חדשות טיק טק שחזור מידע

מה בגיליון החודש?

	על בלשים ומחשבים
	תקלות אלקטרוניות בדיסקים
	סיכום תערוכת Computax 2005
	עדיין מגבים בטייפים
	שיתופי פעולה עם דילרים
	המקרה המעניין של החודש

על בלשים ומחשבים

Emile Locard היה פסיכיאטר משטרתי וקרימינולוג צרפתי. הוא טען כי כל אדם העובר דרך חדר ישאיר בו משהו, וגם ייקח משהו עמו. עקרון החלופה של לוקארד מתקיים גם לגבי כוח אדם בארגונים: כל עובד מביא עמו או יוצר משהו שהוא משאיר - חיובי או שלישי, ערכים, מנהגים, אמרות, תוצרת, לקוחות... הוא גם לוקח משהו ממקום העבודה - ניסיון, קשרים, תמורה, חוויות... הלא כך בכל המישורים של חיי האדם?
במחשוב הפורנזי, אנו מחפשים אחר הסימנים שמשאיר מי שיצר מידע, מי שנכנס למחשב, לתיבת דואר, ספריה או קובץ. אין כמעט אפשרות לבצע כל פעולה על גבי מערכת מחשב מבלי להשאיר סימנים נסתרים מן העין אך רשומים בביטים. מה לוקחים איתם המבקרים הבלתי רצויים? - בעקר מידע, וגם במערכות של הפורצים נוצר תיעוד של הפעילות החודרנית.
במהלך בדיקה פורנזית של מדיה אלקטרונית יש חשיבות רבה לאבחנה בין ראיה אוֹרְגִּינָלִית לארטיפאקט, ממצא מלאכותי שהוא מעשה ידי אדם. בבדיקת משטח דם, למשל, בועית אוויר יכולה להיות ארטיפאקט שמבלבל את הבודק. במחשוב פורנזי גם סימנים שנוצרו על ידי צוות החוקרים -והם בגדר ארטיפאקטים לצורך החקירה- חייבים תשומת לב ותיעוד.
במקרה מסוים שנחקר בבריטניה, למשל, התגלה כי אחד מחברי צוות החקירה המשטרתי שתל ראיה בכך שכתב אל הדיסק "בשם" הקורבן.
אחד מן האתגרים הגדולים ביותר לכל חוקר הוא לאמת את הארטיפאקטים שנמצאו. גם לאחר מאמץ רב לשחזור מסר דואל או מסמך אחר, עלינו לשאול אם הוא חוקי, או אם יתכן והתוכן שלו שונה בין זמן התרחשות הפשע לרגע בו נמסר המחשב למשמרת במעבדה.

"To write the history of identification is to write the history of criminology".
( Emile Locard (1877-1966

תקלות אלקטרוניות בדיסקים

תקלות במנגנונים האלקטרוניים המפעילים את הדיסקים הקשיחים בד"כ קשורות ללוח הבקרה שלו. המחשב יכול להיפגע מקפיצת מתח החשמל (spike) או ממכת חשמל הממוטטת את לוח הבקרה של הדיסק הקשיח, מה שלא מאפשר ל-BIOS לזהות אותו.
לחלופין, הבעיה יכולה להיות קשורה לתוכנה המוטבעת בחומרה (Firmware), כמו שיבוש של המיקרו-קוד בלוח הבקרה של הדיסק. תקלה מסוג זה מסוגלת להופיע עם מגוון סימנים התלויים בסוג הדיסק וחומרת הבעיה.
בכל דיסק יכולה להופיע בעיה אלקטרונית, וברוב המקרים המידע שעל גבי הדיסק לא יפגע, עם סיכוי שחזור של 100% של המידע.

לאורך השנים ראינו תקלות שנחשבו "קלאסיות" לסוגים מסוימים של דיסקים, כמו למשל סדרות ה- MPG ו-MPF של Fujitsu (יש המדווחים על תקלות דומות בסדרת ה-MHN לניידים מאותו יצרן). כנראה שכתוצאה מפגם בייצור, הדיסקים הללו נהגו לעבוד ללא כל בעיה עד שברגע מסוים הם פתאום הפסיקו להגיב. ה-BIOS לא זיהה אותם, או לפעמים היה מזהה בהם מידע חסר פשר. לפעמים הופיע הודעת שגיאה על Disk Boot Failure, וגם את מערכת ההפעלה לא ניתן לאתר.

מדי שבוע אנו פוגשים טכנאים מנוסים המעיזים לטפל בבעיות הנראות להם פשוטות, כמו למשל החלפת לוח הבקרה במקרה של תקלה, בלוח אחר של דיסק תקין. הבעיה היא שיצרנים רבים מקדישים לוח בדגם מיוחד לדיסק מדגם מסוים. בלוחות רבים נשמרות טבלאות נתונים ייחודיות לדיסק המסוים. פעמים רבות כי החלפת לוחות האם בדיסקים אלו מסוגלת לגרום לאי-נגישות של מידע שעד לרגע ההחלפה היה ניתן לשחזר.

סיכום תערוכת Computax 2005

החודש השתתפנו בתערוכת Computax בגני התערוכה. תודה לאלפי המשתתפים שביקרו בתצוגה.

בתערוכה חשפנו לראשונה פומבית את מערכת נמרוד, המערכת המתקדמת לשחזור מידע במקרים קשים. המבקרים זכו לצפות בדיסקים ישנים ונדירים, ואנו זכינו לשמוע סיפורים מעניינים מימים רחוקים...

בין המבקרים בתצוגה, האלוף אהוד (אודי) שני, ראש אגף התקשוב בצה"ל, קצינים בכירים בצהל, במערכת הבטחון ובמשטרת ישראל.

.

עדיין מגבים בטייפים

תשאלו כל מנהל כוח אדם, הוא יגיד לכם כי האנשים הם הנכס החשוב ביותר בארגון. אותו מנהל כוח אדם, ללא כל המידע שהוא צובר על כל עובד - פרטים אישיים, ותק, שעות עבודה וחופשות, לא נשאר לו הרבה לנהל... אז סליחה מכל החברים לעבודה, אבל תסכימו כבר עם מנהלי מערכות המידע, ועם מי שעוסק כבר שנים בלהשיב מידע שהלך לאיבוד: המידע הוא הנכס היקר מכולם!
מערכות אחסון, גיבוי ושחזור איכותיות נדרשות כדי להבטיח את השמירה של המידע החיוני. קיים מגוון עצום של טכנולוגיות, ועדיין רבים בוחרים בטייפים לגיבוי, על חסרונותיהם, לגיבוי כמויות גדולות של מידע.

בהיסטורית, תעשיית קלטות הגיבוי הייתה מפוצלת, ובתוכה צמחו מגוון תצורות וטכנולוגיות שסיבכו את תהליכי הבחירה וההחלטה של הלקוחות.
יצרנים של כונני טייפים חברו לפיתוח טכנולוגיה משותפת, שתהיה היעילה מכולן. הם הגיעו לזו הנקראת LTO - Linear Tape-Open, אשר משלבת קיבולת גבוהה, ביצועים טובים ותצורה ליניארית, רבת צ'אנלים, ודו כיוונית. כמו כן, היא הביאה לשיפורים בתחום מנגנונים מבוססי זמן, דחיסת מידע על בסיס חומרה, וקוד לתיקון שגיאות.
טכנולוגיה זו אמורה להחליף את הפורמאטים הייחודיים לכל יצרן, כדי להקל על הלקוחות הארגוניים בבחירת המוצרים.

הסרט בקלטת עשוי ממצע של PEN - Polyethylene Napthalate, עם ציפוי מגנטי בצד הכתיבה, וציפוי עמיד נגד חשמל סטטי בצד האחורי. ה-PEN נחשב לחומר בעל עמידות טובה, אבל הציפוי עדין ויכול להתקלף או להיסדק הרבה לפני שהמצע בכלל מראה כל סימן לנזק.
בקלטת קיימים גלילים המחזיקים את הסרט במקומו, מסלול שעובר בדיוק מול ראשי הכונן ומאפשר גלגול מדויק וללא כל נזק לאחר המעבר.

חרף כל ההזהרות וההסתייגויות, אנשים ממשיכים להשתמש במדיה זה, וקלטות DAT ו-DLT ממשיכות להגיע באופן תדיר למעבדה.
כמו שכתב עמוס בשירי (תודה שכתבת לנו השבוע, עמוס!): "טייפ הגיבוי הוא טכנולוגיה ערמומית ששייכת לעידן בו מחשבים תפסו חדר שלם, אבל אצל מרביתנו זו שיטת הגיבוי העיקרית."

