Turvallinen tiedonhävitys

Tietokoneen tietojen varastoinnin suunnittelussa pääsääntönä on ollut suojata käyttäjän tiedot hinnalla millä hyvänsä. Tietojärjestelmien ensisijaisina massamuisteina toimivat levyasemat on suunniteltu siten, että ne estävät vahingossa poistettujen tietojen tuhoamisen. Käyttöjärjestelmät puolestaan estävät tietojen lopullista tuhoutumista erilaisilla tekniikoilla, kuten roskakori-kansioilla ja tietojenpalautuskomennoilla.

Normaali tiedoston poistaminen katkaisee ainoastaan tiedoston ja tiedostojärjestelmän välisen linkin, muttei poista varsinaista tiedoston sisältöä. Tämä tarkoittaa sitä, että tiedoston sisältö jää talteen levysektoreihin ja häviää vasta silloin, kun käyttöjärjestelmä kirjoittaa uutta tietoa samojen levysektoreiden päälle. Pelkän tiedostoon viittaavan linkin poistaminen on kuitenkin huomattavasti nopeampaa kuin koko tiedoston pysyvästi poistaminen päällekirjoittamalla. Tämän lisäksi levyasemat suojaavat tietojen lopullista häviämistä siten, että ne käyttävät tiedostojen palauttamiseen virheidenhavaitsemis- ja korjaamistekniikkaa, jotta ne eivät palauttaisi vääriä tietoja. Kaikesta tästä voidaankin päätellä, että tiedostojen lopullinen poistaminen on epänormaali tapahtuma ja että turvallinen poistaminen vaatii käyttäjältä erityisiä toimenpiteitä.

Windows

Tietojen hävitystä varten on olemassa useita eri sovelluksia, mutta tietojen lopullinen tuhoaminen onnistuu myös ilmaisilla ohjelmilla. On hyvä huomioida, että seuraavien ohjelmien ja komentojen käyttäminen poistaa tiedostoja pysyvästi, joten niiden käytössä on syytä olla varovainen. Windows-käyttöjärjestelmälle on tarjolla esimerkiksi Eraser-sovellus, jolla tiedot voidaan poistaa lopullisesti käyttämällä suosittuja menetelmiä tiedon ylikirjoittamiselle. Ohjelman voi ladata ilmaiseksi osoitteesta http://eraser.heidi.ie.

Eraserissa tiedostojen poiston tapahtumat luodaan ohjelman pääikkunassa valitsemalla hiiren oikealla napilla New Task. Tämän jälkeen tapahtumalle voidaan antaa nimi ja valita, milloin se suoritetaan. Suoritusajankohta voidaan valita manuaalisesti käynnistettäväksi, heti tehtävän lisäyksen jälkeen suoritettavaksi, koneen käynnistyksen yhteydessä tai erikseen määritettynä aikana tapahtuvaksi. Poiston kohde valitaan Add Data -toiminnolla. Avautuvasta ikkunasta voidaan valita tiedonhävityksen kohde ja mitä menetelmää tuhoamiseen käytetään. Tämä tarkoittaa lähinnä sitä, kuinka monta kertaa ja millä tavoin uusi merkityksetön tieto kirjoitetaan vanhan poistettavan tiedon päälle. Menetelmän valinnassa perussääntönä voi ajatella, että jo pari kertaa ylikirjoitettu data on useimmiten mahdotonta palauttaa. Usein myös poistamiseen kuluvalla ajalla on merkitystä, sillä mitä useammin tiedon päälle kirjoitetaan, sen kauemmin poistamisessa kestää. Nopeus on suhteellinen tietokoneen ja ylikirjoitettavan laitteen suorituskyvyn kanssa.

macOS

MacOS-käyttöjärjestelmässä on sisäänrakennettuna tiedostojen turvalliseen poistamiseen vaadittavat komennot. Kun tiedostot poistetaan/siirretään roskakoriin, voidaan ne sieltä käsin ylikirjoittaa tyhjennä roskakori turvallisesti -toiminnolla. Mikäli kiintolevyn salaus on päällä voidaan poistetut tiedostot asettaa lisäksi automaattisesti ylikirjoitettavaksi. Koko kovalevyn tyhjentäminen onnistuu puolestaan käyttöjärjestelmästä löytyvän levytyökalun avulla ja säätämällä sieltä käsin turvallisen tyhjentämisen valintoja halutulla tavalla.

Linux

GNU/Linux-käyttöjärjestelmissä tiedostojen turvallinen poistaminen onnistuu esimerkiksi useimmissa distribuutioissa mukana tulevalla Shred-komennolla. Komento kirjoittaa satunnaisia ykkösiä ja nollia tuhottavan tiedoston päälle ja käyttäjä voi määrittää haluamansa määrän ylikirjoituskertoja (oletuksena on 3 ylikirjoituskertaa). Lisävalintoina voidaan käyttää mm.

