Desde los albores de la informática moderna una de las industrias que más se ha desarrollado a su sombra, es la del “análisis forense” de ordenadores. Ya sea a petición de órganos judiciales y/o para investigaciones policiales y/o privadas.
Las empresas punteras y referentes en este campo son dos:
Guidance Software y su producto estrella EnCase Forensic
AccessData y su producto FTK
Con la aparición de la informática personal y su progresivo uso en todos los ámbitos de la sociedad, empezó a ser necesario la extracción y análisis de la información depositada en diferentes tipos de soportes magnéticos. Los primeros programas, especializados en esta tarea, no tardaron en aparecer. Además de facilitar el volcado, catalogación y análisis de la información que contenían los soportes magnéticos, esto programas tenían una característica fundamental y diferencial, buscaban y reconstruían la información “borrada” por el usuario. Esta era la característica estrella de estas aplicaciones. Era realmente su utilidad, por que de otra manera, la información “visible”, podía ser obtenida y evaluada sin más. Hasta hoy.
Si el lector curioso visita hoy en día las webs de estas empresas, observara que dicha característica estrella, no se nombra específicamente, o esta muy “disimulada”, en el “marketing” de estas empresas.
Otro termino “desaparecido”, es el de “discos SSD”. Cuesta encontrar referencias directas. De hecho la única referencia que he encontrado, en el caso de la empresa del EnCase, es externa. Un seminario, con una conferencia titulada “SSD Forensics“
Con el siguiente texto introductorio: “Las Unidades de estado sólido (SSD) están reemplazando rápidamente a las unidades de medios de rotación que han estado en uso durante más de 50 años. Las tecnologías involucradas en SSDs plantean nuevos retos para los profesionales forenses en la actualidad. Vamos a explorar el funcionamiento interno de los SSD y qué se puede hacer para extraer la mayor cantidad de información posible.”
Podemos “leer entre líneas”, que los discos SSD, parecen suponer un “problema” para el análisis forense.
Y efectivamente así es, la combinación adecuada de hardware (discos de estado solido (SSD) o discos flash, con función TRIM) y el sistema operativo adecuado, no deja ningún rastro de la información borrada por el usuario. “Lo que ves, es lo que hay”.
Si vamos a comprar un ordenador, y la seguridad de nuestra información es un valor determinante para nosotros, Apple nos ofrece “out of the box”, varias caracteristicas de seguridad. Una de ellas es el soporte nativo de discos SSD con funcion TRIM, por el sistema operativo OSX.
Solo debemos escoger modelos de ordenador con discos SSD, en configuraciones de serie o CTO. No sirven los discos “Fusión drive”.
Si además, queremos dar otra vuelta de tuerca, escogeremos modelos con los discos SSD soldados a la placa (aunque esto, es opcional, en el tema de hoy, tendrá su importancia, en futuras entregas).
No debemos preocuparnos de nada más.
Con ello tenemos la seguridad, que la información “visible”, es la única que reside y se puede extraer de nuestro ordenador. Sin usar ningún tipo de programa añadido y/o configuración. De forma totalmente transparente al usuario.
Ahora solo debemos preocuparnos de la información “visible” y su protección…. , Pero eso, es otra historia, que abordaremos en otro capitulo.
PD: Para discos SSD de terceros, no soportados por Apple, instalados por el usuario, en ordenadores Mac antiguos, con sistema operativo OSX 10.7 o superior, la función TRIM no esta habilitada por defecto. Para activarla recomiendo esta utilidad.
PD2: Tal como indican varios atentos lectores, si instalamos discos SSD con TRIM en hardware, no se debe habilitar en OSX esta funcionalidad.
El problema de la seguridad es de arquitectura.
Cuando no se cuenta con una estrategia de seguridad centrada en el usuario. Ejemplo:
Forensic Explorer fast shadow copy access added
http://www.forensicfocus.com/News/article/sid=2077/
Pues yo no recomendaría “trim enabler”. En algunos sistemas es un desastre.
#2
En qué sistemas y por que?
A mi me va de luno el trim enable con mi 840pro de 256GB (uso un hackintosh).
#4
Pues ademas de funcionarte de lujo cuentas con la seguridad de tener “limpio” el soporte.
Fantástico articulo, muy aleccionador.., espero seguir aprendiendo.
Muy buen articulo, muchas gracias.
Hay una app, “Chameleon SSD optimizer”, que permite un par de configuraciones y es gratis. La uso desde hace tiempo sin problemas.
Saludos
#3 algunas marcas de disco duro, el TRIM esta incluida en la bios del propio disco duro. Activarlo (es decir tener un proceso de soft que lo haga por detras, cuando ya lo hace el hard) hace caer el rendimiento de forma espectacular.
#8 OWC es una de las marcas en las que no hay que activar el TRIM de OS X
Gracias a todos, #7 #8 #9.
Ya he modificado la entrada, para reflejar la situación, de discos SSD con TRIM integrado.
Si contamos con un disco no SSD, ¿borrar el espacio libre de forma segura con la ‘Utilidad de discos’ nos hace el mismo papel? ¿Es recuperable la información borrada? Y ¿Qué nivel de borrado, de entre los tres que permite entre “más rápido” y “más seguro” sería necesario para evitar la recuperación de esa información?