Eliminação de dados - Data erasure
A eliminação de dados (às vezes referida como limpeza de dados , limpeza de dados ou destruição de dados ) é um método baseado em software de sobrescrever os dados que visa destruir completamente todos os dados eletrônicos residentes em uma unidade de disco rígido ou outra mídia digital usando zeros e uns para sobrescrever dados em todos os setores do dispositivo. Ao sobrescrever os dados no dispositivo de armazenamento, os dados se tornam irrecuperáveis e alcançam a higienização dos dados.
Idealmente, o software projetado para eliminação de dados deve:
- Permitir a seleção de um padrão específico, com base em necessidades exclusivas, e
- Verifique se o método de substituição foi bem-sucedido e removeu os dados de todo o dispositivo.
A eliminação permanente de dados vai além dos comandos básicos de exclusão de arquivos , que apenas removem ponteiros diretos para os setores do disco de dados e tornam a recuperação de dados possível com ferramentas de software comuns. Ao contrário da desmagnetização e da destruição física, que tornam a mídia de armazenamento inutilizável, a eliminação de dados remove todas as informações, deixando o disco operável. Novas implementações de mídia com base em memória flash , como unidades de estado sólido ou unidades flash USB , podem fazer com que as técnicas de apagamento de dados falhem, permitindo que os dados remanescentes sejam recuperáveis.
A sobregravação baseada em software usa um aplicativo de software para gravar um fluxo de zeros, uns ou dados pseudo-aleatórios sem sentido em todos os setores de uma unidade de disco rígido. Existem diferenciais importantes entre o apagamento de dados e outros métodos de sobregravação, que podem deixar os dados intactos e aumentar o risco de violação de dados , roubo de identidade ou falha em atingir a conformidade regulatória. Muitos programas de erradicação de dados também fornecem várias sobregravações para que eles suportem padrões reconhecidos do governo e da indústria, embora uma sobregravação de passagem única seja amplamente considerada suficiente para unidades de disco rígido modernas. Um bom software deve fornecer verificação de remoção de dados, o que é necessário para atender a certos padrões.
Para proteger os dados em mídia perdida ou roubada, alguns aplicativos de apagamento de dados destroem remotamente os dados se a senha for inserida incorretamente. As ferramentas de eliminação de dados também podem direcionar dados específicos em um disco para eliminação de rotina, fornecendo um método de proteção contra hackers que consome menos tempo do que a criptografia de software. A criptografia de hardware / firmware embutida no próprio drive ou controladores integrados é uma solução popular sem degradação de desempenho.
Encriptação
Quando a criptografia está em vigor, o apagamento de dados atua como um complemento para a criptografia triturada ou a prática de 'exclusão' de dados (apenas) excluindo ou sobrescrevendo as chaves de criptografia. Atualmente, as soluções de criptografia de hardware / firmware dedicadas podem executar uma criptografia AES completa de 256 bits mais rápido do que a eletrônica da unidade pode gravar os dados. As unidades com esse recurso são conhecidas como unidades de autocriptografia ( SEDs ); eles estão presentes na maioria dos laptops modernos de nível empresarial e são cada vez mais usados na empresa para proteger os dados. Alterar a chave de criptografia torna inacessíveis todos os dados armazenados em um SED, que é um método fácil e muito rápido para conseguir um apagamento de dados 100%. O roubo de um SED resulta em perda de ativos físicos, mas os dados armazenados ficam inacessíveis sem a chave de descriptografia que não está armazenada em um SED, assumindo que não haja ataques efetivos contra AES ou sua implementação no hardware da unidade.
Importância
Os ativos de tecnologia da informação geralmente contêm grandes volumes de dados confidenciais. Números de previdência social, números de cartão de crédito, dados bancários, histórico médico e informações confidenciais são freqüentemente armazenados em discos rígidos de computador ou servidores . Eles podem inadvertidamente ou intencionalmente chegar a outras mídias, como impressoras, unidades USB , flash , Zip , Jaz e REV .
Violação de dados
O aumento do armazenamento de dados confidenciais, combinado com a rápida mudança tecnológica e a vida útil mais curta dos ativos de TI, gerou a necessidade de apagamento permanente de dados de dispositivos eletrônicos quando eles são aposentados ou recondicionados. Além disso, redes comprometidas e roubo e perda de laptops , bem como de outras mídias portáteis, são fontes cada vez mais comuns de violações de dados.
