Resterende oplysninger

Resterende information  - oplysninger på lagerenheden , tilbage fra de data, der formelt er slettet af operativsystemet . Oplysninger kan forblive på grund af den formelle sletning af en fil eller på grund af lagerenheders fysiske egenskaber. Resterende oplysninger kan føre til utilsigtet spredning af følsomme oplysninger, hvis datalageret er ude af kontrol (for eksempel smidt i skraldespanden eller givet til en tredjepart).

I øjeblikket bruges mange metoder til at undgå fremkomsten af ​​resterende information. Afhængigt af effektiviteten og formålet er de opdelt i rensning og ødelæggelse . Specifikke teknikker bruger overskrivning , afmagnetisering , kryptering og fysisk ødelæggelse .

Årsager

Mange operativsystemer , filhåndteringer og anden software giver mulighed for ikke at slette filen med det samme, men at flytte filen til papirkurven , så brugeren nemt kan rette deres fejl.

Men selvom den bløde sletningsfunktion ikke er eksplicit implementeret, eller brugeren ikke bruger den, sletter de fleste operativsystemer, når de sletter en fil, ikke indholdet af filen direkte, simpelthen fordi det kræver færre handlinger og oftest hurtigere. I stedet fjerner de blot filens indgang fra filsystemets mappe . Indholdet af filen - de faktiske data - forbliver på lagerenheden. Data eksisterer, indtil OS genbruger denne plads til nye data. På mange systemer er der nok systemmetadata tilbage til nem gendannelse ved hjælp af bredt tilgængelige hjælpeprogrammer . Selvom gendannelse ikke er mulig, kan dataene, hvis de ikke overskrives, læses af software, der læser disksektorer direkte. Software og teknisk ekspertise bruger ofte sådan software.

Ved formatering , genpartitionering eller gendannelse af et billede er systemet heller ikke garanteret at skrive over hele overfladen, selvom disken ser tom ud eller, i tilfælde af en billedgendannelse, kun de filer, der er gemt i billedet, er synlige på den.

Endelig, selvom lagerenheden overskrives, gør enhedernes fysiske egenskaber det muligt at gendanne information ved hjælp af laboratorieudstyr på grund af for eksempel fænomenet remanens.

Modforanstaltninger

Oprensning

Rengøring  - Fjernelse af fortrolige oplysninger fra optageenheder på en sådan måde, at det er garanteret, at dataene ikke kan gendannes ved hjælp af normale systemfunktioner eller filgendannelsesværktøjer. Data kan forblive tilgængelige til gendannelse, men ikke uden særlige laboratoriemetoder. [en]

Oprydning er normalt en administrativ beskyttelse mod utilsigtet distribution af data inden for en organisation. For eksempel, før en diskette genbruges i en organisation, kan dens indhold renses for at forhindre, at information utilsigtet distribueres til den næste bruger.

Destruktion

Destruktion  er fjernelse af fortrolig information fra en optageenhed, så dataene ikke kan gendannes på nogen kendt måde. Sletning, afhængigt af dataens følsomhed, sker normalt, før enheden frigives fra overvågning, såsom før dekommissionering af udstyret eller flytning til en computer med forskellige datasikkerhedskrav.

Teknikker

Omskrivning

En almindelig teknik til at forhindre resterende information er at overskrive enheden med nye data. Fordi sådanne teknikker kan implementeres helt i software og kan bruges på en separat del af lagerenheden, er dette en populær og billig mulighed for mange applikationer. Overskrivning er en helt acceptabel metode til oprydning, så længe enheden er skrivbar og ubeskadiget.

Den enkleste implementering skriver de samme sekvenser overalt: oftest en række nuller. Dette forhindrer som minimum at data hentes fra enheden gennem normale systemfunktioner.

