Link all'Articolo: http://www.hwupgrade.it/articoli/storage/3555/computer-forensics-recupero-di-informazioni-digitali-nel-contesto-di-un-indagine_index.html

Il PC e i dispositivi digitali rivestono spesso un ruolo fondamentale nelle indagini della magistratura. La computer forensics è la disciplina che presiede il recupero di informazioni digitali garantendo il valore legale e probatorio

Click sul link per visualizzare l'articolo.

Penso che ormai il fatto che un file non venga realmente cancellato ma sovrascritto sia risaputo anche a chi non è un tecnico informatico, mi auguro che l'utilizzo di applicazioni come Eraser, che effettuala la sovrascrittura delle celle di memoria, sia perlomeno obbligatorio o quasi in ambienti dove si trattano documenti riservati....

Ci sono molti programmi che effettuano una cancellazione "completa" di un disco o solamente dello spazio libero. In questi casi esiste qualche metodo "avanzato" per recuperare i files?

speravo in un articolo che tratasse seriamente la questione, sono rimasto deluso... Queste cose le sa chiunque abbia idea di come funzioni un hard disk, starebbe bene su un blog generalista non su hwu, senza offesa.

@Kernel32: dipende da molti fattori: da quante volte ci passi sopra, da cosa ci scrivi e da cosa ci sta intorno... Normalmente un disco si considera sanitizzato dopo almeno 7 passaggi random completi (standard DoD), altri metodi prevedono fino a 37 passaggi per file

Credici. Chi usa il computer per lavoro d'ufficio o per casa senza volersi addentrare nell'argomento in quanto tale, crede ancora che ci siano piccoli gnomi dietro lo schermo. O, più semplicemente, ti chiama computer lo schermo.

Credici. Chi usa il computer per lavoro d'ufficio o per casa senza volersi addentrare nell'argomento in quanto tale, crede ancora che ci siano piccoli gnomi dietro lo schermo. O, più semplicemente, ti chiama computer lo schermo.


hahhahahhahaha troppo vero!!!!

interessante in questo caso anche il servizio che hanno fatto le iene sui dati presenti nei cellulari usati.
http://www.video.mediaset.it/video/iene/puntata/376449/viviani-recupero-dati-cellulare.html

speravo in un articolo che tratasse seriamente la questione, sono rimasto deluso... Queste cose le sa chiunque abbia idea di come funzioni un hard disk, starebbe bene su un blog generalista non su hwu, senza offesa.

@Kernel32: dipende da molti fattori: da quante volte ci passi sopra, da cosa ci scrivi e da cosa ci sta intorno... Normalmente un disco si considera sanitizzato dopo almeno 7 passaggi random completi (standard DoD), altri metodi prevedono fino a 37 passaggi per file

Quoto tra l'altro ricordo articoli ben più interessanti su questo tema da parte di HWUP.. prendetela come una critica/consiglio eh :p

... e comunque il discorso delle cancellazioni ripetute vale solo per gli HDD meccanici, con gli SSD non funziona.
Sarebbe interessante anche un articolo che trattasse questo argomento specifico.

articolo un po' superficiale dove si evidenzia troppo il fatto della cancellazione dei dati che in attività di computer forensics è solo una parte del lavoro. La parte principale è garantire lo stato originale dei dati e la loro fruibilità a tutte le parti.

Vista la presenza di esperti del settore, avrei preferito un bel articolo di data analysis su partizioni o dati crittografati perchè non sempre il criminale è l'ingenuo che sposta i file nel cestino per nasconderli.

è molto più semplice e sicuro, anche più dei passaggi ripetuti, prendere un file e "svuotarlo", così anche se lo apri risulterà vuoto (0 bytes). Il comando su Linux è:

> file.txt

Vale per tutti i tipi di file: documenti, immagini, video ecc.

sei sicuro? non è che ti segna il nuovo nome nel file system ma ti lascia integro il file sull'hard disc, in attesa che venga sovrascritto?

Devo concordare con chi sostiene che l'articolo è superficiale.

I concetti di base della cancellazione può darsi non tutti li conoscano con precisione... ma il target di hwupgrade.it probabilmente ne ha almeno una vaga idea.

