¿Eliminar un archivo sobrescribiendo su contenido, por ejemplo, usando un editor de texto, en Windows? ¿Qué tan seguro es?

1

Sé que hay varios programas de eliminación segura para Windows.

Pero si alguien quisiera hacer una simple eliminación de un documento privado, ¿podría hacerlo abriéndolo en el Bloc de notas / Wordpad, borrando el contenido o reemplazando el texto confuso con datos falsos y luego "guardándolo"?

¿Qué tan seguro sería este método? ¿Cómo harías para la recuperación de datos?

traje
fuente

Respuestas:

0

En el mejor de los casos, el proceso que describa funcionaría si reemplazara el tamaño exacto del archivo existente en galimatías y lo guardara.

Dicho esto, este es un mecanismo muy pobre para la eliminación segura, ya que puede ser interferido por el sistema operativo u otras aplicaciones, y porque utiliza la API del sistema de archivos de nivel superior, que no siempre se combina con la operación de almacenamiento físico subyacente. tal como pensamos que sería. la implementación exacta de su sistema de archivos específico también puede tener un impacto (por ejemplo, MS NTFS v5 y ntfs-3g pueden no funcionar exactamente de la misma manera).

Primero, considere que la razón por la que necesitamos una eliminación segura es porque cuando Windows (o Linux) elimina un archivo, elimina los índices que apuntan a la ubicación de los datos del archivo, pero no elimina los datos en sí.

Esto significa que alguien podría leer el disco, ignorando completamente los índices, y ver el archivo allí mismo. la API del sistema de archivos de Windows no lo muestra, pero si puede encontrar su dirección y no ha sido sobrescrito por un nuevo archivo, puede recuperarse. Así es como funcionan las herramientas del carroñero / tallador como photorec (bueno, parte de ello de todos modos). Las herramientas de recuperación de datos funcionan por debajo de la implementación del sistema de archivos de Windows, por lo que no cumplen con las mismas reglas.

entonces, digamos que abre un documento, borra todo el texto y lo guarda. suponiendo que guarde en el mismo lugar, el índice del sistema de archivos apuntará al mismo lugar en el disco, pero su longitud se acortará. Como el nuevo archivo ocupa mucho menos espacio que el original, la mayoría de los datos del archivo original todavía están en el disco. un poco del archivo puede haber sido sobrescrito por la estructura de almacenamiento del archivo alterado (delimitador de final de archivo de algún tipo), pero podría recuperar gran parte del resto de los datos. Esto es sofisticado, por lo que la mayoría de los adversarios no recurrirían a dicha operación, pero aún es posible.

Sin embargo, la mayor preocupación es su sistema operativo y los mecanismos de recuperación específicos de la aplicación. características como ShadowCopy o la persistencia del usuario pueden esconder copias del archivo en ubicaciones inesperadas. En términos de aplicaciones, si estaba trabajando con un documento de Word, Word está guardando una copia temporal de su archivo en el disco de forma predeterminada cada 10 minutos. Al guardar y cerrar estos archivos se eliminan, pero una utilidad de recuperación simple como Recovua puede recuperarlos, con todos sus datos.

Por lo tanto, para resumir, use Eraser o limpie o triture, y vigile el almacenamiento de archivos temporales de sus perfiles.

Frank Thomas
fuente
1

Por supuesto, aparentemente esto es lo que hacen programas como Eraser : simplemente escribe galimatías sobre el archivo, un par de docenas de veces, y es ilegible. Debe estar tan seguro como si hubiera usado Eraser para escribir sobre el archivo exactamente una vez con los mismos datos que usó. Si usó datos que son predecibles de alguna manera, eso debilita la seguridad de la eliminación, porque la eliminación se puede revertir forensemente.

Y si está utilizando una unidad de estado sólido, todas las apuestas están desactivadas . No tiene garantía de que los sectores que sobrescribe sean los sectores con sus datos confidenciales originales.

treinta y tres
fuente