7

Oto, jak Polacy tracą dane. Rozmawiamy ze specjalistą w dziedzinie ich odzyskiwania – Krzysztofem Dołhanem

odzyskiwanie danych
Jak wygląda naprawa i odzyskiwanie danych z dysku SSD a jak z HDD? Czy nowoczesne konstrukcje są mniej wytrzymałe od wcześniejszych? Jakie ciekawe historie stoją za utratą danych? Tego wszystkiego dowiecie się z dzisiejszego wywiadu.

Jakiś czas temu miałem przyjemność porozmawiać z Danielem Rakowieckim – specjalistą od naprawy laptopów i właścicielem bardzo interesującego kanału na YouTube. Traf chciał, że chwilę po tej rozmowie algorytm serwisu podrzucił mi kolejny film, tym razem z naprawy dysku twardego. Obejrzałem jeden. A potem kolejny. I kolejny.

Filmy okazały się pochodzić z kanału Krzysztofa Dołhana, który prowadzi swój własny serwis SGdata i na wizji pokazuje, jak przeprowadza naprawy. Jako, że poprzedni wywiad bardzo was zainteresował, postanowiłem, że spróbuję skontaktować się z właścicielem kanału i zadać mu dla was kilka pytań. Krzysztof okazał się wspaniałym rozmówcą, dlatego poniżej możecie przeczytać bardzo wyczerpujące i pełne technicznych detali odpowiedzi na zadane przeze mnie pytania.

Klienci zwracają się do Ciebie z różnymi usterkami. W jaki sposób Polacy najczęściej psują swoje sprzęty?

Krzysztof Dołhan: Nasi rodacy niewiele się w tym temacie różnią od obcokrajowców. Generalnie bardzo dużo osób jest zaskoczona, że ich nośnik przestał działać, a dostęp do danych zniknął. Że upadek dysku z 50cm jest dla niego zabójczy, telefon nie potrafi pływać, a pendrive nie jest wieczny. Dyski twarde to w większości przypadków upadki ze wszystkich możliwych wysokości. Raz czy dwa nawet trafił się taki, który miał nagłe spotkanie ze ścianą. Powód? Nie pytałem.

Dyski SSD to praktycznie same przypadki „nagle przestał działać”. Bardzo dużo osób uważa, że to nowsza technologia niż HDD, że są trwalsze. Niestety jest zupełnie odwrotnie, a znaczna większość braku dostępu do danych wynika z uszkodzeń oprogramowania kontrolera, a to z kolei wynika z degradacji komórek pamięci. Coraz większe pojemności, coraz więcej stanów naładowania komórek, które mają być rozpoznawane i do tego szybki proces ich degradacji. To samo aż się prosi o awarię. Kupujemy jak najtaniej i jak największe pojemności. Takie dyski ulegają awarii w okresie tygodnia do dwóch lat od pierwszego uruchomienia, gdzie na starych HDD ciągle stoją fabryki, a owe nośniki mają po 100 tys. lub więcej godzin przebiegu i zero bad sectorów.

Jaka była najbardziej nietypowe/ciekawe zgłoszenie jakie otrzymałeś?

KD: Każda historia odzyskiwania danych dla osoby prywatnej jest ciekawa. Zawsze stoi za tym ładunek emocjonalny związany z utraconymi informacjami. No, może poza jednym panem, który na dość niski koszt odzyskania danych ze ślubu i wesela odpowiedział „eee nie warto”. Zdjęcia dzieci, z wakacji, ważne chwile z życia… Pamiętam jedną panią. Chodziło o  zdjęcia nowonarodzonego dziecka, które przypadkiem usunęła z telefonu. W tamtych czasach nie istniało coś takiego jak TRIM i usunięte zdjęcia można było odzyskiwać z telefonów. Chodziło chyba o 3, może 5 zdjęć. Ale wdzięczność jaką było czuć, gdy dane udało się odzyskać po prostu nie da się opisać! W tamtym momencie byłem w 100% spełniony zawodowo. By się tak czuć gotów bym był to robić za darmo. Oczywiście gdyby ktoś mnie utrzymywał i dawał kieszonkowe.

