¿Cuántos pases necesita para borrar / destruir sus archivos para que no sean indelebles?


20

Si tiene datos privados en un disco duro normal reciente, ¿cuántos pases necesita para eliminar los datos para que no se puedan recuperar?

No en el sentido, que un equipo forense de 20 expertos con un presupuesto de 100 millones de euros o dólares y 10 años de tiempo para restaurar un par de bytes de una dirección conocida con un 80% de precisión, pero pocas personas con unos 1000 € / $ presupuesto, que no pasarían más de dos semanas en el trabajo y que no saben en qué parte del disco están buscando.

Linux / GNU shreddice en el manual:

   -n, --iterations=N
          overwrite N times instead of the default (3)

pero, por un lado, escuché sobre una sugerencia de la NSA de sobrescribir 27 veces, y por otro lado, las empresas profesionales de recuperación de datos no pudieron recuperar los datos de un disco que se borró solo una vez.

¿Pruebas, documentos, pruebas?

Nota: Lo que esta pregunta no es:

  • No se trata de sectores defectuosos, donde los datos pueden pasar
  • No se trata de antiguas unidades MFM / RLL de principios de los 90
  • No se trata de diferentes herramientas
  • No se trata tanto del método (números aleatorios 0s, 0xFF y patrones elegantes).
  • No se trata de diferentes técnicas para limpiarlo de forma segura (potencia magnética, fusión, llenado de arena y torneado).
  • No se trata de problemas especiales de unidades flash

55
Nadie ha probado recuperar datos útiles después de 1 sobrescribir en un disco duro moderno ... nber.org/sys-admin/overwritten-data-gutmann.html
Moab

Respuestas:


48

Una vez.

Los medios magnéticos modernos son bastante eficientes y dejan muy poca evidencia de posiciones de bits anteriores. Lo que queda atrás requiere microscopios electrónicos y / o escáneres magnetométricos de alta tecnología (o como se los llame). Todos estos dispositivos son terriblemente caros, e incluso con el mejor equipo y los expertos más calificados, lleva una cantidad de tiempo monumental (piense años en un solo plato; todos los discos duros tienen múltiples platos) y tiene una tasa de fallas muy alta.

Si se trata de secretos gubernamentales (como lo hace la NSA), escribir una vez probablemente no sea lo suficientemente bueno, porque China no tiene problemas para obtener y usar estos dispositivos, ni para emplear equipos de cientos de expertos especializados para usarlos.

Si, por otro lado, solo se trata de contraseñas bancarias personales y su secreto escondite, una sola pasada es suficiente para hacer que los datos sean completamente irrecuperables por cualquier medio práctico .

Dicho esto, los discos modernos son bastante rápidos y, a menos que esté limpiando la totalidad de un disco duro, los pases múltiples requieren tan poco tiempo que realmente no hay razón para no hacerlo. Por lo tanto, si bien la falacia de que tiene que sobrescribir varias veces con patrones complejos de pases está lo suficientemente extendida como para que todo el software de "eliminación segura" se convierta en pases múltiples, realmente no tiene mucho sentido anular esos valores predeterminados. Cuando usé shred(número predeterminado de pases: 3) dejé que hiciera sus 3 pases; cuando uso Eraser en Windows (número predeterminado de pasadas en un archivo: 35), dejo que haga sus 35 pasadas. (El borrador se establece de manera predeterminada en una sola pasada cuando se elimina espacio libre en un disco duro; esto, también, lo dejo ejecutar por defecto).

Entonces la respuesta a su pregunta (¿Cuántos pases se necesitan?) Es: "Uno". La respuesta a su pregunta implícita (¿Debería anular los 3 pases predeterminados de shred?) Es: "No".

