Знищити SSD за 7 секунд: тактична захист інформації від несанкціонованого доступу

«Будь-яку цінність контролює лише той, хто в змозі її знищити»
— Дюна, Френк Герберт

На другому курсі універу мій одногрупник влаштувався на роботу помічником адміна. Через місяць в їдальні він нам (був я і ще три одногрупника) похвалився, що написав софтину, яка дозволяла йому качати файли з інтернету через корпоративний обліковий запис (нагадаю, що по діалапу в ті часи одна мр3шка гойдалася годину). Інший одногрупник за пивасом розповів це вже в своїй компанії друзів, а ті без його відома вирішили прикольнутися. Бази даних з номерами телефонів, адрес, ДАІ та інші давно гуляли по руках, містечко маленьке. Дзвінок:

— Євген, добрий день, це сержант Іванов, відділ федеральної служби з розслідування інформаційних злочинів. У вас незаконне використання службового становища, коли ви можете підійти до нас для дачі показань?

Хлопець не з'являвся в універі десь тиждень, а свій жорсткий, дискети і оперативку він измолотил в крихту.

Напевно кожен, хто читає ці рядки, замислювався, як і чим покришити свій жорсткий диск, якщо до нього прийдуть (ефект невловимого Джо). У кого-то це залишилося у вигляді уявного плану, а у кого-то руки дійшли до озброєнь технічними засобами (наприклад, жорсткий диск заздалегідь витягнений з системника, а поруч кохана болгарка.)

Захист від несанкціонованого доступу буває не тільки софтової, але і хардкорного. Ситуації різні бувають, і захищати інформацію доводиться ціною її життя. «Так не достанься ж ти нікому!» або «Ultima ratio regum» (останній довід королів).

Сьогодні — репортаж з лабораторії по оперативному знищення інформації. (Спасибі експерту з ІБ Олегу Позднякову з "Детектор Сістемс" за право доступу.)

image
Гілфойл школяр, порівняно з тим, як захищають критично важливу інформацію в Росії.

Я вже писав про те, як розмазати магнітним полем HDD (Вбивці жорстких дисків. Коэрцетивный постріл в голову). Але у SSD броні побільше. SSD живучий. Осьтут SSD згодували петабайт, він не подавився, але і його самого можна згодувати шрьодеру, як роблять в Європі і Америці. Наші інженери придумали більш витончене рішення. Але не відразу. Спочатку був адвл agile, кілька ітерацій з тестування технологій знищення. Перш ніж прийти до ідеального варіанту знищення SSD, були полум'я і вибухи.

Коли пиляють стукають у двері, немає часу забивати всі нулями або викручувати диск з корпусу і запихати в мікрохвильову піч. Хоча дриль на робочому столі допоможе. Головне щоб був завжди із зарядженою батареєю, тому що спецслуж зловмисники можуть знеструмити будівлю.

Кілька фоток і відео і тестових варіантів знищують, а так само нормативи по захисту інформації від НСД.

Теорія
Керівний документ «Захист від несанкціонованого доступу до інформації». Терміни та визначення.

Американський національний стандарт DoD 5220.22-MВ його основі лежить один з найстаріших алгоритмів гарантованого знищення інформації. DoD 5220.22-M був прийнятий в 1995 році для використання в армії США. До речі, саме звідси і взялася в назві стандарту абревіатура DoD — Department of Defence (Міністерство оборони).

Стандарт DoD 5220.22-M передбачає здійснення трьох проходів запису поверх видаляється інформації і одного циклу верифікації. У першому з них зберігаються випадковим чином вибрані символи в кожен байт кожного сектора. Другий прохід — запис інвертованих даних. Тобто замість нулів записуються одиниці і навпаки. Ну і, нарешті, третій цикл — це ще одна запис випадкової послідовності символів.

Такий підхід є непоганим захистом від людей, що не володіють спеціальними засобами. Проте у багатьох випадках його застосування буде явно недостатньо. Це визнає і армія США, штаб якої забороняє використання DoD 5220.22-M для видалення інформації з грифом «Цілком таємно».

pcsupport.about.com/od/termsd/g/dod-5220-22-M.htm

Німецький національний стандарт VSITRЦей стандарт був розроблений в 1999 році організацією Bundesamt fuer Sicherheit in der Information-stechnik, виконуючої у Німеччині багато хто обов'язки нашого колишнього ФАПСИ. Порівняно з американським DoD 5220.22-M він більш надійний. Досягається це за рахунок здійснення семи циклів запису поверх уничтожаемой інформації. Правда, ніякої оригінальності в ньому немає. Перший цикл — запис всіх логічних нулів (0x00), другий — одиниць (0xFF). Наступні чотири проходу повторюють перші два. А на сьомому, останньому «колі», відбувається запис значення 0xAA.

