skip to main | skip to sidebar
20 commenti

Come si recuperano i file cancellati?

Recenti fatti di cronaca in campo bancario hanno stuzzicato la curiosità di molti utenti: come è possibile recuperare file cancellati da un computer o da un dispositivo di archiviazione come una penna USB o un disco rigido?

La materia è complessa, ma ci sono alcuni concetti di base che è meglio conoscere. È abbastanza noto che trascinare un documento nel Cestino del computer non lo cancella: basta andare nel Cestino stesso a riprenderselo. Ma è meno noto che anche dopo che il Cestino è stato vuotato, il file è ancora recuperabile.

Nella maggior parte dei sistemi operativi, infatti, un file “cancellato” in realtà rimane ancora presente: semplicemente lo spazio occupato da quel file viene etichettato come libero e riutilizzabile. Questo vuol dire che fino al momento in cui viene riutilizzato quello spazio, i dati sono ancora leggibili. Esistono molte applicazioni, gratuite e a pagamento, che permettono questo genere di recupero (per esempio Undelete360Recuva).

Anche la formattazione rapida di un disco solitamente non cancella il suo contenuto ma fondamentalmente si limita a segnare come libero tutto lo spazio contenente i dati. Di conseguenza, ci sono applicazioni capaci di effettuare anche il recupero di dati da dischi formattati (per esempio OnTrack). Ci sono tecniche ancora più sofisticate, come il carving, che ricostruiscono i file partendo dai loro frammenti residui (Foremost è un'applicazione gratuita che fa carving). Inoltre le aziende specializzate sono in grado di estrarre dati anche da dischi fisicamente danneggiati o difettosi.

Molto spesso, però, il trucco per recuperare un file cancellato è assai più semplice: basta ricordarsi che quasi tutte le applicazioni generano copie temporanee dei documenti sui quali stanno lavorando e le salvano in vari posti. Inviare un documento via mail, per esempio, solitamente crea una copia del documento nell'archivio dell'applicazione di mail. Una ricerca nella documentazione dell'applicazione o in Google di solito rivela quali sono questi posti e archivi e permette di andare a cercare le copie temporanee non cancellate. Inoltre, se usate servizi online come Dropbox, tenete presente che spesso archiviano anche i documenti cancellati e ne permettono il recupero.

Come si fa a cancellare in modo definitivo un documento? Non è facile. Si può cominciare ordinando al computer di sovrascrivere i dati dei file cancellati, per esempio usando la modalità sicura per vuotare il Cestino o formattare il disco: ci vuole più tempo, ma è un buon passo avanti. Un metodo davvero sicuro è distruggere fisicamente il disco o la penna USB bucandolo con un trapano (questo è il metodo usato dalle aziende specializzate), ma è un po' dispendioso. Restano inoltre le copie salvate altrove, nei backup e sul disco principale, che bisogna snidare e sottoporre allo stesso trattamento.

Morale della favola: se un dato è stato scritto da qualche parte, è meglio presumere che sarà recuperabile se ne vale la pena. La soluzione migliore, per chi ha esigenze serie di riservatezza, è usare la crittografia forte invece di fare affidamento sulla semplice cancellazione.
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati da un moderatore. Lo so, è scomodo, ma è necessario per tenere lontani scocciatori, spammer, troll e stupidi: siate civili e verrete pubblicati qualunque sia la vostra opinione; gli incivili di qualsiasi orientamento non verranno pubblicati, se non per mostrare il loro squallore.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (20)
Prima dell' "invenzione" del cestino si recuperava un file cancellato inavvertitamente (backup, cosa è il backup?) con le mitiche Norton Utilities!
Ciao, come link a Recurva metterei quello del produttore http://www.piriform.com/recuva

My2c

Davide
@Donato
Prima dell' "invenzione" del cestino si recuperava un file cancellato inavvertitamente (backup, cosa è il backup?) con le mitiche Norton Utilities!