Por otro lado, si usted es un agente secreto del gobierno, así, una pasada realmente no es suficiente, ya que hacer que China después de sus datos. Sin embargo, si este es el caso, debe preguntarle a su superior / manejador cuáles son las regulaciones de su agencia con respecto a la eliminación segura de datos confidenciales, no SU. ;-)

Advertencia: los medios basados ​​en flash emplean un sistema llamado "nivelación de desgaste" para extender la vida útil del dispositivo. Sin entrar en los detalles de lo que significa el término o las razones detrás de él, significa que realmente no puede eliminar archivos de forma segura en medios basados ​​en flash a menos que limpie de forma segura todo el medio, e incluso eso no siempre puede garantizar que Los algoritmos de nivelación de desgaste no dejaron atrás datos no borrados en los que no podía escribir. En el caso de los medios basados ​​en flash, su mejor opción es simplemente cifrar todos y cada uno de los datos confidenciales que contiene, utilizando una contraseña segura.

La documentación de TrueCrypt incluye una excelente discusión sobre este problema y formas de resolverlo.


Muchas, muchas ventajas para una respuesta increíble. Lástima que solo tengo uno para dar. :(
CajunLuke

44
eso lo clavó totalmente. También agregaría, el viejo guttman wipe de 35 pases asumió que no sabías qué tipo de unidad usaste, y como tal ejecutó patrones específicos para MFM y otros diseños obsoletos
Journeyman Geek

Una advertencia con respecto a los discos es que, en teoría, algunos datos pueden recuperarse compensando la cabeza para recoger los datos escritos cuando la unidad estaba más caliente o más fría y, por lo tanto, la cabeza estaba colocada de manera ligeramente diferente. Pero nunca he oído hablar de esta técnica en realidad empleada (al menos fuera de la NSA).
Daniel R Hicks

1
@Kromey: las unidades modernas utilizan retroalimentación servo para el posicionamiento del cabezal, que es una tecnología de compensación de temperatura. Las unidades antiguas a la vez usaban motores paso a paso. Con uno de estos, puede dejar una computadora sin alimentación durante la noche en un garaje sin calefacción y hacer que no pueda encontrar la pista 0. Inicie la computadora y déjela funcionar durante media hora, reiníciela y arrancaría porque el plato creció lo suficiente como para poner la pista de nuevo debajo del cabezal de lectura / escritura. Es por eso que dejamos el servidor encendido durante la noche en nuestra tienda.
Fiasco Labs

1
Me gusta cómo este tipo ha cubierto el escenario "Si eres un agente secreto".
Dushyant Bangal

16

Esta es una vieja pregunta, pero me sentí obligado a tirar mis dos centavos dado que tengo experiencia en recuperación de datos forenses.

La pregunta que se hace es puramente académica, por lo que esta respuesta también es puramente académica. Hablando prácticamente, la respuesta aceptada es correcta; una pasada es suficiente para hacer que los datos en una unidad sean irrecuperables. Sin embargo, hay una razón por la cual los gobiernos exigen pases múltiples.

La gente piensa en un disco duro como un dispositivo digital; que los bits magnéticos están dispuestos en un patrón apretado y los cabezales de la unidad los activan o desactivan. Pero en realidad, un disco duro es un dispositivo analógico en lo que respecta a la física de los medios magnéticos. La superficie de los platos está recubierta con un sustrato lleno de dipolos magnéticos que son más pequeños que el 'bit' digital que están codificando. Un número suficiente de estos dipolos en una orientación frente a la otra constituye una resistencia eléctrica neta a nivel de bit individual. Es el umbral de resistencia que determina si un bit se interpreta como un 1 o un 0, no como una polaridad digital de "encendido" o "apagado".

En lo que respecta a la electrónica del variador, la señal eléctrica que proviene de los cabezales es una onda sinusoidal modulada, no un flujo de bits de 1 y 0. Esta es exactamente la forma en que las cintas magnéticas grabaron señales de audio hace décadas: solo ahora el sustrato es mucho más denso y estamos usando las matemáticas para extraer una señal digital del 'ruido' analógico.

