Anche noi o lo abbiamo detto in passato: sovrascrivere i dati con altre informazioni è considerata “cancellazione sicura”. Ma è proprio così?
Una nostra breve indagine, utilizzando un potente software di recupero. Programma attualmente non in commercio e di produzione israeliana. Il nostro esperimento ha dato esiti sorprendenti!
Molti di voi lo sanno, cancellare semplicemente un file da un disco rigido non significa cancellarlo. In pratica, quello che accade, è informare lo spazio operativo che quel piccolo tratto di disco rigido è libero e può essere utilizzato per successive registrazioni.
Il file “cancellato” quindi rimane, a tutti gli effetti, presente sulla unità di memorizzazione e spesso, non viene sovrascritto da altri dati, almeno non nel giro di poco tempo. Quindi è anche facilmente recuperabile anche con programmi gratuiti di recupero file.
In passato abbiamo elencato programmi di cancellazione sicura che, in pratica, non fanno altro che sovrascrivere i dati da cancellare con altri dati, rendendo così “irrecuperabili” i file. Ebbene, occorre stare molto attenti, perché non è proprio così. O, perlomeno, abbiamo scoperto che esistono delle grosse limitazioni a questa operazione di “cancellazione sicura”.
I file sovrascritti sono recuperabili o no?
Personalmente, io che scrivo questo articolo e altri collaboratori che masticano informatica da anni, siamo sempre stati convinti che, come avviene su un pezzo di carta, rendere irriconoscibile una scritta scrivendoci più volte sopra, rendeva le informazioni irrecuperabili. Eppure, una unità di memoria non è un pezzo di carta, questa è la prima cosa da capire.
Windows Cipher non rende irrecuperabili i dati
In Windows 7/8/10 è presente un software, richiamabile da riga di comando, (i più esperti di informatica lo conoscono bene) con cui è possibile crittografare i dati, ma anche di cancellare in modo sicuro i vostri file in caso di necessità.
L’opzione /w da riga di comando (il comando esatto è CIPHER /w) sovrascrive tutto lo spazio libero della memoria che avrete indicato. La sovrascrittura avviene con ben 3 passaggi: prima tutti zeri, poi con tutti 255 0xFF e poi la terza con numeri casuali. Questo software è molto utilizzato perché già presente in Windows e quindi non occorre installare altri programmi.
La nostra prima prova di recupero
La prova è stata fatta su un disco rigido esterno di 500 Gbyte collegato via USB pieno di vari dati di molti GB. Abbiamo consegnato il disco e dopo pochi giorni ci hanno informato che i dati “cancellati in modo sicuro” erano stati in gran parte recuperati. Alla notizia non potevamo crederci, dopo una sovrascrittura a 3 passaggi i tecnici erano riusciti a recuperare un gran numero di documenti e file grafici, mentre i file audio compressi in MP3 erano stati recuperati, ma non più in una forma utilizzabile.
Una piccola chicca, un suggerimento, è arrivato da uno dei tecnici. Questa tecnica è molto efficace su memorie fisiche inferiori a 1 TB, quanto è più grande il disco, maggiore è la sua densità e i compiti di recupero diventano più difficili.
Altro tentativo con un software che esegue 7 sovrascritture e poi insistiamo ancora!
Abbiamo allora utilizzato un programma gratuito che esegue ben 7 sovrascritture (metodo NSA) sui dati già cancellati. Anche in questo caso, però, i tecnici sono riusciti, nonostante tutto, a recuperare alcuni frammenti di file e alcune foto erano perfettamente riconoscibili.
Un risultato davvero sorprendente, da lasciare a bocca aperta. Mai avevamo pensato ad un simile possibilità.
“Ricaricato” il nostro disco rigido esterno con gli stessi file, lo abbiamo praticamente “piallato” con il metodo Gutmann che consiste in 35 passaggi di sovrascrittura. Nonostante il disco rigido esterno fosse collegato ad un computer fisso molto potente, con tanta RAM, questa volta ci sono volute oltre 33 ore prima che l’operazione fosse definitivamente completata.
Riconsegnato il disco ai tecnici, solo questa volta, effettivamente, non sono più riusciti a recuperare dati che potessero essere in qualche modo utilizzabili.
Il metodo Gutmann è presente anche nel software gratuito CCleaner (attenzione a selezionare “solo spazio libero” durante le operazioni, “intero drive“, invece, distrugge tutto il disco).
La conclusione, quindi, è che se volete davvero rendere irrecuperabili per sempre i vostri dati dovrete armarvi di pazienza ed attendere molte ore che l’algoritmo Gutmann compia il suo dovere riscrivendo dati per ben 35 volte!
Un software commerciale molto potente è disponibile
Il software di recupero utilizzato non è reperibile per vie ufficiali, ma ci hanno informato che esiste una versione commerciale di un altro software di recupero chiamato R-Studio che si avvicina, e di molto, a questi software ultra-specializzati e comunque non disponibili ai comuni mortali.
Scriviamo il link di questo software commerciale, sia per chi è curioso, sia per chi vorrebbe “cimentarsi” nell’arte di recupero di dati cancellati quasi impossibili da recuperare.
Data Recovery Software E-Studio
Aggiornamento:
- Occorre però fare una precisazione finale: il disco rigido esterno utilizzato era di una vecchia tecnologia, a bassa densità. I moderni dischi ad alta densità, con la testina di scrittura ad estrema precisione, rendono molto, molto più difficile il recupero dei dati. E’ probabile che sui dischi moderni bastino 7 passaggi per essere sicuri.
Salve, ho apena letto il vostro articolo
– del 03/02/2019 su Hacking Sicurezza – ,
e se fosse possibile, vorrei sapere come fare per usufruire dello stesso servizzio di data recovery a cui vi siete affidati voi.
Grazie