Остаточная информация

Материал из Википедии — свободной энциклопедии
Перейти к: навигация, поиск

Остаточная информация — информация на запоминающем устройстве, оставшаяся от формально удалённых операционной системой данных. Информация может остаться из-за формального удаления файла или из-за физических свойств запоминающих устройств. Остаточная информация может привести к непреднамеренному распространению конфиденциальной информации, если хранилище данных окажется вне зоны контроля (например, будет выброшено с мусором или передано третьей стороне).

В настоящее время во избежание появления остаточной информации применяется множество методов. В зависимости от эффективности и назначения они подразделяются на очистку и уничтожение. Конкретные методики используют перезаписывание, размагничивание, шифрование и физическое уничтожение.

Причины[править | править исходный текст]

Многие ОС, файловые менеджеры и другое ПО предоставляют возможность не удалять файл немедленно, а перемещать файл в корзину, чтобы позволить пользователю легко исправить свою ошибку.

Но даже если возможность обратимого удаления явно не реализована или пользователь не применяет её, большинство операционных систем, удаляя файл, не удаляют содержимое файла непосредственно, просто потому, что это требует меньше операций и, чаще всего, быстрее. Вместо этого они просто удаляют запись о файле из директории файловой системы. Содержимое файла — реальные данные — остаётся на запоминающем устройстве. Данные существуют до тех пор, пока ОС не использует заново это пространство для новых данных. Во множестве систем остаётся достаточно системных метаданных для несложного восстановления при помощи широко доступных утилит. Даже если восстановление невозможно, данные, если не были перезаписаны, могут быть прочитаны ПО, читающим сектора диска напрямую. Программно-техническая экспертиза часто применяет подобное ПО.

Также, при форматировании, переразбиении на разделы или восстановлении образа системой не гарантируется запись по всей поверхности, хотя диск и выглядит пустым или, в случае восстановления образа, на нём видны только файлы, сохранённые в образе.

Наконец, даже если запоминающее устройство перезаписывается, физические особенности устройств делают возможным восстановление информации при помощи лабораторного оборудования благодаря, например, явлению остаточной намагниченности.[источник не указан 1720 дней]

Контрмеры[править | править исходный текст]

Очистка[править | править исходный текст]

Очистка — удаление конфиденциальной информации с записывающих устройств таким образом, что гарантируется, что данные не могут быть восстановлены с помощью обычных системных функций или утилит для восстановления файлов. Данные могут оставаться доступными для восстановления, но не без специальных лабораторных методов.[1]

Очистка, обычно, административная защита от непреднамеренного распространения данных внутри организации. Например, перед повторным использованием дискеты внутри организации, ее содержимое может быть очищено для предотвращения непреднамеренного распространения информации следующему пользователю.

Уничтожение[править | править исходный текст]

Уничтожение — удаление конфиденциальной информации с записывающего устройства так, чтобы данные не могли быть восстановлены никаким известным способом. Удаление, в зависимости от конфиденциальности данных, обычно совершается перед выходом устройства из-под надзора, как например, перед списанием оборудования или перемещением его на компьютер с другими требованиями по безопасности данных.

Методики[править | править исходный текст]

Перезаписывание[править | править исходный текст]

Распространенная методика для предотвращения остаточной информации — перезаписывание устройства новыми данными. Из-за того, что такие методики могут быть реализованы целиком на программной стороне и могут быть использованы на отдельной части запоминающего устройства, это популярная и недорогая опция для многих приложений. Перезаписывание вполне подходящий метод очистки, если устройство доступно на запись и не повреждено.

Простейшая реализация записывает повсюду одни и те же последовательности: чаще всего — серии нулей. Как минимум, так предотвращается получение данных с устройства посредством обычных системных функций.

Для противостояния более сложным методам восстановления, часто предустановлены конкретные шаблоны перезаписи. Это могут быть и обобщённые шаблоны, предназначенные для устранения отслеживаемых следов. Например, повторяющаяся запись перемежающихся шаблонов из единиц и нулей может быть более эффективной, чем запись одних нулей. Часто задаются сочетания шаблонов.

Проблема с перезаписыванием в том, что некоторые части диска могут быть недоступны из-за износа оборудования или других проблем. Программная перезапись также может быть проблематичной в высокозащищённых средах, со строгим контролем за смешиванием данных, обеспечиваемым программным обеспечением. Использование сложных технологий хранения также может сделать перезапись файлов неэффективной.

Осуществимость восстановления перезаписанных данных[править | править исходный текст]

Питер Гутман изучал в середине 1990-х восстановление данных с формально перезаписанных устройств. Он предположил, что магнитный микроскоп способен извлечь данные и разработал особые последовательности для конкретных видов дисков, предназначенных для предотвращения этого.[2] Эти последовательности известны как метод Гутмана.

