Войти
Остаточные данные - это остаточное представление цифровых данных это остается даже после попыток удалить или стереть данные. Этот остаток может быть результатом того, что данные остались нетронутыми в результате номинальной операции удаления файла, переформатирования носителя данных, при котором не удаляются данные, ранее записанные на носитель, или из-за физических свойств носителя данных , которые позволяют восстанавливать ранее записанные данные. Сохранение данных может сделать возможным непреднамеренное раскрытие конфиденциальной информации, если носитель данных будет выпущен в неконтролируемую среду (например, брошен в корзину или утерян).
Были разработаны различные методы противодействия остаточным данным. Эти методы классифицируются как очистка, очистка / дезинфекция или уничтожение. Конкретные методы включают перезапись, размагничивание, шифрование и уничтожение носителя.
Эффективное применение контрмер может быть затруднено несколькими факторами, в том числе носителями, которые недоступны, носители, которые невозможно стереть эффективно, современные системы хранения, которые поддерживают историю данных на протяжении всего жизненного цикла данных, и постоянство данных в памяти, которое обычно считается энергозависимым.
Существует несколько стандартов для безопасного удаления данных и устранения остаточных данных.
Многие операционные системы, файловые менеджеры и другое программное обеспечение предоставляют возможность, при которой файл не удаляется сразу , когда пользователь запрашивает это действие. Вместо этого файл перемещается в область хранения , что упрощает пользователю возможность исправить ошибку. Точно так же многие программные продукты автоматически создают резервные копии файлов, которые редактируются, чтобы позволить пользователю восстановить исходную версию или восстановиться после возможного сбоя (функция автосохранение ).
Даже когда явное средство хранения удаленных файлов не предусмотрено или когда пользователь не использует его, операционные системы фактически не удаляют содержимое файла при его удалении, если они не знают, что явные команды удаления требуется, как на твердотельном диске . (В таких случаях операционная система выдаст команду Serial ATA TRIM или команду SCSI UNMAP, чтобы диск знал, что больше не поддерживает удаленные данные..) Вместо этого они просто удаляют запись файла из каталога файловой системы , потому что это требует меньше работы и, следовательно, быстрее, а содержимое файла - фактические данные - остается на носителе. Данные будут оставаться там до тех пор, пока операционная система повторно не использует пространство для новых данных. В некоторых системах достаточно файловой системы метаданных, чтобы можно было легко восстановить с помощью общедоступной служебной программы. Даже когда восстановление невозможно, данные, пока они не будут перезаписаны, могут быть прочитаны программным обеспечением, которое считывает секторов диска напрямую. Компьютерная криминалистика часто использует такое программное обеспечение.
Аналогично, переформатирование, повторное разбиение или повторное создание образа системы вряд ли будут записывать в каждую область диска, хотя все это приведет к диск будет казаться пустым или, в случае повторного создания образа, пустым, за исключением файлов, присутствующих в образе, для большинства программ.
Наконец, даже когда носитель данных перезаписан, физические свойства носителя могут разрешить восстановление предыдущего содержимого. Однако в большинстве случаев это восстановление невозможно путем простого чтения с запоминающего устройства обычным способом, но требует использования лабораторных методов, таких как разборка устройства и прямой доступ / чтение из его компонентов.
В разделе о сложностях дается дальнейшее объяснение причин остаточной информации.
Для удаления остаточных данных обычно распознаются три уровня:
Очистка - это удаление конфиденциальных данных с устройств хранения в таком Таким образом, существует уверенность в том, что данные не могут быть восстановлены с использованием обычных функций системы или программных утилит для восстановления файлов / данных. Данные все еще можно восстановить, но не без специальных лабораторных методов.
Очистка обычно является административной защитой от случайного раскрытия в организации. Например, перед повторным использованием жесткого диска в организации его содержимое может быть очищено, чтобы предотвратить их случайное раскрытие следующему пользователю.
Очистка или дезинфекция - это физическая перезапись конфиденциальных данных из системы или устройства хранения с намерением, что данные не могут быть восстановлены. Очистка, пропорциональная конфиденциальности данных, обычно выполняется перед освобождением неконтролируемых носителей, например, перед тем, как выбросить старые носители или перенести носители на компьютер с другими требованиями безопасности.
