Métodos de Sanitização de Dados

Um método de sanitização de dados é uma maneira específica pela qual um programa de destruição de dados ou triturador de arquivos substitui os dados em um disco rígido ou outro dispositivo de armazenamento.

A maioria dos programas de destruição e destruição de dados suporta vários métodos de Sanitização de Dados para que você possa escolher qual usar.

Esses métodos também são freqüentemente chamados de métodos de apagamento de dados , métodos de apagamento de dados , algoritmos de apagamento e padrões de apagamento de dados . Quando você vê terminologia como essa, o programa está falando sobre sanitização de dados, como você verá nesta página.

Abaixo estão vários métodos populares de Sanitização de Dados usados ​​por programas de destruição de dados, detalhes sobre o método específico e, quando aplicável, a organização ou indivíduo creditado por criá-lo.

Apagamento seguro

Secure Erase é o nome dado a um conjunto de comandos  disponíveis no firmware  em discos rígidos baseados em  PATA e SATA (não está disponível em  unidades SCSI  ).

Usar o Secure Erase para apagar os dados de um disco rígido geralmente é considerado a melhor maneira de fazer isso porque a ação é realizada a partir da própria unidade , o mesmo hardware que gravou os dados em primeiro lugar. Outros métodos de apagamento podem ser menos eficazes porque contam com formas mais padronizadas de sobrescrevê-lo.

De acordo com a publicação especial 800-88 do Instituto Nacional de Padrões e Tecnologia , o único método de limpeza de dados baseado em software deve ser aquele que utiliza os comandos Secure Erase de um disco rígido.

Também vale a pena notar que a NSA trabalhou com o Centro de Pesquisa de Gravação Magnética da Universidade da Califórnia, em San Diego, para pesquisar o saneamento de dados do disco rígido. Um resultado dessa pesquisa foi o  HDDErase , um programa de software de destruição de dados disponível gratuitamente que funciona executando os comandos Secure Erase.

O método de Sanitização de Dados Secure Erase é implementado da seguinte maneira:

• Passo 1:  Escreve um binário um ou zero

Nenhuma verificação da sobregravação é necessária porque a gravação ocorre de  dentro da unidade , o que significa que a detecção de falha de gravação da unidade evita falhas. Isso torna o Secure Erase rápido em comparação com outros métodos de sanitização de dados e indiscutivelmente mais eficaz.

Alguns comandos específicos do Secure Erase incluem  SECURITY ERASE PREPARE  e  SECURITY ERASE UNIT . O Security Erase  é outra maneira de ver isso discutido, mas provavelmente não com frequência.

DoD 5220.22-M

O método de higienização DoD 5220.22-M foi originalmente definido pelo Programa Nacional de Segurança Industrial dos EUA no Manual Operacional do Programa Nacional de Segurança Industrial e é um dos métodos de higienização mais comuns usados ​​em software de destruição de dados.

Esse método de sanitização de dados geralmente é implementado da seguinte maneira:

• Passo 1 : Escreve um zero e verifica a gravação.
• Passo 2 : Escreve um e verifica a gravação.
• Passo 3 : Escreve um caractere aleatório e verifica a gravação.

Você também pode encontrar várias iterações, incluindo DoD 5220.22-M (E), DoD 5220.22-M (ECE) e talvez até algumas outras. Cada um provavelmente usará um caractere e seu complemento (como em 1 e 0) e frequências variadas de verificações.

Embora menos comum, há outra versão alterada que escreve um  97  durante a última passagem em vez de um caractere aleatório.

NCSC-TG-025

O método de higienização NCSC-TG-025 foi originalmente definido no  Forest Green Book , parte da  série Rainbow  de diretrizes de segurança de computadores, publicada pelo National Computer Security Center (NCSC), um grupo que já fez parte da Agência de Segurança Nacional dos EUA. .

