Остаточная информация - Data remanence

Остаточная информация остаточное представление цифровые данные это остается даже после попыток удалить или стереть данные. Этот остаток может возникнуть в результате того, что данные остались нетронутыми номинальным удаление файла операции, путем переформатирования носителя, при котором не удаляются данные, ранее записанные на носитель, или через физические свойства носителя медиа хранилище которые позволяют восстановить ранее записанные данные. Сохранение данных может привести к непреднамеренному раскрытию конфиденциальная информация возможно, если носитель будет выпущен в неконтролируемую среду (например, выброшены в корзину или потеряны).

Были разработаны различные методы противодействия остаточным данным. Эти методы классифицируются как очистка, очистка / дезинфекция, или же разрушение. Конкретные методы включают перезапись, размагничивание, шифрование, и разрушение СМИ.

Эффективное применение контрмер может быть осложнено несколькими факторами, в том числе недоступными носителями, носителями, которые невозможно эффективно стереть, передовыми системами хранения, которые поддерживают историю данных на протяжении всего жизненного цикла данных, и сохранением данных в памяти, которая обычно считается нестабильной.

Несколько стандарты существуют для безопасного удаления данных и устранения остаточных данных.

Причины

Много операционные системы, файловые менеджеры, и другое программное обеспечение предоставляет возможность, где файл не сразу удалено когда пользователь запрашивает это действие. Вместо этого файл перемещается в контролируемая территория, что позволяет пользователю легко исправить ошибку. Точно так же многие программные продукты автоматически создают резервные копии файлов, которые редактируются, чтобы позволить пользователю восстановить исходную версию или восстановиться после возможного сбоя (автосохранение особенность).

Даже когда явное средство хранения удаленного файла не предоставляется или когда пользователь не использует его, операционные системы фактически не удаляют содержимое файла при его удалении, если только они не знают, что требуются явные команды стирания, как на твердотельный накопитель. (В таких случаях операционная система выдаст Последовательный ATA ПОДРЕЗАТЬ команда или SCSI UNMAP, чтобы диск знал, что больше не хранит удаленные данные.) Вместо этого они просто удаляют запись файла из файловая система каталог, потому что это требует меньше работы и, следовательно, быстрее, а содержимое файла - фактические данные - остается на носитель информации. Данные останутся там до Операционная система повторно использует пространство для новых данных. В некоторых системах достаточно файловой системы метаданные также остаются позади, чтобы облегчить восстановление общедоступными служебное программное обеспечение. Даже если восстановление невозможно, данные, пока они не будут перезаписаны, могут быть прочитаны программным обеспечением, которое секторы диска напрямую. Компьютерная криминалистика часто использует такое ПО.

Так же, переформатирование, передел, или же переосмысление система вряд ли будет записывать в каждую область диска, хотя все это приведет к тому, что диск будет казаться пустым или, в случае повторного создания образа, пустым, за исключением файлов, присутствующих в образе, для большинства программ.

Наконец, даже когда носитель данных перезаписывается, физические свойства носителя могут позволить восстановить предыдущее содержимое. Однако в большинстве случаев это восстановление невозможно путем простого чтения с запоминающего устройства обычным способом, но требует использования лабораторных методов, таких как разборка устройства и прямой доступ / чтение из его компонентов.

В раздел по осложнениям дает дополнительные объяснения причин остаточной информации.

Контрмеры

Основная статья: Стирание данных

Обычно существует три уровня удаления остаточных данных:

Клиринг

Клиринг представляет собой удаление конфиденциальных данных с устройств хранения таким образом, чтобы была уверенность в том, что данные не могут быть восстановлены с помощью обычных системных функций или программных средств восстановления файлов / данных. Данные все еще можно восстановить, но не без специальных лабораторных методов.[1]

Клиринг обычно является административной защитой от случайного раскрытия информации внутри организации. Например, перед жесткий диск повторно используется в организации, его содержимое может быть очищено, чтобы предотвратить его случайное раскрытие следующему пользователю.

