forensic : effacement d'un disque dur (et recover)
48 réponses
Olivier Masson
Bonjour,
savez-vous quelles sont les capacités (et les prix, si vous avez) des
labo qui recherchent les données sur disque dur effacés ?
Est-il possible, sans requérir à des moyens énormes (cad > 100 keuros),
de pouvoir récupérer des données effacées avec un outil comme Eraser en
mode Guttmann 35 passes ?
Y a-t-il l'équivalent sous linux ?
Autre point de curiosité : est-il possible de savoir que l'on a utilisé
un eraser ? Si on voit la répétition d'un motif, style 00 ou FF, ça
parait suspect, mais si ce sont des données pseudo-hasardeuses
(pseudo-random data quoi :)) est-il possible d'extrapoler ou un mélange
de fragments de fichiers pourrait-il créer la même entropie (même si
j'imagine que de ne trouver quasiment aucun header classique, type jpg,
serait très peu probable) ?
Le der des der : y a-t-il un outil logiciel réellement puissant
permettant la recherche de données ? Que valent les commerciaux
ProDiscover et Encase face aux live CD opensource Sleuth Kit, FIRE,
Helix ou INSERT ?
Voilà, c'est tout :) Merci pour vos éventuelles réponses.
Pourquoi êtes-vous si obsédés pas la police sur ce forum ? Vous pensez être de gros cyber-truand-justiciers ?
Peut-être parce que toute personne qui s'intéreresse de près ou de loin à la sécurité informatique, est automatiquement considérée comme un pirate par la justice.
On 15 Sep 2006 09:19:31 GMT, Olivier Masson <sisemen@laposte.net>:
Pourquoi êtes-vous si obsédés pas la police sur ce forum ? Vous pensez
être de gros cyber-truand-justiciers ?
Peut-être parce que toute personne qui s'intéreresse de près ou de
loin à la sécurité informatique, est automatiquement considérée comme
un pirate par la justice.
Pourquoi êtes-vous si obsédés pas la police sur ce forum ? Vous pensez être de gros cyber-truand-justiciers ?
Peut-être parce que toute personne qui s'intéreresse de près ou de loin à la sécurité informatique, est automatiquement considérée comme un pirate par la justice.
Fabien LE LEZ
On 15 Sep 2006 09:19:31 GMT, Olivier Masson :
Non, mais "For conventional degaussing to be successful with a hard disk, you would have to disassemble the drive and remove the platters.
Ça, je veux bien le croire. Le boîtier doit faire une belle cage de Faraday.
Once physically removed, it's questionable whether the degaussing process would be required.", c'est un peu juste.
Pas forcément, si les explications données plus bas se tiennent.
On 15 Sep 2006 09:19:31 GMT, Olivier Masson <sisemen@laposte.net>:
Non, mais "For conventional degaussing to be successful with a hard
disk, you would have to disassemble the drive and remove the platters.
Ça, je veux bien le croire. Le boîtier doit faire une belle cage de
Faraday.
Once physically removed, it's questionable whether the degaussing
process would be required.", c'est un peu juste.
Pas forcément, si les explications données plus bas se tiennent.
Non, mais "For conventional degaussing to be successful with a hard disk, you would have to disassemble the drive and remove the platters.
Ça, je veux bien le croire. Le boîtier doit faire une belle cage de Faraday.
Once physically removed, it's questionable whether the degaussing process would be required.", c'est un peu juste.
Pas forcément, si les explications données plus bas se tiennent.
Olivier Masson
Peut-être parce que toute personne qui s'intéreresse de près ou de loin à la sécurité informatique, est automatiquement considérée comme un pirate par la justice.
Jamais eu de problème. Faut arrêter de s'habiller en noir et se faire appeler !D4ng3r! :)
Peut-être parce que toute personne qui s'intéreresse de près ou de
loin à la sécurité informatique, est automatiquement considérée comme
un pirate par la justice.
Jamais eu de problème. Faut arrêter de s'habiller en noir et se faire
appeler !D4ng3r! :)
Peut-être parce que toute personne qui s'intéreresse de près ou de loin à la sécurité informatique, est automatiquement considérée comme un pirate par la justice.
Jamais eu de problème. Faut arrêter de s'habiller en noir et se faire appeler !D4ng3r! :)
Olivier Masson
On s'éloigne du sujet, mais le fait que l'évolution des nouvelles technologies soit proportionnelle à l'investissement consacré n'est pas contredit pas ta réflexion sur les airbags et les poêles qui n'attachent pas. Ces innovations étaient des "plus marketing", donc avaient pu avoir des budgets conséquents, donc progresser rapidement.
