ГлавнаяКонтактыКарта сайта
ЕПОС
О компанииКомпьютерная криминалистикаВосстановление информацииЗащита информацииПроизводство и ITСервисНаши разработки

Расследование инцидентов, компьютерная криминалистика, информационная безопасность

Книжная серия Взгляд на жесткий диск изнутри




Архив статей


14.01.2009
Современный рынок восстановления данных: обзор, проблемы, прогнозы

Станислав Корб
Публикуется с разрешения автора

 

Наши комментарии:

В данной статье автор изложил свой взгляд на развитие рынка восстановления данных (Data Recovery, DR). По многим затронутым вопросам мнение специалистов Центра восстановления информации ЕПОС совпадает с мнением автора с учетом небольших особенностей, которые присущи развитию локального рынка восстановления данных в Украине.

Станислав Корб упомянул о том, что очень немногие компании содержат в себе структуру, выполняющую «разработку собственных устройств и технологий восстановления данных». По нашему мнению на рынке восстановления информации в недалеком будущем будут успешными именно такие организации. Рынок носителей информации развивается стремительными темпами, производители постоянно внедряют свои ноу-хау для повышения скорости работы и емкости носителей. И без изучения принципов функционирования новых устройств и создания новых технологий просто невозможно предоставлять качественные услуги на рынке восстановления данных.

 

Восстановление данных (data recovery) – бурно развивающаяся отрасль IT, без сомнений, занимающая на текущий момент одну из ведущих позиций в мировой информационной индустрии. Достаточно упомянуть, что за последние 10 лет количество компаний, занимающихся разработкой устройств и ПО для нужд восстановления данных, возросло на несколько порядков (к примеру, в начале 90х годов прошлого века существовала всего одна компания, продающая специализированный комплекс для восстановления данных: Data Extractor (компания ACE Laboratory); сейчас же таких компаний уже больше десятка, из которых наиболее известны ACE Laboratory, BVG Group, Salvation Data, Deep Spar и др.).

Рынок data recovery можно условно разделить на четыре сегмента: логическое восстановление данных (случаи, связанные с ошибками пользователя (случайное стирание данных, форматирование накопителей и т.д.), действиями вирусов и других вредоносных программ, и т.д.) – при этом носители информации физически исправны, но конечные данные оказываются недоступны; физическое восстановление данных (случаи, связанные с отказами оборудования: неисправности НЖМД, разрушением оптических носителей в приводах, отказами компьютерной электроники и т.п.) – при этом носители информации физически неисправны; наконец, смешанный тип восстановления, особенно часто встречающийся на Западе (носитель первоначально имел логические проблемы, но в процессе транспортировки в компанию восстановления данных получил также физические повреждения); восстановление многодисковых систем (один из наиболее сложных типов восстановления данных, невозможный без глубоких знаний принципов построения многодисковых массивов, а также принципов функционирования файловых систем).

Сегмент логического восстановления данных успешно перекрывается многочисленными системными администраторами, имеющими опыт использования специализированного ПО, которое можно свободно купить через Интернет: R-Studio, Get Data Back, Stellar Phoenix и др. При этом стоимость такого ПО вполне сопоставима с конечной стоимостью одного восстановления данных и, соответственно, выгодна восстановителю. Как правило, логическое восстановление данных с помощью такого ПО эффективно в более чем 70 % случаев.

Сегменты физического и смешанного восстановления данных заняты крупными и средними компаниями data recovery, имеющими специализированный инструментарий (чистые комнаты, дорогостоящее диагностическое оборудование типа осциллографов, устройств бинокулярной микроскопии с цифровыми выходами, специализированных устройств для пайки микросхем, как в обычном, так и в BGA исполнении, и т.д.), большие банки донорских устройств, и квалифицированный персонал с многолетним опытом работы. Для большинства таких случаев не существует общего алгоритма восстановления данных, поэтому успешность восстановления зависит, прежде всего, от опыта и квалификации персонала.

Наконец, восстановление данных с многодисковых устройств, таких как RAID-массивы или многодисковые внешние устройства хранения информации, способны производить только те компании по восстановлению данных, в которых работают сотрудники с опытом работы именно в этой сфере. Имеющееся ПО (RAID Reconstructor и RAID Explorer) не способно реализовать всех нюансов построения многодисковых систем, поэтому, использование только такого ПО делает восстановление данных из многодисковых систем крайне малоэффективным – не более 20 – 30 % случаев. Важно также учитывать, что отказы многодисковых систем чаще всего связаны с отказами части их оборудования: либо контроллера, либо одного из входящих в систему дисков.