Очистка

Очистка или же дезинфекция это физическая перезапись конфиденциальных данных из системы или устройства хранения с намерением, что данные не могут быть восстановлены.[2] Очистка, пропорциональная чувствительности данных, обычно выполняется перед освобождением неконтролируемых носителей, например, перед тем, как выбросить старые носители или перенести носители на компьютер с другими требованиями безопасности.

Разрушение

Носители данных непригодны для использования с обычным оборудованием. Эффективность уничтожения СМИ зависит от средства и метода. В зависимости от плотности записи на носителе и / или метода уничтожения данные могут быть восстановлены лабораторными методами. И наоборот, уничтожение с использованием соответствующих методов является наиболее надежным методом предотвращения извлечения.

Конкретные методы

Перезапись

Обычный метод, используемый для противодействия остаточным данным, - это перезапись носителя новыми данными. Это часто называют протирание или же измельчение файл или диск, по аналогии с обычными методами уничтожение печатных СМИ, хотя механизм на них не похож. Поскольку такой метод часто можно реализовать в программного обеспечения в одиночку и может иметь возможность выборочно нацеливать только часть мультимедиа, это популярный и недорогой вариант для некоторых приложений. Как правило, перезапись является приемлемым методом очистки, если носитель доступен для записи и не поврежден.

Простейший метод перезаписи записывает везде одни и те же данные - часто просто набор всех нулей. Как минимум, это предотвратит получение данных простым повторным чтением с носителя с использованием стандартных системных функций.

В попытке противостоять более продвинутым методам восстановления данных часто предписываются определенные шаблоны перезаписи и множественные проходы. Это могут быть общие шаблоны, предназначенные для устранения любых сигнатур трассировки, например, семипроходный шаблон: 0xF6, 0x00, 0xFF, random, 0x00, 0xFF, random; иногда ошибочно относят к стандарту США DOD 5220.22-M.

Одна из проблем с перезаписью заключается в том, что некоторые области диска могут быть недоступный, из-за ухудшения качества носителя или других ошибок. Перезапись программного обеспечения также может быть проблематичной в средах с высоким уровнем безопасности, которые требуют более строгого контроля за объединением данных, чем может обеспечить используемое программное обеспечение. Использование передовые технологии хранения может также сделать файловую перезапись неэффективной (см. обсуждение ниже в Осложнения ).

Существуют специализированные машины и программное обеспечение, которые могут выполнять перезапись. Иногда программное обеспечение может быть отдельной операционной системой, специально разработанной для уничтожения данных. Существуют также машины, специально разработанные для очистки жестких дисков в соответствии со спецификациями Министерства обороны США DOD 5220.22-M.[нужна цитата ]

Возможность восстановления перезаписанных данных

Питер Гутманн исследовал восстановление данных с носителей с номинальной перезаписью в середине 1990-х. Он посоветовал магнитно-силовая микроскопия может быть в состоянии восстановить такие данные, и разработал определенные шаблоны для конкретных технологий привода, предназначенные для противодействия такому.[3] Эти закономерности стали известны как Метод Гутмана.

Даниэль Финберг, экономист частного Национальное бюро экономических исследований, утверждает, что вероятность восстановления перезаписанных данных с современного жесткого диска равна «городской легенде».[4] Он также указывает на "18 12-минутный разрыв " Роза Мэри Вудс создан на ленте Ричард Никсон обсуждение Взлом Уотергейта. Стертую информацию в промежутке не удалось восстановить, и Финберг утверждает, что это было бы легкой задачей по сравнению с восстановлением современного цифрового сигнала высокой плотности.

По состоянию на ноябрь 2007 г. Министерство обороны США считает перезапись приемлемой для очистки магнитных носителей в той же зоне / зоне безопасности, но не как метод очистки. Только размагничивание или же физическое разрушение приемлемо для последнего.[5]

С другой стороны, по данным 2014 г. NIST Специальная публикация 800-88 Ред. 1 (стр. 7): «Для устройств хранения, содержащих магнитный носителя, один проход перезаписи с фиксированным шаблоном, таким как двоичные нули, обычно препятствует восстановлению данных, даже если современные лабораторные методы применяются для попытки восстановить данные ».[6] Анализ Райта и др. Изучение методов восстановления, включая магнитно-силовую микроскопию, также приводит к выводу, что для современных приводов требуется всего лишь одно протирание. Они отмечают, что длительное время, необходимое для многократной очистки, «создало ситуацию, когда многие организации игнорируют проблему [в целом], что приводит к утечкам и потерям данных».[7]

Размагничивание

Размагничивание это удаление или уменьшение магнитного поля диска или накопителя с помощью устройства, называемого размагничивателем, которое было разработано для стираемых носителей. Применительно к магнитные носители, размагничивание может быстро и эффективно очистить весь медиа-элемент.

