Quando você apaga dados de um HD, formata a unidade, instala outro sistema operacional ou altera partições, pode parecer que tudo foi apagado, mas na realidade, os dados ainda permanecem na unidade e podem ser recuperados com ferramentas de análise forense. Arquivos, partições e rastros digitais podem ser restaurados, tornando a exclusão comum um risco à privacidade e segurança. Para evitar isso, é essencial utilizar técnicas como o secure delete, que garantem a eliminação definitiva dos dados. Neste tutorial, explicaremos por que o HD é a melhor opção para apagar informações com segurança e por que o secure delete não funciona corretamente em SSDs, pendrives e dispositivos semelhantes. Você também aprenderá as técnicas adequadas para realizar essa tarefa de forma eficiente, além de como evitar as armadilhas que comprometem a segurança de quem é inexperiente em proteção de dados.
1. Primária: Uma partição que pode conter um sistema operacional. O MBR (Master Boot Record) permite até 4 partições primárias.
2. Lógica: Uma partição que reside dentro de uma partição estendida. Permite criar mais partições além das 4 primárias, útil para organizar dados.
3. Estendida: Uma partição que não pode conter dados diretamente, mas serve como um contêiner para partições lógicas.
- MBR (Master Boot Record): Um esquema de partição mais antigo que suporta até 2 TB de disco e até 4 partições primárias. É limitado e não suporta discos maiores.
- GPT (GUID Partition Table): Um esquema mais moderno que suporta discos muito maiores (mais de 2 TB) e permite um número praticamente ilimitado de partições. É mais robusto e inclui redundância.
- LVM (Logical Volume Manager): Uma camada de abstração que permite gerenciar partições de forma mais flexível, permitindo redimensionar, criar e excluir volumes lógicos facilmente.
- Criptografia: Refere-se à proteção de dados em partições ou volumes, garantindo que os dados sejam acessíveis apenas por usuários autorizados. Pode ser implementada em conjunto com LVM para proteger volumes lógicos.
Quando se trata de apagar dados de dispositivos de armazenamento, é importante entender que a eficácia do processo varia de acordo com o tipo de tecnologia utilizada. Vamos explorar as diferenças entre SSDs, pendrives, eMMC, UFS, cartões SD e HDDs, e como cada um lida com a exclusão de dados.
1. SSD (Solid State Drive): Os SSDs utilizam memória flash NAND, que tem um funcionamento diferente dos discos rígidos tradicionais. Quando você apaga um arquivo, o SSD não remove os dados imediatamente. Em vez disso, ele marca o espaço como disponível para gravação futura. Isso significa que, até que novos dados sejam gravados nesse espaço, os dados apagados podem ser recuperados. Além disso, a tecnologia TRIM, que otimiza o desempenho do SSD, pode complicar ainda mais a recuperação de dados.
2. Pendrive: Semelhante aos SSDs, os pendrives também usam memória flash. A exclusão de arquivos em um pendrive não garante que os dados sejam removidos permanentemente. A recuperação pode ser possível até que o espaço seja sobrescrito.
3. eMMC (Embedded MultiMediaCard): eMMC é uma forma de armazenamento flash frequentemente utilizada em dispositivos móveis e tablets. Assim como os SSDs e pendrives, a exclusão de dados em eMMC não é definitiva, pois os dados podem permanecer acessíveis até que sejam sobrescritos.
4. UFS (Universal Flash Storage): UFS é uma tecnologia de armazenamento mais avançada que também utiliza memória flash. A exclusão de dados segue o mesmo princípio dos outros dispositivos de armazenamento baseados em flash, onde os dados podem ser recuperados até que sejam sobrescritos.
5. Cartões SD: Os cartões SD, usados em câmeras e dispositivos móveis, também operam com tecnologia de memória flash. A exclusão de arquivos não garante que os dados sejam apagados permanentemente, e a recuperação pode ser feita com ferramentas apropriadas.
