¿Y tu? ¿Has podido recuperar alguna vez lo sobreescrito?

Todo sobre análisis forense de sistemas. Herramientas, tutoriales, etc.

Moderador: Moderadores

¿Y tu? ¿Has podido recuperar alguna vez lo sobreescrito?

Notapor vlan7 » Sab May 23, 2009 5:30 pm

...¿Y tambien eres capaz de desquemar lo quemado?...

...entonces eres un mago.

---------------------------------------------------------------------------

Bueno, seamos serios. Primero de todo buenas a todos,

Me gustaría empezar un debate en la comunidad de Wadalbertia sobre el hecho de la factibilidad de recuperar datos de discos duros sobreescritos _solo 1 vez_.

Yo creo que no es posible en discos duros actuales.

El famoso paper de Gutmann de 1996 explicaba basicamente, si pudieramos condensar todo ese tocho y en pocas palabras explicar por que Guttman creia en 1996 que era posible recuperar datos de un disco duro previamente sobreescritos, habriamos hecho un modelo que dirian los cientificos.

Segun lo entiendo yo, basicamente lo que viene a afirmar Guttman es justo este parrafo lo esencial, dicho en palabras de Guttman: In conventional terms, when a one is written to disk the media records a one, and when a zero is written the media records a zero. However the actual effect is closer to obtaining a 0.95 when a zero is overwritten with a one, and a 1.05 when a one is overwritten with a one.

Bien, pero si bajamos al mas bajo nivel posible, a como se guardan los bits en un disco, quizas nos hagamos la pregunta de que el habla de discos duros que habia el 1996, que al mas bajo nivel, al fisico, a la electronica, funcionan de distinta manera los discos actuales.

Yo, como soy nulo en electronica, desde que lei el paper del Guttmann, siempre lo habia tomado como un dogma o algo asi. Pero ahora creo que no es mas que una leyenda urbana. Los discos actuales, al mas bajo nivel, se basan en procesos analogicos. Los discos duros actuales no son codificados digitalmente como los que usabamos en 1996.

Los wipes que se hicieron entonces, fueron programados para burlar la codificacion que usaban los discos de entonces, MFM/RLL. Hoy, con un disco duro moderno, no hay posibilidad de recuperacion de un bit sobreescrito uses el microscopico electronico que uses, esa codificacion ya no la usan hoy los discos duros.

Es innecesario con discos duros modernos hacer todas esas pasadas, porque ¿quien sabe como un determinado disco duro guarda los datos en los platos?

Seamos serios, ¿quien de aqui ha recuperado algo sobreescrito con /dev/urandom con _UNA_ sola sobreescritura?

Bueno, pues eso, que me gustaria empezar un debate sobre si es posible recuperar un dato que ha sido sobreescrito con tan solo una pasada.
There is a crack, a crack in everything That's how the light gets in. -subculture

zen7.vlan7.org
Avatar de Usuario
vlan7
<|:-D
<|:-D
 
Mensajes: 1176
Registrado: Dom Mar 05, 2006 11:16 pm
Ubicación: Mas alla del EIP

Notapor SLaYeR » Sab May 23, 2009 9:28 pm

A mi me has dejado loco del todo... la verdad es que no tengo ni idea de discos duros, al menos al nivel del que hablas.
Lo que si sé es que hay multitud de empresas que se dedican precisamente a eso, recuperar datos de discos duros... de algún modo lo harán.

Espero a leer mas respuestas, el tema promete.

PD:
vlan7 escribió:Es innecesario con discos duros modernos hacer todas esas pasadas, porque ¿quien sabe como un determinado disco duro guarda los datos en los platos?


Eso a mi me parece muy extremista, cualquier agencia gubernamental, militar... va a aplicar un estricto protocolo de eliminación de datos de los discos duros que retire. Nunca se esta bastante seguro.

Salu2!
ImagenImagen "Happy Hacking". Richard Stallman

Cuando la oscuridad nuble tu mente, que la paranoia sea tu guía.

