W tym artykule postaramy się wyjaśnić kilka kwestii związanych z pracą inżynierów zajmujących się odzyskiwaniem danych. Rozważymy kilka ważnych aspektów oraz przybliżymy narzędzia jakie są wykorzystywane w procesie odzyskiwania danych oraz zastanowimy się nad przyszłością tego zawodu.
Wprowadzenie do problematyki zabezpieczenia i odzyskiwania danych: Ochrona danych towarzyszy ludziom od czasów gdy powstały pierwsze zwoje. Już tysiące lat temu ludzie starali się zabezpieczyć wytworzone dane dla przyszłych pokoleń i wile z tych zapisanych informacji faktycznie przetrwała do naszych czasów. Daje nam to możliwość poznania historii oraz zrozumienia tych odległych czasów.
Obecnie problem ochrony wytworzonych danych staje się bardzo newralgiczny i od czasów powstania informatyki jest coraz bardziej palący.Wiąże się to z faktem iż dostęp do technologi sprawia, że praktycznie każda osoba stała się producentem danych w postaci elektronicznej. O ile dane na smartfonie czy prywatnym laptopie mogą nie stanowić zbyt wielkiej wartości poza emocjonalnym przywiązaniem do ich posiadania to wytworzone w przedsiębiorstwach mają już realną wartość. Wiele firm musi przechowywać dane przez długi okres ponieważ są one niezbędne do funkcjonowania przedsiębiorstwa a także w niektórych przypadkach wymagane przez prawo. W obecnych czasach wiele firm zbankrutowałoby z dnia na dzień bez dostępu do newralgicznych danych jak projekty, bazy danych itd. Większość z nich posiada rozbudowane systemy kopii zapasowych ale i tak prędzej czy później stają przed faktem utraty danych wynikających z różnych czynników ( o czym dalej) i konieczności ich odzyskania.
Wiele czynników ma wpływ na bezpieczeństwo danych a każdego roku tych czynników przybywa. Zmienia się też technologia oraz sposoby wytwarzania, gromadzenia i dystrybucji danych co stawia przed administratorami oraz informatykami nowe wyzwania. Im więcej danych tym więcej zagrożeń i możliwości ich utraty. Trend, który obecnie obserwujemy związany z coraz większą ilością wytwarzanych danych oraz coraz szybszą ich obróbką i dystrybucją tylko sprzyja ich utracie przede wszystkim dlatego że coraz więcej osób ma dostęp do tych zasobów.
Większość ludzi kojarzy zabezpieczenie danych z kupnem programu antywirusowego lub przetrzymywaniem ważnych danych na dysku zewnętrznym czy pendrive. Takie podejście sprawia, że co chwilę budzi się jakiś użytkownik, żyjący do tej pory w błogiej niewiedzy, bez dostępu do danych. Przodują tu użytkownicy wszelkiego rodzaju dysków zewnętrznych USB Western-Digital, Seagate, Samsung, Toshiba i innych oraz nieświadomi awaryjności macierzy Raid w serwerach NAS. Z badań przeprowadzonych przez Centrum Odzyskiwania Danych wynika, że awarie dysków twardych oraz błędy użytkowników i celowe działanie pracowników są najczęstszą przyczyną utraty danych. Te same spostrzeżenia potwierdzają All Data Recovery oraz inne firmy zajmujące się odzyskiwaniem danych.
Ochrona danych w rozumieniu kopii bezpieczeństwa najczęściej sprowadza się do wykonywania systematycznych kopii zapasowych za pomocą różnych systemów jednak w razie awarii wszystkie wytworzone dane zostają utracone do czasu wykonania ostatniej kopii zapasowej. Najbardziej efektownym systemem byłoby wykonywanie kopii plików niemalże w czasie rzeczywistym w każdej wersji podczas ich wytwarzania. Byłaby to już chyba utopia ale niektóre dane są naprawdę bezcenne. System chroniący dane w czasie rzeczywistym byłby prawdziwym super rozwiązaniem w niektórych przypadkach.
