¿Se pueden recuperar los datos SSD borrados?

Sí. Si haces un formato normal, los datos antiguos se pueden recuperar. Un formato normal solo elimina / sobrescribe una pequeña cantidad de metadatos del sistema de archivos, pero no sobrescribe todos los datos en sí. Los datos siguen ahí. Esto es especialmente cierto en los SSD, debido a la nivelación del desgaste y otras características de los SSD.

El siguiente trabajo de investigación estudia el borrado de datos en SSD:

• Michael Wei, Laura M. Grupp, Frederick E. Spada y Steven Swanson. Borrado confiable de datos de unidades de estado sólido basadas en flash . Conferencia USENIX sobre tecnologías de archivo y almacenamiento, 2011.

Una lección para llevar es que borrar datos de forma segura en un SSD es un poco complicado. Una de las razones es que la sobrescritura de datos en un SSD no funciona de la manera que creías, debido a la nivelación de desgaste y otras características. Cuando le pide a la SSD que "sobrescriba" un sector existente, en realidad no sobrescribe ni elimina los datos existentes inmediatamente. En su lugar, escribe los nuevos datos en otro lugar y simplemente cambia un puntero para apuntar a la nueva versión (dejando la versión antigua por ahí). La versión anterior puede eventualmente ser borrada, o puede que no. Como resultado, incluso los datos que cree que ha borrado, pueden estar presentes y accesibles en el SSD.

Además, los SSD son un poco difíciles de desinfectar (borrar por completo), porque los métodos que solían trabajar para los HDD magnéticos no necesariamente funcionan de manera confiable en los SSD (debido a la nivelación del desgaste mencionada anteriormente y otros problemas). En consecuencia, las utilidades que se anuncian como que proporcionan la funcionalidad de "borrado seguro de la unidad" pueden no ser completamente seguras, si se aplican a un SSD. Por ejemplo, el documento FAST encontró que, en la mayoría de los casos, realizar una sobrescritura completa de todos los datos en el SSD era suficiente para desinfectar la unidad de disco, pero hubo algunos casos excepcionales en los que algunos de los datos aún permanecían presentes. Puede haber otras razones para no querer realizar sobrescrituras repetidas de la unidad completa: es muy lenta y puede reducir la vida útil posterior de la unidad.

El documento FAST también encontró que la desmagnetización (un método estándar utilizado para la desinfección de discos duros magnéticos) no es efectiva en absoluto para desinfectar las unidades de estado sólido.

Además, el documento FAST encontró que las utilidades estándar para la desinfección de archivos individuales no eran muy confiables en los SSD: a menudo, una gran parte de los datos permanecían presentes en algún lugar de la unidad. Por lo tanto, debe asumir que no hay una manera confiable de borrar archivos individuales en un SSD de manera segura; necesita desinfectar todo el disco, como una unidad completa.

La forma más confiable de borrar de forma segura un SSD completo es usar el comando ATA Secure Erase. Sin embargo, esto no es infalible. El documento FAST encontró que la mayoría de los SSD implementan esto correctamente, pero no todos. En particular, 8 de los 12 SSD que estudiaron soportaron el Borrado seguro ATA, y 4 no lo hicieron. De los 8 que lo apoyaron, 3 tuvieron una implementación defectuosa. La implementación de 1 buggy fue realmente mala: reportó éxito, pero en realidad dejó los datos por ahí. Esto es atrozmente malo, porque no hay forma de que el software pueda detectar la falla de borrado. 2 implementaciones defectuosas fallaron y dejaron la información antigua (bajo ciertas condiciones), pero al menos informaron de una falla, por lo que si el software que envía el comando ATA Secure Erase comprueba el código de resultado, al menos se podría detectar la falla.

El otro enfoque posible es utilizar el cifrado completo del disco: asegúrese de que todo el sistema de archivos de la unidad esté cifrado desde el principio (por ejemplo, Bitlocker, Truecrypt). Cuando quiera desinfectar la unidad, olvide todas las claves criptográficas y bórrelas de manera segura, y luego borre la unidad lo mejor posible. Esta puede ser una solución viable, aunque personalmente, probablemente también desearía combinarla con ATA Secure Erase, para mayor seguridad.

Vea también las siguientes preguntas en este sitio:

• ¿Es suficiente limpiar solo una unidad flash una vez?

• Seguridad de la SSD (memoria flash) cuando los datos están cifrados en su lugar

• ¿Cómo se pueden eliminar los archivos de forma compatible con HIPAA?

• ¿Alguien ha intentado extraer la clave de cifrado de un SSD?

Me gustaría referirme al este video. Explica cómo se pueden recuperar los datos de las unidades de disco duro utilizando umbrales. Lo que incluye que el nivel de señal dado devuelto desde un HDD no solo se basa en el contenido actual, sino también en lo que había anteriormente. Al cambiar la "precisión" de la detección de señal, puede encontrar lo que había anteriormente. Sin embargo, esto es, por supuesto, solo teoría, en la práctica esto casi nunca se hace. Ver otra publicación .