Дэниел Финберг, экономист частной организации National Bureau of Economic Research, заявил, что любая возможность восстановить перезаписанные данные с современного жёсткого диска является «городской легендой».[3]

В ноябре 2007, Министерство Обороны США признала перезапись подходящей для очистки магнитных устройств, но не подходящей для уничтожения данных. Только размагничивание или физическое уничтожение считается подходящим.[4]

С другой стороны, согласно «Special Publication 800-88» (2006 г.) Национального института стандартов и технологий (США) (p. 7): «Исследования показали, что большинство современных устройств может быть очищено за одну перезапись» и «для жестких дисков ATA произведённых после 2001 г. (свыше 15 GB) термины очистка и уничтожение совпадают».[1]

Размагничивание[править | править исходный текст]

Размагничивание — удаление или ослабление магнитного поля. Применённое к магнитному носителю, размагничивание может уничтожить все данные быстро и эффективно. Используется прибор, называемый размагничиватель, предназначенный для уничтожения данных.

Согласно требований Министерства Обороны РФ от 2002г (с поправками 2011г)[источник не указан 151 день] данные считаются надежно уничтоженными если используется один из трех методов: воздействие на магнитный слой постоянного магнитного поля, переменного магнитного поля или импульсного магнитного поля. Для каждого типа магнитного носителя регламентируется направление вектора магнитной индукции (либо количество импульсов и их направления), минимальная продолжительность воздействия и минимальное амплитудное значение поля. Применительно к современным НЖМД требуется воздействие двумя последовательными взаимно-перпендикулярными импульсами длительностью не менее 1мс каждый, с амплитудным значением не менее 1200кА/м - в каждой точке пространства занимаемого магнитным носителем.

Размагничивание обычно выводит жёсткий диск из строя, так как уничтожает низкуровневое форматирование, производимое во время изготовления. Размагниченные дискеты, обычно, могут быть переформатированы и использованы заново. В результате воздействия импульсного магнитного поля более 500 кА/м на современный жесткий диск также побочным явлением является зачастую выгорание элементов микроэлектроники жесткого диска и(или) повреждение магнитных головок.

В высокозащищённых средах исполнитель может быть обязан использовать сертифицированный размагничиватель. Например, в правительстве и оборонных ведомствах США может быть предписано использовать размагничиватель из «Списка допущенных приборов» Агентства национальной безопасности [5].

Шифрование[править | править исходный текст]

Шифрование данных перед записью может ослабить угрозу остаточной информации. Если шифровальный ключ надёжен и правильно контролируется (то есть, сам не является объектом остаточной информации), то все данные на устройстве могут оказаться неизвлекаемыми. Даже если ключ хранится на жёстком диске, перезаписывание только ключа может оказаться проще и быстрее, чем всего диска.

Шифрование может производиться пофайлово или сразу всего диска. Тем не менее, если ключ хранится, даже временно, на той же системе, что и данные, он может быть объектом остаточной информации и может быть прочитан злоумышленником. См. атака через холодную перезагрузку.

Физическое уничтожение[править | править исходный текст]

Удаление данных может быть доверено субподрядчику.

Физическое уничтожение хранилища данных считается самым надежным способом предотвращения появления остаточной информации, хотя и за самую высокую цену. Не только сам процесс занимает время и обременителен, он также делает оборудование неработоспособным. Более того, при современных высоких плотностях записи, даже небольшой фрагмент устройства может содержать большой объем данных.

Отдельные методики физического уничтожения включают:

  • Физическое разрушение устройства на части путём размалывания, измельчения и т. д.
  • Сожжение
  • Фазовый переход (то есть растворение или возгонка целого диска)
  • Применение коррозийных реагентов, таких как кислоты, к записывающим поверхностям
  • Для магнитных устройств, нагрев выше точки Кюри

Проблемы[править | править исходный текст]

Недоступные области устройств[править | править исходный текст]

В запоминающих устройствах могут быть области, ставшие недоступными для обычных средств. Например, магнитные диски могут разметить новые «bad»-сектора, после того как данные были записаны, а кассеты требуют промежутков между записями. Современные жёсткие диски часто производят автоматические перемещения незначительных секторов записей, о которых может даже не знать ОС. Попытки предотвратить остаточную информацию посредством перезаписывания могут провалиться, так как остатки данных могут присутствовать в формально недоступных областях.

Сложные системы хранения[править | править исходный текст]

Запоминающие устройства, применяющие различные изощрённые методы, могут привести к неэффективности перезаписывания, особенно для применения к отдельным файлам.

Журналируемые файловые системы увеличивают связность данных, выполняя запись, дублируя информацию, и применяют семантику транзакций. В таких системах остатки данных могут находиться вне обычного «местонахождения» файла.

Некоторые файловые системы применяют копирование при записи или содержат встроенную систему управления версиями, предназначенные для того, чтобы никогда не перезаписывать данные при записи в файл.

Такие технологии как RAID и меры предотвращения фрагментации приводят к тому, что данные файла записываются сразу в несколько мест: либо намеренно (для устойчивости к отказам), либо как остатки данных.

