Setkání odborníků na záchranu dat a forenzních specialistů se tentokrát uskutečnilo ve městě Málaga ve Španělsku. Zvolené místo a slunný podzim jihu Evropy se ukázaly jako ideální pro prezentaci špičkových technologií lídra v oblasti záchrany dat a následný relax účastníků v malebných ulicích historického města. Rok 2023 přinesl řadu nových informací z oblasti technologií pevných disků, SSD, diskových polí, paměťových karet a flash disků. Nové místo, upravený koncept, networking, workshopy a celá škála nových informací a důležitých podnětů. Takto by se daly shrnout čtyři dny konference.
V portfoliu nechyběly ani mobilní telefony, respektive obnova dat z mobilních telefonů. Avšak ty se dostávají v portfoliu Acelabu pro většinu specialistů na záchranu dat do ústraní.
Záchrana dat s produkty PC-3000 již 29 let
Acelab se vývoji specializovaných nástrojů na záchranu dat a forenzní analýzu věnuje již 31 let, zatímco produkty PC-3000 z dílny Acelab zachraňují data již 29 let. Na začátku byly pevné disky, a ty jsou nejčastěji v péči specialistů na záchranu dat i v roce 2023. Mohlo by se zdát, že SSD by již měly v této oblasti dominovat, ale není tomu tak. Nicméně významný podíl mají. Svět SSD je v těchto souvislostech jiný, než tomu je u pevných disků (HDD). Menšinový, ale nikoli bezvýznamný podíl v oblasti záchrany dat náleží diskovým polím, paměťovým kartám, flash diskům a ostatním datovým úložištím.
Není tak divu, že velká část konference byla i tentokrát věnována pevným diskům. Většina současných pevných disků využívá šindelový zápis (SMR - Shingled Magnetic Recording), má uzamčený přístup k servisním datům a využívá pokročilé funkce správy dat. Výrobci tyto technologie stále upravují, a tím ovlivňují i možnosti obnovy dat z disku, pokud nastane nějaký problém. V dalších částech konference se účastníci seznámili s novinkami v oblasti záchrany dat z RAID, SSD, paměťových karet a flash disků.
Pevné disky a jejich záludnosti dnes a zítra
Dominantní postavení na trhu pevných disků zaujímají firmy Seagate a Western Digital. Menší podíl drží značky Toshiba a Hitachi (HGST, která nyní spadá pod WD). Tím můžeme výčet ukončit, žádnou jinou firmu na tomto poli nenajdeme. Všechny před lety přistoupily k majoritnímu využití SMR (Shingled Magnetic Recording) technologie zápisu dat. Není tedy překvapením, že na záchranu dat se tyto disky dostávají stále častěji. SMR tvořilo jedno z klíčových témat konference.
Aby bylo možné s poškozeným diskem efektivně pracovat, je v první řadě nutné získat přístup k jeho servisním datům. Moderní disky tento přístup často blokují. Ačkoliv s technologiemi Acelabu je tento problém většinou řešitelný, na konferenci byla nastíněna možnost, že právě na této úrovni by se do budoucna mohly objevit komplikace. Bez přístupu do servisních dat není možné pracovat například s translátorem druhé úrovně (T2 - 2nd level translator) u disků WD nebo s Media Cache u disků Seagate. Tyto jsou pro správnou funkcni šindelového zápisu a čtení nezbytné.
S translatorem jsou svázané též záludnosti obnovy dat nedostupných z rozličných důvodů, kdy disk se zdá být funkční, ale data dostupná nejsou, respektive se disk jeví jako prázdný. Řešení těchto neduhů je do technologií Acelab postupně integrováno zhruba od roku 2019 a i letos byly oznámeny nové funkce. Jednou z nich je “Maps of translated and untranslated sectors in LBA and PBA spaces”, kterou využijeme při obnově dat z disků WD. Jak název napovídá, funkce analyzuje obsah servisních dat a pokusí se obnovit překlad mezi PBA a LBA.
Seagate SMR disky interně řeší zápis a čtení odlišně. MCMT (MediaCache Management Table) obsahuje pro SMR nezbytná metadata. Disky Seagate disponují oblastí s konvenčním zápisem (CMR), která slouží jako cache a disk interně následně zpracuje data způsobem, aby nezatěžoval a nebrzdil ani počítač, ani uživatele. Problém může nastat ve chvíli, kdy je datová plotna mechanicky poškozena nebo když dojde ke smazání dat či chybě MC. Při mechanickém poškození ploten může disk při sekvenčním čtení sám datové plotny víc a víc poškozovat. Pokud jsou data smazána, nebo pokud dojde k defektu MC, disk se může jevit jako prázdný. V takových případech mohou být užitečné nové prezentované funkce, které s obnovou dat z disků Seagate pomohou.