Se o apagamento de dados não ocorrer quando um disco for retirado ou perdido, uma organização ou usuário enfrentará a possibilidade de que os dados sejam roubados e comprometidos, levando ao roubo de identidade, perda de reputação corporativa, ameaças à conformidade regulatória e impactos financeiros. As empresas gastam grandes quantias de dinheiro para garantir que seus dados sejam apagados ao descartar os discos. Os incidentes de roubo de dados de alto nível incluem:
- CardSystems Solutions (2005-06-19): A violação do cartão de crédito expõe 40 milhões de contas.
- Lifeblood (2008-02-13): Laptops ausentes contêm informações pessoais, incluindo datas de nascimento e alguns números de Seguro Social de 321.000.
- Hannaford (2008-03-17): A violação expõe 4,2 milhões de cartões de crédito e débito.
- Compass Bank (2008-03-21): Disco rígido roubado contém 1.000.000 de registros de clientes.
- University of Florida College of Medicine, Jacksonville (2008-05-20): Fotografias e informações de identificação de 1.900 em computador descartado de maneira inadequada.
- Comissão da Oklahoma Corporation (2008-05-21): O servidor vendido em leilão compromete mais de 5.000 números da Previdência Social.
- Departamento de Finanças, Comissão Eleitoral Australiana e Agência Nacional de Seguro para Deficiências (2017-11-02) - 50.000 australianos e 5.000 registros de servidores públicos federais.
Conformidade regulatória
Os rígidos padrões da indústria e regulamentações governamentais estão em vigor e forçam as organizações a reduzir o risco de exposição não autorizada de dados corporativos e governamentais confidenciais. As regulamentações nos Estados Unidos incluem HIPAA (Lei de Responsabilidade e Portabilidade de Seguro Saúde); FACTA (Lei sobre transações de crédito justas e precisas de 2003); GLB ( Gramm-Leach Bliley ); Lei Sarbanes-Oxley (SOx); e Padrões de segurança de dados da indústria de cartões de pagamento ( PCI DSS ) e a Lei de proteção de dados no Reino Unido . O não cumprimento pode resultar em multas e danos à reputação da empresa, bem como em responsabilidade civil e criminal.
Preservando ativos e o meio ambiente
O apagamento de dados oferece uma alternativa à destruição física e à desmagnetização para a remoção segura de todos os dados do disco. A destruição física e a desmagnetização destroem a mídia digital, exigindo o descarte e contribuindo para o lixo eletrônico, ao mesmo tempo que impactam negativamente a pegada de carbono de indivíduos e empresas. Os discos rígidos são quase 100% recicláveis e podem ser coletados gratuitamente em diversos recicladores de discos rígidos depois de higienizados.
Limitações
A eliminação de dados pode não funcionar completamente em mídia baseada em flash, como Solid State Drives e USB Flash Drives , pois esses dispositivos podem armazenar dados remanescentes que são inacessíveis para a técnica de eliminação, e os dados podem ser recuperados de chips de memória flash individuais dentro do dispositivo . A eliminação de dados por meio de substituição funciona apenas em discos rígidos que estão funcionando e gravando em todos os setores. Os setores defeituosos geralmente não podem ser substituídos, mas podem conter informações recuperáveis. Os setores defeituosos, no entanto, podem ser invisíveis para o sistema host e, portanto, para o software de apagamento. A criptografia de disco antes do uso evita esse problema. A eliminação de dados por software também pode ser comprometida por código malicioso.
Diferenciadores
O apagamento de dados baseado em software usa um aplicativo acessível em disco para gravar uma combinação de uns, zeros e qualquer outro caractere alfanumérico também conhecido como "máscara" em cada setor da unidade de disco rígido. O nível de segurança ao usar ferramentas de destruição de dados de software aumenta drasticamente com o pré-teste dos discos rígidos para anomalias do setor e garantindo que a unidade esteja 100% em funcionamento. O número de limpezas tornou-se obsoleto com a inclusão mais recente de uma "passagem de verificação" que examina todos os setores do disco e verifica qual caractere deve estar lá, ou seja; 1 Passe de AA deve preencher todos os setores graváveis do disco rígido. Isso torna mais do que 1 aprovação um ato desnecessário e certamente mais prejudicial, especialmente porque as unidades passaram da marca de 1 TB.