Affermare che dopo aver cancellato i dati questi sono ancora presenti sul disco è solo l'inizio dell'articolo. Servirebbe un bell'approfondimento su come operano per recuperarli, cosa può comprometterne la validità a fine probatorio, la bontà di programmi dedicati all'eliminazione in questi contesti, come gli SSD stanno cambiando gli scenari e le tecnologie impiegate (se lo stanno facendo)...
... insomma, ci vuole un po' più di dettaglio.

Vorrei vedere quanto tempo ci mettono a recuperare dati da un disco passato ALMENO sotto l'algoritmo di cancellazione a 3 stadi (scrittura di zeri, di uno e di dati random).

Non dico che non ci riescono, ma vorrei vedere quanto tempo ci mettono e cosa recuperano.

Per non parlare dei metodi a 7 o 11 passaggi...

Parlo di hard disk meccanici a piatti magnetici.

La cancellazione non esiste?..Beato te!....Forse sarebbe da renderlo edotto circa il sistema della smagnetizzazione con lo smagnetizzatore recupareto da un vecchio tv....
Per favore....!

L'ultimo pc che ho sostituito (business) l'ho regalato (senzaHD) , ma all'HD ho fatto un trattamento con la gravità a tre passaggi :D

Mia moglie lavora alla Krollontrack tedesca ed io stesso ho conosciuto Salin ( ciao Paolo), il metodo più sicuro di rendere un hhd illeggibile è aprirlo!
State sicuri che nessuno ve lo leggerà più tant'è vero che alla Kroll rifiutano di esaminare dischi che siano stati aperti!

Fare un buco con il trapano, prendere una siringa, e una sana Inniezione di acido solforico.
Per i SSD, basta metterlo vicino una saldatrice e fargli prendere dei sani raggi ultravioletti, tornano come nuovi, senza perdere tempo con il secure erase.

mettiamo che devo vendere un hard disk e fare in modo che tutti i file del sistema operativo, password, documenti ecc., diventino irrecuperabili,
se formatto l'hard disk con una formattazione profonda e poi lo riempio completamente, ad esempio un file video copiato dentro più volte e quindi rinominato ogni volta, e poi riformatto, gli unici file recuperabili dovrebbero essere solo gli ultimi file video o sbaglio?

Vorrei vedere quanto tempo ci mettono a recuperare dati da un disco passato ALMENO sotto l'algoritmo di cancellazione a 3 stadi (scrittura di zeri, di uno e di dati random).

Mia moglie lavora alla Krollontrack tedesca ed io stesso ho conosciuto Salin ( ciao Paolo), il metodo più sicuro di rendere un hhd illeggibile è aprirlo!
State sicuri che nessuno ve lo leggerà più tant'è vero che alla Kroll rifiutano di esaminare dischi che siano stati aperti!

Spesso il problema è avere il tempo di fare queste operazioni. Se ti piombano in casa alle 5 del mattino e ti sequestrano tutto, voglio vedere chi riesce a cancellare a 3 stadi oppure a aprire un hd per distruggerlo!!!

Non per deludere quelli a cui piace fare N sovrascritture con metodi DoD o quant'altro ma nessuno al mondo è mai riuscito a produrre anche solo un documento teorico che provi il possibile recovery dopo una sola sovrascrittura(non importa il pattern), fare 1 sola sovrascrittura o 100 o infinite non cambia nulla all'atto pratico, se non il tempo sprecato.

Racconto la mia esperienza: ho provato a formattare un HD WD da 1TB. Ho eseguito la formattazione più sicura possibile con utility disco di Mac OSX con 7 passaggi di sovrascrittura.
Risultato: Disk Drill Media Recovery mi vedeva tutti i file.
Son passato a File Shredder: procedura DoD 5220-22 a 7 passaggi. Risultato: Disk Drill mi vedeva ancora tutto.
Poi ho usato la procedura Gutmann a 35 passaggi. Risultato: Disk Drill mi vedeva ancora tutto.
Poi ho savrascritto l'intero HD con filmati per 3 volte, formattato in HFS+ con utility disco a 7 passaggi, poi File Shredder a 7 e a 35 passaggi.
Risultato: Disk Drill mi salva un file da 963 GB in formato .dmg che sinora non son riuscito ad aprire. Però....i file PDF presenti in origine sull'HD contenenti il manuale d'uso del disco li vedo ancora tutti.
Boh.

