La recuperación de datos, un arma de doble filo

Os dejo copia del artículo homónimo publicado ayer en Hispasec Sistemas. La noticia podéis no sólo comentarla aquí, sino en la web de Hispasec igualmente.

Introducción

Existen numerosas herramientas de recuperación en el mercado. Estas herramientas tienen como principal finalidad recuperar el máximo de información posible ante un incidente determinado: el caso típico es el intento de recuperación de información de un disco duro con averías lógicas y/o físicas, con la intención de salvaguardar la mayor cantidad de datos posibles, en previsión de la posible inutilización del dispositivo sometido a recuperación.

No sólo es posible recuperar datos de discos duros. También es posible recuperar datos de otros medios, como por ejemplo, memorias flash de todo tipo. Otros medios de almacenamiento ópticos y magneto-ópticos también son susceptibles de que al menos, intentemos la recuperación en caso de incidencia: es tan factible recuperar datos de un disco duro, como de una Compact Flash, Smart Media, tarjetas SD y xD o de una memoria USB.

En términos de efectividad, es frecuente obtener mejores recuperaciones de las averías lógicas que en las averías físicas. Así pues, los errores de usuario, los borrados intencionados y el sabotaje y/o la acción del malware destructivo pueden ser considerados como averías lógicas. Un ejemplo de avería física puede ser la colisión de las cabezas del disco duro con los platos (head crash), las deformaciones por impacto o cambios térmicos bruscos, o los daños en la electrónica y mecánica (la ruptura de un motor en un disco duro).

La problemática de la confidencialidad

Los problemas de seguridad y confidencialidad surgen cuando no se han contemplado medidas efectivas para prever las recuperaciones no deseadas. Escenarios posibles hay muchos, y muy frecuentes, no sólo en el ámbito empresarial, sino en el doméstico. Cuando la recuperación es controlada y sobre todo, efectuada con el único propósito de salvaguardar nuestra información para ser reutilizada, no hay problema. Pero esto no siempre es así. Al igual que nosotros, otros sin nuestro beneplácito pueden ser los ejecutores de procedimientos de recuperación no deseados.

La importancia de la conformidad en los entornos empresariales

En entornos organizativos, la aplicación de los requisitos de la Ley Orgánica de Protección de Datos de Carácter Personal (LOPD) puede prevenir los supuestos de recuperación indeseada: el establecimiento de políticas de destrucción segura, así como contratos con proveedores de destrucción y en general, el imperativo legal de contemplar la gestión de soportes, pueden prevenir la revelación no deseada de información. Disponer de sistemas de gestión de seguridad de la información puede ser útil igualmente, ya que contemplan controles para la gestión segura de los soportes. Así pues, para ISO 17799:2005, en el dominio relativo a Gestión de Comunicaciones y Operaciones tenemos controles específicos en el punto 10.7 de la norma, englobados bajo el nombre de manipulación de medios, estando dedicado el punto 10.7.2 de la norma específicamente a la destrucción de medios.

De todos modos sigue siendo frecuente que muchas empresas arrojen sus terminales obsoletos, así como CDs, DVDs y otros medios a los contenedores de basura, muchas veces situados en la vía pública, lo que favorece técnicas poco ortodoxas de espionaje como el «dumpster diving» o buceo en la basura, consistente básicamente en escrutar los deshechos para recuperar no sólo papel, sino en el caso que nos ocupa, soportes de almacenamiento como discos duros, DVDs, CDs, cintas streamer, etc., sobre los que es posible ejecutar acciones de recuperación en busca de material restringido y confidencial.

Mucho cuidado al vender y desechar nuestros dispositivos domésticos

En entornos domésticos deben extremarse las precauciones, no sólo cuando queremos destruir soportes o deshacernos de un ordenador que ha quedado inservible, sino sobre todo cuando se compra y vende el material en sitios online. Según los datos de un estudio del MIT (Instituto de Tecnología de Massachussets), efectuado por un grupo de estudiantes que adquirieron 158 discos duros de sitios de subasta online y venta de segunda mano, los datos no pueden ser más alarmantes: consiguieron recuperar datos de aproximadamente 68 discos. La información recuperada de los discos estaba en una proporción del orden del 70% de datos confidenciales y sensibles, por un 30% de información no relevante. Las recuperaciones incluyeron datos de empresa, correo electrónico, pornografía, datos bancarios y datos personales diversos. De los 158 discos analizados, sólo 12 habían sido sometidos a procesos de borrado seguro. La mayoría de los discos estaban formateados, pero eso no es condición suficiente para garantizar una destrucción de datos no reversible. Recuerde especialmente este punto. Formatear no le da garantías de ningún tipo de que los datos que hubiera en el disco sean irrecuperables.

La destrucción segura dependerá de si el medio es reescribible o no: cuando no es posible, caso de DVDs, CDs y otros medios no regrabables, deberíamos, en ausencia de un proveedor de destrucción, recurrir a técnicas más cotidianas como, por ejemplo, cortar los discos con unas tijeras en varios fragmentos. Cuando los soportes son regrabables, debemos plantearnos el uso de herramientas de borrado seguro.