Substituição de disco completo
Embora existam muitos programas de sobregravação, apenas aqueles capazes de apagar completamente os dados oferecem segurança total, destruindo os dados em todas as áreas de um disco rígido. Os programas de substituição de disco que não podem acessar todo o disco rígido, incluindo áreas ocultas / bloqueadas como a área protegida do host (HPA), sobreposição de configuração do dispositivo (DCO) e setores remapeados, executam um apagamento incompleto, deixando alguns dos dados intactos. Acessando todo o disco rígido, o apagamento de dados elimina o risco de remanência de dados .
A eliminação de dados também pode ignorar o sistema operacional (SO) . Os programas de substituição que operam por meio do sistema operacional nem sempre executam um apagamento completo, porque eles não podem modificar o conteúdo do disco rígido que está sendo usado ativamente por esse sistema operacional. Por causa disso, muitos programas de apagamento de dados como o DBAN são fornecidos em um formato inicializável, onde você executa um live CD que possui todo o software necessário para apagar o disco.
Suporte de hardware
O apagamento de dados pode ser implantado em uma rede para atingir vários PCs, em vez de ter que apagar cada um sequencialmente. Em contraste com os programas de sobregravação baseados em DOS que podem não detectar todo o hardware de rede, o software de eliminação de dados baseado em Linux suporta servidores high-end e ambientes de rede de área de armazenamento (SAN) com suporte de hardware para Serial ATA , Serial Attached SCSI (SAS) e Fibra Canais de discos e setores remapeados. Ele opera diretamente com tamanhos de setor como 520, 524 e 528, eliminando a necessidade de reformatar novamente para o tamanho de setor de 512. O WinPE agora ultrapassou o Linux como ambiente de escolha, uma vez que os drivers podem ser adicionados com pouco esforço. Isso também ajuda na destruição de dados de tablets e outros dispositivos portáteis que requerem ambientes UEFI puros sem NICs de hardware instalados e / ou sem suporte de pilha de rede UEFI.
Padrões
Existem muitos padrões do governo e do setor para sobregravação baseada em software que remove os dados. Um fator importante para atender a esses padrões é o número de vezes que os dados são substituídos. Além disso, alguns padrões exigem um método para verificar se todos os dados foram removidos de todo o disco rígido e para visualizar o padrão de substituição. A eliminação completa de dados deve levar em conta as áreas ocultas, normalmente DCO, HPA e setores remapeados.
A edição de 1995 do National Industrial Security Program Operating Manual (DoD 5220.22-M) permitiu o uso de técnicas de sobrescrita para higienizar alguns tipos de mídia, escrevendo todos os locais endereçáveis com um caractere, seu complemento e, em seguida, um caractere aleatório. Esta disposição foi removida em uma alteração do manual em 2001 e nunca foi permitida para mídia Top Secret, mas ainda é listada como uma técnica por muitos fornecedores de software de eliminação de dados.
O software de eliminação de dados deve fornecer ao usuário um certificado de validação indicando que o procedimento de substituição foi concluído corretamente. O software de eliminação de dados também deve cumprir os requisitos para apagar áreas ocultas, fornecer uma lista de registros de defeitos e listar setores defeituosos que não puderam ser substituídos.
