清空回收站根本沒用,駭客竟然可以“秒恢復”
你知道嗎?被刪除的電腦文件,其實可以被駭客「秒恢復」!
在日常工作中,我們都有過刪除電腦檔案的經歷,但很多人似乎從未深究過,這些檔案是否真的徹底刪除了。總覺得把它們一鍵送入“回收站”,然後再點擊一個“清空回收站”,就萬事大吉。
但事實並非如此,刪除的檔案雖然已經從回收站消失,但其實仍然存在於我們的電腦系統中,這些檔案並沒有真正地消失,而是被移動到了其他地方。
要知道,在某些刪除的文件中,很可能包含大量的機密資訊和敏感資料。如果這些資料處理不當,被駭客利用工具恢復並加以利用,很可能會對公司或個人造成巨大損失。
根據先前Blancco與Ontrack共同進行的《Privacy for Sale》研究發現,超過40%的二手硬碟含有先前用戶留下來的資料。這些遺留的資料包括辦公室和員工的大量電子郵件、照片和文件,這使用戶及雇主面臨隱私、財務和聲譽等受損的風險。此外,超過15%的硬碟含有敏感資訊。那麼如何確保文件真正消失,對我們來說至關重要。
刪除的檔案到底去哪了?
事實上,當我們在電腦上刪除一個檔案時,實際上只是將檔案從檔案系統中的目錄結構中移除,刪除的檔案資料依然存留在電腦硬碟空間中。
簡單來說,就是資料仍在硬碟中。但在電腦上看,原來存放檔案資料的空間被標示為空白的區域了,這個空白區域是可以隨時寫進新資料。換句話說,刪除檔案也只是刪除了指向資料的指標訊息,並沒有實際刪除資料本被刪除的檔案仍然存在於硬碟中,只是變得不可見而已。
刪除指令只是將檔案目錄項目做了一個刪除標記,資料區並沒有仟何改變。由於刪除操作不能真正擦除磁碟資料區信息,一些資料恢復工具正是利用了這一點,才能繞過文件分配表直接讀取資料區,繼而恢復被刪除的文件。
看到這裡可能有人想問,如果一鍵刪除到回收站無法徹底銷毀數據,那格式化硬碟呢?事實上格式化只是為作業系統建立一個全新的空白檔案索引,和清空回收站幾乎同理,操作後只是將所有磁區標記為「未使用」狀態,讓作業系統認為硬碟上沒有檔案而已。多數情況下,格式化不會影響硬碟上的資料區。因此,採用資料復原軟體工具也可以恢復格式化後硬碟中的資料。
綜合來看,由於資訊載體的性質不同,與紙本文件相比,資料檔案通常儲存在實體儲存媒體(如USB、磁帶、硬碟和光碟)等,其銷毀技術更為複雜,操作更為繁瑣。無論是重新格式化硬碟(尤其是採用快速格式化)、從活動環境中刪除文件,甚至將文件拖到回收站,資訊仍然存在。所有這些方法只是刪除了指向資料的指標訊息,並沒有實際刪除資料本身。刪除文件時,採用經過認證和驗證的有效資料清理方法至關重要。只有採取正確徹底的資料銷毀方法,才能達到完全脫密的目的。
數據銷毀不充分的嚴重後果讓人“不寒而慄”
在當今資訊爆炸的時代,數據已成為企業最為寶貴的資產之一。隨著大數據、雲端運算以及物聯網等前沿科技的快速發展,企業累積、儲存和處理的資料量正以前所未有的速度激增。
但數據所帶來的龐大價值也伴隨著前所未有的安全隱憂。諸如資料外洩、非法使用以及個人隱私侵權等問題頻頻出現,對企業的經濟利益和品牌形象造成了嚴重影響。因此,資料銷毀作為整個資料生命週期管理的關鍵環節,其對企業的重要性不言而喻。
如果企業在銷毀冗餘資料時並未做到100%銷毀,那麼企業不僅會有一種錯誤的安全感,還可能導致大量信息,比如電子郵件、機密文件及其他敏感信息洩露,這些信息一旦被黑客非法利用,極易為企業帶來高危險安全風險。
