Interested Article - Остаточная информация

Остаточная информация — информация на запоминающем устройстве , оставшаяся от формально удалённых операционной системой данных . Информация может остаться из-за формального или из-за физических свойств запоминающих устройств. Остаточная информация может привести к непреднамеренному распространению конфиденциальной информации , если хранилище данных окажется вне зоны контроля (например, будет выброшено с мусором или передано третьей стороне).

В настоящее время во избежание появления остаточной информации применяется множество методов. В зависимости от эффективности и назначения они подразделяются на очистку и уничтожение . Конкретные методики используют перезаписывание , размагничивание , шифрование и физическое уничтожение .

Причины

Многие операционные системы (ОС), файловые менеджеры и другое ПО предоставляют возможность не удалять файл немедленно, а перемещать его в корзину , чтобы позволить пользователю легко исправить свою ошибку.

Но даже если возможность обратимого удаления явно не реализована или пользователь не применяет её, большинство операционных систем, удаляя файл, не удаляют содержимое файла непосредственно просто потому, что это требует меньше операций и, чаще всего, быстрее. Вместо этого они просто удаляют запись о файле из каталога файловой системы . Содержимое файла — реальные данные — остаётся на запоминающем устройстве. Данные существуют до тех пор, пока ОС не использует заново это пространство для новых данных. Во множестве систем остаётся достаточно системных метаданных для несложного восстановления при помощи широко доступных утилит . Даже если восстановление невозможно, данные, если не были перезаписаны, могут быть прочитаны ПО, читающим сектора диска напрямую. Программно-техническая экспертиза часто применяет подобное ПО.

Также при форматировании , переразбиении на разделы или восстановлении образа системой не гарантируется запись по всей поверхности, хотя диск и выглядит пустым или, в случае восстановления образа, на нём видны только файлы, сохранённые в образе.

Контрмеры

Очистка

Очистка — удаление конфиденциальной информации с записывающих устройств таким образом, что гарантируется, что данные не могут быть восстановлены с помощью обычных системных функций или утилит для восстановления файлов. Данные могут оставаться доступными для восстановления, но не без специальных лабораторных методов.

Очистка, обычно, административная защита от непреднамеренного распространения данных внутри организации. Например, перед повторным использованием дискеты внутри организации её содержимое может быть очищено для предотвращения непреднамеренного распространения информации следующему пользователю.

Уничтожение

Уничтожение — удаление конфиденциальной информации с записывающего устройства так, чтобы данные не могли быть восстановлены никаким известным способом. Удаление, в зависимости от конфиденциальности данных, обычно совершается перед выходом устройства из-под надзора, как, например, перед списанием оборудования или перемещением его на компьютер с другими требованиями по безопасности данных.

Методики

Перезаписывание

Распространённая методика для предотвращения остаточной информации — перезаписывание устройства новыми данными. Из-за того что такие методики могут быть реализованы целиком на программной стороне и могут быть использованы на отдельной части запоминающего устройства, это популярная и недорогая опция для многих приложений. Перезаписывание — вполне подходящий метод очистки, если устройство доступно на запись и не повреждено.

Простейшая реализация записывает повсюду одни и те же последовательности: чаще всего — серии нулей. Как минимум, так предотвращается получение данных с устройства посредством обычных системных функций.

Для противостояния более сложным методам восстановления часто предустановлены конкретные шаблоны перезаписи. Это могут быть и обобщённые шаблоны, предназначенные для устранения отслеживаемых следов. Например, повторяющаяся запись перемежающихся шаблонов из единиц и нулей может быть более эффективной, чем запись одних нулей. Часто задаются сочетания шаблонов.

Проблема с перезаписыванием в том, что некоторые части диска могут быть из-за износа оборудования или других проблем. Программная перезапись также может быть проблематичной в высокозащищённых средах со строгим контролем за смешиванием данных, обеспечиваемым программным обеспечением. Использование также может сделать перезапись файлов неэффективной.

Осуществимость восстановления перезаписанных данных

изучал в середине 1990-х восстановление данных с формально перезаписанных устройств. Он предположил, что способен извлечь данные, и разработал особые последовательности для конкретных видов дисков, предназначенных для предотвращения этого. Эти последовательности известны как метод Гутмана .

Дэниел Финберг, экономист частной организации National Bureau of Economic Research , заявил, что любая возможность восстановить перезаписанные данные с современного жёсткого диска является « городской легендой ».

В ноябре 2007 года Министерство Обороны США признало перезапись подходящей для очистки магнитных устройств, но не подходящей для уничтожения данных. Только или считается подходящим.