SED - Self Encrypted Drive - je technologie v oblasti běžných pevných disků spojována zejména se značkou WD. Najdeme ji však i u pevných disků jiných značek, jen ne tak hojně používanou. SED permanentně šifruje všechna data zapisovaná na pevný disk a nezatěžuje tím hardware počítače, stará se o ni procesor samotného média. Uživatel k uzamčení klíče SED použije vlastní heslo a tím jdou data na disku v bezpečí před neoprávněnou manipulací. Tedy dokud je disk funkční. V případě selhání disku může technologie SED způsobit potíže. Například u moderních disků WD je interní klíč k datům tvořen klíčem v procesoru disku, ROM a na datových plotnách. A tak i toto téma je důležité v oblasti záchrany dat dnes i do budoucna.
Alternativní metody záchrany dat a například novinka u disků Seagate, kterou Acelab nazývá AFH - Advanced Flying High tvořily další část prezentace nových technologických postupů. Jedná se o metodu, která může pomoci přečíst některé vadné sektory disku, ale měla by sloužit až jako poslední možnost. Přednášející opakovaně zdůraznil, že změna vzdálenosti čtecích hlav od datových ploten disku může být riskantní a může vést k destrukci disku.
Záchrana dat z SSD, srovnání s HDD
Další část konference se týkala SSD, které často trpí chybovostí paměťových čipů, selháním firmware, ale též problémy s elektronikou a konstrukcí. Tato média jsou ve srovnání s pevnými disky v portfoliu Acelabu kratší dobu, a pokrýt co největší část těchto médií je a bude pro Acelab velká výzva.
SSD se potýkají s chybovostí paměťových čipů, selháním firmware, problémy s elektronikou či nedostatečnou trvanlivostí konstrukce. Tyto problémy se netýkají pouze levných SSD, ale i dražších modelů od renomovaných výrobců.
Častým problémem SSD starších i novějších je chyba firmware, která je obvykle označována jako selhání řadiče. U většiny současných SSD není možné uživatelská data získat přímým přístupem do paměťového čipu. Data jsou interně šifrována a bez funkčního řadiče k nim nelze získat přístup. Pokud však nastane chyba ve firmware SSD, znemožní se tak inicializace SSD a k uživatelským datům ztratíme přístup.
Acelab má řešení tohoto problému, avšak nejedná se o univerzální řešení pro všechna SSD. Je zapotřebí speciální modifikovaný loader pro daný typ SSD nebo verzi firmware. Ten se v technologickém módu nahraje do RAM SSD a následnou úpravou servisních dat SSD je možné získat přístup k uživatelským datům. Použitý loader je modifikovaný firmware SSD, který je optimalizovaný primárně pro účel obnovy dat. V této souvislosti byly zmíněny řadiče Maxiotek (dříve Jmicron), které dnes pohánějí například některá SSD od Adata. Řadiče Maxiotek jsou na trhu poměrně nové a jejich podpora je postupně integrována do technologií Acelab. V blízké budoucnosti tak můžeme očekávat jejich rozšířenou podporu.
Jedním z diskutovaných témat byla funkce TRIM, která pomáhá při správě dat, ale může být významnou překážkou při obnově dat. TRIM se netýká pouze SSD, ale i mobilních telefonů, některých SD karet, flash disků a také SMR pevných disků. U pevných disků se sice nenazývá TRIM, ale v některých aspektech pevný disk s daty pracuje podobně jako SSD. TRIM se stará primárně o přípravu média na budoucí zápis dat, aby proběhl svižně a uživatel nemusel na nic čekat. Tím zároveň znemožňuje případnou obnovu odstraněných dat. Právě proto je způsob zastavení tohoto procesu během pokusu o obnovu dat z datového média důležitý.
Na trhu existuje nesčetné množství SSD. S trochou nadsázky by si svou vlastní značku SSD mohl založit kdokoliv, protože vyrobit SSD z dostupných komponent není až tak komplikované. V tom se SSD zásadně liší od HDD. Různé variace konstrukcí a firmware jsou a budou pro vývojáře společnosti Acelab velkou výzvou.
Záchrana dat z RAID
Obnova dat z RAID a NAS je také klíčová, ačkoli nikoliv patrně tak častá jako u již zmíněných médií jednotlivě. Acelab v souvislosti se záchranou dat z RAID prezentoval pokročilé techniky sestavení jednotlivých disků do funkčního pole v případě, kdy autodetekce pozic jednotlivých disků není možná.