Оптические носители[править | править исходный текст]

Оптические носители не магнитны и к ним не применимо размагничивание. Неперезаписываемые оптические носители (CD-R, DVD-R и т. д.) также не могут быть очищены путём перезаписывания. Перезаписываемые оптические носители, такие как CD-RW и DVD-RW, могут подвергаться перезаписыванию. Методики надёжного уничтожения оптических дисков включают: отслоение хранящего информацию слоя, измельчение, разрушение электрической дугой (как при помещении в микроволновую печь) и помещение в растворитель поликарбоната (например, ацетон).

Данные в RAM[править | править исходный текст]

Остаточная информация может наблюдаться в SRAM, которая обычно считается непостоянной (то есть содержимое стирается при выключении питания). В исследованиях, появление остаточной информации иногда наблюдается даже при комнатной температуре.[6]

В другом исследовании обнаружена остаточная информация в DRAM, вновь со временем затухания от секунд до минут при комнатной температуре и «целая неделя без питания при охлаждении жидким азотом»[7]. Авторы исследования смогли использовать атаку через холодную перезагрузку для получения ключа шифрования для нескольких систем шифрования всего диска. Несмотря на некоторое угасание памяти, они смогли использовать избыточности в форме хранения, возникающие после преобразования ключей для эффективного использования, такие как в последовательности ключей. Авторы рекомендуют, покидая компьютер, выключать его, а не оставлять в «спящем режиме». И, если используются системы вроде Bitlocker, устанавливать PIN-код на загрузку. [7]

Стандарты[править | править исходный текст]

  • Национальный институт стандартов и технологий (США) Special Publication 800-88: Guidelines for Media Sanitization (Рекомендации по уничтожению данных) [1]
  • DoD 5220.22-M: National Industrial Security Program Operating Manual (NISPOM, Рабочая Инструкция по Программе Национальной Промышленной Безопасности)
    • Последние редакции больше не содержат ссылок на конкретные методики уничтожения данных. Стандарты в этой области оставлены на усмотрение Cognizant Security Authority (Компетентного Специалиста по Безопасности).[8]
    • Хотя в NISPOM не описывается конкретных методик уничтожения данных, предыдущие редакции (1995 и 1997 годов)[9] содержали конкретные описания методик в таблице DSS C&SM вставленной после секции 8-306.
    • Defense Security Service (DSS, Оборонная Служба Безопасности) предоставляет Clearing and Sanitization Matrix (C&SM, Руководство по Очистке и Уничтожению) которое содержит описание методик[4].
    • В редакции за Ноябрь 2007 г. DSS C&SM, перезаписывание стало считаться неподходящим для уничтожения магнитных носителей. Только размагничивание (размагничивателем одобренным АНБ) или физическое уничтожение считается достаточным.
  • NAVSO P5239-26 [1]
  • AFSSI-5020
  • AR380-19
  • Royal Canadian Mounted Police (Канадская Королевская Конная Полиция) G2-003: Hard Drive Secure Information Removal and Destruction Guidelines (Руководство по Устранению и Уничтожению Конфиденциальной Информации на Жестких Дисках)[10]
    • Уровни данных A/B/Confidential: тройная перезапись с использованием ПО RCMP DSX
    • Уровни данных C/Secret/Top Secret: Физическое уничтожение или размагничивание

См. также[править | править исходный текст]

Программное обеспечение[править | править исходный текст]

  • Darik's Boot and Nuke
  • shred (входит в пакет GNU Coreutils)

Также существует множество других утилит для разных операционных систем

Примечания[править | править исходный текст]

  1. 1 2 3 Special Publication 800-88: Guidelines for Media Sanitization (PDF). NIST (September 2006). Проверено 8 декабря 2007. Архивировано из первоисточника 18 марта 2012. (542 KB)
  2. Peter Gutmann. Secure Deletion of Data from Magnetic and Solid-State Memory (July 1996). Проверено 10 декабря 2007. Архивировано из первоисточника 18 марта 2012.
  3. Daniel Feenberg. Can Intelligence Agencies Recover Overwritten Data?. Проверено 10 декабря 2007. Архивировано из первоисточника 18 марта 2012.
  4. 1 2 DSS Clearing & Sanitization Matrix (PDF). DSS (12 ноября 2007). Проверено 25 ноября 2007. (89 KB)
  5. Evaluated Products(недоступная ссылка — история). NSA. Проверено 10 декабря 2007. Архивировано из первоисточника 3 октября 2006.
  6. Sergei Skorobogatov. Low temperature data remanence in static RAM. University of Cambridge, Computer Laboratory (June 2002). Архивировано из первоисточника 18 марта 2012.
  7. 1 2 J. Alex Halderman, et al. Lest We Remember: Cold Boot Attacks on Encryption Keys (February 2008).
  8. Download NISPOM. DSS. Проверено 25 ноября 2007.
  9. Obsolete NISPOM (PDF) (January 1995; includes Change 1, July 31, 1997). Проверено 7 декабря 2007. Архивировано из первоисточника 18 марта 2012. with the DSS Clearing and Sanitization Matrix.
  10. Hard Drive Secure Information Removal and Destruction Guidelines (PDF)(недоступная ссылка — история). Royal Canadian Mounted Police (October 2003). Архивировано из первоисточника 1 октября 2004.

Ссылки[править | править исходный текст]