molti dei pc recuperati in discarica contengono HD perfetti e completi di dati; io ho trovato solo ultimamente oltre a dati del tutto personali come le foto anche documentazione fiscale...in questo caso ho dovuto contattare l'azienda che lo aveva rottamato e restituirglielo.

per la cancellazione di dati io consiglio gli SSD dato che bastono algoritmi a 3 passaggi per togliere tutto.
per la distruzione di HD basta una formattazione a basso livello prima di buttarlo o come consigliato aprirlo e farci entrare aria esterna "sporca" anche se richiuso la traccia 0 non è più leggibile o la testina si rompe alla prima accensione.

per cancellare i file:
1- formatta il disco
2- $ cat /dev/random > /dove/ho/montato/il/disco/pippo.file
3- divertirsi a fare df -h ogni tanto per vedere il disco che si riempie
4- formattare in ntfs fingendo di aver fatto la formattazione di windows
(5- installare windows)
poi sfido chiunque a trovare qualcosa di significativo

durante l'uso normale del pc ripetere il punto 2: poi lo cancellare il file appena creato per riottenere lo spazio

Confermo,
questo articolo è scandaloso e di spessore inesistente..
A sto punto tanto valeva scriver la fiaba di cappuccetto rosso..
Alla redazione, senza offesa, cancellate l'articolo o rifatene uno serio.

@jerry74: quale nuovo nome? se ad esempio apro un doc appena svuotato vedo che al suo interno non c'è più nulla. Non penso ne faccia prima una copia: a che pro? chi glielo dice? con quale altro comando lo farebbe?

quando ci si preoccupa di come "cancellare permanentemente" i dati presenti su un disco vuol dire che si è sbagliato qualcosa a monte.
se si hanno dei dati riservati la cosa migliore che si può fare è criptare il volume con uno dei millemila prodotti che ci sono in giro (magari che sia FOSS, così si evita di pagare per aver un software con backdoors).
in ogni caso dubito che venderei un disco dismesso su cui ho tenuto _anche se criptati_ dei dati importanti.

quando ci si preoccupa di come "cancellare permanentemente" i dati presenti su un disco vuol dire che si è sbagliato qualcosa a monte.
se si hanno dei dati riservati la cosa migliore che si può fare è criptare il volume con uno dei millemila prodotti che ci sono in giro (magari che sia FOSS, così si evita di pagare per aver un software con backdoors).
in ogni caso dubito che venderei un disco dismesso su cui ho tenuto _anche se criptati_ dei dati importanti.

E cosa ne fai? Spazzatura in casa? Se lo butti in discarica o altro, dovresti comunque "cancellarlo permanentemente" (cosa che le aziende sarebbero tenute a fare ma non lo fanno mai).

O hai un degausser oppure vai di software di cancellazione, fai 7 passaggi e sei tranquillo.

Io prima di vendere i miei ho cancellato tutto, formattato e fatto il passaggio standard a 3.

E cosa ne fai? Spazzatura in casa? Se lo butti in discarica o altro, dovresti comunque "cancellarlo permanentemente" (cosa che le aziende sarebbero tenute a fare ma non lo fanno mai).

O hai un degausser oppure vai di software di cancellazione, fai 7 passaggi e sei tranquillo.

Io prima di vendere i miei ho cancellato tutto, formattato e fatto il passaggio standard a 3.

i miei dischi personali sì, non che ci tenga chissà che cosa, ma non li butto/do_via per nessun motivo.
oltre tutto non è che son obbligato a tenerli in casa in bella vista, li metto in uno scatolone e li porto in garage. :D

@jerry74: quale nuovo nome? se ad esempio apro un doc appena svuotato vedo che al suo interno non c'è più nulla. Non penso ne faccia prima una copia: a che pro? chi glielo dice? con quale altro comando lo farebbe?

la questione è diversa, bisogna capire se l'os invii all'hd i comandi di cancellazione dei settori altrimenti è probabile che si proceda solo al reindirizzamento di essi abbandonando quelli non utilizzati.

Praticamente, se i settori non vengono sovrascritti rimangono comunque recuperabili.

