Es ampliamente conocido que los sistemas operativos no destruyen la información cuando un usuario emite un comando de borrado o formato . Simplemente marcan como “disponible” el espacio en disco que estaba ocupado por los datos, de modo que hasta que ese espacio se reutilice, la información se puede recuperar mediante el uso de herramientas simples.

En esta sección describiremos cómo Aiken Workbench implementa tanto los procedimientos de borrado seguro como la certificación de la manera más efectiva. La función de borrado seguro de Aiken Workbench Versión 2 obtuvo la certificación de seguridad de la organización ADISA, tras superar rigurosas pruebas en el Centro de Defensa Cibernética de la Universidad de Gales del Sur (Reino Unido).

Aiken Workbench permite borrar todo tipo de unidades conectadas a computadoras y servidores normales utilizando cualquier tipo de interfaz, siempre que sean directamente accesibles para el sistema operativo. Aiken Workbench no admite el borrado de unidades conectadas a controladores RAID.

Métodos de borrado

PC Auditor proporciona cuatro métodos diferentes para borrar las unidades:

• Ceros y Aleatorio : Estos son métodos de software. El software PC Auditor sobrescribirá con ceros o con un patrón aleatorio de bits todos los sectores accesibles al sistema operativo.
• SE (Borrado seguro) y ESE (Borrado seguro mejorado) : estos son los métodos de firmware definidos por la especificación ANSI ATA. SE debería ser compatible con la mayoría de las unidades ATA y SATA fabricadas desde 1991. El programa que realmente borra el disco se ejecuta desde el firmware de la unidad y sobrescribe toda la superficie de la unidad, incluidas áreas ocultas, sectores de repuesto y sectores defectuosos recuperables (si cualquier).

El usuario puede seleccionar el método de borrado que desea utilizar en cada unidad desde el cuadro combinado Borrar . Se pueden utilizar diferentes métodos para diferentes unidades.

Los métodos de borrado de software de Aiken Workbench cumplen con las pautas NIST 800-88 en el nivel «Borrar», mientras que los métodos de firmware cumplen con las pautas NIST en el nivel «Purga».

PC Auditor no le permitirá borrar las unidades defectuosas que el sistema de diagnóstico SMART haya marcado como «FALLA». Intentar hacerlo puede requerir mucho tiempo y lo más probable es que sólo se borren parcialmente al final del proceso. En términos de eficiencia, no tiene sentido borrar un disco que debería ser destruido físicamente, pase lo que pase, al final del proceso.

Métodos de software

Por «métodos de software» nos referimos a que el borrado real lo realiza un programa que ejecuta la computadora. En nuestro caso este programa es PC Auditor . Lo que hace el programa es bastante simple: encuentra la primera posición del primer sector del disco, lo sobrescribe y lo lee/verifica, y luego continúa sobrescribiendo todos los sectores hasta llegar a la última posición del último sector.

La ejecución del borrado no se puede cancelar, porque todos los sectores aún no sobrescritos aún tendrían su contenido intacto y los datos sin procesar (no los archivos como tales) aún podrían recuperarse utilizando herramientas de software simples.

El método Zeros sobrescribe toda la superficie del disco con ceros binarios. El método Random genera una porción aleatoria de ceros y unos y repite la misma secuencia para cada operación de escritura.

Los métodos de software, tal como se implementan en PC Auditor , solo borrarán los sectores a los que puede acceder el sistema operativo. Más adelante en este capítulo discutiremos la conveniencia de borrar otras áreas a las que normalmente no se puede acceder.

Métodos de firmware

Por «métodos de firmware» queremos decir que el borrado real lo realiza un programa informático que se almacena y ejecuta desde el firmware de la unidad. PC Auditor le indica a la unidad que ejecute el programa y después de eso, el borrado de una unidad mediante un método de firmware (SE o ESE) no se puede cancelar de ninguna manera y la unidad permanecerá en un estado inutilizable hasta que se haya completado el procedimiento de borrado. . Incluso si se apaga la fuente de alimentación, el programa de firmware reiniciará automáticamente el borrado tan pronto como se restablezca la alimentación a la unidad.

Debido a este potencial destructivo, la ejecución de un método de firmware requiere un paso previo: eliminar el llamado «bloqueo de congelación». Este bloqueo es una característica de seguridad adicional definida en la especificación ATA para garantizar que un usuario o cualquier tipo de malware nunca inicie un borrado seguro involuntario de una unidad. El proceso de eliminación del bloqueo por congelación es bastante complejo: requiere enviar una secuencia de comandos a la unidad, establecer una contraseña y, en cierto punto, también es necesario apagar y encender la unidad.

