Zbytkové informace

Zbytkové informace  – informace o úložném zařízení , zbývající z dat formálně odstraněných operačním systémem . Informace mohou zůstat kvůli formálnímu smazání souboru nebo kvůli fyzickým vlastnostem úložných zařízení. Zbytkové informace mohou vést k neúmyslnému šíření citlivých informací , pokud je úložiště dat mimo kontrolu (například vyhození do koše nebo předání třetí straně).

V současné době se používá mnoho metod, aby se zabránilo výskytu zbytkových informací. Podle účinnosti a účelu se dělí na čištění a ničení . Specifické techniky používají přepisování , demagnetizaci , šifrování a fyzické zničení .

Důvody

Mnoho operačních systémů , správců souborů a dalšího softwaru poskytuje možnost neodstranit soubor okamžitě, ale přesunout jej do koše , aby uživatel mohl snadno napravit svou chybu.

Ale i když funkce měkkého mazání není explicitně implementována nebo ji uživatel nepoužívá, většina operačních systémů při mazání souboru neodstraní obsah souboru přímo, jednoduše proto, že vyžaduje méně operací a nejčastěji rychleji. Místo toho jednoduše odstraní záznam souboru z adresáře souborového systému . Obsah souboru – skutečná data – zůstává na paměťovém zařízení. Data existují, dokud operační systém znovu nevyužije tento prostor pro nová data. Na mnoha systémech zbývá dostatek systémových metadat pro snadné obnovení pomocí široce dostupných nástrojů . I když obnovení není možné, data, pokud nejsou přepsána, lze číst pomocí softwaru, který čte sektory disku přímo. Software a technické znalosti často používají takový software.

Také při formátování , přerozdělování nebo obnově obrazu není zaručeno, že systém bude zapisovat přes celou plochu, ačkoli disk vypadá prázdný nebo v případě obnovy obrazu jsou na něm viditelné pouze soubory uložené v obrazu.

Konečně, i když je paměťové zařízení přepsáno, fyzické vlastnosti zařízení umožňují obnovit informace pomocí laboratorního vybavení, například kvůli fenoménu remanence.

Protiopatření

Očista

Čištění  – Odstranění důvěrných informací ze záznamových zařízení takovým způsobem, aby bylo zaručeno, že data nelze obnovit pomocí běžných systémových funkcí nebo nástrojů pro obnovu souborů. Data mohou zůstat dostupná pro obnovu, ale ne bez speciálních laboratorních metod. [jeden]

Čištění je obvykle administrativní ochrana proti neúmyslné distribuci dat v rámci organizace. Například před opětovným použitím diskety v organizaci může být její obsah dezinfikován, aby se zabránilo neúmyslné distribuci informací dalšímu uživateli.

Destrukce

Zničení  je odstranění důvěrných informací ze záznamového zařízení, takže data nelze obnovit žádnými známými prostředky. Smazání, v závislosti na citlivosti dat, se obvykle provádí před uvolněním zařízení z dohledu, například před vyřazením zařízení z provozu nebo jeho přesunem do počítače s různými požadavky na zabezpečení dat.

Techniky

Přepisování

Běžnou technikou prevence zbytkových informací je přepsání zařízení novými daty. Protože takové techniky mohou být implementovány zcela v softwaru a mohou být použity na samostatné části paměťového zařízení, jedná se o oblíbenou a nenákladnou možnost pro mnoho aplikací. Přepsání je naprosto přijatelný způsob čištění, pokud je zařízení zapisovatelné a nepoškozené.

Nejjednodušší implementace zapisuje všude stejné sekvence: nejčastěji řadu nul. Minimálně to zabrání načítání dat ze zařízení prostřednictvím běžných funkcí systému.

Aby se zabránilo složitějším metodám obnovy, jsou často předem nainstalovány specifické vzory přepisování. Mohou to být také zobecněné vzory navržené k odstranění sledovaných stop. Například opakované psaní střídavých vzorů jedniček a nul může být efektivnější než psaní všech nul. Často jsou specifikovány kombinace vzorů.

Problém s přepisováním je, že některé části disku mohou být nepřístupné kvůli opotřebení hardwaru nebo jiným problémům. Přepsání softwaru může být také problematické ve vysoce zabezpečených prostředích, kdy software poskytuje přísnou kontrolu míchání dat. Použití sofistikovaných technologií úložiště může také způsobit, že přepisování souborů bude neefektivní.

Možnost obnovy přepsaných dat

Peter Gutman studoval obnovu dat z formálně přepsaných zařízení v polovině 90. let. Předpokládal, že magnetický mikroskop by mohl extrahovat data a vyvinul specifické diskové sekvence navržené tak, aby tomu zabránily. [2] Tyto sekvence jsou známé jako Gutmannova metoda .

