Privégegevens moeten ook echt privé blijven. Als u een oude harde schijf weggooit of bestanden wist, hoe kunt u er dan zeker van zijn dat die data echt weg is en niet meer teruggehaald kan worden? Niet, zo blijkt, tenzij u eroverheen gaat met een veilig-wisprogramma. Veel bedrijven zijn zich daar onvoldoende van bewust, wat aanleiding kan geven tot allerlei privacy- en veiligheidsproblemen, vooral dan bij het afdanken van oude hardware. Zelfs als de schijf fysiek is beschadigd (bijvoorbeeld door ze te laten vallen of er op te hameren) is het terughalen van gegevens niet onmogelijk.
...

Privégegevens moeten ook echt privé blijven. Als u een oude harde schijf weggooit of bestanden wist, hoe kunt u er dan zeker van zijn dat die data echt weg is en niet meer teruggehaald kan worden? Niet, zo blijkt, tenzij u eroverheen gaat met een veilig-wisprogramma. Veel bedrijven zijn zich daar onvoldoende van bewust, wat aanleiding kan geven tot allerlei privacy- en veiligheidsproblemen, vooral dan bij het afdanken van oude hardware. Zelfs als de schijf fysiek is beschadigd (bijvoorbeeld door ze te laten vallen of er op te hameren) is het terughalen van gegevens niet onmogelijk. Bij alle populaire besturingssystemen wordt data op dezelfde wijze gewist. De bestanden zelf blijven onaangeroerd. Alleen de administratieve verwijzingen worden gewist of aangepast om aan te geven dat de door de data bezette opslagruimte vrij is en opnieuw gebruikt kan worden. Er bestaat een goede reden voor deze wismethode: snelheid. Deze niet-veilige methode van data wissen door alleen de administratieve informatie die ernaar wijst aan te passen, blijkt ook een ander voordeel te bieden, al was dat oorspronkelijk zo niet bedoeld. Want nu kunnen we die data ook proberen te recupereren, mocht het wissen een vergissing blijken. Daarom dienen zogenaamde undelete-programma's. En dat brengt dan meteen een beveiligingsnadeel aan het licht: als de data gerecupereerd kan worden in geval van een vergissing, dan kan dat ook als er geen sprake is van een vergissing, maar als iemand met minder goede intenties die zogenaamd gewiste data zou willen inkijken. Om computergegevens echt veilig te wissen, moeten we dus alle bytes overschrijven. Gewoon alle bytes vervangen door een nul- of andere waarde blijkt echter ook niet honderd procent veilig te zijn. Met gespecialiseerde apparatuur en software kan ook dat nog steeds teruggehaald worden, al is het natuurlijk niet weggelegd voor de huis-, tuin- en keukenhackers. Maar denk niet dat alleen politie- en veiligheidsdiensten beschikking hebben over deze geavanceerde tools. Op het internet zijn er op dat gebied ook voor de gewone hacker of spion immers heel wat krachtige tools te vinden. Volgens het Amerikaanse Ministerie van Defensie (DoD) moet een magnetisch me- dium maar liefst zeven keer met afwisselende bitpatronen overschreven worden om er zeker van te zijn dat de gegevens onleesbaar zijn. Gegevens veilig wissen volgens de DoD-normen neemt tot 17,5 minuten per gigabyte in beslag! De DoD-normen zijn misschien aangewezen voor het veilig wissen van militaire of politionele gegevens, maar voor het wissen van courante privé- of bedrijfsgegevens zijn ze niet echt praktisch. Volgens specialisten volstaat één keer veilig wissen, omdat de harde schijven die na 2001 gefabriceerd zijn zoveel sporen per vierkante inch hebben dat niemand op aarde uit het restmagnetisme nog data kan terughalen. Internationaal worden een aantal gerespecteerde en goed gedocumenteerde standaarden erkend voor veilig wissen. We hebben het dan over de algoritmes van de beveiligingsexperts Bruce Schneier (1995) en Peter Gutmann (1996), over de DoD 5220.22-M E- en ECE-normen (2006), over US Navy NAVSO P-5239-26 (1993), US Air Force System Security Instructions 5020 (1996), NSA/CSS SDDM (2007), de Britse CESG HMG Infosec Standard 5 (IS5, 2007), de Duitse BSI-TL 03423 standaard (2009) en vele andere. Niet alle software ondersteunt al deze algoritmes en standaarden, maar een serieus programma moet