Descargar Presentación

Borrado Seguro ?
Informática Forense
Raúl Menjura Machado
EnCe –ACE- CEH-CHFI
Abril de 2012
AGENDA
Generalidades
Estándares
stá da es y Clasificación
C as cac ó
Aplicación y Medidas
Vida Real
Software Forense
Conclusiones
GENERALIDADES
Generalidades
Borrado Seguro
Entre muchas definiciones contemplamos estas:
O Es la acción que se realiza sobrescribiendo toda la
información
contenida
en
un
medio
almacenamiento,
l
i t
r
remplazándola
l á d l
porr datos
d t
significado alguno, haciéndola irrecuperable.
de
sin
i
O Es sobrescribir todo el espacio del dispositivo con
ceros y unos, o con patrones aleatorios, realizando
esto en varias ocasiones de tal manera que luego
sea difícil.
Historia
O 1976 Departamento
D
t
t de
d Defensa
D f
d los
de
l
EE UU
EE.UU.
basado en el NISPOM (National Industrial Security
Program Operating Manual) da a conocer el método
de sobre escritura de un valor fijo determinado una
vez escribiendo 3 veces.
O 1996 Peter Gutmann
G tmann y Colin Plumb
Pl mb desarrollan un
n
algoritmo repitiéndolo 35 veces aleatoriamente
Historia
O 1998 North
N th Atlantic
Atl ti Treaty
T t Organization
O g i ti
- NATO
standard Estándar de borrado de la OTAN.
Sobrescribe el valor siete veces. Las primeras seis
pasadas son de sobre escritura con valores fijos
alternativos entre cada pasada
O 2003 a la actualidad aparecen en el mercado
multitud de aplicaciones que implementan la técnica
de borrado seguro de datos.
ESTANDARES Y CLASIFICACION
Estándares y Clasificación
American DoD 5220-22.M Standard Wipe Norma a nivel
gobierno en Estados Unidos
Consiste en la sobre escritura del soporte con un valor fijo
determinado una vez (por ejemplo 0x00), seguidamente se
escribe su valor complementario (0xff) una vez, y finalmente
se repasa con valores aleatorios una vez.
El disco se verifica para comprobar la escritura correcta de los
valores. Generalmente se lo utiliza con tres sobre escrituras
con tres verificaciones.
Cl ifi ió grado
Clasificación
g d 10,
10 Nivel
Ni l de
d seguridad:
g id d Medio.
M di
http://www.dss.mil/isec/nispom.htm
Estándares y Clasificación
Canadian RCMP TSSIT OPS-II Standard Wipe
Este estándar realiza siete sobre escrituras con 7
verificaciones implementado con “Royal Canadian Mounted
Police” y TSSIT con “Technical Security Standard for
Information Technology”, y otras entidades de gobierno
Clasificación grado 12, Nivel de seguridad: Medio
www.rcmp-grc.gc.ca/tsb/pubs/it_sec/g2-003_e.pdf
Estándares y Clasificación
Pseudo random Data
Emplea el algoritmo ISAAC (Indirection, Shift, Accumulate, Add
and Count) generador pseudoaleatorio de números (PRNG) y
un cifrador de flujo
j de Bob Jenkins,, q
que da el nombre al
generador , este estándar se caracteriza porque permite al
usuario seleccionar el numero de pasadas para sobre
escritura con un máximo de 65535.
Debido a que los datos aleatorios son altamente
incomprimibles, es uno de los métodos que debe ser usado
en u
e
unidades
dades co
comprimidas.
p
das
Clasificación grado 11, Nivel de seguridad: Medio
http://burtleburtle.net/bob/rand/isaacafa.html
Estándares y Clasificación
North Atlantic Treaty Organization - NATO standard
Estándar de borrado de la OTAN (North Atlantic Treaty
Organization) Sobrescribe el soporte siete veces.
Organization).
veces Las
primeras seis pasadas son de sobre escritura con valores fijos
alternativos entre cada pasada (0x00) y (0xff). La séptima
pasada sobre escribe con un valor aleatorio.
