 |
Hace ya un largo rato, compartimos un tip muy conocido: Shift + Delete suele ser una combinación de teclas usualmente asignada para eliminar el archivo seleccionado sin enviarlo a la papelera. No obstante, una unidad forense podría recuperar el archivo utilizando un software especial.¿Cómo borrar esa información secreta en forma definitiva? Pasá y enterate… |
Antes que nada, amigos conspiranoicos, déjenme advertirles que si están preocupados por la seguridad de sus archivos, la mejor opción es encriptar el disco entero (si son realmente unos perseguidos) o, en el mejor de los casos, la carpeta donde guarden sus archivos ultra-secretos.
Si, aún así, querés saber cómo borrar un archivo en forma definitiva, seguí leyendo.
Shred
Esta herramienta se ejecuta desde la línea de comandos y viene instalada por defecto en casi todas las distros populares. Permite borrar archivos y particiones en forma segura, utilizando el método Gutman.
Trozado rápido
shred -vzn 0 /dev/sda1
borra la partición sda1, rellenándola con ceros.
Trozado seguro
shred -vzn 3 /dev/sda1
borra toda la partición sda1, rellenándola con números aleatorios, luego de 3 iteraciones. Además, escribe ceros para esconder el proceso de trozado al final. Este método lleva 4 veces más tiempo que el trozado rápido.
Para borrar un simple archivito, basta con escribir:
shred -u misecreto.txt
Para más información sobre shred, ingresá:
man shred
SRM
Otra alternativa es SRM, del paquete de herramientas Secure Delete.
Instalá Secure Delete:
apt-get install secure-delete
Secure Delete viene con 4 herramientas:
srm (secure remove), que permite borrar archivos y directorios en forma permanente
srm misecreto.txt
Para borrar una carpeta:
srm -r /mi/ruta/secreta/
el atributo -r es para que funcione en forma recursiva, eliminando todas las subcarpetas.
smem (secure memory wiper), que permite limpiar tu memoria RAM
Si bien es cierto que la memoria RAM se vacía cuando apagamos la compu, es probable que no sepas que existen ciertos trazos de información residual que quedan en la memoria y que, al igual que sucede en los discos rígidos, no se borran hasta que son reescritos varias veces. Esto significa que alguien lo suficientemente capacitado que cuente con las herramientas apropiadas puede descubrir al menos parte de la información almacenada en tu RAM.
El comando smem puede utilizarse con algunos parámetros para optimizar su rendimiento, pero lo más usual es ejecutarlo así solito.
smem
sfill (secure free space wiper), que limpia en forma permanente todo el espacio libre de tus discos
sfill es ideal para aquellos que quieren dejar «limpito» un disco. Es probable que para ejecutarlo sin problemas necesites permisos de administrador.
sfill /ruta/montaje/disco
sswap (secure swap wiper), que limpia en forma permanente toda la información almacenada en la partición swap.
Si te tentó la idea de usar smem, entonces no podés dejar de utilizar sswap. De lo contrario, la limpieza quedará «a medias».
Primero, es necesario deshabilitar el swap. Averigüemos primero en qué partición se encuentra:
cat /proc/swaps
Luego, lo deshabilitamos
sudo swapoff /dev/sda5
No olvides reemplazar sda5 por la partición del swap que estés utilizando.
Finalmente, ejecutá el comando sswap, pasando como parámetro la ruta del swap:
sudo sswap /dev/sda5
Una vez más, reemplazá sda5.
16 comentarios, deja el tuyo
Interesante el articulo, sobretodo por lo que hace refeferencia a los discos ssd. Desconocia estas tecnicas de borrado y que no funcionen al 100% en este tipo de discos.
Excelente muchas gracias a favoritos.
no puedo borrar archivos de musica.me dice que los archivos no existen. que puedo hacer?
Exelente esta si no me la sabía 😀 gracias por el dato.
Así es… por eso la advertencia al final del post.
Saludos! Pablo.
Lo mejor: 2 minutos al microondas… PEM, que le dicen. Ahora, en serio: en man wipe se puede leer «I hereby speculate that harddisks can use the spare remapping area to secretly make copies of your data. Rising totalitarianism makes this almost a certitude. It is quite straightforward to implement some simple filtering schemes that would copy potentially interesting data. Better, a harddisk can probably detect that a given file is being wiped, and silently make a copy of it, while wiping the original as instructed.» Los discos con «journalling» no aseguran su completo borrado. Busquen por ahí, y fíjense que NADA asegura eliminar la totalidad de la información. Lo único seguro es la destrucción física de la superficie de los platos del disco.
Muy buen información.
Saludos.
Muy pero muy buena info asi cada dia uno aprende mas esta excelente y capas q se conviertan a unos de mis top comandos, también se puede eliminar información de HDD con el comando dd
for n in {1..7}; do dd if=/dev/urandom of=/dev/sda bs=8b conv=notrunc; done
Lo leí en otro blog hace un tiempo y lo anote, se ve muy util, lo que hace es llenar el HDD 7 veces con caracteres al azar
De nada! 🙂
Pensaba que el Shred es una técnica de guitarra xD
Jaja! También…
Normalmente yo suelo hacer «echo tatata > archivo», de este modo elimino el contenido y luego borro el archivo. Lo que no sé es si realmente al encoger el tamaño del archivo se quedarán datos en los sectores del disco liberados.
Me parece que eso no funciona , porque solo escribes parcialmente el fichero. Yo recuerdo que lo que hacia antes de conocer shred ( lo conocía antes de este post ) , era crear un alias llamado machacar que lo que hacia era
head -c $(wc -c ARCHIVO) /dev/urandom > ARCHIVO
el $(..) te da el resultado de un comando , de forma que con wc -c miro el tamaño en bits del fichero , tomo X caracteres aleatorios ( si , paranoicos , ya se que es mejor usar /dev/random porque es aleatorio real , pero vamos , para borrar un fichero con urandom vale y es mas rápido ) , y los escribo en el fichero. Después lo borras
Aun así ya te digo que es una solución bastante casera , para algo existe shred
Saludos
muy interesante
Muy bueno me hacia falta.
Lo de borrar la ram lo veo de una extrema paranoia , y mira que tengo el disco duro cifrado , pero vamos , que rescatar datos de una ram es extremadamente complicado y es muy probable que los condensadores se hayan descargado antes. Por lo que tengo entendido , lo que se hace en casos de analisis forense ( tengo un conocido de mi hacklab cuya especialidad es esa ) , es abrir la tapa del server encendido , arrancar la ram con el trasto encendido ( cosa la cual causa una «linda» interrupcion 0x00 al microprocesador , apagando el pc , porque un fallo a si de gordo no es tolerable ) , metes la ram echando leches en nitrogeno liquido con una unidad de lectura especializada … en fin , que borrar la ram ya es de un buen nivel paranoico …
Además , una forma de descargar tu placa base y todos sus componentes , es en el caso de un sobremesa desenchufarlo , si es un portatil sacarle la bateria , pulsas el boton de encendido varios segundos repetidas veces y ahi no queda nada en los condensadores , solamente en la pila de la CMOS ( la memoria de configuracion de la BIOS )
Saludos