La tana del coniglio piena di dati…ma con una talpa!

Ricordate Alice nel paese delle meraviglie? Per la maggior parte di noi il mondo dei dati è un po’ come il paese delle meraviglie – non ci interessa come funziona vogliamo solo che funzioni. Ma il nostro compito è quello di condurvi nella “tana del coniglio” del codice binario per mostrarvi cosa si nasconde sul fondo. Dovrete prestare attenzione – una talpa potrebbe seguirvi mentre non state guardando. Ed è proprio quando non prestate abbastanza attenzione che questa talpa potrebbe infiltrarsi nel vostro hard disk!

Chi potrebbe essere la vostra talpa?

Ladri di dati, investigatori IT, esperti in data forensic – una cosa hanno in comune, seguiranno tutti esattamente le stesse tracce una volta entrati nel vostro hard disk (vi descriveremo di quali tracce stiamo parlando in un altro articolo dedicato).  Queste tracce potrebbbero essere usate o per danneggiarvi o per darvi un aiuto  importante nel caso doveste accidentalmente perdere i vostri dati: in questo caso, infatti, le informazioni perse potrebbero essere recuperate seguendo la stessa procedura. Solo colui che intenzionalmente vuole in qualche modo ferirvi, che vi segue o che è in grado di accedere ai vostri dati senza il vostro consenso può essere considerato la talpa. Di seguito vi proponiamo un esempio di due situazioni che potrebbero aumentare il vostro interesse nella cancellazione dei dati:

• il primo scenario è il momento in cui viene dismesso o venduto il vecchio hardware – anche tramite un intermediario. Come evidenziato da alcune ricerche condotte da Ontrack solo il 18% delle persone del campione analizzato utilizza procedure di cancellazione dei dati efficaci (l’80% ricorre solo  a strumenti di formattazione del disco che non sono per niente efficaci)

• il secondo scenario riguarda l’hardware aziendale, ogni volta che un singolo apparecchio viene utilizzato da un nuovo dipendente, venduto, smaltito o dismesso

Eppure, l’eliminazione sicura dei dati è una fase naturale del ciclo di vita delle informazioni e una parte fondamentale del loro mantenimento, che permette di ridurre i costi di storage e impedire eventuali violazioni.

Naturalmente avere accesso ad un computer funzionante fornisce il miglior accesso ai dati in esso memorizzati. Non lasciate mai il vostro computer incustodito senza prima aver effettuato un log out. Anche nel caso in cui spegnate il vostro device (cancellando la cache dei dati e dei file utilizzati dal sistema operativo) mettendo da parte il vostro hard disk e analizzandolo a fondo potrebbe esserci ugualmente una fuga di  informazioni. Questo potrebbe accadere anche nel caso in cui abbiate cancellato file molto importanti. Ma facciamo un passo alla volta.

Tutti i file creati nei vostri computer, smartphone o tablet – come file di testo, fogli di calcolo, foto, video e file di sistema (ad esempio gli accessi delle vostre sessioni del browser, login e password) esistono fisicamente nel dispositivo di storage.

Questi file sono indipendenti dal sistema operativo. Ciò significa che,  avendo a disposizione i giusti strumenti e il giusto know-how è possibile accedere a queste informazioni senza dover accedere al sistema operativo tramite login all’account dell’utente.

ATTENZIONE: le distribuzioni open-source di Linux  sono alcuni degli strumenti di hackeraggio più popolari – queste permettono di eseguire operazioni che nemmeno i più sofisticati tool professionali di Windows sono in grado di fare.

Da dove possono essere rubati i vostri dati?

I vostri hard disk conterranno sicuramente migliaia e migliaia di file alcuni dei quali sono riservati e importanti. Certamente potete cancellarli ogni volta che volete ma ciascuno di questi file potrebbe essere stato fisicamente scritto più di una volta in più settori del disco.

"La maggior parte degli utenti non ha idea di quali dati si trovino sui loro hard disk e sono ancora meno le persone che sanno dove siano fisicamente archiviate le loro informazioni digitali. È di fondamentale importanza però sapere che la cancellazione di un file non cancella le tracce della sua presenza sull’hard drive – alcune copie di questi file potrebbero ancora esistere in diversi settori del disco o all’interno della memoria" – spiega Robin England, ingegnere di ricerca e sviluppo in Ontrack.

Questi sono alcuni dei posti che potrebbero fornire importanti informazioni agli hacker:

1. File temporanei e file di sistema che contengono copie dei documenti utilizzati e aggiornati recentemente. Solitamente questi file vengono cancellati una volta chiusa l’applicazione con cui sono stati creati ma quando si verifica un errore questi contenuti vengono salvati -questo accade di modo che i file possano essere recuperati una volta riavviato il programma. Quando questi file non vengono cancellati possono essere utilizzati per effettuare un possibile recupero dati – anche nel caso in cui gli originali siano già stati cancellati.

2. Memoria virtuale – supporta la memoria principale quando la quantità dei dati e dei processi in corso diventa troppo grande da gestire. Quando entra in gioco la memoria virtuale, viene creato un file di paging (chiamato pagefile.sys) sul vostro hard disk. Il file pagefile.sys contiene i dati della memoria che possono essere processati in maniera più lenta. I file di paging possono essere scritti in qualsiasi partizione e possono contenere informazioni molto interessanti come login e password.

3. Tipologie di file similari possono essere recuperate dal file sys che viene creato quando la macchina va in stato di ibernazione – ovvero quando il vostro computer va nella cosiddetta “sleep mode”. Questo file contiene un’immagine dello stato della memoria nel momento in cui ha avuto inizio il processo di ibernazione.

4. File spooler di stampa – utilizzati per l’esecuzione e la gestione di stampa dei documenti (come file di testo, di grafica, fogli di calcolo, etc) possono essere scritti nel vostro hard disk per recuperare file precedentemente cancellati.

Molti utenti non hanno quasi idea di come si possano cancellare i dati e per questo motivo non lo fanno. Questo è un errore grave e molto pericoloso. Ma la cosa può anche peggiorare – la cancellazione dei file non è sempre sinonimo di sicurezza. Perchè? Lo scoprirete nel prossimo articolo.