Crittografia: recupero dati più complesso ma possibile

La sicurezza e la perdita dei dati

La cifratura continua ad essere un tema di grande interesse per ogni CIO e, più in generale, per i tecnici IT. Nessuno desidera essere la prossima vittima di una violazione della privacy o la prossima società che non ha protetto a dovere le informazioni dei suoi clienti. Se si fa una ricerca sul web del tipo "violazione dati personali" si scopre che sono diversi i casi in cui le informazioni personali come ad esempio i numeri della carta di credito sono esposti a possibili furti.

Sia che si tratti di agenzie governative, strutture di ricerca, istituti bancari, ospedali - o il vostro computer aziendale - il rischio di compromettere informazioni private o di business è molto alto. In occasione dell’ultimo "CEO-CIO Symposium," Erik Phelps dello studio legale Michael Best & Friedrich ha messo in luce la relazione che il business di oggi ha con la tecnologia. Nella sua presentazione, ha dichiarato “dal momento che le imprese utilizzano in modo massiccio la tecnologia, i rischi di business sono sempre più dipendenti dalla tecnologia." E’ ovvio che c’è sempre stato un rischio ma poichè oggi tecnologia e business sono intrecciate più di un tempo, il livello di minaccia è più elevato. Questo ha spinto molti a crittografare workstation e notebook, al fine di proteggere i dati aziendali critici.

Se si utilizzano dati in formato crittografato cosa accade quando l’hard disk smette di funzionare? Come si affronta una perdita di dati quando le informazioni nel computer sono codificate? Si tratta di situazioni che devono essere considerate quando si redige un piano di disaster recovery. In aggiunta, il recupero di dati, uno dei più comuni elementi mancanti, dovrebbe essere inserito nel piano di disaster recovery poichè è veramente l’ultimo tentativo quando tutte le altre opzioni sono state esaurite.

Recupero dati e crittografia

Business continuity e disaster recovery plan sono elementi critici per qualunque impresa, indipendentemente dalla dimensione. I software di backup sono sempre più automatizzati in modo da evitare agli utenti procedure di backup manuali. Alcuni produttori di computer offrono sistemi di backup integrati e la maggior parte dei dischi rigidi esterni USB sono generalmente accompagnati da un qualche tipo di software di terze parti (a volte in prova a tempo) che prevede l'archiviazione dei dati. Quali opzioni si configurano per un utente che ha un problema di perdita di dati su di un hard disk completamente cifrato?

La maggior parte delle policy IT di sicurezza hanno un approccio multiforme alla tutela dei dati. Ad esempio, quando il dipartimento IT configura un nuovo computer potrebbe essere necessario inserire una password da BIOS per avviare il PC. Esistono diverse modalità di funzionamento. Alcune password sono specifiche per un determinato computer, altre per uno specifico hard disk senza la quale il disco rimane inaccessibile.

In altri ancora la password da BIOS controlla l’accesso al sistema e all’hard disk. Al fine di aggiungere un secondo livello di protezione, le policy più restrittive di sicurezza IT richiedono la completa crittografia dell’unità disco. I più comuni software di crittografia operano come programmi residenti in memoria. Quando il computer si avvia, il software di crittografia è caricato prima del sistema operativo e una richiesta di password o di una pass-phrase appare a video. Ad accesso avvenuto, il software di crittografia inizia a decodificare in memoria i settori dell'unità disco rigido quando richiesti. Il processo è invertito quando si scrive su disco. Questo lascia l’hard disk in un costante stato di crittografia. Il sistema operativo e le applicazioni funzionano normalmente, senza alcuna interferenza con il software di cifratura.