E pctools (per dos ovviamente :-) ) dove lo metti?
Con quell'utility mi recuperavo "a mano" i file cancellati (grazie al disk editor) e, soprattutto mi permetteva di avere in un computer della sala riservata agli studenti una cartella il cui nome iniziava con uno spazio vuoto e, quindi, inaccessibile per gli altri, soprattutto non cancellabile :-)

Che bei tempi!
@Guastulfo (Giuseppe)
mi permetteva di avere in un computer della sala riservata agli studenti una cartella il cui nome iniziava con uno spazio vuoto e, quindi, inaccessibile per gli altri, soprattutto non cancellabile :-)

Io ero riuscito a creare una struttura infinita. Avevo creato una cartella di nome . (punto). Ti lascio immaginare.
La prima volta che ho saputo della possibilità di recuperare un file cancellato per errore, è stato con il mitico Commodore; solo che all'epoca le utility di recupero erano scritte in BASIC, pubblicate su riviste, ed occorreva digitarsi a mano tutto il listato (sperando di non fare errori).

Se a qualcuno interessa, ecco la rivista in questione:

http://ready64.it/ccc/pagina.php?ccc=36&pag=029.jpg
http://ready64.it/ccc/pagina.php?ccc=36&pag=030.jpg
http://ready64.it/ccc/pagina.php?ccc=36&pag=031.jpg
Esistono programmi che applicano delle sovrascritture multiple sui file, usando "pattern" di dati creati in modo da rendere difficile un riconoscimento, cancellandoli in maniera decisamente sicura. Il freeware BleachBit è uno di questi.
Utilizzando C cleaner con selezionata l'opzione "bonifica spazio libero" i files cancellati si cancellano effettivamente o restano comunque recuperabili?
Paolo, forse andrebbe specificato (lo saprai di sicuro) che I Mac (Maverick) hanno un'opzione su Disk Utility che permette sovrascritture multiple (fino a 7 passaggi) dello spazio libero. L'opzione si ottiene avviando Disk Utility, selezionando il disco di cui si vuole cacellare la zona libera, quindi "Erase Free Space" e quindi spostando il cursore su "Most Secure" prima di premere di nuovo il bottone "Erase Free Space".

Sette passaggi (scrivendo 0 o 1 a caso) sono considerati ragionevolmente sicuri da impedire il recupero, almeno da parte di privati.
> Sette passaggi (scrivendo 0 o 1 a caso) sono considerati ragionevolmente sicuri da impedire il recupero, almeno da parte di privati.

Mi sfugge la necessità di effettuare ben SETTE passaggi. Non sarebbe sufficiente riempire lo spazio utilizzato prima dal file da eliminare scrivendo semplicemente una serie di zeri (o "uni")?
@ piero
"Utilizzando C cleaner con selezionata l'opzione "bonifica spazio libero" i files cancellati si cancellano effettivamente o restano comunque recuperabili? "

Quell'opzione di bonifica permette diversi tipi di sovrascrittura.
Mi pare che con una sola sovrascrittura qualcosina si possa recuperare, ma non ricordo bene per una prova fatta tanto tempo fa.
Sempre sul sito di C cleaner trovi anche questo recupera-file-cancellati, sempre free nella versione base:
http://www.piriform.com/recuva
Donato: Mi sfugge la necessità di effettuare ben SETTE passaggi.

Nel caso di un HDD magnetico se scrivi uno 0 su un 1 non tutti i domini magnetici verranno invertiti e il valore del campo magnetico reale sarà il 95% di quello nominale. Se invece scrivi un 1 su un 1 il valore diverrà il 105%. Se il tuo disco finisce in cattive mani può essere smontato e analizzato con dei dispositivi che creano un'immagine del campo magnerico misurato senza arrotondare ad 1 o 0. Questi dispositivi costano ormai meno di 1000 dollari e funzionano con tecniche come l'MFT (Magnetic Force Microscopy) o STM (Scan Tunnelling Microscopy o qualcosa del genere).