Déjate caer por mi blog
SLaYeR
-<|:·þ
-<|:·þ
 
Mensajes: 2022
Registrado: Lun Sep 12, 2005 9:02 pm
Ubicación: Cuando crees que me ves cruzo la pared...

Notapor vlan7 » Sab May 23, 2009 10:18 pm

¿Pero Slayer, que empresas conoces que te recuperen un disco al que se le ha hecho un wipe de tan solo 1 pasada? Porque yo no conozco ninguna.

Yo no se como, de sitio en sitio, acabe leyendo sobre el tema...

http://www.derkeiler.com/Mailing-Lists/securityfocus/security-basics/2008-10/msg00199.html...

The optinal bitwise recovery from a PRML drive that is no longer
available and was never used more than once is less than 92% per bit
(given foreknowledge of the write pattern). ePRML is as low as 49% per
bit using electron microscopy. Even at 92% per bit, the recovered data
is useless and random. This is detailed in the paper mentioned before.


http://sansforensics.wordpress.com/2009/01/15/overwriting-hard-drive-data/...

The fallacy that data can be forensically recovered using an electron microscope or related means needs to be put to rest.

http://www.forensicfocus.com/recovering-unrecoverable-data

It is often suggested that these precision instruments, spin-stand testers and magnetic force microscopes (MFMs), can be used for data recovery.

Although such exotic methods of data recovery are theoretically possible, and have even been discussed in the peer-reviewed literature, I have found no evidence of commercially viable recoveries being performed with them. Furthermore, I have seen no public demonstrations of any of these methods that show the recovery of files or even user data only images or raw encoded data.


Saludos,
There is a crack, a crack in everything That's how the light gets in. -subculture

zen7.vlan7.org
Avatar de Usuario
vlan7
<|:-D
<|:-D
 
Mensajes: 1176
Registrado: Dom Mar 05, 2006 11:16 pm
Ubicación: Mas alla del EIP

Notapor NeTTinG » Dom May 24, 2009 7:34 pm

Hola:

Es un tema que me supera totalmente, pero la verdad, siempre me ha parecido imposible que se puedan recuperar datos sobrescritos... y más todavía que sea necesario sobrescribirlos decenas de veces para que el borrado sea 100% seguro...

Como dice, vlan7, SLaYeR, la mayoría de las empresas de recuperación de datos seguramente se dedican a recuperar datos que no hayan sido sobrescritos...

Pero vuelvo a repetir que desconozco totalmente este tema... ;)

Un saludo.
| Blog NeTTinG | Proyecto Destripando iOS |
_____________________________
Todos somos muy ignorantes. Lo que ocurre es que no todos ignoramos las mismas cosas. (Albert Einstein)
Todos recaerán en la necesidad de conocer la única y presumible verdad que el gran embudo emana. (Sire Netting)
Avatar de Usuario
NeTTinG
Wadalbertita
Wadalbertita
 
Mensajes: 6270
Registrado: Mar Sep 20, 2005 5:54 pm
Ubicación: Bajo la trampilla del décimo primer piso.

Notapor Nork » Dom May 24, 2009 10:22 pm

Yo creo que la posibilidad de recuperar un archivo en un disco que lo han wipeado es directamente proporcional a la probabilidad que tiene ése disco de cometer un fallo.

Si los discos duros actuales leen y escriben a través de la polarización y el estado de las partículas de sus discos, significa que si al hacerle un wipe modifican su estado entonces bajo mi punto de vista sería imposible recuperarlo si se ha hecho bien. Pero como existe el factor de que algo suceda mal como estar en una presión que no sea la correcta, que haya una partícula de polvo o que la temperatura cause estragos en las cabezas de lectura y teniendo en cuenta que los discos actuales generalmente van a 7200rpm, tenemos que al más mínimo error que cause cualquier fenómeno puede hacer que la cabeza de escritura (para wipear) deje de escribir ¿1ms? y que por ello no se wipee la zona.

A partir de aquí vendría el proceso de recuperación que creo yo que no sería muy factible xD En el caso que el error haya sido espontaneo se podría leer todo el disco y buscar patrones en el estado de las partículas... si el suceso ha hecho que la cabecera deje de funcionar 100% se tendría que reparar y volver a leer el disco...

