È possibile recuperare in modo sicuro (o cancellato) i dati cancellati da un disco rigido usando la scientifica?
Immagina che la polizia abbia arrestato un hacker e che l'hacker, prima di essere scoperto, abbia rimosso tutte le informazioni che lo portano a essere riconosciuto colpevole sul suo PC utilizzando un metodo di eliminazione sicura. In questo caso, è possibile per la polizia scientifica (o qualsiasi dipartimento) recuperare i dati cancellati?
La tua domanda ha un problema con le definizioni delle parole in essa contenute.
Se un HDD è stato cancellato in modo sicuro, per definizione, non è possibile il recupero. Se un HDD ha non cancellato in modo sicuro, per definizione, il ripristino è possibile.
Forse intendi: quanto sono sicuri i vari metodi di cancellazione dei dischi rigidi? Molto sicuro, supponendo che tu stia parlando di unità "tradizionali" (con dischi magnetici rotanti) e usi qualcosa di stimabile come Darik's Boot And Nuke (aka DBAN).
Là è una preoccupazione su come cancellare in modo sicuro le unità a stato solido, poiché le unità hanno una capacità integrata di distribuire uniformemente e in modo trasparente le operazioni di lettura e scrittura sull'intero spazio di memoria. Questo è fatto per aumentare la durata del disco, ma può frustrare le operazioni di cancellazione sicura.
Se pensi a una cancellazione sicura in termini di formattazione iniziale dell'unità, apri la custodia, esegui un magnete di terre rare sui piatti, lavorando su di essi con un pesante martello e una chiave inglese per un paio di minuti, e alla fine lasciandoli cadere in un fuoco da campo, poi no, la polizia non sarà in grado di recuperare i dati.
Se pensi a una cancellazione sicura in termini di esecuzione di alcuni "strumenti di cancellazione sicura h4xOr", allora mi dispiace, sei sfortunato. Almeno, se qualunque cosa tu possa avere su quel disco vale lo sforzo.
È molto possibile (e non difficile, solo costoso) ricostruire i dati dal negozio magnetico anche dopo che è stato sovrascritto una dozzina di volte. Questo è qualcosa che è stato fatto più o meno regolarmente con scatole nere dagli anni '70. A dire il vero, la densità dei dati è aumentata di alcuni ordini di grandezza da allora, ed è molto probabile che un ripristino del 100% non sia possibile, ma è necessario aspettarsi che venga ripristinata una quantità sufficiente.
Non importa tanto se è possibile, ma se tu (oi dati sul tuo disco) sono abbastanza importanti da giustificare la spesa.
Inoltre, le unità moderne aumentano sempre il livellamento dell'usura (in particolare gli SSD lo fanno per ogni singola scrittura ). Ciò significa che hai poco o nessun controllo su quali dati effettivamente sovrascrivi quando esegui una cancellazione sicura. Si potrebbe fare una "cancellazione sicura" e i dati completi sono ancora sul disco.
Gli SSD di solito codificano tutti i dati per aumentare l'efficienza del livellamento dell'usura (per randomizzare i dati, non per la sicurezza!), Ma non si può contare sul fatto che le forze dell'ordine non possano in alcun modo recuperare la chiave di crittografia. Tutte le unità moderne hanno una sequenza di tasti di sblocco che cancella la chiave, probabilmente esiste anche una sequenza di tasti di sblocco segreta, che non cancella la chiave per l'applicazione della legge.
Questo è il caso delle serrature a cilindro e dei contenitori di sicurezza / contenitori di sicurezza, sarebbe irragionevole supporre che non ci sia nulla di simile per le unità disco.
Detto questo, anche se il tuo hacker ha usato la crittografia a disco intero usando il software giusto (che offre una perfetta negabilità), e la polizia non può fare molto per recuperare i dati o anche provare che qualcosa è lì, che non è una certa cosa.
Di nuovo, dipende solo da quanto sono importanti i dati sul tuo disco, e chi è dopo di te.
Anche se può sembrare davvero figo "perché i poliziotti stupidi non riescono a dimostrarsi" , non si sentono altrettanto forti quando hai un sacco in testa e vengono picchiati con un tubo di gomma o waterboarding. Se qualcuno vuole davvero conoscere la tua chiave di crittografia, te lo dirai. Fidati di me, lo farai.