  • -u mikä poistaa tiedoston ylikirjoituksen jälkeen.
  • -n [kertojen lukumäärä] mikä määrittää kuinka monta kertaa tiedon päälle ylikirjoitetaan.
  • -z mikä kirjoittaa viimeisellä kerralla vain nollia, jolla voidaan peitellä turvallisen poistamisen jälkiä.

Esimerkiksi seuraava komento ylikirjoittaa 7 kertaa satunnaista tietoa samassa hakemistopolussa sijaitsevan tiedosto.txt:n päälle, viimeisellä kerrallaan pelkästään nollia sekä lopuksi poistaa sen:  shred -u  -n 7 -z tiedosto.txt

Tehokkaampi vaihtoehto on käyttää Secure deletion toolkit-pakettia, joka on huomattavasti laajempi kuin Shred. Debian-pohjaisiin distribuutioihin sen voi asentaa komennolla: sudo apt-get install secure-delete
Näihin työkaluihin kuuluvat:

  • srm [tiedosto/hakemisto], jolla voidaan poistaa tiedostoja tai hakemistoja ylikirjoittaen niiden päälle 38 kertaa.
  • sfill [hakemistopolku], jolla voidaan tuhota kaikki vapaana olevan tilan tiedot.
  • sswap [osio], jolla voidaan tuhota jäljet swap-osiosta.

Esimerkiksi komento srm tiedosto.txt poistaa tiedoston ja srm -r hakemisto poistaa kokonaisen hakemiston tiedostoineen. Komento sfill /tmp puolestaan kirjoittaa tmp-hakemistossa satunnaisia merkkejä sisältävän tiedoston, joka täyttää varatun tyhjän tilan ja valmistuessaan lopulta poistaa luodun tiedoston. Keskusmuisti voidaan turvallisesti tyhjentää smem-ohjelmalla. Jos ohjelmaa ei tule secure delete-työkalujen mukana, voi sen asentaa komennolla sudo apt-get install smem ja käynnistää smem. Lisätietoja komennon käyttämisestä voi katsella man smem.

Swap-osiot varastoivat tietoa silloin, kun keskusmuisti täyttyy. Tämän vuoksi nekin ovat hyvä tyhjentää, mikäli halutaan säilyttää täysi varmuus arkaluontoisten tietojen häviämisestä. Ennen swapin tyhjentämistä se on kuitenkin tarpeellista poistaa käytöstä komennolla sudo swapoff /dev/liitoskohta (esim. /dev/sda3). Debian-pohjaisissa distribuutioissa komennolla cat /proc/swaps voi etsiä swap-osion liitoskohdan, jos tämä ei ole selvillä. Kun swap on poistettu käytöstä voi sen tyhjentää komennolla sudo sswap /dev/sda3. Tyhjennyksen jälkeen swap on hyvä ottaa uudelleen käyttöön sudo swapon /dev/sda5.

Kiintolevyt järjestelmästä riippumatta

Kokonaisten kiintolevyjen (engl. Hard Disk Drive) tietojen poistamiseen on tarjolla Darik’s Boot and Nuke eli DBAN-niminen ohjelmisto. Ohjelmiston voi ladata ilmaiseksi osoitteesta http://sourceforge.net/projects/dban. DBANilla tietojen poistaminen onnistuu polttamalla ladattava ISO-levykuva cd- tai dvd-levylle ja käynnistämällä DBAN laitteen käynnistämisen yhteydessä levyltä. Vaihtoehtoisesti levykuvan voi asentaa muistitikulle, josta tulee lisäksi tehdä käynnistävä asennusmedia. Windowsissa tämä onnistuu esimerkiksi Rufus-ohjelmalla. Tämän jälkeen ohjelmisto käynnistetään tietokoneen käynnistymisen yhteydessä suoraan valitulta asennusmedialta.

DBAN tukee useita tehokkaita poistometodeita, jolloin tiedon palauttamisesta tulee mahdoton tehtävä. Vanhojen tietojen poistaminen tallennuslaitteilta on erityisen tärkeää yksityisyyden suojan kannalta, ja DBANin käyttö onkin tarpeellista esimerkiksi vanhan tallennusmedian käytöstä poistamisen yhteydessä tai sen jälleenmyynnissä. DBANista on tehty myös muokattuja versioita, joita voi kokeilla, jos alkuperäinen ei syystä tai toisesta toimi.

Tarpeettoman mutta arkaluontoisen tiedon turvallinen tuhoaminen on edellytys hyvälle tietoturvalle. Tiedot voidaan tietysti tuhota tehokkaasti myös hajottamalla tallennusmedia fyysisesti. Kiintolevyt voidaan tuhota esimerkiksi voimakkaiden magneettikenttien avulla, ja SSD-levyt voidaan hajottaa käyttökelvottomiksi vasaroimalla sisällä olevat virtapiirit. Fyysinen tuhoaminen on kuitenkin yleensä yliampuva toimenpide ja ohjelmallisesti useaan kertaan ylikirjoitettua tietoa voidaan jo pitää tarpeeksi turvallisena tiedonhävityksenä.