С другой стороны, согласно «Special Publication 800-88» (2006 г.) Национального института стандартов и технологий (США) (p. 7), «исследования показали, что большинство современных устройств может быть очищено за одну перезапись» и «для жестких дисков ATA , произведённых после 2001 г. (свыше 15 Гбайт), термины очистка и уничтожение совпадают».

Размагничивание

Размагничивание — удаление или ослабление магнитного поля. Применённое к , размагничивание может уничтожить все данные быстро и эффективно. Используется прибор, называемый размагничиватель, предназначенный для уничтожения данных.

Согласно требований Министерства Обороны РФ от 2002 г. (с поправками 2011 г.) ^{[

источник не указан 3707 дней

]} , данные считаются надежно уничтоженными, если используется один из трех методов: воздействие на магнитный слой постоянного магнитного поля, переменного магнитного поля или импульсного магнитного поля. Для каждого типа магнитного носителя регламентируется направление вектора магнитной индукции (либо количество импульсов и их направления), минимальная продолжительность воздействия и минимальное амплитудное значение поля. Применительно к современным НЖМД требуется воздействие двумя последовательными взаимно-перпендикулярными импульсами длительностью не менее 1 мс каждый, с амплитудным значением не менее 1200 кА/м — в каждой точке пространства занимаемого магнитным носителем.

Размагничивание обычно выводит жёсткий диск из строя, так как уничтожает низкуровневое форматирование , производимое во время изготовления. Размагниченные дискеты , обычно, могут быть переформатированы и использованы заново. В результате воздействия импульсного магнитного поля более 500 кА/м на современный жесткий диск также побочным явлением является зачастую выгорание элементов микроэлектроники жесткого диска и (или) повреждение магнитных головок.

В высокозащищённых средах исполнитель может быть обязан использовать сертифицированный размагничиватель. Например, в правительстве и оборонных ведомствах США может быть предписано использовать размагничиватель из «Списка допущенных приборов» Агентства национальной безопасности .

Шифрование

Шифрование данных перед записью может ослабить угрозу остаточной информации. Если шифровальный ключ надёжен и правильно контролируется (то есть сам не является объектом остаточной информации), то все данные на устройстве могут оказаться неизвлекаемыми. Даже если ключ хранится на жёстком диске, только ключа может оказаться проще и быстрее, чем всего диска.

Шифрование может производиться или сразу . Тем не менее, если ключ хранится, даже временно, на той же системе, что и данные, он может быть объектом остаточной информации и может быть прочитан злоумышленником. См. атака через холодную перезагрузку .

Физическое уничтожение

Удаление данных может быть доверено субподрядчику

Физическое уничтожение хранилища данных считается самым надёжным способом предотвращения появления остаточной информации, хотя и за самую высокую цену . Не только сам процесс занимает время и обременителен, он также делает оборудование неработоспособным. Более того, при современных высоких плотностях записи, даже небольшой фрагмент устройства может содержать большой объем данных.

Отдельные методики физического уничтожения включают:

физическое разрушение устройства на части путём размалывания, измельчения и т. д.;
сожжение;
фазовый переход (то есть растворение или возгонка целого диска);
применение коррозийных реагентов, таких как кислоты , к записывающим поверхностям;
для магнитных устройств — нагрев выше точки Кюри .

Проблемы

Недоступные области устройств

В запоминающих устройствах могут быть области, ставшие недоступными для обычных средств. Например, могут разметить новые «bad»-сектора, после того как данные были записаны, а кассеты требуют промежутков между записями. Современные жёсткие диски часто производят автоматические перемещения незначительных секторов записей, о которых может даже не знать ОС . Попытки предотвратить остаточную информацию посредством могут провалиться, так как остатки данных могут присутствовать в формально недоступных областях.

Сложные системы хранения

Запоминающие устройства, применяющие различные изощрённые методы, могут привести к неэффективности , особенно для применения к отдельным файлам.

Журналируемые файловые системы увеличивают связность данных, выполняя запись, дублируя информацию, и применяют семантику транзакций . В таких системах остатки данных могут находиться вне обычного «местонахождения» файла.

Некоторые файловые системы применяют копирование при записи или содержат встроенную систему управления версиями , предназначенные для того, чтобы никогда не перезаписывать данные при записи в файл.

Такие технологии, как RAID и меры предотвращения фрагментации , приводят к тому, что данные файла записываются сразу в несколько мест — либо намеренно (для устойчивости к отказам ), либо как остатки данных.