據身分盜竊資源中心(Identity Theft Resource Centre)稱,除了入侵風險外,更嚴格的資料保護規則意味著企業絕不能在資訊管理方面有所鬆懈,例如《個人資訊保護法》(POPIA)和《通用資料保護規範》(GDPR)。 POPIA和GDPR推動了同樣的儲存限制原則,該原則支持企業在個人資料不再需要時刪除這些資料。此外,資料儲存成本和儲存限制是許多公司面臨的重大挑戰。
而資料銷毀作為資料處理活動中的“終結”,若在該環節出現紕漏,導致資料洩露,不僅會損害個人資訊權利主體的權益,還有可能造成企業商業機密外洩,甚至有可能影響社會、國家的安全和發展。前述後果並非危言聳聽,資料洩密事件每年都在發生,除了惡意攻擊以外,許多情況下都是由於資料處理者在銷毀資料時並未妥當操作所致。
此前特斯拉就曾被通報其廢棄零件存在用戶資料外洩的隱患。特斯拉的媒體控制單元(MCU)儲存了用戶大量隱私數據,雖然特斯拉要求人工確認廢棄的媒體控制單元介面是否被徹底毀壞,但事實上該廢棄的媒體控制單元可被交易,且接口未被損壞的單元售價更高。而收了這樣媒體控制單元的駭客表示,根據上面遺留的用戶訊息,能夠輕鬆取得到用戶的電話號碼及私人地址。
企業因對辦公設備中的資料銷毀處理有所疏忽,而被他人非法獲取機密信息,從而以企業名義對用戶實施詐騙的情形並非個例。而且並非單單只有電腦內的資料可能出現此類外洩事件,企業廢棄的路由器、印表機、碎紙機等等多種設備,都可能因為資料銷毀不徹底而導致安全事件。
先前,網路安全公司ESET的研究人員在線上購買了18台二手核心路由器並對設備中保留的資料進行了測試,設備包括包括思科(ASA 5500)的4台設備,Fortinet(Fortigate系列)的3台設備和來自瞻博網路(SRX系列服務閘道)的11台設備。測試後,研究人員Cameron Camp和Tony Anscombe發現這些設備中,有一半以上都保存著可存取的完整配置數據,仍可正常使用。測試結果顯示,其中1台設備在抵達時已無法正常運作,被從測試中淘汰,2台設備是彼此的鏡像,在評估結果中算一個。在剩餘的16台設備中,僅有5台設備的資料被徹底清除,2台設備的資料幾乎全部清除,其中保存的配置資料存取難度較大。其餘9台設備中均保留著前用戶配置網路和系統連接的完整配置數據,包括所有者信息,任何人都可輕鬆訪問。研究人員表示,一些路由器保留了客戶訊息,允許第三方連接到網路的數據,甚至是「作為受信任方連接到其他網路的憑證」。此外,在上述測試中,保留了完整設定資料的9台路由器中有8台也保存了路由器到路由器身份驗證金鑰和雜湊。公司機密清單擴展到本地或雲端中託管的敏感應用程式的完整對應。例如:Microsoft Exchange、Salesforce、SharePoint、Spiceworks、VMware Horizon和SQL等。攻擊者可根據路由器洩漏的應用程式粒度和特定版本,在整個網路拓撲中部署特定的漏洞。
而對於企業來說,如此詳細的內部資訊通常只有「高級權限人員」才能訪問,例如網路管理員及其經理。
可就是因為資料銷毀不徹底,駭客就能輕鬆透過二手核心路由器中的這些敏感資訊輕鬆制定攻擊路徑和計劃,深入網路而不被發現。有瞭如此詳細的網路訊息,模擬網路或內部主機對於攻擊者來說會簡單得多,特別是二手路由器設備通常還包含VPN憑證或其他容易破解的身份驗證令牌。
