¿Cómo borrar / eliminar archivos o carpetas de forma segura en diferentes sistemas de archivos (NTFS, ext3, ext4)? Es necesario eliminar los archivos, por lo que será imposible recuperarlos, ya que no quedan rastros de metadatos y rastros en los sistemas de registro por diario. ¿Cómo debo hacer eso? ¿Cuántos pases para sobrescribir debo usar para SSD y cuántos para HDD? OS: Linux distributivo
Esta pregunta me lleva a creer que estás un poco confundido acerca de cómo se almacenan los datos en las unidades, así que empezaré por tocar eso primero.
Tipo de sistema de archivos : ext3 , NTFS etc. no son más que tipos de sistemas de archivos. El tipo de sistema de archivos utilizado (en la mayoría de los casos) tiene un impacto cero en su capacidad para borrar de forma segura la unidad, ya que, en cualquier borrado seguro, estará bloqueado.
Como probablemente sepas, solo con pulsar la tecla eliminar no se borra el espacio del disco. Simplemente marca el área del disco como 'vacía' y permite que se escriban nuevos datos en el área. Piense en ello como cubículos:
| Joe | James | | Amy |
Puedes ver el cubículo vacío entre James y Amy. Eso es intacto espacio. Ahora digamos que James está despedido. Así que limpia su cubículo y se va, pero el espacio que utilizó está vacío , y no intacto . Esta es una distinción importante:
| Joe | *empty* | | Amy |
¿Por qué? Esto se debe a que cuando un nuevo empleado se une (dibujando paralelos entre los nuevos datos que se escriben en el disco aquí), al nuevo empleado se le puede dar una cabina nueva (a la izquierda de Amy) o una usada, pero cabina vacía (antigua habitación de James).
Esto conduce a una observación importante, aunque no hay nadie en el viejo cubículo de James en el presente, existe la posibilidad de que el nuevo empleado encuentre algo que James haya dejado atrás, similar a lo que busca un programa de análisis de datos. / p>
Ahora llegamos a la siguiente parte de la pregunta:
¿Cómo borrar / eliminar archivos o carpetas de forma segura en diferentes sistemas de archivos (NTFS, ext3, ext4)?
Ya que hemos descubierto que el tipo de sistema de archivos es irrelevante, la única consideración real aquí es cómo . Los programas de destrucción de datos que buscan borrar todo el disco duro funcionan según el principio de que, si todo el espacio del disco duro se ve igual , sería muy, muy difícil identificar lo que estaba presente anteriormente. Los datos en HDDs se almacenan como 1s y 0s. Así que algunos tipos de programas de borrado, recorren todo el disco con 0, escribiendo 0 en cada sector. Esto comúnmente se llama zero'ing en una unidad. Aquí es cómo podría verse antes de cero:
|10101100|00110000|11001010|10101010|
Y después:
|00000000|00000000|00000000|00000000|
En esta etapa, a menos que realmente te hayas metido en un verdadero lío, la mayoría de la gente podría rendirse. Si, por el contrario, te persigue una agencia de tres letras, puedes sacar sus microscopios electrónicos para descubrir cómo se alinearon los bits antes de sobrescribirlos con ceros.
Así que se introdujo una nueva metodología de limpieza.
Implica cero, ingresa, escribe datos aleatorios y luego vuelve a cero, se repite varias veces. Cada iteración se denominó pass . Hubo varias técnicas que utilizaron diferentes pases para hacer que los datos fueran irrecuperables, pero yo diría que para cualquier tipo de venta a un ciudadano, más de 7 pases serían excesivos (y probablemente arruinarían la vida del disco de todos modos).
Como dice John en su respuesta aquí :
El único método aprobado por el NIST para borrar de manera segura un disco duro es mediante el uso del comando interno de borrado seguro, documentado en el Centro de Investigación de Grabación Magnética (CMRR), y eso es lo que todos deberían estar haciendo. Es un comando ATA y cubre (S) interfaces ATA.
Después de eso, opcionalmente puede desmagnetizar la unidad para borrar el propio firmware.
SSD :
El borrado de SSD es más complicado debido a cómo se almacenan los datos en chips flash en lugar de discos magnéticos. Esta respuesta responde a las mejores formas de borrar un SSD de forma segura:
Borrado de seguridad ATA
La única forma de borrar de forma segura un SSD es usar la función de borrado de seguridad ATA, presente en todas las unidades compatibles con ATA6 (es decir, prácticamente todas las modernas). El intento de sobrescribir los datos en un SSD no eliminará todo debido al exceso de provisión de espacio mencionado anteriormente. Desafortunadamente, debido a este espacio de sobreabastecimiento, no puede leer todo lo que está presente en la unidad, ya que este espacio siempre está oculto, por lo que no puede verificar si ha sobrescrito todo.
ATA Security Erase está diseñado para resolver este problema haciendo una sobrescritura de bajo nivel de cada sector. En algunos SSD más nuevos, se puede utilizar una función adicional llamada ATA Enhanced Security Erase para destruir una clave maestra que la unidad utiliza para cifrar y descifrar de forma transparente sus datos. La destrucción de la clave es instantánea, pero hace que todo el contenido cifrado sea inaccesible.
Y los comandos en * nix:
# it must say "not locked", "not frozen", and "supported: enhanced erase"
hdparm -I /dev/sda | grep -A8 "^Security:"
# overwrite the drive with a repeating pattern to check for after
yes "You should not see me" > /dev/sda
# begin the erasure, without using a password
hdparm --security-set-pass NULL /dev/sda
hdparm --security-erase-enhanced NULL /dev/sda
# check if the repeating pattern is anywhere to be found
strings /dev/sda | grep "You should not see me"
Espero que esto ayude!
Lea otras preguntas en las etiquetas information-gathering deletion encryption forensics linux