Odzyskiwanie danych – czym jest to stwierdzenie, które przychodzi do głowy każdej osobie której komputer laptop czy smartfon uległ uszkodzeniu. Otóż odzyskiwanie danych to proces lub działania podejmowane w celu naprawy uszkodzonego nośnika do stanu umożliwiającego zabezpieczenie jak największej ilości utraconych danych. Podejmowane działania nie mają na celu 100% przywrócenia funkcjonalności nośnika, a są skierowane przede wszystkim w kierunku jak najmniej inwazyjnego procesu. Profesjonalne odzyskiwanie danych ma na celu przede wszystkim zabezpieczenie danych i w odróżnieniu od powszechnych metod jak najmniej stara się obciążać uszkodzony nośnik. Podejście osób zajmujących się profesjonalnie usługami odzyskiwania danych różni się zatem zasadniczo od tego co możemy zaobserwować w małych serwisach komputerowych oraz na forach internetowych. W procesie odzyskiwania danych nie ma w ogóle miejsca na skanowanie powierzchni dysku w celu wychwycenia błędów powierzchni ponieważ za każdym takim skanowaniem może dojść do dodatkowych uszkodzeń.
Przyczyny utraty danych – z badań przeprowadzonych miedzy innymi przez All Data Recovery wynika, że ponad 70% użytkowników uważa swoje dane za cenne i warte odzyskania. Klienci indywidualni najczęściej wskazują jako wartościowe zdjęcia dzieci, zdjęcia z wyjazdów, oraz dokumenty i kontakty. Dane przetrzymują głównie na dyskach w laptopach, komputerach, kartach pamięci oraz dyskach zewnętrznych i pendrive. Małe i średnie firmy oraz korporacje jako wartościowe wskazują różnego rodzaju bazy danych w tym księgowe, projekty, pliki worda i excela. Do przechowywania danych używają głównie dysków w laptopach, komputerach, dysków przenośnych, pamięci USB oraz serwerów NAS i macierzy RAID.
Oczekując na katastrofę bo tylko tak można określić beztroskę panującą wśród użytkowników prywatnych oraz małych i średnich firm. Jak się okazuje ponad połowa z nich nie robi systematycznych kopii zapasowych a około 35% w ogóle nie wykonuje backupu. Duże firmy przeważnie stosują jakąś określoną z góry politykę odnośnie bezpieczeństwa danych ale i tak padają ofiarami awarii, błędów oprogramowania czy celowego działania.
Wymieńmy zatem kilka najczęściej występujących powodów utraty danych: awarie, a w szczególności uszkodzenia dysków twardych, błędy zapisu i odczytu, przypadkowe usunięcie, sformatowanie dysku lub wykonanie recovery, wirusy, celowe działanie pracowników, katastrofy naturalne …..
Awarie sprzętowe jako przyczyny utraty danych:
Najczęściej spotykanymi przyczynami awarii są uszkodzenia mechaniczne dysków twardych i nie ma tu znaczenia czy to dysk Seagate, WD, Toshiba, Samsung czy Hitachi. Dyski zużywają się po prostu i ich awarie są naturalne. Nawet dyski SSD, które miały być bez awaryjne niestety często ulegają różnego rodzaju awariom.
Uszkodzenia elektroniczne wynikają głównie ze zużycia elementów elektronicznych z których produkowane są płytki PCB. Częstym problemem jest również błędne podpięcie zasilania przez użytkownika szczególnie podczas konserwacji urządzeń i macierzy RAID
Uszkodzenia firmware dysków – tu przodują dyski SSD choć Seagate w kilku seriach dysków twardych jest liderem awarii jeśli chodzi o tą część uszkodzeń. Co gorsza w nowych dyskach Seagate firmware dysku jest zablokowany i uniemożliwia jego naprawę w prosty sposób. Naprawdę nie wiem jaki jest sens utrudniać odzyskiwanie danych z produkowanych dysków, ale jak widać nie ma to znaczenia dla producenta.
Na awaryjność dysków twardych duży wpływ ma temperatura ich pracy oraz sposób używania. Należy więc dbać o to aby dyski podczas pracy nie były przenoszone a chłodzenie urządzeń typu laptopy, macierze, serwery nas, sprawne i czyste.
Błędy ludzkie jako przyczyny utraty danych:
Usunięcie, skasowanie pliku przez pomyłkę
Nie zapisanie pliku podczas pracy lub po jej zakończeniu
Upuszczenie np laptopa podczas pracy lub upadek dysku zewnętrznego
uszkodzenie mechaniczne pendrive lub karty pamięci
Sformatowanie dysku twardego, pendrive lub karty pamięci
Wykonanie recovery na laptopie lub komputerze
Samodzielne odzyskiwanie danych z macierzy RAID bez zabezpieczenia kopii posektorowych dysków – to przeważnie najbardziej niebezpieczne zachowania ponieważ dotyczą danych firmowych
Błędy informatyków
Samodzielne próby odzyskiwania danych, rozbierania nośników przez użytkowników i informatyków bez przygotowania.
