Często spotykamy się z sytuacjami, kiedy klienci przynoszą do nas nośniki z nadpisanymi danymi. A to przeinstalowali system zapominając wcześniej skopiować ważne dokumenty, a to nieopatrznie sformatowali kartę w aparacie...ostatnio ktoś przez pomyłkę potraktował nie ten dysk, co trzeba programem do niszczenia danych. Ale to tylko jeden przebieg, a zalecane są trzy, więc może coś się uda...bo to chyba niemożliwe, żeby nie dało rady odzyskać danych po nadpisaniu takim prostym, darmowym programem?
A może jednak warto spróbować? Ile by kosztowała diagnoza? Przecież odzyskujecie dane z poważnie uszkodzonych nośników, a ten jest sprawny, to chyba powinno być łatwiej... przecież widziałem na filmie, że nie takie rzeczy się odzyskuje... jesteście nieprofesjonalni, idę do konkurencji... Zanim powiesz coś podobnego do przytoczonych wyżej zdań, przeczytaj ten artykuł.
Żeby zrozumieć, co się dzieje podczas nadpisywania danych, musimy najpierw dowiedzieć się, w jaki sposób te dane są zapisywane na nośnikach. Dlatego zacznijmy od podzielenia nośników informacji na dwie grupy:
- nośniki magnetyczne, takie jak dyski twarde, dyskietki, taśmy magnetyczne,
- nośniki półprzewodnikowe - wykorzystujące układy pamięci typu Flash-NAND, czyli dyski SSD, pendrivy, karty pamięci, pamięci wewnętrzne telefonów, dyktafonów, odtwarzaczy mp3 i innych urządzeń.
Najpierw trochę informacji dotyczących nośników magnetycznych. Najlepiej na przykładzie najpopularniejszych z nich - dysków twardych Zasada zapisu w innych nośnikach magnetycznych jest bardzo podobna... jedyne, o czym musimy pamiętać, to w taśmach do streamerów ścieżki nie są okrągłe. Dane na dyskach są zapisywane w sektorach rozmieszczonych na koncentrycznych ścieżkach przez głowicę indukującą pole magnetyczne, przez co powierzchnia nośnika uzyskuje określone namagnesowanie. Podczas odczytu pole magnetyczne pochodzące z powierzchni nośnika indukuje w głowicach przepływ prądu elektrycznego. Uzyskany w ten sposób sygnał jest interpretowany i dekodowany przez procesor dysku, który wysyła tak odczytane dane na interfejs. Jak to się dokładnie odbywa - książkę by można było o tym napisać... ale najważniejsze jest to, że uzyskane w ten sposób dane jednoznacznie odpowiadają temu, co jest zapisane na dysku w postaci odpowiedniego namagnesowania powierzchni. A więc jeżeli nadpiszemy nasze dane zmieniając sposób namagnesowania powierzchni nośnika, to jesteśmy w stanie odczytać tylko i wyłącznie tę nową zawartość. Starej już nie ma. Przepadła na zawsze.
W przypadku nośników półprzewodnikowych sytuacja wygląda trochę inaczej. Dane zapisywane są w komórkach pamięci w postaci ładunków utrzymywanych w tzw. bramkach pływających. Zapis odbywa się poprzez wprowadzenie reprezentujących określone stany logiczne ładunków do bramek pływających, a kasowanie polega na na jednoczesnym opróżnianiu z ładunków całych bloków. To właśnie stąd się wzięła nazwa Flash oznaczająca pamięci błyskowe. Także tu jeśli opróżnimy bloki pamięci ze znajdujących się w nich ładunków, nie mamy już czego w nich szukać. Informacja uwolniona razem z reprezentującymi ją ładunkami przestaje istnieć...
