DATA DA PUBLICAÇÃO 27/05/2010 | Informática
Pacotão de segurança: recuperação de dados e falhas em processadores
>>> Recuperação de HD queimado e formatado
Gostaria de saber se existe alguma forma de um criminoso recuperar dados de um disco rígido queimado e /ou formatado.
Thomas
Provavelmente sim.
Se os discos que armazenam os dados do HD (os “pratos”) estão intactos, normalmente é possível recuperar os dados de alguma forma. Mesmo se os pratos estiverem danificados em certos pontos, os demais ainda podem ser lidos com equipamento especializado. Algo semelhante acontece com CDs arranhados, por exemplo, exceto pela questão ser um pouco mais complicado do que isso.
No caso de placas queimadas, é possível substituí-las por outras iguais, permitindo que o HD seja lido.
No caso da formatação, o que acontece é que os dados já existentes no HD não são apagados pela formatação. O sistema de arquivos do disco possui um arquivo especial que não pode ser visto pelo gerenciador de arquivos. É a chamada “tabela mestre” – ela mantém as referências sobre os arquivos presentes no disco e onde eles se localizam fisicamente. É como uma lista de endereços dos arquivos que estão no HD.
Quando você formata o disco, essa tabela mestre é zerada. Por isso que o sistema operacional não exibe nenhum arquivo no seu HD depois que ele é formatado. Os dados gravados, no entanto, continuam lá. Os dados são vão sumir mesmo quando forem substituídos por outros, o que ocorre durante o uso do HD ou com o uso de softwares especiais que realizam operações do tipo “zerofill”, na qual o disco é inteiro regravado com zeros. Assim, o disco volta ao estado de fábrica.
É claro que a recuperação dos dados é raramente completa. Nos casos em que o HD foi danificado de qualquer forma, o processo certamente não é simples e, portanto, também não é barato. Mas se o problema é apenas algo ser “possível” ou não, sim, com certeza é possível.
Se você está preocupado com roubo de dados, a melhor solução é a criptografia de disco. Programas como o TrueCrypt, o BitLocker e o PGP permitem que você criptografe todo ou parte do conteúdo do disco, protegendo a informação mesmo no caso de roubo do HD ainda intacto.
>>> Bug no processador
É possível que o processador possa ter uma falha em seu chip que possibilite uma invasão (algo como o Chernobyl)? É possível também que um processador apresente um erro lógico por conta do aquecimento e isto ser explorado?
Wellington Guedes
Não arrisco dizer que não é possível acontecer um erro. Normalmente, erros em processador se manifestam dentro de condições muito específicas. Não faz muito tempo que pesquisadores exploraram inconsistências no processador criadas por variações (controladas) energia elétrica enviada ao processador. Foi chamado de Fault-Based Attack para quebrar a criptografia usada em certificados web. No entanto, o ataque é um tanto inútil: se a pessoa tem o controle físico sobre o computador para alterar a energia fornecida, ele pode simplesmente pegar o disco rígido e copiar o certificado.
Também não há registro de alguma falha generalizada que se manifesta em condições extremas, seja de calor ou outras, que poderia ser explorada para uma invasão.
Processadores têm um código, chamado de microcode, que é responsável por várias tarefas internas do chip, como a BIOS é para a placa-mãe. O vírus Chernobyl não “invadia” o computador; na verdade, se aproveitava do fato que a BIOS podia ser definitivamente apagada da placa, necessitando ser reprogramada e assim inutilizando a placa-mãe. Se o processador tiver alguma brecha que permita ao microcode ser apagado de tal forma que ele é irrecuperável, o chip também pode vir a ter problemas.
Autores dos vírus disseminados atualmente não querem danificar os computadores. As pragas precisam permanecer invisíveis e roubar os dados ou prosseguir com a invasão da rede da empresa que está sendo atacada. Causar danos permanentes é útil apenas no caso de “queima de evidência”, o que já existe, inclusive, em alguns vírus. Danificar o processador, porém, não vai ajudar a eliminar evidência alguma, porque o HD vai continuar funcionando sem problemas.
Mesmo que um ataque desse seja possível, portanto, é improvável que ele será visto em larga escala, exceto por algum evento diferente daquilo que hoje acontece no mundo da segurança. Ataques no microcode de outros componentes, como HDs, também é considerado possível. Rootkits em placas PCI são considerados possíveis desde 2006.
>>> Formatar o HD resolve tudo?
Se meu PC estiver contaminado, formatar meu resolve o problema em todos os casos? E ao fazer backup de alguns arquivos, corro o risco de um deles estar contaminado ou os vírus se alocam em arquivos de sistema?
