Possíveis armadilhas associadas à exclusão segura de discos SSD

12

Eu preciso desativar dois discos SSD de um dos meus servidores hospedados no Linux.

Para excluir com segurança os dados armazenados nos discos que eu planejava usar: hdparm --security-erase .

Eu li este documento e ele sugeriu não ter nenhum disco conectado ao host, além daqueles destinados a exclusão .

E este artigo aponta que, se houver bugs no kernel ou no firmware, este procedimento pode tornar a unidade inutilizável ou travar o computador em execução .

Este servidor está atualmente em produção, com uma configuração RAID de software para discos de produção. Não há controlador RAID para os discos que preciso remover.

Pergunta:

Esta é uma operação bastante segura para executar em um ambiente de produção, ou eu seria melhor servido removendo os discos e realizando esse procedimento em outro host?

Editar: apenas um link com um bom procedimento documentado

    
por Matías 15.10.2014 / 16:44

3 respostas

18

ATA Secure Erase is part of the ATA ANSI specification and when implemented correctly, wipes the entire contents of a drive at the hardware level instead of through software tools. Software tools over-write data on hard drives and SSDs, often through multiple passes; the problem with SSDs is that such software over-writing tools cannot access all the storage areas on an SSD, leaving behind blocks of data in the service regions of the drive (examples: Bad Blocks, reserved Wear-Leveling Blocks, etc.)

When an ATA Secure Erase (SE) command is issued against a SSD’s built-in controller that properly supports it, the SSD controller resets all its storage cells as empty (releasing stored electrons) - thus restoring the SSD to factory default settings and write performance. When properly implemented, SE will process all storage regions including the protected service regions of the media.

Liberalmente copiado do link , ênfase minha.

O problema é que, de acordo com alguns, tanto o suporte quanto a implementação adequada do ATA Secure Erase pelos fabricantes estão "ausentes".

Este trabalho de pesquisa de 2011 mostra que metade dos SSDs testados, o ATA secure erase, não conseguiu destruir os dados na unidade.

Nesse mesmo trabalho de pesquisa mostrou que talvez surpreendentemente para alguns, as sobras tradicionais de múltiplas passagens do SSD foram na verdade bem-sucedidas, embora ainda alguns dados (possivelmente das áreas reservadas de um SSD que estão fora do tamanho relatado dos discos) poderia ser recuperado.

Portanto, a resposta curta é: usar o software para desinfetar um SSD inteiro pode ou não ser 100% eficaz.
Pode ainda ser suficiente para suas necessidades.

Em segundo lugar, fazendo isso em um servidor executando a produção: Minha impressão é que a maioria dos manuais recomenda inicializar de um disco de recuperação para limpar discos pela simples razão de que usar software para limpar seu disco de inicialização / SO falhará miseravelmente e a maioria dos laptops e PCs tem apenas um único disco.
Os riscos universais de executar comandos destrutivos potencialmente (ou melhor, intencionais) em sistemas de produção também se aplicam, é claro.

Criptografando suas unidades tornarão muito menos provável a recuperação (parcial) de dados de discos descartados (SSDs ou do tipo giratório). Desde que a unidade inteira tenha sido criptografada e você não tenha uma partição não criptografada (swap) nela, é claro.

Caso contrário, estes sempre o desfibrador .

    
por 15.10.2014 / 18:09
8

Fundamentalmente - por causa da maneira como os SSDs funcionam - é impossível "limpar com segurança". Especialmente para discos corporativos - a maioria deles é maior do que aparenta, porque há capacidade de reposição neles, para fins de nivelamento de desgaste.

Esse mesmo desgaste significa que o estilo "sobrescrever" não faz o que você acha que faz.

Em um nível bem fundamental, depende do risco que você está preocupado:

  • se você quiser apenas "limpar" e reimplantar o hardware em sua propriedade: Formate e termine com isso.
  • se você está preocupado com um oponente mal-intencionado e com bons recursos que adquire material confidencial: não se preocupe em limpar, destruir fisicamente *.

(*) onde, por "destruir fisicamente", quero dizer destruir, incinerar e auditar. Resista à tentação de fazer bricolagem - não é tão divertido nos SSDs.

    
por 15.10.2014 / 17:07
6

Eu certamente não recomendaria o lançamento de operações de Secure Erase em um sistema que tenha qualquer unidade de que você se preocupe ainda conectado. Tudo o que precisamos é de um pequeno erro de digitação para destruir os dados de uma unidade ainda em uso além de qualquer esperança de recuperação.

Se você for usar o Secure Erase, definitivamente faça isso em um sistema que não tenha nenhuma unidade em que você esteja conectado.

    
por 15.10.2014 / 17:52