Индустрия устройств хранения информации в настоящее время переживает своеобразный бум: настольные устройства хранения информации перешагнули рубеж в 1 Тб, и производители активно продвигаются к этому рубежу в области устройств для мобильных устройств: недавно появившиеся жесткие диски форм-фактора 2,5 дюйма емкостью 320 – 500 Гб уже успешно применяются в топовых моделях ноутбуков. Произошел практически повсеместный переход с интерфейса PATA на интерфейс SATA, внедряются новые типы флеш-накопителей, некоторые из которых уже используются в переносных компьютерах (например, корпорации Samsung). Многочисленные флеш-карты и флеш-накопители различных типов прочно вошли в нашу жизнь и используются практически повсеместно: от мобильных компьютеров до мобильных телефонов, наладонников и фото- и видео-камер. НЖМД продолжают становиться все вместительнее и, при этом, миниатюризуются (к примеру, 0,85 дюйма накопители компании Toshiba). Все это многообразие устройств для хранения данных имеет, как следствие, необходимость крупнейших компаний восстановления данных тратить колоссальные средства для закупки донорских устройств, так как на рынке поколения устройств хранения данных сменяются с потрясающей скоростью (для примера, накопители для настольных компьютеров компании Seagate за последний год в магазинах полностью сменили 5 совершенно различных линеек: Barracuda 7200.8, Barracuda 7200.9, Barracuda 7200.10 Galaxy2D, Barracuda 7200.10 Galaxy3D и Barracuda 7200.11 (активно продаются сейчас).

Учитывая все перечисленные выше факторы, компании восстановления данных сталкиваются также с необходимостью учета донорских устройств и их текущего состояния для их складирования. Для этих целей используется специализированное ПО, учитывающее особенности рынка data recovery. В крупных data recovery центрах количество единиц хранения в складах донорских устройств составляет несколько десятков тысяч, и постоянно пополняется; для этого работают специальные департаменты внутри таких компаний. Структурная организация любого центра восстановления информации в настоящее время включает минимум 4 отдела: секретариат, он же – отдел по работе с клиентами, собственно технический персонал и лаборатории восстановления данных, руководящий состав и отдел бизнес-планирования, и отдел обеспечения (начиная от горячей пищи для работников компании и заканчивая запчастями, донорскими устройствами, чистыми носителями под клиентские данные и т.п.). В немногих крупных компаниях, таких как Seagate Data Recovery, Эпос, ACE Laboratory, имеется также структура, выполняющая разработку собственных устройств и технологий восстановления данных. Как правило, это дорогостоящие проекты, направленные на определенные нужды.

К сожалению, производители носителей информации не предоставляют компаниям восстановления данных никакой информации об особенностях функционирования производимых устройств, поэтому основным источником такой информации является back engineering – как правило, это дизассемблирование микропрограммы накопителей. Кроме того, часто используются так называемые «перехватчики» АТА-команд (все накопители используют унифицированный интерфейс обмена данными, называющийся АТА-Стандарт). Специалисты, выполняющие back engineering, должны обладать обширными знаниями архитектуры малораспространенных микроконтроллеров и весьма солидным опытом программирования; естественно, что такие специалисты стоят компаниям недешево. К тому же, одна из основных проблем рынка восстановления данных – отсутствие специализированного обучения (кроме коротких и по большей части ознакомительных курсов, проводимых некоторыми компаниями (такие курсы не занимают более 10 дней и, естественно, не могут расцениваться как серьезное образование)) и сертификации. Связано это с тем, что область восстановления данных исключительно молода и еще не подвергалась стандартизации. Между тем стандартизация в этой области совершенно необходима, так как в настоящее время компании восстановления данных работают в разных форматах и результаты их работы зачастую несовместимы.

Важно также учитывать, что клиента компаний восстановления данных обычно не интересует сам процесс – ему важен результат, причем успешный и в кратчайшие сроки. К примеру, в странах Западной Европы одна из наиболее важных категорий клиентов для data recovery компаний – мелкие и средние фирмы. По законам ряда европейских стран, они обязаны предоставлять финансовую отчетность в налоговые органы в электронном виде; как правило, в таких компаниях эти данные хранятся в единственном экземпляре на единственном компьютере бухгалтера фирмы, и потеря этих данных может привести к закрытию фирмы и солидным штрафным санкциям. Программы финансового учета обычно записывают каждую операцию в виде отдельного файла крайне малого размера (несколько байт) в зашифрованном или сжатом виде, поэтому восстановление таких файлов в случае их повреждения обычно занимает очень много времени.

Накопители большой емкости, получившие широкое распространение за последние пару лет (имеются ввиду накопители емкостью от 320 Гб) являются также серьезной проблемой восстановления данных. Прежде всего, в силу их «многоголовости» - такие накопители имеют как минимум 4 головки (как максимум 8). Современные технологии по перестановке БМГ позволяют успешно проводить такие операции даже на 16-головых накопителях, но основная проблема здесь – проблема совместимости. К примеру, накопители Western Digital емкостью 500 и более гигабайт изготавливаются минимум на четырех заводах, и имеют достаточное количество мелких особенностей сборки, делающих их БМГ крайне сложно совместимыми. Поэтому крупные компании восстановления данных вынуждены тратить солидные средства на изучение совместимости узлов и деталей накопителей.

