Kringloopwinkels liggen er vol van,
maar tot op heden van dagen doen ze
er niets tegen,persoonsgegevens van burgers op electrische devices
worden gewoon in de winkel verkocht.

Johan

Interessante maar ook verontrustende informatie want als ik het goed begrijp betreft het niet alleen het flash memory gebruikt in deze 'smart' devices dat zelfs informatie prijsgeeft na een factory-reset.
SSD schijven zijn dan ook onderhevig aan hetzelfde manco want deze maken ook gebruik van de NAND storage.... Of zie ik iets over het hoofd?
Ik ben onvoldoende technisch onderlegd om er goed over te oordelen. Ik zie slechts een overeenkomst: Amazon's Echo / een willekeurige SSD (Flash) disk.

Bij managed NAND is er een controller die transparant logische blokken afbeeldt op fysiek geheugen, en om slijtage goed over de fysieke geheugenblokken te verspreiden ("wear-leveling") wordt die afbeelding van logische op fysieke blokken voortdurend aangepast, met als gevolg dat data die logisch overschreven is achterblijft in fysieke geheugenblokken. Normaal kan je die niet benaderen, maar via fysieke testcontacten op de NAND-IC's kan dat toch, zoals de onderzoekers beschrijven. Dat is bewerkelijk: de onderzoekers beschrijven hoe je het moederbord vastgesoldeerde IC's moet desolderen om erbij te kunnen en dat ze dat 20-30 minuten per Amazon Echo Dot-apparaat kostte. Ik weet niet hoe dat voor SSD's uitpakt.

Voor SSD's is er een oplossing voor het wissen van schijven. De ATA-specificatie kent een "secure erase"-opdracht, waarmee de schijfcontroller opdracht krijgt om alle data te wissen. De controller heeft toegang tot de fysieke geheugenblokken, en "secure erase" hoort die te wissen. Als je een SSD wilt leegmaken moet je dus die ATA "secure erase"-opdracht gebruiken. Daar bestaan hulpmiddelen voor, zoals het hdparm-commando in Linux.

Daarnaast kan het nooit kwaad om gevoelige data versleuteld op te slaan. Een laptop die gestolen wordt krijg je immers nooit op tijd gewist. Als de gegevens hoe dan ook niet te ontcijferen zijn voor degene die ze onbevoegd in handen krijgt dan zijn ze ook niet te ontcijferen op blokken die niet goed gewist zijn.

Klopt. In [1] legt Joseph Ashwood (met een patent [2] op wear leveling) uit waarom het overschrijven van een bestand op flash geheugen, om data daarin unrecoverable te maken, grotendeels zinloos is.

[1] https://www.metzdowd.com/pipermail/cryptography/2014-June/021952.html
[2] https://patents.google.com/patent/US8397011

De bekendste beveiliging tegen het achterhalen van gegevens uit "overschreven" bestanden is versleuteling, maar dat moet dan wel grondig gebeuren. Dat blijkt niet altijd het geval, zie [3]. En in [4] kun je lezen dat ook Bitlocker onvoldoende garanties biedt (o.a. doordat bij updates, die meerdere reboots vereisen, de sleutel naar verluidt onversleuteld op de "schijf" wordt opgeslagen).

[3] https://www.security.nl/posting/585786/Ernstige+lekken+in+zelfversleutelende+ssd-schijven+ontdekt
[4] https://diskcryptor.org/why-not-bitlocker/

@ Erik,

Dank voor de aanvulling.
Uit je eerste link blijkt dus dat de patenthouder van deze wijze van data optekening aangeeft dat een z.g. secure delete van Flash memory niet mogelijk is omdat het in wezen overeenkomt met een journaling file system zoals dat ook sinds jaar en dag wordt toegepast op HDD schijven, maar die kun je wel volledig overschrijven.

Je komt dan tot het volgende verbazingwekkende uitgangspunt:
De noodzaak tot veilig stallen van data met de opkomst van het flash geheugen is strijdig met de even grote noodzaak tot veilig stellen van diezelfde data. (privacy aspect)
Conclusie: Flash geheugen [2] is absoluut persoons- of bedrijfsgebonden en moet indien de daarop opgeslagen data gevoelig is/ligt m.b.t. privacy bij voorkeur door de gebruiker worden vernietigd met een industriele shredder [1] o.i.d.

[1] https://en.wikipedia.org/wiki/Industrial_shredder
[2] Als hardware module (USB stick, SSD etc.)

Nee, met een "secure erase" commando. Dat is daar voor.

Dat ontbreekt op veel IoT devices. En bij harddisks met op flash gebaseerd cache-geheugen heb je ook geen idee wat daar in achter kan blijven.

En zoals de onderzoekers Carlo Meijer en Bernard van Gastel van de Radboud Universiteit in [5] (draft, bron: [3]) en [6] (final) laten zien, is het nog maar de vraag hoe betrouwbaar "secure erase" is bij SSD's, want in een deel van de gevallen was de symmetrische encryptiesleutel opgeslagen in wear-leveled flash-geheugen. De kans bestaat dus dat de oude sleutel kan worden uitgelezen. Tenzij ik er overheen kijk, lijken de auteurs "secure erase" zelf niet te hebben onderzocht, maar de beschreven slordigheden geven een indruk van de kans dat dit wel goed gaat.

P.S. kent iemand een vergelijkbaar onderzoek naar de betrouwbaarheid van "secure erase" op SSD's?

[3] https://www.security.nl/posting/585786/Ernstige+lekken+in+zelfversleutelende+ssd-schijven+ontdekt
[5] https://www.ru.nl/publish/pages/909275/draft-paper_1.pdf
[6] https://www.ieee-security.org/TC/SP2019/papers/310.pdf

Zolang je niet zeker weet dat dit "wissen" betrouwbaar gebeurt voor een specifiek merk en type SSD met firmware versie X, is het een gok dat niemand die "gewiste" gegevens kan achterhalen. De kans dat iemand moeite doet om gegevens van de SSD van Jan-met-de-pet te achterhalen, lijkt mij klein, maar er zijn ook "interessantere" gebruikers.

Natuurlijk is er een verschil tussen gerecupereerde plaatjes van blote dames in zekere pose en databases met justitiële informatie, maar de impact kan mijns inziens even groot zijn- of worden voor de getroffenen.

Het wijd verspreide gebruik van Flash memory is algemeen bekend m.b.t. de devices waar het al of niet standaard in aanwezig is. Ik heb geen cijfers maar ik vermoed dat alleen nog in cloud backup service centra's HDD's nog algemeen goed zijn. Of is daarin ook al een verschuiving naar SSD's gaande?

Deze wijze van opslag is dus gemeengoed geworden. Niet alleen onder de Jan-met-de-pet gebruikers die hun laptop bijvoorbeeld bij Lidl kopen, of een refurbished appraat, ook het dure segment laptop's is tegenwoordig voorzien van SSD's.
Bureau computers op leeftijd krijgen daarnaast een tweede leven m.b.v. SSD's.

Wat ik vooral interessant vindt in deze 'case' is de vraag die men kan opwerpen: waarom de consument/professionele gebruiker dus moet twijfelen aan de zekerheid dat na een zogenoemde secure delete ook echt geen spoor meer over is van hun data 'stored in flash memory'

Is data opgeslagen in Flash geheugen an sich misschien niet volledig te verwijderen? is het inherent aan deze wijze van opslag dat dit moeilijk is te bewerkstelligen? En zo ja zit dit nog in een ontwikkelingstraject, of is hier sprake van een keiharde nooit op te heffen kwetsbaarheid?

De producenten moeten hier open boek spelen. Maar wie gaat hen daartoe dwingen?
Interessant is hier de eis zoals vastgelegd m.b.t. data opslag: Security techniques — Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management — Requirements and guidelines”: [1]

bladziide 5:

Het betreft dus geen papieren tijger. Let op het woord: 'implemented.'

De eis ligt er dus maar als er sprake is van overmacht door onwillige hardware, ja wat dan? Hoe verder?

[1] https://www.audit-academy.be/images/downloads/IS-ISO27701-2019V1.pdf

Bij grote bedrijven wordt meestal gewerkt met opslagsystemen met RAID 5 e.d. Voordeel van een systeem met meerdere disken is, dat de data verdeeld zit over al die disken.. Of net nu om HDDs of SSDs gaat, de data is versnipperd. Verkoop je de boel, dan verdeel je de disken op een andere manier over meerdere systemen en verkoop je die op verschillende momenten en/of aan verschillende partijen. De data is dan nagenoeg niet te herstellen, omdat die per definitie incompleet is.

Van kringloopwinkels verwacht ik dan ook nul expertise op dit gebied, kan je de medewerkers van die winkels niet echt de schuld van geven..... factory reset kunnen mensen zelf doen, en fabrikanten moeten zorgen dat een factory reset effectief is.

Waarschijnlijk wel, maar veel rappe/grote harddisks hebben flash-geheugen als write-cache. Volgens eerdergenoemd draft artikel hebben zelfs veel van de onderzochte SSD's een "SLC" write cache, vermoedelijk om de burst-schrijfsnelheid op te voeren (waarom deze info ontbreekt in het final artikel, dat sowieso wat ingekort lijkt, weet ik niet). De vraag is of er in dat cachegeheugen "sectors" worden opgeslagen vóór versleuteling of daarna, en vooral in eerste geval, of ook die cache op veilige wijze wordt gewist bij een "secure erase".

Natuurlijk kan dat door elk fysiek geadresseerde "sector" (kleinste adresseerbare blok, vaak een macht van 2 bytes groot zoals 512 of 4096) te wissen; uiteindelijk is wear-leveling niets anders dan een vertaling tussen een logisch- en een fysiek bloknummer. Maar dat gaat ten koste van de levensduur van de SSD (elke cel ondersteunt ca. 10.000 - 100.000 schrijfcycli) en kost veel tijd. De vraag is ook wat je met "beschadigde" blokken moet doen; ook die kunnen nog reproduceerbare informatie bevatten. T.o.v. harddisks hebben SSD's veel meer spare sectors speciaal voor dit doel, dus zeker iets om niet klakkeloos te negeren.

Afnemers moeten dat doen, gesteund door onderzoeksresultaten (die er helaas veel te weinig zijn).

Die normen beschrijven een risico-gedreven aanpak, maar de meeste mensen hebben, in dit geval, geen idee van de risico's die zij lopen; de kans lijkt klein dat een kwaadwillende de moeite gaat nemen om gegevens uit afgevoerde opslagmedia te achterhalen. Persoonlijk zou ik het zekere voor het onzekere nemen (bij vertrouwelijke en/of veel persoonsgegevens) door zoveel mogelijk fysiek te vernietigen.

Hoewel het beter is dan niets, denk ik niet dat een gaatje boren in af te voeren CD's/DVD's met vertrouwelijke informatie goed genoeg is (zie https://isc.sans.edu/forums/diary/DIY+CDDVD+Destruction/27572/ en follow-up https://isc.sans.edu/forums/diary/DIY+CDDVD+Destruction+Follow+Up/27602/), en dat geldt ook voor harddisks en SSD's. En, net als bij supply-chains, doe je er verstandig aan om het secure afvoeren van media niet aan de eerste de beste hobbyist (al dan niet met zelfgemaakt certificaat van vakbekwaamheid) over te laten.

Ik hoop niet dat jij security-officer bent en denkt dat er dan niks meer te halen valt van een enkele RAID5 schijf. Het is namelijk niet zo dat de bits uit elke op te slaan byte over meerdere schijven worden verdeeld. In plaats daarvan wordt gewerkt met stripes van (historisch) 32KB via 64KB-256KB (en in speciale gevallen mogelijk megabytes). Daar passen bijvoorbeeld zeer veel e-mails in. Als die data niet versleuteld is mag je er niet vanuit gaan dat een kwaadwillende geen data meer van een ex-RAID5 schijf kan recoveren (zelfs als die schijf defect is).

RAID is ontworpen voor beschikbaarheid, niet voor vertrouwelijkheid.