For at imødegå mere komplekse gendannelsesmetoder er specifikke overskrivningsmønstre ofte forudinstalleret. Disse kan også være generaliserede mønstre designet til at eliminere sporede spor. For eksempel kan det være mere effektivt at skrive vekslende mønstre af enere og nuller gentagne gange end at skrive alle nuller. Mønsterkombinationer er ofte specificeret.

Problemet med overskrivning er, at nogle dele af disken kan være utilgængelige på grund af hardwareslid eller andre problemer. Softwareoverskrivning kan også være problematisk i meget sikre miljøer med den stramme kontrol af datablanding, som softwaren giver. Brugen af ​​sofistikerede lagringsteknologier kan også gøre overskrivning af filer ineffektiv.

Mulighed for at gendanne overskrevne data

Peter Gutman studerede datagendannelse fra formelt overskrevne enheder i midten af ​​1990'erne. Han antog, at et magnetisk mikroskop kunne udtrække dataene og udviklede specifikke diskspecifikke sekvenser designet til at forhindre dette. [2] Disse sekvenser er kendt som Gutmanns metode .

Daniel Finberg, en økonom ved det privatejede National Bureau of Economic Research , sagde, at enhver mulighed for at gendanne overskrevne data fra en moderne harddisk er en " bylegende ." [3]

I november 2007 anså det amerikanske forsvarsministerium , at overskrivning var egnet til at rense magnetiske enheder, men ikke egnet til at slette data. Kun afmagnetisering eller fysisk ødelæggelse anses for passende. [fire]

På den anden side, ifølge "Special Publication 800-88" (2006) fra National Institute of Standards and Technology (USA) (s. 7): "Undersøgelser har vist, at de fleste moderne enheder kan slettes i en enkelt overskrivning" og "for harddiske ATA fremstillet efter 2001 (over 15 GB) er vilkårene sletning og makulering de samme." [en]

Degaussing

Afmagnetisering  er fjernelse eller svækkelse af et magnetfelt. Anvendt på magnetiske medier kan afmagnetisering ødelægge alle data hurtigt og effektivt. En enhed kaldet en demagnetizer bruges til at ødelægge data.

I henhold til kravene fra Forsvarsministeriet i Den Russiske Føderation af 2002 (som ændret i 2011) data anses for at være sikkert ødelagt, hvis en af ​​tre metoder bruges: at udsætte det magnetiske lag for et konstant magnetfelt, et vekslende magnetfelt eller et pulserende magnetfelt. For hver type magnetisk bærer reguleres retningen af ​​den magnetiske induktionsvektor (eller antallet af impulser og deres retninger), den minimale eksponeringsvarighed og feltets mindste amplitudeværdi. Med hensyn til moderne harddiske er indvirkningen af ​​to på hinanden følgende indbyrdes vinkelrette impulser med en varighed på mindst 1 ms hver, med en amplitudeværdi på mindst 1200 kA/m, påkrævet i hvert punkt i rummet optaget af en magnetisk transportør.

Degaussing deaktiverer normalt harddisken , da den ødelægger den lavniveau- formatering , der blev udført på fremstillingstidspunktet. Afgaussede disketter kan normalt omformateres og genbruges. Som følge af påvirkningen af ​​et pulseret magnetfelt på mere end 500 kA/m på en moderne harddisk er udbrænding af harddiskens mikroelektroniske elementer og (eller) beskadigelse af magnethovederne også en bivirkning.

I meget sikre miljøer kan entreprenøren blive bedt om at bruge en certificeret afmagnetiseringsanordning. For eksempel kan den amerikanske regering og forsvarsdepartementer være forpligtet til at bruge en afmagnetiseringsanordning på National Security Agency 's Approved Appliance List [5] .

Kryptering

Kryptering af data før skrivning kan mindske truslen om resterende information. Hvis krypteringsnøglen er stærk og korrekt kontrolleret (det vil sige, at den ikke i sig selv er et objekt for resterende information), kan alle data på enheden være uoprettelige. Selvom nøglen er gemt på harddisken, kan det være nemmere og hurtigere at overskrive kun nøglen end at overskrive hele drevet.