er toch minstens enkele van kennen om in een bedrijfsomgeving te kunnen worden ingezet. Veilig wissen kan op twee manieren: binnen het gebruikte besturingssysteem of daarbuiten. Het verschil zit hem in wat er veilig gewist kan worden. Binnen het besturingssysteem betekent gewoonlijk dat rechtstreekse toegang tot de startschijf niet mogelijk is. Maar de software kan wel de vrije ruimte van de startschijf veilig wissen. Dat kan ook voor aangesloten schijven. Eventueel kan deze actie zelfs via het taakbeheer worden geautomatiseerd, zodat de vrije ruimte nooit sporen van oude bestanden bevat. Verder kunnen individuele bestanden manueel veilig worden verwijderd. Een veilig-wisprogramma buiten het besturingssysteem dient meestal om volledige schijven te wissen, eventueel in batchverwerking als er bijvoorbeeld veel computers moeten worden afgedankt. Dat beperkt zich dus niet tot alleen tot de vrije ruimte. Op sommige computers zijn speciale delen van de schijf beschermd tegen softwarematige manipulatie. Om ook de gegevens daarop te wissen, dient de veilig-wissensoftware het leegmaken van de 'host protected area (hpa) en/of de 'device configuration overlay' (dco) te ondersteunen. Meestal moet u dan wel bepaalde opties in het bios veranderen om dit mogelijk te maken. Dient u erg veel computers of externe opslagsystemen af te danken, dan kan dat ook met gespecialiseerde hardware. Kroll Ontrack heeft bijvoorbeeld een soort 'wasmachine' waarin magnetische media onherroepelijk kunnen worden gewist door ze bloot te stellen aan een krachtig magnetisch veld. Maar deze Kroll Ontrack Data Eraser Degausser valt buiten het bestek van dit artikel. Het veilig wissen van enterprise-opslagsystemen (raid, san) behandelen we hier evenmin. Ook daarvoor bestaat er gespecialiseerde hard- en software. Hoewel een van de hier besproken programma's, Blancco Erasure, wel ssd's kan wissen, waarschuwt de handleiding dat 'oem-implementaties van ssd-wisprocedures incompleet kunnen zijn'. Omdat de software niet kan controleren of de firmware van de te wissen c uitgerust is met de juiste opdrachten, is er dus geen garantie dat de gegevens effectief niet meer terug te halen zijn. De reden voor die ietwat cryptische boodschap kon u enkele weken geleden in dit blad lezen in onze test van ssd's. Om te recapituleren: alleen sommige ssd's hebben 'secure erase' procedures in hun firmware ingebouwd. Dat is nodig omdat op een flashgeheugen eigenlijk nooit echt iets wordt gewist; ruimte die overschreven mag worden, geeft de firmware gewoon vrij. In theorie blijft de bestaande informatie dus altijd leesbaar, totdat alle flashcellen met data gevuld zijn en het systeem van voor af aan begint. Kies daarom in een bedrijfsomgeving bij voorkeur enterprise-modellen met ingebouwde encryptie. De encryptiesleutel opnieuw genereren volstaat dan om de inhoud van de ssd veilig te wissen. In dat geval hebt u uiteraard de hier besproken software niet nodig. Bij flashgeheugens (usb-sticks, geheugenkaarten, smartphone-geheugens, geheugens van digitale camera's en mp3-spelers) bestaat in essentie hetzelfde probleem als bij ssd's: veilig wissen door gegevens meerdere keren te overschrijven creëert eigenlijk x-aantal kopieën. Er is dus geen garantie dat de originele gegevens effectief onleesbaar worden. Om deze te wissen worden andere technieken gebruikt. Zo worden volledige geheugenblokken overschreven. Ook probeert de software het aantal schrijfoperaties zoveel mogelijk te beperken, om de levensduur van de flashdrive niet nodeloos te verkorten. Wilt u dus flashgeheugens veilig wissen, kijk dan na of de gebruikte software ze ook effectief ondersteunt. Blancco heeft bijvoorbeeld speciale wissoftware voor verwisselbare flashgeheugens. Overigens kunt u met deze software wel degelijk ook externe ssd's zonder ingebouwde encryptie of veiligwisalgoritme veilig wissen. Maar met de gewone software voor magnetische media gaat dit dus niet. We hebben de snelheid van de wissoftware gemeten op een Dell Vostro 3500 laptop. Het wissen