forensic : effacement d'un disque dur (et recover)

On 07 Sep 2006 14:42:35 GMT, Olivier Masson <sisemen@laposte.net>:

Autre point de curiosité : est-il possible de savoir que l'on a utilisé
un eraser ?

Ben... S'il n'y a plus de table de partitions, ni d'informations de
formatage (FAT ou MFT), mais que le disque est rempli de données
aléatoires, on peut se douter qu'il y a eu un effacement.

Par contre, si tu formates le disque en NTFS, puis que tu y installes
un Windows tout neuf, avec Norton tant qu'à faire, et qu'enfin tu
remplis le disque à ras bord de films en DivX, ou de copies des
fichiers de DVD, tu pourras peut-être faire passer ton disque pour
celui d'un particulier, n'ayant aucun intérêt.
N'oublie pas de faire un formatage "léger" (style "format c:" sous
DOS) juste après.

est-il possible d'extrapoler ou un mélange
de fragments de fichiers pourrait-il créer la même entropie (même si
j'imagine que de ne trouver quasiment aucun header classique, type jpg,
serait très peu probable) ?

Note que le header doit forcément se trouver au début d'un secteur.
Typiquement, on ne cherchera à analyser que les 4 premiers octets de
chaque secteur (ou bloc de 512 octets).
Ensuite, si on veut affiner un petit peu, il suffit d'essayer de
décrypter le reste du secteur.

Supposons que je trouve les quatres octets "RIFF" au début d'un
secteur. Il y a des chances pour que ce soit un fichier AVI. Les
premiers octets d'un fichier AVI ont une structure très précise ;
vérifier qu'il s'agit bien d'un AVI est donc très facile.

Idem avec beaucoup de formats connus.

Donc, la réponse : oui, il est assez facile de repérer si les données
contenues sur un disque sont dues au hasard, ou sont de vrais
fichiers.

Le der des der : y a-t-il un outil logiciel réellement puissant
permettant la recherche de données ?

Bof... Il y a des outils qui permettent d'accélérer les choses, mais
aucun outil ne peut découvrir plus de choses qu'un type patient devant
un dump papier du contenu du disque.

Bon, j'exagère un petit peu, mais on peut retrouver des données avec
étonnamment peu de code.
J'ai dû, il y a assez longtemps, récupérer tous les fichiers TIFF que
je pouvais, à partir d'un dump des neuf dixièmes du disque dur d'un
Mac. L'algorithme fut fort simple : dès qu'un secteur commence par le
code correspondant (c'est peut-être TIFF, mais je n'en suis pas sûr),
je copie le secteur et les 5 Mo suivants dans un fichier recup001.tif.
S'il n'y a pas de fragmentation (ce serait malheureux, pour un si
petit fichier), le fichier est parfaitement lisible par Photoshop.

[Wow... Dans la série "Je ne sais pas répondre à la question, mais
c'est pas pour ça que je vais la fermer", elle se pose là, cette
réponse !]

Salut,
d'après mes connaissances, il est impossible de restaurer des données
effacées avec un logiciel du type eraser. Des logciels comme Encase et
Ilook ne restaure rien.

Il reste possible de voir que ce type de log a été utilisé

Bye

Ben... S'il n'y a plus de table de partitions, ni d'informations de
formatage (FAT ou MFT), mais que le disque est rempli de données
aléatoires, on peut se douter qu'il y a eu un effacement.

Sauf qu'Eraser permet de n'effacer que l'espace vide du disque (eraser
sur la corbeille) ou un fichier (eraser sur le fichier, idem pour un
déplacement de fichier).

J'imagine plutôt un script effaçant les fichiers (configs, historiques,
données, binaires...) problématiques uniquement.

Par contre, si tu formates le disque en NTFS, puis que tu y installes
un Windows tout neuf, avec Norton tant qu'à faire, et qu'enfin tu
remplis le disque à ras bord de films en DivX, ou de copies des
fichiers de DVD, tu pourras peut-être faire passer ton disque pour
celui d'un particulier, n'ayant aucun intérêt.
N'oublie pas de faire un formatage "léger" (style "format c:" sous
DOS) juste après.