Носитель данных стал непригодным для использования с обычным оборудованием. Эффективность уничтожения СМИ зависит от средства и метода. В зависимости от плотности записи на носителе и / или метода уничтожения данные могут быть восстановлены лабораторными методами. И наоборот, уничтожение с использованием соответствующих методов является наиболее надежным методом предотвращения извлечения.
Обычным методом, используемым для противодействия остаточным данным, является перезапись носителя новыми данными. Это часто называют стиранием или уничтожением файла или диска по аналогии с обычными методами уничтожения печатных носителей, хотя этот механизм не имеет ничего общего с ними. Поскольку такой метод часто может быть реализован только в программном обеспечении и может иметь возможность выборочно нацеливаться только на часть носителя, это популярный и недорогой вариант для некоторых приложений. Перезапись обычно является приемлемым методом очистки, если носитель доступен для записи и не поврежден.
Простейший метод перезаписи записывает везде одни и те же данные - часто просто набор всех нулей. Как минимум, это предотвратит получение данных простым повторным чтением с носителя с использованием стандартных системных функций.
В попытке противостоять более продвинутым методам восстановления данных часто предписываются определенные шаблоны перезаписи и несколько проходов. Это могут быть общие шаблоны, предназначенные для устранения любых сигнатур трассировки, например семипроходный шаблон: 0xF6, 0x00, 0xFF, random, 0x00, 0xFF, random; иногда ошибочно приписывается стандарту США DOD 5220.22-M.
Одна из проблем при перезаписи заключается в том, что некоторые области диска могут быть недоступными из-за ухудшения качества носителя или других ошибок. Перезапись программного обеспечения также может быть проблематичной в средах с высоким уровнем безопасности, где требуются более строгие меры контроля за объединением данных, чем может обеспечить используемое программное обеспечение. Использование передовых технологий хранения также может сделать перезапись файлов неэффективной (см. Обсуждение ниже в разделе Осложнения).
Существуют специализированные машины и программное обеспечение, которые могут выполнять перезапись. Иногда программное обеспечение может быть отдельной операционной системой, специально разработанной для уничтожения данных. Существуют также машины, специально разработанные для очистки жестких дисков в соответствии со спецификациями Министерства обороны США DOD 5220.22-M.
Питер Гутманн исследовал восстановление данных с номинально перезаписанных носителей в середине -1990-е гг. Он предположил, что магнитно-силовая микроскопия может быть в состоянии восстановить такие данные, и разработал определенные шаблоны для конкретных приводных технологий, предназначенные для противодействия такому. Эти закономерности стали известны как метод Гутмана.
Дэниел Финберг, экономист из частного Национального бюро экономических исследований, утверждает, что вероятность восстановления перезаписанных данных с современного жесткого диска сумма драйва до "городской легенды". Он также указывает на «18 ⁄ 2 -минутный промежуток » Роуз Мэри Вудс, созданный на записи Ричарда Никсона, обсуждающего Взлом Уотергейта. Стертую информацию в промежутке не удалось восстановить, и Финберг утверждает, что это было бы легкой задачей по сравнению с восстановлением современного цифрового сигнала высокой плотности.
По состоянию на ноябрь 2007 г. Министерство обороны США считает перезапись допустимой для очистки магнитных носителей в той же зоне / зоне безопасности, но не в качестве метода очистки. Для последнего приемлемо только размагничивание или физическое разрушение.
С другой стороны, согласно специальной публикации 800-88 2014 NIST Ред. 1 (стр. 7): «Для запоминающих устройств, содержащих магнитные носители, один проход перезаписи с фиксированным шаблоном, таким как двоичные нули, обычно препятствует восстановлению данных, даже если современные лабораторные методы применяются для попытки восстановления данных.. " Анализ Райта и др. Изучение методов восстановления, включая магнитно-силовую микроскопию, также приводит к выводу, что для современных приводов требуется всего лишь одно протирание. Они отмечают, что долгое время, необходимое для многократной очистки, «создало ситуацию, когда многие организации игнорируют проблему полностью, что приводит к утечке и потере данных».
Размагничивание - это удаление или уменьшение магнитного поля диска или привода с использованием устройства, называемого размагничивателем, которое было разработано для стираемых носителей. Применительно к магнитным носителям размагничивание может быстро и эффективно очистить весь медиа-элемент.
