Recuperare dati cancellati

Uno dei primi servizi informatici che ho iniziato ad offrire sul Web riguardava il recupero dati, ed era il 2007. Sono passati 14 anni ed ancora oggi si tratta di una consulenza molto richiesta, anche a seguito della diffusione dei ransomware. In questo articolo vi voglio quindi parlare di come avviene un recupero dati e di come sia possibile (ma sconsigliato) effettuare questo genere di operazione anche con il proprio computer. Se stai leggendo questo articolo perchè hai bisogno di un recupero dati, fermati! Non utilizzare i software che sto per indicare, ma contattami e, soprattutto, scollega immediatamente il supporto di memoria dall’alimentazione (tra poco capirai il motivo).

Come funziona un recupero dati

Se dovessimo paragonare l’hard disk, o qualsiasi altro supporto di memoria, ad un libro, potremmo affermare che il computer (o smartphone) è in grado di trovare la posizione di un file solamente leggendo l’indice del libro stesso. Sostanzialmente, il computer non è in grado di conoscere la posizione di un documento se prima non consulta l’indice. Quando decidiamo di cancellare un file, in realtà, non stiamo cancellando definitivamente quest’ultimo, ma semplicemente lo eliminiamo dall’indice; così facendo, il computer riterrà la pagina cancellata dall’indice vuota e, nel momento in cui ne avrà bisogno, andrà a scrivere nuovamente su quella pagina, sovrascrivendo ciò che vi è già sopra.
Per questo motivo, accadono almeno due cose:

• I file sono recuperabili fino a quando non vengono sovrascritti
• I file non vengono realmente cancellati, ma per trovare la posizione di un documento che non è nell’indice è necessario scansionare tutto l’hard disk (il nostro “libro” immaginario) e ricreare un nuovo indice.

Giocando con questi due fattori, capite bene come sia possibile recuperare i file cancellati in modo più efficace fino a quando i dati non vengono sovrascritti. Questo è il motivo per cui, non appena ci si accorge di dover recuperare un documento, è necessario scollegare dall’alimentazione il supporto dove era contenuto il file! Infatti, anche se non utilizzato, su tutti i supporti avvengono delle attività di scrittura di file, anche temporanei, che potrebbero andare a sovrascrivere i dati che intendete recuperare!
Quando avviene un recupero dati, gli strumenti che vengono utilizzati impostano il dispositivo di memoria “in sola lettura”, evitando così che importanti informazioni vengano sovrascritte durante la procedura di recupero. Sfortunatamente, nel 99% dei casi questo non avviene utilizzando software commerciali (anche se a pagamento) disponibili sul Web.

Si possono usare software per il recupero dati?

In realtà sì, esistono decine, ma forse anche centinaia di software in grado di recuperare i dati cancellati. Nella pratica, però, questi programmi fanno più danni che benefici: operando infatti anche in scrittura (e non solo in lettura, come accennato poche righe sopra), durante le attività di recupero dati, il supporto di memoria viene continuamente “scritto” con informazioni da parte del sistema operativo o da parte del software stesso di recupero, andando così a sovrascrivere i dati che si tentano di recuperare.
Per dovere di completezza, vi elenco qui una serie di software, sia gratuiti che a pagamento, che permettono di effettuare un recupero dati. Ribadisco un concetto importante: se avete una reale necessità di recuperare i dati, non procedete in questo modo, ma contattatemi. Potrò offrirvi un servizio di recupero dati basati su strumenti professionali (come “UFED”, di cui vi parlerò nelle prossime righe).

• EaseUs
• WonderShare
• CleverFiles
• Distro Linux “Tsurugi“

Come avviene un recupero dati professionale?

Un recupero dati professionale, per esempio all’interno di indagini forensi, avviene generalmente mediante strumenti professionali sia hardware che software. Il più famoso ed efficace, utilizzato anche dal sottoscritto, prende il nome di UFED, realizzato da Cellbrite, società israeliana di digital forensics che fornisce strumenti per la raccolta, l’analisi e la gestione dei dati digitali. Questo strumento viene utilizzato sostanzialmente da tutte le Forze dell’ordine del mondo ed ha una compatibilità pressochè con ogni dispositivo di memoria esistente al mondo, anche grazie ai costanti aggiornamenti del software. Il costo licenza di tale suite di strumenti non è proprio economica, dato che raggiunge facilmente i 15.000/20.000 Euro annuali, motivo per cui un recupero dati con questo strumento può arrivare a costare facilmente qualche migliaia di Euro. Vi assicuro però che, spesso e volentieri, il lavoro decennale di un’azienda vale molto più di qualche migliaia di Euro, quando ad essere colpiti sono anche i backup.

Oltre a permettere un semplice recupero dati, UFED offre un’ampia gamma di strumenti in grado di effettuare delle vere e proprie indagini forensi (basti pensare che, grazie ai dati memorizzati in ogni momento dal GPS dello smartphone, si è in grado di ricostruire il percorso di una persona anche parecchi mesi prima dell’analisi).

Dopo quanto tempo posso fare un recupero dati?

Se il dispositivo non viene utilizzato a seguito della cancellazione dei dati, il tempo a disposizione è illimitato. Sia che il recupero avvenga entro poche ore, sia dopo anni, le cose non cambiano. L’importante è non utilizzare il supporto di memoria fino a quando non inizierà la procedura di recupero dati. Inoltre, è bene non soltanto scollegare subito il dispositivo di memoria, ma anche evitare di utilizzare software gratuiti o da poche centinaia di Euro, in quanto non sono in grado di bloccare eventuali sovrascritture dei dati durante le loro operazioni (sembra paradossale, ma se siete arrivati fin qui, ormai avrete capito perchè ciò accade)