SSD's secure wipen met rapport

Blancco
https://www.blancco.com

Wat moet er precies gerapporteerd worden als ik vragen mag? Via internet recovery mode kun je dit namelijk vanuit OSX ook gewoon doen 0x 7x en 35x secure erase.

Killdisk?

Okee. Maar je begrijpt dat je hier geen bewijs van kunt hebben tenzij je die drives met specialistische software weer uitleest?

Een secure erase via diskutility is al genoeg. Ssds wis je op een hele andere manier dan HDDS. Een SSD is met 1 keer vol schrijven en daarna bitflip en weer leeg kompleet gewist. Zo’n rapport om te laten zien hoe de schijf geformatteerd is is dan leuk, maar het zegt helemaal niets. Ik zou zeggen vraag eens aan je baas of hij jou en de werknemers vertrouwd.

Wis dan vervolgens eens een schijf snel(7x) met diskutil en probeer hem uit te lezen met diskwarrior (recovery programma). Zul je zien dat er niet eens partitionering op staat. En dit kun je natuurlijk prima documenteren. Als je je werkwijze zo toepast dat je de iso variant implementeerd qua security dan moet het helemaal goed komen met de rapportage.

Voor de rest slaat het namelijk nergens op om een ssd te wissen aangezien dat niet gaat werken op de manier waarop dit bij harde shijven werkt. SSDs kunnen namelijk voor hele lange tijd data vasthouden waar het systeem geen toegang kan hebben. Dit wordt dan dus ook nooit gewist door software. Zonder encryptie kun je dan eigenlijk nooit ssds gebruiken in enterprise omgevingen.

Je hebt verschillende tools hiervoor en de meeste zijn al genoemd. Ik heb al lang niet meer met OS X gewerkt, maar op Linux heb je een commando van hdutil waarmee je de SSD op een goede manier kan erasen. Tegenwoordig doet OS X standaard aan encryptie, dus de noodzaakt om 'perfect' te formatteren ook alweer wat minder maakt.

SSD's zijn enorm gevoelig voor low level formatteren en, hoewel tegenwoordig beter, nog altijd sneller op zijn dan een HDD. Als consument zou ik niet graag een PC kopen met een SSD die al flink wat TB's op de teller heeft zijn.

https://wiki.archlinux.or...ives/Memory_cell_clearing

Maar wat moet er in dat rapport staan? Zo’n rapport kun je namelijk zelf ook maken. Geen enkele gratis tool geef de garantie dat het uberhaupt goed gaat en betaalde tools zijn duur. Zoals ik zei. De enige manier om het te controleren is zelf uitlezen.

De beste manier die ik zo zie is filevault aanzetten en alle data laten verleutelen en dan de boel zelf wissen en controleren en dit documenteren in een rapport. Zonder encryptie valt of staat je succes met de manier waarop de ssd hardwarematig werkt.

Wipe method:
US DoD 5220.22-M
Description:
Overwrite all addressable locations with a character, its complement, then a random character and verify.

1 dit kun je dus ook zelf doen vanaf nu ;-)

2. Dit doet dus alleen addressable locations. Dat werkt bij een HDD al niet goed (bad blocks worden overgeslagen) en bij een SSD al helemáál niet. Ssds kunnen niet goed omgaan met low-level formats omdat ze dus op verschillende plekken vaak een cache opbouwen die niet adresseerbaar is.

Zonder encryptie kun je dus ook met deze tool niets garanderen.

Wat ze overigens doen is een iets andere versie van wat ik hierboven beschreven. Random 0 of 1, dan bitflip en dan nog een keer random. Dit vervolgens vergelijken met een LOG van die laatste pas en kijken wat er verschilt. Indien dat het geval is dan doen ze het ws nog een keer.

Je kunt de methode echter opzoeken aangezien dit een publieke methodologie is van het amerikaanse ministerie van defensie die als erg grondig wordt gezien voor normale HDDs. Met ssds is het een ander verhaal.

Edit:

Ik zie dat ze geen low-level format doen overigens. Ze overschrijven alleen partitie 2. Dat is vervelend aangezien partitie 0 en 1 vaak recovery files bevatten op macOs worden hier bijvoorbeeld iCloud gegevens op bewaard om het systeem te kunnen vergrendelen.

Je wil dus sws via de macs eerst in recovery booten (internet recovery) daar alle partities verwijderen en de volledige disk wipen met secure erase van diskutil. Die is met nieuwere versie optimized voor ssd storage en met 7 of zelfs 35 passes is de kans op cache retrieval vrijwel nul. Je vern**kt alleen wel je ssds door er een kleine 5 tot 20tb naar te schrijven afhankelijk van je disk size

[ Voor 23% gewijzigd door supersnathan94 op 02-10-2017 12:51 ]

Koop een Redkey Ultimate, ben je eenmalig ca. 80 euro kwijt maar je hebt wel verschillende methodes voor het wissen van zowel HDD's als SSD's zoals DOD 3pass, 7pass, NIST 800-88 en andere methodes. je krijgt er een rapportage bij en redkey is gecertificeerd door HIPAA, ADISA en nog wat andere. levenslang updates en geweldige support. Heb er zelf een die ik gebruik bij het wissen van klantdata. werkt prima.

Adisa Certification:
https://adisarc.com/wp-co...A_Redkey_USB_ADPC0094.pdf

Hopelijk heb je hier iets aan

Los van het aantonen van bewijs. Ik ga er vanuit dat je werkgever dan ook eist dat alle HDD's/SSD's sowieso encrypted zijn. M.a.w. FileVault stond toch ook aan?
In dat geval zou je eigenlijk al 'bewijs' moeten hebben, want niemand kan er letterlijk wat mee omdat alle data toch encrypted is. Je zou het veilig kunnen weggooien.

Los van dat, begrijp ik ergens wel waarom je alsnog een SSD wilt wissen met een rapport. Ik doe mijn SSD's en HDD's ook pas weg als ze alsnog gewiped zijn.

Ik denk dat ze na vier jaar ondertussen vanzelf gewiped zijn. Gezien de tijd en moeite die je moet doen om een encrypted drive data af te halen krijg ik altijd vooral het idee dat het rapport erg belangrijk is voor de manager zonder verstand van computers maar vooral wil dat hij geen enkel risico loopt. Het wissen van de schijf en een nieuw OS erop is in mijn ogen echt voldoende.
Voor de gevallen dat het risico te groot sloop je de HD tot kleine stukjes die je in verschillende vuilniszakken stopt.