help_outline
Ayudanos!
play_arrow
Este sitio utiliza cookies propias y de terceros. Si continúa navegando consideramos que acepta el uso de cookies. OK Más Información.

[Aporte] Destrucción de datos -> MÈTODOS

  • 2 Respuestas
  • 731 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Conectado Mortal_Poison

  • *
  • Colaborador
  • *
  • Mensajes: 149
  • Actividad:
    51.67%
  • Reputación 15
  • Become the change you seek in the world. -Gandhi.
    • Ver Perfil
    • VIINACADEMY
  • Twitter: https://www.twitter.com/Mortal_Poison_
« en: Diciembre 08, 2018, 11:52:43 pm »

El día de hoy, quiero aportar algo de lo que conozco en lo que respecta a la destrucción de datos. Como Pentesters, hay que saber de todo un poco, a pesar de especializarte en los temas que más te apasionan.

En éste caso enfatizaré más en los HDD.

La restauración y/o la destrucción de datos probablemente son dos caras de la misma moneda. ¿Deseas saber cómo y cuándo recuperar información? entonces deberás comprender cómo puede destruirse irrevocablemente. Se suele vender la idea de que el borrado de archivos es sencillo, sin embargo, es muchísimo más complejo de lo que parece.

Dependiendo del grado o del nivel de cuán importantes son los archivos  que desees borrar, debes aplicar distintas técnicas. Te planteo tres ejemplos que SE DIFERENCIAN ENTRE SÍ:
  • Si deseas borrar unas fotos donde sales desnudo.
  • Si eres un integrante del IS*S.
  • Si eres uno de los administradores de DarkMarkets (P.E SkillRoad).

Como podrás notar, los ejemplos anteriores se asemejan en que se necesitan borrar los archivos pero distan en su contexto. No es lo mismo que desees borrar imágenes de tu galería donde sales desnudo que borrar una galería entera de personas decapitadas. De este modo, si un integrante del IS*S o un administrador de una DarkMarket elimina los archivos con Shred, Wipe, AxCrypt, Ccleaner y/o cualquier otro método convencional, el archivo casi siempre puede ser recuperado en su totalidad.

Para los que no sepan, en un laboratorio se pueden recuperar hasta +70 capas de borrado. Si tengo un archivo denominado: Underc0de.txt y luego creé otro y lo borré por 70 veces, en un laboratorio no tengas duda que será recuperado. ¿Cómo lo hacen? uno de los instrumentos que son usados en éstos laboratorios son los osciloscopios(básicamente es un dispositivo de visualización gráfica que muestra señales eléctricas variables en el tiempo). El proceso es medir la huella magnética de cada bit en el disco y es ahí donde se sabe si en ese bit hubo grabado un 0 o un 1, donde 1 significa que sí hubo grabado algo y 0 no. Un software que cumple con lo anterior, analiza e interpreta las huellas magnéticas y genera los 0's y 1's y lo hace por el número de veces que mencioné anteriormente.


Una recomendación que puedo hacer, es no poner en el nombre de los ficheros nombres tan certeros que indiquen de qué trata el fichero. El motivo de esto es que la mayoría de veces, se el nombre de un archivo, más no su contenido. Por ejemplo, si yo elimino un archivo denominado Passwords-All-Users-Underc0de.txt pues con los software de recuperación, ya sabría que dicho archivo es algo importante y es un .txt, los cuales son dos datos importantes para su recuperación. De hecho, hasta los metadatos suelen quedar en el disco.


UIno de los problemas principales que existen actualmente, es que los fabricantes de los discos duros(HDD) solventan los problemas de una manera "muy peculiar". Resulta, que si un disco duro está grabando un archivo y va en 98% por ejemplo y por "X" o "Y" motivo ocurre un error, algunos discos empiezan a grabar el mismo archivo en otro sector del disco y ese progreso del 98% del archivo, se queda ahí. Otro tipo de discos, lo que hacen es copian el archivo grabado a otro sector del disco para que siga con su progreso normal.  Existen herramientas que aprovechan este tipo de cosas y recuperan los archivos "incompletos".

