Libere Risonanze: Come ti recupero i file di Brenda

25 novembre, 2009

Come ti recupero i file di Brenda

L'assassinio di Brendona è ancora tutto un mistero ma gli inquirenti già sono sulle tracce di importanti particolari: dal suo PC stanno saltando fuori file importanti.

Sembra infatti che vi siano molti files riguardati video che sono stati cancellati. Il lavoro sembra fatto da un professionista che prima di uccidere potrebbe avere eliminato i files dal computer (sempre che non sia stata opera della stessa Brendona).

Vi è un però: quando si cancella un'informazione dal disco rigido di un PC, in realtà non la si distrugge realmente ma si agisce sul file system, che elimina le informazioni di allocazione dei files e li "slega dagli altri". Per i profani è come avere una catena in cui gli anelli sono i files: mettiamo di avere 5 files sull'hard disk, A,B,C,D,E. Ognuno si questi files è "visto" dal sistema operativo perché il suo indirizzo viene allocato. E' un pò come dire che gli abitanti di una certa via vengono registrati all'anagrafe mediante il loro numero civico. Inoltre i files sono collegati l'uno all'altro come gli anelli di detta catena, A-B-C-D-E. Ebbene, quando noi buttiamo nel cestino per esempio il file C, accadono due cose: la tabella di allocazione degli indirizzi smemorizza l'indirizzo del file e "lega" come un bypass il file B con il D, ovvero i due anelli confinanti con C (ecco perché ogni tanto dobbiamo fare la deframmentazione del disco rigido, altrimenti abbiamo pezzi di file dappertutto). In questa maniera l'utente vedrà i files A-B-D-E, mentre il sistema operativo considererà lo spazio occupato dal file C come "libero".

In realtà il file C non verrà cancellato ma semplicemente non visto più dall'utente ed il suo spazio pronto per essere usato dal sistema operativo e dai programmi. A questo punto, finché il sistema operativo o qualche programma non decidono di sovrascrivere lo spazio prima occupato dal file cancellato, il file rimane lì, invisibile ma perfettamente recuperabile.
Un esempio potrebbe essere un terreno su cui sorgono 5 case (files). Se noi abbiamo 5 case e decidiamo improvvisamente di tenerne una sfitta, la casa in questione non viene demolita ma viene liberata. Quando decideremo di vendere questa casa, il nuovo padrone potrà modificarla, demolirla, ampliarla a suo piacimento. Ma fino a che il nuovo padrone non lo farà, tale casa rimarrà perfettamente integra, anche se non riceveremmo più l'affitto di 5 case ma solo di 4.

Pertanto, chi ha cancellato i files nel PC pensando di distruggere le informazioni ha commesso un grave errore.

Diversamente, quando si vogliono distruggere i files bisogna usare programmi chimati "wipers". Tutti sappiamo che i files sono in codice binario ovvero sequenze di 1 e 0 che, a seconda del loro ordine, rappresentano cose diverse.

Ad esempio, la lettera
A = 01000001
B = 01000010
C = 01000011
D = 01000100
E = 01000101

Pertanto ABCDE = 01000001 01000010 01000011 01000100 01000101

Ebbene, facciamo finta che queste lettere siano files: se con un wiper cancello la C dovrò cancellare le informazioni del terzo gruppo (01000011). Il wiper, allora, per cancellare l'informazione porrà a 0 tutto il terzo gruppo. Così facendo la stringa sarà:
01000001 01000010 00000000 01000100 01000101

A questo punto nessuno potrà più ricomporre il file centrale C perché esso è stato modificato e resettato. Il wiper poi, provvederà esattamente come sopra a legare nuovamente, il secondo gruppo con il quarto saltando il terzo ed a cancellare l'indirizzo che puntava al terzo gruppo.

Quindi avremo
01000001 (indirizzato) = A
01000010 (indirizzato) = B
00000000 (non indirizzato) = Resettato
01000100 (indirizzato) = D
01000101 (indirizzato) = E

Con questo legame: A-B-D-E, come prima.

Anche in questo caso non vedremo più il file di mezzo, ma non saremo nemmeno più in grado di ricostruirlo perché non sapremmo più quanti e dove erano gli "1" che contraddistinguevano il file.

Ora, sembra che gli assassini abbiano ignorato questo importante particolare. Inoltre il mettere il PC nell'acqua è un'emerita sciocchezza perché gli hard disk generalmente sono chiusi quasi ermeticamente onde evitare l'accumulo di polvere, specialmente sulla parte superiore, quindi a meno che il computer non fosse ribaltato, anche se l'acqua fosse penetrata non sarebbe rientrata da sotto se non per capillarità.
Pertanto usare l'acqua per distruggere informazioni non fa ovviamente bene al computer ma non è il sistema più adatto per cancellarne i dati in quanto sarebbe stato meglio smagnetizzare l'hard disk con una potente elettrocalamita, anche se dubito che l'assassino ne avesse una a disposizione. Insomma, la via più breve sarebbe stata quella di portarsi via tutto il computer (facilmente asportabile, perché essendo di dimensioni inferiori di quelle di un lavandino sembrerebbe un laptop) per poi distruggerlo in un secondo tempo bruciandolo e facendolo a pezzi.

Staremo a vedere cosa salterà fuori ma ho la netta sensazione che la bomba degli scandali stia per scoppiare e che sia pure di quelle grosse...

Etichette:

1 Comments:

Blogger passione65 ha detto...

già, la cancellazione definitiva dei dati...ho avuto esperienza di recupero dati da un hard disk passato nel fuoco: nei laboratori con camera bianca, riescono a fare 'miracoli', quindi, se vogliono dirci, ne sentiremo delle belle...

sabato, 28 novembre, 2009  

Posta un commento

Links to this post:

Crea un link

<< Home