Go to Top

O poszukiwaczach zaginionych danych

specjalista

Między zawodem specjalisty ds. odzyskiwania danych a zawodem specjalisty ds. informatyki śledczej istnieje wiele różnic, ale jednocześnie mają oni ze sobą wiele wspólnego. Oboje poszukują danych, które zostały z pewnych przyczyn utracone…

Specjalista ds. odzyskiwania danych otrzymuje nośnik od klienta (w niektórych przypadkach pracuje przez internet lub w siedzibie klienta) z prośbą o przywrócenie utraconych danych. Pierwszym krokiem jest przeprowadzenie wstępnej diagnozy, która ma na celu ustalenie możliwości odzyskania plików. Po wykonaniu analizy określa szanse na odzysk danych i koszt usługi. Szczegółowy raport z ekspertyzy zawiera pełną listę plików, które można będzie przywrócić.

Jeżeli klient da zielone światło (czyli zapozna się z wynikami diagnozy i zaakceptuje koszt usługi), ekspert przystępuje do odzyskiwania danych. Sposób, w jaki będzie pracował, zależy od przyczyny utraty danych oraz rodzaju nośnika. Jeżeli można wyeliminować uszkodzenie fizyczne poprzez wymianę wadliwej czy zepsutej części, przywrócenie dysku do stanu używalności jest stosunkowo proste. Firmy zajmujące się odzyskiwaniem danych dysponują dużym zapleczem części zamiennych do uszkodzonych nośników (kontrolerów, głowic). Co ważne, profesjonaliści w zakresie odzyskiwania danych podpisują umowy z wieloma producentami nośników czy innych sprzętów, przez co wymiana uszkodzonej części nie musi oznaczać utraty gwarancji producenta.

Problematyczne nośniki

Jeżeli specjalista ma do czynienia z uszkodzeniem mechanicznym dysku twardego, musi zajrzeć do jego środka. Jedynym dobrym miejscem, aby to zrobić, jest tzw. cleanroom, czyli odpowiednio przygotowane, sterylne pomieszczenie. Powierzchnie talerzy muszą być chronione od najmniejszych zanieczyszczeń. Nawet niewielkie pyłki mogą dostać się między szybko obracający się dysk, a głowicę umożliwiającą odczyt i zapis danych, powodując tym samym rysowanie powierzchni talerzy. Dla porównania: wyobraź sobie, że głowica jest Airbusem, który leci z maksymalną prędkością na wysokości jednego metra. Wówczas nawet odrobina pyłku urasta do rangi ogromnego głazu…

W przypadku uszkodzeń logicznych dane są odzyskiwane za pomocą specjalistycznych narzędzi programowych. Osoba profesjonalnie zajmująca się odzyskiwaniem danych musi potrafić obsługiwać wiele programów od zewnętrznych producentów, a także samodzielnie opracowane narzędzia. Problematyczne może być tutaj odzyskiwanie danych z dysków SSD z kontrolerem szyfrującym. Dane z zaszyfrowanych dysków SSD bez klucza dostępu nie mogą być odzyskane.

Można powiedzieć, że specjalista ds. odzyskiwania danych znajduje się w bardziej komfortowej sytuacji, niż ekspert informatyki śledczej, gdyż klienci chętnie z nim współpracują i udzielają potrzebnych informacji. Praca informatyka śledczego nie wygląda tak kolorowo. W tym przypadku nierzadko musi on stosować metody hakerów, aby uzyskać dostęp do sprzętu. Poza tym osoba odzyskująca dane nie interesuje się zawartością przywracanych plików, tj. nie sprawdza ich. Natomiast specjalista ds. informatyki śledczej musi przeprowadzić śledztwo, przygotować dokumentację i dowody, które umożliwią ustalenie potrzebnych faktów, a także ustalić, kto ponosi odpowiedzialność w sprawie. Raport z pracy informatyka śledczego na przykład może zawierać informacje na temat tożsamości sprawcy, okresu i zakresu przestępstwa oraz informacje na temat motywacji i przebiegu przestępstwa.

Jak zostać ekspertem ds. informatyki śledczej?

W Europie funkcjonuje już wiele uniwersytetów i szkół wyższych, które oferują kursy informatyki śledczej, studia podyplomowe w tym zakresie czy możliwość wyboru takiej specjalności na kierunkach informatycznych. Wiele osób, które ukończyły studia informatyczne, pracuje w tej branży. Specjalistami ds. informatyki śledczej zostają także osoby, które wcześniej pracowały np. w policji i miały już kontakt z cyberprzestępczością.

Jeżeli chcesz dowiedzieć się, czym tak naprawdę jest odzyskiwanie danych lub jak wygląda praca informatyka śledczego od kuchni, koniecznie zapisz się do naszej Akademii Wiedzy!

 

Zobacz także: Informatyka śledcza dla niewtajemniczonych

One Response to "O poszukiwaczach zaginionych danych"

  • Kaleron
    13 sierpnia 2018 - 16:58 Reply

    “Szczegółowy raport z ekspertyzy zawiera pełną listę plików, które można będzie przywrócić.” – taki raport może podać tylko ktoś, kto tak naprawdę odzyskał dane…no może jeszcze ich nie wykopiował…ale to ostatnia i najprostsza czynność w odzyskiwaniu danych. W przypadku uszkodzonych nośników nie da się sporządzić listy możliwych do odzyskania plików ani na podstawie oglądania talerzy dysku twardego ani na podstawie przeglądania obrazów binarnych układów Flash-NAND w hex-edytorze. Żeby wiedzieć, jakie pliki znajdowały się na dysku, trzeba mieć odtworzoną strukturę logiczną, a żeby wiedzieć, które z nich faktycznie da się odzyskać…najlepiej je skopiować i spróbować otworzyć…a widząc ich zawartość łatwiej określić maksymalną cenę, jaka będzie dla klienta do przełknięcia…

    “Osoba profesjonalnie zajmująca się odzyskiwaniem danych musi potrafić obsługiwać wiele programów od zewnętrznych producentów…” – im dłużej pracuję w odzyskiwaniu danych, tym tak naprawdę mniej programów używam. Większość programów do odzyskiwania danych tak naprawdę sprowadza się do prostego skanowania struktur logicznych – więc wystarczy jeden, który robi to dobrze + hex-edytor do pracy ręcznej + coś do grzebania w SA i do składania binarek nośników półprzewodnikowych…tak naprawdę nie tyle trzeba umieć obsługiwać programy, bo oblatać interfejs nie jest dużym problemem, co trzeba rozumieć nośniki i wiedzieć, co się chce z nimi zrobić.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *