Borrado Seguro ?

Informática Forense

Raúl Menjura MachadoEnCe –ACE- CEH-CHFI

Abril de 2012Abril de 2012

AGENDAGeneralidades

Estándares y Clasificación stá da es y C as cac ó

Aplicación y Medidas

Vida Real

Software ForenseSoftware Forense

Conclusiones

GENERALIDADES

Borrado Seguro

Generalidades

Borrado SeguroEntre muchas definiciones contemplamos estas:

O Es la acción que se realiza sobrescribiendo toda lainformación contenida en un medio de

l i t r l á d l r d t ialmacenamiento, remplazándola por datos sinsignificado alguno, haciéndola irrecuperable.

O Es sobrescribir todo el espacio del dispositivo conO Es sobrescribir todo el espacio del dispositivo conceros y unos, o con patrones aleatorios, realizandoesto en varias ocasiones de tal manera que luegosea difícil.

Historia

O 1976 D t t d D f d l EE UUO 1976 Departamento de Defensa de los EE.UU.basado en el NISPOM (National Industrial SecurityProgram Operating Manual) da a conocer el métodode sobre escritura de un valor fijo determinado unade sobre escritura de un valor fijo determinado unavez escribiendo 3 veces.

O 1996 Peter G tmann Colin Pl mb desarrollan nO 1996 Peter Gutmann y Colin Plumb desarrollan unalgoritmo repitiéndolo 35 veces aleatoriamente

Historia

O 1998 N th Atl ti T t O g i ti NATOO 1998 North Atlantic Treaty Organization - NATOstandard Estándar de borrado de la OTAN.Sobrescribe el valor siete veces. Las primeras seispasadas son de sobre escritura con valores fijospasadas son de sobre escritura con valores fijosalternativos entre cada pasada

O 2003 a la actualidad aparecen en el mercadoO 2003 a la actualidad aparecen en el mercadomultitud de aplicaciones que implementan la técnicade borrado seguro de datos.

ESTANDARES Y CLASIFICACION

Estándares y Clasificación

American DoD 5220-22.M Standard Wipe Norma a nivelgobierno en Estados UnidosConsiste en la sobre escritura del soporte con un valor fijoConsiste en la sobre escritura del soporte con un valor fijodeterminado una vez (por ejemplo 0x00), seguidamente seescribe su valor complementario (0xff) una vez, y finalmentese repasa con valores aleatorios una vez.El disco se verifica para comprobar la escritura correcta de losvalores. Generalmente se lo utiliza con tres sobre escriturascon tres verificaciones.Cl ifi ió g d 10 Ni l d g id d M diClasificación grado 10, Nivel de seguridad: Medio.

http://www.dss.mil/isec/nispom.htm

Estándares y Clasificación

Canadian RCMP TSSIT OPS-II Standard Wipe

Este estándar realiza siete sobre escrituras con 7Este estándar realiza siete sobre escrituras con 7verificaciones implementado con “Royal Canadian MountedPolice” y TSSIT con “Technical Security Standard forInformation Technology”, y otras entidades de gobierno

Clasificación grado 12, Nivel de seguridad: Medio

www.rcmp-grc.gc.ca/tsb/pubs/it_sec/g2-003_e.pdf

Pseudo random Data

Estándares y Clasificación

Pseudo random Data Emplea el algoritmo ISAAC (Indirection, Shift, Accumulate, Addand Count) generador pseudoaleatorio de números (PRNG) yun cifrador de flujo de Bob Jenkins, que da el nombre alj , qgenerador , este estándar se caracteriza porque permite alusuario seleccionar el numero de pasadas para sobreescritura con un máximo de 65535.

Debido a que los datos aleatorios son altamenteincomprimibles, es uno de los métodos que debe ser usadoen unidades comprimidas.e u dades co p dasClasificación grado 11, Nivel de seguridad: Medio

http://burtleburtle.net/bob/rand/isaacafa.html

Estándares y Clasificación

North Atlantic Treaty Organization - NATO standardEstándar de borrado de la OTAN (North Atlantic TreatyOrganization) Sobrescribe el soporte siete veces LasOrganization). Sobrescribe el soporte siete veces. Lasprimeras seis pasadas son de sobre escritura con valores fijosalternativos entre cada pasada (0x00) y (0xff). La séptimapasada sobre escribe con un valor aleatorio.

