Attingo Datenrettung Blog Österreich

Unglaublich auf was für hochsensible Daten man auf eBay-Festplatten trifft…

Sensible Patientendaten von Unfalleinsätzen einer österreichischen Rettungsorganisation wurden von Datenretter Attingo zufällig beim routinemäßigen Überprüfen gebrauchter Festplatten für das hauseigene Ersatzteillager gefunden. Die Festplatten wurden von Attingo ganz normal über die Marktplattform eBay eingekauft. Obwohl zuvor offensichtlich versucht worden war, die Platte durch Formatierung zu löschen, konnten die Datenretter vollständige Datensätze auslesen. Neben Patientendaten und Kontaktadressen sind auch Unfallfotos darin enthalten. “Wäre diese Festplatte in falsche Hände geraten, hätte es Erpressungsversuche oder einen weiteren Datenskandal geben können”, warnt Attingo-Geschäftsführer Nicolas Ehrschwendner. Der Datenrettungsspezialist wird die Patientendaten fachgerecht vernichten.
Fundgrube: gebrauchte Festplatten

“Dies ist leider nicht das erste Mal, dass wir sensible Informationen auf gebrauchten, regulär zum Kauf angebotenen Festplatten finden”, betont der Attingo-Chef. “Wir kaufen für unser mehrere 10.000 Teile umfassendes Ersatzteillager laufend Festplatten, um rund um die Uhr benötigte Teile zur Hand zu haben. Dabei haben wir schon Anwaltsschreiben, Asylantendaten und sogar Forschungsergebnisse gefunden.”
Vollständiges Datenlöschen…

Richtiges Vernichten ist gemäß Datenschutzgesetz genauso wichtig, wie der Schutz gespeicherter Informationen. Denn der Inhaber haftet für “seine Daten”, solange sie sich noch auf einem Datenträger befinden. “Auch wenn dieser als Gebrauchtgegenstand verkauft wird”, bringt Ehrschwendner ein verbreitetes Problem auf den Punkt.
…ist technisch fast unmöglich

Die Datenvernichtung und die fachgerechte Entsorgung von Festplatten sind nach Erfahrung der Datenretter in der Praxis immer noch ein Stiefkind in den Unternehmen. Nicht ohne Grund, denn restloses Löschen ist technisch fast unmöglich und wird auch von anerkannten Löschprogrammen meist nicht vollständig bewältigt. Der sicherste Weg sei tatsächlich der Shredder, Erhitzen auf 800 Grad in Spezialöfen oder der Gang zum Spezialisten, betont Nicolas Ehrschwendner. Deshalb bietet Attingo seit Jahren zusätzlich zur Datenwiederherstellung auch die Verifikation gelöschter Festplatten an, vor allem für Banken, im Gesundheitssektor und im öffentlichen Dienst. “Kunden sind anfangs immer schockiert, dass noch sehr vertrauliche Daten auf vermeintlich gelöschten Festplatten rekonstruiert werden können”, so Ehrschwendner.

Warum Löschprogramme nicht vollständig löschen

Auf dem Markt gibt es eine Vielzahl an kommerziellen Löschprogrammen, die rückstandsfreies Löschen von Daten versprechen. De facto sind Festplatten aber so konstruiert, dass eine vollständige Datenvernichtung auch mittels zertifizierter Software technisch nahezu unmöglich ist. Ein großes Problem sind etwa jene fehlerhaften Bereiche, die im Laufe des Plattenbetriebs entstehen. Wann immer in einem Bereich der Festplatte ein Defekt auftritt, wird dieser elektronisch abgetrennt und die Daten werden in einen Ersatzbereich kopiert. Auf diese gesperrten Segmente kann vom System nicht mehr zugegriffen werden – auch nicht von einer Löschsoftware. Dennoch sind die Daten dort physikalisch vorhanden und mit Spezialverfahren auslesbar. Bei einer Platte von einem TB nehmen die Reservesektoren hunderte MB ein – man kann ermessen wie viele Dateien sich der Löschung entziehen. Erst kürzlich wurde im Labor von Attingo eine Löschsoftware, die sogar als Testsieger ausgewiesen war, untersucht: Diese schaffte es jedoch nicht einmal, 100 Prozent des sichtbaren Bereichs zu löschen. Wie wird dann erst mit den abgetrennten Bereichen umgegangen? Die sicherste Methode bei sensiblen Daten bleibt die physikalische Zerstörung.