van een volledige schijf hebben we getest op een externe Transcend usb 2.0-schijf van 232 GB die geformatteerd was in fat32. Door middel van imagesoftware plaatsten we telkens opnieuw dezelfde data op deze schijf. Het wissen van een individueel bestand hebben we onder Windows 7 getest op de interne schijf van de laptop met behulp van een videobestand van 4,5 GB. Als methode kozen we HMG InfoSec 5 Baseline (1x overschrijven met een willekeurig datamasker). We probeerden de gegevens terug te halen met de forensische tools van de open source beveiligingstoolkit Matriux Krypton 1.2. De Finse firma Blancco is gespecialiseerd in gecertificeerde dataverwijdering voor alle denkbare platformen en hardware. Wij testten de Erasure PC Edition en de File Shredder PC Edition. De eerste oplossing wist volledige schijven, de tweede individuele bestanden. Erasure is een Linux-programma en wordt geleverd als een iso-image waarmee u een startbare cd of usb-stick kunt creëren. Maar u kunt de image ook starten vanuit de centrale Blancco Management Console of via PXE vanaf een netwerkserver. Wij zetten de image op een usb-stick met behulp van Blancco USB Creator, een hulpprogramma waarmee u erg eenvoudig en snel een startbare usb-stick aanmaakt. Er bestaan twee versies van de iso: een die start met een volledige hardwarecontrole van de computer en een die direct het wisprogramma start. De eerste is bedoeld voor bedrijven die een auditlog van het leeggemaakte systeem wensen. De software maakt immers dergelijke log aan, met certificatie dat het systeem werkt en veilig leeggemaakt is. Die informatie kan van pas komen als u het systeem wil verkopen, of het kan voor sommige organisaties zelfs een wettelijke verplichting zijn. Het is zelfs mogelijk om het rapport op de gewiste schijf te plaatsen, zodat het wordt getoond wanneer die wordt gestart. U kunt kiezen uit alle denkbare algoritmes, maar mag ook uw eigen wismethode kiezen. Optioneel kunt ook een volledige verificatie uitvoeren om zeker te zijn dat alle informatie is verwijderd. Al die gegevens kan men wegschrijven in het optionele auditrapport. Blancco wiste onze testschijf in 2,5 uur. Blancco File Shredder is in feite een herverpakte versie van een identiek programma van de Zweedse fabrikant SafeIT Security dat Digital Document Shredder heet. Het is niet beschikbaar in het Nederlands, maar u kunt wel een Duitse of Franse interface kiezen. Het programma ondersteunt verschillende wisalgoritmes, maar het is niet mogelijk uw eigen methode te creëren. Dat is ook niet nodig, want alle belangrijke methodes zitten erin. Veilig wissen is mogelijk voor individuele bestanden, folders, de prullenbak (recycle bin), ongebruikte informatie die achtergelaten is door systeembestanden of alle vrije ruimte op de harde schijf. Het is ook mogelijk rechts te klikken op een bestand en dat dan te 'shredden'. Verder plaatst het programma een rode prullenbak op de desktop waarmee u bestanden via klik-en-sleep kunt wissen. Het programma wist optioneel de oude versies die Windows automatisch lokaal bijhoudt in sommige configuraties. Daarvoor is administratieve toegang tot de schijf nodig. Het wissen van ons testbestand duurde 1,31 minuten. Het wissen van de vorige versies duurde heel wat langer: 24,19 minuten. Na afloop kregen we een gedetailleerde log van het hele proces. Ook dit log kunt u desgewenst automatisch 'shredden' wanneer u File Shredder afsluit. Het uit Ierland afkomstige Eraser is een gratis Windows-programma met open broncode onder een gpl-licentie. Eraser kan gebruikt worden in het Nederlands, maar heeft geen Franse of Duitse interface. Het werkt met eender welke drive of opslagmedium dat door Windows herkend wordt. Allerlei veilige wismethodes zitten ingebouwd in Erasure, maar op de website worden ze eigenaardig genoeg niet vermeld. Dat kan voor sommige bedrijven aanleiding zijn om er vanaf te zien dit programma te proberen. En dat zou toch wel onterecht zijn. In de software kunt u wel degelijk alle gekende wisalgoritmes kiezen, zowel