Clasificación grado 12, Nivel de seguridad: Alto.

Método Gutmann

Estándares y Clasificación

Método GutmannUsa el algoritmo ISAAC para para pasadas adicionales condatos aleatorios antes y después de escribir las propias 27 delmétodo Gutmann, es decir la sobre escritura del soporte se, prealiza grabando valores aleatorios cuatro veces (4 patrones)sobre cada sector. Seguidamente se sobrescribe todo elsoporte con valores pseudo aleatorios sobre cada sectordurante veintisiete pasadas (patrones 5 31) Para terminar sedurante veintisiete pasadas (patrones 5-31). Para terminar, seescriben valores aleatorios durante cuatro pasadas sobrecada sector (4 patrones). En total, se realizan treinta y cincopasadas de sobre escritura (Total 35 patrones).Clasificación grado 13, Nivel de Seguridad: Alto

Una sesión de borrado con el método Gutmann comienza con laescritura de 4 patrones aleatorios, seguidos por los patrones del5 al 31 (específicos para cada codificación de disco) ejecutados

l t i últi 4 t t biéal azar, para terminar con unos últimos 4 patrones tambiénaleatorios. En la siguiente tabla se puede observaresquemáticamente el orden que sigue el método Gutmann y lospatrones que escribe en el disco.p q

NOTA : En la actualidad los discos duros ya no utilizan los métodos decodificación (MFM frecuencia modulación) para los cuales fue diseñado elMétodo de GutmannMétodo de Gutmann.Peter Gutmann en su ensayo original nos informa que para estos discos(PRML/EPRML) solamente es necesario escribir un par de veces datosaleatorios sobre los originales para evitar la recuperación de la informaciónoriginal.

www.cs.auckland.ac.nz/~pgut001/pubs/secure_del.htmlwww.usenix.org/publications/library/proceedings/sec96/full_papers/gutmann

A ti ió b áti t l d ig lA continuación se observa esquemáticamente el orden que sigue elmétodo Gutmann y los patrones que escribe en el disco.

FICCION ?

Ficción o Realidad

Agencias de inteligencia de diferentes gobiernos (reino Unido,China, Korea) tienen herramientas muy sofisticadas, como:Microscopios de fuerza magnéticaMicroscopios atómicosAnálisis de imagen, pueden detectar los valores anteriores deAnálisis de imagen, pueden detectar los valores anteriores debits en el área borrada; incluso una vez utilizado su propiométodo.

A l d di i t d id d dAunque corre el rumor de procedimientos de seguridad deestas mismas Agencias donde considera un disco sobrescritode manera segura como material aun sensible.

DISPOSICION FINAL

Mejor Alternativa de Borrado Seguro

Medidas para Disposición Final

Limpieza Limpieza Es remover toda la información sensible de las unidades de almacenamiento asegurándose que esta no pueda ser reconstruida por utilidades de recuperación básicas y tal vez solo con técnicas de laboratorio especialesEs el popular formateo

Purga o SanitaciónEs remover toda la información sensible de las unidades de almacenamiento Es remover toda la información sensible de las unidades de almacenamiento asegurándose que esta no pueda ser reconstruida por ninguna técnica de informática conocida.Se debería hacer al cambiar el equipo a otra área o cambio de dueño

DestrucciónLas unidades de almacenamiento son físicamente destruida. Dependiendo de la sensibilidad de la información contenida.de la sensibilidad de la información contenida.Es considerada la mejor técnica y el mas seguro método disponible

otras Medidas para Disposición Final

O DegaussingConocido como Degauss produce un campo electromagnético muypotente que destruye toda la información contenida en un mediopotente, que destruye toda la información contenida en un mediomagnético. Si bien es efectivo, solo funciona para medios magnéticos, ylos deja completamente inutilizables, es de costo elevado.

