Curiosità su recupero dati SSD

[gpc]

Se su un ssd si utilizza una scrittura random, i dati sono persi
Su HBCD, nessun software riesce a recuperare niente
In un centro specializzato, che possibilità ci sono?
Grazie

 

[Liupen]

In un centro specializzato, che possibilità ci sono?

Nessuna..

La scrittura su ssd prevede la cancellazione dei dati e poi la ulteriore scrittura (random o meno),
Che ci sia oppure no il trim attivo, i dati sono persi.
L'unica possibilità è che il software di cancellazione che hai usato sia farlocco ^(cioè che abbia cancellato solo le tabelle delle partizioni e reso raw l'ssd).

Usa un software a pagamento in versione prova e fai una scansione. Da li vedi subito.

 

[gpc]

sovrascrittura eseguita da DiskGenius (30 minuti)
recupero con DiskGenius e Puran File Recovery
niente di trovato
non sufficientemente sicuri?

 

[r3dl4nce]

Inutile sovrascrivere su SSD, ne riduci la vita e basta...
In realtà basta un TRIM dell'intero disco

 

[gpc]

perfettamente ragione
ma se la longevità del disco viene meno?
più la sicurezza?
grazie

 

[Liupen]

non sufficientemente sicuri?

Magari si... ma meglio constatare sempre con un paio di software se i dati sono stati cancellati veramente con la riscrittura.
Prova anche Easeus (software di cui mi fido di più...)
Il metodo di cancellazione più sicuro e meno dispendioso (oltre che più veloce) è quello di utilizzare il Secure Erase (ora detto Sanitize ssd) di solito ci sono dei software del produttore oppure delle schede madri che lo supportano.
Il SE "lampeggia" tutte le celle in una volta dando una tensione maggiore ad ogni celle per azzerarne il valore.

In realtà basta un TRIM dell'intero disco

Trim ho visto che è un comando spesso trascurato dal OS e che entra in funzione in idle (bassa priorità). Se si tenta subito il recupero... ha parzialmente successo.

 

[gpc]

il software Easeus che consigli è su HBCD?
con i due sw non trovava più niente

 

[r3dl4nce]

Trim ho visto che è un comando spesso trascurato dal OS e che entra in funzione in idle (bassa priorità). Se si tenta subito il recupero... ha parzialmente successo.

Live di linux
mkfs.ext4 /dev/sdX
mount /dev/sdX /mnt/temp
fstrim /mnt/temp

 

[Liupen]

il software Easeus che consigli è su HBCD?

Non credo, è un software a pagamento ma, come tutti, ha la scansione free (e dalla scansione vedi i dati se ci sono)

[Ufficiale] EaseUS Data Recovery Wizard Professional - Software di recupero dati

EaseUS Data Recovery Wizard Professional can retrieve all lost data from Hard disk drives like HDD, SSD, RAID, NAS, etc. It also supports data recovery from digital cameras, USB flash drives, SD cards, pen drives and more.

it.easeus.com

mkfs.ext4 /dev/sdX
mount /dev/sdX /mnt/temp
fstrim /mnt/temp

E' un controsenso se già non sei in ext4.
Nel senso, metti che hai un ssd con windows, quindi NTFS / GPT, usi la live di Linux, crei il tuo file system nuovo ext4 sostituendolo a quello esistente (la tabella di mappatura viene riscritta), monti la nuova unità, quindi dai un comando di retrim.
In pratica informi il controller che i dati sono cancellabili ma, avendo appena formattato, Linux già considera privo di dati l'ssd.
Il risultato (teorico) e che i metadati presenti sui blocchi, per quanto irrecuperabili (per i motivi sopra) permangono.

Rispetto a questo, fà più una sovrascrittura dell'ssd in NTFS... che ne so, installarci un sistema operativo fittizio, tale per cui realmente trim crea lo spostamento di celle (garbage) secondo l'algoritmo di distribuzione uniforme (wear leveling).

Che ne dici?

 

[gpc]

Non credo, è un software a pagamento ma, come tutti, ha la scansione free (e dalla scansione vedi i dati se ci sono)

[Ufficiale] EaseUS Data Recovery Wizard Professional - Software di recupero dati

EaseUS Data Recovery Wizard Professional can retrieve all lost data from Hard disk drives like HDD, SSD, RAID, NAS, etc. It also supports data recovery from digital cameras, USB flash drives, SD cards, pen drives and more.

it.easeus.com

non esiste però una iso per live?
grazie

 

[r3dl4nce]

E' un controsenso se già non sei in ext4.

Perché?
fstrim come descrizione ha questo

fstrim is used on a mounted filesystem to discard (or "trim")
blocks which are not in use by the filesystem. This is useful for
solid-state drives (SSDs) and thinly-provisioned storage.

By default, fstrim will discard all unused blocks in the
filesystem.

file system nuovo e vuoto = tutti i blocchi non in uso...

Rispetto a questo, fà più una sovrascrittura dell'ssd in NTFS... che ne so, installarci un sistema operativo fittizio, tale per cui realmente trim crea lo spostamento di celle (garbage) secondo l'algoritmo di distribuzione uniforme (wear leveling).