Ale przecież są specjalistyczne laboratoria, nie liczące się z kosztami, gdy chodzi o nasze bezpieczeństwo służby specjalne, korporacje, które stać zainwestować potężne środki w odzyskiwanie utraconej informacji...lecz nawet one nie mogą zmienić praw fizyki. Podejmowane próby obrazowania powierzchni dysków przy pomocy mikroskopów sił magnetycznych, odczytywania krawędzi ścieżek i poszukiwania pozostałości poprzedniej zawartości nośników nie przyniosły rezultatu. By opisać szczegóły tych prac konieczne byłoby zagłębienie się w zagadnienia fizyki oraz gruntowne przedstawienie budowy i zasad funkcjonowania dysków twardych. W każdym razie to nieprawda, że laboratoria odzyskujące dane posługują się w swojej pracy mikroskopami sił magnetycznych. Cały czas znacznie szybsze, prostsze i tańsze jest odzyskiwanie danych z wykorzystaniem sprawnych dysków w charakterze dawców części zamiennych. Odzyskanie danych przy pomocy mikroskopu sił magnetycznych jest technicznie wykonalne, ale jeszcze nikt tego nie dokonał nawet w przypadku danych nienadpisanych. Wysoki koszt takich urządzeń oraz długi czas obrazowania próbek wcale nie są najpoważniejszymi przeszkodami w wykorzystaniu mikroskopów sił magnetycznych do odzyskiwania danych. Najtrudniejszym problemem jest synchronizacja sygnału odczytywanego na podstawie plików graficznych. Jeśli uda się tego dokonać, zdekodowanie poprawnie zsynchronizowanego sygnału jest wykonalne. Ale nawet przy zastosowaniu tak specjalistycznego sprzętu i zaawansowanej technologii uzyskamy sygnał pochodzący od aktualnego stanu namagnesowania powierzchni. Odtworzenie poprzednich zapisów już nam się nie uda.
Po co więc istnieją procedury wymagające wielokrotnego nadpisywania, a nawet fizycznego zniszczenia nośnika? To dobre pytanie, ale żeby znaleźć na nie dobrą odpowiedź, warto zwrócić uwagę na to, kto te procedury tworzy. Zwykle są to ludzie, którzy nie mają dostatecznej wiedzy technicznej. Z wykształcenia są menedżerami, ekonomistami, prawnikami...Oglądając seriale kryminalne, w których dane ze zniszczonego nośnika odzyskiwane są w ciągu kilku minut przez urządzenie tak proste, że nawet małpa mogłaby je obsługiwać, słuchając pełnych animuszu wypowiedzi oficerów prasowych Policji i innych służb, zapoznając się z materiałami promocyjnymi firm zapewniających, że odzyskają 100% danych w każdym przypadku albo promujących tę jedyną naprawdę skuteczną i wyjątkową metodę bezpiecznego niszczenia danych tacy ludzie mają prawo obawiać się o to, czy informacje, za które odpowiadają, naprawdę zostaną usunięte w bezpieczny sposób. A że fizyczne zniszczenie nośnika o wiele bardziej przemawia do wyobraźni niż logiczne zniszczenie samych danych bez uszkadzania nośnika, decydenci często wybierają metody spektakularne, choć nie zawsze skuteczne. Uderzenie dysku młotkiem, przewiercenie, a nawet zmielenie tak naprawdę nie niszczy informacji - niszczone są tylko te fragmenty danych, które bezpośrednio podlegają destrukcyjnym oddziaływaniom mechanicznym. W pozostałym zakresie uszkodzenie nośnika jedynie utrudnia dostęp do informacji.
Wprawdzie trudno sobie wyobrazić, by ktoś podjął się zobrazowania namagnesowania fragmentów zmielonego dysku, a następnie dokonał odpowiedniego złożenia obrazów, poprawnego odtworzenia przebiegu sygnału i odzyskania w ten sposób danych... ale jego szanse powodzenia są nieporównywalnie większe niż w przypadku prób odzyskania danych nadpisanych. Dlatego, że na dysku zmielonym poszukiwane dane istnieją, choć stan nośnika sprawia, że dostęp do nich jest niezwykle trudny, zaś dane nadpisane, zastąpione nową zawartością definitywnie przestają istnieć.
Tak. Można odzyskać dane z uszkodzonych nośników. Ale odzyskujemy informację, która na tym nośniku istnieje. W takich przypadkach zawsze występuje problem z uzyskaniem dostępu do tej informacji. Czasem jest to problem poważny i złożony, nie brakuje przypadków, dla których jeszcze nie istnieje metoda skutecznego odzyskania danych, ale sama informacja istnieje i cierpliwie czeka, byśmy ją wydobyli. Nawet informacja zaszyfrowana może się poddać, jeśli znamy algorytm szyfrujący i uda nam się odnaleźć właściwy klucz. Ale żeby można było jakąś informację odzyskać, ona musi fizycznie znajdować się na nośniku.
Autor: Paweł Kaczmarzyk, www.kaleron.pl.
Komentarze