Historias
Slashboxes
Comentarios
Búsqueda

Login Barrapunto

Login

[ Crear nueva cuenta ]

MaraudeR (432)

MaraudeR
  (email no mostrado públicam.)
http://librexpresion.org/
El yo no es, fluye.

Down Kill Up Publicidad

Bitácora de MaraudeR (432)

Domingo, 18 de Mayo 2008

Informática Ficción

11:50h.
Bitácoras
Informática ficción y recuperación de datos sobre-escritos

La reciente publicación del informe comprado por Uribe a la Interpol me ha llevado a investigar un poco sobre informática forense.

Como comentaba en el artículo enlazado en la frase anterior, es imposible verificar con seguridad en que momento se ha creado, accedido o modificado un archivo porque todos esos datos son susceptibles de ser alterados sin dejar rastro. Sin embargo un individuo en cierto foro soltó una parrafada incoherente sobre "análisis a nivel molecular" que probablemente no entendía ni él, pero sonaba mazo de molón, ergo convincente. En realidad ni siquiera es aplicable al caso, puesto que como se desprende del mismo informe de la Interpol los análisis no se llevaron a cabo en los dispositivos físicos, sino en imágenes de estos. Sea como fuere, me picó la curiosidad por saber si, de haber sido así, se podría haber llegado a alguna parte. Y me acordé, como no, de la recomendación de sobre-escribir varias veces cualquier información sensible que quieras eliminar de tu disco duro, porque de lo contrario podría ser recuperada siguiendo avanzadas técnicas de informática forense... ya saben, "análisis a nivel molecular" y eso...

Reconozco que, hasta la fecha, me lo había tragado e incluso he llegado a utilizar una "destructora de documentos" para eliminar algunos de los mensajes que me manda Bin Laden (saludos a los señores de Echelon, que seguramente me estarán leyendo...) con varias sobre-escrituras. Si bien es cierto que afirmaciones extraordinarias requieren pruebas extraordinarias, y que el hecho de poder recuperar información en un soporte digital -concrétamente en discos duros magnéticos- sobre la que se ha escrito nueva información es una afirmación extraordinaria, nunca había tenido razones suficientes para cuestionarla. Pero parece que ha llegado el momento.

El artículo completo con enlaces y demás continúa en libreXpresion.org
Este hilo ha sido archivado. No pueden publicarse nuevos comentarios.
Informática Ficción | Log in/Crear cuenta | Top | 38 comentarios | Buscar hilo
Mostrar opciones Umbral:
Y recuerda: Los comentarios que siguen pertenecen a las personas que los han enviado. No somos responsables de los mismos.

  • sleuthkit vs. foremost

    (Puntos:2, Interesante)
    por dev_eddie (11713) el Lunes, 19 Mayo de 2008, 00:41h (#1044831)
    ( http://barrapunto.com/ | Última bitácora: Martes, 01 Agosto de 2006, 23:56h )
    cuando yo recupero archivos ilegibles, normalmente es porque el sistema de archivos (para mis propósitos fat normalmente) se fue a tomar por saco o la tabla de particiones se fue a tomar por saco, o el dispositivo funciona sólo intermitentemente (esto esta petando y se va a ir a tomar por culo).

    En esos casos uno hace una imagen (con dd) como tu dices, lo pasa por un programa que en el peor de los casos lee secuencialmente los clusters/i-nodos comparandolo con una lista de expresiones regulares (lease, formatos de archivo conocidos) y consigues los datos. Ese workflow parte de que el dispositivo se lee UNA vez y tu obtienes sólo la ultima escritura, que es lo que se está haciendo en informática forense. Creo que todo lo demás son pajas mentales de pelis de espías.

    Lo que no quita para que existan las recomendaciones FIPS/DoD, el paper de Gutmann y la gente use el eraser de heidi.de, wipe, bcwipe y cosas por el estilo, porque ser precavido nunca está de mas. En cuanto a cuantas pasadas son suficientes, las recomendaciones más pesisistas hablan de 35 pasadas siguiendo determinado patrón y con un buen PRNG (lease aquí chiste sobre el openssl de debian).
    --

    Otro con virtudes y vicios vividos despacio.

  • Método científico

    (Puntos:2)
    por Riviera (485) <{pablo} {at} {ics.uci.edu}> el Lunes, 19 Mayo de 2008, 04:31h (#1044851)
    ( http://www.ics.uci.edu/~pablo | Última bitácora: Miércoles, 03 Septiembre de 2008, 22:02h )
    En este caso, como en muchos otros en la vida, es bueno imitar el método científico. Cuando alguien propone una teoría, una forma de verificar su validez es comprobar si se pueden deducir otras conclusiones que antes no se habían predicho. En este caso, un buen ejemplo puede ser la detención de Viktor Bout [wikipedia.org] cinco días después del ataque a las FARC. No es concluyente, como ningún experimento científico, pero de momento la explicación más razonable es que los datos sean válidos.
    --

    Why are people always so happy when they collide with someone from the same place?

