Persistència de dades
Aquest article o secció no cita les fonts o necessita més referències per a la seva verificabilitat. |
La persistència de dades és la representació residual de dades que han sigut d'alguna manera nominalment esborrades o eliminades. Aquest residu pot ser degut al fet que les dades han sigut deixades intactes per un operatiu d'eliminació nominal, o per les propietats físiques del medi d'emmagatzematge. La persistència de dades possibilita, de forma inadvertida, l'exhibició d'informació sensible si el medi d'emmagatzematge es deixat en un ambient sobre el qual no es té control.
Amb el pas dels anys s'han desenvolupat diverses tècniques per a combatre la persistència de dades. Segons la seva efectivitat i la intenció, es classifiquen com a compensació o purga/higienització. Mètodes específics inclouen la sobreescriptura, la desmagnetització, el xifrat i la destrucció física.
Causes
[modifica]Molts sistemes operatius, administradors d'arxius i altres programes proveeixen facilitats perquè l'arxiu no sigui immediatament esborrat quan l'usuari sol·liciti aquesta acció. En comptes d'això, l'arxiu és traslladat a una àrea de retenció que permet fàcilment refer l'acció a l'usuari en cas d'haver comès un error.
A més, quan no es proporciona una àrea explícita d'arxius eliminats, o quan l'usuari no l'utilitza, els equips normals realment no esborren el contingut d'un arxiu quan s'intenta eliminar. En comptes d'això, simplement eliminen l'entrada de l'arxiu a l'índex de documents del sistema perquè comporta menys treball i aleshores és una solució més ràpida. Els continguts del document - les verdaderes dades - romanen al mitjà d'emmagatzematge. Les dades persisteixen allà fins que el sistema operatiu reutilitzi l'espai per a noves dades. En alguns casos, diverses metadades del sistema d'arxius són conservades per facilitar la recuperació de les dades per programes utilitaris fàcilment disponibles. Encara quan la recuperació s'ha tornat impossible, les dades, fins que no siguin sobreescrites, poden ser llegides per programes que llegeixen els sectors del disc directament. Els forenses informàtics sovint utilitzen aquests programes.
De la mateixa manera, reformatejar, la repartició o la imatge recreada d'un sistema no sempre garanteix escriure sobre totes les àrees d'un disc, encara que totes les accions facin que el disc sembli buit o, en el cas de la imatge recreada, buit a excepció dels arxius presents a la imatge, en ser examinats com la majoria dels programes.
Contramesura
[modifica]Habitualment es reconeixen tres nivells d'eliminació de dades persistents:
Compensació
[modifica]És la remoció de les dades sensibles d'un mitjà d'emmagatzematge de tal manera que hagi seguretat de que les dades no podran ser reconstruïdes utilitzant les
funcions normals del sistema o programes de recuperació d'arxius/dades. Les dades encara poden ser recuperables, però això requerirà tècniques especials de laboratori.
Purga
[modifica]La purga o higienització és la remoció de dades sensibles d'un dispositiu d'emmagatzematge amb l'objectiu de que les dades no puguin ser reconstruïdes utilitzant alguna de les tècniques conegudes. La purga, proporcional a la sensibilitat de les dades, generalment s'efectua abans de deixar lliures de control els dispositius d'emmagatzematge, en els casos en què es descartin vells mitjans d'aquest tipus o es traslladin aquests medis a computadores amb diversos requeriments de seguretat.
Destrucció
[modifica]El medi d'emmagatzematge és físicament destruït. La seva efectivitat varia. Depenent de la densitat de gravació del medi i/o de la destrucció, aquesta tècnica pot deixar dades recuperables per mitjançant mètodes de laboratori. A la vegada, la destrucció física quan s'utilitzen els mètodes apropiats, és generalment considerada com el mètode més segur possible.
Mètodes específics
[modifica]Sobreescriptura
[modifica]Un mètode de contrarestar les dades persistents és sobreescriure el medi d'emmagatzematge amb noves dades. Això s'anomena sovint neteja o trituració d'un arxiu o un disc. És una opció popular i de baix cost d'alguns programes perquè sol ser implementat simplement en aquests programes i pot ser selectivament dirigit només cap a una part del medi emmagatzematge. La sobreescriptura és generalment un mètode acceptable de compensació sempre que el medi sigui gravable i no estigui danyat.
