Убийцы жестких дисков. Коэрцетивный выстрел в голову20.04.2015 15:02

«Любую ценность контролирует лишь тот, кто в состоянии её уничтожить» Дюна, Фрэнк ГербертСегодня пойдет речь о том, как быстро убить 3.5» жесткий диск.

image

О весьма успешном захвате HDD спецслужбами:

Важность улики была настолько велика, что для получения ноутбука пришлось разыграть целую сцену в библиотеке, где брали Ульбрихта. Агенты ФБР (мужчина и женщина) начали публичную ссору. Ульбрихт отвлёкся, чтобы посмотреть на них — и в этот момент другой агент быстро вытащил ноутбук у него из-под рук. Затем уже был произведён стандартный арест.

В последующие часы айтишники ФБР тщательно исследовали ноутбук и фотографировали экран, тщательно следя, чтобы ноут не ушёл в спящий режим (с шифрованием информации). Потом они сделали копию содержимого жёсткого диска.

На компьютере найдены копии паспортов и водительских лицензий Ульбрихта, расчётные ведомости по выплате зарплаты сотрудникам Silk Road, логи активности персонала, сканы удостоверений личности админов Silk Road.

Личный дневник Ульбрихта ведёт начало с 2010 года, когда у Росса появилась идея создать сайт Silk Road и продавать там задёшево галлюциногенные грибы, которые он выращивал. Ульбрихт описывает всё, чем занимался ежедневно, включая личные цели, повседневную работу и выпивки с друзьями.

Представьте себе: вам уже пилят дверь (производитель которой гарантировал, что пилить ее будут не менее 30 секунд), а на жестком диске у вас много интересного. Какие ваши действия?

Механическое уничтожение Моя первая мысль: c35924d10d8541929aa39798ddd7f366.jpg

Но для этого надо: а) добраться до HDD (от 10 до 100+ секунд) б) диск начинает искрить после 20 сек. Так что злоумышленники могут получить не до конца пропекшиеся «блины»

Вторая мысль — пройтись молоточком, заранее заготовленным у рабочего стола. А корпус компа всегда развинченный и жесткий не прикручен, а свисает на проводах. Для ноута есть смысл заранее нанести крестик куда бить. По моим прикидкам — секунд 10 на изготовление отбивной. Но что-то в последнее время корпуса у дисков особо прочные (особенно у ноутов), но есть еще несколько фактов, компрометирующих физическое насилие.

Есть профессиональные убивалки-протыкалки жестких дисков, выглядит очень эффектно:

[embedded content]

А есть дяди в белых халатах и чистых комнатах с атомно-силовыми микроскопами:

image

Есть способ визуального снятия информации: На пластину жесткого диска с помощью шприца наносится пара капель коллоидной суспензии частиц Fe2O3. Затем с помощью специального покровного стекла суспензия размазывается тонким слоем по ее поверхности, на которой в отраженном свете проявляется магнитный контраст. Его, в принципе, достаточно, чтобы даже невооруженным взглядом оценить наличие или отсутствие информации — на рисунке четко видны сервометки, разделяющие диск на сектора.

a9d68e38fc4f4145a2e1e087cfddafe8.jpg

При 800-кратном увеличении оптического микроскопа становятся четко различимы отдельные сервометки, несколько хуже выделяются дорожки с данными, записанные более слабым полем

А еще есть остаточная намагниченность (на гибких носителях, но кто знает, может на HDD тоже есть такая уязвимость):

3e52391651bf4115b52812755c9e4f20.jpg

В 2003 вместо шаттла «Columbia» приземлилось вот это:

image

Когда сдули пепел и открыли корпус то нашли диски:

image

Восстановили 99% (400 mb) и даже работу опубликовали в журнал на основе извлеченных данных об эксперименте в космосе.

Если и заниматься механическим уничтожением, то как минимум до такой степени.

857fe4e1596741f59504afb53da99ee9.jpg

Я, для надежности, еще залил бы кислотой и прокипятил. Мало ли на каком клочке найдут номер кошелька с биткоинами.