Comunque, per inciso, se il tuo pc è sottoposto ad attività di computer forensics, difficilmente avrai avuto il tempo di cancellare, rinominare o svuotare file.

Come giustamente dice evil weasel, un metodo può essere la criptazione di file, partizioni e hd e spere che la redazione, in seguito, si concentri su questo argomento.

se Totò Riina usava i pizzini invece che tenere le cose su pc un motivo ci sarà anche stato...
un pizzino lo puoi sempre buttare nel caminetto o mangiare come il vecchio esercizio di matematica passato durante il compito in classe dei bei tempi andati.

comunque concordo con chi dice che più che su un sito che si chiama hwupgrade un articolo di tale "spessore" si sarebbe potuto trovare anche su cioè, su diva e donna o (per par condicio) su men's healt. Magari come trafiletto a lato di un bellissimo articolo che parla di come perdere 10 chili in 10 giorni

nota bene: se avessi qualcosa da nascondere alla varia gendarmeria e fossi costretto a tenerne un archivio informatico per qualunque motivo, utilizzerei un qualunque linux che si installa su pendrive (meglio ancora microsd). Una microsd infatti è facilmente sminuzzabile anche alle 5.00.01 del mattino in tempi operativamente brevi anche per chi è stato brutalmente strappato dalle braccia di morfeo a orario così incivile.

se Totò Riina usava i pizzini invece che tenere le cose su pc un motivo ci sarà anche stato...
un pizzino lo puoi sempre buttare nel caminetto o mangiare come il vecchio esercizio di matematica passato durante il compito in classe dei bei tempi andati.

Ma che discorso e', stai parlando di un epoca in cui i pc quasi non esistevano, quando e' stato arrestato ancora non c'era nemmeno Windows 95...

Ma che discorso e', stai parlando di un epoca in cui i pc quasi non esistevano, quando e' stato arrestato ancora non c'era nemmeno Windows 95...

non è questo il punto.
Volevo solo sottolineare i sistemi informatici (specie quelli windows basati su dischi meccanici) sono "in se stessi" poco discreti. Ora, se qualcuno mi sequestra il pc e ci fa un'analisi forense ci può solo trovare le mie puttanate personali che non servono a nessuno. Il peggio che possono trovare sono i porno nella cronologia, ma quelli ce li hanno tutti.
Però pensa a chi per un motivo o per l'altro ha bisogno di riservatezza. Se qualche malintenzionato riesce a mettere le manine sull'hard disk può risalire ad un sacco di cose. Non ultimo, semplicemente guardando i log di windows quanto e quando il pc è stato acceso e che cosa ha fatto.
Ora, se qualcuno per qualche motivo vuole riservatezza (e il motivo "antigendarmeria" è solo uno dei motivi possibili. Ce ne sono altri di per se leciti), la prima cosa che dovrebbe fare è quella di non usare un sistema windows su un hard disk meccanico. Su ssd non so ancora bene. Potrebbe anche essere che facendo qualche di trim manuale (che, per inciso consiste nel cancellare le celle, se ho ben capito) i dati cancellati vadano irrimediabilmente persi.

non è questo il punto.
Volevo solo sottolineare i sistemi informatici (specie quelli windows basati su dischi meccanici) sono "in se stessi" poco discreti. Ora, se qualcuno mi sequestra il pc e ci fa un'analisi forense ci può solo trovare le mie puttanate personali che non servono a nessuno. Il peggio che possono trovare sono i porno nella cronologia, ma quelli ce li hanno tutti.
Però pensa a chi per un motivo o per l'altro ha bisogno di riservatezza. Se qualche malintenzionato riesce a mettere le manine sull'hard disk può risalire ad un sacco di cose. Non ultimo, semplicemente guardando i log di windows quanto e quando il pc è stato acceso e che cosa ha fatto.
Ora, se qualcuno per qualche motivo vuole riservatezza (e il motivo "antigendarmeria" è solo uno dei motivi possibili. Ce ne sono altri di per se leciti), la prima cosa che dovrebbe fare è quella di non usare un sistema windows su un hard disk meccanico. Su ssd non so ancora bene. Potrebbe anche essere che facendo qualche di trim manuale (che, per inciso consiste nel cancellare le celle, se ho ben capito) i dati cancellati vadano irrimediabilmente persi.

