Recuperar el archivo eliminado a pesar del cifrado completo del disco

Además de la respuesta de Moshe , voy a proporcionar un ejemplo con LUKS ya que algunas personas no están convencidas. . Además, consulte aquí para saber por qué la sobrescritura puede no ser 100% efectiva (aunque ciertamente ayuda).

Ejemplo

Cree un archivo disperso, cree un sistema de archivos y móntelo:

$ truncate -s 100G /tmp/device
$ mkfs.ext4 /tmp/device
$ sudo mount /tmp/device /mnt
$ sudo chown user:user -R /mnt

Haz unos pocos archivos confidenciales:

$ echo "super secret data" > /mnt/secret
$ echo "super secret data" > /mnt/confidential
$ echo "super secret data" > /mnt/top-secret

Obtener inodes para archivos:

$ ls -li /mnt
total 28
13 -rw-rw-r-- 1 user user    18 Nov 10 11:34 confidential
11 drwx------ 2 user user 16384 Nov 10 11:33 lost+found
12 -rw-rw-r-- 1 user user    18 Nov 10 11:34 secret
14 -rw-rw-r-- 1 user user    18 Nov 10 11:34 top-secret

Asegúrese de que los archivos se escriban en el disco y luego obtenga extensiones para los inodos:

$ sync /mnt/*
$ debugfs -R "stat <12>" /tmp/device
...
EXTENTS:
(0):33793
$ debugfs -R "stat <13>" /tmp/device
...
EXTENTS:
(0):33794
$ debugfs -R "stat <14>" /tmp/device
...
EXTENTS:
(0):33795

Revise esos bloques para asegurarse de que los datos estén allí:

$ dd if=/tmp/device bs=4096 skip=33793 count=1
super secret data
1+0 records in
1+0 records out
4096 bytes (4.1 kB, 4.0 KiB) copied, 1.9034e-05 s, 215 MB/s
$ dd if=/tmp/device bs=4096 skip=33794 count=1
super secret data
1+0 records in
1+0 records out
4096 bytes (4.1 kB, 4.0 KiB) copied, 1.888e-05 s, 217 MB/s
$ dd if=/tmp/device bs=4096 skip=33795 count=1
super secret data
1+0 records in
1+0 records out
4096 bytes (4.1 kB, 4.0 KiB) copied, 7.1178e-05 s, 57.5 MB/s

Eliminar los archivos:

$ rm /mnt/secret
$ rm /mnt/confidential
$ rm /mnt/top-secret
$ ls -l /mnt
total 16
drwx------ 2 user user 16384 Nov 12 17:34 lost+found

Formatee el dispositivo usando LUKS, luego cree un nuevo sistema de archivos:

$ sudo umount /mnt
$ sudo cryptsetup luksFormat /tmp/device

WARNING!
========
This will overwrite data on /tmp/device irrevocably.

Are you sure? (Type uppercase yes): YES
Enter passphrase:
Verify passphrase:

$ sudo cryptsetup luksOpen /tmp/device encrypted_device
Enter passphrase for /tmp/device:

$ sudo mkfs.ext4 /dev/mapper/encrypted_device
mke2fs 1.42.13 (17-May-2015)
Creating filesystem with 26213888 4k blocks and 6553600 inodes
Filesystem UUID: 279e6c3b-a183-4a94-b06e-78db1665b2a0
Superblock backups stored on blocks: 
    32768, 98304, 163840, 229376, 294912, 819200, 884736, 1605632, 2654208, 
    4096000, 7962624, 11239424, 20480000, 23887872

Allocating group tables: done                            
Writing inode tables: done                            
Creating journal (32768 blocks): done
Writing superblocks and filesystem accounting information: done

Ahora tenemos un nuevo sistema de archivos:

$ sudo mount /dev/mapper/encrypted_device /mnt
$ sudo ls -lR /mnt
/mnt:
total 16
drwx------ 2 root root 16384 Nov 10 11:37 lost+found

/mnt/lost+found:
total 0

¿Pero nuestros datos secretos siguen ahí?

$ dd if=/tmp/device bs=4096 skip=33793 count=1
super secret data
1+0 records in
1+0 records out
4096 bytes (4.1 kB, 4.0 KiB) copied, 1.8944e-05 s, 216 MB/s
$ dd if=/tmp/device bs=4096 skip=33794 count=1
super secret data
1+0 records in
1+0 records out
4096 bytes (4.1 kB, 4.0 KiB) copied, 2.2056e-05 s, 186 MB/s
$ dd if=/tmp/device bs=4096 skip=33795 count=1
super secret data
1+0 records in
1+0 records out
4096 bytes (4.1 kB, 4.0 KiB) copied, 8.7082e-05 s, 47.0 MB/s

Conclusión

A menos que borre el disco, es probable que al menos algunos de los datos antiguos permanezcan sin cifrar.

Se trata de la siguiente pregunta: ¿Los bytes de texto sin formato de los contenidos de secret_financial_plan.txt todavía están almacenados en el disco?

Veamos los pasos:

  

Creo un archivo, secret_financial_plan.txt, donde almaceno todas las operaciones financieras del mercado negro de mi empresa

El texto sin formato se escribe en el disco

  

Borro el archivo y vacío la papelera de reciclaje para cubrir mis pistas.

Se cambia el nombre del archivo y luego la entrada de la tabla maestra de NTFS se marca como eliminada. El texto en claro aún está en el disco.

