Jäännöstiedot

Jäännöstiedot  - tallennuslaitteen tiedot, jotka jäävät käyttöjärjestelmän virallisesti poistamista tiedoista . Tietoja saattaa jäädä tiedoston muodollisen poistamisen tai tallennuslaitteiden fyysisten ominaisuuksien vuoksi. Jäännöstiedot voivat johtaa arkaluonteisten tietojen tahattomaan levittämiseen, jos tietovarasto ei ole hallinnassa (esimerkiksi heitetään roskakoriin tai annetaan kolmannelle osapuolelle).

Tällä hetkellä käytetään monia menetelmiä jäännöstietojen ilmaantumisen välttämiseksi. Tehokkuudesta ja tarkoituksesta riippuen ne jaetaan puhdistukseen ja tuhoamiseen . Tietyt tekniikat käyttävät päällekirjoittamista , desinfiointia , salausta ja fyysistä tuhoamista .

Syyt

Monet käyttöjärjestelmät , tiedostonhallintaohjelmat ja muut ohjelmistot tarjoavat mahdollisuuden olla poistamatta tiedostoa välittömästi, vaan siirtää tiedosto roskakoriin , jotta käyttäjä voi helposti korjata virheensä.

Mutta vaikka pehmeän poiston ominaisuutta ei ole otettu käyttöön tai käyttäjä ei käytä sitä, useimmat käyttöjärjestelmät eivät poista tiedoston sisältöä suoraan, koska se vaatii vähemmän toimintoja ja useimmiten nopeammin. Sen sijaan he yksinkertaisesti poistavat tiedoston merkinnän tiedostojärjestelmän hakemistosta . Tiedoston sisältö - varsinaiset tiedot - jää tallennuslaitteeseen. Tiedot ovat olemassa, kunnes käyttöjärjestelmä käyttää tilan uudelleen uusille tiedoille. Monissa järjestelmissä on jäljellä riittävästi järjestelmän metatietoja , jotta ne voidaan palauttaa helposti laajasti saatavilla olevien apuohjelmien avulla . Vaikka palautus ei olisi mahdollista, levyn sektoreita suoraan lukeva ohjelmisto voi lukea tiedot, jos niitä ei kirjoiteta päälle . Ohjelmistot ja tekninen asiantuntemus käyttävät usein tällaisia ​​ohjelmistoja.

Myöskään kuvaa formatoitaessa , osioitaessa tai palautettaessa järjestelmä ei takaa kirjoittavan koko pinnalle, vaikka levy näyttää tyhjältä tai kuvanpalautuksen yhteydessä vain kuvaan tallennetut tiedostot näkyvät sillä.

Lopuksi, vaikka tallennuslaite kirjoitettaisiin päälle, laitteiden fyysiset ominaisuudet mahdollistavat tiedon palauttamisen laboratoriolaitteistolla esimerkiksi remanenssiilmiön vuoksi.

Vastatoimenpiteet

Puhdistus

Puhdistus  - Luottamuksellisten tietojen poistaminen tallennuslaitteista siten, että on taattu, ettei tietoja voida palauttaa normaaleilla järjestelmätoiminnoilla tai tiedostojen palautusohjelmilla. Tiedot voivat jäädä saataville palautusta varten, mutta ei ilman erityisiä laboratoriomenetelmiä. [yksi]

Puhdistus on yleensä hallinnollinen suojaus tahatonta tietojen leviämistä vastaan ​​organisaation sisällä. Esimerkiksi ennen kuin levykettä käytetään uudelleen organisaatiossa, sen sisältö voidaan puhdistaa, jotta estetään tietojen vahingossa jakaminen seuraavalle käyttäjälle.

