Parte 3. Eliminazione sicura dei dati
3.4 EnCase vs. Eraser
Nei passi che seguono andremo ad analizzare in dettaglio EnCase cercando di recuperare file cancellati con Eraser v. 5.6, mettendo a confronto tale procedura con il recupero dei file che sono stati eliminati semplicemente svuotando il cestino. Per prima cosa andiamo a creare cinque cartelle all’interno di una partizione su disco fisso e, in ognuna di esse, andiamo ad inserire dieci immagini.
Successivamente, per il test della Cartella_01, eliminiamo le immagini con Eraser, settando i parametri, nella finestra Options, come segue:
Le tecniche utilizzate da Eraser sono state tratte dai suggerimenti posti da numerosi esperti, tra cui Peter Gutmann e da ricerche dall'ente della difesa americana. Infatti e’ possibile accedere ad una finestra in cui scegliere tra quattro tecniche di cancellazione differenti. Il più sicuro, ma anche il più lento, è il metodo di Gutmann che è quello di default e che garantisce maggior sicurezza in quanto i file eliminati con questo metodo vengono cancellati e sovrascritti ben 35 volte.
Facciamo un rapido resoconto sulle tecniche opzionabili:
· Pseudorandom data: sovrascrive una volta sola il file con dati casuali.
· US DoD 5220.22-M (8-306. /E): è uno standard consigliato dal Dipartimento di Sicurezza Statunitense, che prevede la sovrascrittura del files per tre volte, con particolari sequenze di sovrascrittura (ad esempio si sostituisce il file prima con una sequenza di 00000000 poi di 11111111 poi con una sequenza di dati casuali)
· US DoD 5220.22-M (8-306. /E, C and E): standard simile al quello di prima, ma prevede la sovrascrittura del file per sette volte.
· Gutmann: qui iniziamo ad andare sulla paranoia... il sistema Gutmann prevede una sovrascrittura con ben 35 passaggi, sempre seguendo uno schema che alterna determinate sequenze di 00000000, di 11111111 e di dati casuali.
Per il test relativo alla Cartella_02, cancelliamo i file selezionati ancora con Eraser ma, questa volta, deselezionando le opzioni “Cluster Tipe Area” e “File names”.
Per la Cartella_03 eseguiamo la procedura di cancellazione dei file usando un altro tool di rimozione sicura, Evidence Eliminator v5.0. Selezionando i file in questione andiamo a spostarli nel cestino e successivamente cancellarli con il software sopraccitato.
Per la Cartella_04 cancelliamo i file e li rimuoviamo dal cestino con l’opzione Svuota cestino di Windows.
Lasciamo invariato il contenuto della Cartella_05.
A questo punto avviamo EnCase e procediamo con l’operazione di preview della partizione su disco contenente le cartelle. Per avviare tale metodo occorre creare una nuova indagine (tasto NEW) e inserire in essa il dispositivo da esplorare (tasto ADD DEVICE). Ricordiamo che questa sequenza di operazione è comune in EnCase alla maggior parte delle metodologie di acquisizione viste in precedenza.
Come mostra la figura in alto a destra il processo di Preview identifica esattamente le cinque cartelle create in precedenza. A questo punto esaminandole singolarmente possiamo notare quanto segue:
· Cartella_01: Usando Eraser possiamo notare che sia le immagini che i nomi dei file sono completamente irrecuperabili.
· Cartella_02: Usando Eraser deselezionando le opzioni “cluster tip area” e “file names” vengono recuperati soltanto i nomi dei file mentre le immagini vengono perse.
· Cartella_03: I file di questa cartella prima della cancellazione con Evidence Eliminator sono stati spostati nel cestino quindi con EnCase verranno visualizzati nella sottocartella recycled dove alcune immagini sono completamente recuperabili, di altre sono recuperabili solo il nome.
· Cartella_04: Anche in questo caso i file si trovano nella sottocartella recycled ed essi sono completamente recuperabili (nome, immagine e tutti i dettagli sui file)
· Cartella_05: tutto è rimasto invariato
In conclusione i software di Computer Forensic, nella fattispecie EnCase, sono utili quando i file sono stati “semplicemente” cancellati. Se i file vengono sovrascritti allora è impossibile recuperare l’informazione originale.