Računalniki šarijo po disku skoraj nepretrgoma, ne le takrat, ko ukažemo shranjevanje podatkov ali njihovo nalaganje. Velika večina aplikacij namreč zelo aktivno »sodeluje« s trdim diskom tudi med delom, ko zapisujejo za svoje delovanje potrebne podatke v začasne datoteke ali arhivske datoteke in jih, ko jih ne potrebujejo več, tudi periodično brišejo.

Teh podatkov, in pa seveda tudi tistih, ki jih računalnik »zbriše« na našo zahtevo, operacijski sistem »fizično« ne odstrani z diska. Kot bomo videli kasneje, odstrani le povezave do njih, in, vsaj dokler jih ne prepišemo z novimi podatki, jih je mogoče z ustrezno programsko opremo obnoviti. Na disku lahko ostanejo deli ali celotna izbrisana datoteka, še dlje časa pa preživijo podatki o izbrisanih datotekah (file attribute). Oboje lahko postane varnostna grožnja, če tak disk (ali celoten računalnik) bodisi prodamo kot »staro šaro« ali nam ga ukradejo. V skrajnem primeru, kar je odvisno od različnih okoliščin, je tudi po daljšem času moč obnoviti datoteke. Če gre za pomembne ali škodljive podatke, nam lahko to povzroči kar nekaj preglavic. Onstran meja naše države že obstajajo specializirana podjetja, katerih dejavnost je preprodaja računalnikov iz druge roke. Bistvena naloga teh podjetij pri obnavljanju starega računalnika je tudi popoln izbris vsega, kar je imel bivši uporabnik računalnika shranjeno na trdem disku. Pri nas takih podjetij še ni in v večini primerov prodajalci (domači uporabniki) kar sami izbrišejo disk. Večina od njih to naredi površno, z ukazi operacijskega sistema in ne z ustreznimi dodatnimi programi. Kljub nasprotnemu mišljenju, formatiranje diska, ponovno oblikovanje particij in celo formatiranje na nizkem nivoju (low level format), ne uničijjo starih podatkov. Tako na disku ostanejo datoteke, ki jih dovolj izobražen kupec lahko obnovi in prebere. Malce se zamislite. Kaj se že lahko dogodi, če nekdo pride do vaših osebnih podatkov, številk kreditnih kartic ali pa celo do shranjenih dokazov vaše posteljne dejavnosti? Kot naročeno za rumeni tisk, če ste le malce bolj poznani v svoji okolici in potemtakem zanimivi.

KAJ JE RES IN KAJ NE?

Površina trdega diska pod mikroskopom. Ker zapis novega bita podatkov nikoli ni na popolnoma istem mestu kot stari podatek, se na robovih pojavijo sledovi prejšnjih bitov podatkov, shranjenih na tem mestu.

Čarovnije z računalnikom, ki jih zasledimo v različnih ameriških filmih, so večinoma le iluzija in nič drugega. Tako hitro, enostavno in v celoti pač ni moč obnoviti zbrisanih datotek. Sam proces je mnogo kompleksnejši in ne postreže vedno s pozitivnimi rezultati. Če vidite, da »junak« v trenutku obnovi izbrisane podatke iz računalnika varnostne agencije CIA, je to seveda popolna neumnost. Predvsem zato, ker ti računalniki že v osnovi ne uporabljajo datotečnih sistemov, znanih iz sveta računalnikov za običajno rabo. Drugače povedano, ko v tem računalniku dokončno zbrišejo neko datoteko, je ta v resnici zbrisana in za njo ostane nič ali le malo sledi. Zagotovo pa nič uporabnega. Tako vsaj trdijo uradne institucije.

Je res tako? Odgovor na to vprašanje meji na znanstveno fantastiko. Nekatere analize genialnih posameznikov namreč kažejo, da je kljub vsemu moč prebirati podatke. Celo iz pomnilnikov, delček sekunde po tem, ko računalnik ugasimo. In tudi iz diska, in to v primeru, ko je bil podatek že večkrat prepisan z novimi podatki. Seveda s pomočjo sofisticirane in drage opreme, ki je ni ravno v izobilju.

