Umulig å slette data i avanserte mobiler

Flere verktøy, også gratis, kan hente fram slettede data på en avansert mobil. Men det finnes ingen løsning for sikker sletting.

1. sep. 2006 - 07:18

Det er en kjent sak at digitale data etterlater varige spor i alle lagringsmedier, og at det som regel er mulig å rekonstruere det som har vært overskrevet eller slettet på vanlig vis. Selskaper som Ibas og Pointsec tilbyr løsninger for å rekonstruere data, men ingen har løsninger for å slette data.

At behovet er der, er det ingen tvil om. Dagens PDA-er og avanserte mobiltelefoner har lagring tilsvarende det PC-er hadde for ti år siden, og avanserte mobile løsninger gjør at mange ansatte legger inn både bedriftsintern informasjon som kontaktlister, salgsdata og forretningsplaner, og privatinformasjon i form av lyd, bilder og meldinger, i tillegg til alle spor etter anrop med mer.

Mange bytter ut mobilen etter ett eller halvannet år, og de færreste tenker på at informasjonen på telefonen helst ikke burde kunne leses av uvedkommende.

Trust Digital, et forholdsvis ungt amerikansk selskap innen sikkerhetsløsninger for PDA-er og avanserte mobiltelefoner, sendte i forrige uke ut en pressemelding der de gjorde rede for et interessant eksperiment: De skulle teste ut nye applikasjoner for gjenvinning av informasjon, og kjøpte inn ti brukte mobiltelefoner på eBay.

En av disse mobilene var ubrukt. Fra de øvrige ni ekstraherte Trust Digital til sammen 27 000 helsider med informasjon. Det svarer til ark stablet fra gulv til tak i et alminnelig norsk kontor.

Dataene omfattet:

  • personlig bankinformasjon
  • personlig skatteinformasjon
  • bedriftsinterne salgsnotater
  • bedriftsinterne kundenotater
  • bedriftsinterne produktutviklingsplaner
  • kontaktlister
  • oversikter over anrop og websurfing
  • avtalelister
  • personlig korrespondanse
  • bedriftsintern korrespondanse
  • passord til IT-systemer
  • private opplysninger om medikamentbruk og helse
  • diverse annet materiale av privat eller bedriftsintern karakter

Det var ikke noe problem for Trust Digital å spore opp de opprinnelige eierne. De omfattet blant annet en tidligere ansatt i et børsnotert selskap innen sikkerhetsprogramvare og en juridisk rådgiver i et teknologiselskap med en årsomsetning på mange milliarder dollar.

Potensialet for misbruk av disse opplysningene er, ifølge Trust Digital, overveldende.

– Publikum må gjøres klar over dette faktum, understreker toppsjef Nick Magliato i Trust Digital i en pressemelding.

Å kjøpe brukte mobiltelefoner på eBay kan potensielt bli en av de enkleste metodene for industrispionasje.

Den eneste virkelige effektive løsningen for dette, er å kryptere alt som lagres på mobilen. Slike løsninger fås blant annet fra Pointsec. Det burde likevel være muligheter for effektivt å slette data på en mobiltelefon, slik at man trygt kan gi bort eller selge den gamle når man bytter til en ny.

– For oss i Ibas er kommer ikke undersøkelsen til Trust Digital som noen overraskelse, sier produktsjef Erik Nilssen. – Vi tar på oss mange oppdrag der utfordringen er å hente fram informasjon som er forsøkt slettet.

Noen mobiler har en egen funksjon som lar brukeren slette data. Nilssen advarer at denne slettingen er ufullstendig, og at det som regel ikke er vanskelig å gjenopprette data. Den overskriver ikke data, men nøyer seg med samme type sletting som når man sletter filer på en PC. Dataene blir ikke borte, bare henvisningen til dem i mobilens register.

For PC-er tilbyr Ibas utviskingsverktøy, der all data overskrives så mange ganger at rekonstruksjon er umulig.

– Noe slikt finnes ikke for mobiltelefoner. Vi ser, på sikt, at markedet for produkter og tjenester som visker ut data på mobiltelefoner har et stort potensial. Men dette markedet finnes ikke i dag. Bedrifter er ennå ikke klar over sikkerhetsrisikoen.

En ny variant av Palm Treo er blant de få i handelen i Norge med en reell slettefunksjon. Den krever at man holder ned tre taster på forsiden av apparatet, samtidig som man trykker inn en egen bitteliten knapp på baksiden. Ifølge Trust Digital, krever dette ofte flere enn bare to hender.

En mulighet for de andre er å bruke mobilens reformateringsfunksjon, fylle hele minnet med en stor pdf-fil, og så reformatere enda en gang.

– Da må du vite akkurat hvor stor filen skal være, og du må finne deg i at man ikke har tilgang til områder reservert intern håndtering.

Og mye av den følsomme informasjonen ligger nettopp i disse områdene.

Nilssen mener man burde kunne levere inn mobilen til datasletting, og få utlevert et sertifikat som garanterer at slettingen er gjennomført på en måte som gjør det umulig å rekonstruere tidligere lagrede data.

– Problemet er at programvare for dette ikke er utviklet ennå. Mens PC-er har en forholdsvis standard arkitektur, finnes det mange flere plattformer for mobiltelefoner, og hver av disse må løses for seg. Tendensen går mot standardisering, det vil gjøre det enklere.

Nilssen understreker:

– Vi ser markedspotensialet, men vi trenger større etterspørsel for å kunne realisere det.

Nilssen peker på at det er den samme utfordringen med USB-minnepinner.

– Det er på tide å få gehør for at alle lagringsmedier også skal ha løsninger som garanterer effektiv sletting av data.

Nilssen forteller ellers at Ibas ofte kjøper harddisker på eBay, for eksempel for å dekke behovet for reservedeler.

– Der gjør vi den samme erfaringen som Trust Digital gjorde med mobiltelefoner. Selv i dag opplever vi at brukte harddisker selges uten at det er gjennomført noen form for sletting, eller i beste fall, en sletting som ikke utgjør noen vesentlig hindring mot å rekonstruere data.

Frank Horntvedt, daglig leder i Pointsec Norge, bekrefter at den typiske problemstillingen i dag er å rekonstruere data, og at sletting er nær sagt umulig.

– Det skjer gjerne etter at telefon har gått i heng, og at man har måttet reformatere den for å få den i gang igjen. Da er det spørsmål om å hente igjen det som er slettet. Vi tester ut løsninger for dette. Inntrykket hittil er at det virker relativt lett å hente ut data, uavhengig av operativsystem på telefonen, sier Horntvedt til digi.no.

På Internett finnes det for øvrig gratis verktøy som hevder å kunne gjennomføre effektiv sletting av data på mobiltelefoner. Klikk her for en nærmere omtale, med lenker.

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.