Petite précision : je suis de l'autre côté. Je ne cherche pas à cacher
mais à savoir si l'on peut retrouver. En gros, déterminer la facilité
avec laquelle on peut cacher un contenu et, corollaire, la difficulté de
prouver qu'un contenu (même si on est incapable de le retrouver) a été
volontairement profondément détruit.
En prenant en compte le temps disponible (la personne a eu 5 minutes, 1
heures, 1 jour, 1 semaine), les outils existant (côté 'eraser' et côté
'retriever') et les connaissances informatiques du suspect.

Note que le header doit forcément se trouver au début d'un secteur.
Typiquement, on ne cherchera à analyser que les 4 premiers octets de
chaque secteur (ou bloc de 512 octets).

Un évidence à laquelle je n'avais même pas pensé.

Ensuite, si on veut affiner un petit peu, il suffit d'essayer de
décrypter le reste du secteur.

Supposons que je trouve les quatres octets "RIFF" au début d'un
secteur. Il y a des chances pour que ce soit un fichier AVI. Les
premiers octets d'un fichier AVI ont une structure très précise ;
vérifier qu'il s'agit bien d'un AVI est donc très facile.

Idem avec beaucoup de formats connus.

Oui, ça j'ai déjà fait. Mais il s'agissait de gros fichiers (maquettes
musique) donc fragmentation. Impossible avec mes connaissances de faire
quoique ce soit de grandiose.

Il s'agissait d'un disque sur lequel WinXP avait réinstallé. Ce dernier
avait formaté le disque (le proprio m'a assuré qu'il n'avait jamais
demandé ce formatage ...) donc Win s'est installé sur les données (mais,
heureusement, probablement surtout sur son ancien emplacement). Les
outils type 'unformat' n'ont rien donné à part du bruit.

Du coup, si quasiment toutes les photos ont pu être récupérées, les
maquettes donnent des trucs étranges du style début de la maquette puis
passage qui n'a rien à voir - bruit ou autre morceau -.

Bof... Il y a des outils qui permettent d'accélérer les choses, mais
aucun outil ne peut découvrir plus de choses qu'un type patient devant
un dump papier du contenu du disque.

Imaginons que l'on cherche des images. On connait les headers possibles
(on oublie la stegano), on lit jusqu'à trouver un autre header.

Dans le header, on devrait avoir les données permettant de connaître la
taille de l'image. On a également une terminaison, par exemple
'454E44AE426082' pour un png 8bits.

Sachant ça, on prend tous les fragments de fichiers qui vont d'un header
à un autre header.

Ensuite, on prend le reste, on cherche des footers et on remonte en
fonction de ce que l'on cherche.
Par exemple, il nous manque 800 octets pour finir un jpg : on remonte à
-800 octets à partir de chaque footers jpeg et on voit si ça colle
(cad si on a pas rencontre en cours un header ou un footer, puis test
visuel ).

Reste perdus les fragments sans header et footer qui, s'ils ne sont pas
nombreux, pourront être utilisés.

Où sont les nombreuses erreurs dans mon raisonnement :) ? Bon, et puis
je m'éloigne de mes questions initiales.

[Wow... Dans la série "Je ne sais pas répondre à la question, mais
c'est pas pour ça que je vais la fermer", elle se pose là, cette
réponse !]

:) Mais non, ça fait toujours avancer un peu les choses.

Le problème c'est que... je ne sais pas où trouver les bonnes réponses.

Olivier Masson wrote:

Bonjour,

Bonsoir,

savez-vous quelles sont les capacités (et les prix, si vous avez) des
labo qui recherchent les données sur disque dur effacés ?

Il me semble que ces "labos" sont plus spécialisés dans la récupération
de données *physiquement* difficiles à récupérer (plateaux endommagés,
electronique HDD grillée), même si l'on imagine qu'ils savent récupérer
des données après un simple format c:. On en a assez parlé après le 11
septembre par exemple.

Est-il possible, sans requérir à des moyens énormes (cad > 100 keuros),
de pouvoir récupérer des données effacées avec un outil comme Eraser en
mode Guttmann 35 passes ?