Para esses dispositivos, a única maneira de garantir que os dados sejam apagados de forma mais segura é utilizando software específico do fabricante, que pode implementar métodos de exclusão mais eficazes. No entanto, mesmo esses métodos não garantem a eliminação total dos dados.
1. HD ou HDD (Hard Disk Drive): Os discos rígidos tradicionais (HDDs) funcionam de maneira diferente dos dispositivos de armazenamento baseados em flash. Quando você apaga um arquivo em um HDD, os dados são removidos do índice, mas ainda podem ser recuperados até que o espaço seja sobrescrito. No entanto, existem métodos que podem garantir a exclusão permanente dos dados, tornando-os irrecuperáveis.
- Impedindo a recuperação por ferramentas forenses: Para garantir que os dados não possam ser recuperados, é necessário sobrescrever os setores do disco com novos dados. Isso pode ser feito utilizando softwares específicos que implementam técnicas de sobrescrita múltipla.
- Softwares para usar (opcional):
- DBAN (Darik's Boot and Nuke): Um software popular que apaga completamente os dados de um HDD, sobrescrevendo os dados várias vezes para garantir que não possam ser recuperados.
- Ascomp Secure Eraser: Outro software que oferece opções de exclusão segura, utilizando métodos de sobrescrita para garantir que os dados sejam irrecuperáveis.
- dd do Linux usando /dev/zero & /dev/urandom: O comando `dd` pode ser utilizado para sobrescrever o disco com zeros (`/dev/zero`) ou dados aleatórios (`/dev/urandom`), garantindo que os dados originais sejam eliminados.
A forma como os dados são apagados varia significativamente entre diferentes tipos de dispositivos de armazenamento. Enquanto HDDs podem ser apagados de forma definitiva com as ferramentas certas, dispositivos baseados em memória flash, como SSDs, pendrives e cartões SD, requerem métodos específicos para garantir que os dados sejam realmente eliminados. É fundamental entender essas diferenças para proteger informações sensíveis e garantir a segurança dos dados.
Uma pesquisa conduzida por cientistas da Universidade da Califórnia em San Diego revela a dificuldade de apagar dados de forma confiável em unidades de estado sólido (SSDs). De acordo com o estudo, mesmo após a utilização de técnicas tradicionais de exclusão segura, até 75% dos dados podem permanecer nos dispositivos flash. A razão para isso é a diferença fundamental na arquitetura interna dos SSDs em comparação com discos rígidos tradicionais. Enquanto discos rígidos gravam dados em locações físicas específicas, os SSDs usam uma camada de tradução de flash (FTL) e frequentemente armazenam arquivos duplicados ou remanescentes em locações secundárias.
Os pesquisadores descobriram que métodos como a sobrescrita de dados, amplamente utilizados em discos rígidos, falham significativamente em SSDs. Por exemplo, até 67% dos dados de um arquivo ainda permaneceram após o uso do recurso de exclusão segura do macOS, enquanto outras técnicas, como a pseudorandomização, deixaram até 75% dos dados intactos. Além disso, esforços para apagar todo o disco também mostraram resultados inconsistentes, com alguns dispositivos ainda retendo 1% dos dados após 20 passagens de sobrescrita.
A degaussing, técnica que destrói a formatação de baixo nível de discos magnéticos, foi completamente ineficaz em SSDs, pois não atinge as características de armazenamento baseadas em flash. A solução mais eficaz identificada pelos pesquisadores foi o uso de criptografia nativa nos dispositivos, onde os dados podem ser inutilizados pela exclusão das chaves de criptografia. No entanto, essa abordagem depende da correta implementação pelos fabricantes, algo que não é garantido.
Essas descobertas têm implicações importantes para bancos, empresas e entusiastas de segurança, destacando a necessidade de novos métodos de sanitização de dados adaptados às peculiaridades dos dispositivos flash.
Fontes:
Artigo completo no USENIX | Postagem no blog de Bruce Schneier | The Register.