Sería completamente impráctico abrir la caja de cada computadora para desconectar los cables de alimentación de las unidades, por lo que PC Auditor hace el truco poniendo la computadora en modo de suspensión. Después de unos segundos, la computadora se reanudará y la ventana de PC Auditor aparecerá como estaba antes.

Sin embargo, la implementación real de las funciones de ahorro de energía en algunas computadoras puede requerir que el usuario reanude la computadora manualmente y, a veces, PC Auditor no podrá recuperar el estado del video anterior y será necesario reiniciar la máquina.

PC Auditor intenta eliminar el bloqueo de congelación de una unidad específica cuando se selecciona un método de firmware en el cuadro combinado Borrar . Se mostrará un mensaje informando que la unidad está congelada y pidiendo permiso al usuario para continuar.

La diferencia entre el método de borrado seguro (SE) y la versión mejorada (ESE) se explica en las especificaciones ATA: “Cuando se especifica el modo de borrado normal, el comando SECURITY ERASE UNIT sobrescribirá todas las áreas de datos del usuario con ceros binarios. El modo de borrado mejorado es opcional. Cuando se especifica el modo de borrado mejorado, el dispositivo sobrescribirá todas las áreas de datos del usuario con patrones de datos predeterminados. En el modo de borrado mejorado, se sobrescribirán todos los datos del usuario escritos previamente, incluidos los sectores que ya no están en uso debido a la reasignación”.

Como se mencionó anteriormente, el método ESE es opcional y no está implementado en todas las unidades, especialmente en las más antiguas, porque este requisito se incorporó a las especificaciones ATA en una etapa posterior. Cuando el usuario selecciona un método de firmware, PC Auditor comprobará previamente si es compatible con la unidad. También debes tener en cuenta que algunas BIOS pueden bloquear los comandos de bajo nivel enviados a las unidades. En estos casos, puede intentar desactivar la detección de HDD, así como otras funciones de seguridad relacionadas con el disco en el BIOS.

Las unidades de estado sólido NVMe modernas utilizan un conjunto diferente de comandos de firmware y ya no requieren la eliminación de un bloqueo por congelación.

Otros “estándares” de borrado

Si ha utilizado otros productos de borrado especializados, es posible que se pregunte por qué Aiken Workbench no incluye como métodos de borrado algunas recomendaciones reconocidas de agencias gubernamentales y expertos, como el DoD 5220.22-M y otros. La razón principal es que todos ellos fueron emitidos hace muchos años y se han quedado obsoletos desde el punto de vista técnico. La mayoría recomienda realizar varias sobrescrituras, mientras que hoy en día los expertos son unánimes al considerar que una única sobrescritura de las unidades es suficiente para garantizar que los datos sean irrecuperables.

El Instituto Nacional de Estándares y Tecnología , la institución responsable de desarrollar los estándares de seguridad de la información para todas las agencias federales de EE. UU., dice: “Para los dispositivos de almacenamiento que contienen medios magnéticos, una sola pasada de sobrescritura con un patrón fijo, como ceros binarios, normalmente dificulta la recuperación de datos incluso si se aplican técnicas de laboratorio de última generación para intentar recuperar los datos” (NIST SP 800-88 Rev. 1, Pautas para la desinfección de medios, diciembre de 2014, #2.4, p.7).

Peter Gutmann, prestigioso experto en seguridad informática y autor del famoso algoritmo de 35 pasos que aún implementan algunos programas de borrado, escribió recientemente: “realizar la sobrescritura completa de 35 pasadas no tiene sentido para ninguna unidad, ya que apunta a una combinación de escenarios que involucran todo tipo de tecnología de codificación (normalmente utilizada), que cubre todo hasta métodos MFM de hace más de 30 años” (nuevo epílogo de su Artículo de 1996 Eliminación segura de datos de memorias magnéticas y de estado sólido ).

Y el Dr. Craig Wright, después de realizar el único intento real documentado de recuperar datos de un disco duro (sobrescrito sólo una vez) utilizando un microscopio de fuerza magnética, concluye: “La falacia de que los datos pueden recuperarse de forma forense utilizando un microscopio electrónico o medios relacionados necesita para ser puesto a descansar” ( Sobrescribiendo datos del disco duro , enero de 2009). Este artículo proporciona evidencia científica sobre un tema controvertido y se puede leer aquí .

