Почему надо перезаписывать свои данные
Если у вас скопились старые компьютеры, флэшки, телефоны или жёсткие диски, а вы ими не пользуетесь, вы можете захотеть отнести их в комиссионку на продажу, в благотворительный магазин, продать самостоятельно или отправить на переработку. Но задумывались ли вы, что происходит с этими устройствами и данными, хранящимися на них? Уничтожаются ли ваши данные, или эти вещи перепродаются, храня в себе все ваши воспоминания и личные данные, доступные для следующего владельца? А если эти данные доступны, что будет, если кто-нибудь типа меня начнёт прочёсывать все комиссионки и благотворительные магазины недалеко от дома, только чтобы узнать, сколько личных данных он сможет там найти? Чтобы выяснить, сколько именно, я провёл шесть месяцев, извлекая все данные, что я мог найти в устройствах, продающихся там, где торгуют восстановленными компьютерами или принимают в дар гаджеты для перепродажи. К концу эксперимента исследования показали, что многие предприятия не обеспечивают то, что гарантируют, и не стирают данные с устройств, которые люди им предлагают. Давайте посмотрим, как проходил мой эксперимент, какие данные я сумел извлечь, и методы по гарантированному удалению данных с ваших старых устройств перед их продажей.
Процесс
Мой первый шаг был наименее интересной частью эксперимента: я изучил, какие предприятия продают восстановленные, пожертвованные или б/у компьютеры недалеко от моего дома в Висконсине. Я посетил 31 магазин и купил всё, что мог, на сумму в $600. Вот, что я приобрёл:
Настольные компьютеры и ноутбуки – 41 Сменные носители (флэшки, карты памяти) – 27 Жёсткие диски – 11 Мобильные телефоны – 6
Покупая устройство, я возвращался в центр управления (как я называю свой подвал), и начинал процесс извлечения данных. Принося домой компьютер, я пытался его загрузить, чтобы узнать, грузится ли он, и требует ли пароль. Я написал скрипт на PowerShell, который проходит по диску и составляет список всех изображений, документов, сохраненных электронных писем и историю переписки в мессенджерах. Затем я всё это красиво архивировал и каталогизировал на рабочем столе. Один только ноутбук от Dell был зачищен как надо.
Большая часть жёстких дисков была с интерфейсом IDE, поэтому я использовал внешнее устройство для быстрого подключения жёстких дисковIDE-тостер), и скрипт на Python который каталогизировал все данные. Яобнаружил, что ни один винчестер не был зашифрован, и все работалинормально (за исключением старого Hitachi на 30 Гб, который был очищен).
Купленные мною телефоны были очень старыми и для них пришлось купить на eBay три разных проприетарных зарядки, что повысило расходы до $650 (не учитывая бензин и кофе). Телефоны не требовали ввода PIN, и для некоторых из них я не смог найти ПО для подключения к компьютеру.
В случае с флэшками и картами памяти я просто подключал их, а потом использовал скрипт на Python для организации данных
В целом результат моих исследований оказался шокирующим. Из 85 купленных устройств только два (ноутбук от Dell и жёсткий диск от Hitachi) были тщательно очищены. И только три устройства были зашифрованы.
Данные
Вооружившись горой данных и подвалом, захламлённым железом, которое было старше меня, я разработал план по сортировке всех данных в поисках личной информации. Я использовал pyocr для определения номеров социального страхования, дней рождения, номеров кредиток и телефонных номеров на изображениях или PDF. Затем я использовал PowerShell для прохода по всем документам, емейлам и текстам в поисках той же информации. Все регулярки для обработки личной информации я сохранил.
Несмотря на то, что оптическое распознавание символов работает не на 100% точно, и на изображениях или в PDF могли быть данные, которые я бы не извлёк, я могу подтвердить, что регулярки, использованные для извлечения номеров социального страхования, дней рождения, номеров кредиток, телефонных номеров и номеров водительских удостоверений были довольно всеобъемлющими.
Ниже – итоговый подсчёт обработанных данных (не включая несколько историй переписок в MSN/AIM) и форматов файлов. Я исключил некоторые форматы (XML, HTML и CSS) для краткости.
Изображения (JPEG, TIFF, GIF, BMP, PNG, BPG, SVG) – 214 019 Documents (DOC, DOCX, PDF, CSV, TXT, RTF, ODT) – 3 406 Emails (PST, MSG, DBX, EMLX) — 148 903
Как видите, много чего нашлось. А самое интересное в том, что мне удалось извлечь много личной информации. Вот расклад по уникальным значениям для каждого из типов информации:
Email-адреса – 611 Дата рождения — 50 Номер соцстрахования — 41 Номер банковской карты — 19 Номер водительского удостоверения — 6 Номер паспорта – 2
Удивительно, что большая часть номеров с банковских карт была получена с фотографий или сканов карт, причём сфотографированы были как лицевая, так и оборотная часть карты. Номера паспортов также были взяты со сканов.
Стоимость
Проводя исследования дальше, я понял, насколько дёшево и просто купить информацию людей в Даркнете. Номера соцстрахования стоят по $1, полные документы (dox) стоят по $3. Так что изначальных инвестиций в $600 нам никак не оправдать.
Из этого следует интересный вывод: утечки данных встречаются так часто, что уронили стоимость данных. Я видел в Даркнете несколько дампов с номерами соцстрахования, стоящих даже меньше $1 за штуку.
Как безопасно избавиться от ваших гаджетов
Отдавая на благотворительность или продавая гаджет, необходимо убедиться, что все данные с него удалены, и не надеяться на то, что продавец сделает это за вас. Но если вы хотите отдать свои гаджеты на переработку, то вот несколько способов убедиться, что с них нельзя будет восстановить данные, безвозвратно уничтожив устройство или носитель:
- Молоток.
- Сжигание (осторожно, токсичные продукты сгорания).
- Индустриальная перемолка.
- Дрель.
- Кислота.
- Электролиз.
- Микроволны.
- Термитная сварка.
При использовании таких методов вам нужно будет обезопасить рабочее место и надеть разумную защиту (как минимум, очки и перчатки). А обеспечив защиту, с уничтожением гаджетов можно здорово поразвлечься.
Вот, к примеру, как термитная сварка уничтожает настольный ПК:
В принципе, если вы не уничтожили устройство физически, специалисты смогут извлечь с него данные. Если вас это волнует, то лучше перестраховаться и уничтожить его. Однако обычно достаточно просто зачистить ваше устройство, обычно это очень легко и просто делается [к примеру, для устройств на Android достаточно зашифровать все данные, а потом провести сброс параметров до заводских].
Если вы хотите очистить жёсткий диск, в этом поможет программа Darik's Boot And Nuke. Однако этот метод не сработает с твердотельными накопителями или дисками RAID. В последнем случае неплохо работает PartedMagic.
Заключение
Если вы беспокоитесь о том, что ваши данные могут оказаться в руках злоумышленников, уничтожьте данные. Если вы хотите пожертвовать устройство на благие цели, убедитесь, что оно очищено. Даже если вы получите письменное заверение об уничтожении данных, проверить это не удастся – кроме как стереть их самому.