Когда речь заходит о быстром уничтожении данных, невольно вспоминается история про сервер с нарисованной мишенью на уровне жесткого диска, рядом с которым дремал вооруженный охранник. Если внезапно нагрянет враг, бойцу нужно было выстрелить несколько раз в центр мишени и удалиться.
В этой статье вспомним не менее занятные способы быстрой и надежной порчи информации вместе с носителем.
Правдивость байки, конечно, под вопросом – стрелявшие из огнестрела по металлу знают как опасен рикошет. К тому же, гарантий необратимого повреждения накопителя в таком случае нет. Но были и более оригинальные подходы к защите ценных данных, о которых хочется вспомнить в бурный век технологий.
Последствия могут крайне негативно отразиться на дальнейшей жизни системного администратора. Работа – это всего лишь работа, а судимость – уже серьезно. Дальнейший рассказ носит развлекательный характер и не призывает к нарушению закона. Все истории из практики прошу считать выдумкой.
Подход грубой силы
Быстро сломать – пожалуй, самое очевидное решение на случай визита гостей, информация к которым попасть не должна. Например, можно разбивать жесткие диски молотком, но это довольно долго и можно банально не успеть.
В качестве улучшенного способа разрушения сумрачный отечественный гений разработал устройство Винтобой. Чудо-техника просто пробивает жесткий диск в четырех местах, поэтому что-либо восстановить можно будет только в специальной лаборатории.
В своей практике встречал идейно-похожее решение: жесткие диски лежали на специальной скамеечке и на каждом была нарисована маркером точка. На соседней стене висела готовая к работе мощная дрель.
Помимо возможности достать информацию в лабораторных условиях, гаджет содержит и еще один существенный минус: плохо подходит для SSD, где потребуется пробивать каждую микросхему памяти.
Я у мамы юный химик
Покрытые оксидом хрома "блины" жестких дисков очень плохо переносят действие кислот, например плавиковой кислоты. Вообще, для потери магнитных свойств поверхности достаточно обычной кипящей воды или масла. Проблема лишь в том, что доставить жидкость нужно непосредственно на блины, и чтобы она не успела остыть. Поэтому более популярны все же кислоты.
Кислоту можно впрыскивать шприцем через технологическое отверстие. Но даже подключение "системы впрыска" чревато преждевременным выходом устройства из строя, так как при монтаже в отверстие обязательно попадет пыль. Для SSD такой способ вряд ли подойдет из-за меньшей чувствительности микросхем к кислоте.
Если с кислотами все как-то мудрено, то остается простой и действенный "План Б" – нагрев. Алюминий плавится при температуре 600C, но потери магнитных свойств начнутся уже на 400C. Горению, порой, придают дополнительное ускорение зарядом термита или пирогеля. А чтобы не испортить все вокруг, диск лучше положить на керамическую основу или камень. Подобные заряды можно поджечь удаленно и за считанные секунды расплавить практически любой диск.
В одной организации мне рассказывали про строительные патроны в ключевых серверах, с перспективой замены чуть ли не на тротил. Я поспешил прервать с ними сотрудничество, от греха подальше.
Вообще, не советовал бы проверять все это на практике – последствия воздействия кислоты и термита на кожу выглядят крайне печально. Кроме того, изготовление взрывчатых веществ карается законом.
Что бы сделал скучающий физик
Если не нравится нагревать диски опасными веществами, то можно использовать вместо них электричество и какие-нибудь нагревательные элементы. Но эффективнее превратить электричество в магнитное поле и размагнитить с его помощью поверхность диска. На рынке представлено множество подобных устройств отечественного и зарубежного производства. На Хабре даже была статья с обзором отечественных моделей.
Отечественная система экстренного уничтожения данных SAMURAI 2U.
Кстати, твердотельные накопители менее чувствительны к магнитному излучению, поэтому их проще все же "поджарить".
