Остаток данных — это остаточное представление цифровых данных , которое остается даже после попыток удалить или стереть данные. Этот остаток может быть результатом того, что данные остались нетронутыми в результате номинальной операции удаления файлов , переформатирования носителя, которое не удаляет ранее записанные на него данные, или из-за физических свойств носителя , которые позволяют восстановить ранее записанные данные. Остаток данных может сделать возможным непреднамеренное раскрытие конфиденциальной информации , если носитель будет выпущен в неконтролируемую среду ( например , выброшен в мусорное ведро или утерян).
Для противодействия остаточному движению данных были разработаны различные методы. Эти методы классифицируются как очистка, очистка/санация или уничтожение. Конкретные методы включают перезапись, размагничивание, шифрование и уничтожение носителя.
Эффективное применение контрмер может быть осложнено рядом факторов, включая недоступные носители, носители, которые невозможно эффективно стереть, передовые системы хранения, которые поддерживают историю данных на протяжении всего жизненного цикла данных, а также сохранение данных в памяти, которая обычно считается нестабильной.
Существует несколько стандартов для безопасного удаления данных и устранения остаточной намагниченности данных.
Многие операционные системы , файловые менеджеры и другое программное обеспечение предоставляют возможность, при которой файл не удаляется немедленно , когда пользователь запрашивает это действие. Вместо этого файл перемещается в область хранения (т. е. «корзину»), что позволяет пользователю легко отменить ошибку. Аналогично, многие программные продукты автоматически создают резервные копии файлов, которые редактируются, чтобы позволить пользователю восстановить исходную версию или восстановиться после возможного сбоя ( функция автосохранения ).
Даже когда не предусмотрено явное средство сохранения удаленных файлов или когда пользователь им не пользуется, операционные системы фактически не удаляют содержимое файла при его удалении, если только они не знают, что требуются явные команды стирания, как на твердотельном диске . (В таких случаях операционная система выдаст команду Serial ATA TRIM или команду SCSI UNMAP, чтобы сообщить диску о том, что больше не нужно сохранять удаленные данные.) Вместо этого они просто удаляют запись файла из каталога файловой системы, поскольку это требует меньше работы и, следовательно, быстрее, а содержимое файла — фактические данные — остается на носителе . Данные будут оставаться там до тех пор, пока операционная система не использует пространство повторно для новых данных. В некоторых системах также остается достаточно метаданных файловой системы, чтобы обеспечить легкое восстановление с помощью общедоступного служебного программного обеспечения . Даже когда восстановление стало невозможным, данные, пока они не были перезаписаны, могут быть прочитаны программным обеспечением, которое напрямую считывает секторы диска . Компьютерная криминалистика часто использует такое программное обеспечение.
Аналогично, переформатирование , повторное разбиение на разделы или повторное создание образа системы вряд ли приведет к записи данных во все области диска, хотя в любом случае диск будет казаться пустым или, в случае повторного создания образа, пустым, за исключением файлов, присутствующих в образе, для большинства программ.
Наконец, даже если носитель перезаписан, физические свойства носителя могут позволить восстановить предыдущее содержимое. Однако в большинстве случаев это восстановление невозможно путем простого чтения с устройства хранения обычным способом, а требует использования лабораторных методов, таких как разборка устройства и прямой доступ/чтение с его компонентов.
§ В разделе «Осложнения» ниже даются дополнительные объяснения причин остаточной намагниченности данных.
Существует три общепринятых уровня устранения остаточных данных:
Очистка — это удаление конфиденциальных данных с устройств хранения таким образом, что есть уверенность в том, что данные не могут быть восстановлены с помощью обычных системных функций или программных утилит восстановления файлов/данных. Данные все еще могут быть восстановлены, но не без специальных лабораторных методов. [1]
Очистка обычно является административной защитой от случайного раскрытия в организации. Например, перед повторным использованием жесткого диска в организации его содержимое может быть очищено, чтобы предотвратить его случайное раскрытие следующему пользователю.
Очистка или санация — это физическая перезапись конфиденциальных данных из системы или устройства хранения, выполняемая с конкретной целью сделать данные невосстановимыми в будущем. [2] Очистка, пропорциональная конфиденциальности данных, обычно выполняется перед тем, как вывести носитель из-под контроля, например, перед утилизацией старого носителя или перемещением носителя на компьютер с другими требованиями безопасности.
Носитель информации становится непригодным для использования на обычном оборудовании. Эффективность уничтожения носителя зависит от носителя и метода. В зависимости от плотности записи носителя и/или метода уничтожения, это может привести к восстановлению данных лабораторными методами. Напротив, уничтожение с использованием соответствующих методов является наиболее безопасным методом предотвращения извлечения.
