Muchos programas diferentes, como Darik's Boot and Nuke , te permiten escribir sobre un disco duro varias veces con el pretexto de hacerlo Estar más seguro que solo hacerlo una vez. ¿Por qué?
Muchos programas diferentes, como Darik's Boot and Nuke , te permiten escribir sobre un disco duro varias veces con el pretexto de hacerlo Estar más seguro que solo hacerlo una vez. ¿Por qué?
Resumen: fue ligeramente mejor en unidades de disco antiguas, pero ahora no importa. Los pases múltiples borran un árbol con exceso, pero se pierden el resto del bosque. Utilizar cifrado.
El origen se encuentra en el trabajo de Peter Gutmann, quien demostró que hay algo de memoria en un bit de disco: un cero que se ha sobrescrito con un cero se puede distinguir de uno que se ha sobrescrito con un cero, con una probabilidad mayor que 1/2. Sin embargo, el trabajo de Gutmann ha sido un poco exagerado y no se extiende a los discos modernos. “La leyenda urbana de la sobrescritura de discos múltiples de paso múltiple y el DoD 5220-22- M "por Brian Smithson tiene una buena visión general del tema.
El artículo que lo inició es “Eliminación segura de datos de la memoria magnética y de estado sólido "Por Peter Gutmann , presentado en USENIX en 1996. Midió la remanencia de los datos después de repetidas toallitas, y vio que después de 31 pases, no pudo (con equipos costosos) distinguir una sobrescrita multiplicada por sobrescrita cero. Por lo tanto, propuso una limpieza de 35 pases como una medida excesiva.
Tenga en cuenta que este ataque supone un atacante con acceso físico al disco y un equipo un tanto caro. Es bastante poco realista suponer que un atacante con tales medios elegirá este método de ataque en lugar de, digamos, criptografía de tubería de plomo .
Los hallazgos de Gutmann no se extienden a las tecnologías de disco modernas, que contienen datos cada vez más. "Sobrescribir los datos del disco duro: La gran controversia de borrado" por Craig Wright, Dave Kleiman y Shyaam Sundhar es un artículo reciente en El tema; no pudieron replicar la recuperación de Gutmann con unidades recientes. También notan que la probabilidad de recuperar bits sucesivos no tiene una fuerte correlación, lo que significa que es muy poco probable que un atacante recupere, digamos, una clave secreta completa o incluso un byte. Sobrescribir con ceros es un poco menos destructivo que sobrescribir con datos aleatorios, pero incluso una sola pasada con ceros hace que la probabilidad de cualquier recuperación útil sea muy baja. Gutmann impugna el artículo ; sin embargo, está de acuerdo con la conclusión de que sus técnicas de recuperación no son aplicables a los discos modernos:
Lo más probable es que cualquier unidad moderna sea una tarea imposible, con densidades ultra altas y el uso de grabaciones perpendiculares no veo cómo MFM obtendría una imagen utilizable, y luego el uso de EPRML significará que incluso si podría transferir mágicamente algún tipo de imagen a un archivo, la capacidad de decodificar para recuperar los datos originales sería bastante difícil.
Gutmann estudió más tarde tecnologías flash , que muestran más remanencia.
Si está preocupado por un atacante con posesión física del disco y un equipo costoso, la calidad de la sobrescritura no es lo que debería preocuparle. Los discos reasignan sectores: si un sector se detecta como defectuoso, entonces el disco no volverá a tener acceso al software, pero el atacante puede recuperar los datos almacenados allí. Este fenómeno es peor en SSD debido a su nivel de desgaste.
Algunos medios de almacenamiento tienen un comando de borrado seguro (ATA Secure Erase). UCSD CMRR proporciona una utilidad DOS para ejecutar este comando ; bajo Linux puedes usar hdparm --security-erase . Tenga en cuenta que es posible que este comando no se haya sometido a pruebas exhaustivas y que no podrá realizarlo si el disco se cortó debido a una electrónica frita, un motor defectuoso o cabezas que se estrellaron (a menos que repare el daño, lo que costaría más que una nuevo disco).
Si le preocupa que un atacante se apodere del disco, no ponga ningún dato confidencial en él. O si lo haces, cifralo. El cifrado es barato y confiable (bueno, tan confiable como la elección de su contraseña y la integridad del sistema).
Hay una referencia bien conocida artículo de Peter Gutmann sobre el tema. . Sin embargo, ese artículo es un poco antiguo (15 años) y es posible que los discos duros más nuevos no funcionen como se describe.
Es posible que algunos datos no puedan ser totalmente borrados por una sola escritura debido a dos fenómenos:
Queremos escribir un bit (0 o 1) pero la señal física es analógica. Los datos se almacenan manipulando la orientación de grupos de átomos dentro del medio ferromagnético; cuando se vuelve a leer, la cabeza produce una señal analógica, que luego se decodifica con un umbral: por ejemplo, si la señal supera 3.2 (unidad ficticia), es un 1; de lo contrario, es un 0. Pero el medio puede tener cierta remanencia: posiblemente, escribir un 1 sobre lo que anteriormente era un 0 da 4.5, mientras que escribir un 1 sobre lo que ya era un 1 aumenta la señal a 4.8. Al abrir el disco y utilizar un sensor más preciso, es posible que la diferencia se pueda medir con la suficiente fiabilidad para recuperar los datos antiguos.
Los datos se organizan por pistas en el disco. Cuando se escriben sobre los datos existentes, la cabeza se coloca aproximadamente sobre la pista anterior, pero casi nunca exactamente sobre esa pista. Cada operación de escritura puede tener un poco de "fluctuación lateral". Por lo tanto, parte de los datos anteriores aún podrían ser legibles "en el lado".
Las escrituras múltiples con varios patrones apuntan a contrarrestar estos dos efectos.
