Recupera il file cancellato nonostante la crittografia completa del disco

29

Questa potrebbe essere una domanda stupida, ma vado avanti e lo chiedo comunque.

Dire che sono su Windows e creo un file, secret_financial_plan.txt, dove memorizzo tutte le operazioni finanziarie del mio mercato nero. Una volta finite le operazioni, cancello il file e svuoto il cestino per coprire le mie tracce.

Alcuni giorni dopo mi rendo conto che i file cancellati "permanentemente" in Windows sono abbastanza facilmente recuperabili. Quindi, decido di applicare la crittografia completa del disco (FDE) sul mio dispositivo passando a Linux e usando LUKS o crittografando l'unità in Windows con Veracrypt o usando un altro pezzo di software FDE. Sarebbe possibile per un esperto di medicina legale, che NON ha accesso alla chiave di decodifica, recuperare il file secret_financial_plan.txt dopo aver applicato FDE, o no?

    
posta Total Fde 10.11.2017 - 16:50
fonte

9 risposte

45

Oltre alla risposta di Moshe , fornirò un esempio con LUKS poiché alcune persone sembrano non convinte . Inoltre, consulta qui per sapere perché la sovrascrittura potrebbe non essere efficace al 100% (anche se sicuramente aiuta).

Esempio

Crea un file sparse, crea un filesystem e montalo:

$ truncate -s 100G /tmp/device
$ mkfs.ext4 /tmp/device
$ sudo mount /tmp/device /mnt
$ sudo chown user:user -R /mnt

Crea alcuni file riservati:

$ echo "super secret data" > /mnt/secret
$ echo "super secret data" > /mnt/confidential
$ echo "super secret data" > /mnt/top-secret

Ottieni inode per i file:

$ ls -li /mnt
total 28
13 -rw-rw-r-- 1 user user    18 Nov 10 11:34 confidential
11 drwx------ 2 user user 16384 Nov 10 11:33 lost+found
12 -rw-rw-r-- 1 user user    18 Nov 10 11:34 secret
14 -rw-rw-r-- 1 user user    18 Nov 10 11:34 top-secret

Verifica che i file siano scritti su disco, quindi ottieni estensioni per inode:

$ sync /mnt/*
$ debugfs -R "stat <12>" /tmp/device
...
EXTENTS:
(0):33793
$ debugfs -R "stat <13>" /tmp/device
...
EXTENTS:
(0):33794
$ debugfs -R "stat <14>" /tmp/device
...
EXTENTS:
(0):33795

Controlla quei blocchi per assicurarti che i dati siano lì:

$ dd if=/tmp/device bs=4096 skip=33793 count=1
super secret data
1+0 records in
1+0 records out
4096 bytes (4.1 kB, 4.0 KiB) copied, 1.9034e-05 s, 215 MB/s
$ dd if=/tmp/device bs=4096 skip=33794 count=1
super secret data
1+0 records in
1+0 records out
4096 bytes (4.1 kB, 4.0 KiB) copied, 1.888e-05 s, 217 MB/s
$ dd if=/tmp/device bs=4096 skip=33795 count=1
super secret data
1+0 records in
1+0 records out
4096 bytes (4.1 kB, 4.0 KiB) copied, 7.1178e-05 s, 57.5 MB/s

Rimuovi i file:

$ rm /mnt/secret
$ rm /mnt/confidential
$ rm /mnt/top-secret
$ ls -l /mnt
total 16
drwx------ 2 user user 16384 Nov 12 17:34 lost+found

Formatta il dispositivo usando LUKS, quindi crea un nuovo filesystem:

$ sudo umount /mnt
$ sudo cryptsetup luksFormat /tmp/device

WARNING!
========
This will overwrite data on /tmp/device irrevocably.

