it-swarm.dev

È possibile recuperare dati cancellati in modo sicuro da un disco rigido utilizzando la medicina legale?

È possibile recuperare in modo sicuro (o cancellato) i dati cancellati da un disco rigido usando la medicina legale?

Immagina che la polizia abbia arrestato un hacker e che l'hacker, prima di essere catturato, ha rimosso tutte le informazioni che lo hanno reso colpevole sul suo PC usando un metodo di cancellazione sicuro. In questo caso, è possibile per la polizia forense (o qualsiasi dipartimento) recuperare i dati cancellati?

11
user41890

La tua domanda ha un problema con le definizioni delle parole in essa contenute.

Se un HDD è stato cancellato in modo sicuro, per definizione, non è possibile ripristinare. Se un HDD ha non cancellato in modo sicuro, per definizione, il recupero è possibile.

Forse intendi: quanto sono sicuri i vari metodi per cancellare i dischi rigidi? Molto sicuro, supponendo che tu stia parlando di unità "tradizionali" (con piatti rotanti magnetici) e usi qualcosa di affidabile come Darik's Boot And Nuke (aka DBAN).

C'è c'è qualche preoccupazione su come cancellare in modo sicuro le unità a stato solido, perché le unità hanno una capacità integrata di distribuire uniformemente (e in modo trasparente) le operazioni di lettura e scrittura su tutto il suo spazio di memoria. Questo viene fatto per aumentare la durata dell'unità, ma può vanificare le operazioni di cancellazione sicura.

12
scuzzy-delta

Se pensi a una pulizia sicura in termini di prima formattazione dell'unità, quindi apri la custodia, eseguendo un magnete in terre rare sui piatti, lavorando su di essi con un martello pesante e una chiave inglese per un paio di minuti e infine lasciandoli cadere in un fuoco da campo, quindi no, la polizia non sarà in grado di recuperare i dati.

Se pensi a una cancellazione sicura in termini di esecuzione di uno "strumento di cancellazione sicura h4xOr", allora scusa, sei sfortunato. Almeno, se qualunque cosa tu possa avere su quel disco, vale la pena.

È molto possibile (e non difficile, solo costoso) ricostruire i dati dall'archivio magnetico anche dopo che sono stati sovrascritti una dozzina di volte. È qualcosa che è stato fatto più o meno regolarmente con le scatole nere dagli anni '70. Certo, da allora la densità dei dati è aumentata di alcuni ordini di grandezza, ed è molto probabile che non sarà possibile un ripristino del 100%, ma è necessario prevedere che sia possibile ripristinarne una quantità sufficiente.
Non importa molto se è possibile, ma se tu (oi dati sul tuo disco) sei abbastanza importante da giustificare la spesa.

Inoltre, le unità moderne eseguono sempre più il livellamento dell'usura (in particolare gli SSD lo fanno per ogni singola scrittura). Ciò significa che hai poco o nessun controllo su quali dati effettivamente sovrascrivi quando esegui una cancellazione sicura. È possibile che si stia eseguendo una "cancellazione sicura" e che i dati completi siano ancora sul disco.
Gli SSD di solito crittografano tutti i dati per aumentare l'efficienza del livellamento dell'usura (per randomizzare i dati, non per motivi di sicurezza!), Ma non si può fare affidamento sul fatto che le forze dell'ordine non possano recuperare la chiave di crittografia. Tutte le unità moderne dispongono di una sequenza di chiavi di sblocco che cancella la chiave, probabilmente esiste anche una sequenza di chiavi di sblocco segreta, che non cancella la chiave per l'uso delle forze dell'ordine.
Questo è il caso di serrature a cilindro e cassette di sicurezza/contenitori di sicurezza, sarebbe irragionevole supporre che non esistano cose del genere per le unità disco.

Detto questo, anche se il tuo hacker ha utilizzato la crittografia dell'intero disco utilizzando il software giusto (che offre una negabilità perfetta), e la polizia non può fare molto per recuperare i dati o persino dimostrare che c'è qualcosa, non è una cosa certa .
Ancora una volta, dipende solo da quanto siano importanti i dati sul tuo disco e da chi ti sta dietro.
Anche se può sembrare davvero bello "perché i poliziotti stupidi non possono dimostrare nulla", non sembra altrettanto bello quando hai un sacco sopra la testa e sei picchiato con un tubo di gomma o essere imbarcati. Se qualcuno vuole davvero conoscere la tua chiave di crittografia, te lo dirai. Fidati di me, lo farai.

3
Damon

Come suggerito, se un file viene eliminato utilizzando semplici meccanismi di "eliminazione", i dati non vengono effettivamente rimossi dall'unità. Viene rimossa solo la voce della directory; i dati rimangono ed è facilmente recuperabile.

Se invece i blocchi di dati esistenti vengono sovrascritti, il recupero forense è effettivamente impossibile. Alcune ricostruzioni statistiche sono talvolta possibili su piccola scala con grandi sforzi, ma si tratta di una ricerca prevalentemente accademica. Il recupero effettivo di più megabyte di dati dalle unità moderne va ben oltre le capacità di qualsiasi laboratorio esistente.

Detto questo, alcuni filesystem (ad esempio: ZFS, BTRFS, a volte NTFS) così come alcuni media (ad esempio: SSD) non sovrascriveranno blocchi esistenti direttamente, ma scriveranno invece gli aggiornamenti in un nuovo spazio vuoto sul disco, lasciando intatti gli originali. Ciò complica ulteriormente le procedure di "eliminazione sicura".

Cancellare l'intera unità in una sola volta a un livello basso (anziché attraverso il file system) elude la maggior parte di questi avvertimenti e rende nuovamente estremamente difficile il ripristino.

Se prendi un disco rigido che ha completamente sovrascritto con zeri anche da un singolo passaggio a qualsiasi laboratorio di recupero forense, otterrai un tasso di recupero dello 0,00%. In effetti, molti posti non accetteranno nemmeno la sfida se dici loro cosa è successo.

3
tylerl

I dati magnetici scritti sul disco rigido possono essere sovrascritti, ma i dati originali saranno ancora lì, a un livello di segnale più basso. Quindi, con un software intelligente e forse anche l'uso di teste speciali, puoi leggere i diversi livelli di magnetizzazione. È anche solo 0 o 1 registrato su ciascun bit, il che rende fisicamente più semplice il recupero delle informazioni.

Quindi, l'unico modo per nascondere davvero le informazioni è sciogliere i piatti.

N.B. se si dispone di un'unità ibrida, non dimenticare i chip di memoria flash.

1
Dennis Kelly