15.5. Уничтожение информации

Иногда для предотвращения утечки информации часть данных должна быть уничтожена. Чаще всего это требуется в случаях, когда контейнер, хранящий секреты, должен попасть в чужие руки.

Однако людей, которые действительно заботятся о том, чтобы правильно уничтожать информацию, довольно мало.

Название врезки
В январе 2003 года была опубликована статья "Remembrance of Data Passed: A Study of Disk Sanitization Practices" ("Памяти ушедших данных: изучение приемов очистки жестких дисков"), в которой рассматривались вопросы уничтожения данных, хранившихся на жестких дисках.
Авторы статьи, студенты Массачусетского технологического института
(Massachusetts Institute of Technology, MIT) Симеон Л. Гарфинкел (Simson L.Garfinkel) и Аби Шелат (Abhi Shelat), приводят весьма печальные  результаты проведенных ими исследований.
В период с ноября 2000 года по август 2002 года они приобрели 158 жестких дисков, бывших в употреблении. 129 из них (примерно 82 %) оказались в работоспособном состоянии. И только 12 из них (9 %) были полностью очищены от информации (заполнены нулевыми секторами).
С очень многих дисков удалось восстановить массу интересной информации, такой как медицинские и финансовые данные, личная переписка и т. п. На двух дисках хранились 2868 и 3722 номеров кредитных карт соответственно. Один из этих дисков, предположительно, стоял в банкомате в Иллинойсе.
Файлы с части дисков были удалены средствами операционной системы. Такие файлы, чаще всего, могут быть легко восстановлены специальными программами.
Некоторые диски были отформатированы.  Но при обычном форматировании (например с помощью программы FORMAT) затираются только служебные области, хранящие информацию о расположении файлов на диске, а также имена и размер файлов в корневом каталоге. Но само содержимое файлов никак не уничтожается. Даже если с диска удаляется логический раздел, это не приводит к физическому затиранию файловых областей.

Беспечность проявляют и работники государственных учреждений разных стран. Так 30 января 2003 года Британское правительство на сайте www.number-10.gov.uk опубликовало документ "Iraq — Its Infrastructure Of Concealment, Deception And Intimidation" ("Ирак — инфраструктура утаивания, обмана и устрашения"), который был представлен в формате Microsoft Word и вызвал несколько скандалов.

Было установлено, что большие фрагменты документа являются плагиатом и скопированы из статьи Ибрахима аль-Мараши (Ibrahim al-Marashi) без разрешения автора и даже без ссылки на него, но с сохранением синтаксических ошибок. Однако к вопросам уничтожения данных относилось другое открытие.

В документах Word сохраняется информация о том, кто и когда этот документ редактировал. Так по содержимому документа легко выяснить, кто именно участвовал в его подготовке, и эта информация стала общедоступной, чего не должно было произойти.

Теперь Британское правительство публикует подобные документы в формате PDF, который не предусматривает сохранения информации об авторах вносимых изменений. Но и при использовании формата PDF возможны накладки.

Письмо "Вашингтонского снайпера"
В октябре 2002 года в Вашингтоне и окрестностях действовал снайпер, убивавший людей без видимой причины. 24 октября был произведен арест двух подозреваемых, и убийства прекратились.
26 октября 2002 года газета "The Washington Post" выложила на своем сайте отсканированную копию письма "Вашингтонского снайпера", представленную в формате PDF. В письме, среди прочего, описывалась процедура, при помощи которой снайпер собирался получить 10 миллионов долларов. Правительство должно было перечислить деньги на счет платиновой карты Visa.
Письмо содержало все необходимые атрибуты счета и имя женщины, у которой была украдена карта. Также в нем фигурировало 3 телефонных номера. "The Washington Post" отретушировала PDF-документ, скрыв персональную информацию от публичного распространения. В результате, вместо некоторых фрагментов текста появились черные прямоугольники.
Однако метод уничтожения  информации был выбран неверно. При  выводе на печать все выглядело именно так, как и было задумано: прямоугольники на месте текста. Но даже при отображении на экран в программе Acrobat Reader (особенно на медленных компьютерах) можно было заметить, что сначала появляется текст, а затем поверх него прорисовываются черные заплатки. То есть персональная информация оказалась просто прикрыта, но не уничтожена.
Действительно, прямоугольники, перекрывающие изображение, легко удалить при помощи инструмента TouchUp Object Tool, входящего в коммерческую программу Adobe Acrobat. И полный текст письма "Вашингтонского снайпера" чуть ли не в тот же день можно было найти в Интернете.

Письмо "Вашингтонского снайпера" оказалось не первым случаем, когда журналисты раскрывали чужие секреты, не позаботившись об их правильном уничтожении. Так в середине апреля 2000 года на сайте NYTimes.com, принадлежащем одноименной газете, появилась публикация "Secrets of History: The C.I.A. in Iran" ("Секреты истории: ЦРУ в Иране"), в рамках которой было выложено несколько документов, ранее считавшихся секретными. Документы были отсканированы и сохранены в формате PDF. Публикация вызвала интерес, и в середине июня "The New York Times" выложила в Интернет еще несколько документов в вице PDF-файлов.

Чтобы не подвергать опасности людей, чьи имена упоминались в документах, некоторые фрагменты оказались закрыты черными прямоугольниками. Но заплатки оказались просто наложены поверх текста и могли быть очень легко удалены. Таким образом, "The New York Times" невольно раскрыла имена нескольких агентов ЦРУ.

Однако, похоже, мало кто учится на чужих ошибках. В конце октября 2003 года в Интернете был опубликован отчет министерства юстиции США под названием "Support for the Department in Conducting an Analysis of Diversity in the Attorney Workforce" ("Помощь министерству в проведении анализа различных работников прокуратуры"). Однако ключевые фрагменты отчета, включая все выводы и рекомендации, были вымараны перед публикацией — правке подверглось более половины страниц.

Но, несмотря на то, что еще в ноябре 2002 года министерство юстиции приобрело корпоративную лицензию на программу Appligent Redax 3.0, предназначенную для полного удаления информации из PDF-документов, Redax не был использован и все фрагменты, скрытые в упомянутом выше отчете, можно без труда восстановить.

Как видно из приведенных примеров, далеко не у всех есть под рукой инструменты, позволяющие качественно выполнять уничтожение информации, а те, кому инструменты доступны, не всегда заботятся об их применении. И происходит это, скорее всего, от элементарного непонимания важности правильного уничтожения данных.