Limpieza a los Medios de Almacenamiento utilizando Wipe

  • Posted on: 29 April 2014
  • By: ReYDeS

Wipe o por su traducción al español "Limpiar", en un procedimiento forense realizado antes de utilizar una unidad de almacenamiento para copiar una imagen forense. Se debe siempre utilizar un programa que permita limpiar la unidad de almacenamiento de cualquier tipo de evidencia previamente almacenada. Este procedimiento se realiza sobrescribiendo cada sector de la unidad con datos. Los cuales pueden ser una única secuencia de caracteres, o secuencias aleatorias con varias sobrescrituras sobre el dispositivo de almacenamiento.

Wipe es una pequeña herramienta para sistemas GNU/Linux y similares, la cual permite borrar de manera segura archivos desde medios de almacenamiento magnéticos.

Wipe no está instalado por defecto en SIFT. Se procede a instalar "Wipe" desde los repositorios oficiales.

Para las siguientes prácticas se utilizará una Memoria USB (Memory Stick) de 16 GB. Se muestra el contenido del dispositivo USB a utilizar.

Se procede a hacer una limpieza de cada archivo y directorio bajo el directorio de nombre /WinUFO/. Los archivos regulares serán limpiados con 34 pasadas y sus tamaños serán reducidos a la mitad un número aleatorio de veces. Los archivos especiales (dispositivos de bloque y caracter, FIFOs...) no lo serán. Todas las entradas de directorio (archivos, archivos especiales y directorios) será renombrados 10 veces y desenlazados. A las cosas con permisos inapropiados se les aplicará el comando "chmod" con la opción "-c". Y dado que no se ha especificado la opción "-f", se le consultará al usuario su confirmación.


$ wipe -rc /media/media/0128AB9F64752844/WinUFO/

Para la siguiente práctica se utilizará la partición /dev/sdc1 el cual corresponde a la primera partición de la unidad USB. Esta partición será limpiada con el modo rápido (opción -q) con cuatro pasadas aleatorias. El inodo no será renombrado o desenlazado (opción -k). Antes de iniciar el procedimiento se consultará si desea proceder.

Inodo

Un inodo en un sistema de archivo tipo Unix, es una estructura de datos utilizado para representar un objetivo del sistema de archivos, lo cual puede ser una de varias cosas incluyendo un archivos o un directorio. Cada inodo almacena los atributos y ubicaciones de bloques de disco de los datos de objetos en el sistema de archivos. Los atributos de objetos del sistema de archivos pueden incluir metadatos de manipulación (Tiempos de Creación, Acceso, Modificación), como también el propietario y datos de permisos (ID de Grupo, ID de usuario, Permisos).


$ sudo wipe -kq /dev/sdc1

Anotar el tiempo aproximado que demandará finalizar este procedimiento de limpieza.

Fuentes:

http://wipe.sourceforge.net/
http://lambda-diode.com/software/wipe/
http://lambda-diode.com/resources/wipe/wipe.1.html
http://wipe.sourceforge.net/secure_del.html

Sobre el Autor


Alonso Eduardo Caballero Quezada - ReYDeS
Instructor y Consultor Independiente en Ciberseguridad
Correo Electrónico: ReYDeS@gmail.com
Twitter: https://twitter.com/Alonso_ReYDeS
LinkedIn: https://pe.linkedin.com/in/alonsocaballeroquezada/
Facebook: https://www.facebook.com/alonsoreydes
Youtube: https://www.youtube.com/c/AlonsoCaballero