Но все это варварство, ведь можно просто написать код
В качестве программных мер можно просто забить диск нулями несколько раз или провести глубокое форматирование. Но о скорости в этих случаях говорить не приходится. Есть чуть более оперативный метод – дать команду secure erase контроллеру диска, который разберется с данными примерно за час. Если речь идет об SSD, то процесс занимает считанные секунды, что делает метод безусловным фаворитом по простоте и эффективности.
Команду secure erase можно запустить специальными утилитами, которые могут быть даже встроены в управляющий модуль сервера. Например Intel предлагает Remote Secure Erase в своих чипсетах и SSD, а у HPE есть Erase Utility в комплекте с HP Insight Diagnostics. Опция доступна даже на ProLiant седьмого поколения.
Все зашифровать, а ключ выбросить
Инструментов для шифрования диска на рынке масса, даже в Windows давно появилось штатное средство – Bitlocker. Есть и более интересные варианты с двумя ключами: один расшифровывает данные, а другой их уничтожает. Самым главным для системного администратора минусом таких решений является их уязвимость к методам "терморектального" криптоанализа.
В качестве альтернативного решения некоторые хранят свои тайны в RAM-диске, который очищается при выключении сервера. Стоит помнить, что есть специальные методы получения информации из оперативной памяти недавно выключенного сервера. Для этого нужно получить доступ к железу как можно быстрее. Из минусов можно отметить внеплановую потерю информации при сбоях электропитания.
Но не проще ли надежно спрятать серверы и просто их отключить при необходимости?
Метод Гарри Поттера
Историю про серверную газель на парковке помнят многие – провода отсоединяются от оборудования и неприметная машинка выезжает с территории. На практике таких решений я не встречал, а вот спрятанные в укромных местах здания серверные иногда встречаются.
Однажды слышал историю о том, как в одной организации сервер с важными данными был спрятан в уборной – замурован в стену за сливным бачком. Организация была довольно известной, поэтому люди в масках ее периодически посещали, но "тайный" сервер так и не нашли.
В другой организации при "маскараде" долгое время бегали с серверами по черной лестнице, пока менеджмент задерживал проверяющих разговорами. Потом просто сняли неподалеку квартиру, о местонахождении которой знали только собственники компании и IT-директор. А для замещения пустых мест в серверном шкафу подготовили несколько машин с бесполезной информацией и надписями “Главный Сервер”, “Сервер-1”, “Сервер-2”.
В наш просвещенный век хранению сервера в кладовке со швабрами чаще предпочитают аренду виртуальной машины в облаке или ЦОД, чаще зарубежном. Решение подкупает своей простотой и эффективностью, и пиропатроны с мишенями на серверах потихоньку отходят в прошлое. По-прежнему актуальны только уничтожители накопителей, которые нашли свое место в реализации Федерального закона о защите персональных данных – среди вариантов удаления пользовательских данных там как раз есть уничтожение накопителя.
Если вы в своей практике встречали еще более экзотичные методы уничтожения данных – расскажите в комментариях.
Комментарии (32)
Veddary
10.11.2016 13:41+2Скажите пожалуйста, а вы читали вообще 303 статью УК РФ, на которую ссылаетесь? Указание на ответственность системного администратора по ней сродни всем известному натягиванию совы на глобус…
Честное слово, регулярные безграмотные отсылки к УК с целью произвести впечатление на неопытных в соответствующей области пользователей Хабра, которые систематически проскальзывают в местных статьях, вызывают недоумение.
dimskiy
10.11.2016 13:45Конкретный пункт закона здесь не принципиален. Важен сам факт укрывательства информации и пособничества в этом. Я не юрист и с конкретным пунктом закона могу, конечно, и ошибаться. Если вам известно что-то большее по этому поводу – напишите плиз в качестве дополнения.
В возможности произвести впечатление на кого-либо простой ссылкой на закон я, честно говоря, не уверен. Но «до выяснения» конкретный номер закона удалю – спасибо за замечание.
impetus
10.11.2016 14:41Зато есть статья 167, в которую перехала отдельная ранее статья «поджог».
В общем игра на минном поле все эти действия.
BalinTomsk
11.11.2016 20:11не ребята, должно быть так. Админ знает как все сделано, знает где хранятся даныые, куда и как попадает бэкап. И проявляем максимум рвения для восстановления информации.
Но не может. Потому как
1. База физически уничтожена.
2. Копия вне пределов физической досягаемости админа и злоумышленников.
3. Директор, админ и остальные сотрудники в курсе всего этого дела.
ни у кого не должно быть и тени сомнения что база потеряна.
А бэкап да, шлется на DVD в другую страну скорой почтой. Кодируеться ключом, где вторая половина извесна только принимающей стороне. Вся процедура описана в корпоративных документах, все открыто как в открытом ПО. Копия этих документов заранее представлено в ФCБ ФAПCИ, прокуратуру, налоговую, пожарную, милицию, народный контроль, радио Свобода, остальное продолжить.
Все все знают, все имеют и хотят сотрудничать, но не могут даже под воздействием терморектального анализа.
никто никому не усложняет жизнь
Psychosynthesis
16.11.2016 20:37«Копия этих документов заранее представлено в ФCБ ФAПCИ, прокуратуру, налоговую, пожарную, милицию, народный контроль, радио Свобода, остальное продолжить.»
Раз алгоритм известен, стократ проще перехватить ваш бэкап.
vanxant
10.11.2016 14:19+2Достаточно распространённая лет 10 назад схема: рабочий сервер в съёмной квартире по соседству, его белый плюшевый собрат с кристально честной информацией — как положено, в стойке. В случае маски-шоу перетыкается один кабель или просто перезагружается маршрутизатор, у которого сохранённый конфиг указывает на «белый» сервер, а переключение на рабочий каждый раз вручную делает сисадмин при включении.
LineAir
10.11.2016 14:27Можно ли восстановить информацию в лаборатории со стеклянных жестких дисков, проткнутых шилом? В следствии такого прокола стекло рассыпается на мелкие кусочки. Занимает данная операция доли секунды.
dartraiden
10.11.2016 14:45+2Полнодисковое шифрование, ключ шифрования — файл с белым шумом на microSD-карте. В случае опасности достаточно выключить оборудование, а карту уничтожить целиком — кинуть в ёмкость с той же кислотой… Терморектальный криптоанализ бесполезен, поскольку содержимое файла никто не видел и по памяти восстановить его невозможно.
gorbln
10.11.2016 15:21То, что криптоанализ бесполезен, отнюдь не означает, что его не будут применять.
И, к слову, СД-шка в кислоте будет растворяться медленно и неохотно. Лучше шреддер/молоток/зажигалка. Причём последнее — самое надёжное и быстрое, но всё же требует время на реакцию. Специальный «раздолбатор» для СД-шки сделать проще, без экзотической химии.
avelor
10.11.2016 15:29+2проблема в том, что пока вы будете объяснять анализаторам, что расшифровать невозможно — будет очень грустно и больно
KonstantinSpb
10.11.2016 15:28Термит не относится к взрывчатым веществам, но тем не менее, чтобы не прикрутили терроризм, крайне желательно чтобы диски были окружены керамикой. А так очень надежная вещь, в отличии от магнитного поля, которое исчезает вместе с электричеством, для запала термита достаточно нескольких батареек и несколько головок от спичек.
Rohan66
10.11.2016 15:28А можно просто купить сертифицированное СГУ (ЗАО «Анна» производит). Одно нажатие на кнопку и винт мёртв (ну, к SSD это не относится). После такого винт даже БИОСом не определяется (лично проверял ))) ). И не надо ничего выдумывать со стрельбой, кислотой или термитом.
vlreshet
10.11.2016 16:41Если я правильно все понимаю, то пара магнетронов из микроволновки, направленные на жёсткий диск должны довольно быстро его выпилить. И включать можно одной кнопкой, удобно.
vorphalack
11.11.2016 05:28и заодно впилить в делопроизводство статью о нанесении тяжкого вреда здоровью сотрудников органов при исполнении…
synedra
11.11.2016 06:31Вряд ли. Явно не админ будет бегать аки Саша из Креосана с магнетроном наперевес, это будет какая-то стационарная установка, так что засунуть её в непроницаемый корпус не проблема.