Per a contrarestar tècniques de recuperació de dades més avançades, sovint es prescriuen mostres de sobreescriptura específiques. Aquestes poden ser mostres que intenten erradicar qualsevol traça de firmes. Per exemple, escriure de forma repetida mostres alternes d'uns i zeros pot ser més efectiu que només utilitzar zeros. Sovint s'indiquen combinacions de mostres.
Un desafiament de la sobreescriptura és que certes àrees del disc poden ser inaccessibles per degradació dels medis o per altres errors. La sobreescriptura per programari pot ser problemàtica a medis d'alta seguretat que requereixen controls més forts de la barreja de dades que la que pot proveir el programa en ús. L'ús de tècniques avançades d'emmagatzematge també pot fer inefectiu la sobreescriptura basada en arxius.
Factibilitat de recuperar dades sobreescrites
[modifica]Peter Gutmann va investigar la recuperació de dades a medis d'emmagatzematge nominalment sobreescrites a mitjans de la dècada dels 90. Ell va suggerir que la microscòpia per força magnètica pot ser capaç de recuperar aquestes dades i desenvolupar patrons de sobreescriptura específics, per a contrarestar aquest tipus de recuperació.[1] Aquests patrons es coneixen com el mètode de Gutmann.
Daniel Feenberg, un economista del privat National Bureau of Economic Resarch, afirma que la possibilitat de recuperar dades sobreescrites d'un disc dur modern són una "llegenda urbana".[2] També assenyala "la bretxa de 18½ minuts que Rose Mary Woods va crear en una cita de Richard Nixon discutint sobre el cas Watergate". La informació de bretxa encara no ha sigut recuperada i Feenberg afirma que recuperar-la seria feina fàcil comparada amb la recuperació d'una senyal digital d'alta densitat.
Al novembre de 2007, el Departament de Defensa dels Estats Units considerava que la sobreescriptura era un mètode acceptable per compensar medis magnètics dins de la mateixa àrea/zona de seguretat, però com un mètode de higenització. Només acceptava com a mètode d'higienització de la magnetització o la destrucció física.[3]
Per altra banda, d'acord amb la Publicació Especial 800-88 NIST (p. 7): "Els estudis han demostrat que la majoria dels medis d'emmagatzematge poden ser efectivament compensats amb una sobreescriptura" i "per als discs ATA fabricats amb posterioritat a 2001 (de més de 15 GB), els termes compensació i higienització han convergit". Una anàlisi de Wright i col·laboradors de tècniques de recuperació, incloent microscòpia per força magnètica, també conclouen que una simple neteja es tot el que es necessita als controladors moderns". Aseenyalen que el llarg temps que reuquereixen múltiples neteges "han creat una situació on moltes organitzacions ignoren totalment el tema - el que ocasiona filtracions i pèrdues."[4]
De magnetització
[modifica]De magnetització és la remoció o reducció del camp magnètic d'un disc o controlador utilitzant un dispositiu anomenat de magnetitzador que ha sigut dissenyat pel medi d'emmagatzematge que es desitja esborrar. Aplicat a medis magnètics, aquesta pot purgar el medi ràpida i efectivament.
La de magnetització sovint torna els discs durs inoperables, ja que esborra el formateig de baix nivell que solament és efectuat a les fàbriques durant la fabricació. És possible, no obstant, retornar el disc dur a un estat funcional si el fabricant accedeix a reformatejar-lo. Els diskettes desmagnetitzats poden ser generalment reformatejats i reutilitzats amb el harrware dels consumidors.
A alguns entorns d'alta seguretat, pot ser que requereixi utilitzar un de magnetitzador que hagi sigut aprovat per a la tasca. Per exemple, a les juridiccions governamentals i militars dels Estats Units, pot ser que s'exigeixi l'ús d'un magnetitzador de la "Lista de Productes Avaluats" de l'NSA.[5]
Xifrat
[modifica]El xifrat de dades, abans que sigui emmagatzemat al medi, pot mitigar les preocupacions sobre la persistència de dades. Si la clau criptogràfica es suficientment forta i està curosament controlada (p.ex., no subjectada a la persistència de dades) pot fer irrecuperable, de forma efectiva, qualsevol dada del medi. Encara si la clau es troba emmagatzemada al medi, pot resultar més fàcil o ràpid sobreescriure solament la clau en canvi de sobreescriure tot el disc.