Aiken Workbench está orientado, por diseño, a obtener la máxima eficiencia en el procesamiento de elevados volúmenes de ordenadores. Sería contrario a su propósito implementar algoritmos de borrado que sólo añaden redundancia inútil al proceso, incluso si son útiles por razones de marketing.

Áreas ocultas

Los discos duros modernos pueden tener algunas áreas reservadas que están ocultas para el sistema operativo. La capacidad de almacenamiento asignada a esas áreas no se puede borrar mediante métodos de software a menos que se eliminen previamente. Los describiremos brevemente a continuación:

1. Área protegida del anfitrión (HPA) . Esta área se introdujo por primera vez en la especificación ATA-4 como un recurso para que los fabricantes de computadoras almacenen herramientas de diagnóstico, utilidades de recuperación del sistema operativo, monitores antirrobo, etc. Junto con el BIOS, es posible iniciar desde el HPA y ejecutar estos programas especiales.
2. Superposición de configuración de dispositivos (DCO) . El DCO se introdujo más tarde, en las especificaciones ATA-6. También fue concebido como una ayuda para los fabricantes de ordenadores en sus procesos de producción en masa, permitiéndoles utilizar discos duros de diferentes tamaños como si fueran exactamente del mismo tamaño. Por ejemplo, si la diferencia entre dos modelos de unidades es de 20 GB, se crearía un área DCO de 20 GB en las unidades más grandes y a los sistemas operativos les parecería que tienen 20 GB menos. Un área DCO es básicamente un espacio no utilizable y no utilizado.

Existe mucha confusión respecto al tipo de datos que pueden contener estas áreas y la necesidad de borrarlos. Así que es necesario dejarlo claro: la razón de que existan esas áreas es precisamente para estar ocultas del sistema operativo y de las aplicaciones del usuario y, en consecuencia, no pueden contener datos del usuario .

No tiene sentido eliminar las áreas HPA y DCO como parte necesaria del proceso de borrado del disco. Aunque es muy complejo, es técnicamente factible escribirles evitando el control del sistema operativo, pero sólo programas especialmente escritos con intenciones dudosas intentarán hacerlo. No existe ningún uso normal de una computadora que resulte en el uso de esas áreas para almacenar datos de usuario de ningún tipo.

Sin embargo, puede haber otras razones para eliminar esas áreas:

• Recuperar el espacio en disco reservado para un uso normal.
• Para garantizar que las unidades no contengan un “rootkit”, un tipo especial de malware que puede utilizar el HPA para ocultarse.

El Aiken Workbench PC Auditor permite la eliminación de las áreas HPA y DCO como una opción separada. Cuando el usuario hace clic en el valor de Tamaño de una unidad específica, se abrirá una ventana de diálogo que muestra la cantidad de sectores utilizados por esas áreas, si los hay, y se pueden eliminar haciendo clic en los botones.

Nos gustaría recordarle nuevamente que la BIOS puede bloquear el acceso a esas áreas. A veces, el bloqueo se puede desactivar desactivando la detección de HDD y/u otras opciones de seguridad relacionadas con el disco, pero algunas BIOS no permitirán el acceso de ninguna manera. Si este es el caso, tendrás que quitar las unidades y conectarlas a otra computadora para eliminar las áreas ocultas.

Recomendaciones 

¿Qué método de borrado debería utilizar? Aiken recomienda un enfoque diferente según la tecnología de almacenamiento de las unidades.

Unidades magnéticas (HDD) 

Como regla general recomendamos utilizar el método “Ceros” para borrar todos los accionamientos magnéticos mecánicos. Los métodos de firmware no ofrecen ninguna ventaja significativa sobre las unidades tradicionales.

Los HDD defectuosos siempre se deben desmagnetizar o triturar, ya que no hay forma de certificar que se ha sobrescrito toda su capacidad.

Unidades de estado sólido (SSD) y unidades híbridas (SSHD) 

Recomendamos utilizar el método de “Borrado seguro mejorado” cuando sea compatible con la unidad o el “Borrado seguro” cuando no sea compatible con ESE. Esto se aplica a todas las unidades de estado sólido, independientemente de su interfaz (SATA, SAS o NVMe).