Čeprav so pomnilniški čipi in magnetni diski (trdi diski) namenjeni shranjevanju podatkov v digitalni obliki, je osnovna tehnologija zapisa bita v podatkovno celico v osnovi še vedno analogna. Pri analognem shranjevanju digitalnih informacij je vrednost posameznega bita (magnetno ali električno polje) kompleksna kombinacija prejšnjih shranjenih bitov. Pomnilniški čipi omogočajo diagnostični način (to ni splošno znano), s pomočjo katerega lahko merimo vrednosti, manjše od (deklariranega) bita. Podobno velja tudi za trde diske, pri katerih lahko s pomočjo predelane elektronike signali, pridobljeni z bralno pisalnih glav, odkrijejo podatke, ki so bili prepisani z novimi. Ti se še vedno kot duhovi prikažejo kot modulacija analognih signalov. Drugi način pridobivanja starih in prepisanih podatkov s trdega diska je skeniranje površine magnetnega zapisa z elektronskim mikroskopom. Na sliki se lepo vidi, da so starejši podatki vidni kot magnetni vzorci na robovih zapisa.

Torej je branje zbrisanih podatkov mogoče, saj so zapisani podatki veliko bolj trdoživi, kot bi si lahko mislili. Jasno pa je, da opisani načini rekonstrukcije starejši podatkov ne omogočajo trenutnega rezultata in zagotovo niso dostopni zunaj sofisticiranih laboratorijev.

DUHOVI, KI JIH LAHKO ULOVIMO?

Pri osebnih računalnikih in njim namenjenih operacijskih sistemih je obnovitev izbrisanih podatkov veliko preprostejša pri kakšnih »uradnih« institucijah. Krivec za to je datotečni sistem, ki je pri večini najbolj znanih operacijskih sistemov dokaj podoben. Način zapisa bi lahko enostavno opisali takole: Podatki na disku so zapisani na dveh »nivojih«. Prvi je tabela, v katerih so podatkih o datoteki (njeni atributi) in podatki o tem, na katerih delih (sektorjih) diska je datoteka dejansko zapisana, podatki sami pa so teh opisanih sektorjih. Ko želimo do podatkov dostopati, sistem najprej pogleda v tabelo in prebere, kje je podatek, nato pa iz sektorjev, zapisanih v tej tabeli, prebere to, kar potrebuje. Ko podatek zbrišemo, pa se ne zgodi to, kar bi pričakovali, torej da računalnik zbriše vsebino sektorjev in nato še podatke v tabeli. Zgodi se le to, drugo − sistem iz tabele odstrani le podatke o datoteki. S tem postane datoteka za sistem sicer nedostopna, saj sistem več ne ve, kje na disku jo iskati, a podatki sami so dejansko še vedno na disku in ostanejo tam vse do takrat, ko jih ne prepišemo z novimi podatki.

Časovnica preživetja podatkov

Zanimivo je pogledati, kako dolgo ti podatki ostanejo na disku. Pred časom smo zasledili preizkus, ki naj bi odgovoril na vprašanje, koliko časa v povprečju preteče od trenutka zbrisa datoteka do trenutka, ko stare podatke na disku računalnik zamenja z novimi. Preizkus je potekal 20 tednov v računalnikih z operacijskim sistemom Unix, a kot smo dejali, je pri večini drugih operacijskih sistemov podobno. Treba je dodati, da so bili testni računalniki dokaj obremenjeni in so veliko pisali na disk, vsekakor veliko več kot računalnik povprečnega uporabnika. Podatkovni strežnik je dnevno obdelal 1500 sporočil elektronske pošte (okoli 10 MB), dostopal do spletnih storitev in podobno (dodatnih 1,5 MB). Datotečni sistem (disk) kapacitete 8 GB s podatkovnimi bloki 1 KB je bil polovično zaseden in večino od omenjenih elektronskih sporočil je sistem samodejno izbrisal v dokaj kratkem času. V praksi to pomeni veliko pisanja in brisanja. Dobljeni rezultati kažejo na jasen trend. V strežniku so našli 100 MB vsebin, ki so bili zbrisane pred manj kot tednom dni, 20 tednov pa je »preživelo« 10 MB podatkov. Še zgovornejši so rezultati, pridobljeni v drugih testnih računalnikih. Polovica zbrisanih podatkov na njih je bila prepisana po 35 dneh. Glede na to lahko sklepamo, da izbrisani podatki ostanejo v računalnikih nekaj tednov ali celo več.