Los discos duros modernos logran una densidad de datos muy alta. Tiene sentido que cuanto mayor sea la densidad de los datos, más difícil será recuperar los rastros de datos antiguos sobrescritos. Es plausible que la recuperación de datos sobrescritos ya no sea posible con la tecnología actual. Al menos, actualmente nadie está anunciando positivamente un servicio de este tipo (pero esto no significa que no pueda hacerse ...).
Tenga en cuenta que cuando un disco detecta un sector dañado (falla de suma de comprobación al leerlo), la siguiente operación de escritura sobre ese sector se volverá a asignar de manera silenciosa a un sector de repuesto. Esto significa que el sector dañado (que tiene al menos un bit incorrecto, pero no necesariamente más de uno) permanecerá intacto para siempre después de ese evento, y ninguna cantidad de reescritura puede cambiarlo (la propia placa electrónica del disco se negará a usar ese sector). Nunca más). Si desea asegurarse de borrar los datos, es mucho mejor que nunca permita que llegue al disco en primer lugar: use el cifrado completo del disco.
Las respuestas proporcionadas hasta ahora son informativas pero incompletas. Los datos se almacenan en un disco duro (magnético) utilizando codificación Manchester , de modo que no es si el dominio magnético apunta hacia arriba o hacia abajo que codifica uno o cero, son las transiciones entre arriba y abajo las que codifican los bits.
La codificación de Manchester generalmente comienza con un poco de datos sin sentido adecuados para definir el "ritmo" de la señal. Es posible imaginar que si su intento de sobrescribir los datos con todos los ceros una vez no estuvo exactamente en fase con el tiempo en que se almacenaron los datos originales, aún sería muy fácil detectar el ritmo y los bordes originales, y reconstruir todos los datos.
Una buena pregunta con toma una respuesta en dos partes:
Al hablar de "disco duro promedio" , hay una primera razón por la que se sobrescribe varias veces.
En resumen: las HD son como discos magnéticos. Existe la posibilidad de que queden "bytes de sombra" que podrían recuperarse. Esa es la razón por la que NSA y sus colegas han estado usando sobreescrituras múltiples durante años. Estos "bytes ocultos" no son más que remanentes "fantasmales" de datos previamente eliminados y sobrescritos. Las compañías de recuperación de HD realmente las utilizan para recuperar datos críticos cuando se pierden.
Otra forma sería utilizar magnéticos potentes para matar tu HD, pero de esa manera, es probable que no utilices una fuerza magnética lo suficientemente fuerte o destruyas más de tu HD de lo que quieras. . Así que esa no es realmente una opción.
Probablemente también querrás revisar algunos de los estándares de eliminación de datos para obtener información más detallada enlace y observe que los estándares solo se sobrescriben una vez, siempre haga obligatoria la verificación de borrado de datos .
En "algunos sistemas operativos" (tenga en cuenta que no estoy iniciando una discusión política sobre el mejor o el peor sistema operativo aquí), esta verificación de borrado no es tan sólida como debería ser. ... lo que significa que su "verificación de borrado" es en realidad lo suficientemente insegura como para preocuparse que incluso empezar a pensar en los remanentes de bytes de sombra potenciales que podrían recuperarse.
ACTUALIZAR
Dado que este es un tema muy discutido, muchas personas dicen "pro" y "contra" mientras citan el documento "Eliminación segura de datos de la memoria magnética y de estado sólido", publicado por Peter Gutmann en 1996 (< a href="http://www.usenix.org/publications/library/proceedings/sec96/full_papers/gutmann/index.html"> enlace ), se debe tener en cuenta lo siguiente:
... los investigadores de seguridad de Heise Security, que revisaron el documento presentado en la edición del año pasado de la Conferencia Internacional sobre Seguridad de los Sistemas de Información (ICISS), explican que se puede recuperar un solo byte de datos con un 56% de probabilidad, pero solo si la cabeza está posicionada exactamente ocho veces, lo que en sí mismo tiene una probabilidad de ocurrir solo del 0,97%. "La recuperación de cualquier cosa más allá de un solo byte es incluso menos probable", concluyen los investigadores ...
(fuente: enlace )
Por otro lado, hay borrado de datos militares y gubernamentales que definen múltiples sobrescrituras como una necesidad. (Me abstendré de juzgar eso, pero deberías pensar en el "por qué" de este hecho).
Al final, se trata de "qué datos" quiere "proteger" al borrarlos, y lo importante que es que los datos borrados no se puedan recuperar en ningún caso potencial. Pongámoslo de esta manera: si desea eliminar su lechería personal, probablemente no necesite sobrescribir todos y cada uno de los sectores libres ... pero si está trabajando en planes para una planta de energía nuclear o algún "proyecto secreto" para su gobierno, no querrá dejar un solo byte como está.
Cuando las personas me preguntan personalmente, siempre respondo: "más vale prevenir que lamentar. Hay estándares sólidos que definen las sobreescrituras múltiples de los sectores liberados como una obligación. Hay una razón para ello. Artículos científicos (incluso los más recientes ) muestran que la recuperación de datos borrados es posible utilizando diferentes medios. Incluso cuando la probabilidad es pequeña, no correría el riesgo y creo que sería poco profesional aconsejar a alguien que no piense en ese riesgo ".
Supongo que eso lo envuelve mejor.
ENVÍELO
Entonces, para responder correctamente a tu pregunta:
Muchos programas diferentes, como Darik's Boot y Nuke, te permiten escribir en un disco duro varias veces con el pretexto de que es más seguro que solo hacerlo una vez. ¿Por qué?
Lo hacen, según el artículo de Gutmann y los estándares existentes utilizados por las instituciones gubernamentales.
Lea otras preguntas en las etiquetas deletion data-leakage storage