On pourrait croire que c'est vrai... mais les inventions que j'ai citées ne l'étaient pas au hasard : elles sont issus soient, justement, du hasard (teflon), soit d'autres secteurs (en général, on y revient, militaire).
Oh non, pas lui ! ;-)
En fait je crois qu'il sévissait surtout sur crypto, mais je n'y vais plus.
On s'éloigne du sujet, mais le fait que l'évolution des nouvelles
technologies soit proportionnelle à l'investissement consacré n'est pas
contredit pas ta réflexion sur les airbags et les poêles qui n'attachent
pas. Ces innovations étaient des "plus marketing", donc avaient pu
avoir des budgets conséquents, donc progresser rapidement.
On pourrait croire que c'est vrai... mais les inventions que j'ai citées
ne l'étaient pas au hasard : elles sont issus soient, justement, du
hasard (teflon), soit d'autres secteurs (en général, on y revient,
militaire).
Oh non, pas lui ! ;-)
En fait je crois qu'il sévissait surtout sur crypto, mais je n'y vais plus.
On s'éloigne du sujet, mais le fait que l'évolution des nouvelles technologies soit proportionnelle à l'investissement consacré n'est pas contredit pas ta réflexion sur les airbags et les poêles qui n'attachent pas. Ces innovations étaient des "plus marketing", donc avaient pu avoir des budgets conséquents, donc progresser rapidement.
On pourrait croire que c'est vrai... mais les inventions que j'ai citées ne l'étaient pas au hasard : elles sont issus soient, justement, du hasard (teflon), soit d'autres secteurs (en général, on y revient, militaire).
Oh non, pas lui ! ;-)
En fait je crois qu'il sévissait surtout sur crypto, mais je n'y vais plus.
Olivier Masson
Une vraie phrase de militant de Greenpeace ou de tenancier Corse, ouais.
On déconne pas avec ça ! Je suis un des 2 :)
Je n'ai jamais pretendu avoir la science infuse, mais toutes les discussions que j'ai pu lire sur le sujet (ce fut un theme recurrent chez nos voisins de fr.misc.cryptologie, par exemple) se sont toujours conclues sans que personne n'apporte d'element convainquant en faveur de l'existence d'un service de recuperation de donnees effacees. Je vais quand meme tacher de me renseigner un peu plus serieusement aupres de ceux qui pourraient savoir.
Mais moi aussi j'en ai conclu par le fait, que effectivement, personne ne le propose, qu'il s'agit d'un mythe, comme disait l'autre site.
Par contre pas la peine d'aller chercher des arguments bidons ou de balancer que les militaires sont des nases et n'ont aucune techno.
Pour moi, ça ne reste pas forcément impossible, mais dans le cadre qui m'intéresse, il semblerait que oui.
Cela dit, on me souffle que la DCSSI pense comme vous (recommendations officielles concernant l'effacement des disques), mais qu'elle argumente peu.
Me voila rassuré :)
Une vraie phrase de militant de Greenpeace ou de tenancier Corse,
ouais.
On déconne pas avec ça ! Je suis un des 2 :)
Je n'ai jamais pretendu avoir la science infuse, mais toutes les
discussions que j'ai pu lire sur le sujet (ce fut un theme recurrent
chez nos voisins de fr.misc.cryptologie, par exemple) se sont toujours
conclues sans que personne n'apporte d'element convainquant en faveur
de l'existence d'un service de recuperation de donnees effacees. Je
vais quand meme tacher de me renseigner un peu plus serieusement
aupres de ceux qui pourraient savoir.
Mais moi aussi j'en ai conclu par le fait, que effectivement, personne
ne le propose, qu'il s'agit d'un mythe, comme disait l'autre site.
Par contre pas la peine d'aller chercher des arguments bidons ou de
balancer que les militaires sont des nases et n'ont aucune techno.
Pour moi, ça ne reste pas forcément impossible, mais dans le cadre qui
m'intéresse, il semblerait que oui.
Cela dit, on me souffle que la DCSSI pense comme vous (recommendations
officielles concernant l'effacement des disques), mais qu'elle
argumente peu.
Une vraie phrase de militant de Greenpeace ou de tenancier Corse, ouais.