Kryptering kan udføres fil for fil eller hele disken på én gang . Men hvis nøglen er gemt, selv midlertidigt, på det samme system som dataene, kan den være underlagt resterende information og kan blive læst af en hacker. Se koldstøvlerangreb .

Fysisk ødelæggelse

Fysisk ødelæggelse af datalageret anses for at være den mest pålidelige måde at forhindre resterende information på, omend til den højeste pris. Processen er ikke kun tidskrævende og besværlig, den gør også udstyret ubrugeligt. Med nutidens høje optagelsestætheder kan selv et lille fragment af en enhed desuden indeholde en stor mængde data.

Udvalgte metoder til fysisk ødelæggelse omfatter:

  • Fysisk ødelæggelse af enheden i dele ved slibning, slibning osv.
  • brændende
  • Faseovergang (dvs. opløsning eller sublimering af en hel disk)
  • Påføring af ætsende reagenser, såsom syrer , på registreringsoverflader
  • For magnetiske enheder, opvarmning over Curie-punktet

Problemer

Utilgængelige enhedsområder

Der kan være områder i lagerenheder, der er blevet utilgængelige for konventionelle midler. For eksempel kan magnetiske diske markere nye "dårlige" sektorer, efter at data er blevet skrevet, og kassetter kræver mellemrum mellem skrivningerne. Moderne harddiske udfører ofte automatisk bevægelse af mindre sektorer af poster, som operativsystemet måske ikke engang kender til . Forsøg på at forhindre resterende information ved at overskrive kan mislykkes, fordi resterende data kan være til stede i formelt utilgængelige områder.

Komplekse lagringssystemer

Lagerenheder, der bruger forskellige sofistikerede metoder, kan føre til overskrivning af ineffektivitet , især når de anvendes på individuelle filer.

Journaliserede filsystemer øger dataforbindelsen ved at skrive, duplikere information og anvende transaktionssemantik . I sådanne systemer kan resterne af dataene være uden for den normale "placering" af filen.

Nogle filsystemer bruger copy-on-write eller har indbygget versionskontrol designet til aldrig at overskrive data, når der skrives til en fil.

Teknologier såsom RAID og anti - fragmenteringsforanstaltninger forårsager, at fildata bliver skrevet til flere steder på én gang, enten med vilje (for fejltolerance ) eller som data tilovers.

Optiske medier

Optiske medier er ikke magnetiske og er ikke genstand for afmagnetisering . Ikke-genskrivbare optiske medier ( CD-R , DVD-R osv.) kan heller ikke slettes ved at overskrive. Genskrivbare optiske medier, såsom CD-RW og DVD-RW , kan genskrives . Teknikker til pålidelig ødelæggelse af optiske diske omfatter: afskalning af det informationslagrende lag, makulering, brud med en lysbue (som når den placeres i en mikrobølgeovn) og anbringelse i et polycarbonatopløsningsmiddel (såsom acetone).

Data i RAM

Restinformation kan observeres i SRAM , som generelt anses for at være ikke-vedvarende (dvs. indholdet slettes, når strømmen slukkes). I forskning observeres forekomsten af ​​resterende information nogle gange selv ved stuetemperatur. [6]

En anden undersøgelse fandt resterende information i DRAM , igen med en henfaldstid på sekunder til minutter ved stuetemperatur og "en hel uge uden strøm ved afkøling med flydende nitrogen" [7] . Forfatterne af undersøgelsen var i stand til at bruge et koldstartangreb til at opnå en krypteringsnøgle til flere heldiskkrypteringssystemer . På trods af en vis hukommelsesfading var de i stand til at udnytte redundanser i form af lagring, der opstår efter transformation af nøgler til effektiv brug, såsom i nøglesekventering . Forfatterne anbefaler, at når du forlader computeren, skal du slukke den og ikke lade den være i " dvaletilstand ". Og hvis systemer som Bitlocker bruges , skal du indstille en boot- pinkode . [7]