O EncryptionÚltimamente se ha masificado su uso a nivel corporativo, encripta latotalidad de la unidad, particiones, carpetas y archivos por archivo, nose considera técnica de borrado pero en la medida que no se posean lasllaves de encripcion para acceder al medio la información es inaccesibley por ende aseguradaSoftware de Informática Forense puede recuperar data mediante unSoftware de Informática Forense puede recuperar data mediante unvolcado de memoria denominada volátil o en RAM

REALIDAD !

ESCENARIO 1

Realidad

ESCENARIO 1

Realizo una investigación entre los años 2008 a 2010.

Dio a la tarea de adquirir discos duros, memorias USB, tarjetas SD,algunos teléfonos celulares de segunda mano o ligeramente usados entiendas online, ventas de garaje, y remates de entidades publicas y

i dprivadas.

Revelo lo siguiente:• De los 249 discos duros que adquirieron más de un 80% estabanq q

operativos funcionales.• Total de 18 celulares denominados Smartphone 15 contenían

información (fotografías, chats, directorios telefónicos, email)

Realidad

Continuación….

• Recuperaron información de más del 87% de los discos duros.Má d 75% i f ió i d fid i l• Más de un 75% esta información era privada o confidencial

• (datos de nomina, historias clínicas, números de cuentas claves deacceso a portales de internet, a correo electrónico, y muchísimasimágenes XXX).g )

• Sólo un 3% de los discos duros, habían pasado por un proceso deborrado seguro de datos.

• Y algunos discos duros estaban formateados.Solo 1 disco presentaba año físico• Solo 1 disco presentaba año físico

ESCENARIO 2

Realidad

ESCENARIO 2

Año 2009 Se toman muestra aleatoria de doce equipos con surespectivo disco duro, donados por empresas privadas y personasparticulares, a una organización xx

• 02 discos duros estaba formateado• 10 funcionales con SO• 02 Aplicaron software comercial Ccleaner

08 li i l i f ió• 08 eliminaron la información(se recupero de la papelera de reciclaje)

• Password recuperados(txt denominado claves contenía 10 user/pass a diferentes sitios)( /p )

SOFTWARE FORENSE

Donde Buscar ?

Donde buscar:

Slack SpaceE i did d di i d b t t l fi l d l Espacio perdido o desperdiciado, sobrante entre el final del archivo y el cluster que se considera usado, por lo que no es libre para ser utilizado.

Unalocated SpaceEspacio no asignado, espacio que usaba un archivo y fue eliminado, cortado o copiado a otro medio

Free SpaceEspacio disponible en disco

Opcional Memory Dump

Con que Buscar

Recuperar carpetas: reconstruye automáticamente la estructura de volúmenes con formato NTFS y FATde volúmenes con formato NTFS y FAThttp://www.youtube.com/watch?v=TmDkktcm-Ls

Que encontramos ?

Software Forense

Software Forense

The Autopsy Forensic Browser is a graphical interface to thecommand line digital investigation analysis tools in The Sleuth Kit.Together, they can analyze Windows and UNIX disks and file systems(NTFS, FAT, UFS1/2, Ext2/3).(NTFS, FAT, UFS1/2, Ext2/3).

CONCLUSIONES

O Funciona el borrado seguro en la medida de lasnecesidades del usuario.

O Funciona si va acompañada de un política clara dedisposición final de medios

O Ninguna herramienta de borrado seguro lo garantizaen un 100%.

CONTACTO

Raúl Menjura Machado

Mail: rmenjura@nemesis com coMail: rmenjura@nemesis.com.coPBX: +57 (1) 6210913Fax: +57 (1) 7550439Mobile +57 313 4235279Mobile:+57 313-4235279

Skype: rmenjura

O A Guide to Understanding Data Remanence in Automated Information Systems. National Computer Security Center. September 1991. Retrieved 2007-12-10. (Rainbow SeriesSepte be 99 et e ed 00 0 ( a bo Se es"Forrest Green Book")

O Tutorial on Disk Drive Data Sanitization Gordon Hughes, UCSD Center for Magnetic Recording Research, Tom Coughlin, Coughlin Associates

O Why Information Must Be Destroyed - Overview of paper-based destruction Ben Rothke, CISSP, British TelecomWh I f ti M t B D t d P t 2 O i f O Why Information Must Be Destroyed Part 2 - Overview of digital-based destruction Ben Rothke, CISSP, British Telecom