בסדרות מתח כגון זירת הפשע, זהות בדויה ו-24 אנו שומעים כל הזמן כיצד המומחים משחזרים דיסקיםש שנהרסו בפיצוץ, וכל זה עוד לפני שנגמרו הפרסומות. האם באמת המידע שלנו זמין לכל טכנאי מחשבים משופשף וגם התכת הדיסק לנוזל לא תאפשר לנו לשמור על הפרטיות?
תחום שחזור המידע החקירתי עוסק בדיוק בזה. העובדים במקצוע מתמודדים עם מחיקות שונות החל מטעות ועד נזק פיזי קיצוני כפי שקורה בעת אסון או פעולת-טרור. לגורמי הבטחון יש גופים שעוסקים בזה אך קיימות גם חברות פרטיות שמבצעות שחזור עבור אנשים או חברות במקרה של דיסק שהתקלקל או סיסמא שנשכחה. מה שבטוח הסצינות בסדרות והסרטים רחוקות מהמציאות שחזור דיסק לאחר שריפה או פיצוץ הוא דבר קשה, איטי ולפעמים בלתי אפשרי.
המצב הנפוץ שבו כולנו נתקלים הוא כאשר משדרגים את המחשב. במצב כזה, מה יהיה עם כל המידע שבדיסק הקשיח הישן? מחיקה (פירמוט) שלו בצורה המקובלת היא קלה מאוד לשחזור אך לרבים חשוב שאם מישהו ימצא את הדיסק במזבלה, לא יהיה ניתן לשחזר אותו. משרד ההגנה האמריקאי, למשל, קבע תקן מס' 5520-20 המפרט כיצד למחוק דיסקים, אך המומחים חלוקים לגבי יעילותו. יש הטוענים כי התקן אינו מספיק, אך רוב הארגונים מסתפקים בפירמוט פשוט של הדיסק, ויש לא מעטים שמסתפקים בפירמוט מהיר או אפילו זה לא. איש מחשבים שאיתו שוחחנו התוודה כי אצלו מסתפקים בדפיקת הדיסק ברצפה ומדי פעם מוותרים גם על זה. שמענו גם על מקרים שדיסקים ישנים נמכרו למגרשי גרוטאות או ב-eBay, ויש חברות המתמחות בקניית הדיסקים הללו, שחזורם ומכירת המידע למתחרים.
פירמוט יכול להתבצע בשני אופנים רגיל ומהיר. פירמוט מהיר אינו מוחק למעשה את הקבצים אלא רק את האזור שבו יש את רשימת הקבצים שאומרת היכן נמצא כל קובץ. מידע קל לשחזור, ומספיקה תוכנת שיחזור פשוטה וזולה (למשל www.r-tt.com או www.stellarinfo.com ). הפירמוט הרגיל ("איטי") הוא יותר יסודי אך גם אז המחיקה אינה סופית. בתהליך המחיקה נכתב מידע אקראי מעל הקודם, אך באמצעים מיוחדים ניתן לגלות מה היה שם קודם. הדבר דומה למצב שבו אנחנו כותבים משהו על נייר ואחר כך מקשקשים מעל עם העט כדי להסתיר את הכתוב. מספיק שפינה קטנה מאות מסוימת נשארת בלתי-מקושקשת וכך אפשר לזהות את הכתוב. גם כשמוחקים דיסק ניתן לקרוא את המידע מה-"שכבות" התחתונות. טכניקה זו נקראת מיקרוסקופיית כוח מגנטי ודורשת מכשור יקר. השחזור נעשה על ידי פירוק הדיסק וסריקה של שטחו באמצעות מיקרוסקופ מיוחד, שממנה נבנית "תמונה" של שכבות המידע שאותה ניתן לנתח ולפענח בתהליך איטי ומורכב.
כדי לבצע מחיקה יעילה, הפתרון מבוסס על כתיבה של מידע חסר-משמעות שוב ושוב על הדיסק מכיוון שכל "שכבה" נוספת מגדילה את הקושי בשחזור. תקן 5520-20 קובע כי צריך לעשות זאת 3 פעמים, וזה לוקח כ-45 דקות בערך. קיימות תוכנות שמיועדות לכך כגון [[Boot and Nuke]]. יש הטוענים ששלוש מחיקות אינן מספיקות ויש לבצע שבעה סיבובי מחיקה, ורוב תוכנות המחיקה מאפשרות לבצע גם את זה. פיטר גוטמן, מומחה עולמי לאבטחת מידע פירסם בשנת 1996 מאמר בנושא בו הוא מתאר שיטה למחיקה יעילה הכוללת 35 סיבובי מחיקה (!) ולוקחת כמעט יום שלם. המאמר עורר חילוקי דעות בין המומחים, שטענו כי אין הצדקה לתהליך כל כך ארוך. בהמשך, הבהיר גוטמן כי מעולם לא טען ששיטתו חיונית בכל מקרה ולרוב מספיקה מחיקה פשוטה יותר. בכוננים מודרניים, אומר גוטמן, האלקטרוניקה יותר מדויקת ולכן אפשר לסגור עניין במחיקה רגילה. מומחה אחר בשם דניאל פינברג טוען כי גם שיטות השחזור שמתאר גוטמן במאמרו אינן קיימות במציאות ואפילו ה CIA לא מסוגל לבצע שחזור מידע מכונן שנמחק בכוונה. אמיר בן-יוסף, יו"ר חברת מיטסי המתמחה בשחזור והשמדה של מידע מספר כי התהליך קיים, אך הוא איטי ומחירו עומד על מיליוני דולרים. מה שמוסכם על כולם הוא שנזק פיזי לדיסק הוא הדרך להבטיח שהמידע באמת יחוסל, ולכן בן-יוסף ממליץ לפרק את הדיסק לחלקיו. "יש קשר הדוק בין הפלטה של הדיסק לאלקטרוניקה שלו, ולכן אם יש בידי פלטה שאינני יודע בדיוק מאיזה כונן היא יצאה, קרוב לבלתי אפשרי לשחזר ממנה את המידע", הוא אומר. לארגונים שלהם הדבר קריטי אנו ממליצים לפנות למומחים. מיטסי מציעה להשמיד דיסקים ללא תשלום לכל דורש, ובישראל פעילה גם חברת טיק-טק שעוסקת גם היא בתחום.
מחוק לגמרי
ארז בן ארי
20.3.2007 / 10:57