Размагничивание часто дает жесткие диски неработоспособен, так как стирает низкоуровневые форматирование это делается только на заводе во время производства. В некоторых случаях можно вернуть привод в рабочее состояние, отправив его на сервисное обслуживание у производителя. Однако некоторые современные устройства для размагничивания используют такой сильный магнитный импульс, что двигатель, который вращает пластины, может быть разрушен в процессе размагничивания, и обслуживание может быть нерентабельным. Разглаженная компьютерная лента, такая как DLT обычно можно переформатировать и повторно использовать на стандартном потребительском оборудовании.

В некоторых средах с высоким уровнем безопасности может потребоваться использовать размагничиватель, одобренный для выполнения этой задачи. Например, в нас правительственных и военных юрисдикций, от кого-то может потребоваться использовать дегауссер из АНБ "Список продуктов, прошедших оценку".[8]

Шифрование

Шифрование данные до того, как они будут сохранены на носителе, могут снизить опасения по поводу остаточного хранения данных. Если ключ дешифрования является надежным и тщательно контролируемым, он может сделать невозможным восстановление любых данных на носителе. Даже если ключ хранится на носителе, может оказаться проще или быстрее перезаписывать только ключ, а не весь диск. Этот процесс называется крипто-шрединг.

Шифрование может быть выполнено на файл за файлом основе, или на весь диск. Атаки холодной загрузки являются одним из немногих возможных методов подрыва шифрование всего диска метод, поскольку нет возможности сохранить простой текстовый ключ в незашифрованном разделе носителя. См. Раздел Осложнения: данные в ОЗУ для дальнейшего обсуждения.

Другой атаки по побочным каналам (Такие как клавиатурные шпионы, получение письменной записи, содержащей ключ дешифрования, или резиношланговый криптоанализ ) может дать больше шансов на успех, но не следует полагаться на слабые стороны используемого криптографического метода. Таким образом, их актуальность для данной статьи незначительна.

Уничтожение СМИ

Части физически разрушенного жесткого диска.

Тщательное разрушение основного носителя информации - самый верный способ противодействовать остаточным данным. Однако этот процесс обычно трудоемкий, громоздкий и может потребовать чрезвычайно тщательных методов, поскольку даже небольшой фрагмент носителя может содержать большие объемы данных.

Конкретные методы уничтожения включают:

Осложнения

Недоступные медиа-зоны

Носители информации могут иметь области, которые становятся недоступными для обычных средств. Например, магнитные диски может разрабатывать новые плохие сектора после того, как данные были записаны, а ленты требуют промежутков между записями. Современное жесткие диски часто включают перераспределение маргинальных секторов или дорожек, автоматизированное таким образом, чтобы Операционная система не нужно было бы с ним работать. Проблема особенно актуальна в твердотельные накопители (SSD), которые полагаются на относительно большие перемещенные таблицы плохих блоков. Попытки противодействовать остаточным данным с помощью перезапись могут не принести успеха в таких ситуациях, поскольку остатки данных могут сохраняться в таких номинально недоступных областях.

Продвинутые системы хранения

Системы хранения данных с более сложными функциями могут сделать перезаписывать неэффективно, особенно для отдельных файлов. Например, журнальные файловые системы повысить целостность данных за счет записи операций записи в нескольких местах и ​​применения сделка -подобная семантика; в таких системах остатки данных могут находиться в местах «за пределами» номинального места хранения файлов. Некоторые файловые системы также реализуют копирование при записи или встроенный контроль версий с намерением, чтобы запись в файл никогда не перезаписывала данные на месте. Кроме того, такие технологии, как RAID и антифрагментация методы могут привести к тому, что данные файла будут записаны в несколько мест, либо намеренно (для Отказоустойчивость ), или как остатки данных.

