ГлавнаяКонтактыКарта сайта
ЕПОС
О компанииКомпьютерная криминалистикаВосстановление информацииЗащита информацииПроизводство и ITСервисНаши разработки

Расследование инцидентов, компьютерная криминалистика, информационная безопасность

Книжная серия Взгляд на жесткий диск изнутри




Архив статей


16.10.2009
Безопасность хранения данных на современных цифровых носителях
   
Коженевский С.Р., к.т.н.,
Прокопенко С.Д.,
ООО «ЕПОС»


В случае потери доступа к данным на цифровых носителях пользователи ПК и даже многие ИТ специалисты нередко считают, что они утеряны безвозвратно, без возможности их восстановления. Во многом это связано с отсутствием в открытом доступе однозначной и достоверной информации о причинах потери данных и возможных методах их восстановления.

На практике оказывается, что в большинстве случаев ставшую недоступной информацию можно восстановить, независимо от причин, которые вызвали потерю доступа к ней. Так, по статистике Центра восстановления информации ЕПОС показатель успешного восстановления для НЖМД составляет 88%, для Flash накопителей – 94%.

ПРИЧИНЫ ПОТЕРИ ИНФОРМАЦИИ НА СОВРЕМЕННЫХ ЦИФРОВЫХ НОСИТЕЛЯХ

Статистика Центра восстановления информации ЕПОС по причинам потери информации приведена на рис. 1 и 2.

Данные за 2008г. об основных причинах потери информации, полученные на основании диагностики накопителей при обращении пользователей в Центр восстановления информации ЕПОС, приведены на рис. 1.

 
Рис. 1.  Причины потери информации по результатам диагностики накопителей

На рис. 2 приведены аналогичные показатели, но полученные на основе анализа неисправностей, заявленных пользователями при обращении в Центр восстановления информации ЕПОС.


Рис. 2. Причины потери информации по мнению пользователей. Сводные данные приведены в табл. 1.

Таблица 1. Причины потери информации на современных носителях

 Аппаратные сбои  68  66
 Программные сбои  9  5
 Ошибки пользователей
 8  24
 Воздействие вирусов  9  3
 Преднамеренные действия
 5  1
 Стихийные бедствия  1  1

Из рисунков и таблицы видно, что существует заметная разница между действительными причинами потери данных и тем, как они воспринимаются пользователями. В то же время точное определение причин отсутствия доступа к информации во многих случаях оказывает большое влияние на возможность ее последующего восстановления.

Например, на накопителе становится недоступным логический диск. Большинство пользователей рассматривают такую ситуацию как логическое разрушение данных и пытаются восстановить файлы с помощью разнообразных программных средств. Но очень часто оказывается, что такое разрушение логических структур вызывается (или сопровождается) появлением на накопителе нечитаемых блоков. Однако общедоступные программные средства не предназначены для работы с дефектами. Поэтому в лучшем случае результат их работы оказывается некорректным, в худшем – приводит к повреждению накопителя из-за многократных попыток прочитать нечитаемые сектора.

Статистика Центра восстановления информации ЕПОС показывает, что в более чем 35% пользователи пытаются самостоятельно восстановить данные перед тем, как обратиться к специалистам. Такие попытки в среднем отнимают у пользователя 1-3 дня. Но отсутствие достаточного опыта и неправильное определение причин отсутствия доступа к данным зачастую приводят к тому, что результатами самостоятельного восстановления становятся:

  1. Существенное увеличение сложности (а значит и стоимости) последующего восстановления информации;
  2. Частичная или полная безвозвратная потеря  данных:
  • для серверов и RAID систем    - в 35% случаев;
  • для жестких дисков - в 27% случаев;
  • для Flash накопителей     - в 7% случаев.

Таким образом, самостоятельные попытки извлечь данные также можно отнести к факторам, негативно влияющим на вероятность восстановление информации.

Основные причины потери информации на накопителях жестких магнитных дисках по статистике Центра восстановления информации ЕПОС за 2008 г. приведены на рис. 3.
  
Рис. 3. Причины потери информации на НЖМД

Из рис. 3 видно, что более 30% случаев потери данных связаны с отказами в герметичной камере НЖМД: отказами блока магнитных головок и заклиниваниями шпиндельного двигателя, которые относятся к наиболее сложным для восстановления информации случаям. При этом можно отметить, что с каждым годом количество таких неисправностей увеличивается.