Nejsnazší metodou detekce pozic jednotlivých disků je patrně využití metadat. Tato metoda ale nemusí být vždy možná. V takových situacích je zapotřebí použít pokročilé algoritmy a analýzy, aby byla rekonstrukce diskového pole možná i bez přítomnosti dostupných metadat. Tyto metody se opírají o analýzu datových vzorů a signatur jednotlivých disků v poli.
Konkrétně byl prezentován postup s využitím rozboru entropické mapy a RAW recovery. Lze tak zjistit velikost bloku, typ RAID a počet členů RAID, vztah mezi jednotlivými členy RAID a další parametry, které pomohou k sestavení funkčního diskového pole.
Obnova dat z NAS, WD Cloud a APFS
Značka Western Digital dlouhodobě patří mezi největší světové výrobce datových úložišť. Není tak divu, že jejich NAS určené pro použití v domácnostech je mezi uživateli populární. Část prezentace funkcí Date Extractoru se věnovala také rekonstruci souborového systému použitému v zařízeních WD Cloud. V případě selhání samotného zařízení NAS, nejsou data v interním úložišti uložena způsobem, jaký bychom očekávali. Data Extractor si hravě poradí s propojením proprietárního souborového systému a databáze, a sestaví virtuální souborový systém, který již obsahuje data v podobě, jakou očekáváme. V praktické ukázce byly zmíněny i varianty, kdy je proprietární souborový systém poškozen nebo kdy zařízení WD Cloud bylo reinicializováno, vše funguje korektně, ale uživatelská data dostupná nejsou.
Specifická může být i obnova dat z APFS - souborového systému společnosti Apple. APFS využívá technologie COW (Copy-On-Write), kdy modifikovaná data nejsou upravována přímo, ale jsou specifickým způsobem uložena jako nová verze, zatímco původní verze zůstává zachována. V APFS může být takto uloženo až 141 verzí jednoho souboru. Z pohledu záchrany dat z APFS to znamená nutnost analýzy kompletních metadat, z nichž mnohá již nejsou relevantní. Praktická ukázka se týkala také APFS Fusion Drive a APFS File Vault. Tyto moderní technologie jsou zcela odlišné od staršího HFS+ a proto musí inženýři společnosti Acelab těmto technologiím věnovat patřičnou pozornost.
PC-3000 Portable III - nejuniverzálnější technologie pro obnovu dat nejen z HDD a SSD
Záchrana dat z HDD, SSD a RAID jsou nejdůležitější témata konference Acelab zejména proto, že se jedná o klíčová témata pro každou společnost na světě, která v tomto odvětví nabízí kompletní portfolio služeb. PC-3000 Portable III je jediná technologie od společnosti Acelab, která nabízí komplexní řešení nejen pro pevné disky a SATA SSD, ale také pro PCIe NVME a AHCI SSD. Kromě toho, do určité míry umožňuje i obnovu dat z USB disků a paměťových karet.
Portable III je tak ideálním startovacím řešením, pokud chcete nabídnout záchranu dat z uvedených médií svým zákazníkům. Je také ideálním rozšířením pro laboratoře, které již vybaveny produkty PC-3000 jsou.
Paměťové karty a flash disky - rostoucí kapacita a komplikovanější obnova dat
Technologicky podobné s SSD jsou i paměťové karty a flash disky a trpí tak často obdobnými problémy. Kapacita flash disků a paměťových karet roste. S ním roste i náročnost obnovy dat, protože tato média často používají pokročilejší technologie správy dat.
Aby výrobci paměťových čipů mohli vyhovět rostoucím nárokům na kapacitu a vtěsnat do miniaturního těla paměťové karty desítky a stovky GB, jsou dnešní paměťové karty vyráběny TLC a QLC technologií, tedy s využitím 3, respektive 4 bitů na jednu paměťovou buňku. Víc bitů v jedné paměťové buňce však také znamená rychlejší opotřebení paměťové buňky a tím kratší životnost, která může být ještě více zkrácena v závislosti na kvalitě paměťového čipu. Životnost paměťové karty naopak mají za úkol prodloužit například funkce jako Wear Leveling, ECC a další U modernějších SD karet se můžeme setkat i s funkcí TRIM, která je spíše spojována s SSD a interními úložišti mobilních telefonů. Funkce TRIM byla zmíněna v souvislosti s obnovou dat z SD karet značky Sandisk, která byla na konferenci prezentována.
