Transcription

DATARECOVERYDi Michele BragaCosa fare se si danneggia il supportoche contiente i dati della nostra vita indigitale: foto, video, documenti e file.Le tecniche di recupero dei dati.

PROVE Recupero dischiI dati e le informazioni hanno un valore sempre più alto sia per le aziende modernesia per i singoli individui. Nel primo caso sono strumenti indispensabili che devonoessere trattati in modo corretto anche per assolvere ad obblighi normativi e chepermettono all’azienda stessa di essere operativa e competitiva all’interno di unmercato sempre più veloce e globalizzato. I dati generati e accumulati dalle singolepersone, invece, sono spesso più variegati, ma non per questo di minor valore:oltre a documenti con validità legale, la maggior parte dei dati – fotografie, videoe scritti – attengono alla sfera affettiva, alle esperienze e ai ricordi personali.Oggi la maggior parte dei dispositiviche utilizziamo – computer, smartphone, tablet, smartwatch, macchinefotografiche, action cam e così via –generano dati in forma digitale cheteniamo sul dispositivo stesso o chepiù di frequente archiviamo su piùsupporti esterni e sul cloud, con loscopo di parcheggiarli per consultarliin momenti successivi e per condividerli con altre persone. Questi supportiutilizzano tecnologie diverse e con ilpassare del tempo offrono capacità diarchiviazione crescenti. A crescere nonè solo la quantità dei dati generati, maanche il peso dei singoli file: fotocamere con definizioni sempre maggiorigenerano file di dimensioni semprepiù grandi, così come accade anchecon i video in alta risoluzione.Circondati da così tanti dati spessonon ci rendiamo conto di quanto siamoKROLLONTRACK80 PC Professionale Maggio 2017Da oltre 30 anni, Kroll Ontrack offreservizi e software all’avanguardia perassistere studi legali, aziende private,enti pubblici e utenti finali nella risoluzionedelle problematiche e delle sfide poste dallagestione dei dati. Parte di KrolLDiscovery,Kroll Ontrack fornisce soluzioni di recuperodati leader di mercato da hard drive, SSD,server, RAID, ambienti virtuali, cloud, dispositivimobili, tape, NAS/SAN/DAS, computer laptop edesktop, device Apple. A livello internazionaleKrolLDiscovery conta circa 1.300 dipendenticon presenza in 19 Paesi e 43 sedi. KrollOntrack è presente in Italia dal 2002 con sedein Gallarate (VA) dove si trova anche la camerabianca, l’unica professionale in Italia per ilrecupero dei dati. Inoltre, grazie alla tecnologiabrevettata Ontrack Data Recovery RemoteServices è possibile effettuare il recupero deidati anche in remoto. La società sviluppa anchesoftware per attività di recovery in autonomia:Ontrack EasyRecovery (per il recupero dati),

PROVE Recupero dischiesposti – in modo inconsapevole ocopia di riserva. Per questo e tanti altriconsapevole – al rischio di perdernemotivi, chi tratta con dati digitali aanche solo una piccola parte in modoscopo lavorativo e personale dovrebbeirrimediabile.sempre possedere almeno un backupCon il termine irrimediabile non indi quelli più importanti e che non postendiamo infatti solo l’impossibilitàsono essere ricreati.di recuperare i dati persi, ma ancheI dispositivi sui quali archiviamo il’impossibilità di crearne di nuovidati sono di natura meccanicaequivalenti. Un esempio calo elettronica e benché sianoprogettati e realizzati perzante ed esplicativo può essere quello di una raccoltaessere longevi e resistenfotografica di un viaggioti, possono guastarsio di un evento come uncompletamente o comUn backup adeguatomatrimonio. Una voltaportarsi in modo nonprotegge i nostri ricordiperse le foto che hannocorretto. Tra le possibilidigitali da perditecristallizzato momenticause che possono porirrimediabilipassati, è piuttosto facile catare a ciò concorrono moltipire che non è possibile ricrearefattori, tra i quali dobbiamole stesse situazioni. Anche tornandoannoverare anche l’errore umano.Utilizzando particolare attenzionea posteriori negli stessi luoghi degliscatti noi saremo cambiati, le personee scegliendo dispositivi idonei alloe i luoghi saranno diversi così comescopo che devono svolgere è possibilele emozioni immortalate proprio inridurre la probabilità di incorrere in unquegli scatti ormai persi.evento che può portare alla perdita didati, ma un simile evento deve esseresempre considerato come possibile.Queste prime considerazioni ci portano per prima cosa ad affrontare lospinoso tema del backup. Per quantoPrima di andare oltre vale la pena diun utente dovrebbe sempre averne afare qualche altra puntualizzazione.La