En los discos duros, los datos eliminados se pueden sobrescribir. Pero, ¿se sobrescribe inmediatamente cuando se almacenan nuevos datos? Por ejemplo, tomo una foto y la borro. Después de algún tiempo, tomo una nueva foto. ¿Es esa foto más antigua sobrescrita? Estoy interesado principalmente en cómo las unidades sobrescriben los datos.
En general, no, no puede esperar que los bloques de disco duro eliminados recientemente sean los primeros en usarse para escribir nuevos datos .
En el caso de los discos de disco tradicionales, la lectura / escritura de rendimiento para archivos individuales se ve afectada por el lugar (físicamente) en el que se escriben los datos. Algunos sistemas operativos, y algunas utilidades, elegirán dónde escribir los datos en función de algoritmos de optimización complejos (a menudo durante la Desfragmentación ). Por lo tanto, hay otros factores aparte de "lo que se liberó recientemente" que se basa en decidir dónde escribir los datos.
Con las unidades SSD más nuevas, el problema empeora: el controlador de hardware en la unidad hace lo mismo, al elegir las ubicaciones de escritura de acuerdo con los algoritmos diseñados para maximizar la cobertura y minimizar las reescrituras. Como resultado, no se puede garantizar que sobrescriba todo el disco llenando el disco - debe usar ATA Secure Erase para borrar los datos .
Si le preocupa que los archivos eliminados se recuperen, debe ser proactivo:
cipher /w:c: ) con regularidad Cuando elimina datos, lo que realmente sucede es el puntero, la referencia o el inodo a la ubicación de los datos que se eliminan. No podrá acceder a él, pero aún está allí, suponiendo que todavía no se haya realizado ninguna operación adicional. Sin embargo, está marcado como espacio no utilizado y se puede sobrescribir cuando sea necesario.
Escribir datos no significa necesariamente que sobrescribas lo que eliminaste previamente. Puede escribir en una parte de la ubicación donde se almacenó su archivo anteriormente, o también puede escribir en otra parte del disco. La forma en que las unidades escriben los datos depende del sistema operativo y del tipo de sistema de archivos, y como sugirió Arminius, sería una mejor pregunta para el superusuario.
Ya que estamos en seguridad, una forma adecuada de eliminar archivos de manera segura sería usar algunas herramientas como shred en linux, donde el contenido se sobrescribe primero con bytes arbitrarios varias veces antes de que se elimine el inodo.
Estoy escribiendo esta respuesta ya que hay una excepción que se ha perdido en las respuestas hasta ahora. Pero como todos mencionaron, los datos no se sobrescriben inmediatamente. De hecho hay herramientas para recuperar datos borrados del disco. Simplemente eliminan la referencia de datos como se mencionó en la publicación anterior. La eliminación de datos tiene dos formas hoy en día, eliminar y borrar. Eliminar es más barato y limpiar es caro , en términos computacionales.
Sin embargo, hay una excepción en este caso y es si está utilizando unidades de estado sólido (SSD) . Los SSD están habilitados para TRIM. La idea de TRIM es que las unidades flash no se pueden sobrescribir. Tiene que ser borrado primero. Por lo tanto, cuando se elimina un archivo, se eliminan todos los datos para que las escrituras sean más rápidas en el futuro.
En general, cuando elimina un archivo, solo se elimina el puntero del archivo. Se almacena en una tabla de información de archivos, que tiene diferentes nombres en diferentes sistemas operativos. Después de que este puntero / identificador de archivo / número de inodo ya no exista, no se puede referir al archivo de ninguna manera sin saber exactamente en qué lugar del disco estaba almacenado, lo que a menudo está oculto por el sistema operativo.
El camino a seguir es un proceso denominado trituración de archivos, que ocupa el espacio libre en su disco y lo sobrescribe N veces. Importante, que ir solo no suele ser suficiente. Para comenzar a obtener los datos irrecuperables, uno tiene que usar al menos 7 sobrescribe. Los paranoicos a menudo utilizan el proceso de Gutmann a 35 rondas. Es absolutamente la misma trituración, pero más tiempo y más tiempo. (Puede tomar una tarde). Vale la pena señalar que se considera más seguro si la destructora funciona con datos aleatorios en lugar de ceros.
Sin embargo, la eliminación de archivos no es un proceso que disfrutaría hacer de forma regular. Lleva mucho tiempo y cada vez que pasa por todo el disco. Hay aplicaciones Shredder, que le permiten eliminar archivos específicos mediante la destrucción de ellos. Esto no impide que los datos confidenciales sean eliminados por las aplicaciones que usted no elimine a través de la destrucción.
Nota al margen: si no te importa un poco de tiempo de arranque adicional, el cifrado de HDD es el camino a seguir.
Lea otras preguntas en las etiquetas forensics