicazione che ti ho passato l'autore parlava del fatto che Enhanced Secure Erase fosse una funzionalità opzionale, quindi pochi costruttori la implementano veramente nei loro dischi, specie in quelli di fascia bassa.

P.S.: QUI puoi consultare un documento che descrive in maniera piuttosto approfondita l'HPA ed il DCO dal punto di vista dell'informatica forense.

Grazie, metto il documento fra le cose da leggere.