181 - Leña al mono que lo he borrado

PodcastPodcast

181 - Leña al mono que lo he borrado

Un proceso completo de borrado y recuperación de archivos, supuestamente borrados mediante el proceso normal y con borrado seguro.

1:25
-3:15

Recientemente, en concreto en el episodio 177 del podcast, te hablé sobre el borrado seguro. Este episodio, era la continuación de otro episodio muy anterior, en el que te hablé sobre como podías recuperar archivos borrados. El primero de los dos episodios, tiene una respuesta desde el podcast Leña al mono que es de goma, conducido por Rafa, compañero de la red de podcast Sospechosos habituales, al que también pertenece este podcast. El objetivo de este nuevo episodio del podcast es el de aunar el borrado seguro y la recuperación de archivos, y poner un punto de vista a esto del borrado seguro, diferente a la visión que se ha dado en Leña al mono que es de goma.

Así, en este episodio del podcast, te muestro en un único proceso, como puedes realizar un borrado seguro y por otro como puedes recuperar archivos que hayas borrado sin utilizar una aplicación para el borrado seguro.

Leña al mono que lo he borrado

Leña al mono que lo he borrado

Sobre el título del podcast

Como ya habrás intuido, el título del podcast es en honor al podcast Leña al mono que es de goma. En particular a los episodios La verdad sobre le borrado seguro de archivos y Demostrando que el borrado de ficheros no sirve de nada.

Y mas en particular a este segundo episodio del podcast. Así, en este episodio del podcast, realizo un borrado y una recuperación de archivos, para intentar averiguar, si esto del borrado seguro tiene alguna utilidad o no.

Borrado seguro

Dado lo árido de este episodio del podcast, y sobre todo por intentar de mostrar de una forma gráfica lo que te cuento en este episodio del podcast, he subido un vídeo a YouTube donde podrás encontrar este mismo que aquí te cuento.

Sobre el proceso

Para llevar a cabo este experimento, he creado dos imágenes, en concreto de un ordenador, donde he puesto el texto borrado, en una de ellas, y borrado seguro en la otra, para que cuando recuperemos los archivos sepamos cual es cual. La razón para el uso de imágenes te la contaré cuando te explique el proceso de recuperación de las mismas.

Por otro lado para poner en marcha el experimento he utilizado una memoria USB, sobre la que he copiado los archivos en cuestión. Y a continuación a borrar los archivos. El primero lo he borrado de la forma tradicional,

rm borrado.jpg

Mientras que para el segundo he utilizado la herramienta srm del paquete secure-delete. Esta herramienta borra cada archivo por sobreescritura y posteriormente renombrado. Eso evita que otras personas pueda recuperar cualquier información contenido en el mismo. Por defecto, src, utiliza el momo de sobreescritura mas sencillo. Sin embargo es posible especificar otros métodos. En el caso de que especifiques varios métodos solo se utilizará el último de ellos.

El algoritmo de borrado se basa en el documento Secure Deletion of Data from Magnetic and Solid-State Memory presentado por Peter Gutmann. Este proceso de borrado hace lo siguiente,

  • Una pasada con 0xff
  • 5 pasadas con valores aleatorios
  • 27 pasadas con valores especiales definidos por Peter Gutmann
  • 5 pasadas aleatorios
  • Renombrado del archivo a un valor aleatorio

Todo esto lo haces ejecutando la siguiente instrucción

srm -vz borrado-seguro.jpg

Recuperando las imágenes borradas

Para la recuperación de las imágenes borradas he utilizado dos herramientas, en concreto foremost y testdisk. Respecto a foremost indicar que es una herramienta que te permite recuperar archivos utilizando los encabezados y pies de cada archivo, así como la estructura de datos del mismo. Te permite recuperar diferentes formatos de archivos, en particular el que he utilizado yo para este ejemplo jpg. Así, para recuperar estos archivos lo primero es conocer el nombre de la unidad, para ello utilizo la herramienta,

lsblk

Una vez descubierto el nombre de la unidad, para recuperar todas las imágenes con formato jpg que se encuentran en la memoria USB, tienes que utilizar una instrucción similar a la que encontrarás a continuación,

sudo foremost -i /dev/sdb1 -t jpg -T -v -o /home/lorenzo/Escritorio/recuperado

Fíjate que para hacer este proceso de recuperación necesitas ganar derechos de administrador. Al terminar el proceso, te generará un documento como el que te muestro a continuación,