También explica por qué borrar datos en unidades flash / SSD no es tan seguro como podría pensar. Debido a que cuando elimina datos en un SSD, el microcontrolador en ese SSD no elimina / sobrescribe aquellos bloques que contienen esos datos al instante, sino que los coloca en una lista de "eliminar en el futuro".

También, para alargar la vida útil de los SSD, utilizan nivelación de desgaste. Lo que significa que cuando se sobrescribe un bloque específico, el microcontrolador vuelve a correlacionar los bloques y crea un nuevo bloque que apunta al anterior sin marcar. Tenga en cuenta que escribir en todo el espacio libre anulará la nivelación del desgaste porque entonces al microcontrolador no le quedan bloques para volver a asignar.

Sin embargo, tenga en cuenta que si desea asegurarse de que los datos no sean recuperables. Cifrar la unidad y soltar la clave (eliminar de la unidad / no guardar en cualquier lugar) también será un nivel adicional de seguridad. A menos que sean capaces de romper tu llave, por supuesto.

Es posible recuperar datos de chips sin SSD fluctuando el voltaje de alimentación muy rápidamente mientras se escanea la matriz; a veces esto funciona. También he tenido cierto éxito en la lectura de tarjetas microSD totalmente muertas pero con tensión de tensión mediante el uso de un método patentado que utiliza rayos X de baja energía y lectores modificados, con un índice de éxito de aproximadamente 25-30% de esta manera. Mi hipótesis de trabajo es que esto activa la nivelación de desgaste rota y permite que se lean algunos datos de chips casi muertos, y el hecho de mover las moléculas a veces funciona temporalmente porque los cables de enlace son dorados y se calientan un poco bajo la fluencia de rayos X. A veces, el frío extremo también funciona por la misma razón, si se hace con cuidado (es decir, menos de 5 c / minuto)

Esta no es una respuesta directa a su pregunta, pero si le preocupa la recuperación de datos, cifrar los datos desde el principio puede ser una solución.

Por supuesto, el diablo está en los detalles: debe usar el software de cifrado de disco completo o confiar en las capacidades de cifrado de la unidad de estado sólido. Y mientras que el primero conlleva un costo de rendimiento, el segundo será un pasivo por algunas de las razones explicadas en otras publicaciones, como la implementación de buggy, etc.

Además, si su preocupación es proteger los datos en reposo de un atacante motivado durante un largo período de tiempo (por ejemplo, 10, 20 años), el cifrado puede no ser la mejor solución para usted: los ataques contra el cifrado de software pueden hacerlo ineficaz , y las posibilidades de un error de implementación en un firmware SSD no son nulas.

Los datos cifrados no se pueden descifrar a menos que use la clave de hash o la contraseña, pero es un delito retener la clave cuando un tribunal lo ordena.

Además, la destrucción segura puede eliminar el contenido, pero los enlaces, los términos de búsqueda y los archivos temporales pueden permanecer en otros lugares, lo que puede apuntar a acciones ilegales que pueden ser acusadas por la Policía si tienen motivos para buscar en su vida o actividad. . Como mínimo, podría perder todo su hardware digital mientras realizan pruebas forenses, y podría perderlo permanentemente si los tribunales lo encuentran culpable de cualquier cosa.

Si la información es realmente tan sensible, o si está paranoico, debe destruir físicamente todas las unidades en la máquina y ajustar otras nuevas. Y tenga en cuenta las copias de seguridad en la nube y los proveedores de IP que registran los términos de búsqueda ...

Si hay una razón legítima para borrar datos y el borrado de los datos es legítimo Formatee su unidad en su totalidad, o realice una restauración del sistema operativo que compactará todos los datos esenciales en un espacio menos fragmentado para que vuelva a estar disponible el máximo espacio vacío. ejecute un programa de borrado de unidad como ccleaner y luego formatee o restaure nuevamente el sistema operativo, luego vuelva a escribir videos superfinos de alta calidad que usen un máximo de píxeles hasta que esté completamente lleno, elimine la unidad, luego elimine algunos y vuelva a escribir. Si usa un teléfono, ejecute una restauración del sistema operativo, use un limpiador de unidad como ccleaner, luego configure la grabación de video a los píxeles más altos y superefínicos y camine para grabar cosas aleatorias que no pueden eliminarse de la ecuación de reconstrucción como una película hasta el almacenamiento está lleno, no lo elimine todo de inmediato, pero haga el espacio que necesita para la copia de datos. Si es posible, mueva algunos de los nuevos videos aleatorios a un SD externo y grabe nuevos videos aleatorios.

Tenga en cuenta que muchos programas de borrado de datos utilizan pequeños bloques como 1 gb para sobrescribir y pueden dejar espacios, especialmente si está usando su dispositivo en el proceso, la grabación de video aleatoria de alta calidad del dispositivo debe ser capaz de escribir todo vacío. espacio de almacenamiento en un solo archivo y generalmente no hay un factor "x" conocido para eliminar del proceso al intentar una restauración.