ВОССТАНОВЛЕНИЕ ИНФОРМАЦИИ НА FLASH НАКОПИТЕЛЯХ

По сравнению с другими типами носителей информации Flash имеет ряд особенностей, среди которых можно выделить наиболее существенные:
  1. ограниченное количество циклов записи;
  2. наличие специальной резервной области;
  3. блочная организация памяти.

Такие особенности Flash памяти NAND типа приводят к необходимости использования производителями накопителей специальных алгоритмов оптимизации использования ячеек Flash памяти при записи данных. Это приводит к тому, что информация во Flash памяти записывается в кодированном виде. Отсутствие информации о принципах кодирования (что является коммерческой тайной многочисленных производителей Flash накопителей), и большое количество кодов затрудняют процесс восстановления информации.

По статистике Центра восстановления информации ЕПОС данные на Flash накопителях чаще всего становятся недоступными в результате:
  1. Разрушения служебной информации накопителя – 31%;
  2. Логических разрушений (стирание, форматирование) – 33%;
  3. Механических и электрических повреждений накопителя – 21%;
  4. Аппаратных отказов накопителя – 9%;
  5. Программных сбоев – 6%.

На рис. 4 приведена диаграмма случаев потери информации на флеш носителях.

 
Рис. 4. Причины потери информации на Flash накопителях

При этом в большинстве случаев (до 85%) основной причиной потери информации являются ошибки пользователей или нарушение правил эксплуатации флеш накопителей.

Хотя при программных сбоях возможно использование разнообразных утилит для восстановления данных, в случаях физических неисправностей накопителя существующие программные средства восстановления информации не могут быть использованы. Для восстановления информации в этих случаях требуются специальные аппаратные средства, обеспечивающие доступ к флеш накопителю на физическом уровне.

В компании ЕПОС на основе изучения принципов организации флеш памяти NAND типа и анализа принципов кодирования информации во флеш накопителях различных типов разработана оригинальная технология восстановления данных, обеспечивающая работу с неисправным накопителем на физическом уровне. Такая технология включает в себя специализированный аппаратно-программный комплекс EPOS FlashExtractor, а также специальные методики и средства декодирования информации.

КОМПЛЕКС СЪЕМА ДАННЫХ С МИКРОСХЕМ FLASH ПАМЯТИ EPOS FLASH EXTRACTOR

Аппаратно-программный комплекс EPOS FlashExtractor – эффективное профессиональное решение для восстановления данных с неисправных накопителей на основе Flash памяти типа NAND, основанное на технологии прямого физического доступа непосредственно к микросхемам Flash памяти. Комплекс позволяет осуществлять съем данных во всех случаях, связанных с невозможностью доступа к данным через внешний интерфейс Flash накопителя (физические неисправности контроллеров накопителей, закрытие паролем и т.п.).


Рис. 5. Комплекс съема данных с микросхем Flash памяти EPOS FlashExtractor
EPOS FlashExtractor обеспечивает возможность съема данных с любых типов накопителей и других устройств, использующих в качестве носителей данных микросхемы Flash памяти типа NAND (SLC, MLC). Наиболее эффективно комплекс может использоваться для восстановления информации с накопителей большой емкости (десятки, сотни Гигабайт).

Отличительными особенностями комплекса являются:
  • Наибольшая в индустрии для систем подобного рода скорость съема данных (до 4 Гб/мин);
  • Эффективный алгоритм коррекции данных нестабильно читаемых ячеек Flash памяти;
  • Поддержка микросхем, соответствующих стандарту Open NAND Flash Interface v.1.0;
  • Обширная база данных параметров микросхем Flash памяти с возможностью ее автоматического и ручного пополнения;
  • Возможность подключения нескольких комплексов EPOS FlashExtractor к одному ПК для увеличения производительности съема данных;
  • Возможность документирования и генерирования отчетов о последовательности и результатах выполнения операций при выполнении работ по восстановлению информации с Flash накопителей.


Основные характеристики EPOS FlashExtractor приведены в табл. 2.

