abernus Una Investigación de Avances en Borrado Seguro de Datos en Discos en Estado Sólido. Un Enfoque Basado en Riesgos

Transcripción

1 abernus Una Investigación de Avances en Borrado Seguro de Datos en Discos en Estado Sólido. Un Enfoque Basado en Riesgos Advances in SSD Erasure Solutions: A Tabernus White Paper

2 2 Introducción Borrar datos de manera efectiva en los dispositivos de almacenamiento es una función crítica en Administración de la Seguridad de la Información. Mientras que el enfoque de borrar discos duros es ampliamente entendida, los discos en estado sólido (SSD) requieren de diferentes técnicas para un nivel adecuado de seguridad y confianza. Esto es debido a que la tecnología en los discos en estado sólido (SSD) es intrínsecamente única en la forma que los datos están almacenados, el asumir que los métodos de borrado que funcionan para discos duros tradicionales también vana funcionar en los discos de estado sólido, generará un problema. Existen algunos avances en soluciones de borrado para discos de estado sólido (SSD) con su correspondiente nivel de efectividad basada en pruebas recientes. Es posible Utilizar un enfoque basado en el riesgo de Seguridad de la Información, para aplicar el método apropiado de borrado y la amenaza correspondiente. Qué son los Discos en Estado Sólido (SSD)? Un disco en Estado Sólido (SSD por sus siglas en inglés), llamado también disco electrónico, es un dispositivo de almacenamiento de datos que usa chips de memoria flash de tipo NAND*, para almacenar información. * Una Memoria flash NAND es un tipo de tecnología de almacenamiento no volátil que no requiere de energía para conservar los datos. A diferencia de los discos duros tradicionales, que son dispositivos electromecánicos que contienen discos que giran y cabezas de lectura escritura que se mueven. Los discos en Estado Sólido no emplean ningún componente mecánico. La mayoría de las ventajas de un disco SSD sobre un disco duro tradicional vienen de la característica de que los datos son accesados completamente de forma electrónica en vez que de forma electro-mecánica. Esto Hace a los SSD una solución muy duradera y confiable. No obstante la realidad es que los SSD no duran para siempre. La memoria Flash solamente puede ser programada y borrada un número finito de veces. Los fabricantes de SSD s puede predecir efectivamente cuento tiempo puede durar un SSD con una gran certeza y tienen funciones particulares para extender la longevidad de los discos. Cuál es el Reto para el Borrado Seguro? Los discos duros tradicionales almacenan los datos de una manera lineal y ordenada. Dada la Naturaleza de operación de las memorias Flash, los datos no pueden ser sobre-escritos directamente como lo hacen los discos duros tradicionales. Los SSDs realizan un trabajo intenso en reorganizar piezas de datos y catalogar sus nuevas ubicaciones. La Razón principal es uniformar el nivel operativo en los SSD. Esto hace que el controlador de la memoria Flash y su Firmware tengan la gran responsabilidad en mantener la integridad de los datos. El controlador de los SSD gestionan la memoria flash e interfaces con el sistema host. El controlador utiliza un sistema de mapeo lógico a físico conocido como direccionamiento de bloque lógico (LBA) y que es parte de la capa de traducción de flash del controlador (FTL). La capa de traducción de flash del controlador (FTL) actúa como un policía de tráfico que gestiona la correspondencia entre direcciones de bloque lógico (LBA) que son visibles para el usuario a través de la interfaz ATA o SCSI y las páginas físicas inaccesibles de la memoria flash. Cuando llegan nuevos datos reemplazando datos antiguos ya existentes, el controlador SSD escribirá los nuevos datos en una ubicación nueva (no utilizada) y actualizará el mapeo lógico para que apunte a la nueva ubicación física. La antigua ubicación ya no contiene datos válidos y con el tiempo tendrán que ser borrados antes de que se pueda escribir de nuevo. Como resultado, la versión anterior de los datos permanece en