Standarder

  • National Institute of Standards and Technology (USA) Special Publication 800-88: Guidelines for Media Sanitization [1]
  • DoD 5220.22-M : National Industrial Security Program Operating Manual (NISPOM)
    • Nylige revisioner indeholder ikke længere referencer til specifikke datadestruktionsteknikker. Standarder på dette område er overladt til Cognizant Security Authoritys skøn (kompetent sikkerhedsspecialist). [otte]
    • Selvom NISPOM ikke beskriver specifikke datadestruktionsteknikker, indeholdt tidligere revisioner (1995 og 1997) [9] specifikke beskrivelser af teknikkerne i DSS C&SM-tabellen indsat efter afsnit 8-306.
    • Forsvarets Sikkerhedstjeneste (DSS) leverer en Clearing and Sanitization Matrix (C&SM), som beskriver teknikkerne [4] .
    • Fra november 2007-revisionen af ​​DSS C&SM anses overskrivning nu for at være uegnet til makulering af magnetiske medier. Kun afmagnetisering (med en NSA godkendt afmagnetiseringsanordning) eller fysisk ødelæggelse anses for tilstrækkeligt.
  • NAVSO P5239-26 [1]
  • AFSSI-5020
  • AR380-19
  • Royal Canadian Mounted Police G2-003: Retningslinjer for fjernelse og ødelæggelse af sikker harddisk [10]
    • A/B/Fortrolige datalag: Tredobbelt overskrivning ved hjælp af RCMP DSX-software
    • Dataniveauer C/Hemmeligt/Tophemmeligt: ​​Fysisk ødelæggelse eller afgaussing

Se også

Software

Der er også mange andre hjælpeprogrammer til forskellige operativsystemer.

Noter

  1. 1 2 3 Speciel publikation 800-88: Guidelines for Media Sanitization (PDF)  (link ikke tilgængeligt) . NIST (september 2006). Hentet 8. december 2007. Arkiveret fra originalen 12. juli 2007. (542 KB)
  2. Peter Gutmann. Sikker sletning af data fra magnetisk og solid-state hukommelse (juli 1996). Hentet 10. december 2007. Arkiveret fra originalen 18. marts 2012.
  3. Daniel Feenberg. Kan efterretningstjenester gendanne overskrevne data? . Hentet 10. december 2007. Arkiveret fra originalen 18. marts 2012.
  4. 1 2 DSS Clearing & Sanitization Matrix (PDF). DSS (12. november 2007). Hentet: 25. november 2007.  (link ikke tilgængelig) (89 KB)
  5. Evaluerede produkter (downlink) . NSA. Hentet 10. december 2007. Arkiveret fra originalen 3. oktober 2006. 
  6. Sergej Skorobogatov. Lav temperatur data remanens i statisk RAM . University of Cambridge, Computer Laboratory (juni 2002). Hentet 19. september 2008. Arkiveret fra originalen 18. marts 2012.
  7. 1 2 J. Alex Halderman, et al. Lad os huske: Koldstartangreb på krypteringsnøgler (link utilgængeligt) (februar 2008). Hentet 22. maj 2016. Arkiveret fra originalen 4. september 2011. 
  8. Download NISPOM . DSS . Hentet: 25. november 2007.  (utilgængeligt link)
  9. Forældet NISPOM (PDF) (januar 1995; omfatter ændring 1, 31. juli 1997). Hentet 7. december 2007. Arkiveret fra originalen 18. marts 2012. med DSS Clearing and Sanitization Matrix .
  10. Retningslinjer for fjernelse og ødelæggelse af sikker harddisk (PDF)  (link ikke tilgængeligt) . Royal Canadian Mounted Police (oktober 2003). Hentet 19. september 2008. Arkiveret fra originalen 1. oktober 2004.

Links