voor het veilig wissen van bestanden, folders en prullenbak als voor het veilig wissen van ongebruikte of vrijgekomen schijfruimte. Ook kunt u uw eigen algoritme opgeven en op die manier een eventueel niet ondersteunde standaard alsnog implementeren. Daarnaast heeft Eraser een aanpasbaar takenbeheer aan boord waarmee u veilige-wisopdrachten kunt automatiseren. Er is ook een contextmenu in de Windows Verkenner, waarbij u ervoor kunt kiezen om een bestand te wissen tijdens de volgende systeemstart: ideaal om een 'bezet' bestand alsnog veilig te wissen. Eraser wiste ons testbestand in 1,05 minuten. Het wissen van de testschijf duurde 1 uur 57 minuten. Het Finse bedrijf Jetico heeft twee veilig-wisproducten, BCWipe dat binnen het besturingssysteem werkt en BCWipe Total WipeOut dat buiten het besturingssysteem werkt. De onderliggende software is dezelfde, maar Total WipeOut is bedoeld om volledige systemen te 'wipen' en is verkrijgbaar in een licentie voor 1 pc of een enterprise licentie voor een onbeperkt aantal systemen. Wij concentreren ons hier op de Windows-versie van BCWipe, waarvan de interface beschikbaar is in het Duits en Nederlands, maar niet in het Frans. Het programma is volledig geïntegreerd in Windows. U kunt bestanden, folders en vrije schijfruimte veilig wissen via Windows Explorer, de opdrachtlijn of via de BCWipe Task Manager. U kunt ook de optie 'transparant wiping' activeren. Dan verwijdert BCWipe automatisch op een veilige manier alle bestanden die u in Windows via de prullenbak of rechtstreeks wist. Met de Task Manager is het verder nog mogelijk om de Windows-geschiedenis veilig te wissen. Dit gebeurt met inbegrip van de geschiedenis van Internet Explorer, de directory records voor fat-schijven en de mtf-records op ntfs-schijven. U kunt een taak ook zo instellen dat ze wordt uitgevoerd bij het starten van Windows. BCWipe ondersteunt de belangrijkste wisalgoritmes, maar u kunt ook uw eigen methode programmeren. Optioneel kunt u een log aanmaken en als u dat wil kan u die voortdurend aanvullen. BCWipe kan desgewenst ook de Windows Restore functie uitschakelen zodat Windows geen veiligheidskopie van het gewiste bestand bijhoudt. BCWipe wiste het individuele testbestand in 2,08 minuten en de testschijf in 2 uur 4 seconden. Kroll Ontrack is gespecialiseerd in data recovery, computer forensics en datavernietiging. Voor het veilig wissen van grote hoeveelheden magnetische media verhuurt of verkoopt het bedrijf de in de inleiding van dit artikel genoemde KrollOntrack Eraser Degausser. Voor het veilig wissen van kleinere hoeveelheden magnetische schijven is er de Ontrack Eraser Software, kortweg OES. Dit programma kan op verschillende manieren gestart worden: installeerbaar Windows-programma, start-cd, usb-stick of over het netwerk via pxe. De eerste drie methodes zijn handig voor het wissen van één of een handvol schijven of pc's. De tweede methode is aangewezen als er een hele reeks computers of schijven gewist moet worden. Als server kan elke Windows-pc met XP of hoger en een netwerkkaart dienst doen. Wij gebruikten zelf een Lenovo ThinkCentre met een 3,4 GHz Intel Pentium4 en 2 GB werkgeheugen. Op deze pc dient de netwerkversie (OENS) geïnstalleerd te worden. Het cliëntprogramma OES dat de wisoperatie uitvoert, draait onder Linux, of het nu via pxe, via een individuele Windows-installatie of door middel van een startschijf wordt gebruikt. Op die manier kan het wisprogramma ook aan de beschermde hpa- en dco-gebieden van de schijf. OES is overigens beschermd tegen kopiëren door middel van een hasp-dongle. Daarom moet er altijd een actieve netwerkverbinding zijn, ook als u start vanaf cd of usb-stick. De gebruikte Linux ondersteunt geen draadloze netwerkkaarten, u moet het te wissen systeem dus met het netwerk verbinden via een Ethernet-kabel, zelfs als de beveiligingsdongle rechtstreeks op de te wissen pc steekt. Het programma leidt u door de verschillende wisstappen door middel van een gebruiksvriendelijke Engelstalige wizard. U kunt