Informática Forense – Borrado seguro de archivos con Wipe, e integración en el explorador Nautilus

En la entrada anterior sobre informática forense, vimos como recuperar archivos borrados, incluso de discos formateados; siempre que no hubiéramos sobrescrito los distintos cluster donde se almacenaba la información en el disco afectado.

Borrar-disco-700x500En esta ocasión aprenderemos a borrar archivos de forma segura sobrescribiendo varias veces con datos aleatorios el disco, para imposibilitar o dificultar la tarea de recuperación posterior; dependiendo de las opciones con las que ejecutemos este software de borrado seguro.

Para ello vamos a utilizar el paquete wipe, disponible para las distribuciones GNU/Linux basadas en Debian desde los repositorios oficiales; y finalmente lo integraremos en el explorador de archivos Nautilus, para hacer mas cómodo su manejo.

#Instalamos wipe
usuario@maquina:~$ sudo apt-get install wipe

Ahora crearemos un directorio con algunos archivos dentro, para finalmente borrarlos de forma segura con Wipe.

usuario@maquina:~$ sudo mkdir directorio
usuario@maquina:~$ cd directorio
usuario@maquina:~$ sudo touch archivo1 archivo2 archivo3
usuario@maquina:~$ ls
archivo1 archivo2 archivo3

Podemos ejecutar wipe con muchas opciones distintas, yo voy a explicar las que he escogido.

c si por los permisos del directorio es necesario, ejecuta chmod para poder borrarlo.

r activa el borrado recursivo, para eliminar además del directorio todo su contenido.

i modo información, activa el modo verbose.

q modo rápido, por defecto 4 pasadas.

Q elige el número de pasadas al aplicar el modo rápido.

k no desvincula los archivos al sobrescribirlos, útil para limpiar un dispositivo completo.

Las demás opciones de wipe las podéis encontrar en su manual, accesible desde la terminal.

usuario@maquina:~$ man wipe

En primer lugar, veremos una de las maneras de borrar un directorio y su contenido.

usuario@maquina:~$ sudo wipe -cri /home/usuario/directorio
Okay to WIPE 1 directory ? (Yes/No) Yes
Entering directory 'directorio'
File archivo2 (0 bytes) wiped 
File archivo1 (0 bytes) wiped 
File archivo3 (0 bytes) wiped 
Going back to directory /home/usuario
Operation finished.
3 files wiped and 0 special files ignored in 1 directory, 0 symlinks removed but not followed, 0 errors occured.

También veremos como limpiar una partición entera, para lo que utilizaré el pendrive con los archivos recuperados por Foremost en la anterior práctica.

usuario@maquina:~$ sudo wipe -kqQ 6 /dev/sdb1
Okay to WIPE 1 special file ? (Yes/No) Yes
Wiping /dev/sdb1, pass 5 in quick mode [488896 / 488896] ETA 2h56m 
Operation finished. 
1 file wiped and 0 special files ignored in 0 directories, 0 symlinks removed but not followed, 0 errors occured.

Ahora vamos a integrar Wipe en el explorador de archivos Nautilus para utilizarlo de forma más cómoda, para lo que primero instalaremos la extensión.

#Instalamos la extensión para nautilus.
usuario@maquina:~$ sudo apt-get install nautilus-wipe

Y ya tenemos wipe integrado en Nautilus, con distintas opciones entre las que escoger.

2015-01-05-104419_1366x768_scrot

Podemos eliminar un archivo, directorio, o selección de directorios y/o archivos con la opción “wipe”.

O podemos limpiar todo el espacio libre en una partición con la opción “wipe available diskspace”; tanto con esta opción como con la anterior, podemos escoger si queremos sobreescribir los datos borrados una, dos o treinta-y-ocho veces.

Una vez termine de borrar de forma segura los archivos, o de limpiar el disco; y se rellene por completo la barra de proceso, wipe nos avisará con un mensaje.

Tras limpiar el pendrive con wipe, si creamos una partición e intentamos recuperar los archivos con Foremost; veremos que no encuentra ni uno solo.

usuario@maquina:~$ sudo foremost -v -T -t all -i /dev/sdb1 -o /home/usuario/Escritorio/recuperados
Foremost version 1.5.7 by Jesse Kornblum, Kris Kendall, and Nick Mikus
Audit File

Foremost started at Tue Jan 6 16:50:28 2015
Invocation: foremost -v -T -t all -i /dev/sdb1 -o /home/usuario/Escritorio/recuperados 
Output directory: /home/usuario/Escritorio/recuperados_Tue_Jan__6_16_50_28_2015
Configuration file: /etc/foremost.conf
Processing: /dev/sdb1
|------------------------------------------------------------------
File: /dev/sdb1
Start: Tue Jan 6 16:50:28 2015
Length: 7 GB (8010072064 bytes)
 
Num Name (bs=512) Size File Offset Comment 

*****************************************************************************|
Finish: Tue Jan 6 16:59:23 2015

0 FILES EXTRACTED
 
------------------------------------------------------------------

Foremost finished at Tue Jan 6 16:59:23 2015

Si te ha gustado puedes seguirme en Twitter, Facebook, Google+, Linkedin, o compartirlo con los botones ubicados debajo de esta publicación, si tienes cualquier pregunta o sugerencia no dudes en comentar.

Ayudanos a llegar a más lectores Share on LinkedInShare on FacebookTweet about this on TwitterShare on Google+Email this to someone

Deja un comentario