Foremost version 1.5.7 by Jesse Kornblum, Kris Kendall, and Nick Mikus
Audit File

Foremost started at Sun May 31 20:47:21 2020
Invocation: foremost -i /dev/sdb1 -t jpg -T -v -o /home/lorenzo/Escritorio/recuperado 
Output directory: /datos/Escritorio/recuperado_Sun_May_31_20_47_21_2020
Configuration file: /etc/foremost.conf
------------------------------------------------------------------
File: /dev/sdb1
Start: Sun May 31 20:47:21 2020
Length: 528 MB (553648128 bytes)

Num     Name (bs=512)         Size  File Offset     Comment 

0:    00262416.jpg         117 KB       134356992      
1:    00262416_1.jpg         7 KB       134356992      
2:    00262416_2.jpg         7 KB       134357284      
3:    00262416_3.jpg         7 KB       134356992      
4:    00262416_4.jpg         7 KB       134357284      
Finish: Sun May 31 20:47:57 2020

5 FILES EXTRACTED

jpg:= 1
jpg:= 2
jpg:= 2
------------------------------------------------------------------

Foremost finished at Sun May 31 20:47:57 2020

Donde como ves a recuperado varios archivos. Indicarte que esto lo he hecho en repetidas ocasiones, con lo que recupera archivos que estaban anteriormente. En concreto, ha recuperado miniaturas de las imágenes en cuestión.

Otro punto interesante es que utiliza el archivo de configuración que se encuentra en /etc/formemost.conf. En este archivo, lo único que hice fue descomentar aquellas líneas que afectan a mi archivo. En particular estas tres líneas,

      jpg y   20000000    \xff\xd8\xff\xe0\x00\x10    \xff\xd9
      jpg y   20000000    \xff\xd8\xff\xe1 \xff\xd9 
      jpg y   20000000    \xff\xd8    \xff\xd9

Como te puedes imaginar, entre los archivos recuperados no se encontraba el que había borrado utilizando la herramienta srm del paquete secure delete.

Sospechoso

Por otro lado, he utilizado la herramienta testdisk para tratar de obtener información. En este caso, lo que me encuentro, es la siguiente información,

drwx------  1000  1000     16384 25-May-2020 20:43 lost+found
 -rw-rw-r--  1000  1000         0 31-May-2020 20:46 borrado.jpg
>-rw-rw-r--  1000  1000         0 31-May-2020 20:46 borrado-seguro.jpg
 -rw-rw-r--  1000  1000         0 31-May-2020 20:46 iufwoxkmtinqeu.rzl

Fíjate que teóricamente el archivo borrado-seguro.jpg tenía que haber desaparecido porque se había renombrado. Pero no solo esto, sino que también aparece otro archivo que cuyo nombre, que es indescifrable, tienes sospechosamente la misma longitud de borrado-seguro.jpg. Con lo que algo del borrado seguro no ha terminado de funcionar como se esperaba.

Conclusión

Como conclusión, lo que te puedo decir es que en principio y utilizando la herramienta srm no es posible recuperar un archivo con foremost. ¿esto quiere decir que no se pueda recuperar?, pues evidentemente no, sobre todo a raíz de lo que comenta Rafa en el episodio sobre Demostrando que el borrado de ficheros no sirve de nada. Lo que está claro es que con foremost no he sido capaz de recuperarla, en base a los parámetros establecidos. Lo cual no quiere decir que con otra herramienta no sea posible recuperarla.

Pero además, has visto que utilizando testdisk el archivo sigue apareciendo. Y no solo aparece este archivo, sino que también aparece otro con un nombre de la misma longitud, que es muy sospechosos.


Espero que te haya gustado este nuevo episodio del podcast. Si puedes, te agradecería una valoración en iVoox y/o en Apple Podcast.

Más información,

Imagen de portada de Jamie Haughton en Unsplash

Deja una respuesta

Tu dirección de correo electrónico no será publicada.