Monday, August 15, 2011

um pouco mais sobre wipe

Sempre que falo sobre a importância da sanitização de mídias em um processo forense, gero polêmicas e discussões (saudáveis) sobre o tema: Wipe é importante? Qual método utilizar? Existem equipamentos "mágicos" que recuperam dados sobrescritos?


Existe uma característica nos discos atuais que, devido a forma como eles operam, permitem que dados sejam recuperados mesmo após remoção dos dados do disco. Esta caratcerística se chama data remanence e pode recuperar os dados empregando-se uma técnica chamada de Magnetic force microscope, ou MFM.

Como se proteger? Sanitização! Alguns padrões de wipe reconhecidos no mercado:

1. Standard overwite (1 pass)
PassBinary DataHex Data
100000000 00000000 0000000000 00 00

2. DoD 5220.22-M(E) (3 passes) (http://4n6.cc/OBM5I  /  http://4n6.cc/F4pfq)
It is US depatment of defense standard.
PassBinary DataHex Data
100000000 00000000 0000000000 00 00
211111111 11111111 11111111FF FF FF
3(Random)(Random)

3. DoD 5220.22-M(ECE) (7 passes) (http://4n6.cc/OBM5I  /  http://4n6.cc/F4pfq)
It is US depatment of defense standard.
PassBinary DataHex Data
1(Random byte)(Random)
2(Random complement byte)(Random)
3(Random data)(Random)
4(Random data)(Random)
5(Random byte)(Random)
6(Random complement byte)(Random)
7(Random data)(Random)

4. AR380-19 (3 passes) (http://4n6.cc/2BbEZ   /   http://4n6.cc/lcxzW)
It is US Army standard.
PassBinary DataHex Data
1(Random data)(Random)
2(Random byte)(Random)
3(Random complement byte)(Random)

5. Russian GOST P50739-95 (2 passes)
PassBinary DataHex Data
100000000 00000000 0000000000 00 00
2(Random)(Random)

6. Gutmann (35 passes) (http://4n6.cc/gT3dL    /    http://4n6.cc/e7ATc)
PassBinary DataHex Data
1(Random)(Random)
2(Random)(Random)
3(Random)(Random)
4(Random)(Random)
501010101 01010101 0101010155 55 55
610101010 10101010 10101010AA AA AA
710010010 01001001 0010010092 49 24
801001001 00100100 1001001049 24 92
900100100 10010010 0100100124 92 49
1000000000 00000000 0000000000 00 00
1100010001 00010001 0001000111 11 11
1200100010 00100010 0010001022 22 22
1300110011 00110011 0011001133 33 33
1401000100 01000100 0100010044 44 44
1501010101 01010101 0101010155 55 55
1601100110 01100110 0110011066 66 66
1701110111 01110111 0111011177 77 77
1810001000 10001000 1000100088 88 88
1910011001 10011001 1001100199 99 99
2010101010 10101010 10101010AA AA AA
2110111011 10111011 10111011BB BB BB
2211001100 11001100 11001100CC CC CC
2311011101 11011101 11011101DD DD DD
2411101110 11101110 11101110EE EE EE
2511111111 11111111 11111111FF FF FF
2610010010 01001001 0010010092 49 24
2701001001 00100100 1001001049 24 92
2800100100 10010010 0100100124 92 49
2901101101 10110110 110110116D B6 DB
3010110110 11011011 01101101B6 DB 6D
3111011011 01101101 10110110DB 6D B6
32(Random)(Random)
33(Random)(Random)
34(Random)(Random)
35(Random)(Random)


Como curiosidade, mostro este caso de recuperação de dados críticos a partir de HDs encontrados nos escombros do World Trade Center, pós atentados de 09/11:




Para quem quiser saber mais sobre wipe, Guttman e a recuperação de dados deletados, recomendo a leitura dos seguintes papers:



Outras leituras recomendadas:

http://www.anti-forensics.com/disk-wiping-one-pass-is-enough
http://www.anti-forensics.com/disk-wiping-one-pass-is-enough-part-2-this-time-with-screenshots

No comments:

Post a Comment