Il problema della cancellazione sicura dei dati: il ‘wiping’, tra mito e realtà

[Articolo pubblicato sulla rivista “Sicurezza e Giustizia”, anno 2012 n. 2, autori P. Reale, il pdf è disponibile qui]

Uno dei classici problemi che prima o poi occorre agli utilizzatori di computer, magari a seguito di maldestre operazioni sul filesystem, è “come posso recuperare i file che ho inavvertitamente cancellato?”. Per il digital forensics expert, invece, il recupero dei dati cancellati (volontariamente o meno) dalle macchine oggetto di indagine/analisi costituisce normale ambito di lavoro. E’ quindi di comune conoscenza il fatto che sia possibile, attraverso l’utilizzo di opportuni metodi e strumenti, il recupero dei dati cancellati dai supporti di memorizzazione.

Non altrettanto si può dire del problema simmetrico: la cancellazione ‘sicura’ dei dati (wiping in inglese), ovvero fare sì che i dati di cui si voglia l’eliminazione siano effettivamente irrecuperabili, con certezza. Si tratta di un problema che sicuramente si devono porre le organizzazioni private e pubbliche che trattano i dati personali e sensibili dei propri clienti, o dei cittadini, oltre a chiunque ritenga di dover tutelare la propria privacy. La domanda diventa quindi “si possono cancellare i dati in modo definitivo?”.

Ciò che spesso capita è che anche chi utilizza e conosce la tecnologia non abbia sufficiente chiarezza di cosa è possibile realmente recuperare e cosa no, specie se si contempli di poter fare uso delle tecniche più sofisticate. Questo dubbio è indirettamente alimentato anche dalle procedure americane emanate per le forze militari e le agenzie di intelligence, come la DoD 5220.22-M [5] del 1995 ormai obsoleta e altre, in cui si trova indicazione come in caso di informazioni ‘top secret’ l’azione di ‘sanitization’ preveda di “disintegrare, incenerire, polverizzare, sminuzzare, o fondere” i supporti. Queste azioni, sebbene possano far ritenere che sussista la possibilità di un effettivo recupero dei dati sensibili, sono da considerarsi soprattutto come soluzioni rapide ed efficaci, difficili da ‘sbagliare’ e alla portata anche di chi non avrebbe le necessarie competenze tecniche per poter effettuare una verifica puntuale dell’avvenuta cancellazione definitiva dei dati, condizione necessaria per tali tipologie di informazione.

Vi è dunque una diffusa percezione del fatto che le Agenzie governative e di intelligence avrebbero la capacità e le tecnologie per recuperare dati non semplicemente cancellati, ma sovrascritti anche più volte, tramite l’utilizzo di microscopi a forza magnetica (MFM), e/o strumenti più evoluti. Uno dei principali portavoce di questa tesi è Gutmann [1], che nel suo articolo del 1996 sosteneva come “le organizzazioni di intelligence hanno molta esperienza nel recupero delle immagini” relative ai diversi strati di sovrascrittura sui dischi magnetici. Questa convinzione si basa, sinteticamente, sul presupposto che quando la cifra “1” viene scritta sul disco l’effetto reale è più vicino ad ottenere un valore di 0,95 se è in sovrascrittura ad un precedente valore “0”, e un valore di 1,05, quando un “1” viene sovrascritto ad un precedente “1”.

Per questo Gutmann propose un algoritmo di cancellazione, detto anche “metodo Gutmann”, basato sulla sovrascrittura di ben 35 diversi ‘pattern’ digitali, finalizzati alla completa distruzione di ogni possibile traccia recuperabile. Detto algoritmo si trova implementato in molti strumenti software di wiping disponibili in Internet (è anche disponibile tra le opzioni di formattazione nel sistema operativo Mac Os X), e le sue ’35 passate’ sono diventate nel tempo una sorta di rituale Voodoo della cancellazione (come detto dallo stesso Gutmann negli anni successivi all’articolo citato).

Pochi hanno tuttavia intrapreso la strada di una puntuale verifica delle conclusioni di Gutmann, come ha fatto Feenberg [2], che dopo aver accuratamente analizzato tutta la bibliografia citata nell’articolo [1], ed aver approfondito il tema con successive ricerche, conclude che “le affermazioni di Gutmann appartengono alla categoria delle leggende urbane”, in quanto non supportate da concrete evidenze di effettivo recupero dei dati: “Gutmann non cita nessuno che sostenga di essere in grado di leggere i dati nei settori sovrascritti, né cita alcun articolo che indichi che gli ordinari programmi di wiping non sarebbero del tutto efficaci.”

Un fatto curioso su cui riflette Feenberg è il fallimento di chiunque nel leggere il “vuoto” di 18 minuti creato cancellando una porzione del nastro di Nixon nel famoso caso Watergate: “nonostante il fatto che la densità di dati su un registratore analogico del 1960 sia di circa un milione di volte inferiore rispetto alla tecnologia corrente, e che il recupero audio non richiederebbe un alto grado di precisione, non un solo fonema è stato recuperato”.

Sembrerebbe fuorviante soffermarsi su questi aspetti contraddittori della cancellazione sicura, e più in particolare della possibilità di recupero successivo dei dati sovrascritti, tuttavia è fondamentale comprendere che per molto tempo questi temi sono stati oggetto di posizioni quasi preconcette, e -in mancanza comunque di oggettive dimostrazioni sull’effettiva recuperabilità dei dati a valle di operazioni di sovrascrittura- si deve rilevare come si è comunque mantenuta in essere l’idea che un alto numero di sovrascritture garantisse l’impossibilità nel recupero dell’informazione originaria.

Tale idea in realtà non è corretta, e soprattutto fuorviante come vedremo meglio nel seguito, senza voler considerare l’enorme dispendio di tempo (e non solo) se per i dischi fissi di uso attuale, che hanno capacità dell’ordine del Terabyte e oltre, si volessero effettuare cancellazioni con 35 passate di sovrascrittura: occorrerebbero anche settimane per ogni singolo disco…

Nel tentativo di dirimere la questione, è intervenuto nel 2008 l’articolo [3], “Overwriting Hard Drive Data: The Great Wiping Controversy”, di Wright e altri, in cui nell’introduzione si legge che l’approccio di Gutmann sulla possibilità di recupero dalle sovrascritture “si può dimostrare falso e che, di fatto, vi è una distribuzione basata sulla densità magnetica” tale che il differenziale statistico nei modelli di scrittura è troppo grande per consentire il recupero di dati sovrascritti.

In particolare viene smentita l’idea [1] che “ogni traccia contiene l’immagine di tutto quello che è stato scritto, ma che il contributo di ciascun ‘strato’ diventa progressivamente più piccolo” se si procede a ritroso nel tempo. Questo, sostiene Wright, è un “fraintendimento della fisica del funzionamento dei drive e della magneto-risonanza. Non vi è infatti alcuna componente di tempo e l’immagine non è a strati.”

Viene dunque ‘sfatato’ il mito relativo alle modalità di scrittura dei dati su un disco rigido, in cui si crede che la scrittura digitale corrisponda ad un’operazione digitale: si tratta in realtà di un errore, perché l’unità scrive livelli analogici che hanno valori probabilistici, compresi in un certo range. Come risultato, non c’è differenza per l’unità nella scrittura di un valore 0,90 o 1,10 del potenziale magnetico: a causa di fluttuazioni di temperatura, umidità, ecc. il valore scritto sul supporto varierà per ogni singola passata del ciclo di scrittura.

In altre parole, non c’è modo di determinare se un valore, ad esempio, di “1,06” sia dovuto ad una scrittura precedente o ad una fluttuazione della temperatura. Inoltre il flusso magnetico su un disco decade lentamente nel tempo, distorcendo ulteriormente i risultati e aumentando il livello di incertezza di un eventuale recupero. In conclusione quindi il lavoro di Wright [3] dimostra sperimentalmente che i dati cancellati con sovrascrittura non possono essere recuperati, neppure con l’uso di un microscopio o altri metodi conosciuti.

Le stesse conclusioni erano peraltro già evidenziate dal Center for Magnetic Recording Research dell’Università di San Diego (CMRR), che nel documento “Tutorial on Disk Drive Data Sanitization” [4] del 2006 già rilevava come nelle “unità di oggi, sovrascritture multiple non sono più efficaci di una singola sovrascrittura”. Stabilito quindi che un ciclo di sovrascrittura risulta già efficace nella cancellazione dei dati precedentemente memorizzati, la domanda da porsi è come realizzare questa operazione in modo da essere certi che ogni zona del disco sia interessata dall’azione.

La sovrascrittura effettuata da uno strumento software ‘esterno’ al supporto stesso può, infatti, fallire nell’indirizzare alcune parti del disco, come le porzioni che si trovano oltre l’indirizzo massimo (quando inferiore alla capacità nativa del disco), oppure non cancellare i blocchi riallocati (blocchi difettosi), o non rilevare partizioni ulteriori. In particolare, la mancata sovrascrittura dei settori riallocati può consentire il recupero dei dati eventualmente presenti in questi settori. Inoltre, i dischi destinati al mercato di massa (PATA/SATA) non possono generalmente leggere, scrivere o anche solo rilevare i blocchi riassegnati (i dischi destinati all’uso professionale, di classe superiore, consentono invece ai comandi software questa possibilità).

