Um assunto balançou recentemente as estruturas de uma lista de discussões sobre Forense Computacional. Foi sobre um artigo e uma entrevista do CEO da Techfusion, uma empresa especializada em recuperação de dados. Nessa entrevista, o CEO alega terem conseguido recuperar dados apagados e sobre-escritos de um disco. Obviamente, isso causou um grande burburinho, primeiro porque foi em um caso famoso, onde os dados foram apagados enquanto estavam sob custódia da Polícia. Além disso, já há bastante "snake-oil" sobre esse assunto, muita gente diz que dá para recuperar e quem é especialista no assunto dizendo que não dá.
Esse assunto foi trazido na lista de discussões, e os especialistas lá conversaram sobre a entrevista. Dentre os comentários mais interessantes, cabe destacar:
- A opinião de todos é unânime em afirmar que não se consegue recuperar conteúdo sobre-escrito;
- O entrevistado, por ser um CEO, não tinha muito domínio técnico, e por vezes cometeu pequenas gafes técnicas;
- Alguns falaram sobre usar aquecimento/resfriamento como parte das técnicas, mas o Dr Craig Wright, experiente no assunto, negou que isso realmente ajude em recuperar arquivos sobre-escritos. Pode ser que ajude na recuperação de HDs que não leem por algum motivo, mas não recupera dados sobre-escritos.
- Além da re-afirmação de que não dá para recuperar dados sobre-escritos, um dos comentários mais interessantes foi o de que recuperar arquivos sobre-escritos pode ser possível. Apesar de tal recuperação não ser possível a partir de dados sobre-escritos, pode ser possível localizar fragmentos de um arquivo temporário que passara por um wipe. Por exemplo, um arquivo Word pode ser recuperado, mesmo depois de um Wipe, através do temporário que é aberto e depois apagado (aqueles arquivos que começam com um ~). Ou seja, não se recupera o dado sobre-escrito, mas é possível achar conteúdo que pertenceu ao temporário do arquivo, solto pelo disco.
- Ainda assim, o Dr Craig afirma que não seria o caso se um disco fosse passado por um processo completo de Wipe, já que dessa forma mesmo os fragmentos seriam também sobre-escritos.
Comentários ?
Até o próximo post !
2 comentários:
A utilização de um MFM (magnetic force microscope) em uma "sala limpa" para determinar o valor anterior de dados escritos em HD que foram sanitizados (wiped) é encarado pelos especialistas em forense computacional como um processo muito lento (meses para um HD de 80GB - por exemplo) e passível a erros (um erro em um bit em um arquivo complexo de 10Kb e os dados podem não fazer sentido).
Dito isto, eu encaro esta questão de forma pragmática, se o seu possível adversáirio não tem tempo/recursos o suficiente para tentar recuperar os dados fisicamente, um wipe é o suficiente (e isto vale para 99,99% das aplicações pessoais e comerciais).
Agora, se estamos falando de informações estratégicas de governo, dados críticos militares e de inteligência - vale utilizar a máxima latina "quid abundat non nocere", ou seja: o que abunda não prejudica. =)
[ ]s e mais uma vez parabéns pelo alto nível dos posts!
[ ]s
Sandro Süffert,
http://blog.suffert.com
Exatamente, meu camarada !
Há muita especulação sobre esse assunto, mas na prática não é viável (se for possível) fazer a recuperação. Bom, como a verdade de hoje (ou a impossibilidade) pode mudar amanhã, eu também vou no wipe n vezes ... É aquilo, né, eu não acredito em bruxas, mas que elas existem, existem ... hehehe
Obrigado pelos comentários !
Postar um comentário