Выравнивание износа также может предотвратить стирание данных, перемещая блоки между моментом их первоначальной записи и временем их перезаписи. По этой причине некоторые протоколы безопасности, адаптированные для операционных систем или другого программного обеспечения с автоматическим выравниванием износа, рекомендуют провести очистку свободного места на данном диске, а затем скопировать множество небольших, легко идентифицируемых «ненужных» файлов или файлов, содержащих другие нечувствительные данные, для заполнения как большую часть этого диска, оставив только объем свободного пространства, необходимый для удовлетворительной работы системного оборудования и программного обеспечения. По мере роста требований к хранилищу и / или системе файлы «ненужных данных» могут быть удалены по мере необходимости, чтобы освободить место; даже если удаление файлов с «ненужными данными» небезопасно, их первоначальная нечувствительность сводит почти к нулю последствия восстановления данных, оставшихся от них.[нужна цитата ]

Оптические носители

В качестве оптические носители не магнитны, не стираются обычными размагничивание. Однократная запись оптические носители (CD-R, DVD-R и т. д.) также нельзя очистить перезаписью. Перезаписываемые оптические носители, такие как CD-RW и DVD-RW, может быть восприимчивым к перезапись. Способы успешной дезинфекции оптических дисков включают расслоение или шлифовку металлического слоя данных, измельчение, сжигание, деструктивное электрическое искрение (например, при воздействии микроволновой энергии) и погружение в поликарбонатный растворитель (например, ацетон).

Данные на твердотельных накопителях

Исследования Центра магнитной записи и исследований Калифорнийского университета в Сан-Диего выявили проблемы, связанные со стиранием данных, хранящихся на твердотельные накопители (SSD). Исследователи обнаружили три проблемы с файловым хранилищем на SSD:[9]

Во-первых, эффективны встроенные команды, но производители иногда неправильно их реализуют. Во-вторых, двойной перезаписи всего видимого адресного пространства SSD обычно, но не всегда, достаточно для дезинфекции диска. В-третьих, ни один из существующих методов очистки отдельных файлов, ориентированных на жесткие диски, не эффективен на SSD.[9](p1)

Твердотельные накопители, основанные на флеш-памяти, отличаются от жестких дисков двумя способами: во-первых, способом хранения данных; и, во-вторых, в способе использования алгоритмов для управления этими данными и доступа к ним. Эти различия можно использовать для восстановления ранее стертых данных. Твердотельные накопители поддерживают уровень косвенного обращения между логическими адресами, используемыми компьютерными системами для доступа к данным, и внутренними адресами, определяющими физическое хранилище. Этот уровень косвенного обращения скрывает своеобразные медиаинтерфейсы и увеличивает производительность, надежность и срок службы SSD (см. выравнивание износа ); но он также может создавать копии данных, которые невидимы для пользователя и которые может восстановить опытный злоумышленник. Было обнаружено, что для очистки целых дисков команды очистки, встроенные в оборудование SSD, эффективны при правильной реализации, и было обнаружено, что только программные методы очистки целых дисков работают в большинстве, но не во всех случаях.[9]:Раздел 5 При тестировании ни один из программных методов не оказался эффективным для очистки отдельных файлов. К ним относятся хорошо известные алгоритмы, такие как Метод Гутмана, США DoD 5220.22-M, RCMP TSSIT OPS-II, Schneier 7 Pass и Secure Empty Trash в Mac OS (функция, включенная в версии OS X 10.3-10.9).[9]:Раздел 5

В ПОДРЕЗАТЬ функция во многих устройствах SSD, если она реализована должным образом, в конечном итоге приведет к стиранию данных после их удаления[нужна цитата ], но процесс может занять некоторое время, обычно несколько минут. Многие старые операционные системы не поддерживают эту функцию, и не все комбинации дисков и операционных систем работают.[10]