KAJ VPLIVA NA OBSTOJNOST IZBRISANIH PODATKOV

Kako dolgo izbrisani podatki ostanejo na disku, je odvisno tudi od datotečnega sistema. Zmogljivi datotečni sistemi težijo k hitremu dostopu do zapisanih podatkov. To pa je mogoče doseči z optimiranjem premikanja glav trdega diska. Edina možnost za to pa je optimiranje podatkovnih blokov, v katerih je določena datoteka, tako da so čim bližje skupaj. Sistem novo datoteko fizično zapiše blizu datotek, ki so v isti mapi (imeniku), nove mape pa ustvari na delu diska, kjer je veliko praznega prostora. V takem sistemu je čas preživetja izbrisanih datotek odvisen od aktivnosti pisanja in brisanja v določeni mapi (delu diska). Če je aktivnost velika, je ta čas kratek, v mapah, kjer se skoraj nič ne dogaja, pa lahko zbrisane datoteke »preživijo« dlje časa.

Že to, da se lahko zbrisane datoteke ohranijo nekaj tednov ali v skrajnem primeru celo nekaj let, je zanimivo samo po sebi. Še dlje se lahko ohranijo podatki o atributih datotek (čas nastanka, zadnje spremembe ...), iz česar lahko usposobljena oseba izlušči podatke o aktivnostih v določenih računalnikih. Vse to pa je lahko, če se tega ne zavedamo, grožnja anonimnosti in zasebnosti vsakogar od nas.


Da poletje ne bo dolgočasno
Bliža se poletni čas, ko je, poleg božiča, pregovorno največ možnosti, da otroci starše prepričajo o potrebi po nakupu novega računalnika. Najpogostejši argument otrok je, da je stari – saj že sama beseda pove vse − preslab in torej ni več primeren. In če to podkrepijo še z argumentom, da novega računalnika ne potrebujejo za igranje iger, ampak za naslednje šolsko leto, uspeh ne more izostati.

Pojavi pa se vprašanje, kam s starim družinskim računalnikom. Najbolje ga je prodati in tako vsaj nekaj zanj dobiti. Ker pri nas ni podjetij, ki bi obnavljala stare računalnike − no, slišali smo za eno, a tudi to ne oglašuje, da na trgu odkupuje stare računalnike − vam preostane le to, da sami zbrišete podatke z diska. Jasno in glasno vam moram povedati, da formatiranje in ponovno preoblikovanje particij diska (če to sploh storite), še manj pa preprosto brisanje podatkov ne uniči. Ti se še vedno nedotaknjeni skrivajo na disku in … marsikaj se lahko zgodi. Poglejmo si hipotetičen primer, ki ga pri nas po naših podatkih v praksi še ni bilo, se pa to dokazano dogaja onstran luže: gre za krajo identitete posameznika.
Janez se je končno odločil, da kupi nov računalnik, starega pa podari. Odločil se je, da trdi disk preformatira, saj se zaveda, da je imel na njem veliko osebnih podatkov, med drugim svoje finančne podatke (številke kartic), skupaj s potrebnimi gesli za dostop do sistema elektronskega bančništva in spletnih trgovin, kjer rad nakupuje. Ko to naredi, stari računalnik roma v humanitarne namene. Čez nekaj časa Janez dobi izpisek plačil svoje kreditne kartice kjer lepo piše, da je pred dvema dnevoma v svoji priljubljeni spletni trgovini tehničnega blaga kupil nesramno drag in velik (takega si je vedno želel) plazemski televizor ...

Kaj se je pripetilo? Znano je, da tako imenovani kiber kriminalci radi kupujejo stare računalnike in potem na njihovem trdem disku iščejo potrebne podatke, ki jim omogočajo krajo identitete. V zgornjem primeru so našli dovolj podatkov, da so uspešno izvedli spletni nakup. Kar je še huje, naša izmišljena oseba bo zelo težko dokazala, da nakupa ni opravila, saj je v omenjeni trgovini že kupovala (kar seveda priznava), lažni kupec pa se je predstavil z vsemi potrebnimi podatki. Kaj takega ni težko tudi v primeru, ko šifriramo pomembne podatke, saj je v spletu dovolj zmogljivih programov za dešifriranje.

Dobro torej premislite, kaj boste storili s starim računalnikom. Še najbolje je, da ga prodate brez diska, tega pa bodisi skrijete na podstrešje ali zmeljete v prah. Če vam je škoda denarja, vsaj večkrat prepišite disk z naključnimi podatki, kar zanesljivo zaščiti pred zgornjim primerom.

1/2

Povzeto po članku iz leta 2006 | Marjan Kodelja | Zoran Banovič