Restinformation

Resterande information  – information om lagringsenheten , kvar från data som formellt raderats av operativsystemet . Information kan finnas kvar på grund av den formella raderingen av en fil eller på grund av de fysiska egenskaperna hos lagringsenheter. Återstående information kan leda till oavsiktlig spridning av känslig information om datalagret är utom kontroll (till exempel kastas i papperskorgen eller ges till tredje part).

För närvarande används många metoder för att undvika uppkomsten av restinformation. Beroende på effektivitet och syfte är de uppdelade i rening och förstörelse . Specifika tekniker använder överskrivning , avmagnetisering , kryptering och fysisk förstörelse .

Skäl

Många operativsystem , filhanterare och annan programvara ger möjlighet att inte ta bort filen omedelbart, utan att flytta filen till papperskorgen så att användaren enkelt kan rätta till sitt misstag.

Men även om den mjuka borttagningsfunktionen inte är explicit implementerad eller om användaren inte använder den, raderar de flesta operativsystem när en fil raderas inte innehållet i filen direkt, helt enkelt för att det kräver färre operationer och oftast snabbare. Istället tar de helt enkelt bort filens post från filsystemets katalog . Innehållet i filen - den faktiska datan - finns kvar på lagringsenheten. Data finns tills operativsystemet återanvänder det utrymmet för ny data. På många system finns det tillräckligt med systemmetadata kvar för enkel återställning med hjälp av allmänt tillgängliga verktyg . Även om återställning inte är möjlig kan data, om den inte skrivs över, läsas av programvara som läser disksektorer direkt. Programvara och teknisk expertis använder ofta sådan programvara.

Vid formatering , ompartitionering eller återställning av en bild är det inte heller garanterat att systemet skriver över hela ytan, även om skivan ser tom ut eller, i fallet med en bildåterställning, endast de filer som sparats i bilden är synliga på den.

Slutligen, även om lagringsenheten skrivs över, gör de fysiska egenskaperna hos enheterna det möjligt att återställa information med hjälp av laboratorieutrustning på grund av till exempel fenomenet remanens.

Motåtgärder

Rening

Rengöring  - Ta bort konfidentiell information från inspelningsenheter på ett sådant sätt att det garanteras att data inte kan återställas med vanliga systemfunktioner eller filåterställningsverktyg. Data kan förbli tillgängliga för återställning, men inte utan speciella laboratoriemetoder. [ett]

Rengöring är vanligtvis ett administrativt skydd mot oavsiktlig distribution av data inom en organisation. Till exempel, innan en diskett återanvänds inom en organisation, kan dess innehåll saneras för att förhindra att information oavsiktligt distribueras till nästa användare.

Förstörelse

Destruktion  är att ta bort konfidentiell information från en inspelningsenhet så att data inte kan återställas på något känt sätt. Radering, beroende på informationens känslighet, görs vanligtvis innan enheten släpps från övervakning, till exempel innan utrustningen tas ur drift eller flyttas till en dator med olika datasäkerhetskrav.

Tekniker

Omskrivning

En vanlig teknik för att förhindra kvarvarande information är att skriva över enheten med ny data. Eftersom sådana tekniker helt kan implementeras i programvara och kan användas på en separat del av lagringsenheten, är detta ett populärt och billigt alternativ för många applikationer. Överskrivning är en helt acceptabel metod för att städa upp, så länge enheten är skrivbar och oskadad.

Den enklaste implementeringen skriver samma sekvenser överallt: oftast en serie nollor. Detta förhindrar åtminstone att data hämtas från enheten via normala systemfunktioner.

För att motverka mer komplexa återställningsmetoder är specifika överskrivningsmönster ofta förinstallerade. Dessa kan också vara generaliserade mönster utformade för att eliminera spårade spår. Att upprepade gånger skriva alternerande mönster av ettor och nollor kan till exempel vara effektivare än att skriva alla nollor. Mönsterkombinationer anges ofta.

Problemet med att skriva över är att vissa delar av skivan kan vara oåtkomliga på grund av hårdvaruförslitning eller andra problem. Överskrivning av programvara kan också vara problematiskt i mycket säkra miljöer, med den strikta kontrollen av datablandning som tillhandahålls av programvaran. Användningen av sofistikerad lagringsteknik kan också göra överskrivning av filer ineffektivt.

Möjlighet att återställa överskrivna data

Peter Gutman studerade dataåterställning från formellt överskrivna enheter i mitten av 1990-talet. Han antog att ett magnetiskt mikroskop kunde extrahera datan och utvecklade specifika diskspecifika sekvenser för att förhindra detta. [2] Dessa sekvenser är kända som Gutmanns metod .

