Cerca nel blog

2014/05/16

Come si recuperano i file cancellati?

Recenti fatti di cronaca in campo bancario hanno stuzzicato la curiosità di molti utenti: come è possibile recuperare file cancellati da un computer o da un dispositivo di archiviazione come una penna USB o un disco rigido?

La materia è complessa, ma ci sono alcuni concetti di base che è meglio conoscere. È abbastanza noto che trascinare un documento nel Cestino del computer non lo cancella: basta andare nel Cestino stesso a riprenderselo. Ma è meno noto che anche dopo che il Cestino è stato vuotato, il file è ancora recuperabile.

Nella maggior parte dei sistemi operativi, infatti, un file “cancellato” in realtà rimane ancora presente: semplicemente lo spazio occupato da quel file viene etichettato come libero e riutilizzabile. Questo vuol dire che fino al momento in cui viene riutilizzato quello spazio, i dati sono ancora leggibili. Esistono molte applicazioni, gratuite e a pagamento, che permettono questo genere di recupero (per esempio Undelete360Recuva).

Anche la formattazione rapida di un disco solitamente non cancella il suo contenuto ma fondamentalmente si limita a segnare come libero tutto lo spazio contenente i dati. Di conseguenza, ci sono applicazioni capaci di effettuare anche il recupero di dati da dischi formattati (per esempio OnTrack). Ci sono tecniche ancora più sofisticate, come il carving, che ricostruiscono i file partendo dai loro frammenti residui (Foremost è un'applicazione gratuita che fa carving). Inoltre le aziende specializzate sono in grado di estrarre dati anche da dischi fisicamente danneggiati o difettosi.

Molto spesso, però, il trucco per recuperare un file cancellato è assai più semplice: basta ricordarsi che quasi tutte le applicazioni generano copie temporanee dei documenti sui quali stanno lavorando e le salvano in vari posti. Inviare un documento via mail, per esempio, solitamente crea una copia del documento nell'archivio dell'applicazione di mail. Una ricerca nella documentazione dell'applicazione o in Google di solito rivela quali sono questi posti e archivi e permette di andare a cercare le copie temporanee non cancellate. Inoltre, se usate servizi online come Dropbox, tenete presente che spesso archiviano anche i documenti cancellati e ne permettono il recupero.

Come si fa a cancellare in modo definitivo un documento? Non è facile. Si può cominciare ordinando al computer di sovrascrivere i dati dei file cancellati, per esempio usando la modalità sicura per vuotare il Cestino o formattare il disco: ci vuole più tempo, ma è un buon passo avanti. Un metodo davvero sicuro è distruggere fisicamente il disco o la penna USB bucandolo con un trapano (questo è il metodo usato dalle aziende specializzate), ma è un po' dispendioso. Restano inoltre le copie salvate altrove, nei backup e sul disco principale, che bisogna snidare e sottoporre allo stesso trattamento.

Morale della favola: se un dato è stato scritto da qualche parte, è meglio presumere che sarà recuperabile se ne vale la pena. La soluzione migliore, per chi ha esigenze serie di riservatezza, è usare la crittografia forte invece di fare affidamento sulla semplice cancellazione.

20 commenti:

Donato ha detto...

Prima dell' "invenzione" del cestino si recuperava un file cancellato inavvertitamente (backup, cosa è il backup?) con le mitiche Norton Utilities!

Davide Grossato ha detto...

Ciao, come link a Recurva metterei quello del produttore http://www.piriform.com/recuva

My2c

Davide

Guastulfo (Giuseppe) ha detto...

@Donato
Prima dell' "invenzione" del cestino si recuperava un file cancellato inavvertitamente (backup, cosa è il backup?) con le mitiche Norton Utilities!

E pctools (per dos ovviamente :-) ) dove lo metti?
Con quell'utility mi recuperavo "a mano" i file cancellati (grazie al disk editor) e, soprattutto mi permetteva di avere in un computer della sala riservata agli studenti una cartella il cui nome iniziava con uno spazio vuoto e, quindi, inaccessibile per gli altri, soprattutto non cancellabile :-)

Che bei tempi!

alberto ha detto...

