terça-feira, 3 de março de 2009

Wipe sem wiping

Estava lendo um post interessante sobre pendrives e SSD (Solid State Disk).

Por eles serem dispositivos NAND EEPROM, há uma vida útil associada ao ciclo de apagamento/escrita de células. A maioria fica na faixa de 100mil a 1 milhão de ciclos. Para extender o uso, os fabricantes lançam mão de um algoritmo chamado wear-levelling, que na prática fica mudando o local físico dos "setores" da mídia para não deixar a mesma célula sendo apagada e re-escrita várias vezes. Ou seja, se uma aplicação manda escrever um arquivo em uma mídia, o conjunto Sistema Operacional/Sistema de Arquivos trabalha para traduzir esse comando de alto nível em instruções do tipo "escreva tal informação nos setores 100, 101 e 105". Em um HD, esses setores vão estar sempre no mesmo local, mas em um pendrive ou em um SSD, eles vão mudar a cada vez que forem sobrescritos. Você estará mandando os mesmos comandos de "escreva tal informação nos setores 100, 101 e 105", mas fisicamente essa informação será jogada em outro lado (em outras células).

O que isso tem a ver com Segurança de Informações ?

Você é um profissional consciente dos riscos à confidencialidade de informações e por conta disso sempre roda um programa de wipe para sobrepor o arquivo com lixo antes de apagá-lo. Se este arquivo estiver em um pendrive ou SSD, o que vai acontecer é que o comando de sobrepor as informações com lixo ou zeros vai jogar fisicamente esse lixo/zeros em outro local, e não sobre os dados que você deseja apagar. Tudo por causa do Wear-Levelling. Vale ressaltar que obter esses dados não será nada fácil, pois a "controladora" do pendrive vai endereçar qualquer leitura da área não alocada para as células que fisicamente contém o lixo/zeros, mas ainda assim, os valores do arquivo que se desejou apagar ainda estarão lá. Existem processos e até mesmo artigos publicados (eu já li alguns) que mostram como fazer aquisição de dados diretamente da memória do pendrive, contornando a sua "controladora" (nada fácil, por sinal, e envolve até extrair o chip da plaquinha do pendrive). Nesse caso, o arquivo que supostamente passou pelo wipe pode ser recuperado, expondo a informação.

O que isso tem a ver com Forense Computacional ?

Com o que expus acima, poderemos recuperar arquivos que passaram pelo processo de wipe. O processo, como comentei, é bastante delicado e especializado, mas factível e altamente recomendável para laboratórios forenses em Polícias, por exemplo. Isso fica ainda mais importante quando notamos a proliferação do uso de SDD como discos, ao invés de HDs. O Asus Eee é um modelo que "vende igual água" e usa essa tecnologia. Há vários assim disponíveis no mercado.

Comentários ?


Até o próximo post !

Nenhum comentário: