spacer

Sysresccd-manual-es Eliminación segura de datos

History


Introducción 
La eliminación segura de datos no es tan fácil como puedas pensar.  Cuando eliminas un archivo utilizando los comandos por defecto del sistema operativo (por ejemplo "rm" en UNIX o "del" en DOS o vaciar la papelera de reciclaje en WINDOWS), el sistema operativo NO elimina el archivo, los contenidos del archivo permanecen en el disco duro. 
La mayoría de los sistemas operativos sólo eliminan referencias al archivo cuando se les pide que  borren  un archivo.  El archivo -que creístes eliminado  para siempre- permanece en el disco hasta que otro archivo es creado encima de  él (hasta que otro archivo sobrescribe el espacio en el disco donde el archivo "borrado"  todavía está almacenado), e incluso después de esto, puede ser posible recuperar datos estudiando los campos magnéticos en la superficie de los platos del disco utilizando equipamiento forense. 

Antes de que el archivo sea sobreescrito por un archivo nuevo, cualquiera puede recuperar fácilmente los datos, por ejemplo mediante el uso de una utilidad de recuperacion de discos ( undelete). E incluso después de eso, algunas personas (por ejemplo, las agencias de tres letras) con equipamiento especial son capaces de restaurar tus datos, al menos parcialmente.

Todo el mundo tiene datos sensibles que quieren mantener en secreto. Por ejemplo datos financieros, correos electrónicos privados, pistas de tus hábitos de navegación por Internet, etc. He oído casos de personas que vendieron sus viejos ordenadores o discos duros y el comprador ha recuperado los datos financieros de sus empresas.

La única manera de hacer que la recuperación de tus datos sensibles sea casi imposible es sobreescribiendo  ( "wipe" o "shred"), los datos con varios patrones definidos. Para información más detallada véase el famoso Libro de Peter Gutmann http://www.cs.auckland.ac.nz/ ~ pgut001/pubs/secure_del.html  Sysresccd manual-en-Secure Supresión de Datos

PRECAUCIÓN: El uso de herramientas de borrado (wipe) y "trituración" (shred) se basa en una importante premisa: que el sistema de archivos sobreescriba los datos actuales. Esta es la forma tradicional de hacer las cosas, pero muchos diseños de sistemas de archivos modernos no satisfacen este supuesto, por ejemplo ReiserFS, Reiser4, XFS, Ext3 etc.

Ver http://www.die.net/doc/linux/man/man1/shred.1.html para más información. En este caso una solución podría ser wipe/shred (borrar) el dispositvo entero (partición) donde fueron guardados los datos sensibles para asegurarse que la información esté realmente sobreescrita.

SystemrescueCD proporciona algunas herramientas que son capaces de hacer que la recuperación de información sea casi imposible - digo casi imposible, porque nadie puede garantizarte, que por ejemplo el NSA o el FBI no podrían recuperar al menos parte de esa información. Pero usando estas herramientas, lo hace más difícil.

PRECAUCIÓN: Por otro lado no podrás recuperar ningún dato eliminado por esas herramientas. Ten cuidado. No nos responsabilizamos de la pérdida de información.

Si quieres la seguridad más moderna, usa cifrado como por ejemplo LOOP-AES http://loop-aes.sourceforge.net/ . Encripta tu directorio home o crea una partición encriptada o contenedora para guardar allí tus datos . Herramientas

   * SHRED de las GNU coreutils (Fileutils) ver http://www.gnu.org/software/coreutils/ http://www.gnu.org/software/fileutils/doc/manual/html/fileutils.html\#shred%20invocation (Manual) Puedes usar shred para eliminar de forma segura archivos concretos pero también particiones enteras o discos duros. Shred usa por defecto 25 pasadas de sobreescritura, puedes aumentar o disminuir el número de pasadas de sobreesritura Por lo tanto shred es más rápido que wipe (ver arriba).


Por ejemplo para eliminar toda la información en el disco duro del primer IDE:

shred -v /dev/hda.

   * WIPE de Sourceforge 

ver http://wipe.sourceforge.net Puedes usar wipe de forma similar a shred para eliminar archivos concretos de forma segura pero también particiones enteras o discos duros. Wipe usa por defecto 35 pasadas de sobreescritura siguiendo el documento de Peter Gutmann http://www.cs.auckland.ac.nz/~pgut001/pubs/secure\_del.html. Wipe es más lento que shred, porque usa por defecto más pasadas de sobreescritura y por lo tanto es más seguro.

Por ejemplo para eliminar de forma segura el archivo Swap de Windows 98 de una partición windows montada (FAT) usando 35 pasadas:

wipe -D /mnt/windows/win386.swp

* SRM de la THC-Secure Deletion Tools ver http://www.thc.org/releases.php?q=delete 

srm hace un borrado seguro de archivos

   * SRM de las Herramientas de Eliminación THC-Secure (THC-Secure Deletion Tools) 

ver http://www.thc.org/releases.php?q=delete

srm asegura la eliminación de archivos.

   * SFILL SRM de las Herramientas de Eliminación THC-Secure (THC-Secure Deletion Tools) 

ver http://www.thc.org/releases.php?q=delete

sfill sobreescribe de forma segura el espacio libre del disco duro. sfill es la única herramienta UNIX que conozco que es capaz de limpiar el espacio sin usar (libre) de una partición/disco duro. Puedes usar también el comando "dd" para sobreescrbir el espacio sin usar en disco, con ceros o bytes aleatorios.

   * SSWAP de las Herramientas de Eliminación THC-Secure (THC-Secure Deletion Tools) 

ver http://www.thc.org/releases.php?q=delete

sswap sobreescribe de forma segura el sistema de archivos swap.

* SMEM from the THC-Secure Deletion Tools see http://www.thc.org/releases.php?q=delete 
smem proporciona una sobreescritura segura de la memoria sin usar (RAM)

The THC-Secure Deletion Tools usa por defecto 38 pases de sobreescritura basado en el Libro de Peter Gutmann http://www.cs.auckland.ac.nz/pgut001/pubs/secure_del.html, puedes bajar el número de pasadas. Otras Herramientas

Hay otras herramientas en el SystemRescue CD que puedes usar de manera similar para sobreescribir dispositivos especiales, por ejemplo

   * "dd": if=/dev/zero or /dev/urandom, of=device
   * "dd_rescue": funciona de forma similar a  "dd"
   * "badblocks": con la opción -w para escribir 4 pasadas estáticas 
Para más información, echa una mirada a los manuales

Testeando

Para ver de que manera funcionan las herramientas y para chequear si todos los sectores de por ejemplo un diskete han sido sobreescritos, puedes usar VCHE, el editor de consola virtual en hexadecimal. En nuestro ejemplo eliminaremos de forma segura todos los datos de un diskete.

Escribe primero el siguiente comando:

shred -v -n 1 /dev/fd0

Shred sobreescribirá el diskete con una pasada aleatoria.

Luego, ejecuta:

vche-raw /dev/fd0

El diskete debería estar lleno de valores aleatorios.

Luego, escribimos el siguiente comando:

shred -v -n 1 -z /dev/fd0

La opción -z hará una pasada adicional con valores a cero.

Y ejecutamos de nuevo VCHE

vche-raw /dev/fd0

El dikete deberái estar lleno con ceros.

Críticas, comentarios y sugerencias son bievenidas: klemens(dot)hofer(at)aon(dot)at

spacer