¿Es posible recuperar datos eliminados de forma segura desde un disco duro utilizando el análisis forense?

Su pregunta tiene un problema con las definiciones de las palabras.

Si un disco duro ha sido borrado de forma segura, por definición, no es posible la recuperación. Si una unidad de disco duro no ha sido borrada de forma segura, por definición, la recuperación es posible .

Tal vez te refieras a: ¿Qué tan seguros son los diversos métodos para limpiar discos duros? Muy seguro, suponiendo que esté hablando de unidades "tradicionales" (con platos giratorios magnéticos) y use algo de buena reputación como Darik's Boot And Nuke (también conocido como DBAN).

Hay es preocupante sobre cómo borrar de forma segura las unidades de estado sólido, ya que las unidades tienen una capacidad integrada para distribuir de manera uniforme (y transparente) las operaciones de lectura y escritura en todo su espacio de memoria. Esto se hace para aumentar la vida útil de la unidad, pero puede frustrar las operaciones de borrado seguro.

Si piensa en un borrado seguro en términos de formatear primero la unidad, luego abra la caja, pase un imán de tierra rara sobre los platos, trabaje en ellos con un martillo pesado y una llave por un par de minutos, y finalmente, dejándolos en un fuego de campamento, entonces no, la policía no podrá recuperar los datos.

Si piensa en un borrado seguro en términos de ejecutar alguna "herramienta de borrado seguro de h4xOr", perdón, no tiene suerte. Al menos, si vale la pena el esfuerzo que tenga en ese disco.

Es muy posible (y no difícil, simplemente costoso) reconstruir los datos del almacén magnético incluso después de que se haya sobrescrito una docena de veces. Eso es algo que se ha hecho más o menos rutinariamente con cajas negras desde la década de 1970. Es cierto que la densidad de datos ha aumentado en algunos órdenes de magnitud desde entonces, y es muy probable que no sea posible una restauración del 100%, pero debe esperar que se pueda restaurar una cantidad suficiente.
No importa mucho si es posible, pero si usted (o los datos en su disco) son lo suficientemente importantes como para justificar el gasto.

Además, las unidades modernas realizan cada vez más la nivelación del desgaste (las SSD, en particular, lo hacen para cada escritura individual ). Lo que significa que tiene poco o ningún control sobre los datos que realmente sobrescribe cuando realiza un borrado seguro. Es posible que esté realizando un "borrado seguro" y que los datos completos aún estén en el disco.
Los SSD generalmente cifran todos los datos para aumentar la eficiencia de la nivelación del desgaste (¡para aleatorizar los datos, no para la seguridad!), Pero no puede confiar en que la policía no pueda recuperar la clave de cifrado. Todas las unidades modernas tienen una secuencia de teclas de desbloqueo de eliminación de claves, es probable que exista una secuencia de claves de desbloqueo sin eliminación de claves secretas para el uso de las fuerzas del orden público.
Este es el caso de los bloqueos de cilindro y cajas fuertes / contenedores de seguridad, no sería razonable suponer que no existe tal cosa para las unidades de disco.

Dicho esto, incluso si su pirata informático utilizó el cifrado de disco completo con el software correcto (que ofrece una negabilidad perfecta), y la policía no puede hacer mucho para recuperar los datos o incluso probar que hay algo allí, eso no es todo. una cosa determinada.
Una vez más, solo depende de la importancia de los datos en su disco y de quién está detrás de usted.
Si bien puede sentirse muy bien "porque los policías estúpidos no pueden demostrar que son tontos" , no se siente tan bien cuando tienes un saco sobre la cabeza y te golpean con una manguera de goma o a bordo de agua Si alguien realmente quiere saber su clave de cifrado, se lo dirá. Confía en mí, lo harás.

Como se sugirió, si un archivo se elimina utilizando mecanismos de "eliminación" simples, entonces los datos no se eliminan realmente de la unidad. Sólo se elimina la entrada de directorio; los datos permanecen y son fácilmente recuperables.

Si, por el contrario, los bloques de datos existentes se sobrescriben, la recuperación forense es efectivamente imposible. Algunas reconstrucciones estadísticas a veces son posibles en pequeña escala con una gran cantidad de esfuerzo, pero esto es en gran parte una tarea académica. En realidad, la recuperación de múltiples megabytes de datos desde unidades modernas está más allá de las capacidades de cualquier laboratorio existente.

Dicho esto, algunos sistemas de archivos (por ejemplo: ZFS, BTRFS, a veces NTFS) así como algunos medios (por ejemplo: SSD) no sobrescribir los bloques existentes directamente, sino que en su lugar escribirán las actualizaciones en nuevos , espacio vacío en el disco, sin tocar los originales. Esto complica aún más los procedimientos de "eliminación segura".

La limpieza de toda la unidad de una sola vez a un nivel bajo (en lugar de a través del sistema de archivos) evita la mayoría de estas advertencias y, de nuevo, hace que la recuperación sea extremadamente difícil.

Si toma un disco duro que se ha sobrescrito completamente con ceros desde incluso una sola pasada a cualquier laboratorio de recuperación forense, obtendrá una tasa de recuperación del 0.00%. De hecho, la mayoría de los lugares ni siquiera aceptarán el desafío si les cuentas lo que ha sucedido.

Los datos magnéticos escritos en el disco duro pueden sobrescribirse, pero los datos originales seguirán allí, a un nivel de señal más bajo. Así que con un software inteligente y posiblemente con el uso de cabezales especiales, puede leer los diferentes niveles de magnetización. También es solo 0 o 1 que se registra en cada bit, lo que hace que recuperar la información sea un poco más fácil físicamente.

Por lo tanto, la única forma en que realmente puede ocultar la información es derretir los platos.

N.B. Si tiene una unidad híbrida, no olvide los chips de memoria flash.

Con respecto a la seguridad de la limpieza, consulte la respuesta de tylerl.

Solo quería señalar una cosa: si utiliza la encriptación de disco completa, la limpieza es mucho más fácil, ya que solo necesita borrar la parte que contiene la clave, y en contraste con los datos de texto simple, en los que incluso una recuperación parcial sería un problema, con crypto es todo o nada: si su clave se borra de forma segura, simplemente no hay forma de recuperar los datos.

No, no es posible recuperar datos después de usar el software de limpieza. Varios programas de borrado como Bitraser, Diskwipe, Data shredder también dicen lo mismo, que incluso probé desde mi final. No puedo recuperar los datos perdidos de ningún software de recuperación de datos.

No, una vez que los datos se sobrescriben con un software de desinfección seguro que vuelve a grabar 0 y 1 en lugar de los datos originales es como volver a armar un rompecabezas sin una imagen como referencia. Una vez que se ha reescrito 35 veces, a.k.a. el método de Gutmann, se ha ido, a menos que sea un SSD y, luego, hay que arar cantidades insanas de datos en el SSD una y otra vez para desfragmentar la unidad con datos nuevos.

Los SSD tienen una vida útil limitada y no responden bien, según los informes, a repetidas grabaciones repetidas. Los SSD generalmente se escriben una vez y se mencionan muchas veces. La RAM realiza todo el almacenamiento temporal de datos, por lo que limita la limitación de la capacidad de grabación de SSD finita.

Los forenses no pueden recuperar lo que ya se ha ido. Si se realiza una simple eliminación de los datos antiguos (es decir, la eliminación de la papelera de reciclaje o la eliminación permanente de los datos), los enlaces desaparecerán, pero no los datos que aún son recuperables.

Hay un montón de software gratuito para descargar e intentar recuperar los datos perdidos (enlaces) pero no traerá datos desinfectados.