Залишкова інформація
Залишкова інформація — інформація на запам'ятовуючому пристрої, що залишилася від формально видалених операційною системою даних. Інформація може залишитися через формальне видалення файлу або через фізичні властивості запам'ятовуючих пристроїв. Залишкова інформація може призвести до ненавмисного поширення конфіденційної інформації, якщо сховище даних опиниться поза зоною контролю (наприклад, буде викинуте зі сміттям або передана третій стороні).
В даний час, щоб уникнути появи залишкової інформації застосовується безліч методів. Залежно від ефективності і призначення вони поділяються на очищення і знищення. Конкретні методики використовують перезаписування, розмагнічування, шифрування і фізичне знищення.
Причини
Багато ОС, файлові менеджери та інше ПЗ надають можливість не видаляти файл негайно, а перемістити файл у кошик, щоб дозволити користувачеві легко виправити свою помилку.
Але навіть якщо можливість оборотного видалення явно не реалізована або користувач не застосовує її, більшість операційних систем, видаляючи файл, не видаляють вміст файлу безпосередньо, просто тому, що це вимагає менше операцій і в більшості випадків набагато швидше. Замість цього вони просто видаляють запис про файл із каталогу файлової системи. Вміст файлу — реальні дані — залишається на запам'ятовуючому пристрої. Дані існують до тих пір, поки ОС не використовує заново це простір для нових даних. У безлічі систем залишається багато системних метаданих для нескладного відновлення за допомогою широко доступних утиліт. Навіть якщо відновлення неможливе, дані, якщо не були перезаписані, можуть бути прочитані ПЗ, яке читає сектори диску безпосередньо. Програмно-технічна експертиза часто застосовує подібне.
Також, при форматуванні, перерозподілі або відновлення образу диску, системою не гарантується запис по всій поверхні, хоча диск і виглядає порожнім або, у разі відновлення образу, на ньому видно тільки файли, збережені в образі.
Нарешті, навіть якщо запам'ятовуючий пристрій перезаписується, фізичні особливості пристроїв роблять можливим відновлення інформації за допомогою лабораторного обладнання завдяки, наприклад, явища залишкової намагніченості.
Контрзаходи
Очищення
Очищення — видалення конфіденційної інформації з записуючих пристроїв таким чином, що гарантує, що дані не можуть бути відновлені за допомогою звичайних системних функцій або утиліт для відновлення файлів. Дані можуть залишатися доступними для відновлення, але не без спеціальних лабораторних методів.
Очищення, зазвичай, адміністративний захист від ненавмисного поширення даних усередині організації. Наприклад, перед повторним використанням дискети всередині організації, її вміст може бути очищено для запобігання ненавмисного поширення інформації наступному користувачеві.
Знищення
Знищення — видалення конфіденційної інформації з записуючого пристрою так, щоб дані не могли бути відновлені ніяким відомим способом. Видалення, залежно від конфіденційності даних, зазвичай відбувається перед виходом пристрою з-під нагляду, як наприклад, перед списанням обладнання або переміщенням його на комп'ютер з іншими вимогами щодо безпеки даних.
Методики
Перезапис
Поширена методика для запобігання залишкової інформації — перезапис пристрою новими даними. Через те, що такі методики можуть бути реалізовані цілком на програмній стороні і можуть бути використані на окремій частині пристрою, це популярна і недорога опція для багатьох додатків. Перезапис цілком підходящий метод очищення, якщо пристрій доступний для запису і не пошкоджено.
Найпростіша реалізація записує всюди одні і ті ж послідовності: найчастіше — серії нулів. Як мінімум, так запобігається отримання даних з пристрою за допомогою звичайних системних функцій.
Для протистояння більш складним методам відновлення, часто встановлені конкретні шаблони перезапису. Це можуть бути і узагальнені шаблони, призначені для усунення слідів, які можливо виявити. Наприклад, запис перемежованих шаблонів з одиниць і нулів, що повторюється може бути більш ефективним, ніж запис одних нулів. Часто задаються поєднання шаблонів.
Проблема з перезаписом у тому, що деякі частини диска можуть бути недоступні через знос обладнання або інших проблем. Програмна перезапис також може бути проблематичною в високозахищених середовищах, з суворим контролем за змішуванням даних, забезпечуваним програмним забезпеченням. Використання складних технологій зберігання також може зробити перезапис файлів неефективною.
Можливість відновлення перезаписаних даних
Пітер Гутман вивчав у середині 1990-х відновлення даних з формально перезаписаних пристроїв. Він припустив, що магнітний мікроскоп здатний витягти дані і розробив особливі послідовності для конкретних видів дисків, призначених для запобігання цьому.[1] Ці послідовності відомі як метод Гутмана.