Comparados con las unidades magnéticas, los SSD tienen algunas diferencias que hacen muy recomendable utilizar los métodos de firmware interno:

1. Funcionan mucho más rápido que cualquier sobrescritura por software. El proceso de borrado completo puede tardar sólo unos minutos o incluso segundos en la mayoría de las unidades y, en los modelos con autocifrado, el borrado es instantáneo porque los comandos ESE o SE simplemente tienen que cambiar la clave de cifrado utilizada en la unidad.
2. Sobrescriben la capacidad total de las unidades, mientras que una sobrescritura de software puede omitir algunas partes que contienen datos del usuario. Este fenómeno se debe a la “nivelación de desgaste”, el “sobreaprovisionamiento” y otras técnicas utilizadas por la mayoría de los SSD tanto para aumentar el rendimiento como para prolongar la vida útil de los dispositivos.  

Los mayores fabricantes de SSD del mundo ( Samsung , Intel , Kingston , Micron y  Sandisk ) recomiendan de forma inequívoca los métodos Secure Erase como la forma más eficaz de realizar un borrado irrecuperable de este tipo de unidades, tal y como recogen los siguientes documentos:

SAMSUNG : “ Secure Erase destruye permanentemente todos los datos almacenados en el SSD borrando los datos de todas las celdas (cambiándolas al estado FF). Además, Secure Erase proporciona una forma de restablecer el SSD a su estado predeterminado de fábrica si hay un problema con el rendimiento o el funcionamiento del SSD”. Leer aquí .

INTEL : “ Secure Erase es una operación irrecuperable que elimina permanentemente todos los datos de un SSD Intel. Secure Erase elimina no sólo la sección de datos del usuario del SSD, sino también el área de datos de reserva, lo que hace que los restos de datos sean prácticamente irrecuperables. (…) Una vez que ejecuta Secure Erase en un SSD Intel, no hay posibilidad de recuperar datos del SSD”. Leer aquí . 

KINGSTON : “ El borrado seguro utilizando una utilidad que implementa correctamente el comando ATA Secure Erase es la mejor manera de borrar eficazmente todos los datos de un SSD Kingston”. Leer aquí.

MICRON : “ Micron recomienda encarecidamente que se utilice el comando SANITIZE BLOCK ERASE [es decir, «ESE» en Aiken Workbench] en lugar de un algoritmo de sobrescritura de datos. Para SSD Micron más antiguos, se recomienda el comando BORRAR SEGURIDAD [es decir, «SE» en Aiken Workbench]. Cualquiera de estos comandos garantiza que el SSD ejecute correctamente el comando BLOCK ERASE en todo el espacio de usuario, el espacio sobreaprovisionado y las ubicaciones de bloques de repuesto y de bloques defectuosos. « Leer aquí .

SANDISK : “Cuando se ejecuta el comando de borrado seguro relevante en el SSD SanDisk, todos los bloques en el espacio de direcciones físicas, independientemente de si están asignados actualmente o anteriormente al espacio lógico, se borran por completo (…). Ejecutar este comando una vez proporciona un borrado completo de todos los datos y no requiere pasos adicionales para garantizar que los datos del usuario preexistentes sean permanentemente irrecuperables”. Leer aquí .

Teniendo en cuenta que los métodos de borrado basados ​​en firmware son responsabilidad exclusiva de los fabricantes de la unidad y del controlador de la unidad, nadie está en mejor posición para respaldar cualquier método de borrado que las empresas que los diseñan.

Los SSD y SSHD defectuosos siempre deben destruirse. La desmagnetización no es un método aceptable para dispositivos de almacenamiento de estado sólido.

Realizando el borrado

El borrado de las unidades se puede iniciar desde el PC Auditor , seleccionando el método deseado y haciendo clic en el botón Iniciar , o desde el Servidor Principal :

Cuando se emite un comando de borrado desde el servidor, se transmitirá a todas las máquinas actualmente conectadas a la LAN y que están en ejecución de PC Auditor . Sin embargo, el comando de borrado solo se iniciará en una máquina específica si se cumplen las tres condiciones siguientes:

1. PC Auditor no debe estar realizando un borrado local de las unidades ni restaurando una imagen de la unidad.
2. La casilla de verificación Borrar debe estar marcada:

La casilla de verificación está marcada de forma predeterminada cuando se inicia PC Auditor y se desmarca automáticamente cuando ya se ha realizado un borrado local o una restauración de imagen. Sin embargo, el usuario puede cambiarlo manualmente en cualquier momento.

3. Si ha seleccionado un usuario en el cuadro combinado Filtrar por usuario , ese usuario debe iniciar sesión en las máquinas que se van a borrar.

