security ssd – ¿He destruido correctamente mi SSD?

Pregunta:

  1. Sostuve cada chip (sin desoldar, todavía estaban a bordo) en una llama más ligera durante uno o dos minutos. Comenzaron a "hacer estallar" un poco si eso indica algo.

  2. Luego clavé un clavo en cada astilla (aproximadamente a través del centro) con el uso de un martillo.

Obviamente, antes de todo eso, hice un borrado de software: ATA Secure Erase usando Parted Magic.

Si algún dato sobrevivió al proceso de Borrado seguro (me temo que la unidad no era SED, aunque era una de las más nuevas), ¿la destrucción física como se describe arriba es suficiente para hacer que cualquier intento de recuperación sea esencialmente imposible?

Respuesta:

Este enfoque de la destrucción de datos es teatral y tiene poca base en modelos de amenazas razonables.

La política más eficaz para garantizar la eliminación segura y responsable de los SSD es:

  1. Utilice el cifrado de disco completo (por ejemplo, BitLocker, dm-crypt) durante toda la vida útil del disco y no escriba datos sin formato en él.
  2. Utilice ATA Secure Erase para limpiar el disco. Los SSD modernos tienen un cifrado transparente a nivel de celda, y ATA Secure Erase simplemente descarta la clave y genera una nueva. Esto hace que los datos del flash subyacente sean ilegibles.
  3. Si está paranoico, realice un barrido aleatorio de una sola pasada sobre el SSD después. Esto rara vez se justifica en la práctica y no es una práctica de desinfección segura por sí sola debido a la nivelación del desgaste de las rebabas y al sobreaprovisionamiento. También causa desgaste en las celdas de flash, razón por la cual Secure Erase existe en primer lugar.

Si ya está en el punto en el que está desechando el disco y olvidó el paso 1, entonces está en una posición peor de la que podría estar, y esta es una lección para la próxima vez.

Con respecto al paso 3, la cuestión de realizar borrados aleatorios en SSD es que solo se justifica si está tratando de obtener protección adicional contra implementaciones defectuosas de Borrado seguro. Sin embargo, esto solo tiene sentido si supone que la implementación del ciclo de claves de borrado seguro ATA es el único límite de seguridad que evita que un atacante lea sus datos, y que un atacante intentará realizar una recuperación de datos a nivel de chip en su disco. Considera lo siguiente:

  • Si está utilizando FDE, ya tiene una capa concreta de protección, por lo que incluso si Secure Erase falla por completo, no necesita preocuparse mucho por eso. Pero si usa ATA Secure Erase y ya no puede ver los datos en la unidad, eso significa que hizo algo , al menos, que es lo suficientemente bueno.
  • Independientemente de si está usando FDE o no, si es una persona normal, los atacantes que tienen la capacidad de atacar las implementaciones de ATA Secure Erase no están interesados ​​en usted y no se beneficiarán de usar esas capacidades en usted. por lo que no necesita preocuparse por eso siempre que la clave se cambie literalmente a cualquier otra cosa (si no fuera así, aún podría ver todos sus datos).
  • Si trabaja en el tipo u organización (gobierno) donde tal ataque es relevante, ya está usando FDE y no está recibiendo sus consejos sobre StackExchange, por lo que nada de esto es relevante para usted y toda esta respuesta es discutible. .

Se mire como se mire, ATA Secure Erase es lo suficientemente seguro para una persona o empresa promedio, incluso si no se implementa de una manera criptográficamente segura . Para que falle como mecanismo de borrado, o no tiene que hacer absolutamente nada (lo cual es inmediatamente obvio, porque los datos todavía estarán allí), o un atacante tiene que aplicar ingeniería inversa al firmware SSD, descubrir el mecanismo de generación de clave débil y Realice la recuperación de datos a nivel de chip para aprovechar ese ataque. Como ya establecimos, tal atacante no existe en el modelo de amenaza de una persona promedio.

Esto no es lo mismo que decir "todo el mundo debería ir con seguridad 'suficientemente buena' todo el tiempo y no molestarse con mitigaciones más avanzadas"; obviamente, ese es un mal consejo. Lo que quiero decir es que cualquier decisión de seguridad que tome que tenga como resultado un costo o un desperdicio debe estar justificada y ser proporcional al beneficio de seguridad.

La destrucción física de los medios de almacenamiento rara vez es necesaria, es un gran desperdicio y debe reservarse para escenarios donde el modelado de amenazas demuestra un riesgo de seguridad significativo. Muchos gobiernos (y empresas) han aplicado políticas de "destrucción de datos" excesivamente paranoicas durante las últimas décadas, pero más recientemente han reevaluado su enfoque debido a los gastos generales extremos que implican.