Природно, такий алгоритм гарантованого знищення інформації виконується довше американського DoD 5220.22-M, І хоча він надійності краще, проте не гарантує абсолютну неможливість відновлення даних.

Російський національний стандарт ГОСТ Р50739-95Цей стандарт, як це видно з його назви, був розроблений в 1995 році. В його основі лежить найбільш «м'який» алгоритм, який, хоч і захищає від відновлення даних за допомогою звичайних програм, але не забезпечує абсолютно ніякого захисту від спеціальних засобів. Стандарт передбачає два варіанти знищення даних. Перший з них — для комп'ютерних систем з 6-го по 4-й клас захисту. Він передбачає запис логічних нулів в кожен байт кожного сектора. Другий варіант використовується для комп'ютерних систем з 3-го по 1-й клас захисту. У цьому випадку замість нулів записуються випадково обрані символи.

ГОСТ P 50739-95 Засоби обчислювальної техніки. Захист від несанкціонованого доступу до інформації. Загальні технічні вимоги


Апаратне руйнування даних

На думку Пентагону, програмні засоби не гарантують абсолютно надійного видалення даних. Тому положення NTSC-TG-025 визначає, що при видаленні дані категорії Secret або Topsecret необхідно застосовувати потужні пристрої для розмагнічування і нагрівання жорсткого диска до температури понад 700 °C.

NSA
NSA/CSS Storage Device Declassification Manual (NSA/CSS SDDM)

А ось так роблять в Європі.




Росія, 2016 рік. Лабораторія по знищенню інформації. Тестові зразки знищувачів SSD.

Погарячіше
Перша гіпотеза — палити.


Була висунута гіпотеза, що замість духовки і мікрохвильової печі, які «розігрівають» за кілька хвилин, терміт впорається за кілька секунд. Зробили кілька тестових зразків, навіть показали на виставці.


Самозаймисті SSD накопичувачі. Клац, і терміт всередині сплавляє все скло. Але не все так просто виявилося на практиці.


«Краплі розплавленого кремнію». Температура горіння термита — 1300 градусів.


Два стаканчика терміта, будь ласка. З собою.


Нафарширований термитом накопичувач.


Випробування термитом.

На полігоні.


Копаємося в тому що залишилося.


Версія з термитом була відкинута з причини ризику неконтрольованих наслідків випадкового спрацьовування — занадто багато шум-світло-звукових ефектів. А так же ризиком пошкодження сусіднього обладнання.

Тверде полум'я
Були ще задуми використовувати тверде полум'я, до того ж були і зв'язку з лабораторією СВС (самораспространяющийся високотемпературний синтез).

Ось як це виглядає. Красиво.





Хоча якщо робити основу плат з такого матеріалу або корпусів для накопичувачів. Але поки що це на все залишилося на рівні ідеї.

Голосніше
DISCLAIMER. Для вибухів використовували звичайну новорічну петарду, яка продається в будь-якому магазині феєрверків.


Тестували на звичайній флешці, туго завинченной в капролон.








Експерти визнали пошкодження чіпа недостатніми. Плюс ризик несанкціонованого спрацювання, наприклад, у літаку.



Сунь в розетку (застаріла технологія)
Маркетологам прийшла в голову ідея про те, як можна впарювати ненадійне обладнання простачкам. Ось, мовляв, підключимо 220 вольт безпосередньо, і всі спалимо за секунду. Ан немає. Перегорають проводки, а чіп залишається цілий. Все ж на ринку досі трапляються подібні рішення. (Знову «Раскат»?)


В лабораторії пробували подібне рішення, тестували і визнали абсолютно ненадійним.



Але так як електрика найдоступніше, тихе і без запаху, вирішили його використовувати, але якісно іншим методом. Таким чином і народилося найоптимальніше на даний момент рішення — Імпульс-SSD.

