SDelete è uno strumento che elimina in modo sicuro i file su dischi logici formattati NTFS, sovrascrivendo i dati dei file sui cluster all’interno del file system. Questa utility consente di gestire i dati riservati durante le varie operazioni degli utenti: dal riutilizzo dei sistemi allo smaltimento delle vecchie unità, garantendo che i dati riservati non vengano recuperati. In questa guida gli esperti spiegano come utilizzare SDelete.
SDelete: che cos’è e come funziona
SDelete offre agli utenti un modo sicuro e permanente per eliminare i dati. Ma attenzione, l’azione di eliminazione standard non rimuove i dati, limitandosi a contrassegnare lo spazio precedentemente utilizzato dal file eliminato come non allocato. Il che significa che i contenuti non verranno sovrascritti finché un’altra applicazione non utilizzerà quello spazio. In pratica, i dati che si pensa di aver eliminato continuano a risiedere sul disco e una varietà di strumenti forensi potrebbe recuperarli senza problemi.
Gli ambiti applicativi di SDelete
I processi interni di autenticazione e autorizzazione del sistema operativo offrono garanzie per proteggere i dati, ma gli aggressori possono comunque tentare di esfiltrare informazioni da un disco acquisito collegandolo a un sistema che esegue un sistema operativo diverso, come Linux.
SDelete può essere utilizzato anche per rimuovere dati all’interno di file compressi, nonché informazioni protette da Encrypting File System (EFS). EFS utilizza la crittografia asimmetrica per proteggere i file quando il sistema operativo è offline, ad esempio in caso di furto di un’unità disco.
Quando un file viene creato e salvato su disco e successivamente crittografato utilizzando EFS, lo spazio consumato dalla copia del file originale viene contrassegnato come non allocato e reso disponibile per l’utilizzo da parte dei programmi. Il file appena crittografato è un oggetto diverso dall’originale e la versione originale non è crittografata. La compressione dei file presenta problemi simili in termini di sicurezza e prestazioni.
SDelete soddisfa due requisiti rispetto alle normali funzioni di eliminazione:
- Implementare un’opzione di eliminazione sicura
- Utilizzare un metodo per eliminare i dati dei file sullo spazio non allocato, inclusi i file eliminati in precedenza e i file compressi o crittografati
L’unico accorgimento importante è prestare grande attenzione perché con SDelete non è disponibile la funzionalità di annullamento. Ecco perché, prima di sperimentare SDelete, gli esperti suggeriscono di eseguire prima il backup dei dati. I dati persi non possono essere recuperati, e questo è il punto. Ancora meglio è provare SDelete su una VM con dati banali prima di lavorarci in produzione.
Come installare SDelete
SDelete è facile da installare: basta scaricare l’intera suite Sysinternals o recuperala semplicemente come file zip qui. SDelete funziona con gli attuali sistemi operativi client e server Microsoft Windows da Windows Vista e Windows Server 2008 e versioni successive. Come la maggior parte degli strumenti Sysinternals, l’installazione di SDelete è intutiva. L’unico accorgimento è di aggiungere l’utility alla variabile d’ambiente Path del comando, un passaggio non sempre noto agli specialisti. Inoltre, SDelete non ha una GUI integrata; esistono vari componenti aggiuntivi di terze parti, nonché progetti che aggiungono un’opzione di eliminazione sicura ai menu contestuali. Di seguito le fasi della procedura corretta:
Dopo aver scaricato il file zip, bisogna estrarlo e aggiungerlo la cartella alla variabile Path di sistema. Sono disponibili eseguibili SDelete a 32 e 64 bit. Seguire i seguenti passaggi per aggiungere il comando SDelete al sistema:
- Estrarre lo zip in C:\Programmi o in un’altra posizione a tua scelta
- Aprire Proprietà del sistema e seleziona la scheda Avanzate
- Accedere a Proprietà del sistema facendo clic con il pulsante destro del mouse sull’icona Questo PC in Esplora file, selezionando Proprietà
- Selezionare il pulsante Variabili d’ambiente
In Variabili di sistema, selezionare la riga Percorso e scegliere Modifica
Selezionare Nuovo per creare una nuova riga e selezionare Sfoglia. Esegui il drill down su C:\Programmi\SDelete o ovunque hai posizionato gli eseguibili.
Scegliere OK in ciascuna finestra di dialogo rimanente.
Una nota importante: nel caso sia la prima volta che si esegue SDelete è opportuno fare una stampa del contratto di licenza.
Come utilizzare SDelete
La sintassi del comando SDelete è semplice e ha poche opzioni. Come altre utilità Windows, digitare il comando, aggiungere eventuali parametri e specificare un argomento: il file, la directory, l’unità o il disco che si desidera eliminare o pulire in modo sicuro.
sdelete [-parameter] <argument>
Aprire un prompt dei comandi di Windows e digitare sdelete senza parametri o argomenti. SDelete visualizza le informazioni sul copyright e sulla guida.
Gestire il comando sdelete con le seguenti opzioni:
Supponiamo di creare un file denominato secret.txt . Un comando sdelete di base per il file secret.txt è il seguente:
sdelete .\secret.txt
Per eliminare un’intera cartella, digitare quanto segue:
sdelete -r -s D:\SecretProject
L’ opzione -s fa sì che SDelete esplori la cartella principale sull’unità D ed elimini cartelle e file sottostanti.
È possibile filtrare questi file con caratteri jolly. In che modo? Digitando: E *. Il parametro -r rimuove gli attributi di sola lettura, consentendo l’eliminazione di tali file.
Come rimuovere il messaggio banner
Utilizzare il parametro -nobanner per impedire a SDelete di visualizzare il messaggio di copyright e versione ogni volta che viene eseguito. Ciò è utile quando si integra SDelete in uno script che passa i suoi risultati ad altre utilities o registri oppure semplicemente per semplificare l’output.
Come utilizzare SDelete per altre funzioni
Esaminiamo alcuni altri modi in cui SDelete può aiutare a gestire i file. Non solo è utile per eliminare singoli file e cartelle, ma include anche strumenti per gestire lo spazio non allocato.
Gestisci lo spazio libero su disco
Se l’obiettivo è gestire lo spazio libero, ovvero non allocato, in cui potrebbero risiedere file riservati, utilizza l’opzione -c per pulire questo spazio senza influenzare i file esistenti. Specificare una lettera di unità con questo parametro. Ad esempio, per pulire lo spazio libero sull’unità F:, digitare quanto segue:
sdelete -c f:
Sulle unità più grandi con molto spazio libero, SDelete potrebbe richiedere molto tempo per completare l’attività di pulizia. Il tempo richiesto varia in base alla velocità di guida ma anche l’aggiunta di più passaggi al comando aumenta il tempo. La pulizia dello spazio libero aiuta a garantire che i file crittografati, compressi ed eliminati siano irrecuperabili.
Zero spazio libero
Il parametro -z azzera lo spazio libero su un disco. Ciò è utile sui dischi virtuali in cui lo spazio inutilizzato non può necessariamente essere recuperato dal software di virtualizzazione. Azzerando lo spazio inutilizzato, SDelete aiuta il software di virtualizzazione a capire che lo spazio può essere recuperato. Questo passaggio riduce i dischi virtuali a una dimensione che contiene solo dati reali anziché spazio inutilizzato (sprecato).
Impostare il numero di passaggi
SDelete può effettuare più passaggi di file, riducendo significativamente la probabilità di recupero da parte di utilità forensi avanzate. Utilizzare l’opzione -p per impostare il numero di passaggi. Questo perché ogni passaggio scrive caratteri casuali nello spazio e ha un’impostazione predefinita se non si specifica il parametro -p. Specificare più di cinque passaggi è raro; probabilmente sono sufficienti da uno a tre passaggi.