kiezen tussen tien verschillende wisalgoritmes, waaronder ook KrollOntrack's eigen methode, of zelf een wismethode definiëren. Het KrollOntrack-algoritme heeft veel gemeen met de ook beschikbare HMG InfoSec Standard 5 Low Level methode: eenmaal overschrijven met vaste gegevens. Het verschil tussen beide is dat de KrollOntrack-methode een 'quick verify' doet om te controleren dat de schijf effectief gewist is. De hmg-methode voert altijd een uitgebreide, tijdrovende verificatie uit. Na het wissen toont OES een auditlog die u desgewenst op een aangesloten schijf kunt bewaren. Ontrack Eraser had 2 uur en 34 minuten nodig om onze testschijf veilig te wissen. PC Suite Shredder Pro van het Duitse Markement GmbH is een Windows-programma voor het veilig wissen van individuele bestanden, folders, partities en harde schijven. Installatie is mogelijk in het Engels, Duits en Frans, maar niet in het Nederlands. Het programma kan het Windows-systeem wissen, een bestand of folder verwijderen, de lege ruimte wissen of een volledig schijf of partitie leegmaken. Er is geen contextmenu, noch een aparte prullenbak of een optie om de prullenbak veilig te ledigen. U moet gewoon alles wat u wil wissen toevoegen in de lijst die getoond wordt bij het kiezen van de betrokken optie. Ook de prullenbak kunt toevoegen aan die lijst. Dat werkt dus omslachtiger dan bijvoorbeeld bij Blancco File Shredder. Nadat u alles hebt toegevoegd, krijgt u de keuze tussen vijf methodes: 1x simple random, DoD 5220.22-M (3x), Schneider (7x), VSITR (7x) en Gutman (35x). Er wordt eenmaal om bevestiging gevraagd en daarna start de wisprocedure. Als u een volledige harde schijf of partitie probeert te wissen, is die waarschuwing strenger en moet u in het getoonde dialoogvenster het woord 'DELETE' typen. PC Shredder wiste de volledige testschijf in 3 uur en 22 minuten. Dat is redelijk traag. Positief is wel dat de job gepauzeerd kan worden. Het individuele testbestand verdween van onze schijf in 1,18 minuten. Het programma heeft echter geen optie om de vorige Windows-versie te wissen. Een auditrapport wordt evenmin getoond. Een volledige schijf veilig wissen is een proces dat lang duurt, zelfs als u de gegevens maar eenmaal met willekeurige data overschrijft. In onze test kweet het gratis Eraser zich het snelst van zijn taak, zowel voor het wissen van een volledige schijf als van een individueel bestand. Zijn auditering en centrale netwerkserver voor u van belang dan vindt u die bij de commerciële programma's Blancco en KrollOntrack. Alle geteste software is overigens echt veilig: we slaagden er nooit in de gewiste gegevens te herstellen.PRODUCTEN: BLANCCO ERASURE 4.1; BLANCCO FILE SHREDDER 2012PRODUCENT & LEVERANCIER: Blancco Ltd., Finland; www.blancco.com ADVIESPRIJS: File Shredder: 24,95 euro; Blancco Erasure: 19,95; Blancco Flash Media edition: 24,95; Blancco Server Edition: 69,95. SYSTEEMVEREISTEN: IBM-compatibele pc met Pentium-processor en startmedium (cd, usb, pxe). PRODUCT: ERASER 6.0.9 PRODUCENT & LEVERANCIER: Heidi Computers Ltd. eraser.heidi.ie ADVIESPRIJS: gratis SYSTEEMVEREISTEN: Windows XP SP3 of hoger; de nog steeds beschikbare versie 5.7 ondersteunt ook Windows 98 en hoger PRODUCT: BCWIPE 5.0PRODUCENT & LEVERANCIER: Jetico, USA; http://www.jetico.com ADVIESPRIJS: $39,95 (ééngebruikerslicentie, 21-dagen probeerversie beschikbaar); Total WipeOut voor 1 computer: $49,95. SYSTEEMVEREISTEN: Versies beschikbaar voor Windows XP en hoger, Unix/Linux/Solaris 1.9.8 en hoger en MacOS X 10.6 en hoger (deze laatste nog in bèta). PRODUCT: ONTRACK ERASER SOFTWARE (OES) EN ONTRACK ERASER NETWORK SOFTWARE (OENS) 3.12PRODUCENT & LEVERANCIER: Kroll Ontrack, www.krollontrack.be ADVIESPRIJS: 499 euro voor 50 wisoperaties; 899 euro voor 100 wisoperaties; andere prijzen op aanvraag. 29 % korting voor onderwijsinstellingen. SYSTEEMVEREISTEN: IBM-compatibele pc met Pentium-processor en startmedium (cd, usb, pxe). Windows 2000 of XP of hoger voor de netwerkversie of het installeerbare programma. Jozef Schildermans