Il processo di recupero

Il recupero dei dati da un’unità disco rigido cifrata è più complesso ma in generale segue le stesse procedure degli altri supporti magnetici. Con l’arrivo del supporto iniziano una serie di attività che si concludono con la restituzione dei dati all’utente. Nella maggior parte dei casi, quando il recupero è affidato a professionisti del settore, tutti le fase del processo di recupero dati sono tracciate. É così possibile verificare se il processo è stato svolto rispettando le più strette misure di sicurezza. In particolare, si vuole garantire che si siano svolte le seguenti attività:

  1. Prima analisi del supporto senza apertura del drive
  2. Passaggio in cleanroom per danni fisici o elettronici
  3. Messa in sicurezza del supporto originale
  4. Copia settore per settore dei dati
  5. Chiave utente utilizzata per decifrare i dati
  6. Generazione dell’elenco dei file dell’utente
  7. Riparazione del file system
  8. Preparazione dei dati per la riconsegna
  9. Opzioni di cifratura per il recupero dei dati

Dopo le prime quattro fasi gli ingegneri iniziano a mappare le strutture del file system che puntano ai file dell’utente. Se l'unità disco rigido è criptata bisogna decifrare i dati al fine di procedere.

Decodifica

Per decifrare i dati è necessaria una password di decodifica. Fortunatamente, i software di crittografia hanno fatto molta strada nel corso degli anni. Invece di utilizzare una password “master” per la decrittazione, la maggior parte dei software professionali di crittografia fornisce una pass-phrases che cambia su base giornaliera. Questo protegge la password dell'utente e la password “master” dell’organizzazione.

Molte organizzazioni sono favorevoli a fornire queste pass-phrase in quanto possono essere utilizzate una sola volta, il lavoro di recupero in questi casi può continuare. Tuttavia, non sempre è così. Per alcune organizzazioni, fornire queste informazioni a un fornitore esterno, come ad esempio un provider di recupero di dati, è contro la loro policy di sicurezza. In queste situazioni, il recupero dati è tuttavia ancora possibile.

Alcuni provider di data recovery possono effettuare il recupero dei dati lasciando le informazioni in forma crittografata durante l'intero processo. In questo caso, i dati verranno recuperati e inviati al cliente con la loro cifratura originaria. Ovviamente non è possibile verificare il successo dell’operazione di recupero fino a quando i file non saranno aperti da un utente in possesso della chiave di cifratura. In definitiva, questo limita la capacità del fornitore di recupero dati di comunicare il successo dell’attività al cliente fino a quando i file recuperati non saranno restituiti e aperti.

É chiaro che si può ottenere un significativo risparmio di tempo comunicando al provider di data recovery la pass-phrase temporanea. Allo stesso tempo, è di fondamentale importanza che il vostro fornitore conosca i protocolli di sicurezza, i prodotti di crittografia e che abbia politiche per la tutela della privacy in atto.

Restituzione dei dati recuperati

Successivamente al recupero, inizia la preparazione per la riconsegna dei dati. Poichè l’unità disco rigido era codificata, è molto importante garantire la sicurezza dei dati recuperati. I dati recuperati vengono quindi crittografati e salvati generalmente su di un disco esterno. La password di accesso per ovvie ragioni di sicurezza viene inviata all’utente separatamente dai dati.

Considerazioni sul fornitore di recupero dati

Quando ci si guarda attorno per un fornitore di recupero dati, bisogna essere sicuri che il provider non sia solo in grado di gestire lavorazioni sui diversi media ma anche di comprendere le policy di sicurezza delle moderne organizzazioni. I dati criptati come abbiamo visto richiedono competenze specifiche. Sfortunatamente però la maggior parte degli utenti che perdono i dati non è preparata a gestire questo imprevisto e a complicare ulteriormente le cose spesso c’è l’ansia che si genera in questi momenti.

