Gli specialisti in recupero dati devono spesso gestire dei casi in cui importanti informazioni sono state cancellate in maniera accidentale o di proposito dai proprietari o da terze parti. Queste storie non si concludono tutte allo stesso modo ma spesso, se il cliente non ha fatto nulla di troppo creativo per ripristinare da solo i suoi dati, questi possono essere recuperati. Si tratta sicuramente di una buona notizia per chi ha perso dei dati estremamente importanti ma non lo è per chi invece ha necessità di distruggere quelle informazioni in maniera permanente.
Com’è possibile che si possano recuperare file che sono stati cancellati? Questo accade perchè i singoli file che sono stati eliminati rimangono sull’hard disk fino a quando lo spazio fisico su cui sono memorizzati non viene sovrascritto da un altro file.
Il processo di sovrascrittura è fuori dal controllo dell’utente sebbene la possibilità che i file cancellati vengano sovrascritti aumenta all’aumentare del numero dei file che vengono successivamente salvati sull’hard disk.
Sia l’eliminazione di un singolo file che la formattazione di una partizione sono processi che portano a delle modifiche al sistema all’interno delle tabelle di allocazione dei file ( alcuni dei file system più conosciuti come FAT e NTFS si basano su un sistema di tabelle di allocazione dei file).
Questo processo non tocca però lo spazio su disco dove si trova il file cancellato, questo spazio viene modificato solo quando inizia un nuovo processo di scrittura di un file. Quindi se non viene scritto nulla sullo spazio fisico occupato dal file rimosso sarà possibile con un software di recupero dati come Ontrack EasyRecovery andare a recuperarlo.
Lo stesso accade per tutti i file system di cui abbiamo parlato nel precedente articolo come i file temporanei, i file di paging, i file di stampa e quelli di ibernazione: anche se un file è stato sovrascritto in un posto, questo potrebbe ancora essere recuperato da un altro spazio sull’hard disk. Quindi come potete notare la cancellazione “manuale” è un po’ come giocare al gatto e al topo con i vostri dati.
Cancellazione dei dati - altre complicazioni
Quello sinora descritto non è l’unico problema – alcuni dispositivi come smartphone e flash drive rendono il processo di cancellazione dei vostri dati ancora più complicato.
Effettuare il ripristino delle impostazioni di fabbrica sui vostri telefoni Android non è la strategia più adatta in molti device. Quindi quando acquistate uno smartphone o un tablet usato potreste acquistare anche i dati del vecchio proprietario.
Un problema analogo si verifica anche con i device di storage flash (come drive SSD, SD card, etc.).
La memoria flash è divisa in blocchi ed ogni blocco è a sua volta suddiviso in 128 pagine da 4kB ciascuno e vengono fisicamente rappresentati in frame separati.
Le memorie flash comprendono 4 tipologie di blocchi ciascuno con le sue funzioni e proprietà specifiche di storage dei dati.
Blocchi di sistema – i dati dell’utente non vengono mai memorizzati su questi blocchi. Un danno al blocco di sistema provoca un errore logico sull’intero drive non lasciandovi altra scelta se non quella di cancellare i dati memorizzati.
Blocchi attivi – dove vengono memorizzati i dati dell’utente che possono essere scritti in qualunque posto nel blocco;
Blocchi liberi – dove i vecchi dati “eliminati” vengono archiviati. Questi dati possono anche essere scritti in una qualsiasi parte di questo blocco.
Blocchi usati – i blocchi che non hanno più spazio libero per la scrittura dei dati ma che contengono ancora dei dati salvati dall’utente.
I drive SSD hanno spesso delle caratteristiche che consentono loro di funzionare in maniera più efficiente, come ad esempio il Garbage Collector, che non solo li fa funzionare più rapidamente ma crea allo stesso tempo diverse copie di ogni singolo file. Ciò significa che su questi dischi si trovano molte più di ciascun file e alcune di queste si trovano su blocchi che non verranno sovrascritti rendendo quindi il processo di sovrascrittura molto complicato.
ATTENZIONE: l’unico modo di rimuovere i file in maniera definitiva è la loro completa sovrascrittura!
Tuttavia aspettare che un file cancellato venga “naturalmente” sovrascritto da un altro non è il miglior metodo per proteggere i tuoi file. Parleremo di questo aspetto nel prossimo articolo della serie.
A presto!
Se volete condividere domande o dubbi su questo argomento scriveteci nella sezione commenti qui sotto.