Métodos de borrado seguro

El borrado de un medio regrabable puede ser muy rápido e inseguro, o más lento y seguro. Desde los métodos «Super Fast Zero Write» consistentes en la escritura de un valor fijo «0x00» en cada tercer sector, hasta métodos de alta seguridad, como la aplicación secuencial del US Department of Defense (DoD 5220.22-M) + Método Gutman, consistente en 35 pasadas, complementables con iteraciones de Mersenne, para agilizar los procesos de borrado seguro mediante la generación de números pseudoaleatorios. Otro método de alta seguridad es el estándar de la OTAN, de 7 pasadas.

El borrado seguro es fácilmente aplicable con herramientas software. Para el caso más usual, el borrado del disco duro, existen soluciones muy sencillas de utilizar, como por ejemplo, Darik´s Boot and Nuke (DBAN), que permiten no sólo el borrado rápido, sino la aplicación de técnicas más seguras como el estándar canadiense RCMP TSSIT OPS-II, el citado DoD 5220-22.M y el más seguro de los métodos actuales, el Método Gutman. Este sencillo programa permite igualmente el borrado tipo «PRNG Stream» y la versión rápida del mismo, «Fast PRNG», conocido como «Mersenne Twister». DBAN es gratuito, opera merced a un núcleo Linux integrado y permite borrar sistemas de archivos FAT, VFAT, y NTFS para plataformas Windows, y ReiserFS, EXT, y UFS en entornos derivados de UNIX. Esta pequeña herramienta fue incluida en su día en el paquete de herramientas de seguridad de la Nuclear Security Administration de los EEUU, y es una herramienta muy frecuente en distribuciones forenses y de recuperación. Pese a que su última actualización data de mediados de 2005, es una herramienta fiable y recomendable.

DBAN se ofrece en sendas imágenes para disco flexible y CD/DVD. Basta con grabar la imagen en el medio seleccionado y arrancar el ordenador cuyo disco queremos borrar con DBAN en la unidad floppy o CD/DVD, según corresponda.

Otros métodos de borrado interesantes y rápidos pueden ser la ejecución en consola tipo UNIX del comando dd, para conversión y copiado de ficheros, mediante la secuencia «dd if=/dev/urandom of=/dev/hda». Este comando debe aplicarse algunas veces para incrementar la seguridad del borrado, y su velocidad dependerá de la calidad de los discos duros, siendo conveniente que, por motivos obvios, la cache de escritura esté activada, así como el modo
UltraDMA. Los usuarios que no posean derivados UNIX pueden invocar este comando desde un «livecd» (distribuciones que arrancan desde el CD/DVD sin necesidad de instalación), como por ejemplo Knoppix o Slax (versión live de Slackware). En el apartado más información hay un enlace a una lista completa de distribuciones Linux de este tipo.

En Solaris, la utilidad format permite la escritura del disco con varios patrones, lo que imposibilita la recuperación de datos indeseada. Para sistemas de este tipo debe seleccionarse la opción «purge», que se encuentra en la opción de análisis de superficie dentro de la herramienta format.

También es importante el borrado seguro de ficheros y trazas

Igualmente recomendable es disponer de herramientas de borrado seguro no sólo de discos duros y medios completos, sino de ficheros. A tal efecto, los usuarios Windows pueden, entre un abanico muy amplio de soluciones, emplear la herramienta gratuita East-Tec Eraser, que además borra trazas de actividad en la navegación, ficheros temporales, espacio sin usar en los discos y una larga lista de fuentes de revelación de datos potencialmente confidenciales y/o sensibles. East-Tec Eraser es gratuito y ofrecido según GNU/GPL. Los usuarios de derivados de UNIX pueden encontrar en repositorios como Sourceforge o Freshmeat infinidad de herramientas de este tipo, o bien optar por el empleo de scripts de eliminación de trazas generados por ellos mismos.

Más Información:

Darik´s Boot and Nuke
http://dban.sourceforge.net/

East-Tec Eraser
http://www.east-tec.com/

Secure Deletion of Data from Magnetic and Solid-State Memory
http://www.cs.auckland.ac.nz/~pgut001/pubs/secure_del.html

Consejos de conservación del Ministerio de Administraciones Públicas
http://www.csi.map.es/csi/criterios/conservacion/

10 Best Security Live CD Distros (Pen-Test, Forensics & Recovery)
http://www.darknet.org.uk/2006/03/10-best-security-live-cd-distros-pen-test-
forensics-recovery/

FrozenTech’s LiveCD List
http://www.frozentech.com/content/livecd.php

Olive BSD. Distribución «live» OpenBSD
http://g.paderni.free.fr/olivebsd/

Belenix. Distribución «live» OpenSolaris
http://www.genunix.org/distributions/belenix_site/belenix_home.html

Recuperación de fotografías con PhotoRec
http://www.cgsecurity.org/wiki/PhotoRec