Información Residual

Información residual  : información en el dispositivo de almacenamiento que queda de los datos eliminados formalmente por el sistema operativo . La información puede permanecer debido a la eliminación formal de un archivo o debido a las propiedades físicas de los dispositivos de almacenamiento. La información residual puede dar lugar a la difusión involuntaria de información confidencial si el almacenamiento de datos está fuera de control (por ejemplo, si se tira a la basura o se entrega a un tercero).

Actualmente, se utilizan muchos métodos para evitar la aparición de información residual. Según la eficacia y el propósito, se dividen en purificación y destrucción . Las técnicas específicas utilizan sobreescritura , desmagnetización , encriptación y destrucción física .

Razones

Muchos sistemas operativos , administradores de archivos y otro software brindan la capacidad de no eliminar el archivo inmediatamente, sino de mover el archivo a la papelera para que el usuario pueda corregir fácilmente su error.

Pero incluso si la función de eliminación temporal no se implementa explícitamente o el usuario no la usa, la mayoría de los sistemas operativos al eliminar un archivo no eliminan el contenido del archivo directamente, simplemente porque requiere menos operaciones y, en la mayoría de los casos, más rápido. En su lugar, simplemente eliminan la entrada del archivo del directorio del sistema de archivos . El contenido del archivo, los datos reales, permanece en el dispositivo de almacenamiento. Los datos existen hasta que el sistema operativo reutiliza ese espacio para nuevos datos. En muchos sistemas, quedan suficientes metadatos del sistema para una fácil recuperación utilizando utilidades ampliamente disponibles . Incluso si la recuperación no es posible, los datos, si no se sobrescriben, pueden ser leídos por un software que lee los sectores del disco directamente. El software y la experiencia técnica a menudo utilizan este tipo de software.

Además, al formatear , volver a particionar o restaurar una imagen, no se garantiza que el sistema escriba sobre toda la superficie, aunque el disco parezca vacío o, en el caso de una restauración de imagen, solo se vean los archivos guardados en la imagen.

Finalmente, aunque se sobrescriba el dispositivo de almacenamiento, las características físicas de los dispositivos permiten recuperar información utilizando equipos de laboratorio debido, por ejemplo, al fenómeno de la remanencia.

Contramedidas

Purificación

Limpieza  : eliminación de información confidencial de los dispositivos de grabación de tal manera que se garantice que los datos no se puedan recuperar mediante las funciones normales del sistema o las utilidades de recuperación de archivos. Los datos pueden permanecer disponibles para su recuperación, pero no sin métodos especiales de laboratorio. [una]

La limpieza suele ser una protección administrativa contra la distribución inadvertida de datos dentro de una organización. Por ejemplo, antes de reutilizar un disquete dentro de una organización, su contenido se puede desinfectar para evitar que la información se distribuya inadvertidamente al próximo usuario.

Destrucción

La destrucción  es la eliminación de información confidencial de un dispositivo de grabación para que los datos no puedan recuperarse por ningún medio conocido. La eliminación, dependiendo de la confidencialidad de los datos, generalmente se realiza antes de liberar el dispositivo de la supervisión, como antes de retirar el equipo o moverlo a una computadora con diferentes requisitos de seguridad de datos.

Técnicas

Reescritura

Una técnica común para evitar la información residual es sobrescribir el dispositivo con datos nuevos. Debido a que tales técnicas se pueden implementar completamente en software y se pueden usar en una parte separada del dispositivo de almacenamiento, esta es una opción popular y económica para muchas aplicaciones. Sobrescribir es un método de limpieza perfectamente aceptable, siempre y cuando el dispositivo se pueda escribir y no esté dañado.

La implementación más simple escribe las mismas secuencias en todas partes: la mayoría de las veces, una serie de ceros. Como mínimo, esto evita que los datos se recuperen del dispositivo a través de las funciones normales del sistema.