Daniel Finberg, ekonom vid det privatägda National Bureau of Economic Research , sa att alla möjligheter att återställa överskrivna data från en modern hårddisk är en " urban legend ". [3]

I november 2007 ansåg det amerikanska försvarsdepartementet att överskrivning var lämplig för rengöring av magnetiska enheter, men inte lämplig för att radera data. Endast avmagnetisering eller fysisk förstörelse anses lämpligt. [fyra]

Å andra sidan, enligt "Special Publication 800-88" (2006) från National Institute of Standards and Technology (USA) (s. 7): "Studier har visat att de flesta moderna enheter kan rensas i en enda överskrivning" och "för hårda ATA- tillverkade efter 2001 (över 15 GB) är termerna rensning och fragmentering desamma." [ett]

Degaussing

Avmagnetisering  är borttagning eller försvagning av ett magnetfält. Tillämpad på magnetiska medier kan avmagnetisering förstöra all data snabbt och effektivt. En enhet som kallas avmagnetiserare används för att förstöra data.

Enligt kraven från Ryska federationens försvarsministerium 2002 (som ändrat 2011) data anses vara säkert förstörda om en av tre metoder används: att exponera det magnetiska lagret för ett konstant magnetfält, ett växelmagnetiskt fält eller ett pulserande magnetfält. För varje typ av magnetisk bärare regleras riktningen för den magnetiska induktionsvektorn (eller antalet pulser och deras riktningar), den minsta exponeringstiden och det minsta amplitudvärdet för fältet. När det gäller moderna hårddiskar krävs inverkan av två på varandra följande ömsesidigt vinkelräta pulser med en varaktighet på minst 1 ms vardera, med ett amplitudvärde på minst 1200 kA/m, vid varje punkt i utrymmet som upptas av en magnetisk bärare.

Degaussing inaktiverar vanligtvis hårddisken eftersom den förstör lågnivåformateringen som gjordes vid tillverkningstillfället. Avgasade disketter kan vanligtvis formateras om och återanvändas. Som ett resultat av påverkan av ett pulserande magnetfält på mer än 500 kA/m på en modern hårddisk är utbrändhet av hårddiskens mikroelektroniska element och (eller) skada på magnethuvudena också en bieffekt.

I mycket säkra miljöer kan entreprenören behöva använda en certifierad avmagnetiserare. Till exempel kan den amerikanska regeringen och försvarsdepartementen behöva använda en avmagnetiserare på National Security Agencys lista över godkända apparater [5] .

Kryptering

Att kryptera data före skrivning kan minska hotet om kvarvarande information. Om krypteringsnyckeln är stark och korrekt kontrollerad (det vill säga att den inte i sig är föremål för restinformation), kan all data på enheten vara omöjlig att återställa. Även om nyckeln är lagrad på hårddisken kan det vara lättare och snabbare att skriva över bara nyckeln än att skriva över hela enheten .

Kryptering kan göras fil för fil eller hela disken på en gång . Men om nyckeln lagras, även tillfälligt, i samma system som data, kan den vara föremål för restinformation och kan läsas av en angripare. Se kallstartattack .

Fysisk förstörelse

Fysisk förstörelse av datalagret anses vara det mest tillförlitliga sättet att förhindra kvarvarande information, om än till högsta kostnad. Processen är inte bara tidskrävande och krånglig, den gör också utrustningen oanvändbar. Dessutom, med dagens höga inspelningstätheter, kan även ett litet fragment av en enhet innehålla en stor mängd data.

Utvalda metoder för fysisk förstörelse inkluderar:

  • Fysisk förstörelse av enheten i delar genom slipning, slipning, etc.
  • brinnande
  • Fasövergång (dvs upplösning eller sublimering av en hel skiva)
  • Applicering av frätande reagens, såsom syror , på registreringsytor
  • För magnetiska enheter, uppvärmning över Curie-punkten

Problem

Otillgängliga enhetsområden

Det kan finnas områden i lagringsenheter som har blivit otillgängliga för konventionella medel. Till exempel kan magnetiska skivor markera nya "dåliga" sektorer efter att data har skrivits, och kassetter kräver luckor mellan skrivningarna. Moderna hårddiskar utför ofta automatisk rörelse av mindre sektorer av poster, som operativsystemet kanske inte ens känner till . Försök att förhindra återstående information genom att skriva över kan misslyckas eftersom återstående data kan finnas i formellt otillgängliga områden.

Komplexa lagringssystem

Lagringsenheter som använder olika sofistikerade metoder kan leda till ineffektivitet att skriva över , särskilt när de tillämpas på enskilda filer.

Journaliserade filsystem ökar dataanslutningen genom att skriva, duplicera information och tillämpa transaktionssemantik . I sådana system kan resterna av data vara utanför den normala "platsen" för filen.

Vissa filsystem använder kopiera-på-skriv eller har inbyggd versionskontroll utformad för att aldrig skriva över data när man skriver till en fil.

Teknik som RAID och antifragmenteringsåtgärder gör att fildata skrivs till flera platser samtidigt, antingen avsiktligt (för feltolerans ) eller som överbliven data.

Optiska media

Optiska medier är inte magnetiska och är inte föremål för avmagnetisering . Ej omskrivbara optiska media ( CD-R , DVD-R , etc.) kan inte heller raderas genom att skriva över. Omskrivningsbara optiska medier, som CD-RW och DVD-RW , kan skrivas om . Tekniker för att på ett tillförlitligt sätt förstöra optiska skivor inkluderar: skala av det informationslagrande lagret, strimla, bryta med en elektrisk ljusbåge (som när den placeras i en mikrovågsugn) och placera i ett polykarbonatlösningsmedel (som aceton).

Data i RAM

Resterande information kan observeras i SRAM , som generellt anses vara icke-beständig (dvs innehållet raderas när strömmen stängs av). I forskning observeras ibland uppkomsten av restinformation även vid rumstemperatur. [6]

En annan studie fann restinformation i DRAM , återigen med en avklingningstid på sekunder till minuter vid rumstemperatur och "en hel vecka utan ström när den kyldes med flytande kväve" [7] . Författarna till studien kunde använda en kallstartsattack för att få en krypteringsnyckel för flera heldisk- krypteringssystem . Trots viss minnesfläckning kunde de utnyttja redundanser i form av lagring som uppstår efter omvandling av nycklar för effektiv användning, till exempel i nyckelsekvensering . Författarna rekommenderar att när du lämnar datorn, stäng av den och inte lämna den i " viloläge ". Och om system som Bitlocker används , ställ in en start -PIN . [7]

Standarder

  • National Institute of Standards and Technology (USA) specialpublikation 800-88: Guidelines for Media Sanitization [1]
  • DoD 5220.22-M : National Industrial Security Program Operating Manual (NISPOM)
    • Senaste revisioner innehåller inte längre hänvisningar till specifika dataförstöringstekniker. Standarder inom detta område överlåts till Cognizant Security Authority (kompetent säkerhetsspecialist). [åtta]
    • Även om NISPOM inte beskriver specifika dataförstöringstekniker, innehöll tidigare revisioner (1995 och 1997) [9] specifika beskrivningar av teknikerna i DSS C&SM-tabellen infogat efter avsnitt 8-306.
    • Försvarets säkerhetstjänst (DSS) tillhandahåller en Clearing and Sanitization Matrix (C&SM) som beskriver teknikerna [4] .
    • Från och med november 2007 revidering av DSS C&SM anses överskrivning nu vara olämpligt för fragmentering av magnetiska media. Endast avmagnetisering (med en NSA-godkänd avmagnetiserare) eller fysisk förstörelse anses vara tillräckligt.
  • NAVSO P5239-26 [1]
  • AFSSI-5020
  • AR380-19
  • Royal Canadian Mounted Police G2-003: Riktlinjer för borttagning och destruktion av hårddisk säker information [10]
    • A/B/Konfidentiella datalager: Trippel överskrivning med RCMP DSX-programvara
    • Datanivåer C/Hemlig/Topphemlig: Fysisk förstörelse eller Avgasning

Se även

Programvara

Det finns också många andra verktyg för olika operativsystem.

Anteckningar

  1. 1 2 3 Specialpublikation 800-88: Riktlinjer för mediasanering (PDF)  (länk ej tillgänglig) . NIST (september 2006). Hämtad 8 december 2007. Arkiverad från originalet 12 juli 2007. (542 kB)
  2. Peter Gutmann. Säker radering av data från magnetiskt och solid-state minne (juli 1996). Hämtad 10 december 2007. Arkiverad från originalet 18 mars 2012.
  3. Daniel Feenberg. Kan underrättelsebyråer återställa överskrivna data? . Hämtad 10 december 2007. Arkiverad från originalet 18 mars 2012.
  4. 1 2 DSS Clearing & Sanitization Matrix (PDF). DSS (12 november 2007). Hämtad: 25 november 2007.  (länk ej tillgänglig) (89 KB)
  5. Utvärderade produkter (nedlänk) . NSA. Hämtad 10 december 2007. Arkiverad från originalet 3 oktober 2006. 
  6. Sergej Skorobogatov. Dataremanens vid låg temperatur i statiskt RAM-minne . University of Cambridge, Computer Laboratory (juni 2002). Hämtad 19 september 2008. Arkiverad från originalet 18 mars 2012.
  7. 1 2 J. Alex Halderman, et al. Så att vi inte kommer ihåg: Kallstartsattacker på krypteringsnycklar (länk ej tillgänglig) (februari 2008). Hämtad 22 maj 2016. Arkiverad från originalet 4 september 2011. 
  8. Ladda ner NISPOM . DSS . Hämtad: 25 november 2007.  (otillgänglig länk)
  9. Föråldrad NISPOM (PDF) (januari 1995; inkluderar ändring 1, 31 juli 1997). Hämtad 7 december 2007. Arkiverad från originalet 18 mars 2012. med DSS Clearing and Sanitization Matrix .
  10. Riktlinjer för borttagning och förstörelse av hårddiskinformation (PDF)  (länk ej tillgänglig) . Royal Canadian Mounted Police (oktober 2003). Hämtad 19 september 2008. Arkiverad från originalet 1 oktober 2004.

Länkar