3 3 forma digital en la memoria flash. Estos datos sobrantes se conocen como restos digitales. Dado que la sobre-escritura física no es posible en los SSD s, las técnicas de borrado basadas en sobre-escritura que funcionan en los discos duros tradicionales no funcionan adecuadamente en SSD s. Esas técnicas asumen que sobre-escribir una porción del espacio del LBA es igual a sobre-escribir el mismo medio físico que almacenó los datos originales. Sobre-escribir datos en un SSD resultan en una sanitización lógica donde los datos son irrecuperables a través de la interfaz del host. Pero Sobre-escribir no necesariamente resultará en una sanitización digital completa en todas las áreas del SSD. Opciones para Borrado de Datos Existen tres métodos a ser considerados para borrado de datos en SSD s: 1. Borrado Criptográfico 2. Borrado Seguro 3. Sobre-escritura Tradicional Si bien no es un método de remoción de datos, el borrado criptográfico es donde la llave de encriptación es borrada o destruida, de tal manera que la información en el SSD ya no es descifrable. El beneficio de éste método es que es una acción rápida que toma solo minutos en ser completada y los datos en el SSD si bien continúan presentes ya no pueden ser descifrados debido a la inexistencia de la llave de cifrado original. Éste es un medio eficaz de protección de los datos. Por ejemplo, el ipad de Apple borra la configuración del usuario y la información mediante la eliminación de la clave de cifrado que protege los datos. Este proceso tarda sólo unos minutos. Las desventajas del borrado criptográfico como método es que no todas las unidades SSD emplean cifrado de hardware, por lo que no se puede utilizar de manera uniforme en todos los casos. Además, técnicamente los datos siguen estando presentes en la unidad de almacenamiento. Así que, aunque existe una amplia creencia de que los datos no pueden ser descifrados y recuperados después de este proceso, existen conjeturas sobre lo que futuros desarrollos en la tecnología serían capaz de hacer sobre los dispositivos encriptados. Borrar de Manera Segura es un comando preconfigurado que existe en el Firmware de los dispositivos SDD y de los discos duros tradicionales, que borra todas las áreas del dispositivo de almacenamiento. Este es considerado el mejor método de lidiar con la remoción de datos en los SSD debido a que el fabricante desarrolló el firmware y esta en la mejor posición de direccionar todas las áreas de almacenamiento del disco y de cómo trabaja internamente. El fabricante del SSD tiene la capacidad de utilizar sus propios comandos únicos desconocidos por terceros. Si el borrado seguro funcionara perfectamente en todos los casos para todas las unidades, entonces este método sería la solución preferida. Desafortunadamente, ha habido algunos estudios bien documentados sobre la aplicación de borrado seguro en las unidades y los resultados son que el borrado seguro no se ejecuta consistentemente en todos los casos. Por último, la sobre-escritura tradicional es un método en el que múltiples pasadas de datos en blanco son escritos de manera repetida sobre el Dispositivo. Un ejemplo de un método de sobre-escritura tradicional es el del Departamento de Defensa de EE.UU. - de sobre-escritura de 3 pasadas (DOD-3pass). Este método de eliminación de datos borrará las ubicaciones de datos lógicos visibles para el usuario a través de la computadora. Sin embargo, este método no borrará de manera efectiva todas las ubicaciones digitales en el SSD que residen debajo de la capa de transición del firmware (FTL). Pero, de acuerdo a las características del firmware del SSD, una solución de sobre-escritura múltiple rellenará estos datos en blanco en los espacios digitales por debajo del nivel de firmware a discreción del mismo código de firmware.

