¿Realmente la información que borramos de nuestros pen drives o discos duros es irrecuperable?

La respuesta es no, al borrar un archivo normalmente este no se borra tan solo se borra su índice de la tabla de particiones y el espacio que ocupaba estará disponible de nuevo para ser usado cuando sea necesario, es decir, se sobrescribirá. Está información podría ser recuperada a través de un análisis forense con programas específicos para ello.

Es recomendable realizar un borrado seguro de datos para eliminar la información sensible y evitar que sea recuperada por otras personas al vender nuestro antiguo disco duro o alguna memoria USB.

Existen varias herramientas para poder recuperar los datos de una memoria USB o disco duro, como la conocida suite TestDisk (disponible para Windows, Linux y Mac).

Esta herramienta (gratuita y opensource) es capaz de reparar particiones corruptas o dañadas y recuperar datos leyendo bit a bit el contenido de la memoria USB o el disco duro.

Comprobaremos como es posible recuperar información de una memoria USB, que contenía imágenes antes de ser borradas de forma no segura, utilizando la herramienta photorec.

Memoría USB con datos Memoría USB con datos

Borramos los archivos o formateamos la unidad completa. Una vez borrado todo el contenido de forma no segura, usaremos la herramienta gratuitaPhoto Rec” para recuperar los datos.

Lo primero que debemos hacer es indicar la unidad a analizar para recuperar los datos borrados.

Photorec - Unidades de almacenamiento Photorec – Unidades de almacenamiento

Una vez seleccionada la unidad debemos elegir la partición a analizar o elegir “whole” para analizar la unidad completa.

Photorec - Particiones de la unidad Photorec – Particiones de la unidad

Vamos viendo como photorec va recuperando archivos y los clasifica dependiendo del tipo de archivo.

Photorec - Recuperando archivos Photorec – Recuperando archivos

Aqui podemos ver los archivos que hemos recuperado.

Photorec - Archivos recuperados Photorec – Archivos recuperados

Como se puede observar se recuperaron todos los datos e incluso más. Esto demuestra la facilidad de recuperar datos aparentemente borrados. Los archivos se guardan en carpetas con el nombre: recup_dir.1, recup_dir.2… y los nombres de los archivos son números ya que el nombre original se borro del índice de la tabla de particiones. Photorec es capaz de detectar el tipo de archivo analizando sus cabeceras y de esta forma le asigna la extensión.

Existen herramientas para borrar datos de forma segura como:

SRM (Secure Remove)

Utilidad perteneciente al paquete de herramientas “Secure-Delete” (herramientas: srm, sfill, sswap). Se puede instalar con un gestor de paquetes como APT (“apt-get install secure-delete”). Esta utilidad borra archivos o carpetas completas de forma segura. Su uso es similar al comando “rm” de Linux.

Por defecto sobreescribe los datos 38 veces.

Borrar archivos:

srm -zv archivo.txt

Borrar carpetas:

srm -rzv /carpeta/

* -f: Modo rápido e inseguro.
* -l: Usa dos veces el modo rápido e inseguro.
* -z: Sobreescribe con ceros en el último borrado.
* -v: Muestra el progreso de la operación.
* -r: Modo recursivo.

SFILL (Secure Free Space Wiper)

Elimina de forma segura el espacio libre de un disco duro o memoria.

Borrar de forma segura un disco duro:

sfill /mount/hdd

* /mount/hdd: Ruta de montaje del disco duro o memoria.
* -f: Modo rápido e inseguro.
* -l: Usa dos veces el modo rápido e inseguro.
* -z: Sobreescribe con ceros en el último borrado.
* -v: Muestra el progreso de la operación.
* -r: Modo recursivo.

SSWAP (Secure Swap Wiper)

Borra de forma segura toda la información contenida en el área o partición de intercambio del sistema (SWAP).

Antes de poder borrarla es necesario localizar la partición y deshabilitarla:

cat /proc/swaps

Deshabilitar SWAP:

swapoff /dev/sdaX

Limpiar de forma segura SWAP

sswap -zv /dev/sdaX

* -f: Modo rápido e inseguro.
* -l: Usa dos veces el modo rápido e inseguro.
* -z: Sobreescribe con ceros en el último borrado.
* -v: Muestra el progreso de la operación.
* -r: Modo recursivo.

SMEM (Secure Memory Wiper)

Esta herramienta borra la memoria RAM de forma segura. Aunque el PC se apage la RAM como cualquier tipo de memoria siempre guardas restos.