Ma questo non ti assicura di variare lo stato di ogni cella, decide il contoller come allocarle / spostarle
Nel momento in cui tutte le celle sono oggetto di TRIM, che siano allocate o meno, sono irrecuperabili a meno di non modificare il firmware del SSD, e voglio vedere chi e come potrebbe farlo...

 

[Liupen]

non esiste però una iso per live?

Non lo so sai... ma non credo, le live non le controlli, mentre le installazioni le trasformi in money.

file system nuovo e vuoto = tutti i blocchi non in uso...

Tradotto
fstrim viene utilizzato su un filesystem montato per "tagliare" i blocchi che non sono utilizzati dal filesystem.
Ciò è utile per le unità a stato solido (SSD) e lo storage con thin provisioning (hdd con op oppure anche detto "tutto ciò che è fuori dalla parte formattata)
Per impostazione predefinita, fstrim "taglierà" tutti i blocchi inutilizzati nel filesystem.

Il fatto che un os "tagli" (o trimmi) sia dentro che aldi fuori della partizione, vuol dire tutto e niente.
TRIM è una comunicazione tra OS e controller SSD (e neanche con priorità alta), non è l'atto del fare qualcosa di concreto.
Il garbage collection, si attiva in idle, dopo il trim e sposta le pagine dei blocchi validi (in un mix di accorpamento+usura dei blocchi meno usati).
Il problema che ti volevo evidenziare è che con la creazione del file system nuovo, anche se dai trim, nulla si muove, perchè non ci sono blocchi validi da spostare nella parte raw dell'ssd.
I metadati (sempre in teoria, e ricordando che i metadati non sono dati ricreabili) quindi permangono.

Meglio è se l'ssd viene lasciato con il file system su cui era presente le partizioni di OS, o OS + dati, ecc e che si agisce con il TRIM su quelle. Allora la scrittura ulteriore mette in moto lo spostamento dei dati, la frammentazione dei metadati presenti il mischiare dati frammenti vecchi e nuovi.

Ma questo non ti assicura di variare lo stato di ogni cella, decide il contoller come allocarle / spostarle
Nel momento in cui tutte le celle sono oggetto di TRIM, che siano allocate o meno, sono irrecuperabili a meno di non modificare il firmware del SSD, e voglio vedere chi e come potrebbe farlo...

Negativo. Trim non rende irrecuperabili i dati ma lo fa il garbage collection ed insieme la scrittura (o riscrittura delle celle).

I passaggi:

Trim comunica i dati validi al controller.
Da questo il controller identifica le pagine valide che occupano blocchi non interamente pieni, sposta i dati e marchia come scrivibili i blocchi.
L'effetto del Trim è questo, il garbage, che ovviamente causa il perdersi di frammenti di files che non possono essere più ricostruiti da un analisi DR hardware (software... naturalmente neanche a pensarci).
Poi il resto della distruzione dei dati lo deve fare la riscrittura (ma è svincolata dal Trim).

Ecco perchè a fronte di tutto... un bel secure erase che cancella tutte le celle in una passata, è l'opzione migliore (anche se non sempre si può fare).

 

[r3dl4nce]

Il fatto che un os "tagli" (o trimmi) sia dentro che aldi fuori della partizione, vuol dire tutto e niente.
TRIM è una comunicazione tra OS e controller SSD (e neanche con priorità alta), non è l'atto del fare qualcosa di concreto.
Il garbage collection, si attiva in idle, dopo il trim e sposta le pagine dei blocchi validi (in un mix di accorpamento+usura dei blocchi meno usati).
Il problema che ti volevo evidenziare è che con la creazione del file system nuovo, anche se dai trim, nulla si muove, perchè non ci sono blocchi validi da spostare nella parte raw dell'ssd.
I metadati (sempre in teoria, e ricordando che i metadati non sono dati ricreabili) quindi permangono.

Ma nel momento in cui il filesystem è vuoto, TRIM ha comunicato che quasi tutte (escluse le celle occupate dalle strutture base del nuovo file system, ma in talc aso sono già sovrascritte) le celle sono invalidate e non in uso, quindi a tutti gli effetti a meno di non modificare il controller o leggere direttamente le celle, sono effettivamente illeggibili e i dati sopra irrecuperabili

Negativo. Trim non rende irrecuperabili i dati

Ma li rende illeggibili.

Ecco perchè a fronte di tutto... un bel secure erase che cancella tutte le celle in una passata, è l'opzione migliore (anche se non sempre si può fare).

Se proprio si ha tempo e voglia, allora un bel
dd if=/dev/urandom /of=/dev/sdX bs=<SECTOR SIZE>

arrivando a portare al 100% l'occupazione di spazio del SSD, si ha certezza che ogni cella sia stata riscritta con dati random

Ma richiede un certo tempo, che normalmente reputo inutile, a meno proprio di sicurezza a livelli altissimi, in cui però già suppongo che i dati siano memorizzati criptati per cui ogni recupero non servirebbe comunque a nulla,

 

[gpc]

quanto intendi per "certo tempo"?
grazie

 

[r3dl4nce]

Boh, dipende dalle prestazioni in scrittura del SSD