Daniel Finberg, ekonom ze soukromého Národního úřadu pro ekonomický výzkum , řekl, že jakákoliv možnost obnovení přepsaných dat z moderního pevného disku je „ městskou legendou “. [3]

V listopadu 2007 ministerstvo obrany USA považovalo přepsání za vhodné pro čištění magnetických zařízení, ale nevhodné pro mazání dat. Za vhodné se považuje pouze demagnetizace nebo fyzické zničení . [čtyři]

Na druhou stranu, podle „Special Publication 800-88“ (2006) Národního institutu pro standardy a technologie (USA) (str. 7): „Studie ukázaly, že většinu moderních zařízení lze vymazat jediným přepsáním“ a „pro pevné disky ATA vyrobené po roce 2001 (nad 15 GB) jsou termíny vymazání a skartování stejné. [jeden]

Demagnetizace

Demagnetizace  je odstranění nebo zeslabení magnetického pole. Při použití na magnetická média může demagnetizace rychle a efektivně zničit všechna data. Ke zničení dat se používá zařízení zvané demagnetizér.

Podle požadavků Ministerstva obrany Ruské federace z roku 2002 (ve znění z roku 2011) data jsou považována za bezpečně zničená, pokud se použije jedna ze tří metod: vystavení magnetické vrstvy konstantnímu magnetickému poli, střídavému magnetickému poli nebo pulznímu magnetickému poli. Pro každý typ magnetického nosiče je regulován směr vektoru magnetické indukce (resp. počet pulzů a jejich směry), minimální doba expozice a minimální hodnota amplitudy pole. U moderních pevných disků je vyžadován dopad dvou po sobě jdoucích vzájemně kolmých pulzů s trváním každého alespoň 1 ms, s hodnotou amplitudy alespoň 1200 kA/m, v každém bodě prostoru obsazeného magnetickým polem. dopravce.

Demagnetizace obvykle zakáže pevný disk , protože zničí nízkoúrovňové formátování provedené v době výroby. Demagnetizované diskety lze obvykle přeformátovat a znovu použít. V důsledku dopadu pulzního magnetického pole o síle více než 500 kA/m na moderní pevný disk je vedlejším efektem také vyhoření mikroelektronických prvků pevného disku a (nebo) poškození magnetických hlav.

Ve vysoce bezpečných prostředích může být od dodavatele požadováno, aby používal certifikovaný demagnetizér. Například vláda USA a ministerstva obrany mohou mít povinnost používat demagnetizér na seznamu schválených zařízení Národní bezpečnostní agentury [5] .

Šifrování

Šifrování dat před zápisem může zmírnit hrozbu zbytkových informací. Pokud je šifrovací klíč silný a správně kontrolovaný (to znamená, že sám o sobě není předmětem zbytkových informací), mohou být všechna data v zařízení neobnovitelná. I když je klíč uložen na pevném disku, přepsání pouze klíče může být jednodušší a rychlejší než přepsání celého disku.

Šifrování lze provádět soubor po souboru nebo celý disk najednou . Pokud je však klíč uložen, byť dočasně, ve stejném systému jako data, může být předmětem zbytkových informací a může být přečten útočníkem. Viz útok za studena .

Fyzické zničení

Fyzické zničení úložiště dat je považováno za nejspolehlivější způsob, jak zabránit zbytkovým informacím, i když za nejvyšší cenu. Tento proces je nejen časově náročný a těžkopádný, ale také činí zařízení nepoužitelným. Navíc při dnešních vysokých hustotách záznamu může i malý fragment zařízení obsahovat velké množství dat.

Mezi vybrané způsoby fyzického zničení patří:

Problémy

Nepřístupné oblasti zařízení

V úložných zařízeních mohou být oblasti, které se staly nepřístupnými pro běžné prostředky. Například magnetické disky mohou po zapsání dat označit nové „špatné“ sektory a kazety vyžadují mezery mezi zápisy. Moderní pevné disky často provádějí automatický přesun menších sektorů záznamů, o kterých OS nemusí ani vědět . Pokusy zabránit zbytkovým informacím přepsáním mohou selhat, protože zbytková data mohou být přítomna ve formálně nepřístupných oblastech.

Komplexní úložné systémy

Úložná zařízení, která používají různé sofistikované metody, mohou vést k neefektivitě přepisování , zejména při aplikaci na jednotlivé soubory.

Žurnálové souborové systémy zvyšují datovou konektivitu zápisem, duplikováním informací a aplikací transakční sémantiky . V takových systémech mohou být zbytky dat mimo normální "umístění" souboru.

Některé souborové systémy používají kopírování při zápisu nebo mají vestavěnou správu verzí navrženou tak, aby nikdy nepřepisovala data při zápisu do souboru.

Technologie jako RAID a opatření proti fragmentaci způsobují, že se data souborů zapisují do více míst najednou, buď záměrně (z důvodu odolnosti proti chybám ), nebo jako zbytková data.

Optická média

Optická média nejsou magnetická a nepodléhají demagnetizaci . Přepsáním nelze vymazat ani nepřepisovatelná optická média ( CD-R , DVD-R atd.). Přepisovatelná optická média, jako jsou CD-RW a DVD-RW , lze přepisovat . Techniky pro spolehlivé zničení optických disků zahrnují: odloupnutí vrstvy pro ukládání informací, skartaci, rozbití elektrickým obloukem (jako když se vloží do mikrovlnné trouby) a umístění do polykarbonátového rozpouštědla (jako je aceton).