O NCSC-TG-025 não é mais um padrão de sanitização de dados para a NSA. O Manual de Desclassificação de Dispositivos de Armazenamento NSA/CSS (NSA/CSS SDDM) lista apenas a desmagnetização e a destruição física via incineração como formas aprovadas pela NSA de higienizar os dados do disco rígido. Você pode ler o SDDM NSA/CSS aqui  (PDF).

O NCSC-TG-025 geralmente é implementado da seguinte maneira, combinando zeros, uns  e  caracteres aleatórios:

• Passo 1:  Escreve um zero e verifica a gravação
• Passo 2:  Escreve um e verifica a gravação
• Passo 3:  Escreve um caractere aleatório e verifica a gravação

Este é o mesmo método de sanitização de dados do DoD 5220.22-M, e as variações em como ele é implementado serão semelhantes.

AFSSI-5020

O método de higienização AFSSI-5020 foi originalmente definido na Instrução de Segurança do Sistema da Força Aérea 5020 pela Força Aérea dos Estados Unidos. Não está claro se a USAF ainda usa essa Sanitização de Dados como padrão.

Esse método de limpeza de dados geralmente é implementado da seguinte maneira:

• Passo 1:  Escreve um zero
• Passo 2:  Escreve um
• Passo 3:  Escreve um caractere aleatório e verifica a gravação

Você também pode ver iterações que escrevem um para a primeira passagem e um zero para a segunda. Este método também foi implementado com verificações após cada passagem, não apenas a última.

AR 380-19

O método de higienização AR 380-19 foi originalmente definido no Regulamento do Exército 380-19, publicado pelo Exército dos EUA. Você pode ler a especificação de sanitização de dados AR 380-19 no  AR 380-19 Apêndice F  (PDF).

De acordo com  o panfleto 25–2–3 do Departamento do Exército , lançado em abril de 2019, fica claro que o Exército dos EUA não usa mais o AR 380-19 como seu padrão de sanitização de dados baseado em software, mas depende dos processos de verificação identificados no NIST SP 800-88 Revisão 1.

O método de sanitização de dados AR 380-19 geralmente é implementado da seguinte maneira:

• Passe 1  — Escreve um caractere aleatório
• Passo 2  — Escreve um caractere especificado (por exemplo, zero)
• Passe 3  — Escreve o complemento do caractere especificado (ou seja, um) e verifica a gravação

Às vezes, é usado incorretamente por programas de destruição de dados, então você pode vê-lo implementado sem uma verificação da passagem final ou sem uma terceira passagem.

NAVSO P-5239-26

O método de higienização NAVSO P-5239-26 foi originalmente definido na publicação 5239 Module 26: Information Systems Security Program Guidelines do Navy Staff Office, publicado pela Marinha dos EUA. Você pode ler a especificação de sanitização de dados NAVSO P-5239-26 em 3.3.c.1 e 3.3.c.2 da publicação NAVSO 5239-26. Não está claro se a Marinha dos EUA ainda o usa como seu padrão de Sanitização de Dados.

O NAVSO P-5239-26 geralmente é implementado da seguinte maneira:

• Passe 1  — Escreve um caractere especificado (por exemplo, um)
• Passo 2  — Escreve o complemento do caractere especificado (por exemplo, zero)
• Passe 3  — Escreve um caractere aleatório e verifica a gravação

Esse método é o modo como a maioria dos programas de destruição de dados implementa o padrão. No entanto, de acordo com a especificação real, este é o “método alternativo” menos eficaz. O “método preferencial” envolve um padrão de substituição mais complicado.

RCMP TSSIT OPS-II

O método de higienização RCMP TSSIT OPS-II foi originalmente definido no  documento Apêndice Ops-II: Media Sanitation of the Technical Security Standards for Information Technology  , publicado pela Royal Canadian Mounted Police (RCMP).

No entanto, o RCMP TSSIT OPS-II não é mais o padrão de sanitização de dados baseado em software do governo canadense. O padrão de sanitização de dados no Canadá agora é CSEC ITSG-06, ou um programa que utiliza o Secure Erase.