Tuhoa

Tuhoaminen  on luottamuksellisen tiedon poistamista tallennuslaitteesta siten, että tietoja ei voida palauttaa millään tunnetulla tavalla. Tietojen herkkyydestä riippuen poisto tehdään yleensä ennen laitteen vapauttamista valvonnasta, esimerkiksi ennen laitteiston purkamista tai siirtämistä tietokoneelle, jolla on erilaiset tietoturvavaatimukset.

Tekniikat

Uudelleenkirjoittaminen

Yleinen tekniikka jäännöstietojen estämiseksi on korvata laite uusilla tiedoilla. Koska tällaiset tekniikat voidaan toteuttaa kokonaan ohjelmistossa ja niitä voidaan käyttää tallennuslaitteen erillisessä osassa, tämä on suosittu ja halpa vaihtoehto monille sovelluksille. Korvaaminen on täysin hyväksyttävä puhdistusmenetelmä, kunhan laite on kirjoitettava ja vahingoittumaton.

Yksinkertaisin toteutus kirjoittaa samat sekvenssit kaikkialle: useimmiten nollien sarja. Tämä ainakin estää tietojen hakemisen laitteesta normaalien järjestelmätoimintojen kautta.

Monimutkaisempien palautusmenetelmien torjumiseksi on usein esiasennettu tiettyjä päällekirjoitusmalleja. Nämä voivat olla myös yleisiä kuvioita, jotka on suunniteltu poistamaan jäljitetyt jäljet. Esimerkiksi ykkösten ja nollien vuorottelevien kuvioiden kirjoittaminen toistuvasti voi olla tehokkaampaa kuin kaikkien nollien kirjoittaminen. Kuvioyhdistelmät määritellään usein.

Korvauksen ongelmana on, että joihinkin levyn osiin ei voi päästä käsiksi laitteiston kulumisen tai muiden ongelmien vuoksi. Ohjelmiston päällekirjoittaminen voi olla ongelmallista myös erittäin turvallisissa ympäristöissä, joissa ohjelmiston tarjoama tiedon sekoittaminen on tiukasti hallinnassa. Kehittyneiden tallennustekniikoiden käyttö voi myös tehdä tiedostojen päällekirjoittamisesta tehotonta.

Mahdollisuus palauttaa päällekirjoitetut tiedot

Peter Gutman tutki tietojen palautusta muodollisesti päällekirjoitetuista laitteista 1990-luvun puolivälissä. Hän oletti, että magneettimikroskooppi voisi poimia tiedot, ja kehitti erityisiä levykohtaisia ​​sekvenssejä tämän estämiseksi. [2] Nämä sekvenssit tunnetaan Gutmannin menetelmänä .

Yksityisomistuksessa olevan National Bureau of Economic Researchin ekonomisti Daniel Finberg sanoi, että mikä tahansa mahdollisuus palauttaa päällekirjoitettuja tietoja modernilta kiintolevyltä on " urbaani legenda ". [3]

Marraskuussa 2007 Yhdysvaltain puolustusministeriö katsoi, että päällekirjoitus soveltuu magneettisten laitteiden puhdistamiseen, mutta ei sovellu tietojen poistamiseen. Ainoastaan ​​päästöjen poistaminen tai fyysinen tuhoaminen katsotaan tarkoituksenmukaiseksi. [neljä]

Toisaalta National Institute of Standards and Technology (USA) "Special Publication 800-88" (2006) (s. 7) mukaan: "Tutkimukset ovat osoittaneet, että useimmat nykyaikaiset laitteet voidaan tyhjentää yhdellä korvauksella" ja "vuoden 2001 jälkeen valmistetuille kiintolevyille (yli 15 Gt) pyyhkiminen ja silppuaminen ovat samat." [yksi]

Degaussing

Demagnetointi  on magneettikentän poistamista tai heikentämistä. Magneettisiin tietovälineisiin sovellettu purkaminen voi tuhota kaikki tiedot nopeasti ja tehokkaasti. Demagnetisoijaksi kutsuttua laitetta käytetään tietojen tuhoamiseen.

