Oto koszmar każdego użytkownika komputera: bez żadnego uprzedzenia urządzenie przestaje rozpoznawać dysk twardy. Jeżeli od dawna odkładaliśmy aktualizację kopii zapasowej na jutro albo przygotowany backup okazuje się niekompletny, najczęściej musimy pogodzić się z utratą bezcennych
prywatnych zdjęć, kupionych za ciężkie pieniądze plików muzycznych czy ważnych dokumentów. Kiedy bowiem system w ogóle nie dostrzega, że nośnik jest podłączony, nie możemy liczyć na jakiekolwiek oprogramowanie do odzyskiwania danych. To, co dla zwykłych śmiertelników oznacza katastrofę, dla zawodowców wyspecjalizowanych w odtwarzaniu utraconych danych jest po prostu kolejnym przypadkiem. W sterylnych laboratoriach dysponują oni arsenałem narzędzi i części zamiennych pozwalającym przeprowadzać operacje na trzewiach dysków magnetycznych czy rozkładać nośniki półprzewodnikowe na pojedyncze moduły pamięci. Dzięki takim metodom często udaje się odczytać uwięzione informacje i ponownie połączyć je w kompletne pliki.
Aby spotkać się z tymi cyfrowymi chirurgami i podejrzeć ich przy pracy, udaliśmy się do niemieckiego Böblingen, gdzie znajduje się filia międzynarodowej firmy Kroll Ontrack – uznanego specjalisty w dziedzinie odzyskiwania danych. Kierownik do spraw logistyki i zakupów Stefan Heib każdego dnia przyjmuje od 20 do 30 nowych zleceń. “Spektrum problemów, z jakimi mamy do czynienia, obejmuje wszystko: od przypadkowo sformatowanych pendrive’ów do zalanych szaf serwerowych” – opowiada. Technicy firmy umożliwiają ponowne odczytanie zawartości nośników pamięci i tworzą jej idealną kopię. Później ich koledzy z działu odtwarzania danych wyodrębniają z niej pojedyncze pliki. Choć niektóre przypadki wydają się beznadziejne, w 90 proc. zdarzeń udaje się przygotować dla klienta nowy dysk z odtworzonymi danymi.
Każda sprawa dla ratowników danych rozpoczyna się od mniej lub bardziej spektakularnej katastrofy. Nośniki należące do prywatnych użytkowników często ulegają uszkodzeniom w wyniku nieszczęśliwego wypadku. Do typowych przypadków należą zewnętrzne dyski po upadku w trakcie pracy czy nie dość delikatnie traktowane notebooki. Wstrząs powoduje zderzenie głowic z wirującymi talerzami dyskowymi – w normalnych warunkach te elementy dysku dzieli zaledwie kilka nanometrów. W trakcie kolizji głowice żłobią rysy na delikatnych powierzchniach magnetycznych, a niekiedy same zostają fizycznie uszkodzone. “Kiedy zniszczeniu ulegają fabrycznie naniesione ścieżki i sektory prowadzące, po wypadku głowice tracą orientację i nie są w stanie określić położenia talerzy względem siebie” – tłumaczy Martin Hiller, kierownik cleanroomu, czyli pomieszczenia czystego – laboratorium z kontrolowaną atmosferą.
Fizyczne uszkodzenia: dysk twardy “klika”
W takim przypadku podczas rozruchu dysku słychać regularne kliknięcia – to odgłosy ruchu ramienia głowic, które daremnie usiłują odnaleźć właściwą pozycję wyjściową. Urządzenie zgłasza systemowi brak gotowości i nie jest przez niego rozpoznawane. Może tu pomóc jedynie laboratorium odzyskiwania danych – przed przekazaniem napędu specjalistom należy niezwłocznie odłączyć go od zasilania, uważając, by nie narazić go na kolejne wstrząsy. W przypadku dysku wewnętrznego można jeszcze spróbować następującego sposobu: wyłączmy komputer i odłączmy od dysku kabel zasilający oraz kabel do transmisji danych. Odczekajmy kilka minut, po czym włączmy komputer. Dopiero podczas jego pracy podłączmy do dysku (szerszą) wtyczkę kabla zasilającego i posłuchajmy, czy nadal wydaje on z siebie znajome rytmiczne kliknięcia. Jeśli nie, podłączmy również węższą wtyczkę kabla transmisyjnego – przy odrobinie szczęścia komputer rozpozna dysk, dając nam szansę skopiowania danych na inny nośnik. Jeśli próba skończy się niepowodzeniem, natychmiast odłączmy dysk od prądu. Moduły pamięci nośników SSD, kluczy USB, smartfonów czy tabletów, które trafiają do laboratorium Kroll Ontrack z powodu uszkodzeń mechanicznych, często są nienaruszone – nie działa tylko zawierające je urządzenie bądź połączony z nimi interfejs. Wówczas ratownicy danych starają się przeprowadzić naprawy niezbędne do tego, żeby móc przynajmniej uzyskać dostęp do plików.
