[Aporte] Destrucción de datos -> MÈTODOS

Iniciado por Mortal_Poison, Diciembre 08, 2018, 11:52:43 PM

Tema anterior - Siguiente tema

0 Miembros y 2 Visitantes están viendo este tema.

Diciembre 08, 2018, 11:52:43 PM Ultima modificación: Diciembre 10, 2018, 12:49:26 AM por Gabriela

El día de hoy, quiero aportar algo de lo que conozco en lo que respecta a la destrucción de datos. Como Pentesters, hay que saber de todo un poco, a pesar de especializarte en los temas que más te apasionan.

En éste caso enfatizaré más en los HDD.

La restauración y/o la destrucción de datos probablemente son dos caras de la misma moneda. ¿Deseas saber cómo y cuándo recuperar información? entonces deberás comprender cómo puede destruirse irrevocablemente. Se suele vender la idea de que el borrado de archivos es sencillo, sin embargo, es muchísimo más complejo de lo que parece.

Dependiendo del grado o del nivel de cuán importantes son los archivos  que desees borrar, debes aplicar distintas técnicas. Te planteo tres ejemplos que SE DIFERENCIAN ENTRE SÍ:

  • Si deseas borrar unas fotos donde sales desnudo.
  • Si eres un integrante del IS*S.
  • Si eres uno de los administradores de DarkMarkets (P.E SkillRoad).

Como podrás notar, los ejemplos anteriores se asemejan en que se necesitan borrar los archivos pero distan en su contexto. No es lo mismo que desees borrar imágenes de tu galería donde sales desnudo que borrar una galería entera de personas decapitadas. De este modo, si un integrante del IS*S o un administrador de una DarkMarket elimina los archivos con Shred, Wipe, AxCrypt, Ccleaner y/o cualquier otro método convencional, el archivo casi siempre puede ser recuperado en su totalidad.

Para los que no sepan, en un laboratorio se pueden recuperar hasta +70 capas de borrado. Si tengo un archivo denominado: Underc0de.txt y luego creé otro y lo borré por 70 veces, en un laboratorio no tengas duda que será recuperado. ¿Cómo lo hacen? uno de los instrumentos que son usados en éstos laboratorios son los osciloscopios(básicamente es un dispositivo de visualización gráfica que muestra señales eléctricas variables en el tiempo). El proceso es medir la huella magnética de cada bit en el disco y es ahí donde se sabe si en ese bit hubo grabado un 0 o un 1, donde 1 significa que sí hubo grabado algo y 0 no. Un software que cumple con lo anterior, analiza e interpreta las huellas magnéticas y genera los 0's y 1's y lo hace por el número de veces que mencioné anteriormente.


Una recomendación que puedo hacer, es no poner en el nombre de los ficheros nombres tan certeros que indiquen de qué trata el fichero. El motivo de esto es que la mayoría de veces, se el nombre de un archivo, más no su contenido. Por ejemplo, si yo elimino un archivo denominado Passwords-All-Users-Underc0de.txt pues con los software de recuperación, ya sabría que dicho archivo es algo importante y es un .txt, los cuales son dos datos importantes para su recuperación. De hecho, hasta los metadatos suelen quedar en el disco.


UIno de los problemas principales que existen actualmente, es que los fabricantes de los discos duros(HDD) solventan los problemas de una manera "muy peculiar". Resulta, que si un disco duro está grabando un archivo y va en 98% por ejemplo y por "X" o "Y" motivo ocurre un error, algunos discos empiezan a grabar el mismo archivo en otro sector del disco y ese progreso del 98% del archivo, se queda ahí. Otro tipo de discos, lo que hacen es copian el archivo grabado a otro sector del disco para que siga con su progreso normal.  Existen herramientas que aprovechan este tipo de cosas y recuperan los archivos "incompletos".

De esta forma, muchos piensan en recurrir al método Gutmann que lo que hace es de más de 35 pasadas sobreescribe el archivo mediante patrones de ceros y unos para confundir a las herramientas usadas en los laboratorios de recuperación de información. A pesar de que es uno de los más utilizados, puedes recurrir por uno de los que se dice que usa el Departamento de Defensa de EE.UU: U.S. DoD 5220.22-M (ECE). Pueden encontrar un poco más de información No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Entonces si realmente es algo que debes borrar, entonces lo que yo haría es encriptar el/los ficheros. Esto por el simple hecho de que es más complicado desencriptar que recuperar los ficheros/datos borrados. Por último, si deseas seguir un estilo de recomendaciones, lo que yo te compartir es:

- Cambia el nombre y extension del archivo -> Encripta el archivo con una contraseña que confirmes que es compleja de descifrar -> Aplica el método de Gutmann al/los ficheros -> Realiza las limpiezas y/o desfragmentaciones del disco con software como Ccleaner, Advanced SystemCare y los demás que abundan en internet.

Aunque son unas pequeñas recomendaciones, entiendo que habrán unas recomendaciones adicionales que le haga un poco más difícil el volcado de archivos a los forenses, pero insisto, depende de lo importante que sea el fichero.




Probablemente, no me hayan visto últimamente, pero fue porque estuve en una experiencia de desarrollador en una empresa y aunque fue una experiencia muy bonita, ya retomaré nuevamente todo.

Espero que les haya servido. Cualquier aporte es bienvenido.

Un saludo.


Become the change you seek in the world. -Gandhi.


Buena info bro te felicito, una consulta que programa recomendarías para recuperar datos de un disco dañado?



Enviado desde mi iPhone utilizando Tapatalk

Antes que nada, gracias No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Con respecto a tu pregunta, no es mi fuerte ésta rama, pero sí te podría recomendar que uses programas enfocados a ello: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta, No tienes permitido ver los links. Registrarse o Entrar a mi cuenta para ver si sí funciona. No sé realmente si éstos funcionen y/o apliquen cuando un HDD está dañado, pero he leído a varias personas que sí(y debería, pues sino imagínate a un forense diciendo que no se pudo en un escenario de un miembro del IS*S).

Un saludo.
Become the change you seek in the world. -Gandhi.