Eduardo
Já existem pesquisas e ataques que sugerem a possibilidade de uma praga digital sobreviver à formatação do disco rígido. Mas isso ainda não foi visto na prática, pelo menos não nos ataques conhecidos publicamente. As chances de seu computador acabar infectado por uma praga assim é, portanto, praticamente nula.
Considerando isso, formatar o disco rígido resolve sim qualquer problema que você possa ter com pragas digitais. É claro que não vai adiantar formatar o disco se o CD do Windows que for usado para instalar o sistema for pirata e estiver infectado – e sim, isso acontece.
Quase nenhum “vírus” existente hoje é vírus no sentido clássico do termo. Ou seja, não são parasitas, não “infectam” arquivos. E, quando o fazem, os alvos são geralmente arquivos de sistema. Isso significa que o objetivo da praga ao infectar o arquivo não é se espalhar, mas sim dificultar sua remoção, pois arquivos do sistema não podem ser simplesmente apagados. Por isso, a chance de você ter um backup infectado é pequena, embora ela exista, sim.
No entanto, analisar os backups com um antivírus pode encontrar todas essas pragas parasitas ou, pelo menos, algo bem de “todas”. A limpeza dos arquivos também não deve ser problema se o antivírus for executado a partir de um computador ainda não afetado pela infecção.
No pior dos casos, o vírus não “infectou” o arquivo, mas o substituiu. Nesses casos, você perdeu os dados. Isso também é raro hoje. Como foi dito na resposta acima, criminosos não querem danificar o computador de suas vítimas.
*Altieres Rohr é especialista em segurança de computadores e, nesta coluna, vai responder dúvidas, explicar conceitos e dar dicas e esclarecimentos sobre antivírus, firewalls, crimes virtuais, proteção de dados e outros. Ele criou e edita o Linha Defensiva, site e fórum de segurança que oferece um serviço gratuito de remoção de pragas digitais, entre outras atividades. Na coluna “Segurança para o PC”, o especialista também vai tirar dúvidas deixadas pelos leitores na seção de comentários. Acompanhe também o Twitter da coluna, na página http://twitter.com/g1seguranca.
Gostaria de saber se existe alguma forma de um criminoso recuperar dados de um disco rígido queimado e /ou formatado.
Thomas
Provavelmente sim.
Se os discos que armazenam os dados do HD (os “pratos”) estão intactos, normalmente é possível recuperar os dados de alguma forma. Mesmo se os pratos estiverem danificados em certos pontos, os demais ainda podem ser lidos com equipamento especializado. Algo semelhante acontece com CDs arranhados, por exemplo, exceto pela questão ser um pouco mais complicado do que isso.
No caso de placas queimadas, é possível substituí-las por outras iguais, permitindo que o HD seja lido.
No caso da formatação, o que acontece é que os dados já existentes no HD não são apagados pela formatação. O sistema de arquivos do disco possui um arquivo especial que não pode ser visto pelo gerenciador de arquivos. É a chamada “tabela mestre” – ela mantém as referências sobre os arquivos presentes no disco e onde eles se localizam fisicamente. É como uma lista de endereços dos arquivos que estão no HD.
Quando você formata o disco, essa tabela mestre é zerada. Por isso que o sistema operacional não exibe nenhum arquivo no seu HD depois que ele é formatado. Os dados gravados, no entanto, continuam lá. Os dados são vão sumir mesmo quando forem substituídos por outros, o que ocorre durante o uso do HD ou com o uso de softwares especiais que realizam operações do tipo “zerofill”, na qual o disco é inteiro regravado com zeros. Assim, o disco volta ao estado de fábrica.
É claro que a recuperação dos dados é raramente completa. Nos casos em que o HD foi danificado de qualquer forma, o processo certamente não é simples e, portanto, também não é barato. Mas se o problema é apenas algo ser “possível” ou não, sim, com certeza é possível.
Se você está preocupado com roubo de dados, a melhor solução é a criptografia de disco. Programas como o TrueCrypt, o BitLocker e o PGP permitem que você criptografe todo ou parte do conteúdo do disco, protegendo a informação mesmo no caso de roubo do HD ainda intacto.
>>> Bug no processador
É possível que o processador possa ter uma falha em seu chip que possibilite uma invasão (algo como o Chernobyl)? É possível também que um processador apresente um erro lógico por conta do aquecimento e isto ser explorado?