Data v RAM

Zbytkové informace lze pozorovat v paměti SRAM , která je obecně považována za neperzistentní (tj. obsah je vymazán po vypnutí napájení). Při výzkumu je výskyt zbytkových informací někdy pozorován i při pokojové teplotě. [6]

Jiná studie nalezla v DRAM zbytkové informace , opět s dobou rozpadu sekund až minut při pokojové teplotě a „celý týden bez napájení při chlazení kapalným dusíkem“ [7] . Autoři studie dokázali pomocí útoku studeného spouštění získat šifrovací klíč pro několik celodiskových šifrovacích systémů . Navzdory určitému slábnutí paměti byly schopny využít redundanci ve formě úložiště, ke kterému dochází po transformaci klíčů pro efektivní využití, například při sekvenování klíčů . Autoři doporučují při odchodu od počítače jej vypnout a nenechávat jej v „ režimu spánku “. A pokud používáte systémy jako Bitlocker , nastavte spouštěcí PIN . [7]

Normy

  • National Institute of Standards and Technology (USA) Special Publication 800-88: Guidelines for Media Sanitization [1]
  • DoD 5220.22-M : Operační manuál Národního programu průmyslové bezpečnosti (NISPOM)
    • Nedávné revize již neobsahují odkazy na konkrétní techniky destrukce dat. Standardy v této oblasti jsou ponechány na uvážení Cognizant Security Authority (kompetentní bezpečnostní specialista). [osm]
    • Přestože NISPOM nepopisuje konkrétní techniky destrukce dat, předchozí revize (1995 a 1997) [9] obsahovaly konkrétní popisy technik v tabulce DSS C&SM vložené za oddíl 8-306.
    • Obranná bezpečnostní služba (DSS) poskytuje Clearing and Sanitization Matrix (C&SM), která popisuje techniky [4] .
    • Od revize DSS C&SM z listopadu 2007 je nyní přepis považován za nevhodný pro skartaci magnetických médií. Za dostatečné se považuje pouze demagnetizace (s demagnetizérem schváleným NSA) nebo fyzické zničení.
  • NAVSO P5239-26 [1]
  • AFSSI-5020
  • AR380-19
  • Královská kanadská jízdní policie G2-003: Pokyny k bezpečnému odstranění a zničení informací o pevném disku [10]
    • A/B/Důvěrné datové vrstvy: Trojité přepsání pomocí softwaru RCMP DSX
    • Úrovně dat C/Tajné/Přísně tajné: Fyzická destrukce nebo demagnetizace

Viz také

Software

  • Darikova bota a atomovka
  • shred (součástí balíčku GNU Coreutils )

Existuje také mnoho dalších utilit pro různé operační systémy.

Poznámky

  1. 1 2 3 Special Publication 800-88: Guidelines for Media Sanitization (PDF)  (odkaz není dostupný) . NIST (září 2006). Získáno 8. prosince 2007. Archivováno z originálu dne 12. července 2007. (542 kB)
  2. Petr Gutmann. Bezpečné vymazání dat z magnetické a polovodičové paměti (červenec 1996). Získáno 10. prosince 2007. Archivováno z originálu dne 18. března 2012.
  3. Daniel Feenberg. Mohou zpravodajské agentury obnovit přepsaná data? . Získáno 10. prosince 2007. Archivováno z originálu dne 18. března 2012.
  4. 1 2 DSS Clearing & Sanitization Matrix (PDF). DSS (12. 11. 2007). Staženo: 25. listopadu 2007.  (odkaz není dostupný) (89 KB)
  5. Hodnocené produkty (downlink) . NSA. Získáno 10. prosince 2007. Archivováno z originálu 3. října 2006. 
  6. Sergej Skorobogatov. Remanence dat při nízké teplotě ve statické paměti RAM . University of Cambridge, počítačová laboratoř (červen 2002). Získáno 19. září 2008. Archivováno z originálu 18. března 2012.
  7. 1 2 J. Alex Halderman a kol. Lest We Remember: Cold Boot Attacks na šifrovacích klíčích (odkaz není k dispozici) (únor 2008). Získáno 22. 5. 2016. Archivováno z originálu 4. 9. 2011. 
  8. Stáhněte si NISPOM . DSS . Staženo: 25. listopadu 2007.  (nepřístupný odkaz)
  9. Zastaralý NISPOM (PDF) (leden 1995; zahrnuje změnu 1, 31. července 1997). Získáno 7. prosince 2007. Archivováno z originálu 18. března 2012. s DSS Clearing and Sanitization Matrix .
  10. Pokyny pro bezpečné odstranění a zničení pevného disku (PDF)  (odkaz není k dispozici) . Královská kanadská jízdní policie (říjen 2003). Získáno 19. září 2008. Archivováno z originálu 1. října 2004.

Odkazy