El peligro que está tratando de mitigar es el diario del sistema de archivos, es decir, shred
no es efectivo en los sistemas de archivos que tienen un diario (por ejemplo, ext3, ext4, reiserfs).
Suponiendo que no estés usando unionfs para la persistencia (al parecer, puedes hacerlo en Tails, aunque nunca lo intenté), todo se almacena en un tmpfs
.
La documentación de linux en tmpfs
no detalla si se realiza el registro en diario. Sin embargo, tmpfs
se basa en ramfs
, el mismo sistema de archivos que se usa en initramfs
, y ese sistema de archivos no tiene un diario. Por lo tanto, es (más o menos) seguro asumir que tmpfs
no tiene una revista también.
En un sistema de archivos sin un diario, shred
realizará la sobrescritura del archivo, lo que dificultará la recuperación con herramientas analíticas (prácticamente imposible recuperarlo de un volcado de RAM). Como todo sucede en las páginas de memoria, y los inodos de tmpfs
simplemente apuntan a páginas de memoria, usar shred
es mucho mejor porque podrá escribir en estas páginas de memoria.
Advertencia
Lo anterior ciertamente funciona de esta manera en Tails , y en Knoppix . Es probable que funcione de manera similar en casi todas las distribuciones de Linux en LiveCD, incluyendo Kali Linux pero hay una advertencia .
Esto funciona para archivos! La memoria también contendrá la memoria de la aplicación, vea la respuesta de Gilles en la memoria de la aplicación. En serio, mira esa respuesta, abre un punto importante.
También una distro basada en Ubuntu Linux (que puede o no incluir Kali Linux * desde que su predecesora, Backtrack, se basó en Ubuntu) monta cualquier intercambio que encuentre en la máquina que arranca , ¡lo que puede dejar un vector de ataque mucho peor! Datos persistentes en el propio dispositivo!
Otra advertencia con Kali Linux, es que viene con metasploit
y arranca la base de datos postgres
para usar con metasploit
. Postgres tiene su propio registro diario (que se basa en archivos y no en sistemas de archivos), que también puede destruir (es decir, eliminar los archivos de Postgres, no solo eliminar los datos a través de psql
).
* Kali no se basa en Ubuntu, se basa en Debian, pero no estoy seguro de si eliminó todos sus scripts de configuración desde el momento en que se llamó Backtrack y se basó en Ubuntu