Perche' non dovrebbe utilizzare Windows. Gia' di suo il BitLocker integrato da Vista in poi fa il suo sporco lavoro, se non ti basta puoi anche utilizzare altri software free o a pagamento (Truecrypt tanto per dirne uno).

Lasciando perdere il discorso SSD che non ho idea nemmeno io di come funzionino (forse e' come dici tu), su hard disk meccanico che sia windows, linux, OSX o chissa' quale altro sistema operativo, i dati si possono comunque recuperare (a meno appunto che sia stato smagnetizzato irrimediabilmente o che sia stata usata una tecnica di cancellazione dati con un algoritmo pesante).

Toh, questo spiega gia' cosa si puo' fare con un SSD...

http://www.ontrackdatarecovery.it/cancellazione-ssd/

Ovvio che i militari hanno tecnologie piu' avanzate per ovvie ragioni.

non è questo il punto.
Volevo solo sottolineare i sistemi informatici (specie quelli windows basati su dischi meccanici) sono "in se stessi" poco discreti. Ora, se qualcuno mi sequestra il pc e ci fa un'analisi forense ci può solo trovare le mie puttanate personali che non servono a nessuno. Il peggio che possono trovare sono i porno nella cronologia, ma quelli ce li hanno tutti.
Però pensa a chi per un motivo o per l'altro ha bisogno di riservatezza. Se qualche malintenzionato riesce a mettere le manine sull'hard disk può risalire ad un sacco di cose. Non ultimo, semplicemente guardando i log di windows quanto e quando il pc è stato acceso e che cosa ha fatto.

No, se qualche malintezionato mette le mani su un disco e riesce ad accedere a dati riservati la colpa è tutta e sola del proprietario del disco che non ha preso nessuna precauzione per mantenere la riservatezza dei dati.
Se si ha bisogno di riservatezza si cripta il disco e si evita di scrivere la password sul post-it incollato sulla cornice del monitor. :D
Una partizione criptata e con una password non banale è praticamente impossibile da craccare per chiunque (agenzie governative varie comprese).

Ora, se qualcuno per qualche motivo vuole riservatezza (e il motivo "antigendarmeria" è solo uno dei motivi possibili. Ce ne sono altri di per se leciti), la prima cosa che dovrebbe fare è quella di non usare un sistema windows su un hard disk meccanico. Su ssd non so ancora bene. Potrebbe anche essere che facendo qualche di trim manuale (che, per inciso consiste nel cancellare le celle, se ho ben capito) i dati cancellati vadano irrimediabilmente persi.

Windows da questo punto di vista non è meno sicuro di Linux.
per entrambe le piattaforme esistono dei software capaci di criptare anche le partizioni di sistema; su Windows ad esempio si può fare con TrueCrypt, su Linux mi viene in mente LUKS.

visto che si parla di HDD ed SSD vorrei far notare come il supporto migliore per tenere dei dati criptati sia ancora una volta il buon HDD a piatti rotanti.
Con gli SSD ad esempio, se il comando TRIM è attivo, con buona probabilità sarà possibile risalire al file system utilizzato per la partizione criptata e un'altra serie di informazioni che potenzialmente potremmo voler tenere nascoste.

come lo vedute linux su chiavetta live?
lascia tracce sul pc?

come lo vedute linux su chiavetta live?
lascia tracce sul pc?

Se non hai hard disk in cui memorizzi qualcosa no, che io sappia non avresti nemmeno dei dati sulla chiavetta se, durante la creazione della chiavetta, non hai impostato dello spazio da utilizzare (quindi 100% live).

Rimarrebbe tutto in ram. Ma cosi' facendo il problema non esisterebbe nemmeno, appena spegni il pc sei il primo a perdere i dati che svaniscono dalla ram...

dal sito del garante della privacy.
Istruzioni pratiche per una cancellazione sicura dei dati: le raccomandazioni degli operatori.

"Diversi applicativi software di tipo open source o comunque con licenze d'uso non commerciali sono poi disponibili per i sistemi Unix e Linux: tra questi, uno dei più noti ed efficaci è DBAN (www.dban.org), un sistema con cui è possibile creare un "disco di avvio" (boot disk) del proprio computer (sia in forma di floppy-disk che di CD-ROM o di USB flash storage)."

http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/1574080