Drugim najważniejszym w mojej historii przypadkiem była moja pierwsza wymiana głowic już dla klienta. Długo się do tego przygotowywałem mentalnie, w teorii i praktyce. Pamiętam, że był to Samsung 2,5 cala, chyba 250GB. W tamtym czasie jeszcze korzystałem z komory laminarnej w jednej z aptek, jakieś 20km od miejsca pracy. Stąd całą drogę powrotną nie wiedziałem jeszcze czy się udało. Podłączyłem dysk i… zadziałał! To było niesamowite. Fantastyczne uczucie! Nekromanta IT w czystej postaci. I to było właśnie to, co chciałem już zawsze robić. Odzyskiwać coś co wydawałoby się, że przepadło na zawsze. A zaczęło się dość niewinnie, jeszcze na studiach kiedy to po wypadzie w góry koleżanka z roku powiedziała: pomóż, bo skasowałam wszystkie zdjęcia niechcący. Zdecydowanie bardziej wolę te przypadki gdy ktoś utracił bliskie mu dane niż szukanie na kogoś haka. Bo i takie zapytania są. Najgorszy tego typu przypadek pamiętam dotyczył pewnej pani, której mąż mógłby nazywać się Jaime Lannister, że tak to ujmę.

To teraz nieco teorii – jak wygląda krok po kroku proces odzyskiwania danych?

KD: Najpierw nośnik trafia w moje ręce. Przy kontakcie osobistym jestem w stanie dopytać o rzeczy kluczowe, m.in. co się stało, jakie są objawy, gdzie były najważniejsze dane. Przy okazji mogę przybliżyć proces, jak wygląda, ile trwa, ile może kosztować. Wysyłkowo często się zdarza, że Klienci piszą „zdjęcia, dokumenty, filmy można olać”. To nieco utrudnia sprawę bo nie wiem gdzie kto co miał zapisane. Ma to kluczowe znaczenie bym wiedział co dokładnie potrzeba bo czasem się zdarza, że nośnik uda się uruchomić dosłownie na 2 minuty. Był taki przypadek. Seagate Rosewood 2TB,czyli ST2000LM035. Te dyski to chyba najgorsza konstrukcja ostatnich 10 lat, jeżeli chodzi o jakość wykonania. Kiepskie i do tego zablokowane oprogramowanie, marnej jakości talerze i głowice. Zmora wszystkich firm odzyskujących dane. Dysk był po upadku, czyli miał uszkodzone głowice i powierzchnię. Widać było, że długo nie pożyje. Szybki telefon, dopytałem klienta co jest najcenniejszego i gdzie to dokładnie było. Dwa pliki. Jakieś podsumowanie roku, sprawozdanie czy coś podobnego. Dysk uruchomiłem, szybko zgrałem oba pliki, bez robienia kopii modułów czy skanowania struktury katalogów… i dysk padł. Stąd wywiad jest bardzo ważną częścią ekspertyzy.

Następnie nośnik jest analizowany co do uszkodzeń, stanu powierzchni czy pamięci by w końcu przystąpić do naprawy, jeśli jest możliwa. W przypadku dysków uszkodzonych fizycznie, sprawdzana jest powierzchnia, stan głowic, czy filtr nie zawiera pyłu powstałego od uszkodzenia powierzchni talerzy. Wymieniane są głowice, jeśli jest taka konieczność i dysk jest uruchamiany w PC3000, w dostosowanym dla danego modelu zestawie narzędzi programowych, które umożliwiają na przykład zmianę ilości i kolejności głowic w RAM, odblokowanie ROM czy usuniecie problemów z którymś z modułów. I oczywiście często są to kombinacje wielu problemów do rozwiązania, np. w dyskach WD jest moduł 32, tzw. Relo-list. Lista relokacji. Dysk zbiera w tym module różne śmieci gdy ma problemy z odczytem. To zwykle powodowane jest problemami z odczytem czyli uszkodzeniem powierzchni lub jednej z głowic.

Często zdarza się, że klienci próbują sami „naprawić” swój sprzęt, zanim wyślą go do serwisu. Czy są jakieś rzeczy, których na pewno NIE POWINNI robić?