Таблица 2. Характеристики комплекса EPOS FlashExtractor

ХарактеристикиЗначение
 Скорость чтения данных  до 4 ГБ/мин
 Поддержка стандарта
 Open NAND Flash Interface
 ONFI v1.0
 Коррекция ошибок чтения Имеется
 Управление питанием
 микросхем NAND Flash
 Vcc = 1,8В / 2,7В / 3,3 В
 Внешний интерфейс   eSATA
 Возможность горячего подключения  Имеется
 Определение параметров
 чтения микросхем
 1. Автоматическое, по паспорту ONFI
 2. Ручное
 3. Полуавтоматическое, по ID микросхемы
 Пополнение базы данных микросхем  1. Ручное 2. Автоматическое
 Поддерживаемый размер страниц
 микросхем NAND Flash
 Без ограничений
 Поддержка 8 и 16 разрядных
 интерфейсов
 1. Стандартный NAND
 2. ONFI NAND
 Поддержка ИМС со сложной
 организацией памяти
 (multi logical unit)   
 Имеется
 Длительность цикла чтения 20/25/30/35/50/100 нс
 Необходимость установки драйверов  Не требуется
 Лицензионные ограничения
 на использование ПО
 Без ограничений
 Электропитание Внешний БП 4,5... 5В 1А


Внедрение аппаратно-программного комплекса EPOS FlashExtractor  в производственный процесс Центра восстановления информации ЕПОС позволила достичь 94% успешности восстановления данных.


СЕРВИС ВОССТАНОВЛЕНИЯ ДАННЫХ НА FLASH ЧЕРЕЗ ИНТЕРНЕТ EPOS IRECOVERY

Существует группа пользователей, которые регулярно сталкиваются с проблемой потери информации на флеш накопителях. В нее входят организации, которые эксплуатируют большое количество флеш носителей, сервисные центры, салоны по продаже электроники, фотосалоны и т.п. В то же время задача восстановления данных на флеш носителях не является тривиальной и практически не поддается автоматизации. Для ее решения необходимо специализированное оборудование и программное обеспечение, необходимым условием являются также высокая квалификация и большой опыт инженеров. Компания ЕПОС предлагает новую уникальную услугу, которая позволяет решить проблему восстановления данных  в организациях, не имеющих профессиональных специалистов в области восстановления данных.

Новая услуга реализована в виде Интернет сервиса EPOS iRecovery. Для восстановления информации требуется передать через Интернет файл с содержимым Flash памяти, а затем также через Интернет загрузить восстановленные данные. Пользователям данной услуги для считывания содержимого памяти физически неисправных Flash накопителей предоставляется комплекс съема данных EPOS FlashExtractor.

Процедура восстановления данных состоит из трех этапов:

  1. Чтение содержимого Flash памяти с помощью комплекса EPOS FlashExtractor.
  2. Передача полученного образа через Интернет на FTP сервер компании ЕПОС.
  3. Загрузка восстановленных данных с FTP сервера компании ЕПОС.
Сервис EPOS iRecovery предоставляется на условиях подписки. Все пользователи сервиса обеспечиваются технической поддержкой и обновлениями программного обеспечения и баз данных комплекса.

С помощью Интернет сервиса EPOS iRecovery возможно восстанавливать данные практически с любых современных Flash накопителей:
  • USB Flash накопители;
  • Твердотельные SSD накопители;
  • Карты памяти Secure Digital (SD card), CompactFlash, xD Card, Memory Stick, MultiMedia Card (MMC), SmartMedia;
  • Цифровые фотоаппараты, диктофоны, MP3-плейеры, карманные компьютеры и другие устройства на базе NAND Flash.


АНАЛИЗАТОР ПРОТОКОЛОВ EPOS ATA ANALYZER

Стандарт интерфейса АТА (в различных вариантах исполнения – PATA, SATA, CE-ATA и др.) широко используется для подключения устройств хранения данных, таких как НЖМД, оптических приводов, твердотельных накопителей SSD на основе Flash памяти и т.п. уже более 20 лет. Разработчики аппаратных и программных средств, работающих с носителями информации, ежедневно сталкиваются с проблемой регистрации и анализа данных, передаваемых по этому интерфейсу.

Компания ЕПОС разработала анализатор EPOS ATA Analyzer – универсальное инструментальное средство анализа протоколов интерфейса АТА, предназначенное для регистрации и отображения команд и данных, передаваемых между любыми устройствами с интерфейсами Parallel ATA или Serial ATA.
    
Рис. 6. Анализатор протоколов EPOS ATA Analyzer

Анализатор разработан с учетом требований инженеров и разработчиков, которым необходим простой в использовании, но функциональный инструмент, обеспечивающий возможность работы как в стационарных условиях, так и на выезде. Он подключается к ноутбуку (или другому инструментальному ПК) по высокоскоростному интерфейсу USB 2.0 и обеспечивает регистрацию, сохранение и обработку протоколов взаимодействия устройств с интерфейсами АТА.

