Flashmemória: törölj, ha tudsz!
Egy amerikai tanulmány szerint a flashalapú tárolók esetében ma még hiányoznak a módszerek a megbízható adatmegsemmisítéshez. Ami a merevlemeznél működik, itt nem.
Mivel sok – és egyre több – bizalmas adatot tárolunk kisebb-nagyobb számítógépeinken, jogos igényünk, hogy azokat helyreállíthatatlanul le is tudjuk törölni, ha már nincs rájuk szükség. A digitális információk megsemmisítése azonban az adattároló technológiák működése miatt nem olyan egyértelmű, mint azt első nekifutásra gondolnánk. Azt, hogy a merevlemezekről nem egyszerű adatot törölni, régóta tudjuk (erről a problémáról szól az IT café korábbi, Tényleg tudsz adatot törölni? című írása), egyesült államokbeli kutatók most pedig arra hívták fel a figyelmet, hogy a flashmemóriát használó háttértárak esetében még nehezebb a dolgunk.
A Kaliforniai Egyetem San Diegó-i campusának oktatói nemrég publikált tanulmányukban arra a következtetésre jutottak, hogy az SSD-meghajtók és más flashalapú tárolók – memóriakártyák, pendrive-ok stb. – eltérő, a merevlemezekénél jóval összetettebb működési mechanizmusa miatt a százszázalékos adatmegsemmisítés még bonyolultabb, vagy legalábbis új eljárásokat igényel. A vizsgálat megállapításai szerint a merevlemezeknél bevált és különféle szabványokban is kodifikált törlési megoldások (például az adatok többszöri felülírása) egyedi fájlok esetében az SSD-ken nem működnek. A teljes memóriatér legalább két alkalommal történő felülírása már megfelelő lehet, de az eredmény modellfüggő, és ugyanez mondható el a készülékek által támogatott törlési parancsokról is, melyek megvalósításai viszonylag széles megbízhatósági skálán szóródnak.
Kényszerű sokszorosítás
A problémák az adattárolási technológia működéséből fakadnak. (Erről a Prohardver! írt részletes cikket.) A flashmemóriát használó tárolókban a vezérlőchip bonyolult címzési, írási és olvasási eljárásokat menedzsel, miközben arra is ügyel, hogy a lehetőségekhez képest azonos szinten tartsa a véges mennyiségű írási műveletet elviselni képes memóriacellák elhasználódását, és biztosítsa a hibás cellák „pótlását”. Ennek a munkának a mellékhatásaként számos másolatot készít az egyes állományokról. A kutatók egy teszt során ezer kisebb méretű fájlt írtak az SSD-kre, majd a memóriachipek fizikai kiolvasásakor azt találták, hogy ezek némelyike akár 16 példányban is tárolva volt az eszközön, míg 6-8 előfordulás kifejezetten gyakori volt.
Ez nyilvánvalóan nem segíti az adatmegsemmisítést. A végleges törlést nehezítő másik tényező, hogy a flashmeghajtók a rajtuk feltüntetettnél minden esetben nagyobb tárolókapacitással rendelkeznek, mivel a vezérlőnek szüksége van plusz cellákra az adatok folyamatos pakolgatásához és a már meghibásodott blokkok kiváltáshoz. A tanulmány szerzői kezében megfordult eszközökben 5-25 százalékkal volt több memória annál, mint ami fel volt tüntetve rajtuk. Az SSD-k esetében jellemzően nagyobb százalék az operációs rendszer által nem igénybe vehető, csak a kontrollerchip által látott kapacitás – ezen a szoftverek számára nem létező területen sok maradékinformáció lehet.
A kutatók megvizsgálták, hogy adott fájlokat milyen hatékonysággal tudnak végképp letörölni. Az egyes állományok törlése során a merevlemezeknél alkalmazott adatmegsemmisítési ajánlásokat, szabványokat követték, amelyek a fájl többszörös felülírásával, illetve a szabad memóriaterületek felülírásával működnek. A flashmeghajtók esetében egyik szabványos eljárás sem hozott százszázalékos eredményt: felülírás után a fájlok 4-75, a szabad terület átírása után pedig 53-87 százaléka volt visszanyerhető a chipből.