Nem sempre os softwares fornecidos pelos fabricantes garantem a sanitização completa dos dados em SSDs. De acordo com o estudo mencionado no Artigo completo no USENIX, embora os comandos de sanitização embutidos fornecidos pelos fabricantes sejam geralmente eficazes, há casos em que eles não são implementados corretamente.
Por exemplo, no estudo, alguns SSDs relataram que a sanitização havia sido bem-sucedida, mas todos os dados permaneceram intactos no dispositivo. Além disso, bugs foram encontrados em algumas implementações de comandos ATA de segurança, resultando na falha da exclusão segura ou até mesmo na não remoção de nenhum dado.
Portanto, mesmo ao usar softwares de fabricantes para sanitização, existe a possibilidade de que os dados ainda permaneçam recuperáveis. Isso ocorre porque a complexidade interna dos SSDs, como o gerenciamento de memória flash e a compressão de dados, pode interferir na eficácia desses métodos.
Confiar apenas nos softwares fornecidos pelos fabricantes pode não ser suficiente para garantir a eliminação total dos dados sensíveis.
O SSD e similares são uma bomba-relógio para a segurança dos dados, pois você não pode garantir realmente que os dados serão irrecuperáveis! Em certas operações sensíveis, você precisa garantir o uso de dados temporariamente e depois usar secure erase neles para assegurar o anonimato ou segurança.
Se você busca segurança e deseja garantir que certos dados sejam realmente apagados quando você desejar, seja em minutos ou após anos, é preciso que você os armazene em um HD. Se você os coloca em um pendrive, SSD ou similares, seus dados poderão ser recuperados por atacantes que tiverem acesso físico à sua mídia!
Luks e VeraCrypt já tiveram falhas, e era possível acessar os dados criptografados. Além disso, a criptografia não é à prova de tortura, logo, poderão obrigar você a fornecer a senha e, por meio de ataques forenses, recuperar todos os dados no SSD e similares. Criptografia em mídias de armazenamento é uma barreira, mas é mais garantido sanitizar os dados de tempos em tempos ou totalmente.
Se de tempos em tempos você sanitizar os dados de um HD e, só depois de 9 anos, alguém o obrigar a fornecer a senha do HD criptografado, o atacante poderá recuperar apenas 1 ano ou alguns meses de arquivos, mas não os arquivos de toda a vida. Se fosse um SSD, talvez ele recuperasse quase tudo, porque o secure erase não é eficaz, mesmo com softwares de fabricantes.
Se você precisa usar SSDs no seu Linux ou Mac, os dados sensíveis devem ser gravados em um HD externo e sanitizados com os métodos de secure erase que serão ensinados. Se você rodará algum programa, por exemplo, pode configurar seu sistema (avançado) para gravar todos os arquivos gerados durante o uso do programa na memória RAM, mas isso requer configurações e conhecimento mais avançado.
Todavia, esses são meios de assegurar que os dados, metadados e rastros que podem comprometer sua segurança ou privacidade sejam eliminados. Em SSDs, tudo poderá ser recuperado, por isso você deve evitar usar sistemas que realizam operações sensíveis, como operações com criptomoedas ou operações de anonimato, instalados em SSDs, mas sempre usar HDs para conseguir aniquilar o que quiser sem chance de recuperação forense.
O sistema operacional Tails é amnésico e, mesmo quando executado a partir de um pendrive, ele não grava nada após ser desligado, a menos que você ative o modo persistente. Essa característica é uma alternativa para mitigar as brechas de segurança associadas às memórias flash, como discutido anteriormente.
Um atacante online também poderá instalar uma estrutura ao se tornar root do sistema e fazer recuperação de dados rodando scripts em segundo plano. Durante uma invasão, você pode sofrer esse tipo de ataque, tornando ainda mais crítica a escolha adequada de mídia de armazenamento e métodos de sanitização .
O famoso zero fill usa o /dev/zero
para sobrescrever os dados e impedir a recuperação forense, mas esses métodos usam o /dev/urandom
também para fortificar o processo!
