A pendrive-okat azért szeretjük, mert kicsik, gyorsak, okosak és elképesztően sok adatot lehet tárolni rajtuk.
A pendrive-okat azért nem szeretjük, mert bár kicsik, gyorsak, okosak és elképesztően sok adatot lehet tárolni rajtuk, nagyon könnyű elveszíteni őket. Ha pedig elveszett, nem is magának a hardvernek az ára fáj, hanem a tárolt adatok elvesztése.
Mennyi adatról lehet szó? Egy 1 GB-os meghajtóra ráfér nagyjából-egészéből egymillió dokumentum, ez pedig elképzelhetetlenül nagy mennyiségű érzékeny információt jelent, ha valaki van olyan naiv, hogy minden tojását ugyanabba a kosárba teszi. Márpedig akad: ilyen kosarak gyakran (túl gyakran...) vesznek el, vessünk csak egy pillantást a beszédes nevű
Data Loss Database weboldalára. Az igazán szaftos európai adat(el)vesztések kategóriájában egyértelműen a brit adóhivatal hivatal kapja meg az arany málnát a maga
25.000.000 elvesztett adatrekordjával. Végigbogarászva a top10 adatvesztési esettel kapcsolatos sajtómegjelenéseket, meglepően szűkszavú beszámolókat találunk arra vonatkozóan, hogy pontosan mi is vezetett ekkora adatmennyiség kompromittálódásához. Az említett brit adóhivatal esetében egyes források szerint egy pendrive, mások szerint egy CD volt az események középpontjában.
Egy pendrive.
A pendrive-okkal kapcsolatos biztonsági problémák abból fakadnak, hogy az eszközök kicsik, nagy a kapacitásuk és egyszerűen is használhatók, viszont a rájuk másolt adatoktól kimondottan nehéz megszabadulni. Sajnos nem segít, ha tisztára töröljük őket egy erőteljes shift-delete-tel, ugyanis az oprendszer a fájlrendszerből eltávolítja a törölt állományokra vonatkozó bejegyzéseket, viszont fizikailag továbbra is ott maradnak a meghajtón.
A törölt fájlok visszaállítására számtalan eszköz rendelkezésre áll: a véletlenül törlő “naiv felhasználó” next-next-finish-örül szintjétől a forensic nyomozók által használt, pilótavizsgás eszközökig (EnCase, Forensic Toolkit stb.) széles a kínálat. Ezek az eszközök úgy működnek, hogy nem az operációs rendszer API-ja által biztosított “fopen-szerű” hívásokkal operálnak, hanem közvetlenül az adathordozó szektorszintű feltérképezésével végzik a dolgukat. A fájlok nevei nagy valószínűséggel elvesznek a visszaállítás során, viszont a tartalmuk nem: a visszaállító eszköz a fájl első néhány bájtjából megállapítja a szignatúrát, amiből az adott fájl típusára következtet. A fenti eljárást akkor is lehet használni, ha a fájlrendszer sérül jóvátehetetlenül, és elveszik a lelkét képező index tábla, amely megmondja, hogy melyik fájl a hordozó melyik részén található fizikailag.
Lássunk egy konkrét példát arra, hogy hogy érdemes használni open-source forensic eszközöket egy pendrive-on! Alapszabály, hogy a fizikai adathordozóval történő interakciót a minimumra kell szorítani, tehát magát a visszaállítási műveletet nem magán a pendrive-on hajtjuk végre (bár az eszközök támogatják), hanem előtte egy image-et készítünk, ami bitről bitre történő végigtapogatását jelenti az eszköznek.
root@jester:/home/zsombor# dd if=/dev/sdb of=pendrive.isoA dd helyett természetesen használható bármelyik hasonló eszköz, pl. sérült meghajtók mentésére szolgál a ddrescue.
A művelet eredményeképp létrejön a pendrive.iso, amely bitszinten pontos képe a fizikai eszközünknek. Ezek után már csak végig kell nézni fájlok után: az egyik legjobb ilyen célú, ingyenes eszköz a photorec.
zsombor@jester:~$ photorec pendrive.isoNéhány opció megadása után a kiválasztott könyvtárba másolja azokat az állományokat, amelyek az “üres”, felülírható részben találhatóak. A kiterjesztéseket a fájlok típusa alapján egészíti ki a photorec. A photorec indítható úgy is, hogy magát a meghajtót nézi végig – ehhez viszont Windows alatt lokáladminnak kell lenni.
Nagyon tanulságos először meglepődni azon, hogy milyen régi fájlokat is vissza lehet hozni...