Az eredmények szerint a firmware-ben megvalósított szabványos törlési parancsok hatékonysága is változó volt. A tesztbe bevont hét SSD közül négy megbízhatóan törölt minden adatot, kettő csak részben, egy pedig – annak ellenére, hogy sikeres formázást jelzett – érintetlenül meghagyta az összes adatot. A kutatók szerint e problémák miatt szükség van olyan, a gyártók által követendő előírások kidolgozására, melyek biztosítják az adatok megsemmisíthetőségét.
A Kürt tapasztalatai
A tanulmányban leírt jelenségeket az adatmentéssel (is) foglalkozó Kürt Zrt. szakembereinek tapasztalatai is alátámasztják – mondta el lapunk kérdésére Szekeres Gábor, a cég adatmentési üzletágának igazgatója. Jellemző, hogy az adatmentésre leadott flashmemóriás adattárolókon egy adott állományt több példányban is megtalálnak, ami azok működési mechanizmusának következménye. A vezérlőchip nemcsak az adatokat írja be többször a memóriaterületre, de azt a fájlok fizikai helyét tároló információs táblát is, amely a merevlemezek regisztrációs táblájának felel meg – tette hozzá.
A Kürthöz egyébként flashalapú tárolókból inkább memóriakártyákat és pendrive-okat visznek az ügyfelek, a cégnek eddig csak néhány SSD-vel volt dolga. A flashes eszközök esetében a leggyakoribb hibaforrás a fizikai sérülés (például elázik, eltörik az eszköz), illetve a vezérlőchip meghibásodása. Utóbbi esetben a memóriachipekből közvetlenül, fizikai úton olvassák ki az adatokat, majd visszafejtik azt az adatszervezési rendszert, amellyel a kontroller dolgozik. Sajnos ez egy nem szabványosított terület – magyarázza Szekeres –, ezért itt majdnem minden adatmentés esetében aprólékos visszafejtési munkára van szükség, még akkor is, ha ezt ma már speciális szoftverek segítik.
A Kürt foglalkozik adatmegsemmisítéssel is, noha eddig csak merevlemezek esetében merült fel ilyen igény Magyarországon. „Nyilvánvalóan nem kell már sokat várni arra, hogy törlésre ítélt SSD-kkel forduljanak hozzánk: akkor jelentkezni fognak azok a problémák, amiket a tanulmány is tárgyal” – mondta Szekeres.
A fizikai megsemmisítés a tuti
A szakember is megerősíti, hogy a flashalapú tárolók működési elvéből fakadóan azok a típusú adattörlési mechanizmusok, amelyek a merevlemezeknél beváltak, nem működnek. Például szoftveres, tehát logikai úton biztonságos adatmegsemmisítés nem lehetséges az SSD-k esetében, hiszen a flashmemóriánál a felülírás úgy működik, hogy a törölni kívánt adatot a vezérlő alapesetben érintetlenül hagyja, és a felülírásra használt adatot másik területre írja.
Mégis mit tanácsol akkor a Kürt azoknak a felhasználóknak, akik véglegesen el akarják tüntetni az adatokat egy flashalapú adattárolóról? A rossz hír az, hogy egyes fájlok esetében jelenleg százszázalékos házi módszer nincs. Ha a meghajtó feláldozható, a legbiztosabb – ahogy a merevlemezek esetében is – a fizikai megsemmisítés, amelynek során arra kell ügyelni, hogy a memóriachip tönkremenjen: például el kell törni a chipet – SSD esetében minden egyes chipet –, vagy fizikailag kell roncsolni az egész tárolót. De ez sem feltétlenül biztos módszer, mert épp a tanulmány hívja fel a figyelmet arra, hogy a kontrollerchipben is található gyorsítótár, amiben maradhatnak adatok, tehát tanácsos ezt is tönkretenni, roncsolni. Opció lehet még a memóriachip speciális író-olvasó eszközzel történő teljes felülírása, de ez otthoni környezetben nem kivitelezhető, ha pedig szakember végzi, nem olcsó mulatság.
Érdekes probléma, ami a mechanikus tárolók rövidesen várható teljes kiváltásával mindinkább előtérbe fog kerülni. Meggyőződésem, hogy a gyártók kitalálják a megfelelő megoldást, ami lehet egy belső kapcsoló (jumper) vagy kapcsolósor átállítása teljes törlésre, de ugyanez megoldható szoftveresen is, nem feltétlenül operációs rendszerből. Valami kerülő (by-pass) eljárásra gondolok. Ez nem jelenthet túl nagy kihívást a szakembereknek.