Ahora, físicamente es imposible fabricar un plato 100% perfecto, e incluso si pudiera, el entorno operativo tampoco es 100% perfecto. A la escala física en la que operan los discos duros modernos, existen literalmente cientos de factores que conspiran para crear imperfecciones microscópicas en la señal, y plantean un problema lo suficientemente significativo como para que hasta el 1-2% del espacio en un disco típico sea "desperdiciado" en la corrección de errores para tratar con ellos. Su disco duro está literalmente recuperándose de errores todo el tiempo . El funcionamiento normal del disco duro es en realidad un juego de probabilidad en el que un sector "bueno" es simplemente un n% de probabilidad de que los datos codificados allí sean precisos.


Ahora veamos el caso de los sectores defectuosos, y puede ver cómo se puede aplicar la misma técnica a los buenos.

Si un sector está marcado como "malo" (por el controlador, no por el sistema operativo), eso significa que la probabilidad de TODOS los bits de datos dentro de un sector particular, cuando se toman en su conjunto, han caído por debajo del umbral de recuperación matemática por los algoritmos de corrección de errores de la unidad. Eso no significa que los bits estén realmente muertos; solo que el controlador no puede estar seguro de que son correctos.

Sin embargo, puede recuperar un sector defectuoso al leerlo cientos o posiblemente miles de veces, dependiendo de qué tan grave sea el daño. Con cada paso de la cabeza sobre el sector "malo", el sector lee de una manera ligeramente diferente. La oscilación del plato, la temperatura, las vibraciones, la inclinación del reloj, etc., pueden ser ligeramente diferentes. Pero si compara cada pase con los miles de pases antes de que sea suficiente, puede recuperar (con un poco menos de certeza absoluta) qué datos contenía el sector defectuoso antes de que se agrietara en usted. Así es exactamente cómo funciona el software de recuperación de datos como SpinRite.

Ahora apliquemos esa lógica a un sector "bueno". Cuando limpió el disco con una sola pasada, el controlador está 100% seguro de que cada sector contiene cualquier patrón de bits con el que llenó el disco. Pero hay todavía errores en los lee, y el controlador sigue corregirlos. Algunos de esos errores son ambientales, pero existe una buena posibilidad de que muchos de ellos también sean remanentes de los datos que existían antes de que se sobrescribiera el sector.

Recuerde que estamos hablando de la misma tecnología que hemos usado en cintas de audio durante décadas aquí. No todos esos dipolos magnéticos se voltearon en ese solo paso, por lo que todavía hay una señal de "fantasma" en el ruido.

Citando a Adam Savage (de los Cazadores de Mitos): "Rechazo tu realidad y sustituyo la mía". Si saca el controlador de la unidad (con su certeza matemática del patrón de datos borrados) fuera de la ecuación y solo mira la onda sinusoidal que sale de la electrónica de la unidad, en teoría podría ser posible reconstruir los datos que estaban presentes en la unidad antes de que se borrara, tal como solíamos hacer con cintas de audio que habían sido "borradas".

O tal vez no. No ayudó con los 18 minutos faltantes de las cintas de Nixon Watergate ... ¿O sí? ;-)


Ahora, ¿es esto práctico? ¿Existe realmente un dispositivo capaz de hacer esto? Tal vez. Tal vez no. Si lo hiciera, sin duda sería un secreto de estado. Pero como es teóricamente posible, teóricamente tienes que protegerte contra eso. Eso significa hacer múltiples pases con múltiples patrones de bits para codificar esa señal fantasma tanto como sea posible.

Si es un gobierno que intenta borrar datos clasificados, es importante tenerlo en cuenta. Si es su escondite secreto, probablemente no lo sea (a menos que su esposa trabaje para la NSA).


3
Demasiado pensamiento y esfuerzo para no votar esto.
Damon

Por cierto, si tuviera secretos de estado en un disco duro, no confiaría en ninguna cantidad de sobrescrituras en él. Recurriría a una amoladora angular o un soplete.
Marc.2377
Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.