Еще один сегмент восстановления информации – вторичное восстановление. Под этим термином я понимаю случаи восстановления данных с накопителей, уже побывавших в других data recovery компаниях или руках частника. Такие накопители, как правило, поступают в крайне плачевном состоянии: вскрытый гермоблок, горелая электроника, следы внешнего воздействия на магнитных повехностях (отпечатки пальцев, царапины, пыль и т.д.) либо следы грубого вмешательства в управляющую микропрограмму накопителя (переписанные модули служебной информации, неудачные попытки программного ремонта, специально уничтоженные модули трансляции и т.д.). Как правило, данные с таких накопителей получить крайне сложно или невозможно вовсе в силу специфики повреждений. Самое интересное, что большая часть таких случаев – это специальная порча накопителей, связанная с несогласием клиента с конечной стоимостью восстановления данных.

Проблема заключается в том, что небольшие компании или частники работают по принципу «все и сразу» - то есть поступивший накопитель, они пытаются восстановить незамедлительно, и в случае успеха немедленно извлекают из него данные. При этом никакого договора или соглашения с клиентом не заключается; логично, что при требовании денег за проделанную работу клиент задумывается о поиске другой, более дешевой фирмы («раз могут тут – значит, смогут и там») и требует свой носитель назад с отказом от услуг компании или частника. Серьезные компании никогда не начинают работу над восстановлением данных без согласования стоимости этой работы и ее сроков с клиентом; как правило, заключается также и договор. В перспективе, думаю, большинство мелких компаний и частников, производящих намеренную порчу клиентских накопителей, рано или поздно предстанут перед судом в качестве ответчиков; такие прецеденты уже имеются на территории Российской Федерации.

Мобильные устройства хранения информации занимают все больший объем случаев восстановления данных. Особенно часто для восстановления информации поступают НЖМД форм-факторов 2,5 и 1,8 дюйма. Широко распространено мнение, что восстановление данных с таких накопителей труднее, чем с дисков для настольных ПК. По большей части это заблуждение: трудности связаны не с конструкцией самих накопителей, а со сложностью подбора доноров для некоторых производителей, не продающих свои диски в розницу (к примеру, Western Digital). НЖМД форм-фактора 2,5 или 1,8 дюйма обладают значительно меньшими размерами БМГ и, соответственно, меньшим размахом допустимых отклонений в его конструкции, отражающимся на повышенной его совместимости. Другое дело обстоит с платами управляющей и интерфейсной электроники: в силу большого количества вынесенных в ПЗУ накопителей индивидуальных характеристик (так называемых адаптивных параметров – констант и переменных, необходимых для инициализации и корректной работы накопителя) и размещения ПЗУ физически внутри микросхемы микроконтроллера, адаптация сгоревшей платы электроники под конкретный гермоблок становится трудновыполнимой задачей.

В ближайшем будущем, в связи с активным развитием флеш-технологий для мобильных устройств, следует ожидать огромного притока в data recovery центры случаев восстановления данных с таких устройств: мобильные телефоны, КПК, iPod и т.д. Особенно, я полагаю, большое количество восстановлений информации ожидается с мобильных телефонов последних поколений, поддерживающих технологию 3G и обладающих развитыми мультимедийными и офисными функциями: запись видео и аудио, фото-камерами большого разрешения, программами доступа к электронной почте и Интернет-пейджингу (ICQ, Windows Messenger и т.п.); все эти данные сохраняются во встроенные флеш-накопители, время наработки на отказ которых достаточно невелико. Возможности же синхронизации таких устройств с ПК часто не перекрывают объемов информации, реально хранящихся на них. Именно поэтому, как правило, синхронизация не используется в полном объеме; кроме того, часто это не делается из соображений безопасности (традиционно считается, что данные на ПК защищены слабее, чем данные в мобильном телефоне или КПК).

Также, думаю, в обозримом будущем появятся специализированные центры по повышению квалификации инженеров, работающих в сфере data recovery. В частности, компании, выпускающие продукты для данного направления IT, уже сделали к этому первый шаг: например, ACE Laboratory уже не первый год производит краткие симпозиумы для своих клиентов, на которых, кроме освещения перспектив развития своих продуктов, проводятся также занятия по углубленному изучению их функций.

Рынок восстановления данных в настоящее время выходит на новый уровень развития, становится более цивилизованным; полагаю, следует ожидать его стандартизации и начала государственного лицензирования, так как отношения «клиент-компания» становится все сложнее регулировать инструментами самих компаний. Следует также ожидать определенных изменений в мировом и локальном законодательствах, связанных, прежде всего с ответственностью data recovery-компаний перед своими клиентами.


Поделиться информацией