Bueno ésto es lo que he pensado con mi modo paranoico ON y buscando almenos una posibilidad a que se pueda leer datos sobrescritos pero igualmente los recursos necesarios para llevarlo a cabo serían bastante grandes =/

Hagamos debate :)

S4ludos!
La televisión me ha culturizado porque cada vez que la encienden en casa me voy a leer a mi cuarto.
Avatar de Usuario
Nork
<|:-)
<|:-)
 
Mensajes: 476
Registrado: Dom Feb 11, 2007 1:00 am
Ubicación: 2348,8574,7

Notapor neomathews » Lun May 25, 2009 10:20 am

En mi empresa tuvimos ese problema y nos han recuperado (imaginamos que por hardware, ya que entendemos que nos han hecho un shred, que por defecto y como indica su entrada en el man se sobreescribe 25 veces) dos discos que estaban en LVM enteritos en una empresa externa dedicada a ello.

En cuanto a si yo he sido capaz, la respuesta es no. Muchas de las utilidades o manuales sobre como hacerlo, pues, o solo buscan determinados tipos de ficheros o requieren montar la particion a recuperar, lo cual no puedo hacer tras la sobreescritura. Súmale mi plena ignorancia y obtenemos de nuevo el NO.
"No os diré no lloréis, pues no todas las lágrimas son amargas."
Avatar de Usuario
neomathews
<|:-)
<|:-)
 
Mensajes: 256
Registrado: Mar Jul 04, 2006 12:22 pm

Notapor Seifreed » Lun May 25, 2009 2:17 pm

Como bien ya han comentado varios compañeos hay empresas que se decican a recueprar esos datos se han borrados a traves de un proceso Wipe o un simple Formateo, ya sabemos todo que cuando se produce el borrado de un fichero NO desaparece, ha de ser sobreescrito varias veces para que no se pueda ver, de echo hay veces que cuando se hace una recovery las imagenes no se ven bien..pero bueno ya sabes que ficheros habían..
A lo que me vengoa referir es que a la hora de recuperar informacion se hace mas a nicel de hardware y electronica que no de soft, como ya hemos echo algunos, creo que aun con un proceso de Borrado de Wipe sería posible recuperar informacion
http://www.ecrime.pro
Avatar de Usuario
Seifreed
<|:-)
<|:-)
 
Mensajes: 707
Registrado: Mar Dic 19, 2006 5:41 pm

Notapor vlan7 » Lun May 25, 2009 4:31 pm

neomathews escribió:En mi empresa tuvimos ese problema y nos han recuperado (imaginamos que por hardware, ya que entendemos que nos han hecho un shred, que por defecto y como indica su entrada en el man se sobreescribe 25 veces) dos discos que estaban en LVM enteritos en una empresa externa dedicada a ello.


¿Con entendemos realmente quieres decir que estás completamente seguro de que te han recuperado los datos sobreescritos de 2 discos?

¿Se podria saber que empresa ha hecho ese trabajo? Porque yo repito que no conozco ninguna que recupere datos sobreescritos.

Y Seifreed, yo no hablo de un formateo, o de borrar un fichero (en unix borrar su inodo asociado, y que los datos permanezcan aun ahi), yo hablo de recuperar un disco al que se le han _sobreescrito_ todos los sectores con 0 y 1 aleatoriamente.

Con shred, a lo maximo que puedes llegar es a recuperar el espacio slack asociado, pues shred no lo sobreescribe.

Saludos y gracias por vuestras respuestas,
There is a crack, a crack in everything That's how the light gets in. -subculture

zen7.vlan7.org
Avatar de Usuario
vlan7
<|:-D
<|:-D
 
Mensajes: 1176
Registrado: Dom Mar 05, 2006 11:16 pm
Ubicación: Mas alla del EIP

Notapor vlan7 » Lun May 25, 2009 4:40 pm

Si hasta el Peter Guttman ha añadido un Epilogo en su famoso paper:

Secure Deletion of Data from Magnetic and Solid-State Memory

Peter Gutmann
Department of Computer Science
University of Auckland
pgut001@cs.auckland.ac.nz