Clasificación grado 12, Nivel de seguridad: Alto.
Estándares y Clasificación
Método Gutmann
Usa el algoritmo ISAAC para para pasadas adicionales con
datos aleatorios antes y después de escribir las propias 27 del
método Gutmann,, es decir la sobre escritura del soporte
p
se
realiza grabando valores aleatorios cuatro veces (4 patrones)
sobre cada sector. Seguidamente se sobrescribe todo el
soporte con valores pseudo aleatorios sobre cada sector
durante veintisiete pasadas (patrones 5-31).
5 31) Para terminar,
terminar se
escriben valores aleatorios durante cuatro pasadas sobre
cada sector (4 patrones). En total, se realizan treinta y cinco
pasadas de sobre escritura (Total 35 patrones).
Clasificación grado 13, Nivel de Seguridad: Alto
Una sesión de borrado con el método Gutmann comienza con la
escritura de 4 patrones aleatorios, seguidos por los patrones del
5 al 31 (específicos para cada codificación de disco) ejecutados
all azar, para terminar
t
i
con unos últimos
últi
4 patrones
t
t bié
también
aleatorios. En la siguiente tabla se puede observar
esquemáticamente el orden que sigue el método Gutmann y los
patrones q
p
que escribe en el disco.
NOTA : En la actualidad los discos duros ya no utilizan los métodos de
codificación (MFM frecuencia modulación) para los cuales fue diseñado el
Método de Gutmann.
Gutmann
Peter Gutmann en su ensayo original nos informa que para estos discos
(PRML/EPRML) solamente es necesario escribir un par de veces datos
aleatorios sobre los originales para evitar la recuperación de la información
original.
www.cs.auckland.ac.nz/~pgut001/pubs/secure_del.html
www.usenix.org/publications/library/proceedings/sec96/full_papers/gutmann
A continuación
ti
ió se observa
b
esquemáticamente
áti
t ell orden
d que sigue
ig ell
método Gutmann y los patrones que escribe en el disco.
FICCION ?
Ficción o Realidad
Agencias de inteligencia de diferentes gobiernos (reino Unido,
China, Korea) tienen herramientas muy sofisticadas, como:
Microscopios de fuerza magnética
Microscopios atómicos
Análisis de imagen, pueden detectar los valores anteriores de
bits en el área borrada; incluso una vez utilizado su propio
método.
Aunque corre ell rumor de
A
d procedimientos
di i t
d seguridad
de
id d de
d
estas mismas Agencias donde considera un disco sobrescrito
de manera segura como material aun sensible.
DISPOSICION FINAL
Mejor Alternativa de Borrado Seguro
Medidas para Disposición Final
Limpieza
Es remover toda la información sensible de las unidades de almacenamiento
asegurándose que esta no pueda ser reconstruida por utilidades de
recuperación básicas y tal vez solo con técnicas de laboratorio especiales
Es el popular formateo
Purga o Sanitación
Es remover toda la información sensible de las unidades de almacenamiento
asegurándose que esta no pueda ser reconstruida por ninguna técnica de
informática conocida.
Se debería hacer al cambiar el equipo a otra área o cambio de dueño
Destrucción
Las unidades de almacenamiento son físicamente destruida. Dependiendo
de la sensibilidad de la información contenida.
Es considerada la mejor técnica y el mas seguro método disponible
otras Medidas para Disposición Final
O Degaussing
Conocido como Degauss produce un campo electromagnético muy
potente que destruye toda la información contenida en un medio
potente,
magnético. Si bien es efectivo, solo funciona para medios magnéticos, y
los deja completamente inutilizables, es de costo elevado.
O Encryption
Últimamente se ha masificado su uso a nivel corporativo, encripta la
totalidad de la unidad, particiones, carpetas y archivos por archivo, no
se considera técnica de borrado pero en la medida que no se posean las
llaves de encripcion para acceder al medio la información es inaccesible
y por ende asegurada
Software de Informática Forense puede recuperar data mediante un
volcado de memoria denominada volátil o en RAM
REALIDAD !