Obnova dat z SD karet Sandisk po naformátování ve fotoaparátu či kameře nemusí být již tak triviální úkol, jako tomu bývalo. Kamera či fotoaparát mohou pouhým rychlým formátem kartu uvést do stavu zdánlivé datové prázdnoty, karta bude v celé kapacitě vykazovat pouze prázdné sektory. Po naformátování nedojde k pouhému vymazání metadat souborového systému, jak by to udělaly například Windows, ale dojde k resetu translatoru paměťového média. Data na paměťové kartě však stále jsou, jen se k nim již nelze dostat jednoduchým způsobem.
Řešení není triviální a bez specializovaného hardware, software a potřebných znalostí obnova dat není možná. Je třeba z procesu vynechat firmware karty, respektive její řadič, a k datům přistupovat napřímo pomocí technologických pinů NAND rozhraní. Stejně se postupuje i u SD karet či flash disků jiných značek. Tímto krokem mj. dojde k vyřazení výše zmíněné funkce TRIM. SD karty a patrně i flash disky Sandisk uchovávají starší kopie translatoru - důležitého modulu, který definuje mapování mezi logickými bloky, které vidí operační systém, a fyzickými bloky NAND čipu. Díky možnosti získat starší kopie translatoru je možné data obnovit včetně původní struktury a výsledkem mohou být téměř bezvadně obnovená data.
Závěr této části konference se věnoval záchraně dat z USB Flash disků založených na chipsetu SM3281. Tento chipset od společnosti Silicon Motion je dle Acelabu v současnosti jejich vlajkovou lodí a tím i častým pacientem u specialistů na obnovu dat. Chipset disponuje řadou technologií, které mohou záchranu dat z poškozené USB flash disku komplikovat. Více Planes pro každé CE, každá Plane má svou vlastní pozici pro Bad Bytes, každá Plane používá vlastní velikost Page, každá Plane využívá vlastní XOR a může využívat až 8 různých XOR v rámci CE. 3D NAND TLC nebo QLC nízké kvality a vysoké kapacity jsou také častým zdrojem problémů kvůli své nízké životnosti.
Acelab prezentoval nové postupy spojené s obnovou dat z flashdisků založených na SM3281. Obnova dat z flash disků nejen s dynamickým XOR může být oříšek i pro ostříleného specialistu s dlouholetou praxí.
Pokročilé funkce PC-3000 mobile již pouze pro “Law Enforcement”
Před pár lety Acelab uvedl na trh technologii PC-3000 Mobile, určenou k obnově dat z mobilních telefonů. Ta nabízí řadu pokročilých funkcí, které umí obnovit data z mobilních telefonů i v některých zdánlivě neřešitelných scénářích. Jednou z nejzajímavějších funkcí je (byla) “Hard Key”, která dokáže extrahovat klíč k datům přímo z procesoru telefonu. Tato funkce je užitečná například v případech, kdy je paměťový čip částečně poškozen.
Technologie však mohly posloužit nejen k obnově dat z telefonu legitimního vlastníka daného přístroje, ale mohly být využity i pro účely, které jsou v rozporu s dobrými mravy či zákony. Od verze 1.6 je plná verze této technologie, označená jako PRO, nabízena výhradně pro orgány vymáhání práva (“Law Enforcement”). Firmám a orgánům, které nejsou zapojeny do vymáhání práva nebo trestního řízení, je k dispozici pouze základní (Basic) verze technologie PC-3000 Mobile.
Exalab nabízí kompletní portfolio záchrany dat
Konference Tech Week 2023 se na jihu Španělska zúčastnili specialisté, kteří to se záchranou dat myslí vážně. Exalab proto nemohl chybět. Našim klientům chceme nyní i do budoucna poskytovat služby na špičkové úrovni. V dynamickém oboru, jako je záchrana dat, jsou neustálé vzdělávání a rozvoj klíčové.
Výše uvedené informace nejsou kompletní sumář proběhlé konference. Jedná se o několik našich postřehů, které jsem se rozhodli použít v našem blogu. Děkujeme všem odborníkům Acelabu a pořadatelům konference, že jsme dostali možnost rozšířit a osvěžit si naše znalosti, potkat se se spoustou zajímavých lidí z celého světa a také spojit užitečné s relaxem nejrůznějšího typu v ulicích města Málaga. Poděkování patří také kolegům z pražské společnosti Datahelp, bez nichž bychom čas ve večerních a nočních hodinách neměli dokonale vyvážený s konzumací místních pochutin a lahodného moku :-) Již teď se těšíme na konferenci v roce 2024!