Распространенным методом, используемым для противодействия остаточности данных, является перезапись носителя информации новыми данными. Это часто называют стиранием или уничтожением диска или файла по аналогии с распространенными методами уничтожения печатных носителей , хотя механизм не имеет с ними ничего общего. Поскольку такой метод часто может быть реализован только в программном обеспечении и может избирательно воздействовать только на часть носителя, он является популярным и недорогим вариантом для некоторых приложений. Перезапись, как правило, является приемлемым методом очистки, если носитель доступен для записи и не поврежден.
Простейший метод перезаписи записывает одни и те же данные везде — часто просто шаблон из одних нулей. Как минимум, это предотвратит извлечение данных простым повторным чтением с носителя с использованием стандартных системных функций.
В попытке противостоять более продвинутым методам восстановления данных часто предписывались определенные шаблоны перезаписи и множественные проходы. Это могут быть общие шаблоны, предназначенные для искоренения любых следовых сигнатур; примером является семипроходный шаблон 0xF6 , 0x00 , 0xFF , <random byte> , 0x00 , 0xFF , <random byte> , иногда ошибочно приписываемый стандарту США DOD 5220.22-M .
Одной из проблем с перезаписью является то, что некоторые области диска могут быть недоступны из-за ухудшения состояния носителя или других ошибок. Программная перезапись также может быть проблематичной в средах с высоким уровнем безопасности, где требуется более строгий контроль смешивания данных, чем может обеспечить используемое программное обеспечение. Использование передовых технологий хранения также может сделать перезапись на основе файлов неэффективной (см. соответствующее обсуждение ниже в разделе ).
Существуют специализированные машины и программное обеспечение, способные выполнять перезапись. Иногда программное обеспечение может быть отдельной операционной системой, специально разработанной для уничтожения данных. Существуют также машины, специально разработанные для стирания жестких дисков в соответствии со спецификациями Министерства обороны США DOD 5220.22-M. [3]
Питер Гутманн исследовал восстановление данных с номинально перезаписанных носителей в середине 1990-х годов. Он предположил, что магнитно-силовая микроскопия может быть способна восстановить такие данные, и разработал специальные шаблоны для определенных технологий приводов, предназначенных для противодействия таким. [4] Эти шаблоны стали известны как метод Гутмана .
Дэниел Финберг, экономист из частного Национального бюро экономических исследований , утверждает, что вероятность восстановления перезаписанных данных с современного жесткого диска составляет «городскую легенду». [5] Он также указывает на « 18 + 1 ⁄ 2 -минутный пробел », созданный Роуз Мэри Вудс на пленке Ричарда Никсона, обсуждающего взлом Уотергейта . Стертая информация в пробеле не была восстановлена, и Финберг утверждает, что сделать это было бы легкой задачей по сравнению с восстановлением современного цифрового сигнала высокой плотности.
По состоянию на ноябрь 2007 года Министерство обороны США считает перезапись приемлемой для очистки магнитных носителей в пределах одной и той же зоны безопасности, но не как метод очистки. Для последнего приемлемы только размагничивание или физическое уничтожение. [6]
С другой стороны, согласно Специальной публикации NIST 800-88 Rev. 1 2014 года (стр. 7): «Для устройств хранения, содержащих магнитные носители, один проход перезаписи с фиксированным шаблоном, таким как двоичные нули, как правило, препятствует восстановлению данных, даже если для попытки извлечь данные применяются самые современные лабораторные методы». [7] Анализ Райта и др. методов восстановления, включая магнитно-силовую микроскопию, также приходит к выводу, что для современных дисков достаточно одного стирания. Они отмечают, что длительное время, необходимое для многократного стирания, «создало ситуацию, когда многие организации игнорируют эту проблему [в целом], что приводит к утечкам и потере данных». [8]
Размагничивание — это удаление или уменьшение магнитного поля диска или привода с помощью устройства, называемого размагничивателем, которое было разработано для стираемого носителя. Применительно к магнитным носителям размагничивание может быстро и эффективно очистить весь элемент носителя.
Размагничивание часто делает жесткие диски неработоспособными, так как стирает низкоуровневое форматирование , которое выполняется только на заводе во время производства. В некоторых случаях можно вернуть диск в рабочее состояние, отдав его на обслуживание производителю. Однако некоторые современные размагничиватели используют настолько сильный магнитный импульс, что двигатель, вращающий пластины, может быть разрушен в процессе размагничивания, и обслуживание может быть нерентабельным. Размагниченная компьютерная лента, такая как DLT, обычно может быть переформатирована и повторно использована со стандартным потребительским оборудованием.