Данные в RAM

Остаточная информация наблюдалась в статическая оперативная память (SRAM), который обычно считается нестабильным (т.е., содержимое ухудшается при отключении внешнего питания). В одном исследовании хранение данных наблюдалось даже при комнатной температуре.[11]

Остаточность данных также наблюдалась в динамическая память с произвольным доступом (ДРАМ). Современные микросхемы DRAM имеют встроенный модуль самообновления, так как им не только требуется источник питания для хранения данных, но также необходимо периодически обновлять их, чтобы содержимое данных не исчезло из-за конденсаторов в их интегральных схемах. Исследование показало, что данные в DRAM сохраняются в памяти от секунд до минут при комнатной температуре и «целую неделю без обновления при охлаждении жидким азотом».[12] Авторы исследования смогли использовать холодная атака восстановить криптографические ключи для нескольких популярных полное шифрование диска системы, включая Microsoft BitLocker, Яблоко FileVault, dm-crypt для Linux и TrueCrypt.[12](p12)

Несмотря на некоторую деградацию памяти, авторы описанного выше исследования смогли воспользоваться преимуществами избыточности в способе хранения ключей после того, как они были расширены для эффективного использования, например, в планирование ключей. Авторы рекомендуют выключать компьютеры, а не оставлять их в "спать «состояние, когда владелец не контролирует его физически. В некоторых случаях, например в определенных режимах программы BitLocker, авторы рекомендуют использовать пароль загрузки или ключ на съемном USB-устройстве.[12](p12) ТРЕЗОР это ядро пластырь для Linux специально предназначено для предотвращения атаки холодной загрузки в ОЗУ, гарантируя, что ключи шифрования недоступны для пользователя и не хранятся в ОЗУ. Новые версии программного обеспечения для шифрования дисков VeraCrypt может шифровать ключи и пароли в ОЗУ в 64-битной Windows.[13]

Стандарты

Австралия
  • ASD ISM 2014, Руководство по информационной безопасности правительства Австралии, 2014 [14]
Канада
Новая Зеландия
  • GCSB НЗИЗМ 2016, Руководство по информационной безопасности Новой Зеландии, версия 2.5, Июль 2016 [17]
  • NZSIS ПСМ 2009, Руководство по защитной безопасности
объединенное Королевство
Соединенные Штаты
  • NIST Специальная публикация 800-88, Рекомендации по дезинфекции СМИ, Сентябрь 2006 г. [1]
  • DoD 5220.22-M, Руководство по эксплуатации Национальной программы промышленной безопасности (НИСПОМ), февраль 2006 г. [19]
    • Текущие редакции больше не содержат ссылок на конкретные методы очистки. Стандарты санитарной обработки оставлены на усмотрение Cognizant Security Authority.[19]
    • Хотя сам текст НИСПОМ никогда не описывал каких-либо конкретных методов дезинфекции, предыдущие издания (1995 и 1997 гг.)[20] действительно содержал явные методы очистки в Службе безопасности обороны (DSS) Матрица очистки и санитарной обработки вставлен после Раздела 8-306. DSS по-прежнему предоставляет эту матрицу и продолжает определять методы.[5] В редакции матрицы за ноябрь 2007 г. перезапись больше не допускается для дезинфекции магнитных носителей. Только размагничивание (с одобренным агентом по безопасности США размагничивателем) или физическое уничтожение приемлемо.
  • Армия AR380-19, Безопасность информационных систем, Февраль 1998 г. [21] заменен на AR 25-2 https://armypubs.army.mil/epubs/DR_pubs/DR_a/pdf/web/ARN17503_AR25_2_Admin_FINAL.pdf (Армейское издательское управление, 2009 г.)
  • Воздушные силы AFSSI 8580, Остаточная безопасность, 17 ноября 2008 г.[22]
  • военно-морской НАВСО П5239-26, Остаточная безопасность, Сентябрь 1993 г. [23]

Смотрите также

Рекомендации

  1. ^ а б «Специальная публикация 800-88: Руководство по дезинфекции СМИ Ред. 1» (PDF). NIST. 6 сентября 2012 г.. Получено 2014-06-23. (542 КБ)
  2. ^ Энциклопедия криптографии и безопасности. Тилборг, Хенк С.А. ван, 1947-, Яйодиа, Сушил. ([2-е изд.] Изд.). Нью-Йорк: Спрингер. 2011 г. ISBN  978-1-4419-5906-5. OCLC  759924624.CS1 maint: другие (связь)
  3. ^ Питер Гутманн (июль 1996 г.). «Безопасное удаление данных из магнитной и твердотельной памяти». Получено 2007-12-10. Цитировать журнал требует | журнал = (помощь)
  4. ^ Даниэль Финберг. "Могут ли спецслужбы восстановить перезаписанные данные?". Получено 2007-12-10. Цитировать журнал требует | журнал = (помощь)
  5. ^ а б «Матрица очистки и дезинфекции DSS» (PDF). DSS. 2007-06-28. Получено 2010-11-04.
  6. ^ «Специальная публикация 800-88 Ред. 1: Руководство по дезинфекции СМИ». NIST. Декабрь 2014 г.. Получено 2018-06-26.
  7. ^ Райт, Крейг; Клейман, Дэйв; Шьям, Сундхар Р.С. (Декабрь 2008 г.). «Перезапись данных на жестком диске: великая полемика об стирании». Конспект лекций по информатике. Springer Berlin / Heidelberg: 243–257. Дои:10.1007/978-3-540-89862-7_21. ISBN  978-3-540-89861-0.
  8. ^ "Руководство по уничтожению медиа". АНБ. Получено 2009-03-01.
  9. ^ а б c d Майкл Вэй; Лаура М. Групп; Фредерик Э. Спада; Стивен Суонсон (февраль 2011 г.). «Надежное стирание данных с твердотельных накопителей на основе Flash» (PDF). Цитировать журнал требует | журнал = (помощь)
  10. ^ «Программное обеспечение для извлечения цифровых улик для компьютерных судебных расследований». Forensic.belkasoft.com. Октябрь 2012 г.. Получено 2014-04-01.
  11. ^ Сергей Скоробогатов (июнь 2002 г.). «Низкотемпературные данные в статической ОЗУ». Кембриджский университет, компьютерная лаборатория. Цитировать журнал требует | журнал = (помощь)
  12. ^ а б c Дж. Алекс Халдерман; и другие. (Июль 2008 г.). «Чтобы мы не помнили: атаки холодного запуска на ключи шифрования» (PDF). Цитировать журнал требует | журнал = (помощь)
  13. ^ https://www.veracrypt.fr/en/Release%20Notes.html Примечания к выпуску VeraCrypt
  14. ^ "Руководство по информационной безопасности правительства Австралии" (PDF). Австралийское управление сигналов. 2014. Архивировано с оригинал (PDF) 2014-03-27.
  15. ^ «Продукты IT Media для перезаписи и безопасного стирания» (PDF). Королевская канадская конная полиция. Май 2009. Архивировано с оригинал (PDF) на 2011-06-15.
  16. ^ «Очистка и рассекречивание электронных устройств хранения данных» (PDF). Организация безопасности связи. Июль 2006 г.
  17. ^ "Руководство по информационной безопасности Новой Зеландии, версия 2.5" (PDF). Бюро безопасности правительственной связи. Июль 2016 г.
  18. ^ http://www.adisa.org.uk
  19. ^ а б «Руководство по эксплуатации Национальной программы промышленной безопасности» (PDF). DSS. Февраль 2006 г. Архивировано с оригинал (PDF) на 2011-05-24. Получено 2010-09-22.
  20. ^ «Устаревший НИСПОМ» (PDF). Январь 1995. Получено 2007-12-07. с Служба безопасности обороны (DSS) Матрица очистки и санитарной обработки; включает изменение 1, 31 июля 1997 г.
  21. ^ «Безопасность информационных систем» (PDF). Февраль 1998 г.
  22. ^ AFI 33-106 В архиве 2012-10-22 на Wayback Machine
  23. ^ "Руководство по безопасности Remanence". Сентябрь 1993 г.

дальнейшее чтение