Per questo, dietro specifica richiesta proprio del CMRR, è stato introdotto il comando ‘Secure Erase’ (SE) allo standard aperto ANSI per il controllo del disco rigido: tale comando consiste sostanzialmente nel metodo della sovrascrittura del disco, ed è implementato all’interno del firmware stesso, rendendolo così immune da qualunque attacco di software maligno o altre utility. E’ implementato su tutte le interfacce ATA prodotte dopo il 2001 (dischi di capacità superiore ai 15 GB), ed esiste anche per i dischi SCSI, anche se non implementato in tutti i modelli.

Abbiamo finalmente completato il percorso per comprendere quali modalità adottare nella cancellazione dei dati sensibili presenti sui dischi fissi di tipo magnetico, ma questo sicuramente non esaurisce il problema più generale, che riguarda l’approccio complessivo alla cancellazione sicura per ogni tipo di supporto di memorizzazione e quali siano i criteri e le soluzioni da adottare. In quest’ottica, il documento più attuale ed esaustivo è quello prodotto dall’organismo americano National Institute of Standards and Technology (NIST) “Guidelines for Media Sanitization” [6], del 2006, noto anche col suo codice “NIST 800-88”.

Il NIST 800-88 [6] innanzitutto definisce quali siano le tipologie di ‘cancellazione’ (sanitization), da adottare sulla base di una valutazione dell’effettivo grado di riservatezza del dato, del rischio correlato, dei costi legati al metodo scelto e dell’impatto ambientale:

• Scarto (disposal): ove non siano presenti dati ritenuti in qualche modo importanti, è contemplato anche il semplice smaltimento del supporto come rifiuto;
• Pulizia (clearing): si tratta di un livello medio di cancellazione, destinato ad evitare il recupero dei dati attraverso gli strumenti software tipicamente utilizzati a questo scopo. A seconda del tipo di supporto, è quasi sempre sufficiente la sovrascrittura dello stesso.
• Eliminazione (purging): si tratta di un livello di protezione più elevato, orientato a proteggere le informazioni più sensibili da un possibile tentativo di recupero ‘in laboratorio’. Per alcune tipologie di supporto non è sufficiente il livello precedente, sebbene nel caso dell’utilizzo del comando di ‘secure erase’ precedentemente citato i due livelli convergano. E’ possibile eventualmente contemplare, per questo livello, l’utilizzo di un ‘degausser’, ovvero uno strumento hardware in grado di produrre un campo magnetico variabile in intensità e direzione, in modo da eliminare i dati (dai supporti di tipo magnetico evidentemente) e rendere inutilizzabile la memoria. Tipicamente questa modalità rende anche inservibile il drive oggetto dell’azione di cancellazione.
• Distruzione (destroying): la distruzione del supporto è indubbiamente la soluzione più estrema, ma anche inevitabile per alcuni tipi di dispositivi, come quelli ottici (CD, DVD). Le azioni suggerite sono, in dipendenza dal tipo di memoria, la triturazione, la polverizzazione, la fusione e l’incinerazione. Queste operazioni possono eventualmente richiedere la disponibilità o l’utilizzo di appositi strumenti e strutture in cui svolgere in modo sicuro le operazioni.

Lo stesso documento, oltre a suggerire criteri, modalità e procedure di valutazione delle soluzioni di cancellazione sicura delle memorie, propone un’estesa tabella in cui suggerisce, per ogni tipo di supporto disponibile, quali siano le azioni raccomandate.

Sembrerebbe quindi che, a valle di questo percorso condotto nei dettagli delle tecniche di cancellazione efficace, siano noti tutti i termini del problema e le azioni da eseguire, ma è bene puntualizzare come l’evoluzione tecnologica e la disponibilità di supporti con nuove caratteristiche e/o tecnologie può generare situazioni in cui si possano commettere facilmente errori di valutazione.

E’ il caso, ad esempio, dei drive ibridi, che prevedono una sezione di memorizzazione magnetica a disco rigido ed un’altra basata su memoria a stato solido: un’operazione di cancellazione tramite degausser potrebbe non intaccare minimamente la parte di memoria a stato solido (le correnti indotte dal forte campo magnetico variabile del degausser possono non essere sufficienti a danneggiare o alterare il contenuto dei chip di memoria).