Para contrarrestar los métodos de recuperación más complejos, a menudo se preinstalan patrones de sobrescritura específicos. Estos también pueden ser patrones generalizados diseñados para eliminar los rastros rastreados. Por ejemplo, escribir repetidamente patrones alternos de unos y ceros puede ser más eficiente que escribir solo ceros. A menudo se especifican combinaciones de patrones.

El problema con la sobrescritura es que algunas partes del disco pueden ser inaccesibles debido al desgaste del hardware u otros problemas. La sobrescritura de software también puede ser problemática en entornos muy seguros, con el estricto control de la combinación de datos que proporciona el software. El uso de tecnologías de almacenamiento sofisticadas también puede hacer que la sobrescritura de archivos sea ineficiente.

Viabilidad de recuperar datos sobrescritos

Peter Gutman estudió la recuperación de datos de dispositivos sobrescritos formalmente a mediados de la década de 1990. Él planteó la hipótesis de que un microscopio magnético podría extraer los datos y desarrolló secuencias específicas específicas del disco diseñadas para evitar esto. [2] Estas secuencias se conocen como método de Gutmann .

Daniel Finberg, economista de la Oficina Nacional de Investigación Económica , de propiedad privada , dijo que cualquier posibilidad de recuperar datos sobrescritos de un disco duro moderno es una " leyenda urbana ". [3]

En noviembre de 2007, el Departamento de Defensa de EE. UU. consideró que la sobrescritura era adecuada para limpiar dispositivos magnéticos, pero no para borrar datos. Solo se considera adecuada la desmagnetización o la destrucción física . [cuatro]

Por otro lado, según la "Publicación especial 800-88" (2006) del Instituto Nacional de Estándares y Tecnología (EE. UU.) (p. 7): "Los estudios han demostrado que la mayoría de los dispositivos modernos se pueden borrar en una sola sobrescritura" y "para discos duros ATA fabricados después de 2001 (más de 15 GB), los términos limpieza y destrucción son los mismos". [una]

Desmagnetización

La desmagnetización  es la eliminación o el debilitamiento de un campo magnético. Aplicado a los medios magnéticos , la desmagnetización puede destruir todos los datos de forma rápida y eficiente. Se utiliza un dispositivo llamado desmagnetizador para destruir datos.

De acuerdo con los requisitos del Ministerio de Defensa de la Federación Rusa de 2002 (modificado en 2011) los datos se consideran destruidos de forma segura si se utiliza uno de los tres métodos: exponer la capa magnética a un campo magnético constante, un campo magnético alterno o un campo magnético pulsado. Para cada tipo de portador magnético, se regula la dirección del vector de inducción magnética (o el número de pulsos y sus direcciones), la duración mínima de exposición y el valor mínimo de amplitud del campo. Con respecto a las unidades de disco duro modernas, se requiere el impacto de dos pulsos consecutivos perpendiculares entre sí con una duración de al menos 1 ms cada uno, con un valor de amplitud de al menos 1200 kA/m, en cada punto del espacio ocupado por un campo magnético. transportador.

La desmagnetización generalmente desactiva el disco duro , ya que destruye el formateo de bajo nivel realizado en el momento de la fabricación. Los disquetes desmagnetizados generalmente se pueden reformatear y reutilizar. Como resultado del impacto de un campo magnético pulsado de más de 500 kA/m en un disco duro moderno, el desgaste de los elementos microelectrónicos del disco duro y (o) el daño de los cabezales magnéticos también es un efecto secundario.

En entornos muy seguros, es posible que se requiera que el contratista use un desmagnetizador certificado. Por ejemplo, el gobierno de los EE . UU. y los departamentos de defensa pueden verse obligados a utilizar un desmagnetizador de la Lista de dispositivos aprobados de la Agencia de Seguridad Nacional [5] .

Cifrado

Cifrar los datos antes de escribirlos puede mitigar la amenaza de la información residual. Si la clave de cifrado es sólida y está debidamente controlada (es decir, no es en sí misma un objeto de información residual), es posible que todos los datos del dispositivo sean irrecuperables. Incluso si la clave está almacenada en el disco duro, sobrescribir solo la clave puede ser más fácil y rápido que sobrescribir todo el disco.