  

Decido aplicar el cifrado completo del disco (FDE) en mi dispositivo cambiando a Linux y usando LUKS o cifrando la unidad en Windows con Veracrypt o usando otra parte del software FDE

Hay diferentes opciones de configuración allí. Si especificó cifrar todo el disco, incluido el espacio no asignado, los bytes de texto sin formato se sobrescribirán con los datos cifrados. Si solo cifra el espacio asignado, el archivo eliminado no se sobrescribirá * y, por lo tanto, el texto simple podría aún estará presente, dependiendo de si se sobrescribió o no con las escrituras posteriores en el disco.

_{* Nota: Estas son las opciones que proporciona Bitlocker. No sé cómo funcionan las otras herramientas de FDE.}

Respuesta corta: no puede estar 100% seguro de que se eliminan todos los rastros incluso si sobrescribe todo el disco

Los discos duros modernos suelen tener más sectores que los que se muestran, especialmente los SSD por razones de nivelación antidesgaste. Dependiendo del algoritmo en el controlador del disco, podría decidir que el sector con los datos de secret_financial_plan.txt se convertirá en uno de repuesto y los datos se escribirán en un sector de repuesto anterior.

Siguiente punto a cuidar: las copias se pueden haber escrito en otra ubicación, como archivos temporales.

Siguiente punto: esperemos que no se haya cargado en la nube. De lo contrario, su jefe podría recibir una llamada de su jefe de la NSA para informarles que el servicio secreto de Isreal les informó que habían pirateado en secreto y observaron a un proveedor de antivirus ruso obtener su virus de espionaje secreto súper nuevo subido a través de su tecnología de escaneo en la nube porque usó un crack infectado por virus tu suite de oficina pirateada.

El cifrado completo del disco no equivale a sobrescribir todo el disco. Cualquier dato que no haya sido borrado del disco antes del cifrado seguirá estando en el disco después de que esté cifrado. Piense en configurar el cifrado completo del disco como formatear un disco: escribe algunos bloques de datos nuevos aquí y allá, pero la mayoría del disco permanece intacto.

Es posible recuperar los archivos después de convertirlos a FDE, pero no está garantizado. La clave es que FDE solo proporciona protección después de que se enciende. No protege nada antes de eso. Si los bloques en la unidad no se sobrescribieron (criptográficamente) cuando se convirtieron a FDE, entonces todavía están allí y se pueden recuperar. Es posible borrar la unidad antes de convertirla a FDE, pero es la limpieza la que hace que los datos anteriores no sean accesibles, no el FDE. Y aún así, es difícil borrar un disco correctamente.

Las respuestas con votos más arriba están incompletas. La pregunta clave es si cifró todo el disco o si simplemente cifró las partes que están en uso.

Al habilitar el cifrado completo del disco, tiene una opción. Puede cifrar solo las partes del disco que está utilizando el sistema de archivos. En ese caso, las partes que no se utilizan pueden contener datos eliminados y permanecerán recuperables. Esto también filtra otra información, como aproximadamente la cantidad de datos que contiene el sistema de archivos.

La otra opción es cifrar incluso el espacio libre, en cuyo caso, incluso los archivos eliminados no serán recuperables.

Veracrypt / Truecrypt le pregunta esta pregunta cuando habilita FDE.

No soy un experto, pero mi conclusión como área de interés hace muchos años (antes de los días de SSD) fue que no puede borrar completamente la evidencia de los archivos en el disco sin destruir el disco en sí.

Encriptar el escritorio después de haber eliminado el archivo es un buen paso, pero aún puede ser posible recuperar el archivo, o partes de él, con herramientas suficientes.

Considere una unidad de disco duro que almacene datos como campos de bits magnéticos, activados o desactivados. Digamos que esa parte de datos se almacena en ese disco durante algún tiempo, y luego viene y hace (lo que sea) a su sistema operativo, lo cifra todo y sobrescribe el disco 7 veces con datos aleatorios. Genial cierto Excepto que still puede ser posible leer la información anterior del disco, porque al menos en un HDD, si los datos permanecen en su lugar el tiempo suficiente, el residuo de desgaste de los bits magnéticos físicos en el el propio disco se puede leer con herramientas muy avanzadas.

¿Fácil? no. ¿Posible? si.

Al igual que con todo lo relacionado con la seguridad digital, creo que se reduce a: ¿cuánto esfuerzo crees que alguien podría poner en intentar violar tus defensas (naturalmente equilibrado con qué tan fuertes deberían ser tus defensas para frustrar esto)? Al igual que con todas las cosas relacionadas con la seguridad, la única manera de garantizar que nunca, nunca se violará es asegurándose de que nunca existió todo. Mis 2cents.

Hay un montón de ataques teóricos contra el cifrado de todo el disco, pero que yo sepa, cada uno de ellos implica capturar la clave de cifrado cuando se usa, o explotar una falla en una implementación de cifrado específica. Usted especifica explícitamente que el atacante no tiene su clave de cifrado, por lo que no podrá descifrar sus datos sin otro tipo de ataque.

En Windows, todo lo que tienes que hacer es eliminar el archivo, luego mover los datos usando la desfragmentación o agregando nuevos archivos a la unidad.

Cada vez que escribes datos, ve el espacio libre y lo sobrescribe. Alternativamente, cifre la unidad ANTES de poner datos en ella, luego haga lo que quiera.

Espero que esto ayude.