12 votos

Matías avatar

Posibles problemas asociados al borrado seguro de discos SSD

Preguntado el 15 de Octubre, 2014
Cuando se hizo la pregunta
1027 visitas
Cuantas visitas ha tenido la pregunta
3 Respuestas
Cuantas respuestas ha tenido la pregunta
Resuelta
Estado actual de la pregunta

Necesito dar de baja dos discos SSD de uno de mis servidores alojados en Linux.

Para eliminar de forma segura los datos almacenados en los discos que pensaba utilizar: hdparm --security-erase .

He leído este documento y sugería no tener ningún disco conectado al host, aparte de los destinados a ser borrados.

Y este artículo señala que si hay fallos en el kernel o en el firmware, este procedimiento podría inutilizar la unidad o estropear el ordenador en el que se está ejecutando .

Este servidor está actualmente en producción, con una configuración RAID por software para los discos de producción. No hay ningún controlador RAID para los discos que necesito eliminar.

Pregunta:

¿Es esta una operación bastante segura para realizar en un entorno de producción, o me convendría quitar los discos y realizar este procedimiento en otro host?

Edición: sólo un enlace con un buen procedimiento documentado

Preguntado el 15 de Octubre, 2014 por Matías

8 votos

Avatar de Some French Guy

Simplemente quémelos, en serio, si la seguridad es lo más importante simplemente destrúyalos con fuego, los SSD son comparativamente baratos en estos días - es la única manera de estar seguro :)

Comentado el 15 de Octubre, 2014 por Some French Guy

2 votos

Avatar de Onur

A falta de bombardearlos desde la órbita.

Comentado el 16 de Octubre, 2014 por Onur

1 votos

Avatar de Lightning Racis in Obrit

¿Ha llamado alguien?

Comentado el 16 de Octubre, 2014 por Lightning Racis in Obrit

Respuestas

¿Demasiados anuncios?

18voto

HBruijn avatar
HBruijn Puntos 16577

El borrado seguro ATA forma parte de la especificación ATA ANSI y cuando se aplica correctamente , borra todo el contenido de una unidad en el nivel de hardware en lugar de a través de herramientas de software. Las herramientas de software sobrescriben los datos en los discos duros y en las unidades SSD, a menudo a través de múltiples pasadas; el problema con las unidades SSD es que dichas herramientas de sobrescritura de software no pueden acceder a todas las áreas de almacenamiento de una unidad SSD, dejando atrás bloques de datos en las regiones de servicio de la unidad (ejemplos: bloques defectuosos, bloques reservados para el nivel de desgaste, etc.)

Cuando se emite un comando de borrado seguro ATA (SE) contra el controlador integrado de un SSD que lo apoye adecuadamente El controlador de la unidad SSD restablece todas sus celdas de almacenamiento como vacías (liberando los electrones almacenados), con lo que la unidad SSD recupera la configuración predeterminada de fábrica y el rendimiento de escritura. Cuando se implementa correctamente, SE procesará todas las regiones de almacenamiento, incluidas las regiones de servicio protegidas del soporte.

Copiado libremente de http://www.kingston.com/us/community/articledetail?ArticleId=10 [vía archive.org] El énfasis es mío.

El problema es que, según algunos, tanto el soporte como la correcta implementación del ATA Secure Erase por parte de los fabricantes son "escasos".

Este documento de investigación de 2011 muestra que en la mitad de las unidades SSD probadas el borrado seguro ATA no pudo destruir efectivamente los datos de la unidad.

En ese mismo trabajo de investigación, las pruebas mostraron que, sorprendentemente para algunos, las sobreescrituras tradicionales de varias pasadas de la unidad SSD tuvieron éxito en su mayor parte, aunque algunos datos (posiblemente de las áreas reservadas de una unidad SSD que están fuera del tamaño informado de los discos) podrían recuperarse.

Así que la respuesta corta es: el uso de software para desinfectar todo un SSD puede o no ser 100% efectivo.
Sin embargo, puede ser suficiente para sus necesidades.