Las prácticas históricas de los borrados de varias pasadas, incluidos los ridículos métodos de 35 pasadas, carecen de mérito en los medios de almacenamiento modernos. En el mejor de los casos, no hacen más que desgastar el dispositivo de almacenamiento y, en el peor de los casos, no eliminan de manera eficaz la información confidencial del dispositivo (por ejemplo, debido a un exceso de aprovisionamiento y nivelación del desgaste). El propio Peter Gutmann, que escribió el artículo que generó el "método Gutmann", tiene esto que decir sobre el tema:

En el tiempo transcurrido desde que se publicó este artículo, algunas personas han tratado la técnica de sobrescritura de 35 pasadas descrita en él más como una especie de encantamiento vudú para desterrar a los espíritus malignos que como resultado de un análisis técnico de las técnicas de codificación de impulsos. Como resultado, abogan por aplicar el vudú a las unidades PRML y EPRML, aunque no tendrá más efecto que una simple limpieza con datos aleatorios.

De hecho, realizar la sobrescritura completa de 35 pasadas no tiene sentido para cualquier unidad, ya que apunta a una combinación de escenarios que involucran todos los tipos de tecnología de codificación (normalmente utilizada), que cubre todo hasta los métodos MFM de más de 30 años (si no No entiendo esa declaración, vuelva a leer el periódico). Si está utilizando una unidad que utiliza tecnología de codificación X, solo necesita realizar las pasadas específicas de X, y nunca necesita realizar las 35 pasadas. Para cualquier unidad PRML / EPRML moderna, lo mejor que puede hacer es realizar algunas pasadas de limpieza aleatoria. Como dice el documento, "Una buena limpieza con datos aleatorios funcionará tan bien como se puede esperar".

Esto era cierto en 1996 y sigue siendo cierto ahora.

Los enfoques extremadamente desproporcionados y extremos para la destrucción de datos ganaron popularidad después de que se desclasificó el estándar DoD 5220.22-M, que fue rápidamente aprovechado por los proveedores de software de limpieza de discos para comercializar sus productos como "grado militar". Sin embargo, las personas que estuvieron involucradas en los estándares de destrucción de datos del Departamento de Defensa admitieron más tarde que casi nada de esto estaba científicamente justificado y, en cambio, fue escrito con el objetivo de apaciguar la paranoia militar y obtener la aceptación de los altos mandos no técnicos, de ahí la razón por la que fue denominada "destrucción de datos", en lugar de "saneamiento de los medios".

Los excesos de las políticas pasadas finalmente dieron como resultado una reducción de la postura de seguridad a través de la fatiga de la seguridad y la evitación de requisitos onerosos. Los estándares más modernos reconocen esto y adoptan un enfoque mucho más científico.

Para la desinfección de los medios, recomiendo leer y seguir los consejos de NIST SP 800-88 Rev.1 . Es muy accesible y proporciona consejos claros específicos para cada tipo de tecnología de almacenamiento. El Apéndice A contiene la parte del consejo que se asimila más rápidamente, pero debe consultar la guía de la sección 4 del documento con respecto al enfoque de saneamiento de los medios que adopte. La sección 2 también proporciona información de antecedentes útil.

Es extremadamente difícil justificar la destrucción física de los medios de almacenamiento para cualquier ciudadano común. Para ser franco, es ilusorio esperar que exista un actor de amenazas que tenga la capacidad técnica para realizar la recuperación de datos a nivel flash, la motivación y los recursos para utilizar esa capacidad de manera efectiva y un motivo proporcional para justificar la focalización de sus datos específicamente. A menos que sea un disidente político o un delincuente organizado, estos escenarios son pura fantasía. Si pertenece a uno de esos grupos de interés, los enfoques extremos para la destrucción de datos son malos para la seguridad operativa porque atraen una atención innecesaria.

Recomiendo leer This World Of Ours de James Mickens para obtener una versión maravillosamente humorística de las prácticas de seguridad equivocadas y demasiado complicadas:

En el mundo real, los modelos de amenazas son mucho más simples. Básicamente, estás lidiando con el Mossad o no con el Mossad. Si su adversario no es Mossad, probablemente estará bien si elige una buena contraseña y no responde a los correos electrónicos de ChEaPestPAiNPi11s@virus-basket.biz.ru. Si su adversario es el Mossad, USTED MORIRÁ Y NO HAY NADA QUE USTED PUEDA HACER AL RESPECTO. El Mossad no se siente intimidado por el hecho de que emplee https: //. Si el Mossad quiere tus datos, usarán un dron para reemplazar tu teléfono celular con una pieza de uranio que tiene la forma de un teléfono celular, y cuando mueras de tumores llenos de tumores, van a realizar una conferencia de prensa y dicen "No fuimos nosotros", ya que usan camisetas que dicen "Definitivamente fuimos nosotros", y luego van a comprar todas tus cosas en la venta de tu propiedad para que puedan ver directamente las fotos de tu vacaciones en lugar de leer sus insípidos correos electrónicos sobre ellos.