Размагничивание часто выводит жесткие диски из строя, так как стирает низкоуровневое форматирование , которое выполняется только на заводе во время производства. В некоторых случаях можно вернуть привод в рабочее состояние, отправив его на сервисное обслуживание у производителя. Однако некоторые современные устройства для размагничивания используют такой сильный магнитный импульс, что двигатель, вращающий пластины, может быть разрушен в процессе размагничивания, и обслуживание может быть нерентабельным. Ленточный компьютер с размагниченной пленкой, такой как DLT, обычно можно переформатировать и повторно использовать на стандартном потребительском оборудовании.
В некоторых средах с высоким уровнем безопасности может потребоваться использовать размагничиватель, одобренный для выполнения этой задачи. Например, в правительственных и военных юрисдикциях США может потребоваться использование устройства размагничивания из «Списка оцененных продуктов» NSA.
Шифрование данных перед их сохранением на носителе может снизить опасения по поводу остаточного хранения данных. Если ключ дешифрования является надежным и тщательно контролируется, он может фактически сделать невозможным восстановление любых данных на носителе. Даже если ключ хранится на носителе, может оказаться проще или быстрее перезаписать только ключ, а не весь диск. Этот процесс называется крипто-шредингом.
Шифрование может выполняться на основе файл за файлом или на всем диске. Атаки холодной загрузки - один из немногих возможных методов подрыва метода шифрования всего диска, поскольку нет возможности сохранить простой текстовый ключ в незашифрованном разделе носителя. См. Раздел Осложнения: данные в ОЗУ для дальнейшего обсуждения.
Другие атаки по побочным каналам (например, клавиатурные шпионы, получение письменной заметки, содержащей ключ дешифрования, или криптоанализ с резиновым шлангом ) может дать больше шансов на успех, но не полагайтесь на слабые стороны используемого криптографического метода. Таким образом, их актуальность для данной статьи незначительна.
Части физически разрушенного жесткого диска. Тщательное разрушение основного носителя информации - самый верный способ противодействовать остаточным данным. Однако этот процесс обычно трудоемкий, громоздкий и может потребовать чрезвычайно тщательных методов, поскольку даже небольшой фрагмент носителя может содержать большие объемы данных.
Конкретные методы уничтожения включают:
Носители данных могут иметь области, которые становятся недоступен обычными средствами. Например, на магнитных дисках могут образовываться новые поврежденные сектора после того, как данные были записаны, а ленты требуют промежутков между записями. Современные жесткие диски часто имеют перераспределение маргинальных секторов или дорожек, автоматизированное таким образом, что операционной системе не нужно с этим работать. Проблема особенно важна в твердотельных накопителях (SSD), которые используют относительно большие перемещенные таблицы сбойных блоков. Попытки противодействовать остаточным данным посредством перезаписи могут оказаться безуспешными в таких ситуациях, поскольку остатки данных могут сохраняться в таких номинально недоступных областях.
Системы хранения данных с более сложными функциями могут сделать перезапись неэффективной, особенно для отдельных файлов. Например, журналируемые файловые системы увеличивают целостность данных, записывая операции записи в нескольких местах и применяя семантику, подобную транзакции ; в таких системах остатки данных могут находиться в местах "за пределами" номинального места хранения файлов. Некоторые файловые системы также реализуют копирование при записи или встроенный контроль версий с намерением, чтобы запись в файл никогда не перезаписывала данные на месте. Кроме того, такие технологии, как RAID и методы защиты от фрагментации, могут привести к записи файловых данных в несколько мест либо по дизайну (для отказоустойчивости ), либо как остатки данных.
Выравнивание износа также может предотвратить стирание данных, перемещая блоки между моментом их первоначальной записи и временем их перезаписи. По этой причине некоторые протоколы безопасности, адаптированные для операционных систем или другого программного обеспечения с автоматическим выравниванием износа, рекомендуют провести очистку свободного места на данном диске, а затем скопировать множество небольших, легко идентифицируемых «ненужных» файлов или файлов, содержащих другие нечувствительные данные, для заполнения как большую часть этого диска, оставив только объем свободного пространства, необходимый для удовлетворительной работы системного оборудования и программного обеспечения. По мере роста требований к хранилищу и / или системе файлы «ненужных данных» могут быть удалены по мере необходимости, чтобы освободить место; даже если удаление файлов с "ненужными данными" небезопасно, их первоначальная нечувствительность сводит почти к нулю последствия восстановления оставшихся с них данных.