Oppure, ancor più insidiosa, è la rilevazione che nei dischi a stato solido (SSD) il comando di ‘secure erase’ citato fallisca in alcuni drive per una non corretta implementazione dell’algoritmo da parte del produttore, lasciando addirittura i dati (per alcuni drive) praticamente intatti sul disco. Le tecniche di cancellazione basate sui software di wiping sono invece tendenzialmente efficaci (anche se non sempre), mentre quelle per la cancellazione del singolo file falliscono sistematicamente. A questi risultati giunge un lavoro recentemente pubblicato (2011) da Wei e altri [7], “Reliably Erasing Data From Flash-Based Solid State Drives”: è dunque errato assumere, a priori, che le tecniche di cancellazione utilizzate nei dischi rigidi possano funzionare nello stesso modo e con la stessa efficacia per i dispositivi a stato solido.

Ciò dipende da diversi fattori, tra cui in primis la presenza, nei drive SSD, di un livello di gestione intermedio, il Flash Translation Layer (FTL), che effettua la mappatura tra funzionalità ed indirizzamento logico visibile dall’interfaccia esterna con l’effettiva operazione condotta sulla memoria fisica. Questo livello rende peraltro più complessa la verifica dell’operazione di sovrascrittura, proprio per la virtualizzazione completa del livello hardware: per tale ragione il team di studiosi che ha eseguito i test ha dovuto realizzare un’apposita interfaccia di verifica in cui posizionare fisicamente i chip di memoria, dopo averli dissaldati dal drive SSD, al fine di poterli leggere direttamente. Nello sperimentare soluzioni possibili per la cancellazione sicura, il team indirizza comunque verso i produttori la necessità di implementare direttamente sul supporto SSD le funzionalità per realizzare in modo efficace le operazioni di wiping, sul singolo file come sull’intero disco.

In conclusione, la sicurezza dei dati è diventata nel tempo uno dei problemi più spinosi per le aziende, gli Enti governativi ed i professionisti che trattino informazioni personali o sensibili, sia nelle fasi di esercizio operativo che nella loro successiva distruzione. In particolare la cancellazione sicura (sanitization) deve garantire l’effettiva irrecuperabilità delle informazioni riservate, e per questo il riferimento più esaustivo sul tema è il documento NIST 800-88 [6] già citato: queste linee guida indirizzano i proprietari delle informazioni (owner) nel prendere decisioni adeguate per la cancellazione sicura in funzione del livello di sensibilità dell’informazione, del tipo di dispositivo di memoria, del costo, etc.

Questa procedura, pur costituendo un valido supporto anche al privato che voglia tutelare al meglio la propria privacy, è probabilmente ‘eccessiva’, in quanto il livello di protezione realmente richiesto da questa categoria di persone è, solitamente, l’impossibilità al recupero con i software di carving (recupero dati) più diffusi. In questa situazione, è molto probabile che i normali programmi di wiping, disponibili anche gratuitamente su Internet, o ancor meglio la funzionalità di ‘Secure Erase’ disponibile nei dischi fissi di uso comune, costituiscano rimedio ampiamente efficace alla soluzione del problema.

In tutti i casi, sebbene sia provata l’inutilità di procedure di cancellazione dispendiose basate su sovrascritture multiple dei supporti, è importante ricordare che:

• non può mai essere sottovalutata la fase di verifica delle operazioni effettuate, a garanzia della qualità dell’azione svolta, e
• deve essere posta attenzione nei casi in cui si utilizzino nuove tipologie di dispositivi, specie se basati su nuove tecnologie, perché non vale il principio di estendere automaticamente il patrimonio di esperienza maturato nella gestione di tutti gli altri dispositivi noti, ma è necessaria una valutazione ad hoc.

Riferimenti bibliografici citati

[1] “Secure Deletion of Data from Magnetic and Solid-State Memory”, Peter Gutmann, Sixth USENIX Security Symposium Proceedings, San Jose, California, July 22-25, 1996.

[2] “Can Intelligence Agencies Read Overwritten Data?”, Daniel Feenberg, National Bureau of Economic Research, 2003 (con aggiornamenti fino al 2011)

[3] “Overwriting Hard Drive Data: The Great Wiping Controversy”, Wright, Kleiman, Sundhar, 2008, ICISS 2008: 243-257.

[4] “Tutorial on Disk Drive Data Sanitization”, Gordon Hughes e Tom Coughlin, settembre 2006.

[5] U. S. Department of Defense. 5220.22-M National Industrial Security Program Operating Manual, gennaio 1995.

[6] “Guidelines for Media Sanitization”, Recommendations of the National Institute of Standards and Technology, NIST Special Publication 800-88, settembre 2006.

[7] “Reliably Erasing Data From Flash-Based Solid State Drives”, Wei, Grupp, Spada, Swanson, FAST ’11: 9th USENIX Conference on File and Storage Technologies, 2011.