prima consiste nel precisare cosadisposizione almeno uno funzionantesi intende quando parliamo di “perditaed efficiente – il buon senso e l’espedi dati”. Queste parole sono utilizzarienza consigliano di averne più dite molto spesso in modo improprio:uno – esiste sempre la possibilità cheanche il sistema di backup incorra in“la perdita di un dato”, da un puntodi vista puramente letterale, significaguasto. A tal proposito sottolineiache il dato stesso non esiste più e chemo che l’utilizzo di un Raid è spessoerroneamente considerata come unaquindi non è più recuperabile. In realtà,queste stesse parole sono utilizzate persoluzione di backup; un sistema Raidindicare una “indisponibilità di un daha lo scopo di garantire continuità dito”, ovvero l’impossibilità di accedere aaccesso alle informazioni in caso didati che presumibilmente sono ancoraguasti a un numero limitato di suppresenti sul supporto dove sono statiporti che costituiscono il sistema Raidarchiviati.stesso, ma di per sé non rappresentaDetto ciò, i dati possono essere inacuna soluzione di backup, ovvero lacessibili per due motivi: fisici oppureduplicazione di un file o di un’insieme di dati su un supporto esterno allogici. Nel primo caso si parla di unvero e proprio guasto al dispositivosistema di lavorazione per averne unaUna vitain digitalePaolo SalinaCountry Director KrollOntrack ItaliaOntrack PowerControls (nelle versioni per ilmailbox management in Microsoft ExchangeServer, per il document recovery in MicrosoftSharePoint Server e per il restore di singoletabelle in Microsoft SQL Server). Infine, KrollOntrack fornisce servizi di ediscovery, soluzioniper la gestione dei tape e per la cancellazionesicura attraverso il dispositivo Ontrack EraserDegausser e i software Blancco, di cui l’azienda èdistributor e gold reseller.Per maggiori informazioni www.krollontrack.itIL VALOREDEI DATIMolti si rendonoconto del valoredei dati solo nelmomento in cui non sonopiù accessibili o solo quandosono definitivamente persi.Una seconda considerazione,forse meno ovvia ma piùimportante, è che il valoredei dati non è un parametrosempre assoluto, ma in molticasi variabile: il valore dialcune informazioni, infatti,cala in funzione del passaredel tempo. L’impossibilità diaccedere a un’informazioneper un tempo indeterminatopuò determinare l’inutilitàdell’informazione stessa inquanto viene rimpiazzatada informazioni aggiornate.Nel caso in cui si verifichiuna perdita di dati è quindiimportante dare un valore aldato stesso rapportandolo altempo necessario per poterlorecuperare.Ovviamente questo discorsonon vale per tutti i dati:il valore di un archiviofotografico personale nondiminuirà con il passare deltempo, perché i file in essocontenuti hanno congelatoun momento specifico di unanostra esperienza di vita enon possono essere ricreati osostituiti in alcun modo.PC Professionale Maggio 201781

che contiene i dati, mentre nell’altro si fariferimento a un problema che riguardala struttura dei dati e che ne precludel’accesso, come ad esempio a seguitodella corruzione del file system.Ancora, possiamo dire che i motivi principali che possono portare all’indisponibilità o addirittura alla perdita effettivadei dati sono due: la sottovalutazionedel rischio e un evento imprevisto. Inogni caso, quando si perde la capacitàdi accedere ai dati non è detto che lesperanze di un recupero siano nulle. Sei dati sono fisicamente presenti, cioè nonsono stati sovrascritti o il supporto fisiconon è seriamente e irrimediabilmentedanneggiato esiste una concreta possibilità di recuperare tutto o una partedel contenuto. In questi casi può esserenecessario ed è consigliabile affidarsi aservizi specializzati in grado di operaresul dispositivo danneggiato che contienei dati, per tentare di recuperare e ripristinare i dati stessi.L’esplosione degli archivi dati personali sia per numero sia per dimensionedi dati contenuti ha generato un’ampiae molto variegata offerta di servizi dedicati al recupero dei dati persi; bastauna ricerca sui principali motori diricerca Internet per essere inondati dainnumerevoli annunci relativi a recuperi dati “sicuri”, “garantiti” e spessocon prezzi “irrisori” per chi conoscequale sia il lavoro che può comportareun tentativo di recupero dati. Chiariamo subito una cosa: il recupero datida un supporto danneggiato è un’operazione estremamente delicata chepuò avere esiti diversi in base al tipodi guasto. Finché un esperto non analizza il supporto e valuta l’entità deldanno è impossibile sapere se si potràrecuperare qualcosa