Poszukiwacze zaginionych informacji

Katowice. Samo południe. Pomiędzy blokami sennego osiedla stoi niepozorny budynek. Kiedy do niego wchodzę, szarzyzna otoczenia znika, a ja znajduję się w samym środku fascynującego laboratorium. To siedziba firmy MediaRecovery. O swojej pracy opowiadają jej szefowie – ludzie, którzy nie tylko wiedzą, co robią, ale dodatkowo mają poczucie społecznej misji.
archiwum
22.05.2006|Przeczytasz w 5 minut

CHIP: Z jakich nośników odzyskujecie dane?

Przemysław Krejza:

Najczęściej trafiają do nas dyski twarde. To około 60% wszystkich nośników. Na drugim miejscu są płyty CD i DVD. Wyraźnie przybywa też pamięci flash.

CHIP: Co z innymi tradycyjnymi nośnikami?

P.K.:

Odzyskujemy też dane z dyskietek czy płyt CD-RW z nadpisanymi sesjami. Stare nośniki są mniej problematyczne niż te nowe, które wymagają specjalnego zaangażowania, np. MiniDisc – trzeba w nim modyfikować firmware, aby się dostać do danych.

CHIP: Jak wygląda odzyskiwanie danych z nośników takich jak Blu-ray czy HD DVD?

P.K.:

To trudny temat. Staramy się rozwijać również w tym kierunku, jednak nasze działania zawsze weryfikuje rynek. Na razie nie dostajemy w ogóle zleceń tego typu, ale współpracujemy z dużymi firmami (np. ICS), które zajmują się badaniami nad nowymi formatami zapisu informacji, i zawsze możemy mieć od nich pomoc.

CHIP: Jakiego typu uszkodzenie jest najczęstszą przyczyną awarii dysku twardego?

P.K.:

Jeśli chodzi o odzyskiwanie danych, są to wypadki dość typowe: uszkodzenie samoistne nośnika – np. w wyniku prostego zużycia. Zdarzają się też różne ciekawe sprawy – dostajemy dyski zalane lub takie, które wypadły komuś z rąk… W informatyce śledczej częściej dostajemy “twardziele”, które ktoś celowo chciał zniszczyć, więc dostarcza się nam nośniki uderzone np. młotkiem. Pamiętajmy też, że policja najczęściej działa poprzez zajęcie. Do pomieszczenia, w którym przechowywane są komputery z obciążającymi danymi, wchodzi grupa policjantów – ich zadaniem jest skonfiskowanie maszyn. W obliczu takiej akcji wiele osób po prostu wyrzuca komputery przez okno.

Etapy pracy nad uszkodzonym dyskiem
  • -Dysku, który np. upadł, przede wszystkim nie wolno włączać. Upadek dysku może bowiem spowodować uszkodzenie niektórych elementów mechaniki, jak np. hamulce lub filtry. Takie drobne elementy po włączeniu dysku mogą nieodwracalnie uszkodzić powierzchnię nośnika.
  • W trakcie ekspertyzy takiego dysku trzeba go w pierwszej kolejności otworzyć w komorze laminarnej, która zapewnia bezpieczne pod względem czystości środowisko pracy. Otwarcie dysku pozwala wyeliminować niebezpieczeństwo tzw. crashu, czyli uszkodzenia głowicy.
  • Kolejne czynności zmierzają do wykonania kopii dysku bit po bicie w celu dalszej obróbki software’owej. Odzyskiwanie danych z dysku twardego jest w uproszczeniu procesem naprawy. Ponieważ jest to urządzenie fizyczne, trzeba usunąć usterki w celu doprowadzenia go do stanu, który nazywamy gotowością. Stan ten pozwala na czytanie dysku sektor po sektorze bez interpretowania jego struktury logicznej za pomocą specjalnego oprogramowania.
  • Wszystkie działania koncentrują się przede wszystkim na pożądanych przez klienta danych. Koniec procesu to wygenerowanie listy plików możliwych do odzyskania. Po zamówieniu usługi klient otrzymuje swoje dane np. na DVD.

    • CHIP: Jak stare “twardziele” najczęściej trafiają do MediaRecovery?

    P.K.:

    Są to dyski dwu-trzyletnie od 20 GB w górę. Ale trzeba dodać, że zdarzają się również napędy 640-megabajtowe. Najmniejszy dysk, który ostatnio do nas trafił, to był 50 MB dysk SCSI z maszyny produkcyjnej. Nikt nie myślał o tym, że w niej w ogóle był dysk z zainstalowanym systemem operacyjnym.

    CHIP: Czy firma MediaRecovery odzyskuje dane z zaszyfrowanych partycji?

    P.K.:

    Tak, ale jest to trudne. Programy, które uniemożliwiają odczytanie danych bez klucza prywatnego, nie pozwalają na odtworzenie tych informacji bez jego znajomości. Najczęściej uszkodzony zostaje klucz, więc tych danych nie da się odzyskać. Szyfrowanie informacji zabezpiecza nas przed wyciekiem, ale w wypadku utraty klucza stanowi duży problem. Te dane da się odzyskać, ale nakłady czasu i pieniędzy są ogromne – nie wiem, czy są aż tak cenne informacje…

    CHIP: Co sądzicie o nowej technologii szyfrowania danych FDE (Full Disk Encryption)?

    P.K.:

    Stosują się do tego dokładnie te same zasady, o których mówilimy przed chwilą, choć doświadczenie podpowiada mi, że w wypadku szyfrowania “zaszytego” na dyskach twardych jest o wiele łatwiej. Metoda ta najprawdopodobniej bazuje na haśle, które też można znaleźć na dysku twardym.

    CHIP: Czy zdarza się Wam rezygnować z pewnych zleceń, ponieważ stwierdzacie, że “z tym dyskiem już nic się nie da zrobić”?

    P.K.:

    Nigdy nie odmawiamy – najpierw wykonujemy ekspertyzę. Zdarza się, że klient myśli, iż ma zaszyfrowany dysk, a tak naprawdę w obszarze MBR tego nośnika jest program, który prosi o hasło potrzebne do uruchomienia systemu.

    Sebastian Małycha:

    Oczywiście warunkiem jest to, że ktoś jest właścicielem tych danych. Dlatego w wypadku działań komercyjnych zawsze pytamy klienta, jakie dane z dysku chce odzyskać. Właściciel wie, co miał na dysku.

    CHIP: Z jakich nośników najtrudniej odzyskuje się dane?

    P.K.:

    Chyba z telefonów komórkowych, ponieważ jest wielu producentów i nie ma ujednoliconych standardów odnośnie do np. firmware’u. Trzeba się więc wyspecjalizować, rozpracowując każdy model z osobna. To trudne i czasochłonne.

    CHIP: Które elementy telefonu się sprawdza?

    P.K.:

    Pamięć flash, kartę SIM – i tutaj nie ma zbyt wielu problemów. Kłopotem może być dostęp do firmware’u. W informatyce śledczej często chcemy mieć dostęp do skasowanych SMS-ów. Robimy wtedy tzw. dump telefonu, czyli zrzut całej zawartości pamięci aparatu – tworzymy cyfrowy obraz pamięci i z tego dopiero odczytujemy dane.

    S.M.:

    Trzeba przyznać, że telefony coraz częściej są źródłem dowodów. Kiedyś w telefonie znaleźliśmy film obrazujący kradzież samochodu – złodzieje go nagrali jako trofeum, ale kiedy zabrano im komórki, nie byli już tak zadowoleni.

    Więcej:dyski twardemediarecoveryodzyskiwanie danych
    UdostępnijTwitter