• Elektronik (PCB) tauschen: Oft wird vermutet, dass der Fehler bei einer Festplatte, die nicht mehr so richtig will, im Bereich der Elektronik liegt. Es wird versucht die Elektronik gegen eine vermeintlich baugleiche zu tauschen. Das ist jedoch oft ein fataler Fehler: Denn sowohl Firmware der Festplatte (diese kann mehrere 100 MB groß sein) als auch sogenannte adaptive Parameter werden teilweise auf den Magnetscheiben als auch im EPROM der Elektronik gespeichert. Diese Parameter können pro einzelnem Individuum (Festplatte) eindeutig sein, sie enthalten beispielsweise die Korrekturwerte der Schreib-/Leseköpfe. Ohne diese Parameter kann die Festplatte jedoch nicht initialisiert werden, weshalb sie nach dem Tausch genauso wenig funktioniert wie zuvor. Durch den Tausch der PCB kann die Festplatte in eine “Fabriksinitialisierung” versetzt werden, wobei die Parameter verloren gehen. Danach ist eine Datenrettung nur noch mit erheblich mehr Aufwand möglich.
• Gehäuse öffnen: Wir erleben es leider immer wieder, dass Kunden oder übermotivierte “Gurus” versuchen Hardwareschäden an einer Festplatte selbst zu beheben. Es gilt: Sind die Daten wichtig, FINGER WEG!Die Gründe:
  1. Kleinste Staubpartikel können zu massiven Schäden an den Oberflächen der Datenträgerscheiben und an den Schreib-/Leseköpfen führen. Die Schreib-/Leseköpfe (Heads) schweben nur wenige nm (Nanometer, 1nm=10^-9m=0,000001 mm !!!) über den Oberflächen (Platter). Das ist verdammt wenig. Sobald eine Festplatte in einer nicht absolut staubfreien Umgebung (Reinraum) geöffnet wurde, ist diese kontaminiert. Erst durch aufwendige spezielle Reinigungsverfahren im Reinraum kann die Platet wieder initialisiert werden.
     http://de.wikipedia.org/wiki/Festplattenlaufwerk#Die_Schreib-Lesekopfeinheit
  2. Die Schreib-/Lesekopf-Einheit ist oft über einen (meistens versiegelten) Schrauben im Festplattendeckel befestigt. Geringe Dejustierungen (also Lösen und Festziehen des Schraubens) können vorallem bei bereits beschädigten Festplatetn den Schaden verschlimmern.
  3. Die Schreib-/Leseköpfe sind im nm-Bereich zueinander justiert. Ein Versuch die Heads zu tauschen ist deshalb (abgesehen dass es ohne High-Tech, Erfahrung, Reinraumlabor so und so scheitert) in der Regel nur Datenretter möglich.
  4. Die Magnetscheiben zu tauschen ist ähnlich fatal wie die Heads. Die Magnetscheiben sind zueinander im nm-Bereich ausgerichtet.
• Mit Hilfe von Software Hardwareschäden zu beheben ist Unsinn. Eine Software kann keine Schreib-/Leseköpfe tauschen.
• Experimente: Falls Sie mir nicht glauben, kaufen Sie einfach neue Festplatten und experimentieren Sie damit herum.
• Auch sollten Festplatten mit Oberflächenschäden (Bad Sectors, defekte Sektoren) und/oder defekten oder instabilen Schreib-/Leseköpfen nicht belastet werden: Der Schaden wird durch Versuche die Daten auszulesen fast immer größer.

Attingo Datenrettung verfügt für alle Festplatten selbst entwickelte Werkzeuge, um Schreib-/Leseköpfe sowie Magnetscheiben zu transplantieren. Nur mit einer tiefgreifenden technischen Ausbildung, korrektem Werkzeug, Reinraum sowie exakt baugleicher Ersatzteile sind solche Arbeiten möglich. Das Spezialwissen über den Aufbau und das Verhalten jedes Festplattenmodells ist Grundvoraussetzungen.

Attingo Datenrettung ist unter anderem auf Datenrettungsfälle spezialisiert, die andere Anbieter nicht bearbeiten können. Kürzlich hatten wir so einen spannenden Fall: Ein Kunde möchte hunderte C64 Floppies für die Verwendung von Public Domain auf PC Images konvertiert werden.

Attingo hat deshalb Hardware und Software entwickelt, um C64 Disketten in “rohe” synchronisierte Half-Tracks (beide Floppy Seiten) zu konvertieren.