o meno. Di conseguenza diffidate da chi, anche in buonafede, vi assicura un recupero completodelle informazioni: spesso i risultati ei costi non sono assolutamente quelliattesi e, se il supporto viene smontatoe utilizzato con tecniche di recuperoinadatte, anche il suo successivo invio a seri professionisti del settore puòessere ormai inutile. Ricordate bene,il primo intervento è quello decisivocome ci ha sottolineato anche Paolo Salin, Country Director di Kroll OntrackItalia, con il quale abbiamo avuto mododi approfondire le tematiche di questosettore e che ci ha supportato a livellopratico e tecnico per seguire le fasi diun recupero dati reale.82 PC Professionale Maggio 2017SUPPORTIE PROBLEMATICHEQuali sono le principali cause di guasto a un discoo più in generale a un supporto dati? Quali sonole differenze tra un supporto e un altro?Come abbiamo già accennato, lavarietà degli eventi che possonoportare al malfunzionamento o alguasto di un supporto per l’archiviazione dati e alla conseguente impossibilità di accedere alle informazioni inesso contenuti è così vasta che risultaimpossibile stilare una casistica esauriente, anche affidandosi alla più fervidaimmaginazione.Quello che possiamo fare, invece, è sfruttare la statistica, individuando così leprincipali cause di danneggiamento.Rispetto a quando erano presenti prevalentemente unità meccaniche, oggiil panorama dei supporti è molto piùampio e diversificato. Ai dischi rigidi ditipo meccanico (HDD) si sono aggiuntiquelli allo stato solido (SSD) che hannopreso piede tanto nel settore professionale quanto in quello consumer. Aciò si deve aggiungere la diffusione disupporti esterni – di tipo sia HDD siaSSD – che possono essere spostati conQuando non sonoutilizzate le testine sonoparcheggiate fuori dallasuperficie dei piattelliI piattellisono ancoratiall'albero delmotore del discomolta facilità, ma che per questo motivo sono anche più esposti al rischio didanneggiamento. Cerchiamo quindi difissare alcuni concetti chiave per districarci meglio tra le diverse casistiche nellequali si può incorrere. A seguito di unevento che non permette di accedere aidati possiamo distinguere tra un guastoche richiede un recupero software e unoche richiede un intervento di hardwareo misto hardware e software.Nel primo caso rientrano situazionideterminate da una corruzione del file system, dalla cancellazione dei datieseguita per errore o volontariamentee dalla formattazione del supporto. Inquesto caso, ovvero quando il supportohardware non ha subito alcun danno efunziona in modo corretto, il recuperodei dati è spesso possibile utilizzandostrumenti software automatici specifici.Nel secondo caso, quando il supporto diarchiviazione ha subito un danneggiamento fisico – elettrico o meccanico – laIl braccio portatestine è fissatoall'attuatoremeccanico cheserve al loroposizionamentoI piattelli sonoricoperti da unfilm magneticoche memorizzale informazioni

PROVE Recupero dischiPARTI DI RICAMBIOIl magazzino di Kroll Ontrack conta più di 10.000 pezzi che fanno capoa tutti i modelli e tipologie di dischi che sono stati commercializzati inpassato e che sono presenti oggi sul mercato. Il magazzino è divisoin due sezioni: la prima è quella dove sono presenti i pezzi di ricambio diutilizzo più frequente, mentre la seconda costituisce un archivio storico diunità fuori commercio, ma ancora utilizzate.Visto l’enorme investimento necessario a mantenere un archivio diquesto tipo, Kroll Ontrack procede ad acquisti programmati tra le diversesedi e in caso di necessità provvede a trasferire i pezzi di ricambio tra lasede che li ha in carico e quella dove sono necessari per una riparazione.procedura di recupero è per forza di coseben diversa. In questo caso i dati presentisull’unità potrebbero essere intatti, mapoiché il supporto non funziona più inmodo corretto questi potrebbero essereinaccessibili per il solo guasto hardwareoppure potrebbero essersi anche corrottiper un malfunzionamento hardware.HDD: DISCO DI TIPOMECCANICOIl disco rigido è uno dei pochi componenti con parti meccaniche che ancora oggi è presente all’interno di uncomputer in ogni sua possibile forma:notebook portatile, desktop da scrivania, workstation o server. Come tutti isistemi meccanici complessi che utilizzano parti in movimento, anche il discorigido è soggetto a usura e guasti chene possono compromettere il correttofunzionamento e l’utilizzo. Le parti meccaniche in movimento all’interno di undisco rigido sono: il motore di spin deipiattelli, i piattelli stessi (generalmentepiù di uno), il braccio porta testine e letestine, l’attuatore per il movimento eil posizionamento delle testine stessee l’elettronica di controllo. Questi componenti sono assemblati in modo che ipiattelli, rivestiti di un sottilissimo filmcon proprietà magnetiche e in rotazioneattorno all’asse del motore principale, sono scanditi dalle testine che, viaggiandoa bassissima distanza dai piattelli, procedono alla immagazzinare e recuperare leinformazioni memorizzate sui piattellistessi. Tutti questi componenti possonosubire un guasto a causa di variazione ointerruzione dell’alimentazione, rotturemeccaniche, scariche elettrostatiche oproblemi elettronici.A dispetto dei possibili problemi che possono incorrere utilizzando parti meccaniche in movimento, i dischi rigidi classicihanno il grande vantaggio di offrire altempo stesso sia le maggiori capacità diarchiviazione per singola unità in valoreassoluto, sia il miglior rapporto tra spaziodi archiviazione e costo.interna del disco di interpretare le variazioni magnetiche memorizzate sulpiatto riportandole in linguaggio binario(lettura dati) o di magnetizzare porzionimicroscopiche dello stesso nel processodi scrittura. I danni alla testina si dividono in elettrici e meccanici, con gravitàe ripercussioni sul possibile recuperodati molto diverse. Nel primo caso, sela testina subisce un danno che impePrima di iniziare un intervento tecnicosu un disco rigido è necessaria un’analisidisce la corretta lettura e scrittura deiaccurata per determinare in modo predati dal punto di vista elettromagneticociso la causa del guasto o del probleminon viene infatti intaccata fisicamente lache ha reso inaccessibili i dati in essosuperficie del disco, mentre nel secondocontenuti. Solo una volta individuatocaso, quando a rompersi è il meccanismoil problema si avranno le informaziodi ritenzione della testina al di sopra delni necessarie per capire se èpiatto le cose cambiano drasticamente.possibile ripristinare l’oIn questo caso si possono deterperatività del disco inminarsi danni collaterali irrimemodo da poter crearediabili, come la rigatura direttaun’immagine compledel piatto o la rottura di altrita delle informazioni Offre il miglior rapporto elementi di contorno. Le causetra spazio e costo,contenute nel discodi danni di questo tipo sonocosì come le maggioristesso.molto diverse: nel primo casocapacitàL’obiettivo di un intersi tratta di un guasto elettronicovento tecnico di recuperodovuto spesso a sbalzi di tensiodati, infatti, non è mai quellone che sebbene siano riconducibilidi riparare il disco per poterlo usareall’elettronica di gestione finiscono perrovinare la testina stessa. Nel secondocome se il guasto non fosse mai avvecaso il danno è spesso pregresso, comenuto, ma è quello di riattivarlo per ilpuò esserlo un difetto di fabbricazionetempo necessario a prelevare e mettereo uno stress del componente nel tempoin sicurezza il suo contenuto. Una voltae una conseguente rottura da usura. Aaperto, anche in camera bianca, un discorigido riparato e richiuso non rispondequesto può aggiungersi anche un dannopiù agli standard di funzionamento per idovuto a un trauma derivante da unquali è stato progettato e secondo i qualicolpo o da una caduta del dispositivoè stato assemblato in fase di produzione.in funzionamento, ma anche spento.Di seguito forniamo una casistica deiUn contatto della testina sul piatto,principali guasti nei quali possono indetto crash è il danno più comune dicorrere i dischi rigidi meccanici. Il pritipo meccanico e anche quello dallemo guasto che analizziamo è quello aconseguenze più devastanti. Per imcarico della testina elettromagnetica,maginare il danno provocato da unal’elemento che si occupa nella dinamicatestina che sbatte accidentalmente suDiscomeccanicoPC Professionale Maggio 2017 83

PROVE Recupero dischiUna delle postazioni professionali di KrollOntrack. Si tratta di una camera biancaconforme agli standard ISO 14644-1 class5 in grado di garantire la sicurezza di nondanneggiare i supporti con particelle di polveredurante questa delicatissima fase di intervento.uno dei piatti del disco basta immaginare che la superficie del disco ruotanormalmente ad almeno 5.400 giri alminuto (notebook), con modelli da 7.200giri o superiori presenti in tutti i sistemidesktop o nei notebook più veloci. Unatestina ha dimensioni lillipuziane, conuna larghezza inferiore a 100 nm e unalarghezza di circa 30 nm e resta sollevatadai piatti del disco a un’altezza che puòessere conteggiata in atomi. La distanzadella testina è infatti nell’ordine di unadecina di nm. Ecco un esempio esplicativo molto folkloristico, ma di sicuroimpatto: immaginando che la testina siagrande quanto un aereo di linea e che lasuperficie terrestre rappresenti il piattomagnetico si può immaginare che l’aereoviaggerebbe a circa 1.000.000 di km/h aun’altezza dal suolo di pochi centimetri,mentre i passeggeri dovrebbero contareogni singolo filo d’erba e non sbagliarnepiù di 10 in un territorio grande quantola Lombardia.Questo basta per immaginare quali danni possa fare sulla superficie del discouna testina che vi impatta in modo diretto asportando fisicamente lo stratomagnetico nel quale sono contenute leinformazioni. Altri possibili danni chepossono presentarsi con un disco meccanico sono quelli imputabili al sistemadi rotazione dei piattelli. A seguito diun colpo o di un urto particolarmenteinteso, l’asse di rotazione del motorepotrebbe disallinearsi con il resto dellameccanica. Una variazione anche minima dell’asse di rotazione comportainfatti gravissimi problemi di lettura escrittura del supporto, costringendo latestina magnetica a cercare di leggeredati dove in realtà si sovrappongonocelle magnetiche differenti e scrivendoin posti che magari sono a cavallo trapiù settori adiacenti.Per procedere al recupero dei dati84 PC Professionale Maggio 2017presenti sui piattelli – se non fisicamente rovinati – i tecnici devono renderedi nuovo operativa l’unità riparando ilguasto elettronico, quello meccanico o unguasto combinato. Per fare questo puòessere necessario sostituire l’elettronica,aprire fisicamente il disco per sostituire o ricalibrare le testine o, ancora, perriportare in asse il gruppo dei piatti. Sitratta di una riparazione complessa cherichiede tempo, strumentazione professionale e una magazzino fornito deipezzi di ricambio necessari.RAID: PIÙ DISCHIRAGGRUPPATISe recuperare i dati da un singolo discorigido è complicato, ma tutto sommatoun’attività concettualmente semplice,non si può dire altrettanto per i sistemi Raid. Le complessità introdotte daimeccanismi di protezione Raid e dallaloro specifica implementazione sonomolteplici: i sistemi Raid sono pensatiper distribuire i dati su diverse unitàaggiungendo codici di controllo, male informazioni nel singolo disco sonoutili solo se correttamente allineate ericostruite con tutte le altre facenti partedello stesso set di dischi che costituiscono l’array Raid originale.Inoltre, l’organizzazione dei dati sui diversi dischi che compongono l’array èdiversa in funzione del tipo di protezionescelta (Raid 5, Raid 6, ecc), della versionedel firmware del controller, ma anche diparticolari configurazioni impostate sulsistema. A tutto ciò è necessario aggiungere anche che l’utilizzo di tecnologieproprietarie sviluppate dai produttoriper migliorare l’efficienza di immagazzinamento dei dati, introducono unulteriore grado di complessità al problema. Nelle soluzioni che prevedonola deduplicazione dei dati, ad esempio,la perdita di una piccolissima parte didati può seriamente compromettere l’integrità di tutto il sistema.Detto ciò è abbastanza intuitivo comprendere come il ripristino dei dati immagazzinati in un array Raid è molto piùcomplicato rispetto alla ricostruzione diun disco rigido singolo. In questo casonon è sufficiente solo recuperare i datigrezzi, ma è necessario ricostruire in modo corretto tutti i livelli intermedi dellastruttura dati, compresi gli algoritmipropri del controller Raid utilizzato. Neicasi più gravi, il processo di ripristino diun array Raid può richiedere il recuperodelle immagini dei singoli dischi checompongono l’array – anche quelle deidischi non danneggiati – per poi simulare il comportamento dell’array stessoDEDUPLICAZIONELa deduplicazione è un processo in cui ogni elemento di un dato, soggetto abackup, è confrontato con un record dei dati che sono stati precedentementearchiviati per identificare una possibile ripetizione o ridondanza. Questoprocesso può avvenire prima o dopo che il dato è stato scritto nello sistema distorage dedicato al backup. Si parla di deduplicazione inline quanto le procedure vieneeseguite in tempo reale, mentre il dato viene scritto sul disco di backup. Ma il processodi deduplicazione può avvenire dopo che i dati hanno subito il backup su disco e ilprocesso di backup è terminato. In generale la deduplicazione in tempo reale impegnain modo intensivo la Cpu attraverso i suoi algoritmi che analizzano i dati in arrivo inmodo da eliminare le duplicazioni prima che i dati finali siano scritti su disco.

PROVE Recupero dischiPer migliorare ladurata nel tempo,gli SSD utilizzanoalgoritmi di scritturaper non usurare lecelle di memoriaRispetto aidischi classiciun SSD nonpresenta partimeccaniche inmovimentoLa scrittura sulle celleNand è gestita da un chipdi controllo che ottimizzala scrittura dei datiNegli SSD i piattellisono sostituiti dacelle di memorieNand raggruppatetra loroin un ambiente virtualizzato e attraversosoftware progettati in modo apposito.Abbiamo introdotto il discorso relativoagli array Raid perché i concetti espostifino a questo momento sono utili percomprendere la complessità di un recupero dati da eseguire su supporti di tipoSSD. Come vedremo, in questo caso piùcelle di memoria sono collegate tra loroin modo concettualmente simile a comeavviene in un array Raid per creare ilvolume di archiviazione finale.impossibile, non possiamo dire altrettanto per quello elettronico. Ogni tanto,soprattutto quando si utilizzano prodottimolto economici (ad esempio chiavette Usb), capita che un supporto flashsmetta di funzionare o che si danneggia seguito di uno sbalzo di tensione.Come per i dischi meccanici ci sonoquindi vantaggi e svantaggi. Da un altol’industria segue standard ben codificatinella produzione di memorie Nand, maquesta è solo metà della storia perché lavera complessità dei sistemi basati sutecnologia flash deriva da due elementicritici che spesso non sono valutati inmodo adeguato. Il primo è che i chip dimemoria sono inutili se non accoppiaticon un controller specializzato e doNel mercato consumer più chetato di un firmware sviluppatoin quello aziendale ed enterin modo apposito. Se il chipprise, le memorie flash sidi controllo può essere unsono trasformate da nuocomponente ampiamenteva frontiera a soluzioneutilizzato e conosciuto,Sono veloci e resistentistandard. Pensiamo aglialtrettanto non possiamoagli urti, ma soggettismartphone, alle macchidire per il firmware chea possibili guastine fotografiche digitali, aimolto spesso è sviluppatoelettronicicomputer portatili e a quellie aggiornato internamentedall’azienda produttrice. Lodesktop così come ai dischi portatili e alle chiavette Usb. Tutti noiscopo di questo sviluppo non stanpossediamo almeno un dispositivo chedard è dettato anche dalla necessità diutilizza una memoria allo stato solido.implementare tecnologie studiate perQueste memorie hanno il grande pregiomigliorare la durabilità delle memoriedi non avere parti meccaniche in moviflash, la consistenza dei dati o le prestamento e per questo motivo è difficilezioni per battere la concorrenza. Proprioche si guastino a seguito di una cadui rapidi aggiornamenti caratteristici dita, anche se non si può dire altrettantoquesto mercato determinano la difficoltàdei dispositivi che le contengono. Se ildi ricostruire gli algoritmi con i qualiguasto meccanico è quindi pressochéi dati sono archiviati all’interno delleSSD E MEMORIEFLASH: DISCHIALLO STATO SOLIDODischi allostato solidomemorie Nand. La difficoltà principalenel recupero di dati da un’unità o da undispositivo che utilizza una memoriaflash è nella maggior parte dei casi ditipo logico e riguarda l’organizzazionedei dati; a volte però è possibile che sianoproprio le celle di memoria Nand adessere danneggiate e in questo caso ilrecupero del loro contenuto può essereimpossibile come accade quando vienedanneggiato il film magnetico di un disco rigido.Il processo di recupero è comunque concettualmente simile a quanto già descritto, ma diverso dal punto di vista pratico:si cerca di ripristinare il funzionamentoanche parziale del dispositivo o si procede a dissaldare i chip di memoria perestrarre i dati in essi contenuti medianteuno strumento apposito che ne permettala lettura. Come abbiamo accennato, idischi SSD sono realizzati da più chipdi memoria collegati