On déconne pas avec ça ! Je suis un des 2 :)
Je n'ai jamais pretendu avoir la science infuse, mais toutes les discussions que j'ai pu lire sur le sujet (ce fut un theme recurrent chez nos voisins de fr.misc.cryptologie, par exemple) se sont toujours conclues sans que personne n'apporte d'element convainquant en faveur de l'existence d'un service de recuperation de donnees effacees. Je vais quand meme tacher de me renseigner un peu plus serieusement aupres de ceux qui pourraient savoir.
Mais moi aussi j'en ai conclu par le fait, que effectivement, personne ne le propose, qu'il s'agit d'un mythe, comme disait l'autre site.
Par contre pas la peine d'aller chercher des arguments bidons ou de balancer que les militaires sont des nases et n'ont aucune techno.
Pour moi, ça ne reste pas forcément impossible, mais dans le cadre qui m'intéresse, il semblerait que oui.
Cela dit, on me souffle que la DCSSI pense comme vous (recommendations officielles concernant l'effacement des disques), mais qu'elle argumente peu.
Me voila rassuré :)
F5PBG
Le 11 Sep 2006 14:15:29 GMT, Fabien LE LEZ a ecrit:
J'aimerais élargir un peu le débat, et "renverser" le problème : comment faire, quand on a des données sensibles, pour les protéger efficacement contre une perquisition ou un cambriolage ?
Contre la perquisition, mis à part bien le cacher...
;o)
Sinon, en pratique, la protection des données est réalisée par disque dur monté sur support amovible que l'on enlève en cas de non utilisation pour le placer dans un coffre fort fixé au sol dans des locaux munis de grille et d'une alarme. On peut évidemment encore compléter cette protection de base...
;o)
A+ Ludovic.
Le 11 Sep 2006 14:15:29 GMT, Fabien LE LEZ <gramster@gramster.com> a ecrit:
J'aimerais élargir un peu le débat, et "renverser" le problème :
comment faire, quand on a des données sensibles, pour les protéger
efficacement contre une perquisition ou un cambriolage ?
Contre la perquisition, mis à part bien le cacher...
;o)
Sinon, en pratique, la protection des données est réalisée
par disque dur monté sur support amovible que l'on enlève
en cas de non utilisation pour le placer dans un coffre fort
fixé au sol dans des locaux munis de grille et d'une alarme.
On peut évidemment encore compléter cette protection de
base...
Le 11 Sep 2006 14:15:29 GMT, Fabien LE LEZ a ecrit:
J'aimerais élargir un peu le débat, et "renverser" le problème : comment faire, quand on a des données sensibles, pour les protéger efficacement contre une perquisition ou un cambriolage ?
Contre la perquisition, mis à part bien le cacher...
;o)
Sinon, en pratique, la protection des données est réalisée par disque dur monté sur support amovible que l'on enlève en cas de non utilisation pour le placer dans un coffre fort fixé au sol dans des locaux munis de grille et d'une alarme. On peut évidemment encore compléter cette protection de base...
;o)
A+ Ludovic.
F5PBG
Le 08 Sep 2006 10:54:38 GMT, Fabien LE LEZ a ecrit:
Par contre, si tu formates le disque en NTFS, puis que tu y installes un Windows tout neuf, avec Norton tant qu'à faire, et qu'enfin tu remplis le disque à ras bord de films en DivX, ou de copies des fichiers de DVD, tu pourras peut-être faire passer ton disque pour celui d'un particulier, n'ayant aucun intérêt. N'oublie pas de faire un formatage "léger" (style "format c:" sous DOS) juste après.
Si cette solution suffisait, les entreprises se s'enquiquineraient pas à passer les disques durs dans un four magnétique avec destruction physique du disque dur ensuite.
Non ?
;o)
A+ Ludovic
Le 08 Sep 2006 10:54:38 GMT, Fabien LE LEZ <gramster@gramster.com> a ecrit:
Par contre, si tu formates le disque en NTFS, puis que tu y installes
un Windows tout neuf, avec Norton tant qu'à faire, et qu'enfin tu
remplis le disque à ras bord de films en DivX, ou de copies des
fichiers de DVD, tu pourras peut-être faire passer ton disque pour
celui d'un particulier, n'ayant aucun intérêt.
N'oublie pas de faire un formatage "léger" (style "format c:" sous
DOS) juste après.
Si cette solution suffisait, les entreprises se s'enquiquineraient pas
à passer les disques durs dans un four magnétique avec destruction
physique du disque dur ensuite.