El xifrat pot fer-se sobre la base d'arxiu per arxiu o sobre tot el disc. Malgrat això, si la clau es emmagatzemada, encara que sigui temporalment, al mateix sistema que les dades, pot passar a ser una dada romanent i recuperada per un atacant. Vegeu atac d'arrencada en fred (cold boot attack).
Destrucció física
[modifica]Una destrucció física curosa del medi d'emmagatzematge és generalment considerada el mètode més segur de contrarestar la persistència de dades. Tanmateix, el procés generalment porta temps i té una certa complexitat. La destrucció física pot requerir mètodes extremadament curosos, ja que encara un fragment molt petit del medi pot contenir grans quantitats d'informació.
Les tècniques de destrucció específica inclouen:
- Trencament físic del medi per molta, trituració, etc.
- Incineració.
- Canvi d'estat (p.e. liqüefacció o vaporització d'un disc sòlid).
- Aplicació d'un químic corrosiu, com àcids, a la superfície de la gravació.
- Per medis magnètic, l'elevació de la temperatura per sobre de la temperatura de Curie.
- Per molts medis d'emmagatzematge elèctric volàtil i no volàtil, l'aplicació de voltatges extremadament alts, molt per sobre de les especificacions operacionals.
Complicacions
[modifica]Àrees inaccessibles
[modifica]Els medis d'emmagatzematge poden tenir àrees que són inaccessibles per mètodes normals. Per exemple, els discos magnètics poden desenvolupar "sectors avariats" després que les dades hagin sigut gravades, i les cintes tenen bretxes entre les diferents gravacions. Els discos durs moderns sovint tenen un remapatge automàtic de sectors marginals o pistes que el sistema operatiu no pot ni tan sols detectar. Els intents de contrarrestar la persistència de dades per sobreescriptura poden no ser exitosos en tals situacions, ja que les dades persistents poden persistir en aquestes àrees nominalment inaccessibles.[6]
Medis d'emmagatzematge avançats
[modifica]Sistemes d'emmagatzematge de dades amb característiques més sofisticades poder fer que la sobreescriptura sigui inefectiva, especialment la basada en la sobreescriptura per arxiu.
Els sistemes d'arxiu amb journaling incrementen la integritat de les dades al registrar les operacions d'escriptura en múltiples ubicacions i mitjançant l'aplicació de semàntica de tipus transaccional. En aquests sistemes, les dades persistents poden persistir en ubicacions "fora" de les ubicacions d'emmagatzematge nominal de l'arxiu.
Alguns sistemes d'arxius implementen copy-on-write o control de versions amb la intenció que, a l'escriure en un arxiu, mai es sobreescriguin les dades ja ubicades.
Tecnologies com RAID i tècniques d'antifragmentació poden fer que les dades de l'arxiu siguin escrits en múltiples ubicacions, ja sigui per disseny (tolerància de falla), o com dades persistents.
El wear levelling és una tècnica que també pot derrotar l'esborrament de les dades, al relocalitzar els blocs escrits entre el moment que originalment foren escrits i el moment quan s'estan sobreescrivint.
Medis òptics
[modifica]Els medis òptics no són afectats per la magnetització. Els medis òptics d'escriptura única (CD-R, DVD-R, etc.) tampoc poden ser purgats per sobreescriptura. Els medis òptics de lectura/escriptura com CD-RW i DVD.RW, poden ser sobreescrits. Mètodes per higienitzar reeixidament els discos òptics inclouen la de laminació-abrasió de la capa metàl·lica, trituració, electrodestrucció (p.e., exposició a microones), i la submersió en solvents policarbonatats (p.e., acetona).