Segundo, hacerlo en un servidor en producción: Mi impresión es que la mayoría de los manuales aconsejan arrancar desde un disco de rescate para limpiar los discos por la sencilla razón de que usar un software para limpiar el disco de arranque/OS fallará estrepitosamente y la mayoría de los portátiles y PC's tienen un solo disco.
Los riesgos universales de ejecutar comandos potencialmente (o más bien intencionalmente) destructivos en sistemas de producción también se aplican, por supuesto.

Cifrado de sus unidades hará que la recuperación (parcial) de los datos de los discos desechados (SSD o del tipo giratorio) sea mucho menos probable. Siempre y cuando toda la unidad estuviera encriptada y no tuvieras una partición no encriptada (swap) en ella, por supuesto.

Por lo demás, estos siempre la trituradora .

Respondido el 15 de Octubre, 2014 por HBruijn (16577 Puntos )

8voto

Sobrique avatar
Sobrique Puntos 2194

Fundamentalmente, debido a la forma en que funcionan las unidades SSD, es imposible realizar un "borrado seguro". Especialmente en el caso de las unidades empresariales, la mayoría de ellas son más grandes de lo que parecen, porque tienen capacidad "de reserva" para nivelar el desgaste.

Esa misma nivelación de desgaste hace que el borrado al estilo de "sobreescritura" tampoco haga lo que crees que hace.

A un nivel bastante fundamental, depende de cuál sea el riesgo que te preocupa:

  • si sólo quiere "limpiar" y volver a desplegar el hardware dentro de su finca: Formatea y acaba con ello.
  • si le preocupa que un adversario malintencionado y con buenos recursos adquiera material sensible: No te molestes en borrar, destruye físicamente*.

(*) Cuando digo "destruir físicamente" me refiero a triturar, incinerar y auditar. Resiste la tentación del bricolaje: de todos modos, no es tan divertido en los SSD.

Respondido el 15 de Octubre, 2014 por Sobrique (2194 Puntos )

1 votos

Avatar de Andrew Medico

-1, no hay razón para esperar que la implementación del borrado seguro ATA del proveedor del disco no borre realmente todo bloques.

Comentado el 15 de Octubre, 2014 por Andrew Medico

7 votos

Avatar de MadHatter

+1 de mi parte porque sí, lo hay. Ver, por ejemplo, cseweb.ucsd.edu/~m3wei/assets/pdf/FMS-2010-Secure-Erase.pdf : " Los comandos de borrado seguro basados en el disco no son fiables "(de nueve combinaciones de controlador-SSD que se probaron, una se negó a hacer el borrado, dos no lo hicieron correctamente y una no lo hizo en absoluto pero informó de que lo había hecho). Ese informe es de hace unos años, pero significa que necesitamos razones positivas para confiar en el borrado seguro moderno, en lugar de dar por sentado que ya funciona.

Comentado el 15 de Octubre, 2014 por MadHatter

1 votos

Avatar de Sobrique

Estoy paranoico. He visto demasiadas ocasiones en las que lo "irrecuperable" no es tan irrecuperable como se supone. Sin embargo, también me gustaría señalar que la mayoría de las veces simplemente no importa. Si confías vagamente en el lugar al que va, y el contenido no es increíblemente sensible, no hay mucha diferencia. Y si es increíblemente sensible, entonces ¿por qué lo dejas salir del edificio en primer lugar?

Comentado el 15 de Octubre, 2014 por Sobrique
Mostrar 1 comentarios más

6voto

Andrew Medico avatar
Andrew Medico Puntos 182

Ciertamente no recomendaría lanzar operaciones de borrado seguro en un sistema que tiene cualquier unidades que te interesan siguen conectadas. Basta con un pequeño error de escritura para destruir los datos de una unidad aún en uso más allá de cualquier esperanza de recuperación.

Si va a utilizar el borrado seguro, hágalo definitivamente en un sistema que no tenga ninguna unidad de disco que vaya a conectar.

Respondido el 15 de Octubre, 2014 por Andrew Medico (182 Puntos )

Preguntas relacionadas

Preguntas Destacadas

Etiquetas mas usadas

En nuestra red

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by:

Yandex
X