Venäjän federaation puolustusministeriön vuoden 2002 vaatimusten mukaisesti (sellaisena kuin se on muutettuna vuonna 2011) tietojen katsotaan tuhoutuneen turvallisesti, jos käytetään yhtä kolmesta menetelmästä: magneettikerroksen altistaminen jatkuvalle magneettikentälle, vaihtuvalle magneettikentälle tai pulssimagneettikentälle. Jokaisen magneettisen kantoaallon tyypin osalta säädellään magneettisen induktiovektorin suuntaa (tai pulssien lukumäärää ja niiden suuntaa), valotuksen vähimmäiskestoa ja kentän vähimmäisamplitudiarvoa. Nykyaikaisten kiintolevyasemien osalta vaaditaan kahden peräkkäisen, keskenään kohtisuoran, vähintään 1 ms:n kestoisen pulssin vaikutus, joiden amplitudiarvo on vähintään 1200 kA/m, jokaisessa magneettisen tilan pisteessä. harjoittaja.

Degaussing yleensä poistaa kiintolevyn käytöstä , koska se tuhoaa valmistushetkellä tehdyn matalan tason alustuksen . Degausoidut levykkeet voidaan yleensä alustaa uudelleen ja käyttää uudelleen. Yli 500 kA/m pulssimagneettikentän vaikutuksen seurauksena nykyaikaiseen kovalevyyn kiintolevyn mikroelektronisten elementtien palaminen ja (tai) magneettipäiden vaurioituminen ovat myös sivuvaikutuksia.

Erittäin turvallisissa ympäristöissä urakoitsijaa voidaan vaatia käyttämään sertifioitua demagnetoijaa. Esimerkiksi Yhdysvaltain hallitusta ja puolustusministeriöitä voidaan vaatia käyttämään demagnetisoijaa National Security Agencyn hyväksyttyjen laitteiden luettelossa [5] .

Salaus

Tietojen salaus ennen kirjoittamista voi vähentää jäännöstiedon vaaraa. Jos salausavain on vahva ja oikein hallittu (eli se ei ole itse jäännösinformaation kohde), kaikki laitteen tiedot eivät välttämättä ole palautettavissa. Vaikka avain olisi tallennettu kiintolevylle, pelkän avaimen päällekirjoittaminen voi olla helpompaa ja nopeampaa kuin koko aseman korvaaminen.

Salaus voidaan tehdä tiedosto kerrallaan tai koko levylle kerralla . Jos avain kuitenkin tallennetaan, vaikkakin väliaikaisesti, samaan järjestelmään tietojen kanssa, se saattaa sisältää jäännöstietoja ja hyökkääjä voi lukea sen. Katso kylmäkäynnistyshyökkäys .

Fyysinen tuho

Tietovaraston fyysistä tuhoamista pidetään luotettavimpana tapana estää jäännösinformaatiota, vaikkakin korkeimmalla hinnalla. Prosessi ei ole vain aikaa vievä ja raskas, vaan myös tekee laitteista käyttökelvottomia. Lisäksi nykypäivän suurilla tallennustiheyksillä jopa pieni osa laitteesta voi sisältää suuren määrän dataa.

Valittuja fyysisen tuhoamisen menetelmiä ovat:

Ongelmia

Käyttökelvottomat laitealueet

Tallennuslaitteissa saattaa olla alueita, joihin ei ole pääsyä tavanomaisilla keinoilla. Esimerkiksi magneettilevyt voivat merkitä uusia "huonoja" sektoreita tietojen kirjoittamisen jälkeen, ja kasetit vaativat aukkoja kirjoitusten välillä. Nykyaikaiset kiintolevyt suorittavat usein automaattista pienten tietuesektorien siirtoa, josta käyttöjärjestelmä ei välttämättä edes tiedä . Yritykset estää jäännöstiedot päällekirjoituksella voivat epäonnistua, koska jäännöstiedot voivat olla muodollisesti saavuttamattomissa alueilla.