Are you sure? (Type uppercase yes): YES
Enter passphrase:
Verify passphrase:

$ sudo cryptsetup luksOpen /tmp/device encrypted_device
Enter passphrase for /tmp/device:

$ sudo mkfs.ext4 /dev/mapper/encrypted_device
mke2fs 1.42.13 (17-May-2015)
Creating filesystem with 26213888 4k blocks and 6553600 inodes
Filesystem UUID: 279e6c3b-a183-4a94-b06e-78db1665b2a0
Superblock backups stored on blocks: 
    32768, 98304, 163840, 229376, 294912, 819200, 884736, 1605632, 2654208, 
    4096000, 7962624, 11239424, 20480000, 23887872

Allocating group tables: done                            
Writing inode tables: done                            
Creating journal (32768 blocks): done
Writing superblocks and filesystem accounting information: done

Ora abbiamo un nuovo filesystem:

$ sudo mount /dev/mapper/encrypted_device /mnt
$ sudo ls -lR /mnt
/mnt:
total 16
drwx------ 2 root root 16384 Nov 10 11:37 lost+found

/mnt/lost+found:
total 0

Ma i nostri dati segreti sono ancora lì?

$ dd if=/tmp/device bs=4096 skip=33793 count=1
super secret data
1+0 records in
1+0 records out
4096 bytes (4.1 kB, 4.0 KiB) copied, 1.8944e-05 s, 216 MB/s
$ dd if=/tmp/device bs=4096 skip=33794 count=1
super secret data
1+0 records in
1+0 records out
4096 bytes (4.1 kB, 4.0 KiB) copied, 2.2056e-05 s, 186 MB/s
$ dd if=/tmp/device bs=4096 skip=33795 count=1
super secret data
1+0 records in
1+0 records out
4096 bytes (4.1 kB, 4.0 KiB) copied, 8.7082e-05 s, 47.0 MB/s

Conclusione

A meno che non si pulisca il disco, è probabile che almeno alcuni dei vecchi dati rimangano non crittografati.

    
risposta data 10.11.2017 - 19:05
fonte
26

Si passa alla seguente domanda: I byte in testo normale di secret_financial_plan.txt sono ancora memorizzati sul disco?

Esaminiamo i passaggi:

I create a file, secret_financial_plan.txt, where I store all my company's black market financial operations

Il testo normale è scritto sul disco

I delete the file and empty the recycle bin to cover my tracks.

Il file viene rinominato e quindi la voce dalla Tabella file master NTFS viene contrassegnata come eliminata. Il testo in chiaro è ancora sul disco.

I decide to apply full disk encryption (FDE) on my device by switching over to Linux and using LUKS or by encrypting the drive in Windows with Veracrypt or by using some other piece of FDE-software

Ci sono diverse opzioni di configurazione lì. Se si è specificato di crittografare l'intero disco, compreso lo spazio non allocato, i byte del testo normale verranno sovrascritti con i dati crittografati. Se si cripta solo lo spazio allocato, il file eliminato non verrà sovrascritto * e quindi il potrebbe testo normale essere ancora presente, a seconda che sia stato sovrascritto o meno da scritture successive sul disco.

* Nota: queste sono le scelte fornite da Bitlocker. Non so come funzionano gli altri strumenti di FDE.

    
risposta data 10.11.2017 - 17:22
fonte
9

Risposta breve: non puoi essere sicuro al 100% che tutte le tracce vengano rimosse anche se sovrascrivi l'intero disco

I moderni dischi rigidi in genere hanno più settori di quelli che vengono visualizzati, in particolare gli SSD per ragioni anti-usura. A seconda dell'algoritmo nel controller del disco, potrebbe decidere che il settore con i dati di secret_financial_plan.txt diventerà uno di riserva ei dati verranno scritti in un precedente settore di riserva.

Il prossimo punto di cui occuparsi: le copie potrebbero essere state scritte in un'altra posizione come i file temporanei.

Il prossimo punto: lascia sperare che non venga caricato nel cloud. Altrimenti il tuo capo potrebbe ricevere una telefonata dal suo capo della NSA che il servizio segreto di Isreal ha riferito di aver segretamente hackerato e guardato un fornitore di antivirus russo che ha caricato il tuo nuovo super virus spia segreto attraverso la sua tecnologia di scansione cloud perché hai usato un crack infetto da virus la tua suite per ufficio pirata

    
risposta data 11.11.2017 - 00:44
fonte
1

La crittografia completa del disco non equivale a sovrascrivere l'intero disco. Tutti i dati che non sono stati cancellati dal disco prima della crittografia saranno ancora sul disco dopo che è stato crittografato. Pensa di impostare la crittografia completa del disco come la formattazione di un disco: scrivi qualche nuovo blocco di dati qua e là ma la maggior parte del disco rimane intatta.

