NOTA IMPORTANTE: El delito informático está severamente castigado por la ley. Esta página no promueve el delito informático, es divulgativa y muestra los mecanismos que utilizan los cibercriminales para poder identificar el ataque si has sido victima de uno de ellos. En el caso de que hayas sido victima de un ataque te recomendamos que busques recursos legales en la sección Cibercrime Law o en la página del Instituto Nacional de Ciberseguridad: https://www.incibe.es/

Blog

Cómo: eliminar evidencia de su computadora

¿Tiene un archivo (o muchos archivos) que, en las manos equivocadas, pueden causarle problemas? No se preocupe, porque le mostraré cómo borrarlo (o ellos) de su computadora para no dejar rastro.

Cuando borra un archivo con el comando eliminar (rm ), en realidad no lo está eliminando. El comando eliminar solo marca el inodo del archivo como gratis, pero los datos siguen ahí hasta que los sobrescribe.

Usaré Kali Linux versión 1 a lo largo de este tutorial, pero las herramientas utilizadas aquí son compatibles con muchas distribuciones y versiones.

Desgarrar

Desgarrar es un comando que viene con la mayoría de las distribuciones de Linux. Es útil para limpiar unidades enteras, pero también se puede utilizar para eliminar archivos de forma segura. Veamos qué puede hacer. He creado un Evidencia.txt archivo para mostrarle cómo funciona la herramienta:

Como puede ver, el contenido del archivo se ha sobrescrito con datos aleatorios, pero el archivo sigue ahí. Para eliminar el archivo, use la opción -u:

triturar -u evidencia.txt

Puede seleccionar varias iteraciones con el -norte opción:

triturar -u -n 10 pruebas.txt

Puede agregar una iteración adicional que sobrescriba los ceros con el -z mando:

triturar -u -n 10 -z evidencia.txt

Como puede ver, shred agrega la iteración adicional de la que estábamos hablando (11), también cambia el nombre del archivo varias veces. He usado el -v (detallado) opción para mostrar todo el proceso.

Eliminación segura

Este paquete viene con cuatro herramientas: srm (la versión segura de eliminar), sdmem (limpiar tu RAM), llenar (para limpiar el espacio libre de su disco duro), y sswap (obviamente, para borrar su partición de intercambio). No está instalado de forma predeterminada, pero puede instalarlo desde sus repositorios:

apt-get install eliminación segura

Es bastante sencillo eliminar un archivo con eliminación segura. Sólo tipo:

srm

De forma predeterminada, srm sobrescribe el contenido 38 veces. Puede agregar una iteración final de ceros como antes, con el -z opción:

srm -z

Para eliminar una carpeta, use el -r opción (recursiva):

srm -r

Para limpiar su RAM (es una memoria volátil, pero también almacena información residual hasta que se sobrescribe), use el comando sdmem:

sdmem

Para limpiar el espacio libre de su disco, use sfill:

sfill

Para borrar su partición de intercambio, primero debe desactivarla:

cat / proc / swaps

Desactive el intercambio escribiendo:

intercambio

Limpie la partición de intercambio:

sswap

Cuando haya terminado, vuelva a activar el intercambio:

intercambiar

Nota: Todos los procesos anteriores pueden llevar algún tiempo, porque todos se basan en el Método Gutmann.

Prueba

Hagamos una prueba rápida para ver si podemos recuperar archivos eliminados en una memoria USB. Conecte el dispositivo de almacenamiento a su computadora y navegue hasta el directorio del punto de montaje.

cd

(Tipo df -h para ver dónde está montado; en mi caso, está montado en / media / DATA.)

Cree un archivo y coloque algo de contenido dentro:

nano evidencia.txt

Guarda el archivo (Control+ O) y salga de nano (Control + X). Haga dos copias de ese archivo:

cp Evidencia.txt Evidencia1.txt
cp Evidencia.txt Evidencia2.txt

Retire una de esas copias con triturar:

triturar -u -n 10 -z evidencia1.txt

Elimine la otra copia con srm:

srm -z Evidence2.txt

Elimina el último archivo con rm:

rm Evidencia.txt

Ahora vamos a hacer una imagen de la unidad flash para hacer una investigación forense con Autopsy, que está integrado en Kali. Tipo:

dcfldd if = de = flashimage.img bs = 1M

Este proceso puede tardar un poco (dependiendo del tamaño de la memoria flash), así que tenga paciencia.

Una vez que tengamos la imagen, abra un caso en Autopsy (no voy a explicar cómo hacerlo, porque ya hay un tutorial aquí sobre Null Byte para eso) y analícelo:

Como puede ver, el único archivo que pudimos recuperar es el que hemos eliminado con rm. (Nota: estas técnicas de borrado no siempre funcionan, porque los discos duros a veces no escriben los datos donde esperamos, especialmente en unidades de estado sólido o SSD).

Conclusión

¡No use el comando rm si realmente desea eliminar un archivo!

Imagen de portada a través de Shutterstock

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
Cerrar