Limpiar RAM:

smem

SHRED

Permite borrar archivos y particiones completas. Normalmente esta integrada en las distribuciones de Linux más conocidas.

Borrar una partición, borrado rápido, rellenándola con ceros:

shred -vzn 0 /dev/sdaX

Borrar una partición, rellenándola con números aleatorios, el proceso se repite 3 veces mas una cuarta rellenándola con ceros. Este proceso es más lento y más seguro.

shred -vzn 3 /dev/sdaX

Borrar un archivo:

shred -u archivo.txt

* -f –force: Cambia los permisos si fuese necesario para la sobreescritura.
* -n –iterations <número de pasadas>: Número de sobreescrituras.
* -u –remove: Elimina el archivo después de sobreescribirlo.
* -v –verbose: Muestra el progreso de la operación.
* -z –zero: Sobreescribe con ceros en el último borrado.

WIPE

Otra utilidad para borrar archivos y carpetas de forma segura.

Borrar archivos:

wipe -fi archivo.txt

Borrar carpetas:

wipe -rfi /carpeta

Si no se especifica el número de pasadas, por defecto los datos se sobrescribirán 34 veces.
* -f: Borra sin pedir confirmación.
* -i: Muestra la información del progreso.
* -s: Modo silencioso.
* -q: Borrado rápido (4 pasadas).
* -Q <número de pasadas>: Permite especificar el número de sobreescrituras.
* -r: Modo recursivo.

DD

También podemos borrar archivos con el comando “dd”. Incluido en prácticamente cualquier distribución Linux.

LLenar el disco duro 7 veces con contenido aleatorio:

for n in {1..7};
do dd if=/dev/urandom of=/dev/sdaX bs=8b conv=notrunc;
done

Darik’s Boot And Nuke (DBAN)

Otra utilidad para borrar discos duros (solo funciona en discos duros conectados internamente al PC, no para memorias USB o SD) o datos de forma segura es dban, es un CD booteable que podemos descargar desde sourceforge.net.

Técnicas disponibles:

  • Quick Erase: Le da una sola pasada de escritura al disco, llenándolo de ceros. Es lo menos seguro de todo, y se usa más que nada para limpiar discos antes de su reutilización interna.
  • RCMP TSSIT OPS-II: Es el estándar que utiliza la Real Policía Montada del Canadá para asegurar sus dispositivos. Son ocho pasadas con patrones al azar.
  • DoD Short: Método utilizado por el Departamento de Defensa en los Estados Unidos. Son tres pasadas, ahorrando tiempo y ofrece suficiente seguridad.
  • DoD 5220.22-M: Usado en la entidad gubernamental de EE.UU. y con siete pasadas, otorga gran seguridad en tiempo moderado.
  • Gutmann Wipe: Aplicación de la teoría de Peter Gutmann para el borrado absoluto de datos en un disco. Son 35 pasadas y es un proceso muy lento, pero ofrece la mayor seguridad.
  • PRNG Stream: Usa patrones aleatorios en cuatro y ocho pasadas, mezclando los métodos anteriores.

CONCLUSIÓN


Hemos borrado la memoria USB completamente mediante el programa shred:

shred -vzn 0 /dev/sda

Al borrar la unidad completa también se destruye el sistema de archivos, debemos crearlo de nuevo:

mkfs.vfat -F 32 -n “Etiqueta del USB” /dev/sda

Y el resultado mostrado de nuevo con photorec sería este:

Photorec - Resultado de un borrado seguro Photorec – Resultado de un borrado seguro

Como podemos ver no se ha recuperado ningún archivo. El borrado que se uso es un borrado rápido aunque es aconsejable usar un borrado con más pasadas ya que los datos podrían ser recuperados con técnicas más sofisticadas mediante hardware.

¿Y tú has tenido alguna mala experiencia por no realizar un borrado seguro de datos?, déjanos tu experiencia en los comentarios.

NOTA

Estas técnicas no son 100% fiables en discos duros SSD, ya que estos funcionan de otra forma.

Y además estos procesos provocan muchas operaciones de escritura que desgastan más rápido las memorias o discos duros, es recomendable usarlas solo cuando sea necesario.

FUENTES

http://usemoslinux.blogspot.com/2011/10/como-limpiar-tus-discos-y-borrar.html
http://gnulinuxvagos.es/topic/238-borrado-seguro-de-archivos-directorios-y-memorias/