Есть у пацанов такая штука — Магнитно-силовой микроскоп.Он работает как проигрыватель пластинок, только иголка наноразмера.

image

imageВнешний вид комплекса анализа магнитных сигналограмм

Тут пример как можно побитно считывать данные При помощи более узкой и более чувствительной головки при позиционировании микрошагами, возможно произвести считывание предыдущей записи на краях дорожки. Отклонение позиции головки записи от центра дорожки могут приводить к тому, что значительная часть «старых» данных останется неизменной сверху или снизу на краях дорожкиimageОстаточная намагниченность на краях дорожки (увеличение 800х)imageЗапись всей пластины HDD логическими нулями (00h). Вид зон смены знака на крайней дорожке поверхности пластины WD WDC 280

Декодирование производится в ручном режиме, с использованием знаний о величине интервала тактовой частоты и ее фазовой привязки к изображению.

image

image

image

Для каждой из 16-ти возможных последовательностей логических данных (0000, 0001, 0010, 0011, 0100, 0101, 0110, 0111, 1000, 1001, 1010, 1011, 1100, 1101, 1110 и 1111) при записи существуют характерные изображения (паттерны) (подробнее тут)

58130691133b4e4bb9eec531645c1e57.jpgИспользуй Силу, Люк. Коэрцетивную силу. Коэрцитивная сила — это напряжённость Hc магнитного поля, в котором ферромагнитный образец, первоначально намагниченный до насыщения, размагничивается. Измеряют коэрцитивную силу коэрцитиметрами.Уничтожение за 1 секунду.До и после включения прибора.a4217eb78a7c450d8405302a7a29e11e.jpg1 — внешний край, 2 — дефекты поверхности магнитной пластинки, 3 — разметка секторов

По имеющимся данным, для гарантированного стирания информации нормативами установлено магнитное поле быть не менее 450 кА/м. С учетом ослабления поля за счет корпуса диска, примем минимальным значение в 500 кА/м

Есть специализированные приборы, которые решают нашу задачу — экстренно уничтожить данные на жестком диске.Они встраиваются в корпус рабочей машины и тихо дремлют, ждут своего часа. Жесткий диск при этом постоянно находится в верных объятьях (читай — заминирован). Конструктивно приборы делятся на 2 типа — с плоской катушкой (диск снаружи) и с цилиндрической катушкой (диск внутри).

Поковыряемся в нескольких приборах, которые есть на российском рынке. Потыкаем в них отверткой и коэрцитиметрами.

3 киллера df30c8dce74c4c6192d16b3be6dbf435.jpgРаскат и Импульс оснащены автономным питанием (хватает на сутки), а так же всякими штуками, о которых мечтает настоящий подрывник (или параноик): датчик контроля периметра (читай — растяжки), таймер на отключение электричества (если комп выпилили пока вас нет, то все сотрется само через определенное время), дистанционные активаторы (радио и GSM каналы), ну и просто красная кнопка.

ТТХ РАСКАТ (из Интернет)Напряженность стирающего магнитного поля не менее 450 кА/м Количество жестких дисков 1 Форм-фактор жестких дисков 2.5» 3.5» Уничтожение информации на магнитном носителе, длительность не более 0,1 сек. Время готовности устройства к уничтожению информации после включения питания или предыдущего срабатывания не более 20 сек. Номинальное напряжение питания от сети 220В, 50Гц от аккумулятора 12В Потребляемая мощность при работе от сети 220В, 50Гц, Вт— в режиме ожидания не более 5 Вт— импульсная не более 90 Вт Габариты силовой части: изделия «Раскат» (Модуль-1) 120×140х200 мм Диапазон рабочих температур от +5 ° до +40 °С Продолжительность работы в автономном режиме от 24 ч САМУРАЙ X-Lite (из паспорта изделия)

Напряжение питания, В 12…14 Мощность потребления, Вт до 75 Напряженность э/м поля при срабатывании, кА/м 450 Потребляемый ток в режиме «Охрана», А не более 0,1 Потребляемый ток в режиме зарядки, А не более 6 Время зарядки силового блока, сек до 10 Импульс-6V (из паспорта изделия)

Напряженность магнитного поля, кА/м, не менее 500 Время готовности после включения, сек, не более 60 Время стирания, сек, не более 0,1 Электропитание устройства, постоянное напряжение 12в Потребляемый ток, мА, не болеев режиме заряда накопителя 1.5Ав рабочем режиме 20 мА Габаритные размеры ДхШхВ, мм., не более 240×145х85 Масса изделия, кг., не более 3 Время автономной работы, час., не менее 24 Чуть подробнее о каждом.

Самурай 3287d9ed0f554ab6b0b7e03f62a960b6.jpgПлоская катушка. Занимает один 5-дюймовый слот, плюс диск крепится к устройству снизу вплотную к излучателю устройства. Устанавливается в корпус компьютера на манер CD-ROM. Питается от 12 вольт компьютера через стандартный разъем блока ATX.