Putroppo la perdita dei dati spinge immediatamente l’IT a lavorare senza sosta per riportare la situazione alla normalità. In questa emergenza non c’è tempo per pensare alle caratteristiche che dovrebbe avere un buon fornitore di data recovery. Ecco spiegato il perchè è meglio selezionare un fornitore in anticipo, a mente serena, e inserirlo nel piano di business continuity. Alcune delle principali domande da porsi includono:

Abbiamo un rapporto di fiducia con un provider di recupero di dati?
Che cosa dovremmo cercare in una società di recupero di dati?
Abbiamo inserito il “recupero dati” nei nostri piani di disaster recovery e business continuity?
Abbiamo un piano per gestire la perdita di dati crittografati?
Abbiamo apposito personale che ha accesso alle chiavi di crittografia per accelerare il processo di recupero?
Talvolta la pianificazione di queste procedure può essere noiosa, specialmente se si sta progettando un processo per qualcosa che non si è mai sperimentato direttamente in passato. É suggeribile contattare alcuni fornitori di recupero dati presentando loro situazioni di recupero da server di posta elettronica, da sistemi RAID o da unità disco fisicamente danneggiate.

Chiedere informazioni sulla protezione dei dati personali (privacy) e sulle politiche in atto a salvaguardia dei vostri file aziendali. Fate domande sulla società, sulla Ricerca & Sviluppo, su eventuali riconoscimenti ottenuti da terze parti, sebbene al momento possano sembrare dettagli di poco conto, possono diventare fattori decisivi.

Segue una checklist di fattori da considerare quando cercate un fornitore di recupero oppure da verificare per capire se il vostro fornitore è conforme alle policy di sicurezza:

Solida reputazione – Fornitore con forti competenze in materia di recupero di dati
Servizio clienti – Dedicato e ben preparato, meglio se disponibile h24 per la gestione di eventuali emergenze
Protocolli sicuri – Conoscenza avanzata dei prodotti di cifratura e politiche di salvaguardia della privacy in atto
Perizia tecnica – In grado di recuperare praticamente da tutti i sistemi operativi e tipi di periferiche di storage
Interventi scalabili sui volumi – Dotato di laboratori e di personale in grado di gestire lavorazioni di qualunque dimensione
Ricerca & Sviluppo – Fornitore che investe in tecnologia per migliorare costantemente le tecniche di recupero dei dati

Considerazioni finali

Purtroppo, è abbastanza diffuso nelle organizzazioni, soprattutto dove non ci sono esperienze passate di disaster recovery, ritenere la disponibilità dei dati aziendali immune a imprevisti. La pericolosità di questo atteggiamento è evidente, esso porta a non attuare alcuna forma di prevenzione secondaria, che possa intervenire quando le misure primarie hanno fallito (e.g. hardware failure, back-up policy, etc), lasciando esposti al caso l’azienda e il suo business.

Per evitare ogni tipo di confusione, è bene sottolineare che le moderne soluzioni di Data Loss Prevention (DLP) considerano solo un aspetto della “perdita” (loss) dei dati digitali ossia quello della sottrazione illecita delle informazioni riservate ma sono inadeguate a gestire la perdita del dato intesa come inaccessibilità/indisponibilità dello stesso.

In questo articolo, più volte abbiamo ricordato la necessità di selezionare in anticipo a mente “fredda” un fornitore di recupero dati qualificato, in quanto stiamo realmente parlando dell’unica soluzione possibile per ripristinare i dati quando non esiste una copia di sicurezza integra e aggiornata degli stessi.

La cifratura delle informazioni digitali è ormai un dato di fatto e sempre più informazioni in futuro saranno protette con questa tecnologia. Le competenze e le procedure di recupero dati devono dunque adattarsi a questa nuova tendenza. I nuovi elementi di complessità lasciano comunque spazio a ottimi risultati di recupero a condizione di affidare i propri dati criptati a fornitori qualificati.

Non meno importante è anche l’effetto che l’introduzione della crittografia ha avuto e avrà sul settore data recovery. La cifratura dei dati sta introducendo un ulteriore elemento distintivo tra le competenze dei vendor, premiando i soggetti professionali che hanno deciso di investire in ricerca e sviluppo per far fronte a questa nuova sfida tecnologica.

Gli autori:
Paolo Salin, Country Manager Kroll Ontrack Italia
Sean Barry, Remote Data Recovery Manager of North America in Kroll Ontrack