从备份磁带中获取敏感信息的可能性有多大？

Question

为了这一目的，我要画一幅画：

系统管理员维护和备份具有敏感财务信息(帐号、名称、SSN等)的客户端的生产服务器。该机器是Windows 2003 R2 64位Itanium服务器，备份Exec 13d作为备份解决方案。备份轮转是在使用LTO3未加密的3周轮转时的完整备份。为了灾后恢复的目的，每周一盘磁带被运送到另一个地点。

关切事项：

，如果磁带在传输过程中丢失了怎么办？

除了与客户必须披露他们的信息已被取代的公关问题外，用于身份欺诈的可用信息被抽象的实际可能性有多大？我在上面画这幅画是因为从磁带的查找者的角度来看，有很多未知的东西(除了备份磁带的日期的标签)。据他们所知，这个备份可能来自*nix系统，在IBM Power系统上使用bacula。他们唯一能确定的就是标签上的胶带。除此之外，有恶意的人会从哪里开始呢？

Answer 1

是的，如果你有磁带，很容易检索到数据。旧磁带的唯一挑战是确保你有一个合适的读者。一旦您有了读取器，您就可以轻松地计算出将什么操作系统和备份应用程序写入磁带。

您必须像对待实时数据一样对待备份。如果它是敏感的，请使用诸如加密之类的控制。

从攻击者的角度来看，备份通常是一个软目标。

Answer 2

如果你知道你在做什么，那就很容易开始寻找东西了。

我会在硬盘上复制磁带的二进制副本(对于随机访问，它会更快)。

然后，我会使用一些法医工具去寻找关键字，如密码，机密，信用卡，电子邮件地址和保护在硬盘上的偏移。看看我的答案，这里。

在你找到那些关键词之后，我能看到它是否有趣。如果系统上有电子邮件，我可以查找有关业务流程的内部通信，并查找机密信息或私人数据。

如果磁盘包含私密SSL密钥，您可以在扫描RSA密钥之后，使用这些密钥来执行中间人攻击和嗅探密码、信用卡号码等.以获得更多的信息(如果他们不改变他们的钥匙)。

您可以扩展并查找扩展，并将其与它们的神奇数字进行比较。如果一个文件的神奇数字与它的文件扩展名无关，你就会知道有一些可疑的/有趣的东西。也许是个秘密的记事本？

所以建议你要做身份欺诈，你可以从这个备份中获得：

• 信用卡号码
• 地址
• 电话号码
• 关于家庭的信息
• ..。

如你所见，我可能会得到很多数据。如果它在那里你可以把它提取出来。最好的做法是加密所有的东西，这会使攻击者对它毫无用处。(通常)

Answer 3

如果您有正确的读取器，则未加密的磁带与浏览未知的hdd没有什么不同。您所要做的就是将磁带中的所有数据还原到磁盘上，然后进行筛选。

弄清楚是什么创建了备份，这将是一个挑战。我会想，如果有人完全想要得到数据，那么把数据发送到专业的数据恢复公司就可以了。他们可以使用任何在过去十年里流行的磁带驱动器。他们将有知识和专业知识，找出是什么创造了备份和恢复它。当然都是有代价的。

对于任何有恶意的人来说，这将是一个宝藏。一个很好的经验法则是考虑任何包含设备的数据，这些设备会离开你大楼的四面墙，就像你的笔记本电脑拥有同样的敏感数据一样。不管传输介质(笔记本电脑硬盘，磁带，桌面硬盘，闪存盘，cd/dvd等)，如果它丢失了，它应该被认为是对系统安全的潜在威胁。

所以直接回答你的第一个问题。如果访问您的数据的人能够访问正确的设备(直接或间接)，他们很可能会提取数据并找出数据的来源。尽管如此，个人最终拥有丢失的磁带的机会不太可能有资源这样做。我可以想象，很少有人会知道如何处理这盘磁带--没关系，花大量的时间来找出答案。90%的非IT人群甚至不知道从什么开始。无论如何，离开大楼的所有数据都需要为所包含的数据提供适当的安全级别的保护。