El cifrado se puede realizar archivo por archivo o todo el disco a la vez . Sin embargo, si la clave se almacena, aunque sea temporalmente, en el mismo sistema que los datos, puede estar sujeta a información residual y puede ser leída por un atacante. Ver ataque de arranque en frío .

Destrucción física

La destrucción física del almacén de datos se considera la forma más confiable de evitar la información residual, aunque al costo más alto. El proceso no solo requiere mucho tiempo y es engorroso, sino que también inutiliza el equipo. Además, con las altas densidades de grabación actuales, incluso un pequeño fragmento de un dispositivo puede contener una gran cantidad de datos.

Los métodos seleccionados de destrucción física incluyen:

Problemas

Áreas de dispositivos inaccesibles

Puede haber áreas en los dispositivos de almacenamiento que se hayan vuelto inaccesibles a los medios convencionales. Por ejemplo, los discos magnéticos pueden marcar nuevos sectores "malos" después de que se hayan escrito los datos, y los casetes requieren espacios entre escrituras. Los discos duros modernos a menudo realizan movimientos automáticos de sectores menores de registros, que el sistema operativo ni siquiera puede conocer . Los intentos de evitar la información residual mediante la sobrescritura pueden fallar porque los datos residuales pueden estar presentes en áreas formalmente inaccesibles.

Sistemas de almacenamiento complejos

Los dispositivos de almacenamiento que utilizan varios métodos sofisticados pueden generar ineficiencias de sobrescritura , especialmente cuando se aplican a archivos individuales.

Los sistemas de archivos registrados aumentan la conectividad de datos al escribir, duplicar información y aplicar semántica transaccional . En dichos sistemas, los restos de los datos pueden estar fuera de la "ubicación" normal del archivo.

Algunos sistemas de archivos usan copia en escritura o tienen un control de versión incorporado diseñado para nunca sobrescribir datos al escribir en un archivo.

Las tecnologías como RAID y las medidas antifragmentación hacen que los datos de los archivos se escriban en varias ubicaciones a la vez, ya sea intencionalmente (para tolerancia a fallas ) o como datos sobrantes.

Medios ópticos

Los medios ópticos no son magnéticos y no están sujetos a desmagnetización . Los soportes ópticos no regrabables ( CD-R , DVD-R , etc.) tampoco se pueden borrar mediante sobrescritura. Los medios ópticos regrabables, como CD-RW y DVD-RW , pueden ser regrabables . Las técnicas para destruir discos ópticos de manera confiable incluyen: quitar la capa de almacenamiento de información, triturar, romper con un arco eléctrico (como cuando se colocan en un horno de microondas) y colocar en un solvente de policarbonato (como acetona).

Datos en RAM

La información residual se puede observar en SRAM , que generalmente se considera no persistente (es decir, el contenido se borra cuando se apaga la alimentación). En investigación, a veces se observa la aparición de información residual incluso a temperatura ambiente. [6]

Otro estudio encontró información residual en DRAM , nuevamente con un tiempo de descomposición de segundos a minutos a temperatura ambiente y "una semana entera sin energía cuando se enfría con nitrógeno líquido" [7] . Los autores del estudio pudieron utilizar un ataque de arranque en frío para obtener una clave de cifrado para varios sistemas de cifrado de disco completo . A pesar de que la memoria se desvaneció, pudieron aprovechar las redundancias en forma de almacenamiento que se producen después de transformar las claves para un uso eficiente, como en la secuenciación de claves . Los autores recomiendan que al salir de la computadora, la apague y no la deje en " modo de suspensión ". Y, si se utilizan sistemas como Bitlocker , establecer un PIN de arranque . [7]

