En el artículo sobre
Computación Forense vimos que en el curso de investigaciones
judiciales es necesario recuperar datos que han sido borrados de un
equipo. También vimos algunas medidas para borrar nuestros datos
efectivamente, sin dejar huellas dificultando la tarea para quien
intente recuperar esa información. Ahora veremos algunas técnicas y
herramientas específicas para lograr la recuperación de datos
borrados.
Una técnica simple
para facilitar de antemano la recuperación de datos borrados consiste
en aumentar el tamaño de la papelera de reciclaje (que es por defecto
un 10% del espacio libre del medio). Tanto el McAfee como el Norton
Utilities amplían esta capacidad y son capaces de recobrar más
información que con la configuración estándar. También estas
utilidades permiten recobrar archivos borrados irrecuperables desde
Windows como por ejemplo los que borramos mientras estamos en el DOS.
En McAffe y en Norton esta opción se llama Unerase y revisa el disco
en busca de los archivos recientemente borrados, los que se pueden
recuperar siempre y cuando no hayan sido sobreescritos todavía. Como
los archivos borrados quedan disponibles para ser sobreescritos,
mientras más recientes mejor será la posibilidad de recuperación,
en todo caso aún cuando hayan sido sobreescritos muchas veces se
pueden recuperar parcialmente.
Otra situación ocurre
cuando el disco duro completo es formateado, en este caso también es
posible recuperarlo con aplicaciones tales como Unformat de Norton
Utilities y McAffe Diskminder. También en este caso es fundamental no
hacer ningún tipo de escritura en el disco entre el momento en que
fue formateado y el que se usa la utilidad. esto no siempre es posible
si tenemos conectado el disco por ejemplo en un sistema operativo que
lo escribe como parte del proceso de arranque (Windows 9x hace eso al
escribir bootlog.txt). Por eso en estos casos conviene desconectar el
disco, hacer arrancar al sistema desde el DOS e intentar el
desformateo. Claro que si se ha usado previamente alguna utilidad que
crea "imágenes" del disco como precaución, la tarea de
desformatear será mucho más simple y completa (se pdran recuperar
las configuraciones, el sistema operativo y las aplicaciones además
de los datos)
Después de una
instrucción format c:/s por ejemplo, si no se ha creado anteriormente
un archivo de imágen el McAffe Diskminder no puede recuperar nada, en
cambio el Norton Utilities puede escanear el disco y recuperará por
lo menos todos los archivos de datos.
En caso de un daño
severo del disco o un ataque de virus especialmente malicioso existen
otros programas comerciales para la recuperación "difícil"
de datos son el EasyRecovery de Ontrack, el Lost&Found de
PowerQuest o el Tiramitsu, que puede obtenerse gratis, en versión
shareware desde Internet
¿Pero que pasa cuando
se sobreescriben los datos?
Supongamos que se
tiene un archivo llamado informe.doc con cierta información
importante y luego lo sobreescribimos (es decir lo grabamos encima con
el mismo nombre) con un archivo vacío. en este caso ninguna de las
opciones anteriores nos servirán y tendremos que recurrir a técnicas
mucho más sofisticadas y costosas.
Pero antes de meternos
las manos al bolsillo o enviar nuestra máquina a los laboratorios del
FBI podemos revisar los archivos y directorios temporales en busca de
una copia antigua del archivo, pues algunos programas van dejando un
rastro de las antiguas versiones que no son inmediatamente reescritas.
Aún cuando no
existiera ninguna copia y el archivo estuviese realmente sobreescrito
existiría todavía posibilidad de recuprrarlo y la explicación de
esta técnica es la siguiente:
Cada vez que se
sobreescribe un archivo el cabezal de grabación no se coloca
exactamente encima de la posición antigua, por tratarse de un
artefacto mecánico siempre existe una imprecisión en la ubicación
del cabezal y así es como van quedando "huellas" de las
escrituras anteriores.
Estas huellas pueden
ser leídas por medio de un Microscopio de Fuerza Magnética (MFM) o
bien un Microscopio de Escaneo de Tunel (STM) este último es un
desarrollo más reciente pero requiere de un proceso complicado de
preparación del disco a examinar (que debe ser desarmado), con el MFM
el proceso de examen es mas sencillo, no se necesita destruir el disco
pero permite menor nivel de "profundidad" en las lecturas
(es decir detectar sobreescrituras más antiguas)
Usando un PC como
controlador es posible armar un STM razonablemente bueno por alrededor
de US$ 1.400.-
Para ilustrar el
método usado para la recuperación pensemos que si un disco que tiene
grabado un "1" y es sobreescrito por otro "!", el
valor final que queda sería algo así como 0.95, en cambio si había
grabado un "0" y es sobreescrito por un "1" el
valor final quedaría en 1.05 (recordemos que se recupera información
binaria, solo ceros y unos). La circuitería del disco duro está
hecha para ignorar estas variaciones, pero un MEM o un STM son capaces
de detectarlas e inferir los datos que estabas escritos debajo de los
nuevos.
Aunque el uso
"oficial" del MEM y el STM es para probar la calidad de los
servomecanismos que controlan la posición de los cabezales, es
posible recuperar datos borrados y de discos severamente dañados con
estas técnicas, después de meses y aún años que ha ocurrido el
daño. Las huellas magnéticas son sumamente persistentes.
Y aquí surge el
problema inverso, cuando por razones de seguridad necesitamos borrar
completamente la información de un disco duro. Pensemos por ejemplo
que aunque tengamos el método de encriptación más perfecto, será
inútil si no somos capaces de borrar el texto plano original, sin que
queden huellas de el.
El problema del
borrado seguro, "wipe" o "media sanitized" es de
muy difícil solución técnica ya que mientras exista la
imperfección inherente al posicionamiento inexacto del cabezal de
grabación, siempre quedarán rastros de lo que se ha sobreescrito. Se
trata en este caso de una competencia entre la precisión del cabezal
de escritura y la sensibilidad del microscopio para detectar las
imprecisiones.
La técnica de borrado
seguro consiste en sobreescribir muchas veces el dato que se desea
borrar, usando una alta frecuencia: mientras menos tiempo pase entre
una y otra sobreescritura mayor será el ocultamiento de las trazas
magnéticas. Esto es lo que hace por ejemplo el PGP con su función
"wipe"
¡La memoria RAM
tampoco se borra totalmente!
Inclusive la memoria
RAM, esa que supuestamente se borra cada vez que apagamos el equipo,
muestra el fenómeno de persistencia magnética que permite, con las
herramientas adecuadas, leer su contenido. En este sentido la memoria
RAM estática (SRAM) presenta mayores niveles de persistencia que la
dinámica (DRAM) aunque ambas pueden ser leídas después de apagar el
equipo
Como la mayoría de
los problemas de seguridad, el de la recuperación de datos y borrado
seguro es un espejo de dos caras, algunas veces necesitaremos leer
datos borrados y otras evitar que lean los datos que borramos, en este
artículo presentamos algunos aspectos básicos que deben conocerse
para cualquiera de las dos situaciones. Una descripción más completa
sobre el tema de borrado seguro y sobreescritura, puede encontrarse
(en inglés) en http://www.cs.auckland.ac.nz/~pgut001/secure_del.html