This paper was first published in the Sixth USENIX Security Symposium Proceedings, San Jose, California, July 22-25, 1996
Published under the Creative Commons license.

http://www.cs.auckland.ac.nz/~pgut001/pubs/secure_del.html

Epilogue
In the time since this paper was published, some people have treated the 35-pass overwrite technique described in it more as a kind of voodoo incantation to banish evil spirits than the result of a technical analysis of drive encoding techniques. As a result, they advocate applying the voodoo to PRML and EPRML drives even though it will have no more effect than a simple scrubbing with random data. In fact performing the full 35-pass overwrite is pointless for any drive since it targets a blend of scenarios involving all types of (normally-used) encoding technology, which covers everything back to 30+-year-old MFM methods (if you don't understand that statement, re-read the paper). If you're using a drive which uses encoding technology X, you only need to perform the passes specific to X, and you never need to perform all 35 passes. For any modern PRML/EPRML drive, a few passes of random scrubbing is the best you can do. As the paper says, "A good scrubbing with random data will do about as well as can be expected". This was true in 1996, and is still true now.

Looking at this from the other point of view, with the ever-increasing data density on disk platters and a corresponding reduction in feature size and use of exotic techniques to record data on the medium, it's unlikely that anything can be recovered from any recent drive except perhaps a single level via basic error-cancelling techniques. In particular the drives in use at the time that this paper was originally written have mostly fallen out of use, so the methods that applied specifically to the older, lower-density technology don't apply any more. Conversely, with modern high-density drives, even if you've got 10KB of sensitive data on a drive and can't erase it with 100% certainty, the chances of an adversary being able to find the erased traces of that 10KB in 80GB of other erased traces are close to zero.
There is a crack, a crack in everything That's how the light gets in. -subculture

zen7.vlan7.org
Avatar de Usuario
vlan7
<|:-D
<|:-D
 
Mensajes: 1176
Registrado: Dom Mar 05, 2006 11:16 pm
Ubicación: Mas alla del EIP

Notapor Seifreed » Lun May 25, 2009 5:35 pm

Hola Vlan7

Primero perdona no leí bien..

En el caso de sobreescrbir cada sector con 1 y 0, pero con UNA sola pasada cero igualmente que se podrían recuperar aqui en barcelona hay un centro de recuperación de datos en el cual tu les das el disco duro, ellos te lo abren y lo colocan directamente en unas pinzas, dede ahi ya hacen todo el proceso de recuperacion de datos, creo
No se si va en esta linea lo que comentas o que
http://www.ecrime.pro
Avatar de Usuario
Seifreed
<|:-)
<|:-)
 
Mensajes: 707
Registrado: Mar Dic 19, 2006 5:41 pm

Notapor neofito » Lun May 25, 2009 9:01 pm

Seifreed escribió:En el caso de sobreescrbir cada sector con 1 y 0, pero con UNA sola pasada cero igualmente que se podrían recuperar aqui en barcelona hay un centro de recuperación de datos en el cual tu les das el disco duro, ellos te lo abren y lo colocan directamente en unas pinzas, dede ahi ya hacen todo el proceso de recuperacion de datos, creo
No se si va en esta linea lo que comentas o que


Conozco algunas empresas que son capaces de recuperar los datos de un HDD "roto" (p.e. una subida de tension o un incendio) pero no me consta ninguna que recupere los datos de un disco wiped.

Muchas gracias vlan7, un hilo muy interesante.

Saludos
La verdad nos hara libres

http://neosysforensics.blogspot.com
http://www.wadalbertia.org
@neosysforensics
-<|:-P[G]
Avatar de Usuario
neofito
Wadalbertita
Wadalbertita
 
Mensajes: 1799
Registrado: Dom Ene 30, 2005 7:16 am
Ubicación: En algun lugar

Notapor neomathews » Mar May 26, 2009 9:02 am

vlan7 escribió:
neomathews escribió:En mi empresa tuvimos ese problema y nos han recuperado (imaginamos que por hardware, ya que entendemos que nos han hecho un shred, que por defecto y como indica su entrada en el man se sobreescribe 25 veces) dos discos que estaban en LVM enteritos en una empresa externa dedicada a ello.