Błędy logiczne: utrata danych
Do Kroll Ontrack trafia również wiele nośników, które od strony sprzętowej są w idealnym stanie. Są one także prawidłowo wyświetlane w menedżerze plików Windows – a jednak nie da się odnaleźć danych zapisanych w ich pamięci, na przykład z powodu błędu systemu plików bądź skasowania czy sformatowania partycji. “W takich sytuacjach trzeba przede wszystkim zapobiec jakimkolwiek operacjom zapisu danych na dysku, gdyż w ich wyniku mogą zostać nadpisane dane, które, choć niewidoczne, nadal znajdują się w jego pamięci” – wyjaśnia Martin Hiller. Gdy chodzi o dysk zawierający partycję systemową, zamontujmy go w innym komputerze bądź w zewnętrznej obudowie i spróbujmy odzyskać dane za pomocą jednego z programów przeznaczonych do tego celu. Jeśli się nie uda, trzeba powierzyć dysk specjalistom.
Cleanroom: operacja na otwartym dysku
Każdy nośnik na początek zostaje podłączony do stacji kopiującej. To komputer wyposażony w szereg kontrolerów i złączy – również do nietypowych bądź bardzo starych urządzeń. Oprogramowanie, którego autorami są firmowi informatycy, komunikuje się bezpośrednio z nośnikiem pamięci, umożliwiając stworzenie obrazu jego zawartości nawet wówczas, kiedy nie jest on rozpoznawany przez Windows z powodu błędu kontrolera bądź oprogramowania. Kiedy zostają zaobserwowane symptomy awarii sprzętowej, na przykład typu headcrash, czyli związanej z uszkodzeniem talerzy przez głowicę, nośnik trafi a do cleanroomu. Na pierwszy rzut oka cleanroom firmy Kroll Ontrack nie różni się od zwykłego laboratorium, jednak zastosowane materiały oraz system wentylacyjny eliminują z powietrza niemal wszystkie drobiny kurzu. W takim otoczeniu technicy mogą bezpiecznie otwierać obudowy dysków twardych i uruchamiać je, co w innych warunkach niemal na pewno bezpowrotnie zniszczyłoby każdy napęd.
“Widoczne wówczas ruchy głowicy mogą wskazywać, gdzie leży problem” – tłumaczy Martin Hiller. Po zdiagnozowaniu defektu głowic, silnika czy kontrolera technicy sięgają do przepastnego zbioru części zamiennych – tylko oddział w Böblingen dysponuje 20 000 elementów dysków różnych producentów. Jak wyjaśnia Martin Hiller, “części zamienne muszą pochodzić z dokładnie tego samego modelu dysku, gdyż wytwórcy często wprowadzają drobne modyfikacje w kolejnych partiach produkcyjnych”. Sam montaż części to jeszcze nie wszystko – zdarza się na przykład, że choć ramię głowic zasadniczo pasuje, same głowice są lekko przesunięte w stosunku do oryginalnych. Widać to dopiero pod mikroskopem. Takie różnice koryguje się, wprowadzając zmiany w oprogramowaniu używanym do odczytu danych. Stosując wspomniane metody, udaje się doprowadzić niemal każdy dysk do stanu umożliwiającego przynajmniej odczytanie za pomocą stacji kopiującej danych z nieuszkodzonych sektorów.
Pamięć flash: problematyczne szyfrowanie
Dyski SSD stawiają przed ratownikami danych inne wyzwania niż dyski magnetyczne. Są one bardziej wytrzymałe na uszkodzenia, gdyż nie zawierają ruchomych części, a ponadto zapisane na nich dane są przechowywane w osobnych układach pamięci, które Martin Hiller i jego koledzy mogą pojedynczo zdejmować z płytki drukowanej i odczytywać, kiedy odmówi posłuszeństwa kontroler. Wyodrębnienie
z odczytanych danych poszczególnych plików może jednak okazać się trudną sztuką. “Wprawdzie w 99 proc. przypadków potrafi my odczytać surowe dane, jednak kiedy dysk SSD jest wyposażony w funkcję sprzętowego szyfrowania, zaś używany do tego klucz jest zaszyty w uszkodzonym kontrolerze, w zasadzie nie da się przekształcić ich na powrót w oryginalne pliki” – mówi Hiller. Z tego względu, zanim wyślemy nasz dysk SSD do specjalistów, zadzwońmy do nich i upewnijmy się, że w przypadku tego konkretnego modelu istnieją szanse odtworzenia utraconych danych. Ratownicy danych są w stanie w relatywnie łatwy sposób odczytać dane z pamięci smartfonów z Androidem oraz starszych urządzeń z iOS-em. W iPhonie 4S i jego następcach, iPadzie 2 czy urządzeniach z Androidem z aktywną funkcją szyfrowania nie da się jednak uzyskać dostępu do pamięci bez działającego oprogramowania systemowego. Również karty microSD sprawiają wiele kłopotów z racji zminiaturyzowanej konstrukcji. Z tego względu lepiej regularnie tworzyć kopie zapasowe ważnych plików przechowywanych na nośnikach tego typu.
Odtwarzanie danych jak układanie puzzli
Umożliwienie odczytania zawartości nośnika to jedynie pierwszy krok do odtworzenia cennych informacji. Ze strumienia surowych danych trzeba jeszcze wyodrębnić poszczególne pliki. W tym celu inżynierowie Kroll Ontrack z działu odtwarzania danych tworzą dokładny obraz pamięci danego nośnika, zawierający wszystko, co udało się z niego odczytać. W przypadku typowych dysków z popularnym systemem plików dość łatwo jest podzielić go na pojedyczne elementy. Większe wyzwanie stanowią dyski SSD z uszkodzonymi kontrolerami – tu technicy muszą odczytać zawartość każdego układu pamięci z osobna (gdyż podobnie jak w macierzach RAID pliki są rozdzielone między wiele lokalizacji) i na powrót złożyć z nich poprawną całość. Pracując z dyskami SSD z funkcją szyfrowania
sprzętowego, ratownicy danych nie byliby w stanie wykonywać swoich zadań bez pomocy ich producentów.
Praca inżyniera odtwarzania danych staje się jednak naprawdę skomplikowana dopiero wówczas, kiedy musi on zmierzyć się z warstwową strukturą systemów wirtualnych, jakie często wykorzystuje się w zastosowaniach profesjonalnych. Zdarza się na przykład, że trzeba odzyskać zawartość bazy danych działającej w systemie wirtualnym, który jest zapisany w pliku kontenera w systemie plików rozproszonym na wielu nośnikach tworzących macierz RAID. Błędy sprzętowe i logiczne przenikają wówczas przez wszystkie kolejne warstwy. “Podobnie jak składając matrioszkę, w takich sytuacjach trzeba korygować warstwę po warstwie, żeby na koniec dotrzeć do właściwych danych” – mówi Holger Engelland, kierownik laboratorium odtwarzania danych.
Utrata danych: zawodowcom też zdarzają się błędy
Największe zlecenia trafiają do firmy Kroll Ontrack od centrów obliczeniowych, w których jakiekolwiek ryzyko utraty danych wydawałoby się nie do pomyślenia. “Nawet administratorzy popełniają błędy podczas obsługi systemów” – mówi Engelland. Jedno fałszywe kliknięcie, a terabajty archiwów poczty elektronicznej, danych klientów czy wyników badań znikają w niebycie. Zdarzają się też nieprzewidywalne katastrofy: “Jednym z naszych najpoważniejszych przypadków było centrum obliczeniowe, w którym pożar aktywował system tryskaczowy, doprowadzając do zalania licznych szaf serwerowych i napędów taśmowych służących do archiwizacji danych”. W laboratorium w Böblingen skonstruowano wówczas specjalną maszynę oczyszczającą i odczytującą taśmy magnetyczne. Specjaliści radzą sobie również z innymi spektakularnymi klęskami: firma Kroll Ontrack odtworzyła m.in. wyniki badań z dysku odnalezionego wśród zwęglonych szczątków amerykańskiego wahadłowca Columbia.
Więcej problemów nastręcza często przywracanie skasowanych plików, które zostały nadpisane nowymi danymi – nierzadko w takich przypadkach nie da się już nic zrobić. Właśnie dlatego tak ważne jest, żeby nie zapisywać żadnych danych na nośniku zawierającym skasowane pliki. Niezależnie od zakresu i poziomu trudności zlecenia Kroll Ontrack traktuje każdy przypadek w podobny sposób: klient zgłasza się przez telefon bądź stronę internetową i ustala się, czy problem zostanie rozwiązany po przysłaniu nośnika do laboratorium, zdalnie czy też na miejscu przez mobilny zespół specjalistów. Ta ostatnia opcja wchodzi w grę, kiedy zleceniodawcy zależy na bezwarunkowym zachowaniu poufności danych. Diagnostyka nośnika danych przesłanego do firmy kosztuje kilkaset złotych – za tę cenę klient otrzymuje szczegółową listę plików, które da się odzyskać. Jeśli zdecyduje się na usługę, ratownicy kopiują pliki na zaszyfrowany dysk zewnętrzny i przesyłają go na wskazany adres. Za taką usługę, obejmującą również montaż części zamiennych i inne nieprzewidziane działania, często trzeba zapłacić nawet kilka tysięcy złotych. Naprawdę cenne dane są jednak tego warte.