Cancellazione sicura dei dati – introduzione

Cancellare da un disco dei dati in modo “sicuro” significa adottare dei metodi che ne impediscano il successivo recupero. Che si tratti di un singolo file o del contenuto di un intero disco, la semplice eliminazione dal gestore file o la formattazione possono non essere sufficienti. Per non lasciare traccia dei dati che vogliamo “distruggere”, è opportuno invece utilizzare uno dei metodi di cancellazione sicura disponibili, che ne impediscono o ne rendono lungo e difficile il recupero.

“Davvero” non significa “per sempre”…

Gli aspetti tecnici della memorizzazione (e, conseguentemente, della cancellazione) dei dati su dischi magnetici, SSD o unità flash sono generalmente complessi e molto diversi fra loro, ma comunque poco interessanti ai fini pratici. Mi sembra più utile invece esporre i motivi per cui sia opportuno cancellare i nostri dati. Mostrerò inoltre, nei successivi articoli, l’utilizzo di alcuni tra i software più diffusi per Windows e Gnu/Linux di cancellazione sicura a disposizione di un normale utente, per proteggere i propri dati da un tentativo di recupero.

Foto, documenti contenenti informazioni personali (dall’indirizzo mail al codice del proprio conto in banca), documenti riservati di lavoro: qualunque tipo di file sia passato sul nostro disco potrebbe essere recuperato, del tutto o parzialmente, se è stato eliminato (non  semplicemente spostato nel “Cestino”) tramite il gestore file del sistema operativo in uso. La cancellazione infatti non comporta la distruzione dei dati: i dati (i singoli byte) sono ancora lì, anche se non più identificabili come file.

Schematicamente, la situazione prima della cancellazione di un file è la seguente:

[INDICE]
[BLOCCO 1-9: CONTIENE FILE1.TXT][BLOCCO 10-12: SPAZIO LIBERO][BLOCCO 13-20: CONTIENE FOTO.JPG]
[FINE INDICE]
[AREA DATI]
BLOCCO |01|02|03|04|05|06|07|08|09|10|11|12|13|14|15|16|17|18|19|20|
DATI   | F| I| L| E| 1| .| T| X| T|  |  |  | F| O| T| O| .| J| P| G|
[FINE AREA DATI]

Supponendo quindi di cancellare il file FOTO.JPG, avremo modificato il contenuto del disco in questo modo:

[INDICE]
[BLOCCO 1-9: CONTIENE FILE1.TXT][BLOCCO 10-20: SPAZIO LIBERO]
[FINE INDICE]
[AREA DATI]
BLOCCO 01|02|03|04|05|06|07|08|09|10|11|12|13|14|15|16|17|18|19|20|
DATI    F| I| L| E| 1| .| T| X| T|  |  |  | F| O| T| O| .| J| P| G|
[FINE AREA DATI]

Lo spazio segnalato come “vuoto” contiene ancora i dati che erano visibili prima della cancellazione: di fatto, la semplice cancellazione non è altro che la marcatura dell’area di disco contenente i dati come nuovamente disponibile.

Le informazioni sulla posizione  e sulla dimensione di un file su disco sono infatti scritte in un indice (in modalità diverse a seconda del tipo di file system usato). Quando la voce relativa ad un file viene eliminata dall’indice, il file non risulta più rintracciabile sul disco: il file è stato “cancellato”.

Se poi qualcuno ha a disposizione un microscopio a forza magnetica con cui analizzare la superficie del disco, pare che si possano trovare le tracce di 2 o 3 precedenti scritture di un’area. O perlomeno così dicevano

D’altronde può sempre capitare di non avere sottomano un simile gadget: in questo caso, e senza voler essere paranoici, 3 o 4 sovrascritture rendono già praticamente impossibile il recupero di qualunque dato con gli strumenti informatici a disposizione di un normale utente. Requisiti di segretezza (ad esempio in ambito militare) più stringenti imporranno l’uso di metodi che prevedono un maggior numero di sovrascritture. In casi di paranoia, o quando ci serve l’assoluta certezza del risultato, la “soluzione finale” è la distruzione fisica del supporto: qualcuno vende anche un kit di normali attrezzi abbinati alle istruzioni per smontare gli hard disk magnetici e renderli irrimediabilmente inservibili.

Quando è utile o opportuno effettuare una cancellazione sicura?