Как оптический Носители не являются магнитными, они не стираются при обычном размагничивании. Оптические носители с однократной записью (CD-R, DVD-R и т. Д.) Также нельзя очистить путем перезаписи. Перезаписываемые оптические носители, такие как CD-RW и DVD-RW, могут быть восприимчивы к перезаписи. Способы успешной дезинфекции оптических дисков включают расслоение или шлифовку металлического слоя данных, измельчение, сжигание, деструктивное искрение электрической дуги (например, при воздействии микроволновой энергии) и погружение в поликарбонатный растворитель (например, ацетон).
Исследования Центра магнитной записи и исследований Калифорнийского университета в Сан-Диего выявили проблемы, связанные со стиранием данных, хранящихся на твердотельных накопителях . (твердотельные накопители). Исследователи обнаружили три проблемы с файловым хранилищем на SSD:
Во-первых, встроенные команды эффективны, но производители иногда реализуют их неправильно. Во-вторых, двойной перезаписи всего видимого адресного пространства SSD обычно, но не всегда, достаточно для дезинфекции диска. В-третьих, ни один из существующих методов очистки отдельных файлов, ориентированных на жесткие диски, не эффективен на твердотельных накопителях.
Твердотельные накопители, основанные на флеш-памяти, отличаются от жестких дисков двумя способами: во-первых, способом хранения данных. хранится; и, во-вторых, в способе использования алгоритмов для управления этими данными и доступа к ним. Эти различия можно использовать для восстановления ранее стертых данных. Твердотельные накопители поддерживают уровень косвенного обращения между логическими адресами, используемыми компьютерными системами для доступа к данным, и внутренними адресами, которые определяют физическое хранилище. Этот уровень косвенного обращения скрывает своеобразные медиаинтерфейсы и увеличивает производительность, надежность и срок службы SSD (см. выравнивание износа ); но он также может создавать копии данных, которые невидимы для пользователя и которые может восстановить опытный злоумышленник. Было установлено, что для очистки целых дисков команды очистки, встроенные в оборудование SSD, эффективны при правильной реализации, а программные методы очистки целых дисков работают в большинстве, но не во всех случаях. При тестировании ни один из программных методов не оказался эффективным для очистки отдельных файлов. К ним относятся такие известные алгоритмы, как метод Гутмана, US DoD 5220.22-M, RCMP TSSIT OPS-II, Schneier 7 Pass и Secure Empty Trash в Mac OS (функция включена в версии OS X 10.3-10.9).
Функция TRIM во многих SSD-устройствах, если она реализована должным образом, в конечном итоге приведет к стиранию данных после их удаления, но процесс может занять некоторое время, обычно несколько минут. Многие старые операционные системы не поддерживают эту функцию, и не все комбинации дисков и операционных систем работают.
В статической памяти с произвольным доступом наблюдалась остаточность данных. (SRAM), который обычно считается непостоянным (т. Е. Содержимое ухудшается с потерей внешнего питания). В одном исследовании сохранение данных наблюдалось даже при комнатной температуре.
Сохранение данных также наблюдалось в динамической памяти с произвольным доступом (DRAM). Современные микросхемы DRAM имеют встроенный модуль самообновления, так как им не только требуется источник питания для хранения данных, но также необходимо периодически обновлять их, чтобы содержимое данных не исчезло из-за конденсаторов в их интегральных схемах. Исследование показало, что данные в DRAM сохраняются в памяти от секунд до минут при комнатной температуре и «целую неделю без обновления при охлаждении жидким азотом». Авторы исследования смогли использовать атаку холодной загрузки для восстановления криптографических ключей для нескольких популярных систем полного шифрования диска, включая Microsoft BitLocker, Apple FileVault, dm-crypt для Linux и TrueCrypt.
. Несмотря на некоторую деградацию памяти, авторы описанного выше исследования смогли воспользоваться преимуществом избыточности в способ хранения ключей после того, как они были расширены для эффективного использования, например, в планирование ключей. Авторы рекомендуют выключать компьютеры, а не оставлять их в состоянии «сна », когда владелец не контролирует их физически. В некоторых случаях, например в некоторых режимах программы BitLocker, авторы рекомендуют использовать пароль загрузки или ключ на съемном USB-устройстве. TRESOR - это ядро патч для Linux, специально предназначенный для предотвращения атак холодной загрузки на RAM, гарантируя, что ключи шифрования недоступны для пользователя и не хранятся в RAM. Более новые версии программного обеспечения для шифрования дисков VeraCrypt могут шифровать ключи и пароли в ОЗУ в 64-битной Windows.