שחזור מידע מטייפים הוא תהליך אשר תוצאתו הסופית הינה ההעתקה המוצלחת של מידע מקלטות פגומות. בין מקורות הנזק הנפוצים נמנים חום ועשן, רטיבות (טפטוף, עִבּוּי או הצפה), מכות ונפילות, דריסת המידע על ידי הכונן, שימוש יתר של אותה קלטת מעבר למומלץ או התיישנות המדיה מעבר למועד האחריות, תקלות במנגנון הפנימי של הקלטת, ושגיאות שמקורם באמצע קובץ מוקלט על גבי הסרט.

כאשר הבעיה היא פיזית, כמו למשל בעיה של המצע (הסרט) או אריזתו (הפלסטיק של הקלטת) המונעות את קריאת המידע שעל גבי הסרט, יש לבצע שחזור פיזי.
שחזור פיזי כולל גם נושאים כגון ציפוי מגנטי מתכלה, מסילות שבורות או סדוקות, שולי סרט משוננים, סרט מקופל או מסובב, מתוח או קרוע, וכו'. מצבים נוספים המחייבים שחזור פיזי הם צורך בחילוץ מידע מסרטים שנחשפו למים, בוץ, או לכלוכים אחרים. למרות המורכבות של מצבים מסוימים, השחזור מצליח ברוב המקרים, באיכות שבין 94-99%.

בעיות לוגיות מהוות באופן טיפוסי אתגר מורכב יותר, ולעיתים גם יקר יותר. השחזור הלוגי של קבצים כולל איתור וקריאה של חלק מסרט שנכתב בצורה מוצלחת, אך מסיבה זו או אחרת לא ניתן לקרוא אותו.
פתרון בעיות אלו דורש לפעמים שימוש בתוכנה מיוחדת לכל סוג של קלטת או שיטת כתיבה, ו"שפיכת" המידע הנשלף לדיסק קשיח. אם על גבי הסרט מופיעות שגיאות שמקורן בחומרה, יכתבו במקומן על הדיסק כתובות דמה (dummy blocks). לאחר מכן נבצע חיבור מחדש של פיסות הקובץ, כמו בפאזל. לבסוף, הקובץ ייכתב כולו מחדש לטייפ או תקליטור חדש.
בין המקרים המצריכים שחזור לוגי, יש טייפים שנכתבו עם ראשים שיצאו ממיקומם המקורי, וטייפים שבטעות הוקלטו פעמיים. בשני המקרים קיים צורך בחומרה ובתוכנה מיוחדות, בפיתוח ולשימוש בלעדיים בכל מעבדה. כלים אלו לא נמכרים באופן מסחרי, וכל מי שיאמר אחרת - אומר חצי אמת.

שיתופי פעולה עם דילרים

אנו ממשיכים בשיתופי הפעולה עם מאות הדילרים המורשים שכבר נרשמו. 10% עמלה או הנחה על כל הפניה של מקרה שחזור מידע. 15% הנחה לדילרים המציבים את באנר טיק טק באתר האינטרנט שלהם.

הירשם עכשיו כדילר מורשה ותזכה להנחות מיוחדות בשחזור המידע. לפרטים נוספים

המקרה המעניין של החודש

והפעם - שחזור דיסק "Total Loss":

החודש קיבלנו מחברת Data Recovery מובילה ומוכרת בארה"ב, דיסק קשיח מתוצרת Maxtor, אשר עבר כ - 4 ניסיונות שחזור בחברות מובילות מסוגן בארה"ב ובקנדה. הדיסק סבל מתקלת חומרה, אשר אינה מאפשרת ביצוע שחזור בפרוצדורות הרגילות. מקרים מסוג אלו יוצרים תמיד אתגר גדול בחברות לשחזור מידע, אשר מנסות להוכיח מקצועית כי ידן על העליונה. ואכן לשמחתינו - צוות טיק טק הצליח באמצעות מערכת נמרוד לבצע שחזור של כ - 95% מהמידע בדיסק, בזמן קצר של שני ימי עבודה.

לצפייה במגזין זה ובמגזינים קודמים, דרך אתר טיק טק, לחץ כאן.

המגזין נכתב ונערך בשיתוף חברת צ'יפ ישומים בע"מ - נס ציונה. כל הזכויות שמורות 2005 ©
למידע נוסף ולהערות, ניתן לפנות לטלי ברוקרז - מנהלת שרות לקוחות talib@tictac.co.il
טלפון: 6131555 - 03 . www.tictac.co.il .
להסרה מרשימת התפוצה של המגזין - לחץ כאן.