KD: Oj tak, często się zdarzają. Szczególnie w dyskach ludzie lubią zajrzeć i sprawdzić co tam się dzieje. Czasem pytam czego tam szukali. Odpowiedź zawsze jest ta sama: „nie wiem”. Też nie wiem co nimi kieruje i skąd tak wiele mitów na temat odzyskiwania danych. Odpowiedź na pytanie czego nie powinni nigdy robić, to właśnie otwierać dysków. Tym bardziej, że w tych wszystkich przypadkach, w domowych naprawach brakuje logiki i przemyślenia działań, a przecież często są tam bezcenne dla właściciela dane. Jeśli swoje dane w ten sposób tracą – trudno. Ale często są to nośniki kogoś innego. Na większość bolączek ludzie próbują wymieniać elektronikę. Dysk normalnie pracuje, ale nie ma dostępu do danych – wymieniają PCB, stukają głowice i tak dalej. Mnóstwo jest otwieranych dysków w przypadkach gdy klient mówił, ze czuł, że dysk się rozpędza, że stukają głowice. A otwierał bo myślał, że to właśnie głowice są zablokowane na powierzchni talerzy.  Gdyby faktycznie były zaparkowane to dysk nie mógłby się rozpędzić.

Youtube pomaga niestety psuć nośniki i dane. Jedna z pań kiedyś zadzwoniła, że postępowała zgodnie z filmem by odblokować swój telefon. Nie obejrzała całego przed operacją tylko od razu zgodnie ze wskazówkami… informacja o utracie danych pojawiła się na samym końcu filmu. Pani niestety utraciła bezpowrotnie swoje zdjęcia.  Z drugiej strony wiedza o działaniu HDD jest bardzo mała. Czasem słyszę o głowicy, która działa dokładnie jak w gramofonie czy nawet jest nazywana igłą. Stworzyłem własny kanał na Youtube z dwóch powodów. Pierwszy to pokazanie jak wygląda taki proces odzyskiwania danych, diagnostyka i, że nie jest to magiczne pudełko do którego wkładamy nośnik, robimy 3 obroty w prawo, stukamy w wieczko wypowiadając sim sala bim i z drugiej strony wyskakują dane. I sama diagnostyka, bo bardzo dużo osób np. kupuje terminal do Seagate i wklepuje komendy przeliczania translatora, co może skończyć się bezpowrotną utratą danych. A drugi powód to odpowiedź na odwieczne pytanie: dlaczego odzyskiwanie danych jest takie drogie. Czasem zdarza się, że osoba zainteresowana usługą odzyskania danych dziwi się, że to takie drogie mówiąc ”przecież taki dysk kosztuje 200zł”… Oczywiście są tacy, którzy próbują te filmy traktować jako instrukcje, a to, że narzędzia i warunki w kuchni na stole mają nieco inne… Ciekawe czy zęby też sobie leczą w podobny sposób.

Dużo przypadków to naprawy po tzw. „informatykach” jak często określa się osoby, które są „dobre w Windowsa” i ludzie dają swoje nośniki do sprawdzenia lub do serwisów próbujących swoich sił w tym temacie. Nie dalej jak wczoraj przyszła przesyłka i po krótkiej wymianie maili przeczytałem „Otwierany przez serwis elektroniczny naprawiający również dyski. Na pewno wiedzą co to kurz i odciski palców”. Tak, wiedzieli, bo nawet kilka zostawili i wytarli je czymś zostawiając zamazany ślad. Na 100% odzyskania danych nie można już było liczyć, a koszt odzyskania znacząco wzrósł.

Częste problemy z dostępem do danych powodowane są nieużywaniem bezpiecznego usuwania sprzętu. Gdy nośnik w trakcie zapisu informacji jest nagle odcięty od zasilania mogą powstać uszkodzenia struktury logicznej… jeśli mamy szczęście. Zwykle objawia się to tym, że po podpięciu ponownym nośnik informuje o konieczności sformatowania. W takiej sytuacji oczywiście używamy opcji „anuluj” i sprawdzamy czy nośnik jest widoczny z pełną pojemnością. Jeśli tak – możliwa jest naprawa lub odzyskanie danych bez ingerencji fizycznej w nośnik. Jeśli nie mamy szczęścia, to pamięć flash będzie wykrywana z zerowa pojemnością, a dysk nie będzie się kręcił. Często w takiej sytuacji głowice nie zdążą wrócić na rampę parkingową lub specjalną część talerzy przy osi silnika i kończy się to zaparkowaniem głowic na powierzchni dysku. Słychać wtedy „cyfrowy” dźwięk i nie czuć, że talerze się obracają. Na takie przypadki też często klienci wymieniają PCB.

Kolejnym popularnym błędem jest używanie darmowych programów, które w nieodpowiednich rękach bywają zabójcze dla danych bo nie blokują możliwości odzyskania danych na ten sam nośnik. Nieświadomy tego użytkownik nadpisuje swoje utracone dane i to się zwykle kończy brakiem możliwości odzyskania danych. Kolejny czysto logiczny problem to użycie dysku z ważnymi informacjami jako instalatora Windows. Często słyszę „instalator nie mówił, że stracę dane!”. To akurat prawdą nie jest bo informował o tym. Klikanie „next, next. next, ok” często źle się kończy.
Może teraz cofnijmy się do czasu przed podjęciem złej decyzji…

Bardzo dobrą praktyką gdy spotka nas nieszczęście utraty dostępu do danych jest zaprzestanie wszelkich działań i nie robienie nic z nośnikiem w stresie, który właśnie nas dopadł. Zostaw, ochłoń.  Uruchamianie dziesiąty raz dysku, który stuka głowicami może tylko zaszkodzić. Nic samo się tam nie naprawi. Wgrywanie oprogramowania do pendrive, który jest nieprawidłowo wykrywany wyzeruje jego komórki pamięci i już nikt nie pomoże.

Resetowanie telefonu do ustawień fabrycznych obecnie oznacza brak jakichkolwiek szans odzyskania danych… Następnie przypomnij sobie jakie są objawy, czy coś stuka, czy coś buczy, czy jest zerowa pojemność, czy się pamięć grzeje mocno. Zadzwoń do wybranej przez siebie firmy. Dopytają o szczegóły, może coś doradzą, albo zaproszą na ekspertyzę. Sporo firm nie pobiera za samo sprawdzenie opłaty więc ryzykujesz najwyżej koszt przesyłki. Ale za to dowiesz się co z Twoim nośnikiem jest nie tak, co można odzyskać i w jakiej cenie mniej więcej.

Jak oceniasz wpływ nowych rozwiązań na trwałość i możliwość naprawy nośników? Masz w tym względzie jakiegoś swojego „faworyta”?

KD: Gdybym miał nowe technologie nośników danych określić jednym słowem to byłoby to „zaraza”… Dawniej, w pięknych czasach małych pojemności i pamięci SLC utrata danych groziła tylko w przypadku np. uszkodzenia kontrolera w pendrive lub fizycznego uszkodzenia samego nośnika.. Gdy robię chip-off z takich pamięci to odczyty są praktycznie idealne. Niewiele lub nic nie trzeba korygować czy doczytywać. Pozostaje poskładać to w logiczną całość. Pewien czas temu było pilne zlecenie – odzyskanie klucza Bitlocker zapisanego na starym pendrive o pojemności 16GB. Po opracowaniu na szybko pinoutu, czyli sposobu podłączenia się, bo to była pamięć monolityczna, wykrywany był tylko jeden z dwóch kryształów pamięci. Poskładanie tego w logiczną całość nawet nie było potrzebne, a, że klucz był w pliku txt, czyli treść można było podglądać w hex-edytorze dość łatwo udało się go znaleźć. W nowych urządzeniach taki numer nie przejdzie. Potem pojawiły się MLC, pamięci dwubitowe. I, co wynika z budowy i zasady działania pamięci flash, z czasem traciły ładunek, a odróżnienie stanów mogło powodować problemy. TLC, 3 bity, czyli osiem różnych stanów dla każdej komórki. Z takich pamięci często chip-off jest pełen błędów, których nie da się skorygować lub doczytywanie trwa wiele dni na różne sposoby i w różnych warunkach temperaturowych.

Obecnie karty pamięci i pendrive miewają bardzo skomplikowany algorytm korekcji błędów – LDPC, którego póki co nikt nie rozpracował. Co za tym idzie, możliwości odzyskania danych są praktycznie żadne, jeżeli chodzi o odczyt bezpośredni z pamięci. Nie wyobrażam sobie co będzie z QLC. Czas życia komórek w pamięciach SLC liczony był w setkach tysięcy godzin. W TLC jest to wartość przynajmniej sto razy mniejsza. W dyskach SSD, bo to właściwie taki większy pendrive, również często ulega uszkodzeniu oprogramowanie kontrolera. A, że ktoś kiedyś wymyślił by dane na takich dyskach szyfrować to odpada zupełnie odczyt bezpośrednio z kości pamięci. Na szczęście jest ACELab, którego PC3000 potrafi w wielu przypadkach, wprowadzając dysk w tryb technologiczny, wgrać tzw. Loader, dzięki któremu możemy zbudować wirtualny translator i odzyskać dane.

Rynek dyktuje tutaj nabywca, dlatego jest mnóstwo modeli o bardzo niskiej jakości pamięciach, które potrafią paść nawet po tygodniu. Producentów HDD jest w tej chwili trzech: WD, Toshiba, Seagate. Producentów pendrive, kart pamięci, SSD są setki. Brak standaryzacji sprawia, że prawie każde urządzenie jest inne. Ciągły bieg za coraz większą prędkością i pojemnością właśnie tworzy podobne wynalazki jak SMR. Kolejne utrudnienie w przypadku uszkodzenia. W takich dyskach już są dwa translatory, a ilość informacji zapisywanych w przypadku nawet drobnej zmiany jest ogromna. Dodatkowo część tych dysków ma funkcję TRIM, czyli zerowanie sektorów z których usunęliśmy dane. Co to oznacza? Że operacje zapisu i odczytu na takim dysku trwają non stop… Uszkodzenie translatora we wcześniejszych dyskach można było naprawić i odzyskać dane w pełnej strukturze plików i katalogów. Problem z drugim translatorem w SMR powoduje, że można odzyskać dane jedynie wg. Sygnatur. Czyli od razu wszystkie pofragmentowane pliki będą uszkodzone. A jak wiemy, dysk zapisuje dane tam gdzie ma wolne miejsce, a nie w ciągu.

Na temat rozwiązań Apple mam same negatywne opinie. To w jaki sposób firma traktuje swoich klientów jest zdumiewające. Blokują wszelkie możliwości naprawy, odzyskania danych, dyski SSD mają w zupełnie nie pasujących do niczego rozmiarach. A filmów z napraw i historii kontaktu z ich supportem jest mnóstwo i banów rozdawanych na ich własnym forum za próby pomocy poprzez wskazanie kogoś, kto jest w stanie pomóc odzyskać dane. Dosłownie skazują użytkownika na używanie ich chmury. Wszystkie te zabezpieczenia ponoć służą bezpieczeństwu informacji, tylko pytanie, kto ma dostęp do danych w chmurze i gdzie, u kogo one są przechowywane?

Jeżeli miałbyś wylistować – jaką naukę chciałbyś przekazać czytelnikom?

KD: – Jedna kopia to nie backup. Bardzo popularne jest podejście zasady 321, czyli 3 backupy danych na dwóch różnych urządzeniach z czego jedno z nich powinno być w innej lokalizacji niż firma/dom. Dobrym rozwiązaniem jest kupić dwa dyski różnych producentów(gdyby któryś miał wadę fabryczną to uszkodzeniu ulegnie tylko jeden z nich) i trzymanie ich w różnych pomieszczeniach lub budynkach. Mam jednego klienta, który bardzo dokładnie analizował ryzyko utraty danych w swojej, umieszczonej na wzniesieniu, firmie. Pożar i powódź nie dawały mu spokoju. Rozwiązał to w ten sposób, ze przekopał się pod jezdnią do sąsiada i u niego trzyma NASa z backupem.

– Dyski SSD, pamięci flash czyli karty pamięci, pendrive padają nagle i bez ostrzeżenia. Jeśli kupujesz kartę pamięci/ pendrive – kup dwa. Może się kiedyś przydać przy odzyskiwaniu danych w celu opracowania XORa lub pinoutu.

– W telefonach z Androidem powyżej 6.0 generalnie nie ma możliwości odzyskania skasowanych zdjęć, filmów i innych multimediów, a po resecie do ustawień fabrycznych nawet SMSów.

Wielkie dzięki za rozmowę!

Nie zapomnijcie wpaść na kanał SGdata, żeby zobaczyć, jak wygląda naprawa omawianych dziś sprzętów w praktyce.