Monimutkaiset tallennusjärjestelmät

Erilaisia ​​kehittyneitä menetelmiä käyttävät tallennuslaitteet voivat johtaa päällekirjoituksen tehottomuuteen , varsinkin kun niitä käytetään yksittäisiin tiedostoihin.

Kirjatut tiedostojärjestelmät lisäävät datayhteyttä kirjoittamalla, monistamalla tietoja ja soveltamalla tapahtumasemantiikkaa . Tällaisissa järjestelmissä tietojen jäännökset voivat olla tiedoston normaalin "sijainnin" ulkopuolella.

Jotkut tiedostojärjestelmät käyttävät kopiointia kirjoittaessa -toimintoa tai niissä on sisäänrakennettu versionhallinta , joka ei koskaan korvaa tietoja tiedostoon kirjoitettaessa.

Teknologiat, kuten RAID ja pirstoutumisenestotoimenpiteet , saavat tiedostotiedot kirjoitettua useisiin paikkoihin kerralla joko tarkoituksella ( vikasietoisuuden vuoksi ) tai ylijäämätietoina.

Optinen media

Optinen media ei ole magneettinen eikä demagnetisoitu . Ei-uudelleenkirjoitettavia optisia tietovälineitä ( CD-R , DVD-R jne.) ei myöskään voi poistaa päällekirjoittamalla. Uudelleenkirjoitettavat optiset tietovälineet, kuten CD-RW ja DVD-RW , voivat olla uudelleenkirjoitettavia . Optisten levyjen luotettavan tuhoamisen tekniikoita ovat: tietoa tallentavan kerroksen kuoriminen, silppuaminen, katkaisu sähkökaarella (kuten mikroaaltouuniin asetettuna) ja polykarbonaattiliuottimeen (kuten asetoni) asettaminen.

Tiedot RAM-muistissa

Jäännöstiedot voidaan havaita SRAM -muistissa , jota pidetään yleensä ei-pysyvänä (eli sisältö poistetaan, kun virta katkaistaan). Tutkimuksessa jäännösinformaation ilmaantumista havaitaan joskus jopa huoneenlämmössä. [6]

Toisessa tutkimuksessa löydettiin DRAM -muistista jäännöstietoa , vaimenemisaika sekunneista minuutteihin huoneenlämmössä ja "kokonainen viikko ilman virtaa nestemäisellä typellä jäähdytettynä" [7] . Tutkimuksen tekijät pystyivät käyttämään kylmäkäynnistyshyökkäystä saadakseen salausavaimen useille koko levyn salausjärjestelmille . Huolimatta jonkin verran muistin häipymisestä, ne pystyivät hyödyntämään redundanssia tallennusmuodossa, joka ilmenee avainten muuntamisen jälkeen tehokkaaseen käyttöön, kuten avainsekvenssiin . Kirjoittajat suosittelevat, että kun poistut tietokoneesta, sammuta se, äläkä jätä sitä " lepotilaan ". Ja jos käytetään järjestelmiä, kuten Bitlocker , aseta käynnistys- PIN . [7]

Standardit

  • National Institute of Standards and Technology (USA) -erikoisjulkaisu 800-88: Guidelines for Media Sanitization [1]
  • DoD 5220.22-M : National Industrial Security Program Operating Manual (NISPOM)
    • Viimeaikaiset versiot eivät enää sisällä viittauksia tiettyihin tietojen tuhoamistekniikoihin. Tämän alan standardit on jätetty Cognizant Security Authorityn (pätevän turvallisuusasiantuntijan) harkinnan varaan. [kahdeksan]
    • Vaikka NISPOM ei kuvaa tiettyjä tietojen tuhoamistekniikoita, aiemmat versiot (1995 ja 1997) [9] sisälsivät erityisiä kuvauksia tekniikoista DSS C&SM -taulukossa, joka lisättiin kohdan 8-306 jälkeen.
    • Defence Security Service (DSS) tarjoaa Clearing and Sanitization Matrixin (C&SM), joka kuvaa tekniikat [4] .
    • DSS C&SM:n marraskuun 2007 versiosta lähtien päällekirjoitusta ei pidetä nyt sopivana magneettisen median silppuamiseen. Vain demagnetointi (NSA:n hyväksymällä demagnetoijalla) tai fyysinen tuhoaminen katsotaan riittäväksi.
  • NAVSO P5239-26 [1]
  • AFSSI-5020
  • AR380-19
  • Royal Canadian Mounted Police G2-003: Kiintolevyn suojattujen tietojen poistamis- ja tuhoamisohjeet [10]
    • A/B/luottamukselliset tietokerrokset: Kolminkertainen päällekirjoitus RCMP DSX -ohjelmistolla
    • Tietotasot C/Salainen/Täysin salainen: Fyysinen tuhoaminen tai degaussing

Katso myös

Ohjelmisto

  • Darik's Boot ja Nuke
  • silppua (sisältyy GNU Coreutils -pakettiin )

Eri käyttöjärjestelmille on myös monia muita apuohjelmia.

Muistiinpanot

  1. 1 2 3 Erikoisjulkaisu 800-88: Guidelines for Media Sanitization (PDF)  (linkki ei saatavilla) . NIST (syyskuu 2006). Haettu 8. joulukuuta 2007. Arkistoitu alkuperäisestä 12. heinäkuuta 2007. (542 kt)
  2. Peter Gutmann. Tietojen turvallinen poistaminen magneettisesta ja solid-state-muistista (heinäkuu 1996). Haettu 10. joulukuuta 2007. Arkistoitu alkuperäisestä 18. maaliskuuta 2012.
  3. Daniel Feenberg. Voivatko tiedustelupalvelut palauttaa päällekirjoitetut tiedot? . Haettu 10. joulukuuta 2007. Arkistoitu alkuperäisestä 18. maaliskuuta 2012.
  4. 1 2 DSS Clearing & Sanitization Matrix (PDF). DSS (12. marraskuuta 2007). Haettu: 25. marraskuuta 2007.  (linkki ei saatavilla) (89 kt)
  5. Arvioidut tuotteet (downlink) . NSA. Haettu 10. joulukuuta 2007. Arkistoitu alkuperäisestä 3. lokakuuta 2006. 
  6. Sergei Skorobogatov. Alhaisen lämpötilan tietojen remanenssi staattisessa RAM-muistissa . Cambridgen yliopisto, tietokonelaboratorio (kesäkuu 2002). Haettu 19. syyskuuta 2008. Arkistoitu alkuperäisestä 18. maaliskuuta 2012.
  7. 1 2 J. Alex Halderman, et ai. Ettemme muista: Cold Boot -hyökkäykset salausavaimiin (linkki ei saatavilla) (helmikuu 2008). Haettu 22. toukokuuta 2016. Arkistoitu alkuperäisestä 4. syyskuuta 2011. 
  8. Lataa NISPOM . DSS . Haettu: 25. marraskuuta 2007.  (linkki, jota ei voi käyttää)
  9. Vanhentunut NISPOM (PDF) (tammikuu 1995; sisältää muutoksen 1, 31. heinäkuuta 1997). Haettu 7. joulukuuta 2007. Arkistoitu alkuperäisestä 18. maaliskuuta 2012. DSS Clearing and Sanitization Matrixin kanssa .
  10. Hard Drive Secure Information Removal and Destruction Guidelines (PDF)  (linkki ei saatavilla) . Kanadan kuninkaallinen ratsupoliisi (lokakuu 2003). Haettu 19. syyskuuta 2008. Arkistoitu alkuperäisestä 1. lokakuuta 2004.

Linkit