Ланцюг блискавок


Демонстрація роботи знищувача Імпульс-SSD, напругу 20000 вольт.



Пристрій призначений для екстреного стирання інформації з твердотільного одноплатного SSD-носія форм-фактора 2.5".


Зовнішній вигляд — звичайний п'ятидюймовий слот, з отвором під стандартний SSD накопичувач.

Кінцева завдання роботи пристрою — в мінімальні терміни провести невосстановимое і повне стирання записаної на NAND-flash мікросхеми SSD диска інформації.

Працездатність диска після стирання неповоротно втрачається і диск підлягає заміні.

При активації пристрою (стирання даних) в камері пристрою генерується специфічне електричне поле, яке призводить до руйнування структури мікросхем NAND-flash пам'яті.
Час стирання до 2 секунд.

Побічним ефектом є припустиме часткове розтріскування корпусів мікросхем.


Звичайний SSD треба роздягнути від алюмінієвого корпусу, щоб він не екранований наші блискавки.

SSD диск поміщається в камеру пристрою, що підключається до сервера (контролера диска) за допомогою інтерфейсного кабелю подовжувача. Інтерфейс диска значення не має. При цьому повністю зберігаються швидкісні і функціональні можливості дисків. Перед розміщенням у пристрої з диска повинен бути знятий зовнішній корпус, тобто пристрій поміщається власне плата диска без захисного кожуха. Дана операція може проводитися ІТ-персоналом середньої кваліфікації, ознайомленим з інструкцією.


В'язанка «червоних кнопок» для знищення інформації.

Периферійні пристрої дозволяють проводити дистанційне (у тому числі бездротовий) управління пристроєм, організацію захисту периметра комп'ютерного корпусу, приміщення.

Локальна активація пристрою — дротяні кнопки до 300м.

Дистанційна активація — радіоканал (дальність 40, 1000м), GSM контролер з додатковою можливістю отримання зворотного зв'язку про активації та стан пристрою.


Блоки радіоканалу малої і середньої дальності.

Захист периметра — механічні, герконові датчики, управління охороною — безконтактні ключі.

Всередину пристрою мені лізти не дозволили, показали лише «моторчики».


Ось такими простими моторчиками забезпечується розгортка по всій площі SSD накопичувача.

Захист від дурня і прибиральниці
Коли всі жорсткі диски можна знищити одним натисканням кнопки, варто продумати захист «від дурня». Наші інженери запропонували рішення — своєрідний малюнок натискання» (типу як хитрий стук у двері: пам-папабабампам-пам-пам). Але одного разу «дурню» вдалося обійти захист від нього самого і він вирішив поборотися з колегою. Відбулася активація знищення дисків. Спочатку хотіли звалити провину на мимовільне спрацьовування пристрою, але ж є логи. Коли підняли логи — було явне спрацьовування радиопуска і наш герой з обходу захисту зізнався.

Висновок


«До нас в компанію все частіше звертаються за системами знищення на твердотільних носіях. SSD носії, мабуть стають дешевшими, частіше використовуються при складанні робочих станцій і серверів. Я є експертом на ринку ІБ вже 5 (10 років), за цей час я перевірив ще раз кілька десятків варіантів знищувачів і сміливо заявляю, що Ипульс-SSD — максимально забезпечує знищення носіїв з усіх існуючих варіантів. У ньому не використовується подпайка проводчков, піротехніка та інші, м'яко кажучи, шарлатанські способи знищення інформації.»
— Олег Поздняков


«Ніколи не довіряйте комп'ютера, який Ви не можете викинути у вікно.»
— Стів Возняк
Коли всі заходи щодо забезпечення захисту периметра зазнали краху, залишається останній довід королів. Важливо щоб він спрацював гарантовано (особливо в ситуаціях з відключенням електроживлення і глушіння радіоефіру) і саме тоді, коли накажуть (а не довільно). З цього випливає, що коштує кілька разів перевірити надійність системи знищення в режимі «навчальної тривоги» і не довіряти «маркетинговим запевненням».

p.s.
Знову хочу нагадати про «Генія».


P. P. S.
Якось так вийшло, що моєму одногрупнику забули сказати, що над ним прикололись. Дізнався він лише через рік. Зате це рік він прожив як святий, навіть заліки вчасно здавав.

Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.