Inoltre, se il disco funziona ancora ma alcuni settori sono stati marcati come "bad" il dato è illegibile alla testina ma non necessariamente con questi dispositivi. In questo caso e in tanti altri ancora più sottili e dipendenti dal tipo di supporto scrivere 1 o 100 volte non cambia la sostanza: molto più sicura la criptazione, come dice l'articolo, che elimina il problema alla radice. Anche passarci sopra con lo schiacciasassi può risultare inutile. Meglio allora bruciarli ad alta temperatura (e abbastanza a lungo).

C'è da dire comunque che se vuoi fregare dati è molto più economico farlo via internet. Quindi inutile impiccarsi per impedire una cosa che in realtà non conviene nemmeno al ladro. A meno che non abbia sul tuo vecchio disco rigido (o sulla tua memoria flash, o nella chiavetta USB) dati che hanno un valore molto elevato o che richiedono assoluta segretezza.
C cleaner arriva a 35 passaggi di sovrascrittura. Ci mette un sacco di tempo però!
Mi sfugge la necessità di effettuare ben SETTE passaggi.

Aggiungo alla precisa spiegazione di Pgc solo una notarella: ovviamente il problema si pose solo se qualcuno risulta seriamente interessato ai dati contenuti sul supporto magnetico, dal momento che il lavoro necessario al recupero non è comunque indifferente.

In proposito, esistono diverse normative, pubblicate dal Dipartimento della Difesa statunitense così come da diversi enti di diverse nazioni che si occupano di sicurezza dei dati, che impongono, a seconda della tipologia di dati da eliminare, dai 3 ai 7 passaggi di sovrascrittura, generalmente usando dati pseudorandom e non un valore fisso 0 o 1, senza considerare l'estrema soluzione "35 passaggi" (Gutmann).

Aggiungo anche che ben diverso è il problema nel caso in cui i dati siano salvati su supporti non magnetici: dischi SSD, chiavette USB ecc... per i quali il giochetto della sovrascritture del singolo file non funziona proprio, a causa del metodo con cui vengono gestite le celle di memoria per ottimizzarne la durata. Il risultato dell'operaizone, in questo caso, sarebbe semplicemente una riduzione della vita operativa del supporto.
in realtà, dati i costi (e i rischi di "man in the middle"...) mi risulta che per grandi quantità di HDD contenenti dati importanti si usano i degausser, dopo avere distrutto la parte elettronica. Per i SSD invece un "grinder" (macinino) che li riduce praticamente in polvere per evitare che qualche chip resti intatto.
ho visto anche i tritadischi per i dischi non SSD.
Il problema Lupo è se lo vuoi rivendere....

[img]http://2.bp.blogspot.com/_e_Db8eSKEXY/TFJyIWfAkvI/AAAAAAAAAHg/ttsSJDBr9qA/s1600/Calvin+and+Hobbes+Binoculars+5.jpg[/img]
Soluzione estrema: crittografo prima i dischi. DUE volte, poi cancellazione con cinque o sei cicli di riscrittura. Dovrebbe bastare.
crittografo prima i dischi. DUE volte, poi cancellazione con cinque o sei cicli di riscrittura. Dovrebbe bastare.

Con l'aggiunta di polvere di roccia magnetica sopra, è ancora più squisito.

Scusate, non ho resistito. Mi è sembrata una ricetta :-D
vediamo se riesco a trovare una risposta sensata:

Si, però è scomodo perché dovete smontare il disco. Un pò di magnetite direttamente sul PC fa lo stesso

:D
Non credo che funzioni.

Pensa che i "degausser" applicano a lungo un campo magnetico alternato al disco.
E ciò nonostante non funziona sempre perchè dipende strettamente dalla coercitività magnetica del disco stesso, che devi conoscere a priori.