Деніел Фінберг, економіст приватної організації National Bureau of Economic Research, заявив, що будь-яка можливість відновити перезаписані дані з сучасного жорсткого диска є «міською легендою».[2]
У листопаді 2007, Міністерство Оборони США визнала перезапис підходящим методом для очищення магнітних пристроїв, але не придатним для знищення даних. Тільки розмагнічування або фізичне знищення вважається придатним.[3]
З іншого боку, згідно «Special Publication 800-88» (2006 р.) Національного інституту стандартів і технологій (США) (с. 7): «Дослідження показали, що більшість сучасних пристроїв може бути очищено за один перезапис» і «для жорстких дисків ATA вироблених після 2001 р. (понад 15 GB) терміни очищення і знищення збігаються».[4]
Розмагнічування
Розмагнічування — видалення або ослаблення магнітного поля. Застосоване до магнітного носія, розмагнічування може знищити всі дані швидко і ефективно. Використовується прилад, так званий размагнічувач, призначений для знищення даних.
Дані вважаються надійно знищеними якщо використовується один з трьох методів: вплив на магнітний шар постійного магнітного поля, змінного магнітного поля або імпульсного магнітного поля. Для кожного типу магнітного носія регламентується напрям вектора магнітної індукції (або кількість імпульсів та їх спрямування), мінімальна тривалість впливу і мінімальне амплітудне значення поля. Стосовно до сучасних HDD потрібен вплив двома послідовними взаємно-перпендикулярними імпульсами тривалістю не менш 1мс кожен з амплітудним значенням не менш 1200кА/м - в кожній точці простору, займаного магнітним носієм.[джерело?]
Розмагнічування зазвичай виводить жорсткий диск з ладу, так як знищує низькорівневе форматування, вироблене під час виготовлення. Розмагнічені дискети, зазвичай, можуть бути переформатовані і використані заново. У результаті впливу імпульсного магнітного поля понад 500 кА/м на сучасний жорсткий диск також побічним явищем часто є вигорання елементів мікроелектроніки жорсткого диска і(або) пошкодження магнітних головок.
У високозахищених середовищах виконавець може бути зобов'язаний використовувати сертифікований размагнічувач. Наприклад, в уряді і оборонних відомствах США може бути приписано використовувати размагнічувач з «Списку допущених приладів» Агентства національної безпеки [5].
Шифрування
Шифрування даних перед записом може послабити загрозу залишкової інформації. Якщо шифрувальний ключ надійний і правильно контролюється (тобто, сам не є об'єктом залишкової інформації), то всі дані на пристрої можуть виявитися недоступними. Навіть якщо ключ зберігається на жорсткому диску, перезапис тільки самого ключа може бути простіше і швидше, ніж всього диска.
Шифрування може проводитися пофайлово або відразу всього диска. Тим не менш, якщо ключ зберігається, навіть тимчасово, на тій же системі, що і дані, він може бути об'єктом залишкової інформації і може бути прочитаний зловмисником. Дивись атака через холодн перезавантаження.
Фізичне знищення
Фізичне знищення сховища даних вважається самим надійним способом запобігання появи залишкової інформації, хоча і за найвищу ціну. Процес не тільки обтяжливий і займає багато часу, він також робить обладнання непрацездатним. Більш того, при сучасній високій щільності запису, навіть невеликий фрагмент пристрою може містити великий обсяг даних.
Окремі методики фізичного знищення включають:
- Фізичне руйнування пристрою на частини шляхом розмелювання, подрібнення і т. д.
- Спалення
- Фазовий перехід (тобто розчинення або сублімація цілого диска)
- Застосування корозійних реагентів, таких як кислоти, до записуючих поверхонь
- Для магнітних пристроїв, нагрівання вище точки Кюрі
Проблеми
Недоступні області пристроїв
В запам'ятовуючих пристроях можуть бути області, які стали недоступними для звичайних засобів. Наприклад, магнітні диски можуть розмітити нові bad-сектори, після того, як дані були записані, а касети вимагають проміжків між записами. Сучасні жорсткі диски часто роблять автоматичні переміщення незначних секторів записів, про які може навіть не знати ОС. Спроби запобігти залишковій інформації за допомогою перезаписування можуть провалитися, так як залишки даних можуть бути присутніми у формально недоступних областях.
Складні системи зберігання
Запам'ятовуючі пристрої, які застосовують різні витончені методи, які можуть призвести до неефективності перезаписування, особливо для застосування до окремих файлів.
Журнальовані файлові системи збільшують зв'язність даних, виконуючи запис, дублюючи інформацію, і застосовують семантику транзакцій. У таких системах залишки даних можуть знаходитися поза звичайним «місцезнаходженням» файлу.
Деякі файлові системи застосовують копіювання при записі або містять вбудовану систему керування версіями, які призначені для того, щоб ніколи не перезаписувати дані при записі у файл.
Такі технології як RAID і заходи запобігання фрагментації призводять до того, що дані файлу, записуються відразу в кілька місць: або навмисно (для стійкості до відмов), або як залишки даних.
Оптичні носії
Оптичні носії не магнітні і до них не застосовується розмагнічування. Неперезаписувані оптичні носії (CD-R, DVD-R і т. д.) також не можуть бути очищені шляхом перезаписування. Перезаписувані оптичні носії, такі як CD-RW і DVD-RW, можуть піддаватися перезаписуванню. Методики надійного знищення оптичних дисків включають: відшарування шару, що зберігає інформацію, подрібнення, руйнування електричною дугою (як при використанні мікрохвильової печі) і використання розчинника полікарбонату (наприклад, ацетон).