@Guastulfo (Giuseppe)
mi permetteva di avere in un computer della sala riservata agli studenti una cartella il cui nome iniziava con uno spazio vuoto e, quindi, inaccessibile per gli altri, soprattutto non cancellabile :-)

Io ero riuscito a creare una struttura infinita. Avevo creato una cartella di nome . (punto). Ti lascio immaginare.

angelo ha detto...

La prima volta che ho saputo della possibilità di recuperare un file cancellato per errore, è stato con il mitico Commodore; solo che all'epoca le utility di recupero erano scritte in BASIC, pubblicate su riviste, ed occorreva digitarsi a mano tutto il listato (sperando di non fare errori).

Se a qualcuno interessa, ecco la rivista in questione:

http://ready64.it/ccc/pagina.php?ccc=36&pag=029.jpg
http://ready64.it/ccc/pagina.php?ccc=36&pag=030.jpg
http://ready64.it/ccc/pagina.php?ccc=36&pag=031.jpg

Il Lupo della Luna ha detto...

Esistono programmi che applicano delle sovrascritture multiple sui file, usando "pattern" di dati creati in modo da rendere difficile un riconoscimento, cancellandoli in maniera decisamente sicura. Il freeware BleachBit è uno di questi.

piero ha detto...

Utilizzando C cleaner con selezionata l'opzione "bonifica spazio libero" i files cancellati si cancellano effettivamente o restano comunque recuperabili?

pgc ha detto...

Paolo, forse andrebbe specificato (lo saprai di sicuro) che I Mac (Maverick) hanno un'opzione su Disk Utility che permette sovrascritture multiple (fino a 7 passaggi) dello spazio libero. L'opzione si ottiene avviando Disk Utility, selezionando il disco di cui si vuole cacellare la zona libera, quindi "Erase Free Space" e quindi spostando il cursore su "Most Secure" prima di premere di nuovo il bottone "Erase Free Space".

Sette passaggi (scrivendo 0 o 1 a caso) sono considerati ragionevolmente sicuri da impedire il recupero, almeno da parte di privati.

Donato ha detto...

> Sette passaggi (scrivendo 0 o 1 a caso) sono considerati ragionevolmente sicuri da impedire il recupero, almeno da parte di privati.

Mi sfugge la necessità di effettuare ben SETTE passaggi. Non sarebbe sufficiente riempire lo spazio utilizzato prima dal file da eliminare scrivendo semplicemente una serie di zeri (o "uni")?

Giuliano47 ha detto...

@ piero
"Utilizzando C cleaner con selezionata l'opzione "bonifica spazio libero" i files cancellati si cancellano effettivamente o restano comunque recuperabili? "

Quell'opzione di bonifica permette diversi tipi di sovrascrittura.
Mi pare che con una sola sovrascrittura qualcosina si possa recuperare, ma non ricordo bene per una prova fatta tanto tempo fa.
Sempre sul sito di C cleaner trovi anche questo recupera-file-cancellati, sempre free nella versione base:
http://www.piriform.com/recuva

pgc ha detto...

Donato: Mi sfugge la necessità di effettuare ben SETTE passaggi.

Nel caso di un HDD magnetico se scrivi uno 0 su un 1 non tutti i domini magnetici verranno invertiti e il valore del campo magnetico reale sarà il 95% di quello nominale. Se invece scrivi un 1 su un 1 il valore diverrà il 105%. Se il tuo disco finisce in cattive mani può essere smontato e analizzato con dei dispositivi che creano un'immagine del campo magnerico misurato senza arrotondare ad 1 o 0. Questi dispositivi costano ormai meno di 1000 dollari e funzionano con tecniche come l'MFT (Magnetic Force Microscopy) o STM (Scan Tunnelling Microscopy o qualcosa del genere).