Zalanie laptopa
To najczęściej spotykane przez nas przyczyny utraty danych wynikające z winy użytkownika. Niektóre z nich są naprawdę niebezpieczne. Często trafiają do nas dyski, które zostały rozebrane, talerze porysowane a uszkodzenie było np po stronie firmware lub elektroniki. Z niektórych nośników rozebranych przez nieodpowiednie osoby nie udaje się odzyskać danych.
Błędy oprogramowania jako przyczyny utraty danych:
Niestabilna praca programu
Błędy systemów operacyjnych i niekompatybilność programów oraz sterowników
Automatyczne próby naprawy systemów plików szczególnie przez windows i mac os
Aktualizacje Windows włączające się bez ostrzeżenia podczas prace szczególnie w Windows 10
Awarie systemów operacyjnych
Błędy oprogramowania są niestety bardzo często przyczyną utraty danych. Odzyskiwanie danych po aktualizacji Windows 10 lub po automatycznym uruchomieniu CHKDSK podczas rozruchu komputera są naszą codziennością. Przez niestabilną współpracę systemów operacyjnych, sprzętu, sterowników i oprogramowania firm trzecich użytkownicy komputerów każdego dania tracą ogromne ilości danych. Nie wiem czy to nasza – użytkowników, wina, czy producentów ale czasy w których przed wypuszczeniem sprzętu na rynek odbywały się długie testy i korekty już chyba nie wrócą
Celowe działanie użytkowników przyczyną utraty danych:
Jedną z najbardziej niebezpiecznych sytuacji z jakimi się spotykamy to odzyskiwanie danych po celowych działaniach pracowników lub innych osób chcących zrobić problem firmie lub współpracownikowi. Wiele takich przypadków kończy się odzyskaniem danych, ale są też i takie, gdzie danych nie da się odzyskać a jedyne co można zrobić to zabezpieczyć dowody celowego działania pracownika do sprawy sądowej. Nie dziwię się już, że korporacje wypracowały model zwalniania pracowników i odsuwania ich od zasobów informatycznych niemal w tym samym momencie. Wydaje się że zapłacenie pracownikowi za okres wypowiedzenia bez stosunku pracy może być tańsze niż straty które wyrządzi mając dostęp do zasobów firmy.
Odzyskiwanie danych jako proces ich odtwarzania
Utrata danych czy to ze względu na uszkodzenia nośników dysków twardych, pendrive, kart pamięci czy to przez błąd oprogramowania lub czynnik ludzki jest przeważnie nie pożądanym a już na pewno nie oczekiwanym wydarzeniem. Z powyższych względów tworzenie kopii bezpieczeństwa jest najlepszym sposobem uniknięcia utraty danych i szybkim oraz tanim sposobem ich odzyskania.
Na rynku można spotkać wiele programów do odzyskiwania danych, których największą wadą jest konieczność skanowania całego dysku po czym dopiero wykopiowania danych. O ile nośnik jest sprawny to takie podejście nie jest złe. Problemy i to takie poważne zaczynają się gdy dysk jest uszkodzony, o czym nie sposób wiedzieć zanim nie padnie do końca.
Profesjonalne odzyskiwanie danych ma na celu przede wszystkim zabezpieczenie kopii nośnika do dalszej analizy. Niejednokrotnie jest to kwestia jednego przebiegu po czym dysk ulega poważnemu uszkodzeniu i bez tej kopii nie byłoby już co zbierać. Do odzyskiwania danych najlepszym oprogramowaniem jest obecnie PC3000 firmy Acelaboratory, które jest połączeniem specjalnego kontrolera oraz oprogramowania potrafiącego współpracować z dyskami na poziomie firmwaru.
Odzyskiwanie danych z nośników flash typu pendrive lub karta pamięci różni się zdecydowanie od innych procesów. Większość tych nośników trafia w nasze ręce uszkodzonych a jedyną metodą jest wykopiowanie zawartości pamięci i za pomocą specjalistycznego oprogramowania ułożenie algorytmu dekodującego. Ciężko powiedzieć jaki jest cel nakładania na proces transferu danych do pamięci flash tak skomplikowanych operacji ale jedyne co możemy zrobić to dostosować się do tej sytuacji.
Podsumowując – do póki użytkownicy sprzętu komputerowego będą tak beztrosko podchodzić do kopii bezpieczeństwa będziemy mieli pełne ręce roboty. odzyskiwanie danych będzie pewnie z roku na rok coraz droższe ponieważ technologia idzie w kierunku coraz większego utrudnienia tego procesu.