更糟的是,透過分析二手路由器中的信息,研究人員發現其中一些路由器來自託管IT提供者的環境,這些路由器經營著許多大公司的網路。例如託管安全服務供應商MSSP,該供應商為各個領域,例如教育、金融、醫療、製造業等數百個客戶處理網路。這個測試結果著實有點讓人不寒而慄,資料銷毀的重要性不言而喻。
雖然目前我國還未在全國範圍內針對數據銷毀頒布有效的法律法規,但各地已陸續就規範政務數據與公共數據管理、監管企業數據合規出台了相應的文件,並於其中明確強調應建立數據銷毀制度:
*資料整理自各地政府官網
資料銷毀是資料安全的最後一道防線
資料銷毀的落地,除了製度層面的規範以外,技術實現情況亦至關重要,沒有銷毀技術的支撐,制度只能淪為「空中樓閣」。目前的資料銷毀技術基本上可分為兩大類:
第一個是銷毀介質,也就是直接對儲存資料的介質進行銷毀。例如:透過焚燒、高溫、粉碎等物理手段進行破壞;透過消磁機對機械磁碟施加強磁場進行消磁,已達到資料銷毀的作用;或使用各種酸鹼液腐蝕介質進行化學銷毀。
其次是擦除數據,即不破壞介質,僅對數據本身進行銷毀處理,也稱為邏輯銷毀。例如:透過資料覆蓋進行資料清除,使其不可再「恢復」至原始資料;透過加密設定使其「以現階段的電腦算力無法破解」。
資料銷毀技術各有優劣,於資料處理者而言,其應根據所掌握的資料情況,綜合考量技術成本與銷毀效果等選擇適合自己的資料銷毀技術,盡可能降低資料銷毀環節的風險。同時,企業也應就資料銷毀建立專門的管理制度,明確該環節的對象、規則、流程、責任等,從而規範具體操作人員的銷毀行為,以有條不紊地進行資料銷毀活動。
不過目前能夠自行配置較為完善的資料銷毀技術的主體仍屬少數,銷毀介質需要專門的設備、工具及場地,擦除資料需要可靠的技術與人員,即對資料處理者的要求較高。並且,數據處理者自行銷毀所存儲的數據,一方面較為缺乏監督能力,“既當運動員又當裁判員”,導致在數據必須銷毀的情況下,難以確保銷毀的真實效果;另一方面,“家賊難防”,為了利益鋌而走險的情況無法杜絕,故存在數據銷毀的員工轉賣數據的風險。因此不少企業會選擇委託第三人權威機構代為處理。但在選擇時也應注意務必委託具有相關資格的單位,確保資料銷毀的安全可靠。
目前我國尚無通用的有關資料銷毀的公開國家標準,但在該領域,美國國防部的DOD 5220.22技術標準應用較為廣泛,可以此作為參考,評價第三方是否達到甚至超過該標準之要求。
此外,公開可查的國家標準,為2011年公佈,其中BMB21-2007標準是“涉及國家秘密的載體銷毀與信息消除安全保密要求”,即對涉國家秘密的載體銷毀和信息消除的標準進行了明確。並且,據查,前述標準應已更新為BMB21-2019,且資料銷毀行業內確有個別單位能夠達到該標準、具備國家保密科技測評中心頒布的「涉密資訊系統產品檢測證書」。因此,資料處理者亦可依要求較高的相關國家標準,以此審核第三方資料銷毀的技術能力。
後記
資料銷毀作為資料安全建置中非常重要的一環,可以有效防止資料外洩、濫用或不當使用,保護個人隱私和企業機密。未經安全銷毀的資料可能會被駭客竊取,或是被不法分子用於非法活動,造成企業和個人難以彌補的損失。因此,資料安全建置必須將資料銷毀作為一個重要的環節,以確保資料安全的全週期管理。
同時,對於一些過期的、冗餘的資料進行銷毀,也可以減少儲存空間的佔用,並提高資料處理效率。規範的資料銷毀流程可以實際幫助企業避免在法律上承擔不必要的風險。因此,對於企業而言,建立健全資料銷毀制度並確保銷毀技術完備可靠是十分必要的。