tra loro attraversoil controller. Nel caso di queste unità quindi si procede in modo simile aquanto descritto per un array Raid: sirecuperano le immagini dei dati presentiin ogni singolo chip di memoria Nande si tenta di simulare il funzionamentodel controller in ambiente virtualizzatocon strumenti software specifici.GUASTI SOFTWAREFino ad ora abbiamo parlato esclusivamente di guasti hardware, ma questa èsolo una parte del problema. Uno guastosoftware, compreso l’errore umano, è piùprobabile di uno hardware e non è dettoche a seguito di un guasto hardwarenon si riscontri anche un conseguenteproblema di consistenza dei dati da unpunto di vista software.Quando si verifica un guasto all’hardware di un dispositivo, questo puòcomportarsi in modo anomalo dandoorigine a un conseguente guasto software che si somma a quello hardwareche l’ha generato.Se il problema è solo di tipo software,l’intervento di recupero è relativamentepiù semplice in quanto il supporto diarchiviazione funziona in modo corretto.Spesso è sufficiente utilizzare tool specifici – ne esistono anche di pubblicodominio – che eseguono la scansione delfile system con lo scopo di correggere glierrori software per recuperare i dati nonleggibili. Anche in questo caso rimanesempre valida la regola che un interventosbagliato piattaforma compromettere inmodo definitivo i dati.PC Professionale Maggio 2017 85

PROVE Recupero dischiLA PROVADI KROLL ONTRACKLa nostra prova reale su un disco danneggiato di proposito: tutte le fasi delprocesso di recupero dati in camera bianca su un disco esterno meccanico.Per una prova sul campo di come èpossibile tentare il recupero dati daun supporto danneggiato ci siamoaffidati al servizio offerto da Kroll Ontrack.L’azienda ci ha permesso di visitare le proprie strutture – compreso il laboratorio conle camere bianche – sia di seguire passopasso lo svolgersi delle operazioni eseguitesul disco di test da noi fornito.Poiché l’intenzione della nostra prova eradi verificare sul campo cosa e come fossepossibile recuperare da un disco danneggiato, abbiamo deciso di simulare il danneggiamento di un’unità di archiviazionee di sottoporre quest’ultimo a un serviziodi recupero professionale. Il nostro supporto – un disco Usb 3.0 esterno da 4 Tbyte etecnologia meccanica – è stato danneggiatodi proposito simulando una caduta. Nellospecifico abbiamo messo il disco privo diprotezioni aggiuntive all’interno di un borsache potrebbe essere usata comunemente peri tragitti casa-ufficio da moltissimi utenti;abbiamo quindi simulato la caduta dellaborsa lungo una rampa di scale come potrebbe capitare a una qualunque personache perde l’equilibrio e tenta di aggrapparsia un sostegno lasciando andare ciò che hain mano. Con nostra grande sorpresa è statasufficiente una singola cauta per rendereil disco inutilizzabile o quantomeno perprecludere l’accesso ai dati archiviati suldisco stesso. Il primo passo in assoluto dacompiere prima di intraprendere una procedura di recupero dati è quella che consistenel prendere contatto con il fornitore delservizio – in questo caso Kroll Ontrack –descrivere la problematica e richiedere unpreventivo. Un volta espletate le fasi cheriguardano una prima diagnosi in base aquanto descritto dal cliente e l’accettazionedel preventivo relativo alla lavorazione,la fase successiva consiste nell’inviare alservizio di recupero dati il supporto danneggiato. Quando il supporto raggiunge lapropria destinazione ha inizio la lavorazione vera e propria da parte del team tecnico.86 PC

Ontrack PowerControls (nelle versioni per il mailbox management in Microsoft Exchange Server, per il document recovery in Microsoft SharePoint Server e per il restore di singole tabelle in Microsoft SQL Server). Infine, Kroll Ontrack fornisce servizi di ediscovery,