В некоторых средах с высоким уровнем безопасности может потребоваться использование размагничивающего устройства, одобренного для этой задачи. Например, в правительственных и военных юрисдикциях США может потребоваться использование размагничивающего устройства из «Списка оцененных продуктов» Агентства национальной безопасности . [9]
Шифрование данных перед сохранением на носителе может уменьшить опасения относительно остаточности данных. Если ключ дешифрования сильный и тщательно контролируется, он может фактически сделать любые данные на носителе невосстановимыми. Даже если ключ хранится на носителе, может оказаться проще или быстрее перезаписать только ключ, а не весь диск. Этот процесс называется крипто-шреддингом .
Шифрование может выполняться пофайлово или на всем диске . Атаки с холодной загрузкой являются одним из немногих возможных методов подрыва метода шифрования всего диска , поскольку нет возможности хранить ключ в виде открытого текста в незашифрованном разделе носителя. Для дальнейшего обсуждения см. раздел Сложности: данные в оперативной памяти.
Другие атаки по сторонним каналам (такие как кейлоггеры , получение письменной записки, содержащей ключ дешифрования, или криптоанализ с резиновым шлангом ) могут давать больше шансов на успех, но не полагаются на слабости используемого криптографического метода. Таким образом, их значимость для этой статьи незначительна.
Полное уничтожение базового носителя данных является наиболее надежным способом противодействия остаточности данных. Однако этот процесс, как правило, занимает много времени, является громоздким и может потребовать чрезвычайно тщательных методов, поскольку даже небольшой фрагмент носителя может содержать большие объемы данных.
Конкретные методы уничтожения включают в себя:
Носители данных могут иметь области, которые становятся недоступными обычными способами. Например, магнитные диски могут образовывать новые плохие сектора после записи данных, а ленты требуют промежутков между записями. Современные жесткие диски часто имеют перераспределение пограничных секторов или дорожек, автоматизированное таким образом, что операционной системе не нужно с ними работать. Проблема особенно значительна в твердотельных накопителях (SSD), которые полагаются на относительно большие перемещенные таблицы плохих блоков. Попытки противостоять остаточности данных путем перезаписи могут не увенчаться успехом в таких ситуациях, поскольку остатки данных могут сохраняться в таких номинально недоступных областях.
Системы хранения данных с более сложными функциями могут сделать перезапись неэффективной, особенно на основе каждого файла. Например, журналируемые файловые системы повышают целостность данных, записывая операции записи в нескольких местах и применяя транзакционную семантику; в таких системах остатки данных могут существовать в местах «за пределами» номинального места хранения файла. Некоторые файловые системы также реализуют копирование при записи или встроенный контроль версий с намерением, что запись в файл никогда не перезапишет данные на месте. Кроме того, такие технологии, как RAID и методы антифрагментации , могут привести к записи данных файла в несколько мест, либо по замыслу (для отказоустойчивости ), либо в качестве остатков данных.
Выравнивание износа также может предотвратить стирание данных, перемещая блоки между временем их первоначальной записи и временем их перезаписи. По этой причине некоторые протоколы безопасности, адаптированные к операционным системам или другому программному обеспечению с автоматическим выравниванием износа, рекомендуют проводить очистку свободного пространства на данном диске, а затем копировать множество небольших, легко идентифицируемых «мусорных» файлов или файлов, содержащих другие неконфиденциальные данные, чтобы заполнить как можно большую часть этого диска, оставляя только объем свободного места, необходимый для удовлетворительной работы системного оборудования и программного обеспечения. По мере роста требований к хранилищу и системе файлы «мусорных данных» можно удалять по мере необходимости, чтобы освободить место; даже если удаление файлов «мусорных данных» не является безопасным, их изначальная неконфиденциальность сводит к нулю последствия восстановления оставшихся с них данных. [ необходима цитата ]
Так как оптические носители не являются магнитными, они не стираются при обычном размагничивании. Оптические носители с однократной записью ( CD-R , DVD-R и т. д.) также не могут быть очищены путем перезаписи. Перезаписываемые оптические носители, такие как CD-RW и DVD-RW , могут быть восприимчивы к перезаписи. Методы успешной дезинфекции оптических дисков включают расслаивание или истирание металлического слоя данных, измельчение, сжигание, разрушительную электрическую дугу (например, путем воздействия микроволновой энергии) и погружение в поликарбонатный растворитель (например, ацетон ).