Barafu
10.11.2016 18:15Не вижу никакой практической разницы между системой защиты чёрных данных от государства и системой защиты белых данных от воров. В любом случае система должна работать во-первых без электричества, а во-вторых без команды человека, по срабатыванию условий.
При размышлении над таким типом защиты данных основной сценарий атаки должен быть следующий. В момент, когда админ вышел в сортир, во всём здании пропадает электричество, а в окно серверной начинают пачками сыпаться игиловцы. Да, прямо сквозь решётку. Да, на 11ом этаже.
Как при этом помогут всякие термиты и прочие муравьи? Да никак. В лучшем случае героическому админу придётся взрывать сервер перед глазами и автоматами ворвавшихся.
Так что всё это фигня для ублажения взглядов дирекции, а реально эти вопросы ну совсем иначе решаются.KonstantinSpb
10.11.2016 20:50+1Есть способы как «термиты и прочие муравьи» могут помочь при отходе админа в сортир и вырубании света, не такие уж и сложные, если хорошенько подумать.
chieftain_yu
11.11.2016 14:10Несколько радиобрелков у очень ответственных сотрудников, по сигналу с которых начинается операция «Ы».
Еще можно датчики открытия дверей завести на старт.Barafu
11.11.2016 19:48Но затем на матответственного вешают статью за уничтожение улик. Всегда есть риск, что он это знает, и, если на диске нет ничего против него лично, эту систему он саботирует заранее.
В противовес динамитам, если информация удаляется программно, то даже в нашем суде с его развитой фантазией будет трудновато доказать, что там что-то было.
Mercury13
11.11.2016 04:31+4ITH №980. Андеграунд-бухгалтерия
Недавно почувствовал себя настоящим Шерлоком Холмсом. Работаю в IT-отделе достаточно крупной конторы, устроился недавно одновременно с напарником. Решили провести инвентаризацию всего барахла, что на нас свалилось — начали, естественно, с серверов. По бумажкам их 23 штуки, все пингуются. Лезем в серверную, начинаем маркировать и находим только 22. Не хватает BSD'шного сервака с редко используемыми, но очень ценными базами данных. Чешем репу, спрашиваем у своих — никто не знает. Идём к начальству, получаем телефоны предыдущих админов — те говорят, что с проблемой знакомы, но этот сервак они так и не нашли. Вы его, мол, не трогайте, авось пронесёт.
Ну, думаем, так дело не пойдёт. Начинаем поиски: сервак живет в подсети центрального офиса, располагающегося в четырёх строениях общей площадью где-то в квадратный километр. Всё это опутано совершенно немыслимой паутиной оптики и витой пары. Обыскали все кабинеты, служебные помещения, потолочные перекрытия — нету. Совсем отчаявшись, начинаем выковыривать таблицы MAC-адресов из свитчей, чтобы отследить сервер по проводу — нет такого! Напарник не выдерживает и отправляется за водкой, благо, время было уже совсем нерабочее.
Постепенно начинает доходить, что сервер подключен вайфаем. Начинаем проверять точки доступа — бинго! Сервак коннектится через точку, находящуюся в офисе площадью 300 кв. м. Ну, думаем, дело за малым. Выпили по этому делу и отправились искать. Осмотрели всё: потолки, сейфы, сортиры, простучали стены. Нашли местного электрика, угостили водкой и подключили к поискам. По пьяни появилась идея вырубить все компы и послушать. Обползали весь офис с кружками у уха — пусто. Посмотрели спецификацию точки — шарашит на 75 метров, с учётом стен выходит примерно 40–50. Электрик притащил схему помещений, на которой мы циркулем обозначили круг поисков. Пошли прочёсывать по второму кругу.
Вдруг под столом у главбуха я обнаруживаю лежащий на полу хард. Пытаюсь вытащить — не лезет. Отодвинуть кондовый стол тоже не вышло — ножки прикручены к полу. Откручиваем, отодвигаем стол — хард подключен и работает, а шлейф и питание уходят прямо в пол, под паркет! Отколупываем одну панель — вот он, родимый!
