Остаточная информация

Перейти к навигацииПерейти к поиску

Остаточная информация — информация на запоминающем устройстве, оставшаяся от формально удалённых операционной системой данных. Информация может остаться из-за формального удаления файла или из-за физических свойств запоминающих устройств. Остаточная информация может привести к непреднамеренному распространению конфиденциальной информации, если хранилище данных окажется вне зоны контроля (например, будет выброшено с мусором или передано третьей стороне).

В настоящее время во избежание появления остаточной информации применяется множество методов. В зависимости от эффективности и назначения они подразделяются на очистку и уничтожение. Конкретные методики используют перезаписывание , размагничивание , шифрование и физическое уничтожение.

Причины

Многие операционные системы (ОС), файловые менеджеры и другое ПО предоставляют возможность не удалять файл немедленно, а перемещать его в корзину, чтобы позволить пользователю легко исправить свою ошибку.

Но даже если возможность обратимого удаления явно не реализована или пользователь не применяет её, большинство операционных систем, удаляя файл, не удаляют содержимое файла непосредственно просто потому, что это требует меньше операций и, чаще всего, быстрее. Вместо этого они просто удаляют запись о файле из каталога файловой системы. Содержимое файла — реальные данные — остаётся на запоминающем устройстве. Данные существуют до тех пор, пока ОС не использует заново это пространство для новых данных. Во множестве систем остаётся достаточно системных метаданных для несложного восстановления при помощи широко доступных утилит. Даже если восстановление невозможно, данные, если не были перезаписаны, могут быть прочитаны ПО, читающим сектора диска напрямую. Программно-техническая экспертиза часто применяет подобное ПО.

Также при форматировании, переразбиении на разделы или восстановлении образа системой не гарантируется запись по всей поверхности, хотя диск и выглядит пустым или, в случае восстановления образа, на нём видны только файлы, сохранённые в образе.

Контрмеры

Очистка

Очистка — удаление конфиденциальной информации с записывающих устройств таким образом, что гарантируется, что данные не могут быть восстановлены с помощью обычных системных функций или утилит для восстановления файлов. Данные могут оставаться доступными для восстановления, но не без специальных лабораторных методов.[1]

Очистка, обычно, административная защита от непреднамеренного распространения данных внутри организации. Например, перед повторным использованием дискеты внутри организации её содержимое может быть очищено для предотвращения непреднамеренного распространения информации следующему пользователю.

Уничтожение

Уничтожение — удаление конфиденциальной информации с записывающего устройства так, чтобы данные не могли быть восстановлены никаким известным способом. Удаление, в зависимости от конфиденциальности данных, обычно совершается перед выходом устройства из-под надзора, как, например, перед списанием оборудования или перемещением его на компьютер с другими требованиями по безопасности данных.

Методики

Перезаписывание

Распространённая методика для предотвращения остаточной информации — перезаписывание устройства новыми данными. Из-за того что такие методики могут быть реализованы целиком на программной стороне и могут быть использованы на отдельной части запоминающего устройства, это популярная и недорогая опция для многих приложений. Перезаписывание — вполне подходящий метод очистки, если устройство доступно на запись и не повреждено.

Простейшая реализация записывает повсюду одни и те же последовательности: чаще всего — серии нулей. Как минимум, так предотвращается получение данных с устройства посредством обычных системных функций.

Для противостояния более сложным методам восстановления часто предустановлены конкретные шаблоны перезаписи. Это могут быть и обобщённые шаблоны, предназначенные для устранения отслеживаемых следов. Например, повторяющаяся запись перемежающихся шаблонов из единиц и нулей может быть более эффективной, чем запись одних нулей. Часто задаются сочетания шаблонов.

Проблема с перезаписыванием в том, что некоторые части диска могут быть недоступны из-за износа оборудования или других проблем. Программная перезапись также может быть проблематичной в высокозащищённых средах со строгим контролем за смешиванием данных, обеспечиваемым программным обеспечением. Использование сложных технологий хранения также может сделать перезапись файлов неэффективной.

Осуществимость восстановления перезаписанных данных

Питер Гутман изучал в середине 1990-х восстановление данных с формально перезаписанных устройств. Он предположил, что магнитный микроскоп способен извлечь данные, и разработал особые последовательности для конкретных видов дисков, предназначенных для предотвращения этого.[2] Эти последовательности известны как метод Гутмана.

Дэниел Финберг, экономист частной организации National Bureau of Economic Research, заявил, что любая возможность восстановить перезаписанные данные с современного жёсткого диска является «городской легендой».[3]

В ноябре 2007 года Министерство Обороны США признало перезапись подходящей для очистки магнитных устройств, но не подходящей для уничтожения данных. Только размагничивание или физическое уничтожение считается подходящим.[4]

С другой стороны, согласно «Special Publication 800-88» (2006 г.) Национального института стандартов и технологий (США) (p. 7), «исследования показали, что большинство современных устройств может быть очищено за одну перезапись» и «для жестких дисков ATA, произведённых после 2001 г. (свыше 15 Гбайт), термины очистка и уничтожение совпадают».[1]

Размагничивание

Размагничивание — удаление или ослабление магнитного поля. Применённое к магнитному носителю, размагничивание может уничтожить все данные быстро и эффективно. Используется прибор, называемый размагничиватель, предназначенный для уничтожения данных.