Je ne sais pas trop ce que vaut le guttman 35 passes mais j'ai trouvé
une doc l'expliquant, ça peut aider:

http://www.cs.auckland.ac.nz/~pgut001/pubs/secure_del.html


Pour ma part, je détruis les données sensibles d'un disque en faisant un
DBAN autonuke (http://dban.sourceforge.net/), puis un formattage bas
niveau du disque (http://www.webegeek.net/downloads/disk/maxllf.exe).

Avec ça, je ne pense pas que des secrets commerciaux ou autre de ma
boîte se retrouvent dans la nature (c'est sûr, c'est des plans de bombe
nucléaire ;-).

Y a-t-il l'équivalent sous linux ?

Autre point de curiosité : est-il possible de savoir que l'on a utilisé
un eraser ? Si on voit la répétition d'un motif, style 00 ou FF, ça
parait suspect, mais si ce sont des données pseudo-hasardeuses
(pseudo-random data quoi :)) est-il possible d'extrapoler ou un mélange
de fragments de fichiers pourrait-il créer la même entropie (même si
j'imagine que de ne trouver quasiment aucun header classique, type jpg,
serait très peu probable) ?

Voir le premier lien que j'ai donné, ou Peter Gutmann lui-même explicite
son algorithme.

--
Laurent

Olivier Masson wrote:

savez-vous quelles sont les capacités (et les prix, si vous avez) des
labo qui recherchent les données sur disque dur effacés ?

Il me semble que leurs services specifiques consistent surtout a
recuperer des donnees quand le hardware a lache'. Pour des donnees
simplement effacees un bon logiciel suffit.

Est-il possible, sans requérir à des moyens énormes (cad > 100 keuros), de pouvoir récupérer des données effacées avec un outil comme Eraser en mode Guttmann 35 passes ?

Non. Meme avec des moyens enormes, d'ailleurs.

Y a-t-il l'équivalent sous linux ?

srm, grind, safeshred, shred, wipe (voir ici:
http://www.infoanarchy.org/en/File_wipe ). Il parait que ca n'est pas
fiable avec les systemes de fichiers journalises (un petit test est
suggere' ici: http://www.zone-h.fr/forum/viewtopic.php?tS )

Autre point de curiosité : est-il possible de savoir que l'on a utilisé un eraser ?

Il est possible de voir combien de fichiers ont etes effaces avec
Eraser, de determiner, au moins en partie, le pattern choisi pour
l'ecrasement (pour la derniere passe uniquement si plusieurs ont etees
utilisees, ce qui est de toutes facons inutile) et la date du dernier
effacement. Par contre, le contenu ainsi efface' est completement
irrecuperable, quels que soient les moyens mis en oeuvre. Les noms et
tailles des fichiers (master file table) sont eux aussi effaces.

Si la personne qui a procede' a l'effacement n'a pas pris de
precautions supplementaires (copies/suppressions de fichiers anodins,
defragmentation, etc.), il est facile de determiner post-mortem si le
menage a ete' fait, et ce avec des outils relativement rudimentaires
(par exemple: "Restoration", cf. lien ci-apres ). Voici un exemple de
disque "nettoye'" avec Eraser:
http://www.newffr.com/tweakie/eraser_result.gif

A savoir: l'ecrasement des donnees par Eraser demande du temps: pres de
2h pour effacer l'espace libre (~11Go) sur un disque de 40Go a
5400tr/min sur mon laptop, avec une unique passe non aleatoire. Il
existe des methodes aussi fiables mais beaucoup plus rapides, qui font
partie des standards ATA et SCSI recents, mais qui ne permettent que
d'effacer l'integralite' du disque:
http://cmrr.ucsd.edu/hughes/CmrrSecureEraseProtocols.pdf

Les faiblesses de ce type de methode ont recu un certain eclairage
mediatique recemment, lors de l'analyse de l'ordinateur d'Imad Lahoud
dans le cadre de l'affaire Clearstream.

Exrait d'un article du Monde (ici:
http://www.lemonde.fr/web/article/0,1-0@2-707639,36-790129,0.html):

"L'expertise a révélé d'autres détails édifiants. L'ordinateur de
M. Lahoud a gardé la trace de l'effacement de 623 629 fichiers - sur
un total de 716 000 - durant le seul mois d'avril 2005, soit juste
avant la perquisition conduite dans son bureau de Suresnes
(Hauts-de-Seine). Les juges peuvent en déduire que leurs
investigations inquiétaient M. Lahoud au point de l'entraîner à
détruire de nombreux documents. De semblables effacements ont été
constatés sur l'ordinateur de M. Gergorin, dans la nuit du 24 au 25
avril 2005."

