Quando nel precedente articolo vi abbiamo raccontato che l’unico modo di cancellare i dati con successo è la loro COMPLETA sovrascrittura, non volevamo essere drammatici. Qualche mese fa un'amica ha per errore cancellato alcune foto dalla sua SD card, così il suggerimento è stato di provare a recuperarli con qualche software di recupero dati. É rimasta molto sorpresa di trovare non solo le fotografie che aveva cancellato ma anche immagini molto vecchie – incluse le foto delle vacanze dei genitori quando avevano utilizzato la stessa memory card nella loro macchina fotografica.
Abbiamo spiegato che quando un file viene cancellato, lo spazio che occupa viene contrassegnato come libero (ma il file continua ad esistere in quello spazio) e che quindi un nuovo file può essere salvato in quella posizione. Potreste avere la tentazione di lasciare che le cose vadano secondo il loro corso e aspettare che il file eliminato prima o poi venga sovrascritto da un altro.
Non cadete in questa tentazione! Aspettare non è la cosa migliore da fare per diversi motivi:
il fatto che un nuovo file vada a sovrascrivere lo spazio dove vi è un vecchio file cancellato può richiedere molto tempo, soprattutto se sul drive c’è molto spazio libero;
non potrete mai avere la certezza di dove si trovano fisicamente i dati, non potete sapere se un certo file (particolarmente riservato) e che avete cancellato, in realtà ancora esiste da qualche parte come copia parziale o come traccia;
se dovete vendere il vostro dispositivo usato o i computer dell’azienda, certamente non avete il tempo di aspettare che tutti i dati un giorno saranno sovrascritti;
alcuni settori del disco potrebbero danneggiarsi con l’uso (la loro posizione è mappata in quella che viene chiamata la G-list) e non essere più scrivibili – lo stesso principio vale per i dispositivi basati su memoria flash. Ovviamente, non potete sovrascrivere i dati in un settore non scrivibile ma questo non significa che non potete leggerlo, tutto quello di cui avete bisogno è il giusto software;
aspettare che i vostri file vengano naturalmente sovrascritti crea quello che viene chiamato slack space. Secondo gli esperti di recupero dati di Ontrack, almeno il 45% dei dati che possono essere letti da un hard disk drive sono informazioni che possono essere carpite dallo slack space.
Cos’è lo Slack Space?
“I file su un hard disk sono organizzati in cluster. La loro dimensione dipende dal file system in uso – per esempio in NTFS i cluster sono usualmente di 4Kb. Ciascun cluster può appartenere ad un solo file (ma un file può utilizzare tutti i cluster di cui ha bisogno in base alla propria dimensione). Se un file è di 12Kb, sarà memorizzato in 3 cluster e ciascuno di questi cluster sarà completamente scritto. Se cancellate questo file e un nuovo file di 9Kb lo sovrascrive, questo nuovo file utilizzerà sempre 3 cluster ma solo 1Kb del terzo cluster verrà sovrascritto. I rimanenti 3Kb creeranno lo slack space che è una stringa di dati da un precedente file che non è stato sovrascritto e che ancora esiste fisicamente (e poichè l’intero cluster è riservato al un nuovo file, questi dati non saranno sovrascritti per lungo tempo ossia fino a quando il nuovo file esisterà)” spiega Robert England dal laboratorio di recupero dati di Ontrack.
Così facendo lo slack space crea spazio libero su disco dove le tracce dei dati relativi a vecchi file continuano ad esistere.
IMPORTANTE: i dati memorizzati all’interno dello slack space potrebbero essere usati per recuperare password e altri dati di accesso, parti di file, comunicazioni (ad esempio i vostri messaggi istantanei) e molte altre tracce che potrebbero portare a informazioni ancora più interessanti su di voi. Serve solo una piccola conoscenza di base, una leggera esperienza e i giusti strumenti (molti dei quali sono abbastanza facili da usare).
Come potete vedere, è assolutamente sensato che i professionisti della sicurezza dei dati non lascino che le cose vadano come vadano semplicemente incrociando le dita – al contrario – essi utilizzano il loro arsenale di tool per prendersi cure delle loro preziose informazioni. Alcuni di questi strumenti sono di alto calibro... ma ne parleremo nel prossimo articolo.
A presto!