Согласно требований Министерства Обороны РФ от 2002 г. (с поправками 2011 г.)[], данные считаются надежно уничтоженными, если используется один из трех методов: воздействие на магнитный слой постоянного магнитного поля, переменного магнитного поля или импульсного магнитного поля. Для каждого типа магнитного носителя регламентируется направление вектора магнитной индукции (либо количество импульсов и их направления), минимальная продолжительность воздействия и минимальное амплитудное значение поля. Применительно к современным НЖМД требуется воздействие двумя последовательными взаимно-перпендикулярными импульсами длительностью не менее 1 мс каждый, с амплитудным значением не менее 1200 кА/м — в каждой точке пространства занимаемого магнитным носителем.

Размагничивание обычно выводит жёсткий диск из строя, так как уничтожает низкуровневое форматирование, производимое во время изготовления. Размагниченные дискеты, обычно, могут быть переформатированы и использованы заново. В результате воздействия импульсного магнитного поля более 500 кА/м на современный жесткий диск также побочным явлением является зачастую выгорание элементов микроэлектроники жесткого диска и (или) повреждение магнитных головок.

В высокозащищённых средах исполнитель может быть обязан использовать сертифицированный размагничиватель. Например, в правительстве и оборонных ведомствах США может быть предписано использовать размагничиватель из «Списка допущенных приборов» Агентства национальной безопасности[5].

Шифрование

Шифрование данных перед записью может ослабить угрозу остаточной информации. Если шифровальный ключ надёжен и правильно контролируется (то есть сам не является объектом остаточной информации), то все данные на устройстве могут оказаться неизвлекаемыми. Даже если ключ хранится на жёстком диске, перезаписывание только ключа может оказаться проще и быстрее, чем всего диска.

Шифрование может производиться пофайлово или сразу всего диска. Тем не менее, если ключ хранится, даже временно, на той же системе, что и данные, он может быть объектом остаточной информации и может быть прочитан злоумышленником. См. атака через холодную перезагрузку.

Физическое уничтожение

Удаление данных может быть доверено субподрядчику

Физическое уничтожение хранилища данных считается самым надёжным способом предотвращения появления остаточной информации, хотя и за самую высокую цену[6]. Не только сам процесс занимает время и обременителен, он также делает оборудование неработоспособным. Более того, при современных высоких плотностях записи, даже небольшой фрагмент устройства может содержать большой объем данных.

Отдельные методики физического уничтожения включают:

  • физическое разрушение устройства на части путём размалывания, измельчения и т. д.;
  • сожжение;
  • фазовый переход (то есть растворение или возгонка целого диска);
  • применение коррозийных реагентов, таких как кислоты, к записывающим поверхностям;
  • для магнитных устройств — нагрев выше точки Кюри.

Проблемы

Недоступные области устройств

В запоминающих устройствах могут быть области, ставшие недоступными для обычных средств. Например, магнитные диски могут разметить новые «bad»-сектора, после того как данные были записаны, а кассеты требуют промежутков между записями. Современные жёсткие диски часто производят автоматические перемещения незначительных секторов записей, о которых может даже не знать ОС. Попытки предотвратить остаточную информацию посредством перезаписывания могут провалиться, так как остатки данных могут присутствовать в формально недоступных областях.

Сложные системы хранения

Запоминающие устройства, применяющие различные изощрённые методы, могут привести к неэффективности перезаписывания, особенно для применения к отдельным файлам.

Журналируемые файловые системы увеличивают связность данных, выполняя запись, дублируя информацию, и применяют семантику транзакций. В таких системах остатки данных могут находиться вне обычного «местонахождения» файла.

Некоторые файловые системы применяют копирование при записи или содержат встроенную систему управления версиями, предназначенные для того, чтобы никогда не перезаписывать данные при записи в файл.

Такие технологии, как RAID и меры предотвращения фрагментации, приводят к тому, что данные файла записываются сразу в несколько мест — либо намеренно (для устойчивости к отказам), либо как остатки данных.

Оптические носители

Оптические носители не магнитны и к ним не применимо размагничивание. Неперезаписываемые оптические носители (CD-R, DVD-R и т. д.) также не могут быть очищены путём перезаписывания. Перезаписываемые оптические носители, такие как CD-RW и DVD-RW, могут подвергаться перезаписыванию. Методики надёжного уничтожения оптических дисков включают: отслоение хранящего информацию слоя, измельчение, разрушение электрической дугой (как при помещении в микроволновую печь) и помещение в растворитель поликарбоната (например, ацетон).

Данные в RAM

Остаточная информация может наблюдаться в SRAM, которая обычно считается непостоянной (то есть содержимое стирается при выключении питания). В исследованиях появление остаточной информации иногда наблюдается даже при комнатной температуре.[7]

В другом исследовании обнаружена остаточная информация в DRAM, вновь со временем затухания от секунд до минут при комнатной температуре и «целая неделя без питания при охлаждении жидким азотом»[8]. Авторы исследования смогли использовать атаку через холодную перезагрузку для получения ключа шифрования для нескольких систем шифрования всего диска. Несмотря на некоторое угасание памяти, они смогли использовать избыточности в форме хранения, возникающие после преобразования ключей для эффективного использования, такие как в последовательности ключей. Авторы рекомендуют, покидая компьютер, выключать его, а не оставлять в «спящем режиме». И, если используются системы вроде Bitlocker, устанавливать PIN-код на загрузку.[8]

Стандарты

  • Национальный институт стандартов и технологий (США) Special Publication 800-88: Guidelines for Media Sanitization (Рекомендации по уничтожению данных)[1]
  • DoD 5220.22-M: National Industrial Security Program Operating Manual (NISPOM, Рабочая Инструкция по Программе Национальной Промышленной Безопасности)
    • Последние редакции больше не содержат ссылок на конкретные методики уничтожения данных. Стандарты в этой области оставлены на усмотрение Cognizant Security Authority (Компетентного Специалиста по Безопасности).[9]
    • Хотя в NISPOM не описывается конкретных методик уничтожения данных, предыдущие редакции (1995 и 1997 годов)[10] содержали конкретные описания методик в таблице DSS C&SM вставленной после секции 8-306.
    • Defense Security Service (DSS, Оборонная Служба Безопасности) предоставляет Clearing and Sanitization Matrix (C&SM, Руководство по Очистке и Уничтожению), которое содержит описание методик[4].
    • В редакции за Ноябрь 2007 г. DSS C&SM перезаписывание стало считаться неподходящим для уничтожения магнитных носителей. Только размагничивание (размагничивателем одобренным АНБ) или физическое уничтожение считается достаточным.
  • NAVSO P5239-26 [1]
  • AFSSI-5020
  • AR380-19
  • Royal Canadian Mounted Police (Канадская Королевская Конная Полиция) G2-003: Hard Drive Secure Information Removal and Destruction Guidelines (Руководство по Устранению и Уничтожению Конфиденциальной Информации на Жестких Дисках)[11]
    • Уровни данных A/B/Confidential: тройная перезапись с использованием ПО RCMP DSX
    • Уровни данных C/Secret/Top Secret: Физическое уничтожение или размагничивание

См. также

Программное обеспечение

  • Darik’s Boot and Nuke
  • shred (входит в пакет GNU Coreutils)

Также существует множество других утилит для разных операционных систем

Примечания

  1. 1 2 3 Special Publication 800-88: Guidelines for Media Sanitization (PDF). NIST (September 2006). Дата обращения: 8 декабря 2007. Архивировано из оригинала 12 июля 2007 года. (542 KB)
  2. Peter Gutmann. Secure Deletion of Data from Magnetic and Solid-State Memory (июль 1996). Дата обращения: 10 декабря 2007. Архивировано 18 марта 2012 года.
  3. Daniel Feenberg. Can Intelligence Agencies Recover Overwritten Data? Дата обращения: 10 декабря 2007. Архивировано 18 марта 2012 года.
  4. 1 2 DSS Clearing & Sanitization Matrix (PDF). DSS (12 ноября 2007). Дата обращения: 25 ноября 2007. (недоступная ссылка) (89 KB)
  5. Evaluated Products. NSA. Дата обращения: 10 декабря 2007. Архивировано из оригинала 3 октября 2006 года.
  6. Microsoft и Google уничтожают миллионы жестких дисков вместо того, чтобы их продать. Производители HDD ликуют Архивная копия от 16 ноября 2022 на Wayback Machine // CNews, 7 октября 2022
  7. Sergei Skorobogatov. Low temperature data remanence in static RAM. University of Cambridge, Computer Laboratory (июнь 2002). Дата обращения: 19 сентября 2008. Архивировано 18 марта 2012 года.
  8. 1 2 J. Alex Halderman, et al. Lest We Remember: Cold Boot Attacks on Encryption Keys (февраль 2008). Дата обращения: 22 мая 2016. Архивировано из оригинала 4 сентября 2011 года.
  9. Download NISPOM. DSS. Дата обращения: 25 ноября 2007. (недоступная ссылка)
  10. Obsolete NISPOM (PDF) (31 июля 1997). Дата обращения: 7 декабря 2007. Архивировано 18 марта 2012 года. with the DSS Clearing and Sanitization Matrix.
  11. Hard Drive Secure Information Removal and Destruction Guidelines (PDF). Royal Canadian Mounted Police (October 2003). Дата обращения: 19 сентября 2008. Архивировано из оригинала 1 октября 2004 года.

Ссылки

  • A Guide to Understanding Data Remanence in Automated Information Systems (англ.). — National Security Agency, 1991. (Rainbow Series «Forrest Green Book»)