O RCMP TSSIT OPS-II combina esses métodos e geralmente é implementado da seguinte maneira:

• Passo 1:  Escreve um zero
• Passo 2:  Escreve um
• Passo 3:  Escreve um zero
• Passo 4:  Escreve um
• Passo 5:  Escreve um zero
• Passo 6:  Escreve um
• Passo 7:  Escreve um caractere aleatório e verifica a gravação

Esse método geralmente é usado corretamente como mostrado acima, mas também o vimos implementado com caracteres aleatórios no lugar de alguns dos passos repetidos zero/um em alguns programas.

CSEC ITSG-06

O método de sanitização CSEC ITSG-06 foi originalmente definido na Seção 2.3.2 do  IT Security Guidance 06: Clearing and Declassifying Electronic Data Storage Devices , publicado pelo Communication Security Establishment Canada (CSEC).

O CSEC ITSG-06 substituiu o RCMP TSSIT OPS-II como padrão de sanitização de dados do Canadá.

Geralmente é implementado da seguinte maneira:

• Passo 1:  Escreve um ou zero.
• Pass 2:  Escreve o complemento do caractere escrito anteriormente (por exemplo,  um  se Pass 1 for  zero ).
• Passo 3:  Escreve um caractere aleatório e verifica a gravação.

HMG IS5

O método de higienização HMG IS5 foi originalmente definido no  documento HMG IA/IS 5 Secure Sanitisation of Protectively Marked Information ou Sensitive Information  , publicado pelo Communications-Electronics Security Group (CESG), parte do National Cyber ​​Security Center ( NCSC ).

Este método vem em duas versões semelhantes: HMG IS5  Baseline  e HMG IS5  Enhanced .

O HMG IS5 Baseline geralmente é implementado da seguinte maneira:

• Passo 1:  Escreve um zero
• Passo 2:  Escreve um caractere aleatório e verifica a gravação

É assim que o HMG IS5 Enhanced normalmente funciona:

• Passo 1:  Escreve um zero
• Passo 2:  Escreve um
• Passo 3:  Escreve um caractere aleatório e verifica a gravação

VSITR

Verschlusssache IT Richtlinien  (VSITR), traduzido aproximadamente como Políticas de TI classificadas, foi originalmente definido pelo Bundesamt für Sicherheit in der Informationstechnik (BSI), o Escritório Federal Alemão de Segurança da Informação. Você pode  ler mais sobre o BSI  em seu site.

É assim que o método de sanitização de dados VSITR é implementado com mais frequência:

• Passo 1:  Escreve um zero
• Passo 2:  Escreve um
• Passo 3:  Escreve um zero
• Passo 4:  Escreve um
• Passo 5:  Escreve um zero
• Passo 6:  Escreve um
• Passe 7:  Escreve um caractere aleatório

Vimos várias iterações VSITR, incluindo uma com apenas três passagens, uma que escreve a letra  A  na passagem final em vez de um caractere aleatório e uma que escreve uns e zeros alternados em toda a unidade como a última passagem.

GOST R 50739-95

Na verdade, nunca houve um método oficial de sanitização de dados GOST R 50739-95. Existe um documento GOST R 50739-95, mas não especifica nenhum padrão ou metodologia de sanitização de dados.

Independentemente disso, as implementações mencionadas abaixo são rotuladas como métodos GOST pela maioria dos programas de destruição de dados.

ГОСТ P 50739-95, traduzido como GOST R 50739-95, é um conjunto de padrões originalmente delineado em russo projetado para proteger contra acesso não autorizado a informações. O texto completo do GOST R 50739-5 pode ser lido (em russo) aqui: ГОСТ Р 50739-95 .

ГОСТ é um acrônimo para государственный стандарт que significa  padrão de estado .