Дані у RAM
Залишкова інформація може спостерігатися в SRAM, яка зазвичай вважається непостійною (тобто вміст зтирається при вимиканні живлення). У дослідженнях, поява залишкової інформації іноді спостерігається навіть при кімнатній температурі.[6]
В іншому дослідженні виявлена залишкова інформація в DRAM, знову з часом загасання від секунд до хвилин при кімнатній температурі і «цілий тиждень без живлення при охолодженні рідким азотом». Автори дослідження змогли використовувати атаку через холодне перезавантаження для отримання ключа шифрування для декількох систем шифрування всього диска. Незважаючи на деяке згасання пам'яті, вони змогли використати надлишковості у формі зберігання, що виникають після перетворення ключів для ефективного використання, такі як в послідовності ключів. Автори рекомендують, залишаючи комп'ютер, вимикати його, а не залишати в «сплячому режимі». І, якщо використовуються системи на зразок Bitlocker, встановлювати PIN-код на завантаження.[7]
Стандарти
- Національний інститут стандартів і технологій (США) Special Publication 800-88: Guidelines for Media Sanitization (Рекомендації по знищенню даних)
- DoD 5220.22-M: National Industrial Security Program Operating Manual (NISPOM, Робоча Інструкція по Програмі Національної Промислової Безпеки)
- Останні редакції більше не містять посилань на конкретні методики знищення даних. Стандарти в цій області залишено на розсуд Cognizant Security Authority (Компетентного Фахівця з Безпеки).[8]
- Хоча в NISPOM не описується конкретних методик знищення даних, попередні редакції (1995 і 1997 років)[9] містили конкретні описи методик в таблиці DSS C&SM вставленою після секції 8-306.
- Defense Security Service (DSS, Оборонна Служба Безпеки) надає Clearing and Sanitization Matrix (C&SM, Керівництво по Очищенню та Знищенню) яке містить опис методик.
- В редакції за Листопад 2007 р. DSS C&SM, не можна перезаписати стало вважатися неприйнятним для знищення магнітних носіїв. Тільки розмагнічування (размагничивателем схваленим АНБ) або фізичне знищення вважається достатнім.
- NAVSO P5239-26
- AFSSI-5020
- AR380-19
- Канадська королівська кінна поліція G2-003: Secure Hard Drive Information Security and Destruction Guidelines (Керівництво по Усуненню та Знищенню Конфіденційної Інформації на Жорстких Дисках)[10]
- Рівні даних A/B/Confidential: потрійний перезапис з використанням RCMP DSX
- Рівні даних C/Secret/Top Secret: Фізичне знищення або розмагнічування
Див. також
- Програмно-технічна експертиза
- Криптографія
- Відновлення даних
- Шифрування
- Метод Гутманна
- Шреддер (пристрій)
- Фізичний захист інформації
- Безпека
- Занулення
- Алгоритми знищення інформації
- Вайп
Програмне забезпечення
- Darik's Boot and Nuke
- shred (входить в пакет GNU Coreutils)
Також існує безліч інших утиліт для різних операційних систем
Примітки
- Peter Gutmann (July 1996). Secure Deletion of Data from Magnetic and Solid-State Memory. Архів оригіналу за 9 грудня 2007. Процитовано 10 грудня 2007.
- Daniel Feenberg. Can Intelligence Agencies Recover Overwritten Data?. Архів оригіналу за 9 травня 2008. Процитовано 10 грудня 2007.
- DSS Clearing & Sanitization Matrix (PDF). DSS. 12 листопада 2007. Процитовано 25 листопада 2007.[недоступне посилання з травня 2019] (89 KB)
- Special Publication 800-88: Guidelines for Media Sanitization (PDF). NIST. September 2006. Архів оригіналу за 12 липня 2007. Процитовано 8 грудня 2007. (542 KB)
- Evaluated Products. NSA. Архів оригіналу за 3 жовтня 2006. Процитовано 10 грудня 2007.
- Sergei Skorobogatov (June 2002). Low temperature data remanence in static RAM. University of Cambridge, Computer Laboratory. Архів оригіналу за 21 квітня 2018. Процитовано 17 квітня 2018.
- J. Alex Halderman, et al. (February 2008). Lest We Remember: Cold Boot Attacks on Encryption Keys. Архів оригіналу за 4 вересня 2011. Процитовано 17 квітня 2018.
- Download NISPOM. DSS. Процитовано 25 листопада 2007.[недоступне посилання з квітня 2019]
- Obsolete NISPOM (PDF). January 1995; includes Change 1, July 31, 1997. Архів оригіналу за 13 грудня 2007. Процитовано 7 грудня 2007. with the DSS Clearing and Sanitization Matrix.
- Hard Drive Secure Information Removal and Destruction Guidelines (PDF). Royal Canadian Mounted Police. October 2003. Архів оригіналу за 1 жовтня 2004. Процитовано 17 квітня 2018.
Посилання
- A Guide to Understanding Data Remanence in Automated Information Systems. National Computer Security Center. September 1991. Процитовано 10 грудня 2007. (Rainbow Series «Forrest Green Book»)