¿Qué tan "codificados" están los datos en un disco RAID5?

A fin de probar realmente esto, señalé una copia de Foremost en un disco que anteriormente formaba parte de un RAID-6 array (disponible gracias a Seagate). La matriz tenía un tamaño de trozo de 512 KB, por lo que cualquier archivo de 512 KB o menos está teóricamente intacto. Los datos en la matriz son de casi 25 años de uso de computadora, incluidas las imágenes de disco de cada computadora que tengo.

La cantidad de datos que recuperé fue, francamente, aterradora. Documentos de Word que contienen tareas de la escuela secundaria. Archivos de datos de juegos que había desinstalado hace décadas. Archivos DLL de cien versiones diferentes de WINE. Imágenes adjuntas a publicaciones no leídas de Usenet. Diez mil páginas web en caché. Al agregar una regla de extracción personalizada se encontraron tres claves privadas SSL y una clave SSH.

Otra cosa a tener en cuenta es que no siempre es necesario extraer todo el archivo para obtener información comprometida. Por ejemplo, el primer 512k de un PDF puede darle la tabla de contenido, el primer 512k de un BMP puede darle un título (BMP almacena sus datos de imagen al revés), y el primer 512k de un JPEG puede darle una miniatura. Los archivos MPEG y MP3 están diseñados para ser transmitidos por secuencias, por lo que incluso un fragmento de la mitad de uno puede dar datos útiles a alguien.

¿Qué tan cifrados son los datos en un disco RAID 5? No lo suficientemente revueltos.

Raid 5 distribuye los datos a través de los discos, pero los bloques utilizados para la creación de bandas suelen ser bastante grandes. Como mínimo, serán todos los sectores, pero normalmente serán mucho más grandes que eso. Por ejemplo, madm utiliza de forma predeterminada trozos de medio megabyte. Incluso un sector es lo suficientemente grande como para encontrar trozos de texto compatibles y, con los tamaños de trozos típicos, es muy probable que haya archivos reconocibles completos en las unidades individuales de la matriz.

Parece que las personas pueden confundir el tamaño del sector de la unidad (normalmente de 512B a 4KB) con el tamaño de banda RAID 5 (generalmente de 16KB a 128KB, a veces más grande). El tamaño de la franja RAID es el tamaño lógico y grabable de la matriz, por lo que cada parte de la franja en cada unidad contendrá esa cantidad de datos. Si un archivo completo se ajusta al tamaño de la banda, es probable que todo sea visible como un bloque contiguo en la unidad de eliminación.

Un solo miembro de una matriz RAID 5 constará de bloques planos y bloques de paridad, por ejemplo, 75% de paridad y 25% de paridad para una matriz de 4 miembros. Los bloques planos se pueden leer a simple vista; no hay mezcla de estos bloques y no es necesario que se refiera a otros miembros para que tengan sentido. Estos bloques suelen tener un tamaño de 16KB a 512KB, aunque con RAID-5, generalmente es de 128KB o inferior para minimizar la amplificación de escritura. Existe un amplio margen para leer datos confidenciales que aparecen en bloques tan simples.

Cada bloque de paridad contiene datos que se generan a partir de tres bloques planos en otras unidades, de tal manera que si cualquiera de esas otras tres unidades (en una matriz de cuatro miembros) se pierde, la información se puede recuperar aplicando un algoritmo al bloque de paridad y los bloques de las otras dos unidades restantes. Los datos en un bloque de paridad no tienen sentido y no podrían recuperarse por sí solos, a menos que pueda adivinar el contenido de dos de los otros tres bloques con los que se combina, lo que en algunos casos podría ser fácil si dos de los tres bloques estuvieran vacíos. (ceros) o contienen datos predecibles. Por lo tanto, si bien no es criptográficamente segura, la información en un bloque de paridad generalmente es inútil sin dos de los otros tres bloques desde los que se genera.

RAID 4 tenía un diseño similar a RAID 5, excepto que todos los bloques de paridad se almacenaban en una unidad, por lo que si solo tuviera esa unidad, no tendría datos fácilmente recuperables. RAID 5 modificó esto para distribuir los bloques de paridad de manera equitativa entre los miembros, lo que significa que cualquier unidad por sí misma contendrá una gran cantidad de bloques planos de los que podría recuperar datos.

  

¿O es el hecho de que fuera parte de una matriz RAID5 suficiente para que los datos hayan sido codificados más allá del reconocimiento?

La regla general sería asegurar siempre el borrado de los medios magnéticos antes de entregarlos en tales circunstancias (reciclaje, donación, etc.). No hagas suposiciones sobre los datos subyacentes, ya sea que estén encriptados, si fueron RAID0 o RAID 5, etc.

Incluso si la sabiduría contemporánea es que algo es seguro, la experiencia nos ha demostrado que tales creencias pueden ser invalidadas en el futuro (por ejemplo, mire la cantidad de años en que los problemas de seguridad de Spectre / Meltdown existieron sin ser detectados, hasta que los investigadores descubrieron cómo podría hacer un mal uso). comportamiento de los procesadores).

En los centros de datos en los que trabajo tomamos muy en serio la seguridad de los datos. Si la unidad era parte de una matriz que no estaba cifrada, sí, todavía hay suficientes datos que se pueden recuperar de la unidad. Sinceramente, recomendaría el fregado del disco si aún funciona o si no es funcional. Recomiendo desmagnetización de la unidad con algún tipo de dispositivo magnético controlado.