Realidad
ESCENARIO 1
Realizo una investigación entre los años 2008 a 2010.
Dio a la tarea de adquirir discos duros, memorias USB, tarjetas SD,
algunos teléfonos celulares de segunda mano o ligeramente usados en
tiendas online, ventas de garaje, y remates de entidades publicas y
privadas.
i d
Revelo lo siguiente:
que adquirieron
q
más de un 80% estaban
• De los 249 discos duros q
operativos funcionales.
• Total de 18 celulares denominados Smartphone 15 contenían
información (fotografías, chats, directorios telefónicos, email)
Realidad
Continuación….
• Recuperaron información de más del 87% de los discos duros.
• Más
Má de
d un 75% esta información
i f
ió era privada
i d o confidencial
fid
i l
• (datos de nomina, historias clínicas, números de cuentas claves de
acceso a portales de internet, a correo electrónico, y muchísimas
imágenes
g
XXX).
)
• Sólo un 3% de los discos duros, habían pasado por un proceso de
borrado seguro de datos.
• Y algunos discos duros estaban formateados.
• Solo 1 disco presentaba año físico
Realidad
ESCENARIO 2
Año 2009 Se toman muestra aleatoria de doce equipos con su
respectivo disco duro, donados por empresas privadas y personas
particulares, a una organización xx
02 discos duros estaba formateado
10 funcionales con SO
02 Aplicaron software comercial Ccleaner
08 eliminaron
li i
l información
la
i f
ió
(se recupero de la papelera de reciclaje)
• Password recuperados
(txt
a diferentes sitios))
( denominado claves contenía 10 user/pass
/p
•
•
•
•
SOFTWARE FORENSE
Donde Buscar ?
Donde buscar:
Slack Space
E
Espacio
i perdido
did o desperdiciado,
d
di i d sobrante
b t entre
t ell final
fi l del
d l
archivo y el cluster que se considera usado, por lo que no es libre
para ser utilizado.
Unalocated Space
Espacio no asignado, espacio que usaba un archivo y fue
eliminado, cortado o copiado a otro medio
Free Space
Espacio disponible en disco
Opcional Memory Dump
Con que Buscar
Recuperar carpetas: reconstruye automáticamente la estructura
de volúmenes con formato NTFS y FAT
http://www.youtube.com/watch?v=TmDkktcm-Ls
Que encontramos ?
Software Forense
Software Forense
The Autopsy Forensic Browser is a graphical interface to the
command line digital investigation analysis tools in The Sleuth Kit.
Together, they can analyze Windows and UNIX disks and file systems
(NTFS, FAT, UFS1/2, Ext2/3).
CONCLUSIONES
O Funciona el borrado seguro en la medida de las
necesidades del usuario.
O Funciona si va acompañada de un política clara de
disposición final de medios
O Ninguna herramienta de borrado seguro lo garantiza
en un 100%.
CONTACTO
Raúl Menjura Machado
Mail: [email protected]
rmenjura@nemesis com co
PBX: +57 (1) 6210913
Fax: +57 (1) 7550439
Mobile +57 313-4235279
Mobile:+57
313 4235279
Skype: rmenjura
O A Guide to Understanding Data Remanence in Automated
Information Systems. National Computer Security Center.
September
Septe
be 1991.
99 Retrieved
et e ed 2007-12-10.
00
0 ((Rainbow
a bo Series
Se es
"Forrest Green Book")
O Tutorial on Disk Drive Data Sanitization Gordon Hughes,
UCSD Center for Magnetic Recording Research, Tom
Coughlin, Coughlin Associates
O Why Information Must Be Destroyed - Overview of paperbased destruction Ben Rothke, CISSP, British Telecom
O Why
Wh IInformation
f
ti M
Mustt B
Be D
Destroyed
t
dP
Partt 2 - Overview
O
i off
digital-based destruction Ben Rothke, CISSP, British
Telecom