¿Hay un ejemplo del mundo real de recuperación de datos SSD?

Navega tus respuestas
13
Se sabe que

la eliminación segura de datos es más complicada y difícil de encontrar en una unidad de estado sólido que en un disco normal disco duro. Por ejemplo, la asignación de bloques lógicos en la capa de traducción flash del SSD hace que sea imposible sobrescribir de manera confiable sectores específicos de la memoria como lo haría para limpiar un disco duro.

Estoy buscando un ejemplo del mundo real (no una prueba de concepto) para ilustrar el problema. ¿Hay un caso notable en el que alguien, preferiblemente la policía, se haya aprovechado de las propiedades de un SSD para recuperar datos borrados que probablemente no se habrían podido recuperar en un HDD?

    
pregunta Arminius 08.10.2016 - 01:54
fuente

3 respuestas

4

Mi primer pensamiento:

Nadiepuedeestarabsolutamentesegurodequealgonohayaocurrido,porloquelaúnicarespuestaaceptableasupreguntaseríaunejemplo.Estoytratandodeexplicarmispensamientossobreporquéesmuypocoprobablequeobtengasunejemploasí.Miargumentoestáinspiradoenla ecuación de Drake .

Permítanme comenzar con algunos datos que creo que todos estamos de acuerdo (más o menos, con suerte):

  • La recuperación de datos de un SSD borrado puede hacerse (teórica y prácticamente).
  • Hacerlo está lejos de ser fácil, requiere conocimiento, recursos, quizás tiempo.

Como con cualquier ataque, tenemos tres parámetros a considerar:

  • habilidad requerida
  • recursos requeridos
  • motivación

¿Qué posibilidades hay de que la policía tenga habilidades y recursos disponibles? NSA, Mossad, KGB - claro. ¿Un departamento de policía "ordinario"? Es probable que puedan hacerlo si logran convencer a alguien de que es lo suficientemente importante y que no hay otra manera. Ciertamente no es "rutina".

Ahí es donde estamos hablando de motivación. Para estar motivado (suficiente), las siguientes cosas deben ser ciertas:

  • Algunos "sospechosos" deben tener datos almacenados en un SSD. (No es un disco duro, no es un disquete ...)
  • Alguien, por alguna razón, decidió borrar ese SSD. (Esto toma un poco de tiempo y esfuerzo y, por lo tanto, debe hacerse antes cuando la policía llama a su puerta.)
  • El SSD no debe haber sido protegido por otros medios, como un cifrado seguro. (Tenga en cuenta que, en este momento, tenemos una persona que no solo sabe cómo limpiar un SSD, sino que en realidad lo hizo porque sabía que sus secretos podrían verse comprometidos de otra manera. Ciertamente es posible, aunque muy poco probable, que esa persona no usara cifrado en primer lugar.)
  • La policía debe saber o al menos suponer que se puede encontrar "algo" en ese SSD en particular. (De lo contrario no se verían).
  • El crimen del que estamos hablando debe haber sido considerado "lo suficientemente importante".
  • No había otra forma de obtener los datos o no había suficientes otras pruebas contra el sospechoso.

Así que, finalmente, estamos lo suficientemente motivados. Todavía hay más que considerar:

  • Toda la operación debe haberse realizado con éxito.
  • La operación debe haber sido documentada y puesta a disposición del público.

Creo que si multiplicamos todas esas posibilidades, tendremos una posibilidad muy, muy cercana a cero, que habrá prueba de que algo como esto se ha hecho con éxito.

    
respondido por el Thomas 05.11.2016 - 22:09
fuente
1

La recuperación solo es posible bajo ciertas condiciones:

  • tiene un SSD anterior sin soporte TRIM o
  • tiene Windows XP (ya que no es compatible con TRIM) u otro sistema operativo antiguo sin compatibilidad con TRIM o
  • conecta el SSD como un disco duro externo a través del puerto USB. o
  • Las interfaces AHCI / SATA no se detectan en su MB anterior: usa el modo heredado / modo IDE o
  • tienes una configuración RAID 0

Esos son los casos felices. Cualquier software decente podrá recuperar tus archivos.

El caso más encontrado en estos días es cuando tiene un nuevo SSD con TRIM habilitado. En este caso, la recuperación de datos es un no-go, porque cuando TRIM está habilitado, la acción de borrado se realiza inmediatamente. TRIM purgará tanto los datos como el enlace a él, por lo que prácticamente se ha ido; es simplemente descontaminado y vacío, marcado como listo para usar.

    
respondido por el Overmind 11.09.2017 - 11:52
fuente
1

Las unidades de estado sólido modernas utilizan SED (unidades de autocifrado) para el borrado seguro, específicamente a través de la funcionalidad de borrado de seguridad mejorada ATA que se encuentra en muchas unidades. Las unidades almacenan una clave de cifrado en un área especial de la unidad y la utilizan para cifrar de forma transparente todo lo que está escrito en ella. Al enviar el comando de borrado de seguridad, en lugar de escribir individualmente en cada celda flash, la unidad borra de forma segura la clave SED, haciendo que todos los datos en la unidad sean inútiles. La especificación de Opal requiere que tales unidades usen un generador de números aleatorios de hardware para generar la clave. Esto hace que el análisis de la dificultad del problema sea mucho más sencillo, ya que no tiene que meterse con fenómenos físicos complejos para el hardware altamente propietario. En su lugar, debe analizar la calidad del RNG que puede o no dar resultados positivos.

El lado positivo, para los defensores, es que una clave es generada por un generador de números aleatorios de hardware no determinista y de alta calidad, con la unidad encriptada con un algoritmo fuerte y bien estudiado. La ventaja de los atacantes es que la recuperación de datos requiere descubrir una clave. Es mejor para ellos si demoran, por ejemplo, 6 meses romper la clave en un HWRNG mal diseñado que si demoran 6 meses recuperar un kilobyte de datos del almacenamiento.

    
respondido por el forgetful 19.10.2017 - 11:18
fuente

Lea otras preguntas en las etiquetas

Herramientas y metodologías para compartir los resultados del análisis de código fuente y / o pentest [cerrado] ¿Cómo detener los intentos de recuperación de contraseña en las cuentas?