Informatyka śledcza
|
Na zlecenie korporacji oraz instytucji państwowych (policji, ABW) specjaliści z Kroll Ontrack badają przypadki wycieku poufnych danych, szpiegostwa przemysłowego oraz celowego kasowania danych (które często odzyskują). W wyniku prowadzonych śledztw pracownicy laboratorium dostarczają dowodów oraz wskazują winnych. Do najgłośniejszych śledztw, w których brali udział eksperci Ontrack, należy sprawa dysków twardych byłej minister Jakubowskiej, które próbowano wyczyścić w celu zniszczenia potencjalnych dowodów w aferze Lwa Rywina.
|
Z badań firmy Kroll Ontrack wynika, że najczęściej tracimy dane z dysków twardych (95 proc. przypadków), znacznie rzadziej z wykorzystywanych przez firmy i instytucje nośników taśmowych (4 proc.), a sporadycznie (1 proc. przypadków) z innych nośników danych, głównie z pamięci flash. Aż 60 proc. przypadków utraty danych wynika z mechanicznego uszkodzenia nośnika. Pozostałe 40 proc. to błędy logiczne, np. przypadkowe usunięcie plików lub ich zniszczenie, spowodowane nieprawidłowym działaniem aplikacji lub złośliwym oprogramowaniem.
Rozpoznanie problemu
Proces odzyskania danych, zarówno utraconych w wyniku nieumyślnego skasowania, jak i uszkodzenia nośnika, zaczyna się już w momencie kontaktu klienta z firmą odzyskującą pliki. Specjaliści z firmy Kroll Ontrack, którzy odzyskują dane w specjalnym laboratorium w Katowicach, już podczas pierwszej telefonicznej rozmowy starają się uzyskać od klienta dane o rodzaju oraz modelu nośnika, na którym się one znajdują. Chcą się też dowiedzieć, jaki format miały utracone pliki oraz w jakim systemie operacyjnym działa nośnik.
Dzięki tym informacjom potrafią wstępnie zdiagnozować problem, co skraca czas potrzebny
na odzyskanie danych. Jeśli na przykład wszystko wskazuje na to, że awaria wynika z fizycznego uszkodzenia dysku twardego, pracownicy laboratorium mogą zamówić części zamienne do konkretnego modelu, zanim nośnik trafi w ich ręce. Niejednokrotnie w czasie rozmowy ekspert potrafi wykluczyć poważne uszkodzenie nośnika i może wtedy doradzić klientowi, aby spróbował samodzielnie odzyskać dane za pomocą programów typu data recovery.
Specjaliści udzielają też klientowi wskazówek, jak postępować z uszkodzonym dyskiem i jak go zabezpieczyć na czas transportu.
Laboratorium Kroll Ontrack
|
Uruchomione w listopadzie ubiegłego roku katowickie laboratorium odzyskiwania danych i informatyki śledczej jest jednym z 17 tego typu ośrodków firmy Kroll Ontrack i jednocześnie największym w Europie Środkowej i Wschodniej. Na wyposażenie laboratorium składa się m.in. mikroskop stereoskopowy (ułatwia pracę na małych podzespołach dysków twardych) oraz komora laminarna (służy do pracy nad rozmontowanym dyskiem), która zapewnia klasę 100 czystości powietrza – w 30,5 cm3 znajduje się maksymalnie 100 pyłków o średnicy nieprzekraczającej 0,5 μm. W laboratorium wykorzystano specjalne wykładziny i meble niwelujące efekty elektrostatyczne (przeskok iskry), które mogłyby uszkodzić naprawiane dyski twarde. Do laboratorium codziennie trafiają uszkodzone nośniki danych (głównie dyski twarde). Miesięcznie specjaliści rozwiązują 800 przypadków utraty danych.
|
Operacja na otwartym dysku
Gdy uszkodzony nośnik trafia do laboratorium, ekspert sprawdza, czy uszkodzenie jest mechaniczne czy logiczne, oraz określa skalę usterki. Na tej podstawie może ustalić, ile czasu zajmie odzyskanie danych. Jeśli dysk ma mechaniczne uszkodzenie, najpierw jest ono usuwane.
Ponieważ dyski twarde są produkowane w sterylnym środowisku, podobne warunki muszą panować podczas ich naprawy. Szacuje się, że praca na otwartym dysku w nieodpowiednich warunkach skraca jego żywotność od 100 do 10 000 razy. Dlatego, gdy zachodzi konieczność rozhermetyzowania obudowy urządzenia i ingerencji w miejscach, gdzie znajdują się m.in. głowica i talerze magnetyczne dysku, nośnik umieszcza się w komorze laminarnej. Jej wnętrze jest sterylne, dzięki wyjałowieniu powietrza za pomocą specjalnych filtrów usuwających zanieczyszczenia.
Pracownik laboratorium usuwa usterkę mechaniczną – reguluje głowice, kalibruje talerze magnetyczne, a w razie konieczności wymienia uszkodzone części dysku. Specjalista operuje narzędziami, na których nie gromadzą się ładunki elektryczne. Zapobiega to przeskokowi iskry, która mogłaby uszkodzić elektronikę dysku. Ponieważ niektóre elementy dysków twardych są bardzo małe, do precyzyjnego operowania nimi jest wykorzystywany mikroskop stereoskopowy, który zapewnia przestrzenne widzenie powiększanego obrazu. Wymiana uszkodzonych elementów układów elektronicznych dysku nie wymaga ingerencji w hermetycznie zamkniętą część urządzenia i może być wykonana poza komorą laminarną.
Dane odzyskane
Gdy mechaniczna usterka nośnika zostanie już usunięta, a dysk twardy zaczyna odzyskiwać sprawność działania, pracownicy laboratorium tworzą kopię zawartości nośnika. Specjalny program kopiuje z oryginalnego nośnika komplet danych, włącznie z zawartością zapasowych sektorów i bitów kontrolnych. Jednocześnie urządzenie o nazwie write blocker pilnuje, aby podczas kopiowania nie doszło do żadnych zmian na oryginalnym nośniku.
Jak postępować w razie awarii dysku twardego
|
Specjaliści odzyskiwania danych potrafią odczytać pliki nawet ze spalonych lub zalanych wodą nośników. Jednak aż w 30 proc. przypadków nie można odzyskać danych z winy użytkownika.
Oto kilka reguł postępowania w wypadku utraty danych lub awarii dysku:
- NIE WYMIENIAJ
Uszkodzonych części dysku twardego nie powinno się wymieniać na własną rękę. Otwarcie hermetycznie zamkniętej obudowy może jedynie zwiększyć uszkodzenia dysku. Nawet w przypadku właściwego zainstalowania elementów dysk nie będzie działał poprawnie, ponieważ niektóre jego części trzeba odpowiednio zaprogramować.
- NIE POTRZĄSAJ
Jeśli istnieje podejrzenie, że dysk twardy nie pracuje z powodu zablokowania głowicy, nie wolno nim potrząsać ani uderzać, starając się „odblokować” głowicę. Te czynności, zamiast naprawić nośnik, mogą spowodować porysowanie talerzy dysku przez głowicę.
- NIE NAGRZEWAJ
Gdy dysk twardy zostanie zalany wodą, nie należy go suszyć, np. suszarką, gdyż wysoka temperatura może jedynie powiększyć uszkodzenia. Zalany płynem dysk trzeba jak najszybciej przekazać specjalistom.
- NIE DEFRAGMENTUJ
W sytuacji, gdy zapisanych na dysku danych nie można odczytać, część użytkowników próbuje naprawić usterkę, uruchamiając defragmentator dysku. Jeżeli dysk twardy jest uszkodzony mechanicznie, zmuszanie urządzenia do wytężonej pracy przez uruchomienie defragmentatora może jedynie powiększyć uszkodzenia.
|
Od tego momentu wszystkie operacje związane z odzyskiwaniem danych są przeprowadzane na utworzonej kopii, a nie na oryginalnym dysku. Do przechowywania kopii nośników jest przeznaczonych 35 terabajtów przestrzeni dyskowej, która cały czas jest powiększana.
Operując na kopii, eksperci tworzą listę plików, które można odzyskać. Lista wraz z kosztem usługi odzyskiwania danych jest przedstawiana do akceptacji klientowi. Średni koszt takiej usługi w najczęstszych przypadkach wynosi od 2 do 4 tysięcy złotych.
Do odzyskania danych wykorzystuje się wyłącznie rozwiązania programowe – pracownicy laboratorium firmy Ontrack mają do dyspozycji ponad 300 aplikacji typu data recovery. Sam proces jest w ogromnej części zautomatyzowany. Wszystkie pliki, które uda się odzyskać, oraz oryginalny nośnik trafiają do klienta. Natomiast kopie odzyskanych danych są przechowywane w laboratoryjnych archiwach na wypadek, gdyby zaistniała konieczność powtórnego odzyskania tych samych informacji. Po upływie trzydziestu dni od momentu odzyskania utraconych przez klienta danych dane są kasowane, a klient otrzymuje od odzyskującej materiały firmy Kroll Ontrack certyfikat zapewniający o bezpowrotnym usunięciu plików z jej archiwum.