EPOS ATA Analyzer представляет собой специальный адаптер, который включается в разрыв между исследуемой системой и накопителем (рис. 7). Он регистрирует все команды и данные, которыми они обмениваются, и через интерфейс USB передает их на отдельный инструментальный ПК. Специальное программное обеспечение инструментального ПК обеспечивает сохранение, обработку и отображение полученных данных.

 

Рис. 7. Принцип подключения анализатора EPOS ATA Analyzer


Анализатор разработан с учетом требований самой последней версии спецификации интерфейса АТА-8. Он обеспечивает работу с хостами и устройствами с интерфейсами Parallel ATA и Serial ATA в любых комбинациях. Другими словами, к SATA хосту может быть подключено как SATA устройство, так и PATA устройство, и наоборот, к PATA хосту можно подключать PATA и SATA устройства. Схемы подключения анализатора EPOS ATA Analyzer приведены на рис. 8.
    




          а) PATA хост --> PATA устройство






   


           б)  PATA хост --> SATA устройство





   в) SATA  хост --> SATA устройство



 

  г) SATA  хост -->  PATA  устройство








Рис. 8. Схемы включения анализатора EPOS ATA Analyzer

Возможности EPOS ATA Analyzer обеспечивают ему широкий спектр применений. В частности, он может использоваться:

  • в качестве инструмента для разработки и отладки устройств и программного обеспечения, работающих с накопителями по интерфейсам PATA и SATA;
  • в исследовательских и учебных целях для изучения работы дисковой подсистемы ПК;
  • для оценки работы специального ПО, например, при поиске в нем программных закладок;
  • для выявления специальных команд (т.н. вендор команд), используемых в технологических режимах работы накопителей в процессе ремонта и восстановления данных;
  • для исследования взаимодействия программных и аппаратных криптографических средств с дисковой подсистемой ПК с целью поиска в них уязвимостей;
  • для определения и снятия паролей, установленных на жестких дисках;
  • для выявления алгоритмов взаимодействия специального оборудования (промышленных устройств, медицинской техники, автомобильных бортовых ПК и т.п.) с установленными в нем жесткими дисками при ремонте и восстановлении работоспособности такого оборудования;
  • в любых других приложениях, где необходимы регистрация и анализ данных и команд, передаваемых по интерфейсу АТА при взаимодействии хоста с накопителями.

Основные характеристики анализатора EPOS ATA Analyzer:

1. Поддержка протокола АТА-8 во всех режимах
Поддержка устройств с интерфейсами Parallel ATA или Serial ATA в режимах PIO (включая PIO4), DMA (включая MultiWord DMA2) и UltraDMA (только команды).

2. Неограниченный объем регистрируемых данных
Объем регистрируемых данных не ограничивается ничем, кроме емкости дисковой подсистемы инструментального ПК.

3. Не требуется внешнего источника питания
Питание от USB порта инструментального ПК и небольшие габариты позволяют использовать анализатор как в условиях сервисного центра, так и на выезде.

4. Удобный интерфейс программного обеспечения
Программное обеспечение анализатора имеет простой интерфейс и обладает развитыми возможностями просмотра и анализа полученных данных.

5. Небольшие габариты
Основные технические характеристики анализатора приведены в табл. 3.

Таблица 3.  Характеристики анализатора EPOS ATA Analyzer

Характеристики
Значение
 Поддержка интерфейса АТА Спецификация АТА–8
 Физический тип анализируемого интерфейса

 -Parallel ATA
 -Serial ATA (SATA 1,  SATA 2)

 Состав регистрируемых данных
 - Адреса и содержание АТА регистров
 - Данные, передаваемые в режимах PIO и DMА
 - Тип выполняемой операции (запись / чтение)
 Скорость передачи данных между анализатором и
 инструментальным ПК
 До 33 Мбайт/сек
 Объем регистрируемых данных
 Не ограничен
 Интерфейс с инструментальным ПК
 HighSpeed USB 2.0
 Габаритные размеры
 110 х 70 х 25 мм
 Электропитание
 По шине USB


Доклад представлен на Втором научно-практическом форуме "Информационное сообщество & электронное правительство: реинжениринг, технологии, безопасность", г. Ялта, 13-17 октября 2009 г.

 

Поделиться информацией