6bf11a894f7a48a99824eb60819437b0.jpgПлюсы :

мощность поля напрямую зависит от сечения витка, и в центре оно мало, в самом центре катушки около ее поверхности можно добиться существенно больших значений поля меньшими затратами энергии. Небольшие габариты (носитель нужно только приложить к катушке). Минусы: поле очень сильно зависит от положения в пространстве относительно излучателя. На краях оно очень низкое, и с геометрической прогрессией убывает при удалении от плоскости даже в центре.А еще чтоб диск не улетел на орбиту, его (для тестов) укрепили струбциной.

Внутри катушка выглядит так (рядом HDD и график распределения силы поля в удалении от центра):

78f90212f0554d6e9a9349194b080450.jpg

При удалении от центра к краю на половину расстояния поле падает более чем вдвое, к краям сходит к нулю. (Рассчеты)

-5 к карме разработчика 7fe273c0756e45c4805d9ae0a08980f2.jpg3242d32952d84204a5290d4665351d38.jpg

Раскат 8df5b1d9cbd643b8b407b32991cc19c7.jpgСам прибор и размещение в системном блоке. Питается от сети 220 вольт, оснащено предохранителем и выключателем на корпусе. Время полной зарядки устройства около 10 секунд.Аккумулятор для автономной работы — отдельно:

0f43a2b9c3674345bd60bd0bec46b7e0.jpg

Внутри Раската — «соленоид классический»:

9af9f1927ff5404bb3040416251d7c6e.jpg

Плюсы: равномерность поля внутри всего объема соленоида (не считая краев).Минусы:

большие габариты. Требуется большая мощность тока для создания нужных значений. При прохождении тока через соленоид он пытается деформироваться, то есть требуется достаточно жесткий каркас, на который он намотан. То есть такое исполнение обладает высокой эффективностью генерации равномерного магнитного поля при существенных затратах на конструктив и габариты изделия.

херак херак и в продакт 347f9f055bdd4c928d8d72b32110eba4.jpgбез комментариевf222d1eb70064a64bd0b9040f061ad7a.jpgдиск крепится… саморезом

Импульс Вид прибора спереди и сзади: 81ef0016feac4ba0bd7d205316cdf343.jpg

Диску будет хорошо внутри, при работе охлаждается парой вентиляторов, расположенных сзади блока.Спереди могут быть подключены: питание (12В ATX), брелок ДУ (40 м), кнопка, радиоканал большой дальности, управление через GSM (отправкой СМС), и блок защиты периметра. Включается и выключается устройство ключом.

8c362eeb2f6c4718bbd28f64c1e94f9d.jpg

Внутри — соленоид классический.

1cb973b7cfa04984b4f316bde15dcc3c.jpg

Ипульс настолько суров, что он не на болтах, а на клепках. Спасибо компании «Детектор Системс», что не пожалели прибора и позволили его рассверлить вхлам.

еще фотки внутренностей

товарный вид? — не, не слышал d9f73d18457a4f40a8e5a69b93eb265d.jpg Сравнение размеров соленоидов 2be3d81a3cef482b8c6b1335b06c5122.jpgИз фоток видно, что в Импульсе (справа), жесткий диск чувствует себя просторно, есть по паре см с каждой стороны (но не болтается, тк прикручен на салазки), в Раскате диску тесновато, а у Самурая катушка по размеру даже меньше размера блина диска (что не очень, тк геометрия поля неравномерна и не покроет весь блин)Ой, а что это за кнопочка тут мигает? Самурай939c883bc63f43f9bbf1dc4c83314467.jpgКнопка утопленная в корпус, нажимать ее проще скрепкой или ручкой. Удобно тем что случайно не нажмешь. После активации устройство перезапускается.

cf9bd80d11664be286fcfe09d00cda62.jpg

В инструкции сказано, что запрещается активировать Самурай несколько раз подряд, и мы честно выдерживали 10 минут между активациями.После 7 активаций устройство как-то громко щелкнуло и пошел дым.

Раскатc5dfa8dbdfc44a99b1ea7afb93ebc228.jpg

Кнопка включения и кнопка активации (активация срабатывает ВСЕГДА независимо от того, зарядилось устройство полностью или нет)

Импульс58e39073ce3243c1a183a87d331d5535.jpg

После включение в сеть, устройство заряжается 56 секунд, после чего готово к активации.

Есть защита от уборщицы: чтобы активировать стирание, кнопку нужно нажать и удерживать более 3 секунд. Услышанный «пип» говорит только о том, что кнопка исправна, и устройство поняло, что она нажата. Притом кнопка начинает быстро моргать, показывая, что нажата и ждет 3 секунды до старта. Нажимая кнопку и быстро отпуская можно убедиться что она исправна, но не активировать систему.