Quando un disco viene ceduto, venduto o anche semplicemente mandato in assistenza. In tutti i casi, cioè, in cui non avremo più fisicamente a disposizione il supporto su cui erano (sono!) memorizzati i dati. Ma anche quando vogliamo selettivamente cancellare le tracce di singoli file passati sul nostro computer.

Avete mai scritto una password o il codice del Bancomat in un file di testo per riutilizzarlo subito dopo o in attesa di trascriverlo? Ed avete poi “semplicemente” cancellato quel file? Bene, vado subito a fare un prelievo di contanti… dal VOSTRO conto!

In particolare un disco proveniente da un computer aziendale, per la natura dei dati che potrebbe contenere, dovrebbe essere sottoposto come buona norma a questo tipo di cancellazione sicura prima di essere dismesso o ricondizionato, come avviene al momento del rinnovo del “parco macchine”.

Al contrario, per una normale “pulizia” del disco (ad esempio per la reinstallazione del sistema operativo), dopo la quale il disco rimane nelle nostre mani, la semplice formattazione o un nuovo partizionamento sono sufficienti. La cancellazione sicura infatti non serve a riparare eventuali difetti del disco o a migliorarne le prestazioni, richiedendone anzi un utilizzo piuttosto intenso per tutta la durata dell’operazione.

Dato l’esito definitivo di una cancellazione sicura (d’altronde, è proprio il risultato che si desidera ottenere!), bisogna fare sempre molta attenzione ad identificare correttamente il disco su cui questa si vuole eseguire.

Se cancellate l’hard disk di sistema o tutta la collezione di film, foto, musica e numeri di telefono del vostro harem, non venite a piangere qui: io vi ho avvertito!


Metodi di cancellazione sicura con sovrascrittura di dati

Il modo più semplice per cancellare (d’ora in poi con questo intenderò sempre la cancellazione sicura) dei dati è quello di sovrascriverli più volte. Le diverse procedure di cancellazione differiscono essenzialmente per il numero di sovrascritture e gli schemi dei dati scritti su disco durante l’operazione. Il metodo Gutmann ad esempio, prevede ben 35 passaggi di scrittura su disco (8 con dati casuali e 27 con schemi predefiniti eseguiti in ordine casuale). Cosa avete da nascondere di così segreto per sottoporre il vostro hard disk a questa tortura? 😉

Altri metodi fanno riferimento a enti che hanno regolamentato le procedure di cancellazione sicura (DoD – Department of Defense, NSA – National Security Agency) e prevedono un numero minore di passaggi (da 3 a 7, in genere) con diverse alternanze tra dati casuali e a schemi predefiniti. Lo scopo di questa variazione è quello di “confondere” le eventuali tracce magnetiche residue di dati ed impedirne il recupero.

Le procedure implementate dalla maggioranza dei software che offrono funzioni di cancellazione sicura sono:

METODO# SOVRASCRITTURETIPO DI DATI
───────────────┼──────────────────┼─────────────────────────────────────────────────────────────────────────
DOD-5220.22-M  │         3        │ Dati casuali
───────────────┼──────────────────┼─────────────────────────────────────────────────────────────────────────
Schneier (NSA) │         7        │ Tutti 0 / Tutti 1 / 5 passaggi di dati casuali
───────────────┼──────────────────┼─────────────────────────────────────────────────────────────────────────
Gutmann        │        35        │ 4 passaggi di dati casuali / 27 passaggi di dati a schemi predefiniti
               │                  │  eseguiti in ordine casuale / 4 passaggi di dati casuali

Per maggiori dettagli, rimando ad alcune delle pagine consultate:

http://en.wikipedia.org/wiki/Data_erasure
http://en.wikipedia.org/wiki/Data_remanence

L’aumento della densità dei dati sui piatti degli hard disk (10 anni fa, la capacità di un singolo piatto di un hard disk era di pochi GB; oggi, mantenendo le stesse dimensioni, può arrivare a 500GB/1TB) rende ancor più difficile il recupero dei dati anche dopo una sola sovrascrittura. Le tracce sul disco sono infatti diventate così vicine tra loro che è diventato praticamente impossibile, anche con un’analisi fisica della superficie del disco (cosa ci può essere di così importante su un disco per arrivare a questo?), rilevare i residui delle precedenti scritture sui bordi delle tracce stesse.

