Tuesday, June 29, 2010

wipe - sanitização dos dados

Como já disse anteriormente, "Excluir" é um termo impróprio (em http://forensics.luizrabelo.com.br/2010/05/excluir-e-um-termo-improprio.html), pois o sistema operacional não apaga uma informação do disco. Mesmo quando utilizamos os comandos “DELETE” ou “ERASE” , os dados continuam no disco rígido, mas a área do disco ocupada por estes dados está disponível para ser utilizada pelo sistema operacional, que "enxerga" esta área como FREE SPACE.

Para remover com segurança uma informação sensível do disco (sanitizar o disco), existem diversas opções, mas no fundo todas utilizam a mesma técnica, chamada WIPE. Traduzindo literalmente, WIPE significa LIMPAR.

O DOD (Unites States Department of Defense, Departamento de Defesa dos Estados Unidos) estabelece determinadas normas com relação ao saneamento de discos. A especificação relevante, contida no manual 5220.22M do DOD de 1995, define que uma especificação sanitária de disco aceitável é uma “sobrescrição de todos os locais acessíveis com um caractere, seu complemento e, em seguida, um caractere aleatório e verificação”.

O padrão "Wipe Out DoD" garante um disco sanitizado após três padrões de dados serem escritos completamente no disco seis vezes (cada padrão é escrito duas vezes):

  • A primeira "passada" escreve UM (1) nas áreas de dado do disco (hex: 0xFF);
  • A próxima "passada", escreve ZERO (0) nas áreas de dado do disco (hex 0x00);
  • Após este padrão de UMs e ZEROs, uma sétima passada grava um código designado pelo governo no disco (“246”, hex 0xF6), que é seguido por uma oitava passada que verifica o se algum dado ainda pode ser lido no disco.


Ok, muito bacana a informação e a pesquisa técnica, mas, e no EnCase? Bem, no EnCase há uma opção para sanitização de disco, mas uma observação no manual do usuário já deixa bem claro que deve-se utilizar com cautela:




Sanitizar um disco com o EnCase é extremamente fácil:

Pelo menu Tools, acesse a opção Wipe Drive...


Selecione o disco que se deseja sanitizar, em Local Drives e então o Disco;


Informe qual o padrão a ser utilizado para gravação no disco (em hexa), e selecione (ou não) se o processo deverá ser verificado;


Como é um processo "pouco" crítito (SARCASM =) ), o sistema pede que você digite "YES" na tela de confirmação, não basta apenas um clique em OK.

Após terminado o processo, observe que o HEX do disco está completamente zerado (pattern definido na tela do WIPE). Inclusive a área (GPS PS/SO do EnCase) onde se esperava a MBR do disco, está zerada.

Como resultado, o disco deve ser inicializado no sistema operacional:

Note que, após operação de WIPE, o Windows reconhece o disco como NOT INITIALIZED...

Bom pessoal, é isso.... Wipe garante que o arquivo deletado não pode mais ser recuperado, por isso deve ser utilizado com muita cautela. Até o próximo post!

Fonte:
http://www.qsgi.com/usdod_standard_dod_522022m.htm
Guidance Software EnCase User Guide

1 comment:

Cleórbete Santos said...

É uma controvérsia sem fim: http://grot.com/wordpress/?p=154. Abraço.

Post a Comment