Оптические носители

Оптические носители не магнитны и к ним не применимо . Неперезаписываемые оптические носители ( CD-R , DVD-R и т. д.) также не могут быть очищены путём перезаписывания. Перезаписываемые оптические носители, такие как CD-RW и DVD-RW , могут подвергаться . Методики надёжного уничтожения оптических дисков включают: отслоение хранящего информацию слоя, измельчение, разрушение электрической дугой (как при помещении в микроволновую печь) и помещение в растворитель поликарбоната (например, ацетон).

Данные в RAM

Остаточная информация может наблюдаться в SRAM , которая обычно считается непостоянной (то есть содержимое стирается при выключении питания). В исследованиях появление остаточной информации иногда наблюдается даже при комнатной температуре.

В другом исследовании обнаружена остаточная информация в DRAM , вновь со временем затухания от секунд до минут при комнатной температуре и «целая неделя без питания при охлаждении жидким азотом» . Авторы исследования смогли использовать атаку через холодную перезагрузку для получения ключа шифрования для нескольких систем шифрования всего диска . Несмотря на некоторое угасание памяти, они смогли использовать избыточности в форме хранения, возникающие после преобразования ключей для эффективного использования, такие как в . Авторы рекомендуют, покидая компьютер, выключать его, а не оставлять в « спящем режиме ». И, если используются системы вроде Bitlocker , устанавливать PIN-код на загрузку.

Стандарты

Национальный институт стандартов и технологий (США) Special Publication 800-88: Guidelines for Media Sanitization (Рекомендации по уничтожению данных)
: National Industrial Security Program Operating Manual (NISPOM, Рабочая Инструкция по Программе Национальной Промышленной Безопасности)
- Последние редакции больше не содержат ссылок на конкретные методики уничтожения данных. Стандарты в этой области оставлены на усмотрение Cognizant Security Authority (Компетентного Специалиста по Безопасности).
- Хотя в NISPOM не описывается конкретных методик уничтожения данных, предыдущие редакции (1995 и 1997 годов) содержали конкретные описания методик в таблице DSS C&SM вставленной после секции 8-306.
- (DSS, Оборонная Служба Безопасности) предоставляет Clearing and Sanitization Matrix (C&SM, Руководство по Очистке и Уничтожению), которое содержит описание методик .
- В редакции за Ноябрь 2007 г. DSS C&SM перезаписывание стало считаться неподходящим для уничтожения магнитных носителей. Только (размагничивателем одобренным АНБ) или физическое уничтожение считается достаточным.
(Канадская Королевская Конная Полиция) G2-003: Hard Drive Secure Information Removal and Destruction Guidelines (Руководство по Устранению и Уничтожению Конфиденциальной Информации на Жестких Дисках)
- Уровни данных A/B/Confidential: тройная перезапись с использованием ПО RCMP DSX
- Уровни данных C/Secret/Top Secret: Физическое уничтожение или размагничивание

См. также

Программное обеспечение

Darik’s Boot and Nuke
shred (входит в пакет GNU Coreutils )

Также существует множество других утилит для разных операционных систем

Примечания

↑ (неопр.) (PDF). NIST (September 2006). Дата обращения: 8 декабря 2007. Архивировано из 12 июля 2007 года. (542 KB)
Peter Gutmann. (неопр.) (июль 1996). Дата обращения: 10 декабря 2007. 18 марта 2012 года.
Daniel Feenberg. (неопр.) Дата обращения: 10 декабря 2007. 18 марта 2012 года.
↑ (неопр.) (PDF). (12 ноября 2007). Дата обращения: 25 ноября 2007. (недоступная ссылка) (89 KB)
(неопр.) . NSA. Дата обращения: 10 декабря 2007. Архивировано из 3 октября 2006 года.
от 16 ноября 2022 на Wayback Machine // CNews , 7 октября 2022
Sergei Skorobogatov. (неопр.) . University of Cambridge, Computer Laboratory (июнь 2002). Дата обращения: 19 сентября 2008. 18 марта 2012 года.
↑ J. Alex Halderman, et al. (неопр.) (февраль 2008). Дата обращения: 22 мая 2016. Архивировано из 4 сентября 2011 года.
(неопр.) . . Дата обращения: 25 ноября 2007. (недоступная ссылка)
(неопр.) (PDF) (31 июля 1997). Дата обращения: 7 декабря 2007. 18 марта 2012 года. with the DSS Clearing and Sanitization Matrix .
(неопр.) (PDF). Royal Canadian Mounted Police (October 2003). Дата обращения: 19 сентября 2008. Архивировано из 1 октября 2004 года.