Pátek 26.4. byl v paláci Cubex na Pražské Pankráci ve znamení inovací v oblasti záchrany dat z paměťových médií. 17. Konference Acelabu, která byla zaměřená na technologie v oblasti záchrany dat zmoderních HDD, mobilních telefonů, SSD disků, NAND flash pamětí či z APFS i šifrovaných partition, začala v 10 hodin, kdy přicházeli poslední účastníci konference a konferenční sál byl téměř zaplněn.
V úvodu moderátor zmínil historii společnosti Acelab, která sahá do roku 1992 a první produkt PC-2000 Tester, který byl v roce 1994 nahrazen řadou PC-3000. Takto jsou produkty Acelabu označovány dodnes a patří k ním například i nejnovější produkty PC-3000 PORTABLE III nebo PC-3000 MOBILE, které byly představeny na letošní konferenci.
Nová verze PC-3000 Portable
První ze tří částí konference se věnovala produktu PC-3000 Portable III. Jak z názvu produktu vyplývá, jedná se o řešení vhodné zejména pro řešení případů záchrany dat přímo u klientů. Možnost připojení až 3 SATA III disků dělá z tohoto výkonného zařízení ideální doplněk k PC-3000 Express, který ocení profesionálové v oblasti záchrany dat, ale i forenzní specialisté.
Byly prezentovány některé funkce zařízení a software Data Extractor.
Navazovala ukázka možností obnovy dat z nových řad pevných disků. Značka Western Digital a rodina disků s označením Palmer je jednou z aktualizací produktů PC-3000 pro HDD (Express, UDMA, Portable). Častý problém disků WD s ROM lze řešit přepájením ROM na PCB dárcovského disku, což však zvyšuje šanci, že záchrana nebude úspěšná kvůli zničení ROM při pájení. Aktuální produkty Acelabu však umožňují přešíst ROM Palmer disků přímo ze servisní oblasti disku a následně pomocí “special PCB” získat přístup k uživatelským datům.
V druhé polovině první části konference byl zmíněn častý problém disků značky Seagate s MediaCache a nová rozšíření pro práci s MediaCache v rámci update PC-3000 HDD (Express, UDMA, Portable), který je klientům Acelabu k dispozici ode dne konání konference.
Novinka z dílny Acelabu - PC-3000 MOBILE
Zajímavou novinkou je produkt PC-3000 MOBILE, který byl návštěvníkům prezentován v druhé části konference. Slova se ujal Roman Morozov a prezentace se zaměřila na Android zařízení s eMMC (obsahuje řadič + NAND) a eMCP (obsahuje řadič + NAND + RAM) chipy, se kterými je možné pracovat mimo jiné pomocí jednoho univerzálního adaptéru, do kterého se vkládají redukce na konkrétní chip. Odpadá tak potřeba používání řady různých adaptérů.
Nespornou výhodou PC-3000 MOBILE je však možnost (v některých případech) pracovat s poškozeným mobilním zařízením, aniž by bylo nutné využívat tzv. “Chip-off” metodu. PC-3000 mobile pracuje v těchto režimech:
- Pomocí standardního rozhraní zařízení, tedy USB
- JTAG pro částečně poškozená zařízení
- Chip-off, tedy přímé čtení z paměťového chipu
Souborový systém mobilních zařízení je odlišný od souborových systémů, jak je známe například z flash disků. Některá data jsou ukládána do databáze (kontakty, SMS, log telefonu...), jiná jako soubory. Zde přichází na řadu software PC-3000 MOBILE, který s využitím pokročilých funkcí dokáže data analyzovat a uložit je jako náhled, exportní formát nebo přímo jako soubory ve formátu známém každému uživateli chytrého telefonu, stejně jako ve formátu určenému k dalšímu forenznímu šetření.
UFS chipy, používané v současnosti ve vyšší třídě Android zařízení, budou dle informací od Acelabu v budoucnu používané i v dalších zařízeních. Jejich nespornou výhodou je výrazně vyšší rychlost, než jakou dokážou nabídnout eMMC a eMCP chip a je možné využívat vyšší kapacity chipu.
EZ NAND chipy používané ve starších Apple mobilních zařízeních (v. 6 a starší) a NVMe chipy používané v novějších Apple mobilních zařízeních (v. 6S a novější) byly zmíněny jen okrajově. Na webu Acelabu se můžeme dočíst, že podpora Apple zařízení je stále ještě v přípravě, takže o těchto zařízeních se dozvíme více nejspíš na některé další konferenci Acelabu. Stejně tak tomu bude s velkou pravděpodobností s UFS chipy. PC-3000 MOBILE je ostatně celkově stále ještě ve stádiu vývoje a první zmínky o tomto řešení Acelab prezentoval na konferenci již v roce 2017, takže nezbývá než doufat, že inženýři z Acelabu budou schopni produkt uvést do produkční verze v krátké době.
NAND Flash média
Další část konference patřila SSD diskům. V úvodu Alexander Leonenko zmínil komplexní problematiku řadičů Marvell, konkrétně se hovořilo o SSD discích značky SanDisk, které mají rozdílné technologické příkazy (technological commands), de facto pro každý model a inženýři Acelabu strávili více než 18 měsíců vývojem a integrací podpory pro disky Sandisk v produktech Acelab. Byla také zmíněna problematika obnovy dat SSD SanDisk v případě, kdy je potřeba číst NAND chip přímo a následně data rekonstruovat. Tento proces je velmi časově náročný a přispívá k tomu i malá velikost bloku moderních disků. Čtení SSD běžné kapacity pak může zabrat i desítky hodin a vyžaduje výkonný počítač. Stejný řadič a podobné technologické příkazy jsou v současnosti využívány také u některých disků značky WD, konkrétně u řady WD Blue.
V souvislosti se složitou záchranou dat z SSD disků SanDisk byla zmíněna i SLC cache, ve které je ve chvíli selhání SSD disku za běhu uloženo přibližně 10% dat, se kterými uživatel pracoval. SLC cache je podobná MEDIA cache u magnetických disků Seagate.
Po ukázce práce s klasickými SSD disky přišla řeč na NVMe SSD disky. Z pohledu záchrany dat se jedná nejen o jiné rozhraní, ale také o jiné komunikační protokoly a technologické příkazy, tedy de facto vývoj a integraci podpory pro tyto disky do současného PC-3000 SSD řešení.
APPLE HFS+, APFS, Fusion Dive, rekonstrukce virtuálních disků
Po krátké přestávce na oběd konference pokračovala dalšími zajímavými tématy. Prezentace se ujal Alexander Leonenko. Třetí a závěrečná část konference se zaměřila na APFS (Apple File System), respektive Apple Fusion Drive s HFS+ a nově též s APFS. S těmito tématy úzce souvisejí způsoby šifrování a metody obnovy dat z poškozených šifrovaných souborových systémů od Apple. Dále byly vysvětleny nové postupy obnovy dat ze smazaných virtuálních disků a též obnovy dat z poškozených Windows souborových systémů šifrovaných Bitlockerem.
APFS je nový souborový systém vyvinutý společností Apple a je primárně optimalizovaný pro Flash paměťová média a SSD disky. Přichází též s novým způsobem šifrování dat a tím i novými výzvami v oblasti záchrany dat.
Doposud využívaná metoda u Apple zařízení, kdy se ke stávajícímu souborovému systému HFS+ přidává další vrstva - Filevault 2, byla nahrazena či lépe řečeno doplněna o šifrování dat již na úrovni souborového systému APFS.
V den konání konference jsou Acelabem uvolněny nové aktualizace, kde je již zahrnuta podpora APFS. APFS partition nyní bude možné vyhledat v software Data Extractor. Ke stávající podpoře encryptování, pomocí Filevault, Bitlockeru a Truecryptu, přibyla také podpora APFS.
Fusion Drive je hybridní svazek složený ze dvou disků (SSD a klasický HDD), který disponuje kapacitou obou disků. Z pohledu uživatele se jedná o jeden disk. Hlavní výhodou tohoto řešení je významné urychlení přístupu k často používaným datům, která jsou automaticky přesunuta na SSD část svazku. První verze Fusion Drive byla společností Apple představena v roce 2012.
S nástupem APFS přicházejí změny i ve způsobu použití disků v rámci Fusion Drive. Jak bylo řečeno výše, APFS je optimalizovaný primárně pro použití s SSD disky, od verze macOS 10.14 Mojave je možné APFS využít i v rámci Fusion Drive, tedy v kombinaci SSD + HDD. APFS Fusion Drive pracuje jiným způsobem s metadaty na obou discích souborového systému a s obsahem souborů, což přináší i nutné změny v oblasti záchrany dat.
Podpora APFS Fusion Drive je rovněž zahrnuta v dnes uvolněné aktualizaci software Data Extractor. Je však nutné vlastnit licenci na Data Extractor Raid Edition.
Rekonstrukce smazaných virtuálních disků, když jsou data virtuálního disku fragmentovaná
Jednou ze zajímavých a užitečných novinek v oblasti záchrany dat z paměťových médií je další, do Data Extraktoru implementovaný, postup rekonstrukce smazaného/ztraceného virtuálního disku.
Standardní metoda obnovení virtuálního disku (pokud jsou ztracena metadata o pozici virtuálního disku) je použití RAW. Problém ale nastává ve chvíli, kdy data virtuálního disku jsou fragmentovaná. Pro tyto případy Acelab implementoval další postupy, které mohou významně ušetřit práci odborníkům v oblasti záchrany dat. Nově přidané postupy umožní automaticky vyhledat a použít jednoznačné výsledky RAW a jejich pomocí zrekonstruovat mapu virtuálního disku. Nová funkce k tomu využívá detekce jpg, jpeg, png, rar, zip, doc, docx, xls a xlsx souborů.
Jak Alexander Leonenko na konferenci zmínil, tato metoda nemusí být použitelná vždy. Pokud například virtuální disk obsahuje specifické a méně obvyklé soubory, metoda nebude fungovat, jelikož k rekonstrukci využívá detekce výše uvedených souborů.
Nový způsob obnovy dat z partitions encryptovaných Bitlockerem
Závěrečná část konference se věnovala obnově dat z nedostupných partition, které jsou zašifrované Bitlockerem. Bitlocker ukládá meta informace na začátku partition v nešifrované podobě a ty se dají využít k identifikaci partition a jejímu vyhledání pomocí RAW. Tato funkce byla též nově implementována do software Data Extractor a je k dispozici v rámci v den konference uvolněných aktualizací. Mimo samotné vyhledání partition byla přidána i funkce dešifrování AES-XTS přímo v rámci Data Extractoru. Tato funkce samozřejmě není nezbytně nutná, ale v některých případech, kdy například zákazník na záchranu spěchá, může být užitečná.
Na závěr tombola
Po ukončení konference čekalo na účastníky ještě zpestření v podobě tomboly. Hlavní výhrou byl elektronický mikroskop.
Konference byla jistě, nejen pro nás, velmi přínosným zdrojem nových informací a nových obchodních kontaktů. Děkujeme všem z Acelabu, kteří se na konferenci podíleli a těšíme se v roce 2020 na další setkání!
- Základní údaje
- By Frantisek Fridrich
- Blog