¿Con entendemos realmente quieres decir que estás completamente seguro de que te han recuperado los datos sobreescritos de 2 discos?

NO, jeje. El daño ya estaba hecho cuando llegamos. Lo que si puedo asegurar es que poco tiempo antes recibimos el mismo (seguimos suponiendo) ataque en un equipo que reportaba los mismos mensajes de error en la consola que el equipo de los dos discos recuperados, pero en el que aún se podían acceder only-read a algunos sectores entre ellos el .bash_history en el que se encontraba una instruccion shred -n 7 /dev/hda...De ahí la suposición.


vlan7 escribió:¿Se podria saber que empresa ha hecho ese trabajo? Porque yo repito que no conozco ninguna que recupere datos sobreescritos.


Aigon

vlan7 escribió:Saludos y gracias por vuestras respuestas,


A tí por hacernos aprender de cosillas útiles e interesantes :p :p :p
"No os diré no lloréis, pues no todas las lágrimas son amargas."
Avatar de Usuario
neomathews
<|:-)
<|:-)
 
Mensajes: 256
Registrado: Mar Jul 04, 2006 12:22 pm

Notapor Newhack » Jue May 28, 2009 5:42 pm

Seifreed escribió: En el caso de sobreescrbir cada sector con 1 y 0, pero con UNA sola pasada cero igualmente que se podrían recuperar aqui en barcelona hay un centro de recuperación de datos en el cual tu les das el disco duro, ellos te lo abren y lo colocan directamente en unas pinzas, dede ahi ya hacen todo el proceso de recuperacion de datos, creo
No se si va en esta linea lo que comentas o que
No lo he visto nunca, y por la descripción es dificil imaginarse que hacen exáctamente, pero pensando a que se le
pueden poner pinzas "bajo el capó" del disco duro, lo mas posible sea que cojan señales directamente de
las "etapas previas" de las cabezas, ya que bajo la tapa también -en los que he observado- suele haber su
poquito de electronica para la lectura antes de enviarla fuera, a la placa que vemos.

Destaquemos también que una cosa es que lo sobreescriban todo y otra que el disco, de repente, ha dejado
de leer y de servirte los datos guardados, -que siguen estando ahi-. En esos casos es cuando si puedes
sustituir el interface afectado, o leer antes de llegar a el solo tienes que ir chupando lo que llega.


Dr. Craig escribió:This study has demonstrated that correctly wiped data cannot reasonably be retrieved even if it is of a small size or found only over small parts of the hard drive. Not even with the use of a MFM or other known methods.
Aunque por otro lado tambien ...
Dr. Craig escribió:Dr. Craig : On top of this, I have to note (thanks to Prof. Cohen) that many larger modern drives are not overwritten in the course of use in many sectors due to size.
O sea que siempre que la escritura se haya realizado correctamente, supongo que se referirá a lo que
decía Nork de que no hayan habido condiciones adversas que reduzcan la eficiencia de la (sobre)escritura,
siempre que haya salido bien será didficilísimo recuperar nada.
Pero por otro lado, los modernos discos pueden dejar sectores sin borrar, debido a las vastas extensiones
del disco. Y un sector sin sobreescribir es un sector que se puede leer tranquilamente.
Luego hay datos que si se podrían recuperar en un disco actual. ¿no?.



De todas formas algo tiene que haber, - o haber habido -, desde el momento que los discos duros de los
cazas americanos llevan su propio sistema de autodestrucción - con explosivos!! - adicional al método(s)
de autodestrución que pueda tener el avión.

O tal vez sea un método o protocolo que viene de mas atrás ya que el mismo dr. Craig admite que estos
métodos ahora poco efectivos si servían hace solo unos años.
Dr. Craig escribió: The forensic recovery of data using electron microscopy is infeasible. This was true both on old drives and has become more difficult over time.

Yo mismo recuerdo haber leido una vez que en tiempos de aquellos enormes discos duros de los primeros pc,
había habido tio bruto que los había abierto, los había "operado", y luego aún le funcionaron. :-O
Desde que empece a interesarme por esto, siempre he oido que levantar la tapa, o permitir la entrada directa
de aire al disco es cargarselo directamente, no importa como lo hagas.
Ahora parece que hasta los laboratorios tienen problemas.



Un punto que habría aclarar en el debate es si estamos hablando de procedimientos y costes racionalmente viables
o si se permiten las recuperaciones "al precio que sea", pues no es lo mismo
los procedimientos y conocimientos de una empresa privada, por buena que sea, que los recursos que emplea
un organismo de la inteligencia secreta de un pais para descubrir secretos de estado de otro.

-"pero aplicar eso puede costar 10 millones de dólares. O mas"
-"Pues hágalo. Quiero el contenido de ese disco en mi despacho".

De momento considero que estamos hablando de maneras racionalmente viables. ;-)




Vlan7 escribió: Los discos actuales, al mas bajo nivel, se basan en procesos analogicos. Los discos duros actuales no son codificados digitalmente como los que usabamos en 1996.
No se si está bien entendido y mal expresado, o al revés.
En todo caso y usando el artículo del dr. Craig que tu linkaste, (Magnífico artículo por cierto cuya
lectura recomiendo) intentaré aclarar el asunto. Al menos, tal como lo entiendo yo que es.

Pero para ello tendrás que darme un tiempo, que tengo que pintar algún gráfico, aunque sea de tipo paleolítico.
Avatar de Usuario
Newhack
<|:-D
<|:-D
 
Mensajes: 1871
Registrado: Jue Dic 20, 2007 7:36 pm

Notapor vlan7 » Jue May 28, 2009 9:38 pm

Newhack escribió:
Vlan7 escribió: Los discos actuales, al mas bajo nivel, se basan en procesos analogicos. Los discos duros actuales no son codificados digitalmente como los que usabamos en 1996.
No se si está bien entendido y mal expresado, o al revés.
En todo caso y usando el artículo del dr. Craig que tu linkaste, (Magnífico artículo por cierto cuya
lectura recomiendo) intentaré aclarar el asunto. Al menos, tal como lo entiendo yo que es.

Pero para ello tendrás que darme un tiempo, que tengo que pintar algún gráfico, aunque sea de tipo paleolítico.


Bueno, intentare explicar un poco mejor lo que dije, y si me tienes que corregir te lo agradezco Newhack, que a tan bajo nivel la electronica y la fisica se me escapan.

Pero vamos, lo que quiero decir es que con MFM y RLL en un disco lo que seria la "onda" va asi: _|¨|_ para 010. MFM es mas viejo, asi que ocupara mas la "onda" que en RLL. Perdon por decir onda a como un HD lee.

Y en PRML, que son los actuales (bueno, luego esta ePRML, que imagino que la e sera de enhanced), yo he visto por ahi graficos que son una onda, ya sin comillas, que luego se codifica a digital, segun rangos de valores en el eje Y de esa onda. Eso ya se mete ahi procesado de señal, eso los telecos lo controlaban...

Bueno, saludos, y si tienes que corregirme gracias tio.
There is a crack, a crack in everything That's how the light gets in. -subculture

zen7.vlan7.org
Avatar de Usuario
vlan7
<|:-D
<|:-D
 
Mensajes: 1176
Registrado: Dom Mar 05, 2006 11:16 pm
Ubicación: Mas alla del EIP

Notapor neomathews » Vie May 29, 2009 9:42 am

Hola,

Solo apuntar que la empresa de la que hablé antes NO pudo recuperar nada de dos discos individuales de los supuestamente sobreescritos, pero sí de otros dos que estaban en LVM. Desconozco por qué.

Un saludo.
"No os diré no lloréis, pues no todas las lágrimas son amargas."
Avatar de Usuario
neomathews
<|:-)
<|:-)
 
Mensajes: 256
Registrado: Mar Jul 04, 2006 12:22 pm

Siguiente

Volver a Análisis Forense

¿Quién está conectado?

Usuarios navegando por este Foro: No hay usuarios registrados visitando el Foro y 1 invitado