Imad Lahoud affirmait pour sa defense que ces effacements etaient en
fait realises dans le cadre d'une tache planifiee s'executant tous les
jours a minuit, et n'avaient pas pour objet de nuire aux investigations
de la justice (
http://www.lefigaro.fr/france/20060519.WWW000000802_imad_lahoud_jetais_en_mission_pour_la_dgse_.html
).

Techniquement, la version de Lahoud est credible:
- Eraser possede une interface dediee a la planification de taches
- La date de derniere modification des "fichiers effaces" serait de
toute facon la date du dernier effacement (i.e. toujours "la veille de
l'investigation", pour une tache quotidienne).

Toutefois, la configuration des taches planifiees est sauvegardee dans
un fichier "default.ers". La date de derniere modification de ce
fichier pourrait permettre (a verifier) aux enqueteurs d'infirmer ou de
confirmer la version de Lahoud (je sais, je m'eloigne du sujet
initial).

--
Tweakie

On 08 Sep 2006 19:09:10 GMT, Olivier Masson <sisemen@laposte.net>:

Petite précision : je suis de l'autre côté. Je ne cherche pas à cacher
mais à savoir si l'on peut retrouver. En gros, déterminer la facilité
avec laquelle on peut cacher un contenu et, corollaire, la difficulté de
prouver qu'un contenu (même si on est incapable de le retrouver) a été
volontairement profondément détruit.

Tu es flic, ou quelque chose de ce goût-là ?

En prenant en compte le temps disponible (la personne a eu 5 minutes, 1
heures, 1 jour, 1 semaine), les outils existant (côté 'eraser' et côté
'retriever') et les connaissances informatiques du suspect.

Il s'agit de repérer si un contenu a été effacé pour savoir si ça vaut
le coup de payer un labo pour essayer de récupérer les données, ou
bien pour savoir s'il convient de s'inspirer du manuel de l'officier
de renseignement pour faire parler le suspect ?

Pour la première solution (i.e. tentative onéreuse de récupération),
tu remarqueras que les outils logiciels sont finalement assez peu sûrs
(on ne sait pas trop si les données sont récupérables ou pas), et
surtout prennent énormément de temps.
Si j'avais des données compromettantes sur mon disque dur, et dix
minutes pour les effacer, je n'utiliserais certainement pas un
logiciel, mais un tournevis pour ouvrir le disque, puis le four à
micro-ondes, la gazinière, et un marteau. En prime, ça demande peu de
connaissances en informatique.

Si j'ai le temps et que je ne dois vraiment pas abimer le disque,
alors je pense que j'utiliserais la méthode décrite dans mon premier
message : plusieurs "dd if=/dev/urandom of=/dev/hda", installation de
Windows XP, remplissage complet du disque avec des conneries (vidéos
par exemple), puis éventuellement un formatage rapide.

Il s'agissait d'un disque sur lequel WinXP avait réinstallé. Ce dernier
avait formaté le disque (le proprio m'a assuré qu'il n'avait jamais
demandé ce formatage ...) donc Win s'est installé sur les données (mais,
heureusement, probablement surtout sur son ancien emplacement). Les
outils type 'unformat' n'ont rien donné à part du bruit.

Il y a tout de même des outils (style GetDataBack) qui donnent de bons
résultats.
Mais si le disque a été volontairement effacé (ne serait-ce que par un
dd if=/dev/zero of=/dev/hda1), aucun outil logiciel ne peut faire quoi
que ce soit.

Bon, et puis je m'éloigne de mes questions initiales.

Effectivement. Là, on parle d'aider le propriétaire du disque dur à
récupérer ses données.

Il y a une énorme différence entre perdre quelques données par erreur,
et s'assurer qu'il n'y a absolument aucun moyen de les récupérer.

On 07 Sep 2006 14:42:35 GMT, Olivier Masson <sisemen@laposte.net>:

forensic : effacement d'un disque dur (et recover)

J'aimerais élargir un peu le débat, et "renverser" le problème :
comment faire, quand on a des données sensibles, pour les protéger
efficacement contre une perquisition ou un cambriolage ?