Estándares

  • Instituto Nacional de Estándares y Tecnología (EE. UU.) Publicación especial 800-88: Directrices para la desinfección de medios [1]
  • DoD 5220.22-M : Manual operativo del programa nacional de seguridad industrial (NISPOM)
    • Las revisiones recientes ya no contienen referencias a técnicas específicas de destrucción de datos. Los estándares en esta área se dejan a discreción de la Autoridad de Seguridad de Cognizant (Especialista en Seguridad Competente). [ocho]
    • Aunque NISPOM no describe técnicas específicas de destrucción de datos, las revisiones anteriores (1995 y 1997) [9] contenían descripciones específicas de las técnicas en la tabla DSS C&SM insertada después de la sección 8-306.
    • El Servicio de Seguridad de la Defensa (DSS) proporciona una Matriz de Limpieza y Desinfección (C&SM) que describe las técnicas [4] .
    • A partir de la revisión de noviembre de 2007 del DSS C&SM, la sobrescritura ahora se considera inadecuada para triturar medios magnéticos. Solo se considera suficiente la desmagnetización (con un desmagnetizador aprobado por la NSA) o la destrucción física.
  • NAVSO P5239-26 [1]
  • AFSSI-5020
  • AR380-19
  • Real Policía Montada de Canadá G2-003: Pautas para la eliminación y destrucción segura de información del disco duro [10]
    • Capas de datos A/B/confidenciales: triple sobrescritura mediante el software RCMP DSX
    • Niveles de datos C/Secret/Top Secret: destrucción física o desmagnetización

Véase también

Software

  • La bota y la bomba nuclear de Darik
  • shred (incluido en el paquete GNU Coreutils )

También hay muchas otras utilidades para diferentes sistemas operativos.

Notas

  1. 1 2 3 Publicación especial 800-88: Directrices para la desinfección de medios (PDF)  (enlace no disponible) . NIST (septiembre de 2006). Consultado el 8 de diciembre de 2007. Archivado desde el original el 12 de julio de 2007. (542KB)
  2. Peter Gutman. Eliminación segura de datos de la memoria magnética y de estado sólido (julio de 1996). Consultado el 10 de diciembre de 2007. Archivado desde el original el 18 de marzo de 2012.
  3. Daniel Feenberg. ¿Pueden las agencias de inteligencia recuperar datos sobrescritos? . Consultado el 10 de diciembre de 2007. Archivado desde el original el 18 de marzo de 2012.
  4. 1 2 Matriz de limpieza y saneamiento del DSS (PDF). DSS (12 de noviembre de 2007). Recuperado: 25 de noviembre de 2007.  (enlace no disponible) (89 KB)
  5. Productos evaluados (enlace descendente) . NSA. Consultado el 10 de diciembre de 2007. Archivado desde el original el 3 de octubre de 2006. 
  6. Serguéi Skorobogatov. Remanencia de datos a baja temperatura en RAM estática . Universidad de Cambridge, Laboratorio de Computación (junio de 2002). Consultado el 19 de septiembre de 2008. Archivado desde el original el 18 de marzo de 2012.
  7. 1 2 J. Alex Halderman, et al. Lest We Remember: Cold Boot Attacks on Encryption Keys (enlace no disponible) (febrero de 2008). Consultado el 22 de mayo de 2016. Archivado desde el original el 4 de septiembre de 2011. 
  8. Descargar NISPOM . DSS . Recuperado: 25 de noviembre de 2007.  (enlace inaccesible)
  9. NISPOM obsoleto (PDF) (enero de 1995; incluye el Cambio 1, 31 de julio de 1997). Consultado el 7 de diciembre de 2007. Archivado desde el original el 18 de marzo de 2012. con la Matriz de Limpieza y Desinfección del DSS .
  10. Pautas para la eliminación y destrucción de información segura del disco duro (PDF)  (enlace no disponible) . Real Policía Montada de Canadá (octubre de 2003). Consultado el 19 de septiembre de 2008. Archivado desde el original el 1 de octubre de 2004.

Enlaces