DEV Community

Valdeir S.
Valdeir S.

Posted on • Edited on

Por que os arquivos excluídos são recuperados?

Entenda como dados apagados em SSDs podem ser recuperados, o papel do comando TRIM, criptografia e técnicas forenses usadas em investigações digitais.

Componentes de um SSD

Os Solid State Drive (SSD) são formados basicamente por módulo(s) de:

➡️ DRAM (Cache): acelera as operações de leitura/escrita;
➡️ Nand Memory: permite o armazenamento de dados;
➡️ Controlator (Controller): Gerencia todas as operações do SSD

A imagem mostra o PCB (Printed Circuit Board), em pt-br placa de circuito impresso

O que é a DRAM?

A DRAM é um espécie de memória volátil que armazena os dados temporariamente. Ela é composta por células que guarda os bits.

Esse módulo DRAM é utilizada como um cache para armazenar temporariamente dados que estão sendo lidos ou escritos. Isso melhora a velocidade de acesso e a eficiência do dispositivo.

A função do Controlador

O controlador de um SSD é um chip que gerencia a leitura e a gravação de dados nas células de memória flash NAND do SSD. Ele é fundamental para o desempenho e a durabilidade do dispositivo. Nele, está contido o Flash Translation Layer (FTL).

As principais funções do FTL são:

  • Traduzir os comandos recebidos do sistema operacional para a memória flash;
  • Manter um mapeamento entre o endereço lógico e o endereço físico dos dados;
  • Realizar o garbage collection nos blocos de memórias; e
  • Distribuir as operações do SSD entre os blocos de memória para reduzir o desgaste. Essa função é conhecida como Wear Leveling.

Funcionamento da Memória Nand

A Nand Memory é uma tecnologia de memória não-volátil que armazena dados em células de memória organizadas em uma estrutura de matriz. A memória NAND é composta por diversas células de memórias que são organizadas em páginas e blocos.

Células de Memória

A imagem mostra o desenho de uma célula de memória

As células de armazenamento são organizadas em camadas, semelhantes a uma resma de papel A4. Dentro de cada célula, existem vários blocos que são responsáveis por armazenar efetivamente os dados dos arquivos.

Esses componentes têm uma vida útil limitada. Cada vez que uma informação é criada (ou alterada, ou excluída), essa vida útil diminui.

Para resolver esse problema, o FTL distribui as operações de maneira uniforme, evitando que certos blocos se desgastem mais rapidamente do que outros.

O sistema operacional não possui acesso direto a essa parte do SSD; para isso, é necessário o uso do Flash Translation Layer (FTL), que facilita a integração entre eles.

Por que dados podem ser recuperados?

Diagrama que mostra o processo de exclusão de um arquivo

Ao excluir um arquivo, o sistema operacional sinaliza para o FTL que o espaço utilizado pelo arquivo pode ser reutilizado por outro. O FTL marca os espaços como livres, mas os bits de informações permanecem na célula até serem sobrescritos posteriormente.

Essa estratégia, além de evitar o desgaste — como já explicado — também melhora desempenho. Apagar blocos inteiros é mais eficiente que apagar células individualmente.

Portanto, após você excluir um arquivo do seu SSD, os peritos forenses podem tentar acessar diretamente, usando determinados aparelhos, as células de memória para recuperar os dados excluídos. Um SSD de muitos gigabytes ou terabytes pouco usado pode reter por anos as informações que foram deletadas pelo usuário.

Como garantir a exclusão definitiva?

Você que trabalha com dados pessoais (contratos, chaves de SSH, backup de banco de dados etc) tem que tomar algumas precauções com arquivos, principalmente se for uma empresa, que tem que seguir a Lei Geral de Proteção de Dados Pessoais (LGPD).

🗨️ 🗨️ “Eu usei o aplicativo Eraser, BitRaser, Shred etc.”

Parabéns!! Parte desses apps funciona em HD dos anos 90. Em SSD continua não apagando o arquivo definitivamente.

No inícío nos anos 1990, o cientista da computação Peter Gutmann criou um algoritmo para preenchimento de espaços vazio em HDD. O objetivo era reescrever o mesmo arquivo por 35 vezes para evitar que o conteúdo original fosse recuperado. No entanto, essa técnica não funciona em dispositivos de armazenamento recente.

🗨️ Como apagar os arquivos com meus dados pessoais em segurança, então?

A National Security Agency (NSA) recomenda que os dispositivos de armazenamentos sejam triturados em pedaços de até 2mm. Essa é uma medida extrema, mas há outras alternativas.

O comando TRIM

O comando TRIM é uma instrução que o sistema operacional envia para o SSD para informar quais blocos de dados não estão mais em uso e podem ser apagados. Após o comando TRIM ser executado em um SSD, a recuperação de um arquivo excluído se torna significativamente mais difícil, mas não impossível.

TRIM working on SSD(Belkasoft, 2014)

Atenção! Nem todo SSD e nem todo sistema operacional possui suporte à essa instrução.

Criptografia de Software

A criptografia total do disco visa dificultar o acesso aos dados, assegurando que as informações armazenadas no dispositivo sejam acessíveis apenas por usuários autorizados, como aqueles que possuem a senha, uma keyfile ou um hardware de autenticação (como o Yubikey, por exemplo).

O Windows, por exemplo, utiliza o BitLocker para implementar a criptografia total do disco. No entanto, isso não garante que os dados sejam completamente invioláveis.

O estudo "Is My Password Strong Enough?: A Study on User Perception in The Developing World" revelou que muitos usuários escolhem senhas previsíveis e fracas, como informações pessoais e padrões comuns. A reutilização de senhas também é um problema significativo, com 69% dos participantes admitindo essa prática.

Criptografia de Hardware

Esta é uma técnica de que utiliza componentes dedicados, como controladores e chips de criptografia, para proteger dados armazenados em dispositivos SSDs. Essa abordagem oferece vantagens em relação à criptografia de software, especialmente no que diz respeito à dificuldade de recuperação de dados após a exclusão ou a destruição do dispositivo. No entanto, o custo do dispositivo pode não ser atrativo para a maioria das pessoas.

No mercado, há alguns dispositivos como o SSD Externo IronKey Vault Privacy 80 8TB, que pode chegar a custar R$ 18.000,00; e SSD KC600 mSATA 2TB para uso interno, que pode custar R$ 3.000,00

Imagem do SSD Externo IronKey Vault Privacy 80 8TB

Não é uma publi post, mas poderia ser 🥲

Conclusão

Em um mundo cada vez mais digital, a proteção de dados sensíveis é uma prioridade. A criptografia total de discos e o uso de comandos como TRIM em SSDs são ferramentas eficazes para garantir que as informações permaneçam seguras contra acessos não autorizados. No entanto, é importante lembrar que, mesmo com essas medidas de segurança, a exclusão de arquivos não garante sua remoção permanente.

Existem técnicas de remoção segura de arquivos que podem ajudar a mitigar o risco de recuperação de dados, mas a única forma realmente segura de garantir que as informações não possam ser recuperadas é através da destruição física do dispositivo, reduzindo-o a partículas de até 2 mm. Essa abordagem assegura que os dados não possam ser acessados de forma alguma, proporcionando uma camada adicional de segurança para informações críticas. Portanto, ao considerar a proteção de dados, é essencial adotar uma abordagem abrangente que inclua tanto a criptografia quanto a destruição segura de dispositivos quando necessário.

Post Scriptum

Este artigo tem caráter educativo, com foco em explicar como dados são gerenciados em SSDs e como você pode proteger sua privacidade.

Top comments (0)