Исследование Центра магнитной записи и исследований Калифорнийского университета в Сан-Диего выявило проблемы, присущие стиранию данных, хранящихся на твердотельных накопителях (SSD). Исследователи обнаружили три проблемы с хранением файлов на SSD: [10]
Во-первых, встроенные команды эффективны, но производители иногда реализуют их неправильно. Во-вторых, перезапись всего видимого адресного пространства SSD дважды обычно, но не всегда, достаточна для очистки диска. В-третьих, ни одна из существующих техник очистки отдельных файлов, ориентированных на жесткий диск, не эффективна на SSD. [10] : 1
Твердотельные накопители, основанные на флэш-памяти, отличаются от жестких дисков двумя способами: во-первых, способом хранения данных; и, во-вторых, способом использования алгоритмов для управления и доступа к этим данным. Эти различия могут быть использованы для восстановления ранее стертых данных. SSD поддерживают уровень косвенности между логическими адресами, используемыми компьютерными системами для доступа к данным, и внутренними адресами, которые идентифицируют физическое хранилище. Этот уровень косвенности скрывает уникальные интерфейсы носителей и повышает производительность, надежность и срок службы SSD (см. выравнивание износа ), но он также может создавать копии данных, которые невидимы для пользователя и которые может восстановить опытный злоумышленник. Для очистки целых дисков команды очистки, встроенные в оборудование SSD, оказались эффективными при правильной реализации, а программные методы очистки целых дисков, как было обнаружено, работают большую часть времени, но не всегда. [10] : раздел 5 В ходе тестирования ни один из программных методов не оказался эффективным для очистки отдельных файлов. К ним относятся такие известные алгоритмы, как метод Гутмана , US DoD 5220.22-M , RCMP TSSIT OPS-II, Schneier 7 Pass и Secure Empty Trash на macOS (функция, включенная в версии OS X 10.3-10.9). [10] : раздел 5
Функция TRIM во многих устройствах SSD, если она правильно реализована, в конечном итоге сотрет данные после их удаления [11] [ требуется цитата ] , но этот процесс может занять некоторое время, обычно несколько минут. Многие старые операционные системы не поддерживают эту функцию, и не все комбинации дисков и операционных систем работают. [12]
Остаточная намагниченность данных наблюдалась в статической памяти с произвольным доступом (SRAM), которая обычно считается энергозависимой ( т.е. содержимое деградирует при потере внешнего питания). В одном исследовании сохранение данных наблюдалось даже при комнатной температуре. [13]
Остаточная намагниченность данных также наблюдалась в динамической памяти с произвольным доступом (DRAM). Современные чипы DRAM имеют встроенный модуль самообновления, поскольку им не только требуется источник питания для сохранения данных, но и их необходимо периодически обновлять, чтобы предотвратить исчезновение содержимого данных из конденсаторов в их интегральных схемах. Исследование обнаружило остаточную намагниченность данных в DRAM с сохранением данных от секунд до минут при комнатной температуре и «целую неделю без обновления при охлаждении жидким азотом». [14] Авторы исследования смогли использовать атаку холодной загрузки для восстановления криптографических ключей для нескольких популярных систем полного шифрования диска , включая Microsoft BitLocker , Apple FileVault , dm-crypt для Linux и TrueCrypt . [14] : 12
Несмотря на некоторую деградацию памяти, авторы вышеописанного исследования смогли воспользоваться избыточностью в способе хранения ключей после их расширения для эффективного использования, например, при планировании ключей . Авторы рекомендуют выключать компьютеры, а не оставлять их в состоянии « сна », когда они не находятся под физическим контролем владельца. В некоторых случаях, например, в определенных режимах программного обеспечения BitLocker, авторы рекомендуют использовать пароль загрузки или ключ на съемном USB-устройстве. [14] : 12 TRESOR — это исправление ядра для Linux, специально предназначенное для предотвращения атак холодной загрузки на оперативную память, гарантируя, что ключи шифрования не будут доступны из пользовательского пространства и будут храниться в ЦП, а не в системной оперативной памяти, когда это возможно. Более новые версии программного обеспечения для шифрования дисков VeraCrypt могут шифровать ключи и пароли в оперативной памяти в 64-разрядной Windows. [15]
{{cite book}}: CS1 maint: другие ( ссылка ){{cite journal}}: Цитировать журнал требует |journal=( помощь ){{cite journal}}: Цитировать журнал требует |journal=( помощь ){{cite journal}}: Цитировать журнал требует |journal=( помощь ){{cite journal}}: Цитировать журнал требует |journal=( помощь ){{cite journal}}: Цитировать журнал требует |journal=( помощь ){{cite journal}}: Цитировать журнал требует |journal=( помощь ){{cite journal}}: Цитировать журнал требует |journal=( помощь )