Come suggerito, se un file viene cancellato usando la semplice meccanica "cancella", i dati non vengono effettivamente rimossi dall'unità. Viene rimossa solo la voce della directory; i dati rimangono ed è facilmente recuperabile.
Se invece i blocchi di dati esistenti vengono sovrascritti, il recupero forense è effettivamente impossibile. Alcune ricostruzioni statistiche sono talvolta possibili su piccola scala con grandi sforzi, ma questa è una ricerca in gran parte accademica. Effettivamente il recupero di più megabyte di dati da unità moderne è ben oltre le capacità di qualsiasi laboratorio esistente.
Detto questo, alcuni filesystem (ad esempio: ZFS, BTRFS, a volte NTFS) e alcuni media (ad esempio: SSD) non sovrascrivono i blocchi esistenti direttamente, ma scriveranno invece gli aggiornamenti in nuovi , spazio vuoto sul disco, lasciando intatti gli originali. Ciò complica ulteriormente le procedure di "cancellazione sicura".
Se si pulisce l'intero disco con un solo movimento a un livello basso (piuttosto che attraverso il filesystem) si aggira la maggior parte di questi avvertimenti e di nuovo rende estremamente difficile il recupero.
Se prendi un disco rigido che ha completamente sovrascritto con zero da una sola passata a qualsiasi laboratorio di recupero forense, otterrai una percentuale di recupero dello 0,00%. In effetti, la maggior parte dei luoghi non accetta nemmeno la sfida se dici loro cosa è successo.
I dati magnetici scritti sul disco rigido possono essere sovrascritti, ma i dati originali saranno ancora lì, a un livello di segnale più basso. Quindi con un software intelligente e anche l'uso di teste speciali, puoi leggere i diversi livelli di magnetizzazione. È anche solo 0 o 1 che viene registrato su ciascun bit, il che rende il recupero delle informazioni leggermente più semplice fisicamente.
Quindi, l'unico modo per nascondere le informazioni è quello di fondere i piatti.
NB. se hai un'unità ibrida non dimenticare i chip di memoria flash.
Per quanto riguarda la sicurezza della pulizia, fai riferimento alla risposta di tylerl.
Volevo solo sottolineare una cosa: se si utilizza la cancellazione completa del disco, la pulizia è molto più semplice, perché allora basta solo cancellare la parte che contiene la chiave, e in contrasto con i dati in chiaro, in cui anche un recupero parziale sarebbe un problema, con crypto è tutto o niente: se la tua chiave viene cancellata in modo sicuro, non c'è semplicemente modo di recuperare i dati.
No, non è possibile recuperare i dati dopo aver usato il software di pulizia. Diversi software di cancellazione come Bitraser, Diskwipe, Data Shredder stanno anche sostenendo lo stesso, che ho provato anche dalla mia parte. Non riesco a recuperare i dati persi da qualsiasi software di recupero dati.
Nah, una volta che i dati vengono sovrascritti con un software di disinfezione sicuro che riregistra casualmente 0 e 1 al posto dei dati originali, è come rimettere insieme un puzzle senza un'immagine a cui fare riferimento. Una volta riscritta 35 volte, a.k.a. il metodo Gutmann, non c'è più, a meno che non sia un SSD e quindi è necessario arare folle quantità di dati sull'SSD più e più volte per essenzialmente deframmentare l'unità con nuovi dati.
Gli SSD hanno una durata limitata e non risponderanno bene, secondo i rapporti, a reiterate registrazioni ripetute. Gli SSD vengono solitamente scritti una sola volta e riportati più volte. La RAM esegue la memorizzazione temporanea dei dati, quindi limita la limitazione limitata della capacità di riarecord SSD.
La scientifica non può recuperare ciò che è già andato. Se viene effettuata una semplice eliminazione dei vecchi dati (ad esempio, cancella il cestino o elimina definitivamente i dati), i collegamenti saranno eliminati ma non i dati che sono ancora recuperabili.
C'è un sacco di software libero da scaricare e provare a recuperare i dati persi (link) ma non ripristinerà i dati disinfettati.
Leggi altre domande sui tag forensics