4 4 Enfoque Basado en Riesgo Existen opciones para borrado de datos en SSD s, sin embargo ninguna de ellas parecen ser perfectas. Así que, Cuál es la mejor forma de confrontar el problema?. La opción adecuada en el nivel de sanitización o método para una aplicación particular realmente depende de la sensibilidad de los datos que se están borrando y los medios y la experiencia de los posibles atacantes. Este enfoque se denomina un enfoque basado en el riesgo. Cada método o combinación de métodos de eliminación de datos pueden ser probados por su eficacia sobre la base de una amenaza definida. En cada tipo, pueden configurarse pruebas forenses para representar la capacidad de una amenaza definida y para calificar a la solución de eliminación de datos. Consulte la Matriz de Capacidad de Amenazas en la Tabla 1 proporcionada por ADISA (Asociación para la Enajenación de Activos y Seguridad de la Información). Existen cinco (5) niveles de riesgo de bajo a alto donde 1 es el nivel más bajo y 5 es el más alto. Una vez definido el nivel de riesgo, entonces el método de eliminación de datos debe confrontarse contra el nivel de prueba correspondiente que simula el riesgo o la amenaza. Este enfoque basado en riesgo permite a los profesionales de gestión de riesgos y de seguridad seleccionar soluciones de eliminación de datos que han sido calificados en contra de una amenaza categorizada (En pruebas de laboratorio). En la actualidad, muchas alternativas para la eliminación o sanitización de datos proveen de manera muy subjetiva opciones tipo una sola pieza para todas las tallas. Esta talla única puede generar costos o riesgos innecesarios ante necesidades de borrado seguro una sola vez o como política recurrente de una compañía. Tomemos el ejemplo anterior del uso del borrado criptográfico del Apple ipad. Este método de eliminación de datos puede no ser adecuado para niveles de riesgo ultra secretos (Top Secret) del gobierno, no obstante puede ser muy oportuno para los consumidores comunes de Apple.

5 5 Mitigación de riesgos para SSD Cuando se observa una enfoque basado en riesgos para el Discos en Estado Sólido, tenga en cuenta lo siguiente al formular su política de sanitización de datos: 1. El perfil de su amenaza. 2. Identificar el tipo de producto que se está desea utilizar. 3. Entender su tolerancia al riesgo. 4. Coloque los dispositivos SSD en un proceso de venta o eliminación de activos gestionados y controlados. 5. Disponer de medios prescriptivos de sanitización. Resumen Si bien las normas actuales del gobierno con respecto a Borrado Seguro de Datos no existen o no coinciden de manera uniforme sobre mejor la forma de sanitizar Dispositivos de Estado Sólido (o incuso para discos duros tradicionales), los expertos coinciden sobre la eficacia de ciertas soluciones o combinación de soluciones basadas en la metodología de pruebas. En última instancia, pasar a un enfoque basado en el riesgo coincidirá con la solución de eliminación de datos apropiada para el nivel de amenaza correspondiente. Las soluciones que se han probado de manera adecuada y calificado contra los niveles de amenaza definidos deben utilizarse preferentemente sobre las soluciones con política una sola pieza para todas las tallas. Las Normas gubernamentales y de la industria sobre cómo tratar de manera uniforme con SSD y con Sanitización Segura de Datos en General, están aún en evolución, sin embargo, la capacidad de borrar de forma segura un dispositivo SSD se ha convertido en un problema solucionable. Por: Joe Mount, Daniel Dyer, David Dykes, Tabernus Contribuciones a este documento proporcionadas por Steve Mellings, fundador de la Alianza para la Enajenación de Activos y Seguridad de la Información (ADISA). Tabernus, LLC Jollyville Road, Suite 203 Austin, Texas (phone) (fax) Tabernus, Europe 8 Waterside Court Albany Street Newport Gwent NP20 5NT Tel: Interesting Facts about Tabernus Tabernus software has been certified by CESG, NATO, NSM, NIST and DIPCOG. ADISA and the University of South Wales have independently verified our SSD erasure algorithms. Tabernus were nominated in three separate categories of the 2014 Computing Security Awards. Accreditations & Certifications Tabernus is headquartered in Austin, Texas, USA with an office in Newport, Wales, UK.