Проект "ИТ-Защита"

Восстанавливаем удаленные или поврежденные данные, краткое пособие для пользователя. Часть 1.

Восстанавливаем удаленные или поврежденные данные, краткое пособие для пользователя. Часть 2.

Е.В. Артамонова

член МНОО «МАИТ»

  Практические приемы восстановления информации.

 В этой части статьи покажем простые и доступные способы восстановления информации, которые дают положительный эффект в ситуациях случайного или несанкционированного удаления данных. Например, при нестандартной ситуации (временный выход из строя оборудования, случайное удаление и т.д.) пропал каталог с рабочими данными с жесткого диска. Резервное копирование в организации, проводилось 1 раз в сутки и поэтому персоналу доступна резервная копия «за предыдущие сутки», а сегодня в рабочий каталог уже были внесены изменения, поэтому информацию желательно восстановить самую свежую.

Для восстановления пропавшего каталога воспользуемся коммерческой версией программы «Hetman Partition Recovery» (или можно взять «RS Partition Recovery»). После пропажи данных стараемся не производить лишних действий: ничего больше не удалять с диска, ничего туда не записывать, не открывать никакие файлы и  т.д. Лучше сразу же приступить к использованию программ для восстановления информации.

Итак, первый этап: запускаем «Hetman Partition Recovery» и проводим анализ диска. Можно выбрать быстрый анализ, он идет пару минут или глубокий анализ, идет несколько часов, применяется, в случае, если информации удалено много, диск был размечен, поврежден, форматирован и т.д.

 

Рис. 1. Анализ диска программой «Hetman Partition Recovery».

Когда анализ диска завершен, программа показывает нам папки с удаленными и найденными файлами. Вот теперь наша задача из всего этого списка информации найти то, что нам надо восстановить.

 

Рис. 2. Папки с удаленными файлами (программа «Hetman Partition Recovery»).

Затем, когда мы уже выбрали те файлы, которые необходимо восстановить, программа предложит сохранить их на жесткий диск. Сохранять надо обязательно на другой физический диск!

 

Рис. 3. Сохранение восстановленной информации на диск (программа «Hetman Partition Recovery»).

Затем выбираем отдельную папку для восстановленных данных и записываем их туда.

 

Рис. 4. Выбор папки для восстановленной информации (программа «Hetman Partition Recovery»).

 

Рис. 5. Положительный результат нашей работы в программе «Hetman Partition Recovery». [1]

 Практические приемы по безопасному уничтожению информации.

Если любую информацию так просто восстановить с помощью современных программных средств и алгоритмов, то это создает определенные угрозы для безопасности личных или корпоративных данных. Приведем примеры таких угроз: допустим старые корпоративные ноутбуки или стационарные компьютеры «списаны» и подарены частным лицам, школе и т.д. Или личный ноутбук, планшет, смартфон или др. устройство продан по частному объявлению, а может даже и похищен злоумышленником. Конечно же, Вы стерли информацию и отформатировали или разметили заново диск, но исходя из предыдущего материала, данные легко восстанавливаются с помощью специальных программ. А значит, конфиденциальная информация может попасть в «нежелательные руки» и может быть использована во вред, то есть может произойти непреднамеренное распространение конфиденциальной информации.

Возникает вопрос, как уничтожить информацию безопасно и грамотно? В принципе здесь выделяют основные классы методов: перезаписывание, размагничивание, шифрование и физическое уничтожение.

Очистка — это удаление конфиденциальной информации с записывающих устройств таким способом, который не позволяет восстановить информацию с помощью класса программ, рассмотренных нами в данной статье. Конечно же, «очищенный» таким образом носитель можно восстановить в лабораторных условиях, например, при криминалистической экспертизе. Данный метод (очистку) хорошо использовать в организациях и на предприятиях в рамках корпоративной политики безопасности.

Уничтожение — это полное удаление конфиденциальной информации с записывающего устройства таким образом, чтобы информация уже никак не могла быть восстановлена (ни утилитами, ни в лаборатории). Обычно эту операцию выполняют, если хотят списать, выбросить, подарить или продать компьютерную технику.

Перезаписывание устройства новыми данными - такие программы используют массивы случайных чисел (например, серии нулей) для физической перезаписи места на диске, занимаемого уничтожаемым файлом. Для уничтожения информации в спец. службах, военных организациях, государственных организациях в соответствии со стандартами требуется нескольких циклов перезаписи. Но для обычных предприятий малого и среднего бизнеса, а также для частных пользователей хватит одного цикла перезаписи.

Размагничивание устройства — это удаление или ослабление магнитного поля. Для этих целей используется специальный прибор, называемый размагничиватель. Данные таким способом удаляются быстро и эффективно.

Шифрование  - это еще один эффективный метод для удаления остаточной информации. Перед уничтожением информация шифруется стойким алгоритмом (или отдельные файлы или полностью каталоги). Естественно, ключ шифрования не должен храниться на том же диске.

Физическое уничтожение   - считается самым надежным методом. Оно проводится путем механического измельчения, сожжения, нагревания до очень высоких температур и т.д. Например, уничтожая CD или DVD диски, их можно просто поломать руками, но это надо делать очень аккуратно, чтобы не пораниться. Есть специальные шредеры, оборудованные приемниками для CD или DVD дисков. Существуют и специальные устройства для приведения в негодность таких дисков.

Что касается описанных нами программных методов надежного удаления файлов (перезаписывание новыми данными), то программ такого класса на сегодняшний день существует немало.

Например, это программы семейства «Eraser» («Eraser Free Space», «Eraser HDD», «Eraser MFT», «EraserLogDisk»).

«Eraser Free Space» – выполняет уничтожение данных  в соответствии с техническими требованиями ГОСТ Р 50739, эта операция производится путем записи маскирующей информации во все неиспользуемые области диска. [2]

Есть еще утилита «файл-шредер от Rohos». В программе «Rohos» существует  файл-шредер, который позволяет перемещать данные на секретный Rohos диск. После перемещения эти файлы затираются специальным шредером и удаляются уже навсегда. В данной программе на место удаленного файла пишется случайная последовательность чисел. [3] Таким образом, удаленную этими надежными средствами информацию уже не восстановить с помощью программ, которые мы описывали выше, а значит, если даже Ваше устройство и попало в руки злоумышленников, то конфиденциальная информация не будет ими использована во вред Вам.

Подводя итоги статьи, можно сказать, что данные рекомендации по грамотному удалению конфиденциальной информации, а также по восстановлению информации в критически важных случаях необходимо вносить в политику безопасности организации и применять на практике вышеизложенные методики. Это означает требование иметь в наличии необходимые программные и технические средства, чтобы полностью исключить угрозы, как от потери важных данных в самой организации, так и риски связанные с утечками «остаточных данных» за пределы компании.

Литература

  1. [Электронный ресурс] – Режим доступа: http://hetmanrecovery.com/ru/
  2. [Электронный ресурс] – Режим доступа: http://sourceforge.net/projects/eraser/
  3. [Электронный ресурс] – Режим доступа: http://www.rohos.ru/disk/file-shredder.htm

Здесь можно закачать описанные в статье  программы для восстановления информации

 

 





Отправить статью в социальные сети, на печать, e-mail и в другие сервисы:

Комментарии

Нет комментариев

Еще нет комментариев.

RSS лента комментариев к этой записи.

Извините, комментирование на данный момент закрыто.