Dades en RAM
[modifica]S'han fet observasions respecte a la persistència de dades en SDRAM, que típicament és considerada volàtil (és a dir, els seus components s'esborren amb la pèrdua de la potència elèctrica). A l'estudi, a vegades es va observar una retenció de dades a temperatura ambient.[7]
Un altre estudi va trobar persistència de dades en una DRAM, també amb retenció de dades durant minuts o segons a temperatura ambient i "durant tota una setmana sense cap refresc quan se'l enfredà amb nitrogen líquid. Els autors de l'estudi foren capaços d'usar un atac d'arrancada en fred per recuperar claus criptogràfiques per a diversos populars sistemes de xifrat total del disc. Malgrat d'un cert grau de degradació de la memòria, foren capaços d'aprofitar-se de la redundància en la forma que les claus s'emmagatzemen després que s'hagin expandit per ser usades eficientment com en el cas de les claus mestres. Els autores recomanen que les computadores siguin apagades més que deixades en estat d'hibernació quan no estan sota el control físic de l'amo, i en certs casos, com si un posseeix el programa Bitlocker que es configuri també un PIN per a l'arrencada. Els xips RAM moderns tenen incorporat un mòdul d'auto-refresc, de tal manera que poden retenir les dades, sempre que rebin energia i un senyal de rellotge.
Estàndards
[modifica]- US NIST Special Publication 800-88: guia per la higienització dels medis (Guidelines for Media Sanitization).[8]
- US DoD 5220.22-M: Manual d'operacions del programa de seguretat industrial nacional (National Industrial Sequrity Program Operating Manual [NISPOM])`.
- Les actuals edicions no contenen més referències a mètodes d'higienització específics. Els patrons d'higienització es deixen en mans de la Cognizant Security Authority.
- Malgrat que el text NISPOM en si mateix mai va descriure mètodes específics per a la higienització, edicions passades (1995 i 1997) contenien mètodes explícits d'higienització dins de la taula DDS I C&M que estaven inserides després de la Secció 8-306.
- El Defense Security Service (DSS) proveeix uan matriu de compensació i higienització (Clearing and Sanitizacion Matix= C&SM) que especifica els mètodes.[5]
- Per a l'edició del novembre de 2007 del DSS C&M, la sobreescriptura va deixar de ser un mètode acceptable per la higienització dels medis magnètics. Solament s'accepta la desmagnetització (amb un desmagnetitzador aprovat per la NSA) o la destrucció física.
- NAVASO P5239-26.
- AR380-19
- RCMP B2-002: IT Media Overwrite and Secure Erase Products. [9]
Referències
[modifica]- ↑ «Secure Deletion of Data from Magnetic and Solid-State Memory». [Consulta: 15 novembre 2018].
- ↑ «Can Intelligence Agencies Read Overwritten Data?». [Consulta: 15 novembre 2018].
- ↑ «State of Oregon: Department of Administrative Services - Programs of DAS» (en anglès). [Consulta: 15 novembre 2018].
- ↑ Wright, Craig; Kleiman, Dave; Sundhar R.S., Shyaam. Overwriting Hard Drive Data: The Great Wiping Controversy (en anglès). Berlin, Heidelberg: Springer Berlin Heidelberg, 2008, p. 243–257. DOI 10.1007/978-3-540-89862-7_21. ISBN 9783540898610.
- ↑ 5,0 5,1 «Media Destruction Guidance - NSA/CSS», 14-07-2010. Arxivat de l'original el 2010-07-14. [Consulta: 30 novembre 2018].
- ↑ «Blog Hard2bit | Los borrados seguros de datos… no tan seguros: Recuperación de datos de un disco duro sobrescrito» (en anglès). [Consulta: 30 novembre 2018].
- ↑ Sergei, Skorobogatov, «Low temperature data remanence in static RAM» (en anglès). University of Cambridge, Computer Laboratory, 2002.
- ↑ «Wayback Machine», 12-07-2007. Arxivat de l'original el 2007-07-12. [Consulta: 30 novembre 2018].
- ↑ Police, Government of Canada, Royal Canadian Mounted; Canada, Gouvernement du Canada, Gendarmerie royale du. «Lead Security Agency for Physical Security» (en anglès). [Consulta: 1r desembre 2018].