De esta forma, muchos piensan en recurrir al método Gutmann que lo que hace es de más de 35 pasadas sobreescribe el archivo mediante patrones de ceros y unos para confundir a las herramientas usadas en los laboratorios de recuperación de información. A pesar de que es uno de los más utilizados, puedes recurrir por uno de los que se dice que usa el Departamento de Defensa de EE.UU: U.S. DoD 5220.22-M (ECE). Pueden encontrar un poco más de información aquí.

Entonces si realmente es algo que debes borrar, entonces lo que yo haría es encriptar el/los ficheros. Esto por el simple hecho de que es más complicado desencriptar que recuperar los ficheros/datos borrados. Por último, si deseas seguir un estilo de recomendaciones, lo que yo te compartir es:

- Cambia el nombre y extension del archivo -> Encripta el archivo con una contraseña que confirmes que es compleja de descifrar -> Aplica el método de Gutmann al/los ficheros -> Realiza las limpiezas y/o desfragmentaciones del disco con software como Ccleaner, Advanced SystemCare y los demás que abundan en internet.

Aunque son unas pequeñas recomendaciones, entiendo que habrán unas recomendaciones adicionales que le haga un poco más difícil el volcado de archivos a los forenses, pero insisto, depende de lo importante que sea el fichero.




Probablemente, no me hayan visto últimamente, pero fue porque estuve en una experiencia de desarrollador en una empresa y aunque fue una experiencia muy bonita, ya retomaré nuevamente todo.

Espero que les haya servido. Cualquier aporte es bienvenido.

Un saludo.


« Última modificación: Diciembre 10, 2018, 12:49:26 am por Gabriela »
Become the change you seek in the world. -Gandhi.


Desconectado octopus

  • *
  • Underc0der
  • Mensajes: 8
  • Actividad:
    1.67%
  • Reputación 0
    • Ver Perfil
« Respuesta #1 en: Diciembre 09, 2018, 09:20:59 pm »
Buena info bro te felicito, una consulta que programa recomendarías para recuperar datos de un disco dañado?



Enviado desde mi iPhone utilizando Tapatalk

Conectado Mortal_Poison

  • *
  • Colaborador
  • *
  • Mensajes: 149
  • Actividad:
    51.67%
  • Reputación 15
  • Become the change you seek in the world. -Gandhi.
    • Ver Perfil
    • VIINACADEMY
  • Twitter: https://www.twitter.com/Mortal_Poison_
« Respuesta #2 en: Diciembre 11, 2018, 01:04:26 am »
Antes que nada, gracias Octopus.

Con respecto a tu pregunta, no es mi fuerte ésta rama, pero sí te podría recomendar que uses programas enfocados a ello: Stellar, Encase Forensic para ver si sí funciona. No sé realmente si éstos funcionen y/o apliquen cuando un HDD está dañado, pero he leído a varias personas que sí(y debería, pues sino imagínate a un forense diciendo que no se pudo en un escenario de un miembro del IS*S).

Un saludo.
Become the change you seek in the world. -Gandhi.


 

¿Te gustó el post? COMPARTILO!



#2 - Criptoanálisis [Datos estadísticos]

Iniciado por elpedruca

Respuestas: 5
Vistas: 2886
Último mensaje Abril 11, 2015, 12:17:06 pm
por MagoAstral
[Aporte] Cómo ocultar archivos dentro en una imágen

Iniciado por wizardsec

Respuestas: 12
Vistas: 6105
Último mensaje Septiembre 12, 2018, 03:49:07 am
por annonymoushack
[APORTE] Cifrado con salmos o libros.

Iniciado por 79137913

Respuestas: 0
Vistas: 1034
Último mensaje Septiembre 25, 2018, 12:39:30 pm
por 79137913
[Aporte] Criptografía - Básico

Iniciado por Mortal_Poison

Respuestas: 1
Vistas: 1954
Último mensaje Febrero 03, 2018, 09:59:55 pm
por D0Nkey
[Aporte] Anonimato & privacidad

Iniciado por Mortal_Poison

Respuestas: 4
Vistas: 2095
Último mensaje Diciembre 22, 2017, 08:28:50 pm
por DUDA