Eliminando datos



Hoy en día, el ciclo de vida de nuestro equipamiento informático es cada vez más corto, pero eso no quiere decir que los equipos que desechamos vayan directamente al vertedero.
De hecho, hay muchas empresas u organismos que se encargan de gestionar ese tipo de material de forma que pueda ser convenientemente reutilizado: por ejemplo, Fundación Bip-Bip, Ordenadores Sin Fronteras (OSF) o Informática Abierta , entre otras.

Así pues, en caso de que nos planteemos ceder nuestros equipos informáticos obsoletos, ¿qué pasaría con la información sensible que pudo estar almacenada en ellos?

En principio, la eliminación o borrado de un archivo o soporte magnético completo mediante el propio sistema operativo simplemente eliminaría las referencias a dicho contenido pero no borraría la información propiamente dicha grabada en la superficie, que podría ser recuperada sin dificultad siempre que no hubiera sido parcial o totalmente sobrescrita por un nuevo archivo.

Un borrado más serio podría, además, sobrescribir el espacio físico que ocupaba la información. El problema es que aun en este caso, con hardware especial, usando una técnica denominada Densitometría Magnética de Superficie (SMD, siglas en inglés) y aprovechando las microscópicas irregularidades de la escritura de los datos, podría ser teóricamente factible recuperar la información.

Para evitarlo, podríamos sobrescribir la información varias veces con diferentes patrones binarios de "unos" y "ceros" o aleatorios. Así, la calidad del borrado variaría en función de la cantidad de repeticiones de este proceso. Por ejemplo, DBAN nos ofrece diversas posibilidades, algunas de las cuales son las requeridas por algunas agencias gubernamentales: múltiples pasadas de sobrescritura de un carácter, su complementario y otro al azar, o de cadenas pseudo-aleatorias, o incluso de patrones relacionados con la geometría física del disco duro.

Para entornos Windows, SDelete de Sysinternals también resulta una opción interesante. Y si tuviéramos que aplicar este tipo de proceso a un gran número de equipos, también podríamos adquirir una máquina como la WipeMASSter de ICS que nos permitiría limpiar hasta nueve discos duros simultáneamente.

Sin embargo, ¿qué ocurre si tratáramos de aproximarnos de una forma más realista a esta cuestión? Pues resulta que, según algunos especialistas como los de Seagate Recovery Services, la recuperación de información utilizable tras una simple sobrescritura sería casi imposible y muy lenta, con velocidades posibles de 1 bit por segundo (unos 25 años para 100Mb de información), proceso que sería mucho más complejo y lento en los cada vez más magnéticamente densos discos duros actuales y que sería exponencialmente más difícil si nuestros datos hubieran estado encriptados de algún modo.

Pese a todo ello, algunas agencias gubernamentales como el Defense Security Service del Departamento de Defensa estadounidense solo aceptan métodos más expeditivos como la desmagnetización (degaussing) o la destrucción física (incineración, triturado,...) de los soportes magnéticos (como se indica en su Clearing and Sanitization Matrix de noviembre de 2007), haciendo imposible su análisis o posterior reutilización.

Fuente: RedSegura

Comentarios

Publicar un comentario

siempre es bueno, leer tus comentarios

Entradas populares de este blog

El Modelado de Amenazas de Seguridad

Imagen
El Modelado de Amenazas de Seguridad es un proceso para la evaluación y documentación de los riesgos de seguridad de un sistema. El Modelado permite comprender el perfil de amenazas a las que está expuesto un sistema, mediante una evaluación a través de los ojos de sus potenciales enemigos. Con técnicas tales como la identificación de puntos de entrada, fronteras de privilegios y árboles de amenazas, se pueden identificar estrategias para mitigar las posibles amenazas del sistema. El Modelado de Amenazas también permitirá la justificación de la implementación de las características de seguridad dentro de su sistema, o las prácticas de seguridad para utilizarlo, para la protección de los activos de la empresa. En el mundo de componentes distribuidos el compartir datos sensibles a través de las redes a significado un aumento de la exposición a los atacantes hambrientos por sus datos. Necesita crear un modelo de seguridad firme para beneficiarse de la visión de .NET de una informática tot
Leer más

¿Como atacar Kerberos?

Introducción En este artículo de Kerberos, se mostraran algunos ataques contra el protocolo. En caso de necesitar refrescar los conceptos en que se basan estos ataques, se recomienda leer primero la primera parte sobre teoría de Kerberos . El post se divide en una sección por ataque: Kerberos brute-force ASREPRoast Kerberoasting Pass the key Pass the ticket Silver ticket Golden ticket Los ataques están ordenados por el nivel de privilegios necesarios para realizarlos, de manera ascendiente. De este modo, para llevar a cabo los primeros ataques solo hace falta tener conectividad con el DC (Domain Controller), que en el caso de AD (Active Directory) es también el KDC (Key Distribution Center). Sin embargo, el último de los ataques requiere que se posean privilegios de Domain Administrator o similares. Como añadido, cada ataque se mostrará desde la perspectiva de 2 escenarios comunes: Máquina Linux : Desde un ordenador externo al dominio, controlado por el audito
Leer más

Trámites a Distancia: Serie de vulnerabilidades permiten el acceso a datos personales de terceros

Imagen
INTRODUCCIÓN La información provista este documento tiene com único fin lograr evitar que nuestra información personal pueda ser accedida por usuarios malintencionados. Esta falla ha sido reportada anteriormente, sin obtener respuesta o solución alguna. El desarrollo del presente documento se ha realizado por Martín Aberastegue ( @Xyborg ) y reportado de forma responsable a la Dirección Nacional de Tramitación e Identificación a Distancia | Subsecretaría de Innovación Administrativa | Secretaría de Innovación Pública quienes procedieron a la solución del problema. INTRODUCCIÓN          0 RESUMEN          1 OBJETIVOS          1 DESARROLLO          2 ¿Es posible realizar este ataque de forma anónima?          3 ¿Dónde obtengo un CUIL válido?          4 Origen del problema          5 PRUEBAS DE CONCEPTO          7 Extracción masiva de datos personales:          7 Consulta de datos personales por CUIT:          8 Usos potenciales de esta información    
Leer más