Czy zdjęcie usunięte z karty pamięci naprawdę przestaje istnieć? Niestety, okazuje się, że nie. Choć publikowane badanie zostało przeprowadzone w 2006 roku,  jego tematyka jest ciągle aktualna, a opisywane zjawisko coraz bardziej powszechne.

Chociaż świadomość zagrożeń stale wzrasta, stosujemy zabezpieczenia dysków twardych, szyfrujemy informacje, to jednak czy wiemy jak postępować w przypadku danych zapisywanych i przechowywanych na kartach pamięci? Używamy ich na co dzień w wielu urządzeniach takich jak telefony komórkowe, aparaty cyfrowe, tablety, odtwarzacze MP3 i MP4 , a nawet drukarki. Redaktorzy z serwisu informIT.com postanowili to sprawdzić.

Projekt

Na początku 2004 roku twórcy projektu kupili ok. 10 używanych dysków twardych za pomocą serwisu eBay, aby przeprowadzić badania. Ich celem było sprawdzenie jak wiele danych „starych właścicieli”  nadal znajduje się na tych nośnikach. Choć wyniki nigdy nie zostały oficjalnie opublikowane, okazało się, że osiem z dziesięciu dysków, (mimo że poprzedni właściciele sformatowali je przed sprzedaniem) posiadało dane, które były możliwe do odzyskania i to w warunkach domowych – chociażby przy pomocy narzędzi takich jak Autopsy, EasyRecovery Pro, Digital Image Recovery czy File Recovery udało się odzyskać informacje o numerach ubezpieczeń socjalnych czy danych konta bankowego.

Trzy lata później informit.com przeprowadził kolejny eksperyment i właśnie na nim skupimy się w tym artykule.

Cyfrowe aparaty fotograficzne, przenośne konsole do gier, odtwarzacze MP3 i wiele innych korzystają z kart pamięci flash. Powoduje to, że przeciętny konsument posiada co najmniej kilka takich kart pamięci, których w końcu będzie chciał się pozbyć. Jednym z kierunków są serwisy aukcyjne, ale czy jesteśmy pewni, że na sprzedawanych nośnikach nie ma naszych danych?

Niestety, nie zawsze. Często nie ma możliwości sprawdzenia czy dane zostały usunięte, bo np. nie ma już urządzenia, które obsługiwało te karty lub dane usuwane są za pomocą niezbyt godnego zaufania formatowania. Można też założyć, że nie każdy dostrzega potencjalny problem, jakim jest odsprzedanie karty z zapisanymi na niej np. zdjęciami.

Jak działają programy odzyskujące pliki

Odzyskiwanie pliku nie jest skomplikowanym procesem z punktu widzenia technicznego. Większość plików zapisanych jest w standardowym formacie, więc odzyskanie ich oznacza wyszukiwanie danych z takim samym rozszerzeniem. W przypadku formatu JPG (jeden z najbardziej powszechnych formatów plików graficznych, a tym samym również zdjęć cyfrowych), początek pliku będzie zawsze rozpoczynał się od wartości hex FF D8 a kończył D9 FF. Tak więc, aby zlokalizować wszystkie plików JPG na dysku twardym, program przeszukuje dysk/kartę do momentu wyszukania wartości D8 FF, zaznacza tę pozycję, a następnie kontynuuje skanowanie aż do wartości D9 FF i na koniec odczytuje dane pomiędzy tymi wartościami.

Jednak nie zawsze jest to takie proste. Na przykład, duże pliki są często rozproszone na dysku/karcie (są podzielone na mniejsze fragmenty i zapisane w różnych miejscach). W takim przypadku program do wyszukiwania danych może wykryć wartości D8 FF, ale nie będzie mógł znaleźć końca pliku. Podobna sytuacja może się pojawić w przypadku, gdy plik został np. częściowo zastąpiony (nadpisany). Ponadto, nie wszystkie typy plików są łatwe do wykrycia, ponieważ istnieją formaty, które nie mają jednoznacznych znaczników początku i końca pliku (np. plik tekstowy). W takich przypadkach program do skanowania poszukuje określonych ciągów znaków np. HTML, które mogą wskazywać na plik strony www.

Jest wiele dostępnych programów do odzyskiwanie danych. Niektóre są darmowe, takie jak PhotoRec, jak również płatne i specjalizowane, wykorzystywane chociażby podczas procesu gromadzenia dowodów w sprawach prowadzonych przez informatyków śledczych – Forensic Toolkit (FTK). W swoich badaniach specjalista informIT.com wykorzystał darmowe oprogramowanie PhotoRec.

Statystyki i wyniki eksperymentu

Budżet projektu informIT.com wynosił około 100 USD. A ponieważ autorom zależało na kartach o małej pojemności, które były stosunkowo tanie, udało się kupić 16 kart za kwotę 70,47 USD a dodatkowe 42,60 USD były to koszty transportu przesyłek. Spośród tych 16 kart, jedna zaginęła w transporcie, kolejna zaś była uszkodzona, czyli ostatecznie w badaniu wzięło udział 14 kart.

Poniżej prezentujemy wyniki badań. Proszę zauważyć, że niektóre karty zawierały treści, które nawet nie zostały usunięte przed odsprzedażą, co widoczne jest w kolumnie „Dane wprost dostępne”.

* Karta ta zawierała typowe pliki komputerowe (xls, doc, zip, pdf, itp.).
** Karta zawierała bardzo dużo plików, ale ich rozmiar był zerowy (brak zwartości danych).

Wynik eksperymentu pokazuje, że statystycznie 78% używanych kart kupionych za pośrednictwem serwisu eBay zawierało dane możliwe do odzyskania. W sumie odnaleziono 240 zdjęć, 17 filmów i wiele innych typów plików. Poniższa lista przedstawia główne tematy zdobytych zdjęć i filmów:

– Zdjęcia zwierząt, dzieci, nastolatków, dorosłych i pozujących par (w ubraniach)
– Zdjęcia z Disney World
– Zdjęcia agencji ubezpieczeniowej
– Zdjęcia wodospadu Niagara i Jehovah Witness Watchtower
– Zdjęcia z imprez

Zebrany materiał wskazuje, że ludzie nie są świadomi, iż ich prywatność jest zagrożona. Ponadto fakt, że niektóre karty zawierały wprost dostępne zdjęcia (nie zostały one nawet wykasowane przed odsprzedażą karty) jest bardzo niepokojące. Niezbędnym minimum powinno być przynajmniej usunięcie zdjęć przez właścicieli.

Chociaż te statystyki mogą wydawać się wysokie, są one zgodne z innymi badaniami przeprowadzanymi na używanych dyskach twardych zakupionych również za pośrednictwem serwisu eBay. Dlatego wynik opisywanego eksperymentu nie jest zaskakujący, a jedynie odzwierciedla rzeczywistość.

W kolejnym artykule przedstawimy jeden ze sposobów odzyskiwania danych.


Źródło:

http://www.informit.com/

Zobacz także: