Privata filer finns kvar när datorer säljs

Säkerhet

6/09 2016

v:* {behavior:url(#default#VML);} o:* {behavior:url(#default#VML);} w:* {behavior:url(#default#VML);} .shape {behavior:url(#default#VML);}

Normal 0 false false false false EN-US X-NONE X-NONE /* Style Definitions */ table.MsoNormalTable {mso-style-name:"Table Normal"; mso-tstyle-rowband-size:0; mso-tstyle-colband-size:0; mso-style-noshow:yes; mso-style-priority:99; mso-style-parent:""; mso-padding-alt:0cm 5.4pt 0cm 5.4pt; mso-para-margin-top:0cm; mso-para-margin-right:0cm; mso-para-margin-bottom:8.0pt; mso-para-margin-left:0cm; line-height:107%; mso-pagination:widow-orphan; font-size:11.0pt; font-family:"Calibri",sans-serif; mso-ascii-font-family:Calibri; mso-ascii-theme-font:minor-latin; mso-hansi-font-family:Calibri; mso-hansi-theme-font:minor-latin; mso-bidi-font-family:"Times New Roman"; mso-bidi-theme-font:minor-bidi;}

En bra artikel om gamla datorer och våra vänner på BitSec (saxar in den för enkelhetens skull)

http://www.dn.se/nyheter/privata-filer-finns-kvar-nar-datorer-saljs/

”Många tror att filen verkligen försvinner när man trycker på ’delete’, att den inte finns kvar eftersom man inte ser den”, säger Daniel Bonde, säkerhetschef på Inrego , som tillsammans med it-forensikern Calle Svensson kontrollerar begagnade datorer. ”Jag hade väntat mig att vi skulle hitta en del, men här fanns verkligen allt. Det var värre än jag trodde”, säger Calle Svensson. Foto: Fredrik Funck

Svenskar säljer begagnade datorer fulla med privat information. De ser ut att vara tömda, men foton, dokument och mejl kan enkelt återskapas. DN lät säkerhetsexperter undersöka 51 datorer som sålts i andra hand eller slängts på tippen. På 42 av dem kunde ägarens filer hittas.

 sedan lades en begagnad, bärbar dator ut till försäljning. Den var av märket Samsung och hade ett par år på nacken. Vid första anblicken såg hårddisken ut att vara helt tömd. Ett par timmars arbete visade något annat: 3 445 Word-dokument, över 5 000 bilder, säljarens bokföring, elektroniska kvitton och pornografiskt material. Sammanlagt kunde 302 695 filer läsas, trots att den skulle ha sålts ”ren”.

Säljaren är långt ifrån ensam. DN gav två säkerhetsföretag i uppdrag att köpa in ett 50-tal begagnade datorer från Blocket, Tradera och andrahandsbutiker. Ytterligare fem hade skrotats och togs från återvinningen. En it-forensisk expert gick sedan igenom hårddiskarna och undersökte vilka filer som kunde återskapas med enkla metoder.

Granskningen visar att de allra flesta inte var ordentligt tömda:

42 av de 51 datorerna innehöll spår från den tidigare ägaren. På 33 av dem fanns tillräckligt för att ägarens identitet skulle framgå.

34 av dem innehöll stora mängder information, minst 100 läsbara filer. På vissa hittades 100 000-tals.

9 datorer innehöll foton på kreditkort och/eller dokument där bankkontonummer fanns antecknade.

På 7 datorer kunde sparade lösenord hittas, bland annat till Facebook, Gmail och ett it-system på ett svenskt sjukhus.

Samtliga fem datorer som hade slängts på skroten innehöll läsbar information, som privata dokument, lösenord till trådlösa nät och Facebookkonton.

Bara 9 stycken var helt oläsliga, på grund av mer omsorgsfull radering av hårddiskar eller att innehållet var krypterat.

– Säljarna har inte varit helt okunniga. De flesta har gjort en systemåterställning och installerat om Windows. Andra har slängt sina filer och tömt papperskorgen. Därför är datorerna till synes tömda, säger Calle Svensson, it-forensiker på säkerhetsföretaget Bitsec som har gått igenom hårddiskarna.

– Jag hade väntat mig att vi skulle hitta en del, men här fanns verkligen allt. Varenda checkruta på min lista kunde kryssas i. Det var värre än jag trodde.

Läs mer: Knepen som hjälper dig att radera dina hemligheter – på riktigt

Inköpen genomfördes av Inrego, ett företag som tömmer, återanvänder och säljer vidare begagnade datorer från företag och myndigheter. Bolaget har även tömt hårddiskarna efter Bitsecs granskning.

DN har tagit del av en sammanställning av resultatet och detaljerade, men anonymiserade, forensiska rapporter från flera av de undersökta datorerna.

De återskapade filerna visar spår av så väl privat som yrkesmässig användning. Foton och dokument av personlig karaktär blandas med inloggningsuppgifter, lönelistor och annat som tydligt kommer från företag eller andra arbetsplatser.

Många tror att filen verkligen försvinner när man trycker på ”delete”, att den inte finns kvar eftersom man inte ser den.

 

En av datorerna kommer, enligt analysen, från en rektor i en kommun i norra Sverige. På den hittades information från skolan, exempelvis elevomdömen, och lösenord till kommunens it-system.

Datorn i fråga var en av dem som hade skrotats i stället för att säljas, men utan att hårddisken hade tömts på ett professionellt sätt.

Vissa av datorerna hade e-postprogram som lagrar brev lokalt på hårddisken, i stället för bara på en server som när man använder exempelvis Gmail. En sådan, en Macbook Pro, innehöll omkring 11 000 läsbara mejl som inte hade raderats ordentligt. Samma dator visade sig lagra tusentals Officedokument och fotografier.

– Folk är i regel dåliga på att hantera det här. Många tror att filen verkligen försvinner när man trycker på ”delete”, att den inte finns kvar eftersom man inte ser den, säger Daniel Bonde, säkerhetschef på Inrego.

Att informationen kunde återskapas, trots att datorerna framstod som tömda, beror på hur digital lagring fungerar. Förenklat kan det beskrivas så här: När en fil tas bort på vanligt sätt försvinner informationen egentligen inte från hårddisken. Utrymmet markeras bara som ledigt så det kan användas för nya filer.

Men innan det har använts kan filerna fortfarande hittas. Det är relativt enkelt och kan göras med program som laddas hem gratis eller köps för några hundralappar. En vanlig bärbar dators hårddisk tar ett par timmar att leta igenom.

För att datorn verkligen ska tömmas måste hårddisken skrivas över med ny information så att den gamla suddas ut. Det finns en rad verktyg för det, vissa följer med i vanliga operativsystem, andra kan skaffas separat.

Att kryptera sin hårddisk ger ett liknande resultat, eftersom de raderade filerna blir betydligt svårare, eller till och med omöjliga, att återskapa. Appledatorer krypterar sedan en tid hårddiskarna som standard. Windows gör det också möjligt att kryptera filerna.

Så gjordes granskningen

Företaget Inrego samlade, på DN:s uppdrag, på sig begagnade, bärbara datorer. De kom från Blocket, Tradera och andrahandsbutiker i Stockholmsområdet. Inköpen gjordes via en underleverantör.

Totalt 55 datorer införskaffades. Det var både Mac- och Windowsdatorer och både typiska privatmaskiner och sådana som ofta används av företag. Fyra startade inte eller hade trasig hårddisk, vilket gjorde att 51 återstod för granskningen.

Maskinerna lämnades över till säkerhetsföretaget Bitsec. Där utfördes en så kallad it-forensisk granskning, vilket liknar den som polisen utför på datorer och mobiler som beslagtas i brottsutredningar.

I de fall information kunde återskapas loggades det i rapporter med uppgifter om antal och typ av filer.

DN har tagit del av de forensiska rapporterna och en sammanställning av hela materialet, men inte enskilda dokument, mejl eller fotografier.

Efter granskningen raderades hårddiskarna noggrant av Inrego, för att sedan kunna säljas vidare. DN

3 datorer som läckte information


1. Rektorns lönelistor

HP-laptop med Windows XP.

Ingenting tycks vara ordentligt raderat, stora mängder information kunde läsas.

Tycks ha använts av en kommunanställd rektor.

Lösenord fanns till anslutning till kommunens it-system via vpn, som används för att upprätta säkra anslutningar till nätverk på arbetsplatser.

1 491 Worddokument, 70 Powerpointfiler, 313 Exceldokument och 144 pdf-filer kunde återskapas.

Lönelistor, larmlistor och minst 39 personnummer hittades.

2. Bilder på ägarens barn

HP-laptop med Windows 7.

Ett 50-tal Officedokument kunde återskapas.

Minst ett personnummer kunde identifieras i materialet. Ett cv hittades också.

3 764 bilder hittades. Bland dem fanns bilder på ägarens barn.

Sammanlagt kunde omkring 54 000 filer tas fram.

3. Information från banken

Apple Macbook Pro.

8 702 bilder kunde återskapas från hårddisken.

548 Officedokument hittades.

Bankinformation blandades med spår från illegal fildelning.

Två personnummer hittades.

På grund av Macens hantering av lösenord kunde en hel del information inte återskapas trots att den inte var raderad