Le 08 Sep 2006 10:54:38 GMT, Fabien LE LEZ a ecrit:
Par contre, si tu formates le disque en NTFS, puis que tu y installes un Windows tout neuf, avec Norton tant qu'à faire, et qu'enfin tu remplis le disque à ras bord de films en DivX, ou de copies des fichiers de DVD, tu pourras peut-être faire passer ton disque pour celui d'un particulier, n'ayant aucun intérêt. N'oublie pas de faire un formatage "léger" (style "format c:" sous DOS) juste après.
Si cette solution suffisait, les entreprises se s'enquiquineraient pas à passer les disques durs dans un four magnétique avec destruction physique du disque dur ensuite.
Non ?
;o)
A+ Ludovic
Manu
Fabien LE LEZ wrote:
On 15 Sep 2006 09:19:31 GMT, Olivier Masson :
Non, mais "For conventional degaussing to be successful with a hard disk, you would have to disassemble the drive and remove the platters.
Ça, je veux bien le croire. Le boîtier doit faire une belle cage de Faraday.
Pourtant d'autres l'on fait : http://gtresearchnews.gatech.edu/newsrelease/erase.htm
Fabien LE LEZ wrote:
On 15 Sep 2006 09:19:31 GMT, Olivier Masson <sisemen@laposte.net>:
Non, mais "For conventional degaussing to be successful with a hard
disk, you would have to disassemble the drive and remove the platters.
Ça, je veux bien le croire. Le boîtier doit faire une belle cage de
Faraday.
Pourtant d'autres l'on fait :
http://gtresearchnews.gatech.edu/newsrelease/erase.htm
Non, mais "For conventional degaussing to be successful with a hard disk, you would have to disassemble the drive and remove the platters.
Ça, je veux bien le croire. Le boîtier doit faire une belle cage de Faraday.
Pourtant d'autres l'on fait : http://gtresearchnews.gatech.edu/newsrelease/erase.htm
Eric Razny
Le Tue, 12 Sep 2006 13:25:16 +0000, Olivier Masson a écrit :
Salut
Créer une partition Truecrypt ne convient pas non plus -- les données risquent de se retrouver sur le swap ou dans un répertoire temporaire. Et en prime, ce n'est pas assez discret.
Effacer le swap et autres fichiers résiduels en fin de session est un truc classique.
Chiffrer le swap et /tmp (sans oublier /home et autres sous répertoires de /var) devrait suffire.
Qu'en pensez-vous ? Y a-t-il plus sioux ?
Il me semblait avoir entendu parler, il y a qq années, d'une manip (à moins que ce soit une distrib particulière) pour avoir l'intégralité du disque chiffré sous linux. Pas question de perdre la mot de passe root.
A part quand les infos de /etc (shadow par exemple) sont sensible, amha on peut se permettre de booter classiquement et de ne chiffrer que les partitions utiles (attention à /var)
Le Tue, 12 Sep 2006 13:25:16 +0000, Olivier Masson a écrit :
Salut
Créer une partition Truecrypt ne convient pas non plus -- les données
risquent de se retrouver sur le swap ou dans un répertoire temporaire.
Et en prime, ce n'est pas assez discret.
Effacer le swap et autres fichiers résiduels en fin de session est un
truc classique.
Chiffrer le swap et /tmp (sans oublier /home et autres sous répertoires
de /var) devrait suffire.
Qu'en pensez-vous ?
Y a-t-il plus sioux ?
Il me semblait avoir entendu parler, il y a qq années, d'une manip (à
moins que ce soit une distrib particulière) pour avoir l'intégralité du
disque chiffré sous linux. Pas question de perdre la mot de passe root.
A part quand les infos de /etc (shadow par exemple) sont sensible, amha on
peut se permettre de booter classiquement et de ne chiffrer que les
partitions utiles (attention à /var)
Le Tue, 12 Sep 2006 13:25:16 +0000, Olivier Masson a écrit :
Salut
Créer une partition Truecrypt ne convient pas non plus -- les données risquent de se retrouver sur le swap ou dans un répertoire temporaire. Et en prime, ce n'est pas assez discret.
Effacer le swap et autres fichiers résiduels en fin de session est un truc classique.
Chiffrer le swap et /tmp (sans oublier /home et autres sous répertoires de /var) devrait suffire.
Qu'en pensez-vous ? Y a-t-il plus sioux ?
Il me semblait avoir entendu parler, il y a qq années, d'une manip (à moins que ce soit une distrib particulière) pour avoir l'intégralité du disque chiffré sous linux. Pas question de perdre la mot de passe root.