Тест Как доктор Хаус мерил температуру полицейскому, так и мы будем засовывать щуп в каждый прибор.Поскольку мы собираемся измерять поле в 2 типах излучателей поля, то по теории внутри соленоида поле равномерно, достаточно измерять его в середине носителя вводя щуп прибора на разную глубину. Измерения будут производится щупом с датчиком, перпендикулярным плоскости соленоида. Щуп вводится в соленоид. Для удобства щупы проградуированы сантиметровой шкалой.

146405e1f73a427790782aad6ae32a88.jpg

Воздействие от плоскостного излучателя сильно зависит от места измерения, и, поскольку в нашем диске 4 информационных пластины, от того как далеко диск находится от излучателя. будет зависеть и результат измерений.

05dcde9cc5ce4a28b110660cef69912e.jpgЩелевой щуп с датчиком, перпендикулярным плоскости катушки.

А вот и сами коэрцитиметры:

1d37a15a126844b1ab24d48b44f71915.jpgОтечественный миллитесламетр ТП2–2У, американский GaussMeter GM-2.

Оба прибора имеют класс лабораторных, то есть применимых при научно-исследовательских измерениях, имеют примерно равные характеристики, оба фиксируют импульсные магнитные поля, оба имеют щупы для измерения поля перпендикулярного плоскости катушки и параллельного плоскости соленоида. Измерения производятся GM-2 в Гауссах, ТП2–2У в миллиТеста. Основное отличие — американский фиксирует импульсные поля от 2 мс, отечественный — 0.1 мс.

Одна из задач была сделать из него прибор для измерения мощности поля ВНУТРИ диска, то есть собственно на пластинах, где оно и воздействует на записанную информацию. Корпус по идее должен вносить свои коррективы в поведение поля, и мы попытаемся получить результат близкий к боевому.

4b0c59f8c3fe479198736611b6645264.jpgМы даже диск распилили, чтоб учесть экранирование

f9d9061679474f31baeed68aa956b4cb.jpg

Щуп мне в жесткий диск!

4e58bf30beca4739959c7d8e7bc6c1fe.jpg

Результаты Спалили Самурай поэтому для него так мало данныхКоэффициент пересчета 1 миллиТесла=10 Гаусс = 0,796 килоампер/метр. Исходя из норматива поля — значение должно быть не меньше 500ка/м=628 мТл=6280Гс.08c2744115d34215b89af8afc1c74d51.jpg

Для «Импульса» провели 2 вида теста: просто замеряли поле внутри прибора и вместе с просверленным HDD, чтобы оценить коэффициент ослабления от корпуса самого HDD. Тк «Раскат» работает по тому же принципу, коэффициент ослабления не должен сильно отличаться.

Из таблицы видно, что у «Раската» к краю диска мощность поля резко идет вниз, в то время как у «Импульса» снижение менее 10% и даже на краю входит в норматив 500 кА.

У самурая гигантское значение напряженности в центре и не менее гигантское ослабление при удалении от «эпицентра».(Катушка и блины харда не оказались не соосны, и центр соленоида бьет куда то в край. Возможно из-за того, что харды бывают двух конструктивных типов. В этом отношении объемному соленоиду пофиг, где в диске блины — накрывает все.)

Часто пред штурмом, вырубают свет и глушат сотовую и радиосвязь. Самурай, без автономного питания, становится бесполезен.

Приложение: величины коэрцитивной силы магнитных носителей В таблице приведен список магнитных носителей с соответствующей коэрцитивной силой* несущего материала. На основе этой таблицы можно определить необходимую мощность для стирания носителя.Поскольку у каждого типа носителя есть свой собственный уровень коэрцитивности, важно использовать устройство стирания достаточной мощности для надежного стирания данных. Мощность стирающего поля должна быть минимум вдвое выше собственной коэрцитивной силы носителя. Например, если необходимо стереть кассету VHS с уровнем коэрцитивности 650 эрстед, требуется стирающее устройство с мощностью не меньше 1300 эрстед. Приведены значения мощности устройств стирания с коэффициентом перекрытия коэрцитивной силы носителя К=2.5, обеспечивающем гарантированное стирание.

Мощность магнитного поля, необходимая для стирания магнитного носителя

f537a51fab464b76a7ad3e33a00a300c.jpg59f63ce4d21f40e38e91706e0b545817.jpg

P.S.«Гениальная» сцена про экстренное стирание данных — 1:40:30:[embedded content]

© Habrahabr.ru