    
risposta data 11.11.2017 - 16:05
fonte
0

È possibile ripristinare i file dopo la conversione in FDE, ma non è garantito. La cosa fondamentale è che FDE fornisce protezione solo dopo essere stato acceso. Non protegge nulla prima di allora. Se i blocchi sull'unità non sono stati sovrascritti (crittograficamente) durante la conversione in FDE, sono ancora presenti e possono essere ripristinati. È possibile cancellare l'unità prima di convertirla in FDE, ma in tal caso è la cancellazione che rende inaccessibili i dati precedenti, non l'FDE. E anche in questo caso è difficile pulire correttamente un'unità.

    
risposta data 11.11.2017 - 10:54
fonte
0

Le risposte up-votate sono tutte incomplete. La domanda chiave è se hai crittografato l'intero disco o se hai appena crittografato le parti che sono in uso.

Quando si abilita la crittografia completa del disco si ha una scelta. È possibile crittografare solo le parti del disco che sono in uso dal filesystem. In tal caso, le parti non utilizzate potrebbero contenere dati cancellati e rimarranno recuperabili. Ciò trae anche altre informazioni, come circa la quantità di dati che il filesystem contiene.

L'altra opzione è quella di criptare anche lo spazio libero, nel qual caso anche i file cancellati non saranno recuperabili.

Veracrypt / Truecrypt ti chiede di rispondere a questa domanda quando abiliti FDE.

    
risposta data 13.11.2017 - 10:52
fonte
-1

Non sono un esperto, ma la mia conclusione come area di interesse molti anni fa (prima dei giorni SSD) era che non si può cancellare completamente la prova dei file su disco senza distruggere il disco stesso.

Crittografare la scrivania dopo aver cancellato il file è un buon passo, ma potrebbe essere ancora possibile recuperare il file, o parti di esso, dato un numero sufficiente di strumenti.

Considerare un HDD che memorizza i dati come campi di bit magnetici, on o off. Diciamo che una parte di dati è memorizzata su quel disco per un po 'di tempo, e poi vieni e fai (qualunque cosa sia) sul tuo sistema operativo e cripta tutto e sovrascrivi il disco 7 volte con dati casuali. Ottimo, vero? Tranne che ancora potrebbe essere possibile leggere le informazioni precedenti dal disco, perché almeno su un HDD, se i dati sono al loro posto per un tempo sufficientemente lungo, il residuo di usura dei bit magnetici fisici sul disco piatto stesso può ancora essere letto con strumenti estremamente avanzati.

Facile? no. Possibile? Sì.

Come per tutto ciò che riguarda la sicurezza digitale, penso che si riduca a: quanta fatica pensi che qualcuno potrebbe mettere nel tentativo di violare le tue difese (naturalmente in equilibrio con quanto dovrebbero essere forti le tue difese per contrastare questo)? Come per tutti gli aspetti legati alla sicurezza, l'unico modo per assicurarti che non venga mai e poi mai violato è assicurarsi che non sia mai esistito tutto. I miei 2cents.

    
risposta data 13.11.2017 - 01:05
fonte
-3

Ci sono un sacco di attacchi teorici contro la cifratura dell'intero disco, ma a mia conoscenza ognuno di essi comporta l'acquisizione della chiave di crittografia quando viene utilizzata o l'utilizzo di un difetto in un'implementazione di crittografia specifica. Si specifica esplicitamente che l'utente malintenzionato non ha la chiave di crittografia, quindi non sarà in grado di decodificare i dati senza un altro tipo di attacco.

    
risposta data 10.11.2017 - 17:26
fonte
-4

In Windows, tutto ciò che devi fare è eliminare il file, quindi spostare i dati usando defrag o aggiungendo nuovi file sul disco.

Ogni volta che scrivi dati, vede lo spazio libero e lo sovrascrive. In alternativa, crittografare l'unità PRIMA di mettere i dati su di esso, quindi fare come ti pare?

Spero che questo aiuti.

    
risposta data 11.11.2017 - 01:33
fonte

Leggi altre domande sui tag