El intento de destrucción de un SSD con un encendedor es un ejemplo perfecto de políticas de seguridad teatrales que se sienten seguras sin hacer nada útil. Para destruir un SSD con calor, generalmente debe calentarlo a una temperatura muy superior a la que puede proporcionar un simple encendedor. Incluso si calienta los circuitos integrados de memoria flash directamente, gran parte del calor que está aplicando al paquete será disipado por el marco de plomo y las patas de los componentes, lo que significa que la temperatura del troquel será mucho más baja que la de la llama.

También es importante comprender que la retención de datos en celdas flash a altas temperaturas no se modela mejor mediante un "punto de falla". El comportamiento se modela mejor como factor de degradación. Las células flash no tienen una vida útil de almacenamiento infinita mientras no están alimentadas; con el tiempo, las células comenzarán a perder su estado. El período entre la última operación activada y el momento en que las celdas pierden lo suficiente de su estado como para provocar la corrupción de datos se conoce como tasa de retención de datos. Para la mayoría de los SSD de consumo, la tasa de retención suele ser de alrededor de un año, cuando la unidad se almacena en el rango de temperatura recomendado.

El factor de degradación es la medida de cuánto más rápido ocurre la degradación a una temperatura particular. En el rango de temperatura de almacenamiento recomendado, el factor de degradación es cercano a 1. Un factor de degradación de 2 significa que los datos se degradan en la mitad del tiempo. A medida que aumenta la temperatura, aumenta el factor de degradación. El factor de degradación exacto a una temperatura determinada es específico del dispositivo. Para flash NAND, debería esperar ver un gráfico similar al siguiente:

Gráfico de factor de degradación frente a temperatura en flash NAND

(fuente: Lograr una amplia retención de datos en entornos de alta temperatura )

Cuando la temperatura del troquel alcanza los 80 ° C, el factor de degradación supera los 150. Si el dispositivo de almacenamiento bajo prueba tiene una tasa de retención estándar de un año, un factor de degradación de 150 lo reduce a alrededor de 60 horas.

Si tomamos una extrapolación lineal burda de este gráfico, más allá del punto de 60 ° C, obtenemos un gradiente de alrededor de 6 / ° C. Si suponemos que su encendedor logra llevar la temperatura del dado a 500 ° C, esto produciría un DF de alrededor de 2100. Dividir un año por 2100 nos da 4.2 horas, que es una estimación aproximada de cuánto tiempo tendría que aguantar. el chip flash sobre su encendedor antes de que se degradara a un nivel significativo. Si somos un poco más caritativos y asumimos que su encendedor puede calentar el chip a 1000 ° C, eso eleva el factor de degradación a 5850, lo que aún significa una hora y media de calentamiento. Por chip flash. Obtener una degradación equivalente a un año de estar apagado, lo que no significa una pérdida completa. Obviamente, esto no es práctico. Si llegamos hasta los encendedores de butano de alta temperatura y asumimos que nada del calor se disipa, llegamos a aproximadamente 1900 ° C en una llama bien enfocada, mucho mayor que la de un soplete. El DF deja de ser relevante aquí porque el cobre se derretirá, pero si aún fuera relevante, necesitaría calentarlo durante unos 46 minutos. Aún así, esto demuestra que se necesita mucho calor y / o tiempo para que este tipo de enfoque de destrucción sea útil.

Pasar un clavo por las astillas es ciertamente efectivo, pero a un costo que no tiene ningún sentido. Si su SSD ha fallado hasta el punto de no ser funcional, y aún contiene datos confidenciales (especialmente si olvidó usar FDE), seguro, sujételo a cualquier enfoque de destrucción física que desee. Siendo realistas, si lo tira, nadie intentará leerlo haciendo algo más que enchufarlo a una computadora. No se hace daño al destrozar un disco que ya está roto, aparte de la posibilidad de lesionarse en el proceso. Incluso podría ser catártico. Pero si destruye físicamente una unidad en funcionamiento, solo está generando desechos electrónicos y se está costando dinero sin ningún beneficio tangible.

Leave a Comment

Your email address will not be published. Required fields are marked *

Scroll to Top

web tasarım