O método de sanitização de dados GOST R 50739-95 geralmente é implementado de uma destas duas maneiras:

Primeira versão:

• Passo 1:  Escreve um zero
• Passo 2:  Escreve um caractere aleatório

Segunda versão:

• Passo 1:  Escreve um caractere aleatório

Uma grande diferença entre esse método de apagar dados, quando comparado com outros, é que não é um requisito que haja uma passagem de “verificação” depois que as informações forem substituídas. Tudo isso significa que o programa que usa o método de limpeza ainda pode alegar ter usado o GOST R 50739-95, mesmo que não verifique novamente se os dados foram realmente apagados.

No entanto, qualquer programa usando GOST R 50739-95 pode verificar a substituição, se desejar; isso geralmente é uma opção em programas de destruição de dados e trituradores de arquivos.

Gutmann

O método de Gutmann, desenvolvido por Peter Gutmann em 1996, usa um caractere aleatório, em vez de apenas o zero usado em outras técnicas, para os primeiros 4 e os últimos 4 passos, mas depois usa um padrão complexo de sobrescrever do Passo 5 ao Passo 31 .Escreve um total de 35 passagens.

A longa explicação da Wikipedia sobre o método original de Gutmann inclui uma tabela dos padrões usados ​​em cada passagem.

Este método foi projetado no final de 1900. Os discos rígidos em uso naquela época usavam métodos de codificação diferentes dos que usamos hoje, portanto, a maioria das passagens que esse método executa são completamente inúteis para discos rígidos modernos. Sem saber exatamente como cada disco rígido armazena os dados, a melhor maneira de apagá-los é usar padrões aleatórios.

O próprio Peter Gutmann disse em um epílogo de seu artigo original:

Se você estiver usando uma unidade que usa a tecnologia de codificação X, você só precisará executar as passagens específicas para X e nunca precisará executar todas as 35 passagens. Para qualquer drive moderno, algumas passagens de depuração aleatória são o melhor que você pode fazer.

Cada disco rígido usa apenas um método de codificação para armazenar dados, então o que está sendo dito aqui é que, embora o método Gutmann possa muito bem se aplicar a muitos tipos de discos rígidos que usam métodos de codificação diferentes, escrever dados aleatórios é tudo o que realmente precisa ser feito.

Conclusão: o método Gutmann pode fazer isso, mas também outros métodos de sanitização de dados.

Schneier

O método Schneier foi criado por Bruce Schneier e apareceu em seu livro  Applied Cryptography: Protocols, Algorithms, and Source Code in C  (ISBN 978-0471128458).

É assim que normalmente é implementado:

• Passo 1:  Escreve um
• Passo 2:  Escreve um zero
• Passo 3:  grava um fluxo de caracteres aleatórios
• Passo 4:  grava um fluxo de caracteres aleatórios
• Passo 5:  grava um fluxo de caracteres aleatórios
• Passo 6:  grava um fluxo de caracteres aleatórios
• Passo 7:  grava um fluxo de caracteres aleatórios

Alguns programas podem introduzir pequenas variações, como uma verificação após a primeira ou última passagem.

Pfitzner

Roy Pfitzner, o criador desse método, disse que os dados podem ser recuperados se forem substituídos apenas 20 vezes, e que escrever caracteres aleatórios mais de 30 vezes deve ser suficiente. No entanto, se isso é preciso está em debate.

Embora a maioria dos softwares implemente esse método da seguinte maneira, alguns podem modificá-lo e usar um número menor de passagens (sete é comum):

Passe 1 – 33:  Escreve um caractere aleatório

Às vezes é escrito como  Pfitzner 33-pass ,  Pfitzner 7-pass ,  random(x33)  ou  random(x7).

Além disso, a maioria dos softwares permite que você execute o método Pfitzner mais de uma vez. Portanto, se você o executasse 50 vezes, o software substituiria a unidade não 33 vezes, mas 1.650 vezes (33×50)!

Alguns aplicativos também podem verificar os passes depois de concluídos.

Dados aleatórios

Alguns métodos de sanitização de dados substituem os dados existentes por zeros ou uns. Outros incluem zeros e uns, mas também caracteres aleatórios. No entanto, o método Random Data, como o nome sugere, usa apenas caracteres aleatórios.

O método de sanitização de dados é implementado de várias maneiras:

Passe 1 – ?:  Escreve um caractere aleatório

A maioria das ferramentas de destruição de dados que fornecem um método de dados aleatórios o usa como um tipo de método de higienização do tipo faça você mesmo, permitindo que você personalize o número de passagens. Portanto, você pode ver esse método executar apenas duas passagens ou até 20 ou 30 ou mais. Você também pode ter a opção de verificação após cada passagem ou apenas a passagem final.

Alguns softwares permitem que você personalize não apenas o número de passagens, mas também os caracteres usados. Por exemplo, você pode ter a opção de adicionar uma passagem de apenas zeros. No entanto, mesmo que o programa possa permitir que você personalize o método, qualquer coisa que se desvie muito do que foi explicado acima resultará em um método que não é mais Random Data.

Escreva zero

O método de sanitização de dados Write Zero é, sem surpresa, geralmente implementado da seguinte maneira:

• Passo 1: Escreve um zero

Algumas implementações podem incluir uma verificação após a primeira passagem, podem escrever um caractere  diferente  de zero ou podem escrever zeros em várias passagens, mas essas não são formas comuns de fazer isso.

É suficiente para apagar dados?

Alguns métodos de Sanitização de Dados substituem seus dados regulares e legíveis por caracteres aleatórios. Como mencionado acima, Write Zero faz a mesma coisa, mas usa, bem… zeros. Em um sentido prático, se você limpar um disco rígido com zeros e depois jogá-lo fora, seu mergulhador de lixo aleatório que o pegar não poderá recuperar nenhum de seus dados excluídos.

Se isso for verdade, você pode se perguntar, então, por que existem outros tipos de métodos de limpeza de dados. Com todas as opções disponíveis, qual é o propósito de um utilitário de preenchimento zero? O método Random Data, por exemplo, grava  caracteres aleatórios  na unidade em vez de zeros, então como isso é diferente de Write Zero ou de qualquer um dos outros?

Um aspecto não é apenas qual caractere está sendo escrito, mas quão eficiente é o método em sobrescrever os dados. Se apenas uma única passagem de gravação for feita e o software não verificar se todos os dados foram apagados, o método não será tão eficaz quanto os métodos que o  fazem.

Em outras palavras, se você usar Write Zero em uma unidade e verificar se todos os dados foram substituídos, você pode ter certeza de que é menos provável que as informações sejam recuperadas do que se os mesmos dados fossem substituídos com o método Random Data mas não verificou se cada setor foi substituído por caracteres aleatórios.

No entanto, certos personagens também podem fornecer melhor privacidade do que outros. Se um programa de recuperação de arquivos souber que os dados foram substituídos apenas por zeros, será significativamente mais fácil filtrar quais dados existem do que se o programa não conhecer os caracteres usados, como os do método Schneier.

Outra razão para todos os outros métodos é que algumas organizações querem provar que suas informações estão sendo apagadas de uma maneira específica que provavelmente impedirá a recuperação, então elas usam um determinado método de sanitização de dados com determinados parâmetros para todas as suas necessidades de limpeza de dados.

Qual método de sanitização de dados é o melhor?

A substituição de um ou mais arquivos, ou de um disco rígido inteiro, apenas uma vez com um único caractere, deve impedir que qualquer método de recuperação de arquivos baseado em software recupere dados de um disco rígido. Isso é quase universalmente aceito.

De acordo com alguns pesquisadores ¹ , uma única substituição de dados é suficiente para impedir até mesmo métodos avançados baseados em hardware de extração de informações de discos rígidos, o que significa que a maioria dos métodos de sanitização de dados é um exagero. Isso não é como acordado.

A maioria dos especialistas concorda que o Secure Erase é a melhor maneira de substituir um disco rígido inteiro em uma única passagem. O método Write Zero muito simples realiza essencialmente a mesma coisa, embora muito mais lento.

Usar qualquer método de limpeza para apagar dados é apenas escrever outros dados sobre seus dados anteriores para que as informações sejam substituídas por algo inútil – cada método funciona dessa maneira. Os novos dados são essencialmente aleatórios e, na verdade, não contêm nenhuma informação pessoal, razão pela qual são usados ​​uns, zeros e caracteres aleatórios.

_{[1] Craig Wright, Dave Kleiman e Shyaam Sundhar RS em Overwriting Hard Drive Data: The Great Wiping Controversy [PDF].}

Se uma única substituição é suficiente, por que existem tantos métodos de sanitização de dados?

Como mencionamos acima, nem todos concordam com um método de Sanitização de Dados baseado em software que impedirá todos os métodos possíveis de recuperação de dados.

Como existem métodos avançados de extração de informações de discos rígidos baseados em hardware, várias organizações governamentais e pesquisadores desenvolveram de forma independente certos métodos de substituição de dados que, de acordo com suas pesquisas, devem impedir que esses métodos avançados de recuperação funcionem.

O que significa ‘verificar a gravação?’

A maioria dos métodos de sanitização de dados executa uma verificação depois de gravar um caractere sobre os dados, o que significa que ele verifica a unidade para garantir que o conteúdo foi realmente gravado.

Em outras palavras, uma verificação de gravação de dados é como um “eu realmente fiz isso da maneira certa?” espécie de cheque. Se a substituição não for concluída por algum motivo, o software provavelmente refazerá essa passagem específica até que possa verificar se os dados foram substituídos ou poderá apenas informar que a verificação não foi concluída conforme o esperado, para que você pode executá-lo manualmente novamente, se desejar.

Algumas ferramentas de software de limpeza de dados permitem que você altere o número de vezes que verifica se os arquivos desapareceram. Alguns podem verificar apenas uma vez no final de todo o processo (depois de todas as passagens serem concluídas), enquanto outros verificarão a gravação após cada passagem.

Verificar uma unidade inteira após cada passagem para garantir que os arquivos estão sendo excluídos certamente levará muito mais tempo para ser concluído, pois é necessário verificar com mais frequência do que apenas uma vez no final.

Software que suporta esses métodos

Nesta tabela estão os programas de destruição de arquivos e ferramentas de destruição de dados que suportam os métodos de Sanitização de Dados descritos acima. Se você não tiver certeza de qual usar, consulte esta lista de programas de apagamento de dados de toda a unidade ou nossa lista de ferramentas de apagamento em nível de arquivo.

	DBAN	HDDErase	CBL	WinUtilName	Apagador	catalão
AFSSI-5020			Sim*		Sim	Sim
AR 380-19			Sim*		Sim	Sim
CSEC ITSG-06			Sim*
DoD 5220.22-M	Sim		Sim	Sim	Sim	Sim
GOST R 50739-95			Sim*		Sim	Sim
Gutmann	Sim		Sim	Sim	Sim	Sim
HMG IS5			Sim*		Sim
NAVSO P-5239-26			Sim*			Sim
NCSC-TG-025			Sim*	Sim
Pfitzner					Sim	Sim
Dados aleatórios	Sim		Sim*		Sim	Sim
RCMP TSSIT OPS-II	Sim		Sim*		Sim
Apagamento seguro		Sim	Sim*
Schneier			Sim		Sim	Sim
VSITR			Sim		Sim
Escreva zero	Sim		Sim*			Sim

A maioria dos programas também permite que você personalize seu próprio método de sanitização de dados com qualquer padrão de substituição e número de passagens que desejar. Por exemplo, o programa pode permitir que você opte por substituir os dados por um zero durante a primeira passagem, um na segunda passagem e, em seguida, caracteres aleatórios por mais oito passagens.