A part quand les infos de /etc (shadow par exemple) sont sensible, amha on peut se permettre de booter classiquement et de ne chiffrer que les partitions utiles (attention à /var)
Manu
Eric Razny wrote:
Créer une partition Truecrypt ne convient pas non plus -- les données risquent de se retrouver sur le swap ou dans un répertoire temporaire. Et en prime, ce n'est pas assez discret.
Effacer le swap et autres fichiers résiduels en fin de session est un
truc classique.
Chiffrer le swap et /tmp (sans oublier /home et autres sous répertoires de /var) devrait suffire.
C'est marrant récemment Schneier a publié une note sur son blog parlant de la sortie d'une recommandation du NIST sur l'effacement de données sensibles (je ne trouve pas de traduction correct pour "media sanitization"), et notamment sur une partie du document qui indique que le chiffrement n'est pas une méthode acceptable pour protéger les données du fait de la croissance constante de la puissance des ordinateurs...
"Last week NIST released Special Publication 800-88, Guidelines for Media Sanitization.
There is a new paragraph in this document (page 7) that was not in the draft version:
Encryption is not a generally accepted means of sanitization. The increasing power of computers decreases the time needed to crack cipher text and therefore the inability to recover the encrypted data can not be assured.
I have to admit that this doesn't make any sense to me. If the encryption is done properly, and if the key is properly chosen, then erasing the key -- and all copies -- is equivalent to erasing the files. And if you're using full-disk encryption, then erasing the key is equivalent to sanitizing the drive. For that not to be true means that the encryption program isn't secure.
I think NIST is just confused."
Eric Razny wrote:
Créer une partition Truecrypt ne convient pas non plus -- les données
risquent de se retrouver sur le swap ou dans un répertoire temporaire.
Et en prime, ce n'est pas assez discret.
Effacer le swap et autres fichiers résiduels en fin de session est un
truc classique.
Chiffrer le swap et /tmp (sans oublier /home et autres sous répertoires
de /var) devrait suffire.
C'est marrant récemment Schneier a publié une note sur son blog parlant
de la sortie d'une recommandation du NIST sur l'effacement de données
sensibles (je ne trouve pas de traduction correct pour "media
sanitization"), et notamment sur une partie du document qui indique que
le chiffrement n'est pas une méthode acceptable pour protéger les
données du fait de la croissance constante de la puissance des
ordinateurs...
"Last week NIST released Special Publication 800-88, Guidelines for
Media Sanitization.
There is a new paragraph in this document (page 7) that was not in the
draft version:
Encryption is not a generally accepted means of sanitization. The
increasing power of computers decreases the time needed to crack cipher
text and therefore the inability to recover the encrypted data can not
be assured.
I have to admit that this doesn't make any sense to me. If the
encryption is done properly, and if the key is properly chosen, then
erasing the key -- and all copies -- is equivalent to erasing the files.
And if you're using full-disk encryption, then erasing the key is
equivalent to sanitizing the drive. For that not to be true means that
the encryption program isn't secure.
Créer une partition Truecrypt ne convient pas non plus -- les données risquent de se retrouver sur le swap ou dans un répertoire temporaire. Et en prime, ce n'est pas assez discret.
Effacer le swap et autres fichiers résiduels en fin de session est un
truc classique.
Chiffrer le swap et /tmp (sans oublier /home et autres sous répertoires de /var) devrait suffire.
C'est marrant récemment Schneier a publié une note sur son blog parlant de la sortie d'une recommandation du NIST sur l'effacement de données sensibles (je ne trouve pas de traduction correct pour "media sanitization"), et notamment sur une partie du document qui indique que le chiffrement n'est pas une méthode acceptable pour protéger les données du fait de la croissance constante de la puissance des ordinateurs...
"Last week NIST released Special Publication 800-88, Guidelines for Media Sanitization.
There is a new paragraph in this document (page 7) that was not in the draft version:
Encryption is not a generally accepted means of sanitization. The increasing power of computers decreases the time needed to crack cipher text and therefore the inability to recover the encrypted data can not be assured.
I have to admit that this doesn't make any sense to me. If the encryption is done properly, and if the key is properly chosen, then erasing the key -- and all copies -- is equivalent to erasing the files. And if you're using full-disk encryption, then erasing the key is equivalent to sanitizing the drive. For that not to be true means that the encryption program isn't secure.