  • medias verdades, medias mentiras

    (Puntos:1)
    por muzaraque (13554) <muzaraque@mixmail.com> el Lunes, 19 Mayo de 2008, 06:06h (#1044855)
    ( http://www.angelfire.com/co2/muzaraque/index.html | Última bitácora: Jueves, 04 Septiembre de 2008, 14:26h )
    vale, di lo que quieras, pero imagina que se ha creado un archivo temporal del que has destruido y ese temporal desapareció al cerrar el visor, pero no sobreescribiste, la información sigue quedando magneticamente en el disco duro por el puñetero archivo temporal que ya no existe.

  • Había por ahí un "reto" con premio...

    (Puntos:2)
    por Walenzack (13964) el Lunes, 19 Mayo de 2008, 07:51h (#1044866)
    ( http://www.xing.com/profile/LuisGonzalo_SotoAboal | Última bitácora: Sábado, 06 Septiembre de 2008, 21:08h )
    Llevo un rato buscando la página y no la encuentro, creo recordar que la vi o bien en Slashdot o bien en reddit.
    El caso es que había por ahí un "experto en seguridad" que ofrecía un premio de 1.000$ o 10.000$ para cualquiera -empresas de análisis forense incluidas- capaz de recuperar 3 archivos (dos documentos y un vídeo o algo así) de un disco duro sobreescrito UNA ÚNICA VEZ con ceros. Hasta el momento nadie le había reclamado el premio, y no recuerdo haber leído nada desde entonces indicando lo contrario...
    --
    Tal vez quieras visitar mi perfil en XING [xing.com].

  • Si debe ser posible...

    (Puntos:2)
    por Me262 (5685) <saa@fumela.mariguana.com> el Lunes, 19 Mayo de 2008, 21:45h (#1045216)
    Hace poco, lamentablemente no tengo el enlace, estaba leyendo en una pagina web una forma a grosso modo como se podia recuperar informacion de los discos duros, no a nivel molecular como dicen mas arriba, sino mas bien era algo asi como leer el voltaje de cada bit del cada disco, tomando en cuanta que cada vez que se escribe una informacion baja en un cierta cantidad, entonces haciendo varias operaciones era posible recuperar informacion legible de algunas sobreescrituras. Espero haberme dado a entender,

    Voy a buscar el enlace.
    La otra prueba de que se puede recupar es que hay compañiar dedicadas a esa actividad que cobran por MB de informacion recuperada.
    --

    ----------------------------------------------
    "Dales suficiente cuerda y se ahorcaran solos"

  • nformática forense

    (Puntos:1)
    por Gu (24510) <plan9fromouterspace@example.com> el Martes, 20 Mayo de 2008, 16:43h (#1045503)
    ( Última bitácora: Martes, 26 Febrero de 2008, 10:50h )
    En un curso de Seguridad Informática de esos FPO gratuitos que hice (300 horas) tocamos algo de informática forense bajo GNU/Linux. El ejercicio en si era analizar por dónde había sido atacado un servidor del que únicamente teniamos la imagen del disco.

    No recuerdo el nombre del programa y no lo encuentro en google. La cosa es que aunque no siempre es posible recuperar el archivo en sí porque ha sido eliminado a conciencia, al menos ext2 guarda un histórico de movimiento en disco (creado, modificado y borrado), con fechas y todo.

    Gracias a los nombres de los archivos eliminados y un poco de búsqueda en google y otros lugares oscuros se resolvía el ejercicio, pero cuando usas una herramienta así te das cuenta que si quieres deshacerte de información de forma segura más te vale prensar y fundir el disco duro....
    --
    El zorro conoce muchos trucos. El erizo sólo uno... pero es muy bueno.

  • Hola

    (Puntos:2)
    por MaraudeR (432) el Lunes, 19 Mayo de 2008, 02:09h (#1044840)
    ( http://librexpresion.org/ | Última bitácora: Domingo, 24 Agosto de 2008, 11:12h )
    El enlace al artículo original de Gutman está también en las réplicas al mismo enlazadas.

    Sobre-escribir es -por definición- poner físicamente información en un sitio en el que había otra, por lo que creo que tu objeción de que:

    algunos sistemas de ficheros no sobreescriben "en el sitio"


    Aparte de inválida, estaría mejor escrita como:

    algunos sistemas de ficheros no "sobreescriben" en el sitio


    Dicho de otra manera: escribir en un lugar físico del disco diferente no es sobre-escribir.

    En cualquier caso y por mi parte insisto en que hasta la fecha nadie ha hecho una demostración del método con resultados prácticos. Ni con discos duros modernos, ni antiguos.
    --
    libreXpresion.org [librexpresion.org]
    [ Padre ]
  • 1 respuesta por debajo de tu umbral de lectura actual.