O software dd
já vem instalado como padrão. Use os comandos:
sudo dd if=/dev/zero of=partição_ou_HD bs=4096 status=progress; sudo dd if=/dev/urandom of=partição-ou_HD bs=4096 status=progress; sudo hexdump -C /dev/sdb1 | head;
Se o disco foi apagado com sucesso, você verá apenas zeros ou dados aleatórios, dependendo do método usado.
Shred é usado para arquivos específicos e não necessariamente uma partição inteira! O shred
geralmente está instalado em todos os Linux como padrão.
Para 5 passadas, abra o terminal e use o comando:
sudo shred -n 5 -vzu /caminho/do/arquivo
- -n 5
especifica 5 passagens de sobrescrita para maior segurança.
- -v
exibe o progresso da operação em tempo real.
- -z
adiciona uma passagem final com zeros para ocultar a sobrescrita.
- -u
remove o arquivo após a conclusão do processo de sobrescrita, garantindo que o arquivo não permaneça no sistema.
Para apagar todos os arquivos com 5 passadas de um diretório e subdiretórios:
sudo find /caminho/para/diretorio -type f -exec shred -n 5 -vzu {} \;
O shred
facilita sua vida pois você pode deletar de forma irrecuperável 1 ou alguns arquivos rapidamente em segundos sem precisar do secure erase no HD inteiro ou partição, o que levaria muito tempo dependendo do tamanho!
Supondo que a partição que você quer apagar é /dev/sdb1
(se fosse o HD inteiro seria /dev/sdb
):
Use lsblk -f ou gnome-disks no terminal para checar as partições!
O ideal é passar duas vezes:
sudo dd if=/dev/zero of=/dev/sdb1 bs=512; sudo dd if=/dev/urandom of=/dev/sdb1 bs=512;
Tempo estimado para HD de 500 GB: cerca de 6 a 8 horas por comando (total de 16 horas).
sudo dd if=/dev/zero of=/dev/sdb1 bs=512; sudo dd if=/dev/zero of=/dev/sdb1 bs=512; # Passe 35 vezes... script... # Você pode criar esse script usando esse código do for: for i in {1..35}; do sudo dd if=/dev/zero of=/dev/sdb1 bs=512; sudo dd if=/dev/zero of=/dev/sdb1 bs=512; done
Tempo estimado para HD de 500 GB: cerca de 23 dias!
O Annihilator foi desenvolvido por LeandroIbov para resolver o problema da falha de sanitização de mídias flash dos SSDs e pendrives usando ataques de corrupção nos arquivos, impedindo que atacantes recuperem ou leiam os dados se recuperarem. Ele também inclui opções como shred
e Secure Erase para HDDs (zero fill
) que facilitam todo esse processo.
Baixe aqui: https://github.com/leandroibov/annihilator e leia as instruções de uso.
Principais opções:
Shred
a single or all files recursively in a directory (secure erase | only on HDD)/dev/zero
& /dev/urandom
| only on HDD)SSD, pendrive, eMMC, UFS e SD card deixam rastros e os dados são recuperáveis, como já provamos aqui! Smartphones usam eMMC, UFS, SD ou micro SD cards, entre outros.
Criptografia em mídia de armazenamento, como discutimos anteriormente, possui brechas que podem permitir acessar as mídias e realizar ataques forenses. Se alguém pegar seu smartphone, os rastros e arquivos estarão lá, mesmo que você use sistemas como o GrapheneOS. Se você aplicou o secure delete na mídia dele, possivelmente não funcionará devido às peculiaridades das memórias flash.
Não use smartphones para operações de anonimato ultra sensíveis, use linux em HD ou Tails! A principal brecha está na mídia de armazenamento, que não é um HD e não permite o secure erase, essencial para proteger dados sensíveis que precisam ser apagados por razões de segurança.
Doar monero para ajudar no crescimento desse projeto: Clique aqui!