Questa volta la scorsa settimana i sommozzatori dell’FBI stavano cercando il lago Seccombe, un lago d’acqua dolce a circa tre chilometri dal Centro regionale interno, il sito delle riprese del 2 dicembre che ha lasciato 14 morti e 22 feriti. I rapporti hanno indicato che i tiratori Tashfeen Malik e Syed Rizwan Farook avevano abbandonato il loro disco rigido portatile, che può contenere e-mail e altre prove, nell’acqua torbida intorno al momento dell’attacco.,
Sebbene la ricerca si sia conclusa, gli investigatori non hanno confermato se sia stata recuperata o meno un’unità. Ma se uno fosse, gli esperti di data-forensics dicono che c’è una buona probabilità che le informazioni memorizzate siano ancora facilmente accessibili e che ci sarebbero stati modi più efficaci per distruggere l’unità.
Un disco rigido funziona quasi esattamente come un giradischi. I dati vengono memorizzati in blocchi di 1s e 0s su un piatto di alluminio, ceramica o vetro, che assomiglia molto a un CD. Il piatto è centrato su un mandrino, che controlla la sua rotazione; una testa utilizza una corrente elettrica per leggere e scrivere dati., Un attuatore e altri componenti elettronici controllano l’intera operazione.
L’acqua potrebbe cortocircuitare l’elettronica, ma questo è tutto. ” I dati sono ancora sui piatti, indipendentemente dal fatto che si siano bagnati o meno”, spiega Russell Chozick, vice presidente di Flashback Data, una società di recupero dati di Austin, in Texas. Finché i piatti non sono autorizzati ad asciugare, che dice potrebbe lasciare residui difficili da pulire dietro, esperti forensi dovrebbero essere in grado di recuperare i dati con relativa facilità.
Le moderne unità a stato solido (SSD) e la memoria flash possono essere più suscettibili all’annegamento, dice Chozick., Molti di loro hanno la crittografia a bordo, il che significa che il circuito dell’unità è necessario per decodificare qualsiasi cosa memorizzata sul chip di memoria. Allo stesso tempo, gli SSD rappresentano solo circa un terzo dell’attuale mercato dei dischi rigidi per PC, quindi le unità rotanti convenzionali sono ancora per lo più la preoccupazione principale.
Quindi, cosa c’è di meglio dell’acqua? Nonostante ciò che la televisione e fretful ragazzi IT ci hanno insegnato, portando magneti vicino al disco rigido potrebbe non corrompere efficacemente i dati, sia., Dovresti prima superare la guaina in acciaio che protegge i piatti nella maggior parte delle unità, spiega Gleb Budman, CEO e co-fondatore di Backblaze, una società di cloud storage che costruisce i suoi server su dischi rigidi di livello consumer. “Dato un magnete abbastanza buono e una vicinanza abbastanza vicina, è certamente un attacco valido”, dice, “Ma se vuoi garantire, distruggere il piatto è il modo più sicuro per andare.”
In effetti, aprire l’unità—un compito facilmente raggiungibile con un cacciavite e un martello in pochi minuti—e usare la forza bruta sul piatto è il modo migliore per distruggerlo in breve tempo., ” I dischi rigidi portatili hanno piatti di vetro”, dice Chozick. “Se li lanci abbastanza forte, il vetro si frantumerà e nessuno lo recupererà.”(Il recupero scrupoloso è possibile in alcuni casi; gli investigatori hanno lavorato per mettere insieme i dati dall’unità fracassata di Adam Lanza dopo le riprese alla Sandy Hook Elementary School nel 2012, ad esempio, ma il processo è lungo e costoso.)
I piatti in alluminio, spesso presenti nei desktop, richiedono un po ‘ più di lavoro, tuttavia. Un graffio gigante, ad esempio, può impedire all’unità di inizializzare e ostacolare gli sforzi convenzionali di recupero dei dati., Lo stesso vale per una piccola—o grande—crepa nel piatto. Ma i laboratori forensi avanzati, dice Budman, potrebbero essere in grado di leggere tra quelle imperfezioni. ” Non fanno nemmeno necessariamente girare; possono guardare ogni singolo blocco sul piatto”, dice, che può consentire agli esperti di recuperare abbastanza 0 e 1 da leggere.
I fori nel piatto, d’altra parte, generano calore che può facilmente causare danni universali. “Stai potenzialmente distorcendo il piatto stesso. Stai facendo cose che potrebbero far cambiare leggermente tutto il resto del piatto”, dice Budman., “E non ha bisogno di cambiare molto affinché i dati siano completamente non validi.”
In caso di dubbio, consiglia di utilizzare una chimica semplice: l’acido. ” Lasci che l’acido scorra via tutto ciò che è di valore sui piatti”, dice Budman.
Naturalmente, ci sono modi meno aggressivi per pulire un disco. Sia Windows che Mac OS X includono utility che cancellano in modo sicuro le unità sovrascrivendo i contenuti esistenti con 0 e 1 casuali., Budman consiglia di farlo due volte su unità più recenti e sette volte su quelle più vecchie, poiché alcuni laboratori forensi avanzati potrebbero essere in grado di trovare “fantasmi” dei dati sovrascritti.
Per coprire le tracce, però, Chozick avverte che un disco rigido pieno di incomprensioni è ancora una grande bandiera rossa. “Per il contenzioso, se la tua unità viene chiamata in causa ed è stata azzerata, ovviamente sappiamo che c’è stata una certa spoliazione dei dati. E possiamo dirlo a una giuria, e a loro non piace così tanto.”dice.