Wellington Guedes
Não arrisco dizer que não é possível acontecer um erro. Normalmente, erros em processador se manifestam dentro de condições muito específicas. Não faz muito tempo que pesquisadores exploraram inconsistências no processador criadas por variações (controladas) energia elétrica enviada ao processador. Foi chamado de Fault-Based Attack para quebrar a criptografia usada em certificados web. No entanto, o ataque é um tanto inútil: se a pessoa tem o controle físico sobre o computador para alterar a energia fornecida, ele pode simplesmente pegar o disco rígido e copiar o certificado.
Também não há registro de alguma falha generalizada que se manifesta em condições extremas, seja de calor ou outras, que poderia ser explorada para uma invasão.
Processadores têm um código, chamado de microcode, que é responsável por várias tarefas internas do chip, como a BIOS é para a placa-mãe. O vírus Chernobyl não “invadia” o computador; na verdade, se aproveitava do fato que a BIOS podia ser definitivamente apagada da placa, necessitando ser reprogramada e assim inutilizando a placa-mãe. Se o processador tiver alguma brecha que permita ao microcode ser apagado de tal forma que ele é irrecuperável, o chip também pode vir a ter problemas.
Autores dos vírus disseminados atualmente não querem danificar os computadores. As pragas precisam permanecer invisíveis e roubar os dados ou prosseguir com a invasão da rede da empresa que está sendo atacada. Causar danos permanentes é útil apenas no caso de “queima de evidência”, o que já existe, inclusive, em alguns vírus. Danificar o processador, porém, não vai ajudar a eliminar evidência alguma, porque o HD vai continuar funcionando sem problemas.
Mesmo que um ataque desse seja possível, portanto, é improvável que ele será visto em larga escala, exceto por algum evento diferente daquilo que hoje acontece no mundo da segurança. Ataques no microcode de outros componentes, como HDs, também é considerado possível. Rootkits em placas PCI são considerados possíveis desde 2006.
>>> Formatar o HD resolve tudo?
Se meu PC estiver contaminado, formatar meu resolve o problema em todos os casos? E ao fazer backup de alguns arquivos, corro o risco de um deles estar contaminado ou os vírus se alocam em arquivos de sistema?
Eduardo
Já existem pesquisas e ataques que sugerem a possibilidade de uma praga digital sobreviver à formatação do disco rígido. Mas isso ainda não foi visto na prática, pelo menos não nos ataques conhecidos publicamente. As chances de seu computador acabar infectado por uma praga assim é, portanto, praticamente nula.
Considerando isso, formatar o disco rígido resolve sim qualquer problema que você possa ter com pragas digitais. É claro que não vai adiantar formatar o disco se o CD do Windows que for usado para instalar o sistema for pirata e estiver infectado – e sim, isso acontece.
Quase nenhum “vírus” existente hoje é vírus no sentido clássico do termo. Ou seja, não são parasitas, não “infectam” arquivos. E, quando o fazem, os alvos são geralmente arquivos de sistema. Isso significa que o objetivo da praga ao infectar o arquivo não é se espalhar, mas sim dificultar sua remoção, pois arquivos do sistema não podem ser simplesmente apagados. Por isso, a chance de você ter um backup infectado é pequena, embora ela exista, sim.
No entanto, analisar os backups com um antivírus pode encontrar todas essas pragas parasitas ou, pelo menos, algo bem de “todas”. A limpeza dos arquivos também não deve ser problema se o antivírus for executado a partir de um computador ainda não afetado pela infecção.
No pior dos casos, o vírus não “infectou” o arquivo, mas o substituiu. Nesses casos, você perdeu os dados. Isso também é raro hoje. Como foi dito na resposta acima, criminosos não querem danificar o computador de suas vítimas.
*Altieres Rohr é especialista em segurança de computadores e, nesta coluna, vai responder dúvidas, explicar conceitos e dar dicas e esclarecimentos sobre antivírus, firewalls, crimes virtuais, proteção de dados e outros. Ele criou e edita o Linha Defensiva, site e fórum de segurança que oferece um serviço gratuito de remoção de pragas digitais, entre outras atividades. Na coluna “Segurança para o PC”, o especialista também vai tirar dúvidas deixadas pelos leitores na seção de comentários. Acompanhe também o Twitter da coluna, na página http://twitter.com/g1seguranca.
Assine nosso Feed RSSAs últimas | Informática
19/09/2018 | Grupo Renault Nissan terá sistema operacional Android em seus carros
18/09/2018 | A corrida para a criação do computador mais poderoso da história
11/06/2018 | Google tira ovos de emoji de salada para agradar veganos
As mais lidas de Informática
Relação não gerada ainda
As mais lidas no Geral
Relação não gerada ainda