La permanenza dei dati si riferisce agli aspetti fisici dei dati che possono rimanere su un dispositivo di archiviazione, come un disco floppy o un disco rigido, dopo che i dati sono stati cancellati o cancellati. Ciò si verifica in genere perché i metodi standard con cui i dati vengono eliminati da un’unità raramente sono efficaci quanto gli utenti potrebbero pensare. Sono stati utilizzati numerosi metodi per eliminare questo tipo di dati, tra cui la cancellazione, l’eliminazione e la distruzione dei dispositivi di archiviazione dei dati. La rimanenza dei dati viene spesso rilevata tramite l’informatica forense per individuare e ricreare file o altri tipi di dati che potrebbero essere stati eliminati da un dispositivo.
La formazione della rimanenza dei dati si verifica in genere a causa del modo in cui il software del computer “elimina” i dati da un disco o disco rigido. Quando un utente dice a un sistema operativo (OS) di cancellare un file, quel file viene in genere spostato dall’uso attivo a un sistema di backup. Questo viene fatto, almeno temporaneamente, per facilitare il recupero dei dati se l’utente si rende conto che è stata effettuata una cancellazione per errore e ha bisogno di accedere a un file cancellato.
Anche quando i dati vengono effettivamente “cancellati”, in genere non vengono realmente rimossi dal disco rigido. Invece, il sistema operativo elimina semplicemente la voce relativa alla posizione di quei dati dal suo database o directory. Ciò significa che i dati “cancellati” rimangono ancora sul disco rigido, fino a quando quella posizione non viene riutilizzata dal sistema operativo per l’archiviazione di nuovi dati, a quel punto viene sovrascritta. Anche questi dati sovrascritti non sono necessariamente scomparsi del tutto.
Esistono tre metodi comuni utilizzati per distruggere la rimanenza dei dati e garantire che le informazioni cancellate siano difficili o impossibili da recuperare. Il clearing si riferisce al processo di sovrascrittura regolamentata dei dati cancellati, spesso con una stringa di zeri, per garantire che l’accesso ai dati tramite software di base sia più o meno impossibile. L’eliminazione va oltre la cancellazione e fa in modo che la rimanenza dei dati lasciati su un disco non sia facilmente accessibile anche accedendo direttamente a un disco rigido e utilizzando il software di ripristino per trovare i dati rimanenti sul disco. Questo di solito comporta l’utilizzo di un dispositivo che smagnetizza il supporto fisico, influenzando il campo magnetico dell’unità disco.
La distruzione è il modo più sicuro per eliminare qualsiasi residuo di dati su un dispositivo e comporta la distruzione fisica del disco rigido o del disco. Questo può essere fatto smontando fisicamente il dispositivo e distruggendo ogni pezzo, fondendo il dispositivo a fuoco vivo o usando acidi e altri prodotti chimici corrosivi per distruggerlo. Il campo dell’informatica forense utilizza in genere la rimanenza dei dati su un disco o un disco rigido per trovare i dati che un utente ha tentato di eliminare. Vari metodi di laboratorio e programmi software possono essere utilizzati per accedere ai dati che vengono cancellati, sebbene i dati eliminati e distrutti siano molto più difficili, forse impossibili, da accedere.