¿Se pueden recuperar los datos en un MacBook Pro SSD después de formatearlos con la Utilidad de Discos?

7

Mi MacBook Pro va a ser un nuevo propietario y quiero estar seguro de que los datos se borran adecuadamente en el SSD interno (PCIe flash). Hay dos preguntas / respuestas de Stack Exchange que parecen presentar datos contradictorios sobre si el uso de la Utilidad de Disco para borrar una partición dificultará lo suficiente como para evitar la recuperación de datos:

Sugiere que un simple "Borrar" en la Utilidad de Discos hará el trabajo:

Cómo obtener la función "Borrar de forma segura" de la Utilidad de Disco en El Capitan & Sierra

Sugiere que un SSD que ha sido borrado puede recuperarse razonablemente:

enlace

Entonces, en base a esta información conflictiva, ¿cómo puedo estar razonablemente seguro de que los datos en el SSD borrado han desaparecido y no se pueden recuperar? ¿Es verdad que cuando formatea una unidad en una MacBook Pro (a finales de 2016), la función TRIM borrará todos los restos de los archivos o todavía están en la unidad, listos para que alguien con un programa de recuperación pueda acceder a ellos?

Tengo la tentación de probar el diskutil secureErase pero no quiero borrar accidentalmente el disco / partición incorrecto ni poner un desgaste innecesario en el SSD.

    
pregunta Swisher Sweet 22.01.2017 - 16:04

2 respuestas

5

Desde que fui el autor de la respuesta vinculada, intentaré explicar qué está pasando ...

En primer lugar, es importante tener en cuenta que el estudio FAST hace referencia a la comunidad de Seguridad de la Información de SE, Borrado confiable de datos de unidades de estado sólido basadas en flash es de 2011 y ahora tiene 6 años 1 .

La conferencia donde se presentó este documento fue en febrero de 2011. Tenga en cuenta que la SATA 3.1 spec que abordó los problemas de TRIM no se lanzó hasta julio de 2011

Dentro de la especificación TRIM, incluida en SATA 3.1,

  

Un inconveniente del comando original ATA TRIM es que se definió como   un comando que no se puede encolar y, por lo tanto, no se puede mezclar fácilmente con un   carga de trabajo normal de las operaciones de lectura y escritura en cola. SATA 3.1   introdujo un comando TRIM en cola para remediar esto. [62]

     

Hay diferentes tipos de TRIM definidos por las palabras SATA 69 y 169   devuelto de un comando ATA IDENTIFY DEVICE:

     
  • TRIM no determinista: cada comando de lectura a la dirección del bloque lógico   (LBA) después de un TRIM puede devolver datos diferentes.
  •   
  • TRIM determinista   (DRAT): Todos los comandos de lectura al LBA después de un TRIM devolverán el   Los mismos datos, o llegar a ser determinados.
  •   
  • Lectura cero determinista después de TRIM   (RZAT): Todos los comandos de lectura al LBA después de un TRIM devolverán cero.
  •   

Todo esto se reduce a qué tipo de comando TRIM que hardware es capaz de ejecutar. De la investigación que he hecho hasta ahora, los SSD modernos utilizan DRAT o RZAT según la "calidad" de la unidad (mayor calidad generalmente significa que se implementa RZAT).

En las unidades que implementan DRAT, el espacio eliminado está marcado como "no utilizado", los datos pueden "recuperarse" hasta cierto punto. Con las unidades que usan RZAT, una vez que se ejecuta el comando TRIM, la unidad devolverá "ceros" independientemente de los datos que haya en ese espacio. 2

El MBP 2016 utiliza la NAND de SanDisk SDRQKBDC4 064G 64 GB 3 que es OEM específicamente para Apple. Desafortunadamente, no he encontrado especificaciones detalladas sobre el soporte TRIM para estas unidades en particular (el Libro Blanco que la referencia es 404). Si bien no puedo obtener ninguna especificación técnica detallada de esta unidad, apostaría a que utiliza el comando RZAT TRIM y no DRAT.

En pocas palabras, si la unidad SSD solo tiene la capacidad DRAT, existe la posibilidad de recuperar datos, pero generalmente se encuentra en una situación en la que pudo detener el proceso de eliminación e iniciar inmediatamente la recuperación de datos. Si implementa RZAT, puede estar bastante seguro de que la recuperación solo recuperará los ceros a menos que la devuelva (junto con una orden judicial) al fabricante para obtener una recuperación de bajo nivel. 2

TL; DR

Con Macs y macOS nuevos y modernos, si borras la unidad y vuelves a instalar macOS encima, es muy poco probable que alguien pueda recuperar tus archivos.

Si le preocupa que el usuario lleve la unidad a un laboratorio forense para recuperar datos (ese es un problema completamente diferente), debe reemplazar la unidad. Nada menos que eso y estarás bien.

1 Conferencia de USENIX sobre tecnologías de archivos y almacenamiento, 2011.

2 Recuperación de evidencia de unidades SSD en 2014: Comprensión de TRIM, recolección de basura y exclusiones . 23 de septiembre de 2014

3 MacBook Pro 13 "Toca Desmontaje de barra Ifixit.com, ~ diciembre de 2016.

    
respondido por el Allan 23.01.2017 - 02:07
3

La última respuesta que cites tiene toda la información. Es complicado borrar un SSD. Así que depende de tus necesidades de seguridad.

Como dice el primer artículo, eliminar archivos mientras se usa TRIM hace un trabajo decente de destruir datos, pero existe la posibilidad de que algunos datos puedan recuperarse.

Para mayor seguridad, puede cifrar su disco con Filevault o borrarlo. El resultado debe ser prácticamente el mismo (desgaste y seguridad). Pero como dice la última respuesta no hay una garantía del 100% de que algunos bits sean recuperables.

Especialmente en el segundo caso, sería bastante difícil para un atacante reconstruir los datos, y una herramienta comercial de eliminación probablemente no sería suficiente para hacerlo.

    
respondido por el n1000 23.01.2017 - 01:10

Lea otras preguntas en las etiquetas