Выяснилось, что года четыре назад все очень опасались аврала типа «маски-шоу»; главбух в случае прибытия недругов должна была вырвать хард и выкинуть его в окно. Как сервак выдержал такой срок, находясь в подполье, и кому вообще пришла в голову такая дикая идея, нам до сих пор неизвестно.
astralplus
11.11.2016 14:51Где-то лет 6 или 7 назад, был у наз похожий случай — в результате ревизии сети был найден айпишник «несуществующего сервера» — как выяснялось позже — файрвол на 4-й версии FreeDSD. Оказывается этот раритет на двухсокетном сервере на PentiumIII — 833 MHz и SCSI II винтах в рейде был случайно забыт в подсобке — малюсенькой — метр на полтора — и в результате ремонта подсобку зашили гипсокартоном, а проем сделать забыли — так и жужало это чудо много лет в темном одиночестве и было обнаружено по уходящему в стену кабелю витой пары.
amarao
11.11.2016 18:08В рамках теоретической паранойи я думал про «ring of trust», когда ключ для расшифровки данных циркулирует между несколькими серверами. Если сервер выходит из строя, секрет теряется. Хранение резервной оффлайновой копии — вне рассмотрения вопроса.
Основная идея: У нас N серверов с шифрованными дисками, общий секрет.
Сервер 1 испольует ключ для выполнения запросов в очереди (100 ms) на чтение и запись, после чего все следующие запросы «задерживает» в очереди, посылает секрет следующему серверу в группе, стирает у себя копию.
Сервер 2 повторяет это.
Сервер N повторяет это, посылая ключ серверу 1.
На выходе в каждый момент времени сервер в N-1/N случаев не имеет секрета ни в памяти, ни на диске.
Отправка секрета следующему серверу идёт в perfect forward security, т.е. перехват трафика не помогает. Через N*100ms секрет утрачен и машины молча ждут оффлайнового ввода ключа, данные без него не восстановимы.
Nickolass
11.11.2016 20:16Несколько лет назад на хабре была интересная статья, описывающая реализацию сервера на Ubuntu server с шифрованием и ключем на флешке. Реализовывал подобное в одной конторе, Безопасник всех вновь принятых девочек обучал что при приходе проверки надо мило улыбаясь предложить проверяющим чаю или кофе и вместе с ними зайти в подсобку где стоял чайник на тумбе в которой стоял сервер, причем был хитро запрятан под системой видеонаблюдения и кучей UPSов для непрерывной записи. Ну а дальше как в анекдоте — флешку аккуратно вытащить и спрятать в «самом» надежном месте. Даже премия была за такое назначена вроде.
В той же статье предлагалось сделать загрузку ключа не с флешки, а с удаленного сервера… Но тут уже все с одной стороны более легко вычисляется после обращения к провайдеру, с другой стороны начальство не хотело покупать для таких целей еще одну машинку, а про аренду серверов/VDS вообще заикаться нельзя было — не секурно и все тут.
К стати, в статье предлагалось хранить 2 копии данных что бы после пропадания флешки все грузилось с не зашифрованного раздела. ИМХо очень грамотное решение — без наличия крота в коллективе фик докажешь что оно загрузило не настоящие данные, а то что там еще какие то данные есть ну дык я откуда знаю что там смотрите сами…
relia
13.11.2016 10:54Все-таки самый простой вариант — это сделать данные на дисках непригодными для использования другими. Все операции на дисках должны шифроваться с помощью ключа, который физически находится за пределами региона (в другой области страны или, что еще лучше, в другой стране) и связь с которым осуществляется через TOR или еще какой канал, затрудняющий отслеживание местонахождение ключа. Тогда данные и этот ключ можно не уничтожать, а всего лишь выключить ключ и дождаться окончания неприятностей.
motpac
Лично прятал сервак в межпотолочном простанстве «армстронга» в женском туалете.