Inoltre, se il disco funziona ancora ma alcuni settori sono stati marcati come "bad" il dato è illegibile alla testina ma non necessariamente con questi dispositivi. In questo caso e in tanti altri ancora più sottili e dipendenti dal tipo di supporto scrivere 1 o 100 volte non cambia la sostanza: molto più sicura la criptazione, come dice l'articolo, che elimina il problema alla radice. Anche passarci sopra con lo schiacciasassi può risultare inutile. Meglio allora bruciarli ad alta temperatura (e abbastanza a lungo).

C'è da dire comunque che se vuoi fregare dati è molto più economico farlo via internet. Quindi inutile impiccarsi per impedire una cosa che in realtà non conviene nemmeno al ladro. A meno che non abbia sul tuo vecchio disco rigido (o sulla tua memoria flash, o nella chiavetta USB) dati che hanno un valore molto elevato o che richiedono assoluta segretezza.

piero ha detto...

C cleaner arriva a 35 passaggi di sovrascrittura. Ci mette un sacco di tempo però!

brain_use ha detto...

Mi sfugge la necessità di effettuare ben SETTE passaggi.

Aggiungo alla precisa spiegazione di Pgc solo una notarella: ovviamente il problema si pose solo se qualcuno risulta seriamente interessato ai dati contenuti sul supporto magnetico, dal momento che il lavoro necessario al recupero non è comunque indifferente.

In proposito, esistono diverse normative, pubblicate dal Dipartimento della Difesa statunitense così come da diversi enti di diverse nazioni che si occupano di sicurezza dei dati, che impongono, a seconda della tipologia di dati da eliminare, dai 3 ai 7 passaggi di sovrascrittura, generalmente usando dati pseudorandom e non un valore fisso 0 o 1, senza considerare l'estrema soluzione "35 passaggi" (Gutmann).

Aggiungo anche che ben diverso è il problema nel caso in cui i dati siano salvati su supporti non magnetici: dischi SSD, chiavette USB ecc... per i quali il giochetto della sovrascritture del singolo file non funziona proprio, a causa del metodo con cui vengono gestite le celle di memoria per ottimizzarne la durata. Il risultato dell'operaizone, in questo caso, sarebbe semplicemente una riduzione della vita operativa del supporto.

pgc ha detto...

in realtà, dati i costi (e i rischi di "man in the middle"...) mi risulta che per grandi quantità di HDD contenenti dati importanti si usano i degausser, dopo avere distrutto la parte elettronica. Per i SSD invece un "grinder" (macinino) che li riduce praticamente in polvere per evitare che qualche chip resti intatto.

Il Lupo della Luna ha detto...

ho visto anche i tritadischi per i dischi non SSD.

pgc ha detto...

Il problema Lupo è se lo vuoi rivendere....

[img]http://2.bp.blogspot.com/_e_Db8eSKEXY/TFJyIWfAkvI/AAAAAAAAAHg/ttsSJDBr9qA/s1600/Calvin+and+Hobbes+Binoculars+5.jpg[/img]

Il Lupo della Luna ha detto...

Soluzione estrema: crittografo prima i dischi. DUE volte, poi cancellazione con cinque o sei cicli di riscrittura. Dovrebbe bastare.

Guastulfo (Giuseppe) ha detto...

crittografo prima i dischi. DUE volte, poi cancellazione con cinque o sei cicli di riscrittura. Dovrebbe bastare.

Con l'aggiunta di polvere di roccia magnetica sopra, è ancora più squisito.

Scusate, non ho resistito. Mi è sembrata una ricetta :-D

Il Lupo della Luna ha detto...

vediamo se riesco a trovare una risposta sensata:

Si, però è scomodo perché dovete smontare il disco. Un pò di magnetite direttamente sul PC fa lo stesso

:D

pgc ha detto...

Non credo che funzioni.

Pensa che i "degausser" applicano a lungo un campo magnetico alternato al disco.
E ciò nonostante non funziona sempre perchè dipende strettamente dalla coercitività magnetica del disco stesso, che devi conoscere a priori.