Hola :) El Saturday 10 January 2009, Camaleón escribió:
2009/1/10, A C:
Tengo entendido, que en laboratorios (supongo que los de la NSA y similares), se puede recuperar la informaci�n que estaba escrita en el disco duro despu�s de haberlo sobreescrito uno o dos veces, por este motivo la destructora de documentos escribe varias veces 0 y 1 en los sectores que ocupaba el fichero que se pretende destruir.
El problema es que (seg�n el manual de shred) los datos no est�n s�lo en un sector concreto, sino que est�n "replicados" o "duplicados" por el sistema de archivos (cuando se usa raid 1 o 5 o sistemas de archivos con registro -journaling- como ext3 o reiserfs).
El principal problema es que los sistemas de fichero con journal "mienten", bueno, realmente no es culpa suya, es culpa del disco duro. "Mesplico". Los discos duros tienen una caché para acelerar el proceso de lectura/escritura entonces, el sistema de ficheros envía una petición de excritura a disco, ese dato queda en la caché del disco duro (realmente no escribe al disco físicamente), pero le dice al sistema de ficheros que sí. A esto sumamos que los sistemas de ficheros con journal suelen hacer un delayed write (puede tener otros nombres). En resumen: cuando le dices al OOo "Save" o "Guardar", no es verdad, ni el sistema de ficheros lo ha guardado ni el disco lo ha guardado realmente. ¿Cómo afecta esto a shred o wipe? Pues que shred o wipe escriben un montón de 0s, 1s y basura y luego resulta que el fichero que habías guardado se escribe encima de toda esa basura porque se ha escrito después. ¿Cómo se evita esto? Reiniciando la máquina y, sin hacer nada más, ejecutas shred y/o wipe (o similar). No se garantiza porque recordad que wipe y shred se ven afectados por el delayed write, es decir, crees que el shred/wipe ha escrito basura al disco, pero en realidad no lo ha hecho (no le ha dado tiempo). Puedes desactivar las cachés del disco ... ah no, que esto es por firmware y lo tiene que hacer el fabricante ... Bueno, puedes ir a una fundición y derretir el disco ;) Otra forma de evitar esto es: no tener backups, que sea un documento super importante de tu jefe (o las fotos del bautizo de la hermana de tu novia o similar, las fotos de tu boda también valen) y lo guardes con un nombre como: "No_borrar" y permisos 0000 y atributo +i. Misteriosamente ... el documento desaparece cuando tu jefe (novia y/o esposa) te piden el documento.
Es decir, entiendo que s�, que borras el archivo de un sector, pero no los del resto, que a�n pueden ser accesibles o recuperables :-?
En el caso del RAID, además tienes que sumar que tienes el bit de paridad también (si es RAID 3, 4, 5, 6, 50) que, en el caso de RAID 5, se reparte por todos los discos y las cachés que puedan tener las controladoras RAID y que también hacen un delayed write. En cuanto a recuperar los datos, hay un par de empresas en España que te recuperan datos de cualquier disco duro. Hace muchos años (antes del Euro) pedí presupuesto por curiosidad, sólo por enviárles el disco y hacerte un presupuesto de lo qu ecostaría estudiar el disco, te cobraban 35 000 pesetas (unos 200 Euros) y aún no se habían puesto manos a la obra, eso era sólo por recibir el disco en sus instalaciones. Eso sí, te recuperaban todo. No sé cuánto costará ahora. Algunas técnicas que usan son: - microscopía electrónica - copia exacta mediante una especie de "espuma" que se imanta y lo pasa a otro disco - mediciones del grado de imantación de la superficie del disco y posterior estadística para determinar si el bloque está a 1 o a 0 (esto les permite obtener incluso ficheros sobre escritos) - desmontar el disco en lugares completamente estancos e impolutos También se pueden recuperar datos de DIMMs de memoria hasta 1 hora después de haber apagado el sistema. Es bastante curioso. Si alguien es muy paranóico, que se vaya a vivir a una isla desierta. HTH Rafa -- "We cannot treat computers as Humans. Computers need love." rgriman@skype.com -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org