Cuando el comando de borrado se emite desde el servidor principal, se aplican las siguientes limitaciones:

1. Los métodos de firmware no están disponibles y se debe utilizar un método de software.
2. El borrado se iniciará para todas las unidades conectadas a las máquinas. No puede excluir una unidad específica del proceso de borrado.

Una vez que se inicia el comando de borrado, se mostrará una barra de progreso y un temporizador junto a cada unidad de disco. Cuando se utilizan métodos de firmware, el proceso de borrado no está bajo el control del PC Auditor y el tiempo que se muestra es una mera estimación devuelta por la unidad.

Si borra dos o más unidades simultáneamente, el tiempo necesario para borrar cada unidad será mayor que cuando las borre individualmente. Las máquinas más rápidas experimentarán menos degradación.

El borrado mediante métodos de firmware nunca debe interrumpirse. En caso de que sufra una interrupción accidental, es probable que la unidad quede bloqueada mediante una contraseña establecida por el programa. En muchos casos podrá desbloquear la unidad ingresando la contraseña » aiken » y reiniciando
el borrado del firmware. Sin embargo, algunas unidades pueden quedar bloqueadas o dañadas permanentemente como resultado del procedimiento abortado.

Certificación de borrado 

La certificación del borrado seguro de las unidades es una parte integral de cualquier sistema de borrado profesional. El Aiken Workbench implementa la certificación de una manera altamente innovadora y que brinda total confiabilidad a los certificados emitidos por la empresa ITAD.

Siempre que se haya completado el borrado completo de una unidad y la auditoría esté lista para guardarse en la base de datos de Workbench , PC Auditor generará una cadena cifrada que contiene la siguiente información:

• ID de borrado único
• Modelo de disco duro
• Número de serie del disco duro
• Capacidad de Disco Duro
• Marca de tiempo del borrado
• Método de borrado utilizado
• Nombre del usuario que realizó el borrado.

Luego, esta cadena se guardará en la tabla Unidades_Dispositivos de la base de datos junto con la información de auditoría. La información se cifra utilizando una clave que solo conoce el software Workbench , por lo que es imposible que cualquier persona cambie los datos de manera significativa.

La información solo puede ser descifrada mediante las aplicaciones Workbench Manager y Printer Agent siempre que se necesite un certificado impreso. Cuando se ejecuta la función de informes de Workbench Manager , primero descifra la firma en una estructura de datos de memoria y luego los campos generados se pueden usar dentro de cualquier tipo de informe. La información cifrada original se mantendrá en la base de datos durante el tiempo que sea necesario. En el caso de que se requiera alguna certificación de auditoría externa, será muy sencillo ejecutar los informes y comparar los resultados con los certificados impresos firmados por la empresa ITAD.

El formato y texto de los certificados pueden ser definidos libremente por los administradores de Workbench, pudiendo utilizar tantos modelos como desee. Normalmente contendrán todos los campos cifrados mencionados anteriormente, pero también pueden contener cualquiera de los otros campos en las tablas Lotes, Unidades y Unidades_Dispositivos . Para su comodidad, se han instalado dos modelos de certificados de muestra con el producto:

• Certificado de borrado de datos (unidad única) . Este formato se utiliza para obtener un certificado por máquina. Enumera los detalles de borrado de hasta cuatro unidades en una sola página.
• Certificado de borrado de datos (lote) . Este es un resumen de varias páginas de todas las máquinas y unidades contenidas en un lote específico.

ID de borrado único (UEID)

Cada vez que  PC Auditor  borra una unidad, genera un número de identificación único del borrado. Este número se basa en el modelo y número de serie de la unidad y también en el momento exacto del borrado, por lo que nunca se repetirá. Este número puede tener diferentes propósitos, pero se utiliza principalmente para identificar una eliminación específica en el proceso de certificación. El UEID se puede imprimir en los certificados, etiquetas y cualquier otro informe.

Firma del sector de arranque

Después de borrar exitosamente una unidad, PC Auditor puede copiar un sector de arranque y la información básica del borrado a su Registro de arranque maestro. Si la máquina se inicia desde el variador, mostrará la información en la pantalla.

Esta función proporciona un método rápido y sencillo para comprobar si se ha borrado la unidad de arranque de una máquina específica. También muestra el UEID en pantalla.

Si desea guardar la información de borrado en el registro de inicio maestro, puede activar esta función habilitando la Firma  de almacenamiento en Workbench Manager ( menú Administrador –> Parámetros ).