| Sobrescrever padrão | Encontro | Substituindo Rodadas | Padrão | Notas |
|---|---|---|---|---|
| Publicação do Gabinete do Estado - Maior da Marinha dos EUA NAVSO P-5239-26 | 1993 | 3 | Um personagem, seu complemento, aleatório | A verificação é obrigatória |
| Instrução 5020 de Segurança do Sistema da Força Aérea dos EUA | 1996 | 3 | Todos zeros, todos uns, qualquer caractere | A verificação é obrigatória |
| Algoritmo de Peter Gutmann | 1996 | 1 a 35 | Vários, incluindo todos os outros métodos listados | Originalmente projetado para discos MFM e RLL , que agora são obsoletos |
| Algoritmo de Bruce Schneier | 1996 | 7 | Todos uns, todos zeros, sequência pseudo-aleatória cinco vezes | |
| Disposição de disco rígido de computador não classificado do DoD dos EUA | 2001 | 3 | Um personagem, seu complemento, outro padrão | |
| Escritório Federal Alemão para Segurança da Informação | 2004 | 2-3 | Padrão não uniforme, seu complemento | |
| Communications Security Establishment Canada ITSG-06 | 2006 | 3 | Todos os uns ou zeros, seu complemento, um padrão pseudo-aleatório | Para mídia não classificada |
| NIST SP-800-88 | 2006 | 1 | ? | |
| Manual de Operação do Programa de Segurança Industrial Nacional dos EUA (DoD 5220.22-M) | 2006 | ? | ? | Não especifica mais nenhum método. |
| Manual de desclassificação de dispositivos de armazenamento NSA / CSS (SDDM) | 2007 | 0 | ? | Desmagnetizar ou destruir apenas |
| Manual de segurança de TIC do governo australiano de 2014 - controles | 2014 | 1 | Padrão aleatório (apenas para discos maiores que 15 GB) | Desmagnetize a mídia magnética ou destrua a mídia Top Secret |
| Escritório de Segurança de Comunicações do Governo da Nova Zelândia NZSIT 402 | 2008 | 1 | ? | Para dados até confidenciais |
| British HMG Infosec Standard 5, Baseline Standard | ? | 1 | Padrão Aleatório | A verificação é obrigatória |
| British HMG Infosec Standard 5, Enhanced Standard | ? | 3 | Todos uns, todos zeros, aleatórios | A verificação é obrigatória |
| NIST SP-800-88 Rev. 1 | 2014 | 1 | Todos zeros | Descreve soluções com base no tipo de mídia. |
Os dados às vezes podem ser recuperados de um disco rígido quebrado. No entanto, se os pratos em um disco rígido forem danificados, como por meio de um furo no disco (e os pratos dentro), os dados só podem ser recuperados teoricamente por análise bit a bit de cada prato com tecnologia forense avançada .
Número de substituições necessárias
Os dados em disquetes às vezes podem ser recuperados por análise forense, mesmo depois que os discos foram substituídos uma vez por zeros (ou zeros e uns aleatórios). Este não é o caso dos discos rígidos modernos:
- De acordo com a Publicação Especial NIST de 2014 800-88 Rev. 1, Seção 2.4 (p. 7): "Para dispositivos de armazenamento que contêm mídia magnética, uma única passagem de sobregravação com um padrão fixo, como zeros binários, normalmente impede a recuperação de dados, mesmo se o estado das técnicas de laboratório de arte são aplicadas para tentar recuperar os dados. " Ele recomenda o apagamento criptográfico como um mecanismo mais geral.
- De acordo com o "Tutorial sobre a higienização de dados da unidade de disco" (p. 8) , do San Diego Center for Magnetic Recording Research (agora seu Center for Memory and Recording Research ): "O apagamento seguro faz um único apagamento no caminho do dados na unidade de disco. A Agência de Segurança Nacional dos Estados Unidos publicou uma Aprovação de Garantia de Informação de sobregravação de passagem única, depois que testes técnicos no CMRR mostraram que várias passagens de sobregravação na pista não deram apagamento adicional. " O "apagamento seguro" é um utilitário embutido em discos rígidos ATA modernos que sobrescreve todos os dados em um disco, incluindo setores remapeados (de erro).
- Uma análise posterior de Wright et al. parece também indicar que uma sobregravação é tudo o que geralmente é necessário.
E-lixo e segurança da informação
O lixo eletrônico apresenta uma ameaça potencial à segurança de indivíduos e países exportadores. Os discos rígidos que não são devidamente apagados antes de o computador ser descartado podem ser reabertos, expondo informações confidenciais . Números de cartão de crédito , dados financeiros privados, informações de contas e registros de transações online podem ser acessados pela maioria dos indivíduos dispostos. Os criminosos organizados em Gana costumam pesquisar as unidades em busca de informações para usar em golpes locais .
Contratos governamentais foram descobertos em discos rígidos encontrados em Agbogbloshie . Acordos multimilionários de instituições de segurança dos Estados Unidos, como a Defense Intelligence Agency (DIA), a Transportation Security Administration e a Homeland Security ressurgiram em Agbogbloshie.