Mettre les données brutes sur le disque dur ne convient bien
évidemment pas -- le présent thread a rappelé que nettoyer un disque
dur sans que ça se voit est long, compliqué et hasardeux.

Créer une partition Truecrypt ne convient pas non plus -- les données
risquent de se retrouver sur le swap ou dans un répertoire temporaire.
Et en prime, ce n'est pas assez discret.

Ma préférence irait vers la clé USB, avec un Linux soit installé
directement sur la clé, soit un CD de boot style Knoppix. Dans les
deux cas, il n'y a aucun accès au disque dur, donc aucune donnée
sensible n'y est copiée. Et une clé USB est bien plus facile à
escamoter et à détruire qu'un disque dur.
Bien évidemment, comme on a vite fait de la perdre ou de se la faire
voler, un cryptage (Truecrypt ou autre) est indispensable.

Qu'en pensez-vous ?
Y a-t-il plus sioux ?

Il me semble que ces "labos" sont plus spécialisés dans la récupération
de données *physiquement* difficiles à récupérer (plateaux endommagés,
electronique HDD grillée), même si l'on imagine qu'ils savent récupérer
des données après un simple format c:. On en a assez parlé après le 11
septembre par exemple.

D'après le peu que je sais, il est fort possible de récupérer les
données d'un disque formaté, même avec un remplissage 'random' par la
suite. Les têtes de lectures d'un disque ont une certaine précision, qui
reste grand public. Le champ magnétique (mon imprécision doit faire rire
les experts :)) 'déborde' de la piste.
Une analogie, vaguement équivalente : rappelle-toi des K7 audio où tu
pouvais parfois entendre la chanson suivante commencer en écho à la fin
de la précédente (si tu n'as jamais entendu ça, ça va rester flou pour toi).

Les labos experts utilisent des instruments de lecture extrêmement plus
précis et sensibles. Il est donc possible de retrouver les infos
effacées maintes fois, sauf à effacer le champ résiduel petit à petit
(pitié, ne m'en voulait pas pour ces termes imprécis utilisés).

Je ne sais pas trop ce que vaut le guttman 35 passes mais j'ai trouvé
une doc l'expliquant, ça peut aider:

http://www.cs.auckland.ac.nz/~pgut001/pubs/secure_del.html

Ah tiens c'est sympa, je n'avais jamais pensé à chercher.

Le 08-09-2006, Olivier Masson <sisemen@laposte.net> a écrit :

[ reconstruire des donnees depuis un flot d'octets ]

Une piste (qui vaut ce qu'elle vaut).

Admettons un disque formate (mais non recouvert de donnees). Un outil
comme le hachoir devrait t'aider a chercher des donnees:
http://hachoir.org/
--
Kevin

Tu es flic, ou quelque chose de ce goût-là ?

Du tout. J'aide des amis avocats en leur disant ce que je sais et si les
experts qu'ils entendent sont compétents (c'est loin d'être toujours le
cas !)

Il s'agit de repérer si un contenu a été effacé pour savoir si ça vaut
le coup de payer un labo pour essayer de récupérer les données, ou
bien pour savoir s'il convient de s'inspirer du manuel de l'officier
de renseignement pour faire parler le suspect ?

C'est exactement la première solution.

Si j'avais des données compromettantes sur mon disque dur, et dix
minutes pour les effacer, je n'utiliserais certainement pas un
logiciel, mais un tournevis pour ouvrir le disque, puis le four à
micro-ondes, la gazinière, et un marteau. En prime, ça demande peu de
connaissances en informatique.

Ca se voit, donc c'est déjà un très gros début de preuve.

Si j'ai le temps et que je ne dois vraiment pas abimer le disque,
alors je pense que j'utiliserais la méthode décrite dans mon premier
message : plusieurs "dd if=/dev/urandom of=/dev/hda", installation de
Windows XP, remplissage complet du disque avec des conneries (vidéos
par exemple), puis éventuellement un formatage rapide.

On en revient au même. Moi je préfère mon Guttman 35 passes mais je n'ai
toujours pas la réponse à ma question : peut-on récupérer des données
après un tel effacement ?