Esiste poi un metodo di cancellazione rapido e sicuro, basato su un comando che il disco stesso è in grado di eseguire (non servono software esterni che agiscano sul disco): il Secure Erase (SE). Questo comando è stato aggiunto ai firmware dei dischi a partire dagli ATA di capacità maggiore di 10-15GB: ogni hard disk oggi sul mercato è quindi abilitato ad “autodistruggersi” tramite il SE.

I vantaggi del SE rispetto agli altri metodi sono essenzialmente due:

  1. maggiore velocità di esecuzione (è sufficiente un solo passaggio di sovrascrittura)
  2. vengono cancellate anche alcune aree del disco normalmente riservate e non accessibili ai software di cancellazione / recupero.

Questo limita lo stress sul disco ed assicura un livello di sicurezza maggiore, laddove richiesto.

Lo svantaggio sta nel fatto che il SE è eseguito sempre sull’intero disco: non possiamo quindi distruggere un singolo file “sensibile”, cosa che invece è consentita da alcuni software che applicano i metodi elencati sopra. Consiglio di consultare, per ulteriori dettagli, la pagina del CMRR (Center for Magnetic Recording Research), che è praticamente la Fortezza delle Scienze in fatto di hard disk :-). In particolare il “Data Sanitization Tutorial” (in inglese) fornisce informazioni tecniche e confronti tra i diversi metodi citati sopra, nonché le implicazioni legali della mancata o inappropriata eliminazione dei dati.

Paranoie e tecnologie avanzate a parte, vale una semplice considerazione pratica: il numero di passaggi fa aumentare proporzionalmente il tempo di esecuzione mentre il grado di sicurezza (cioè la difficoltà di recuperare i dati) cresce sempre più lentamente. La cancellazione completa di un moderno hard disk di grossa capienza potrebbe richiedere molte ore (o giorni!) anche utilizzando un metodo che preveda solo 2 o 3 passaggi e sottoporrebbe il disco stesso ad uno stress termico e meccanico che potrebbe essere addirittura dannoso.


Azioni fisiche sui supporti

Finora siamo stati gentili, limitandoci a sovrascrivere il disco nel tentativo di “fare confusione” o rendere illeggibili i dati. Quando questo non basta, per le particolari richieste di sicurezza dei dati da distruggere, bisogna passare alle maniere forti!

Le torture a cui possiamo sottoporre i supporti di memorizzazione (hard disk, ma anche CD/DVD, unità Flash, etc) sono quindi la distruzione per macinazione, fusione o vaporizzazione e la smagnetizzazione (degaussing – non efficace su CD/DVD). Come suggerito dagli esperti del CMRR, nel caso degli hard disk, piegarne i piatti già impedisce qualunque tentativo di recupero.

Una nota particolare merita il degaussing: gli hard disk sono costituiti da piatti metallici sui quali la testina scrive cambiando la magnetizzazione di una piccolissima area. Se applichiamo ai piatti un forte campo magnetico, lo stato di ciascuna area viene modificato e con esso le informazioni contenute, che vengono in questo modo distrutte. Il campo magnetico esterno agisce però anche sui piccoli magneti dei motori che muovono la testina e fanno girare il piatto (sembra di parlare di un vecchio giradischi…), rendendoli inservibili. L’hard disk quindi non solo è stato “ripulito” da tutti i dati, ma è anche diventato un inutile “mattone” non più funzionante: ottimo come fermacarte.

Chiaramente i metodi distruzione fisica dei supporti richiedono attrezzature specifiche e presuppongono delle necessità di segretezza e sicurezza non richieste in ambito domestico / ufficio. Sempre a meno di non avere le famose foto imbarazzanti, pronte per essere “taggate” sul primo social network che capita… 🙂


Nei prossimi articoli parlerò dei software disponibili per Windows e Linux per fare “piazza pulita” dei nostri dati.

Cancellazione sicura dei dati – software per GNU/Linux

Cancellazione sicura dei dati – software per Windows

Informazioni su Man from Mars

https://extendedreality.wordpress.com/

  1. Pingback: Cancellazione sicura dei dati – software per Windows « Extended Reality

  2. Pingback: Postino – 6: Social post “Chi cerca trova” « Extended Reality

  3. Pingback: Secure erase – introduction « Extended Reality

  4. Pingback: 7 per 100 | Extended Reality

Dimmi che ne pensi o fai "Ciao ciao!" con la manina // Share your thoughts or just say "Hello!"

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...

%d blogger hanno fatto clic su Mi Piace per questo: