12月2日,美国加州赛康比湖发生严重枪击案,造成14人死亡,22人受伤。近日,有报告指出,在案件发生时,嫌疑人Tashfeen Malik和Syed Farook丢弃了可能包含电子邮件和其他证据的电脑硬盘,上周FBI潜水员开始大范围搜寻赛康比湖。
尽管搜索已经结束,调查人员还没有证实硬盘是否被收回。但是,如果已经找到湖中的硬盘,数据取证专家说,如果只是泡水被打湿,数据很容易恢复,要彻底毁掉一块硬盘还需要有更有效的方法。
硬盘驱动器的工作原理几乎和电唱机一样,硬盘驱动器很像电唱机数据以1和0记录在铝、陶瓷或玻璃制成的盘片上,看起来就像CD。盘片固定于轴心上,由轴心控制它的旋转,磁头通过电流在盘片上读写数据。驱动器和其他电子元件控制着整个过程。
水可能会让电子产品短路,但也仅此而已。闪回(Flashback Data)数据恢复公司的副总裁Russell Chozick说:“无论他们是否沾过水,数据的还在盘片上,只要盘片没有变干后留下难清理的残渣,技术专家能够相对轻松地恢复数据”。
Chozick 说,如今的固态硬盘和闪存会更容易“溺死”,它们大多配有板载加密,也就是说设备的电路板必须解码存储芯片上的一切记录。然而,固态硬盘目前只占有1/3 PC 硬盘市场,因此传统的旋转驱动仍然是主要关注点。
那么,怎么样才能彻底消除硬盘上的数据?传说中的磁铁可以吗?IT专家告诉我们,将磁铁靠近硬盘不一定能有效地毁掉数据。Backblaze 的CEO Gleb Budman 解释说:首先要解决大部分硬盘用于保护盘片的钢制外壳,将磁力够强的磁铁,靠的离硬盘足够近,才可以毁掉数据,但是如果你想确保万无一失,撕碎盘片会更安全。
事实上,用螺丝刀和锤子可以在几分钟内轻松打开硬盘,使用蛮力是迅速毁掉硬盘的较佳方法。Chozick说:“笔记本硬盘驱动器使用的是玻璃盘片,如果你砸的够用力,玻璃会粉碎,并且没人可以将其恢复。”不过其实某些情况下,虽然恢复艰难,但并非不可能。比如,2012年桑迪加小学枪案发生后,调查者将 Adam Lanza 粉碎的硬盘恢复了,只是整个过程漫长而又耗费昂贵。
台式机的硬盘大多铝合金盘片,摧毁数据则更费事,一个巨大的划痕或者盘面上的裂缝通常可以防止硬盘初始化并阻碍数据恢复。但 Budman说,先进的取证实验室有可能读出破损盘片上的数据,他们没必要把硬盘拼接起来,他们可以查看盘片上的单独区块,专家们可以据此恢复足够多的0和1,读出数据。
在盘片钻孔并产生热量,可以很容易引起硬盘损害,“这可能会扭曲盘片本身,而且可能导致盘面其他部分都发生些微改变。而想令数据完全无效并不需要太大的改变,一点就足够了。”Budman说。
是不是还有更好的办法?他建议利用简单的化学反应:酸。酸会剥离盘面上的所有信息。
当然,也有不太暴力的方法, Windows 和 Mac OS X 有具有安全擦除硬盘数据的实用工具,可以用随机的0和1覆盖现有内容。Budman 建议新设备可以重复擦除2次,而老设备较好擦除7次,否则一些先进的取证实验室可以从覆盖内容上找出一些蛛丝马迹,但是覆盖了杂乱磁轨的硬盘仍然是个危险信号,在起诉案中,如果你的设备被质疑,结果却发现内容被覆盖了,那不就摆明了此地无银,至少陪审团知道了肯定会有所怀疑的。