RAID6 entwickelt sich langsamer als von vielen vermutet, aber nun doch zum Standard bei RAID-Systemen. Mittlerweile unterstützen die meisten Server RAID6 (wobei ein Hersteller, nachdem RAID6 bei dessen letzten Server Generation automatisch aktiv und auswählbar war, in der aktuellsten Server Generation extra Lizenzgebühren verlangt). Der Algorithmus von RAID6 ist deutlich komplexer als der von RAID5. RAID5 verwendet XOR (exclusive or), ein Datenträger darf bei RAID5 ausfallen ohne Verlust von Daten. Das technische Know-How bei der Rekonstruktion von RAID5 liegt unter anderem darin die dutzenden verschiedenen Implementierungen der Parity-Speicherung (XOR Prüfblöcke) zu reverseengineeren und in speziellen Soft- und/oder Hardwarelösungen zu implementieren, um den RAID5-Verbund simulieren zu können. Weiters muss bei einer Datenrekonstruktion herausgefunden werden, welcher Datenträger als erster ausgefallen ist, um den aktuellsten Stand der Daten extrahieren zu können.

Bei RAID6 wird die Sache deutlich komplizierter. Bei RAID6 können zwei Datenträger ausfallen, ohne dass es zu Datenverlust kommt. Die Implementierung ist deutlich komplizierter, einerseits wird auf das bewährte und von RAID5 verwendete XOR gesetzt, die zweite Prüfsumme muß jedoch sehr aufwendig über Polynome berechnet werden (z.B. Galois oder Fibonacci Polynome). Die Implementierung der Parity-Blöcke (bei RAID6 sind es per Streifen somit zwei Parity-Blöcke) ist wiederum vom Hersteller abhängig, somit ist tiefgreifendes Reverseengineering aller RAID6-Controller notwendig.

In vielen Fällen experimentieren Techniker bei Datenverlust bei RAID-System selber, bevor Sie einen professionellen Datenretter kontaktieren. Attingo Datenrettung schätzt dass in über 80% der Fälle der Schaden an RAID-Systemen größer wird, nachdem der eigentliche Fehler (z.B. Ausfall von mehreren Datenträgern, fehlerhafte Firmware, etc.) eingetreten ist. Die Aufgabe der Datenretter besteht nun neben der Analyse des RAID-Systemen auch darin, herauszufinden was nach dem ursprünglichen Fehler passiert ist: Sind Daten durch Rebuilds mit nicht korrekten Datenträger teilweise überschrieben worden, sind Datenträger getauscht worden, auf denen man eventuell noch Daten zurückrechnen kann, welche Datenträger sind in welcher Reihenfolge ausgefallen, etc.

Attingo Datenrettung hat Verfahren in Hard- und Software entwickelt, um RAID-Systeme unabhängig von der Komplexität (also egal ob drei oder neunzig Festplatten, egal ob einige hundert Gigabyte oder dutzende Terabyte) in extrem kurzer Zeit zu rekonstruieren. Diese Lösung beinhaltet das Know How von hunderten reverseengineerten RAID-Controllern in Soft- und und Hardware.

Die gute Nachricht: Attingo Datenrettung kann in über 98% der Fälle Daten von defekten RAID-Systemen rekonstruieren, und das im Bedarf rund um die Uhr, auch am Wochenende. Nur modernste Technik und Jahrzehnte lange Erfahrung bieten bei Datenrettung von RAID-Systemen höchste Sicherheit und Wiederherstellungsraten. Auch RAID-Systeme die vorher bei der Konkurrenz waren und dem Kunden mitgeteilt wurde “Datenrettung nicht möglich” werden laufend bei Attingo Datenrettung doch noch erfolgreich gerettet.

Immer wieder werden uns Fragen zum Thema SSD Festplatten und Flash-Speichern (z.B. USB-Stick, Compact-Flash, SmartMedia, etc.) gestellt:

- SSD Datenträger werden nicht so leicht defekt wie Festplatten, oder?

Wir erhalten täglich SSD Festplatten zur Datenrekonstruktion in unseren Labors. Im Verhältnis zu Festplatten treffen SSD noch seltener ein, jedoch liegt das primär an der noch nicht so großen Verbreitung. Die Tendenz ist jedoch steigend.
Die mechanische Belastbarkeit bei SSDs ist in der Regel größer als bei Festplatten, jedoch können bei SSDs elektronische Komponenten defekt werden. Eine SSD bzw. andere Flash-Datenträger bestehen aus einem Controller, welcher das Interface zum Computer als auch die interne Verwaltung der Speicherbausteine übernimmt. Speicherbausteine sind die zweite wesentliche Komponente, dort werden die Daten, Prüfsummen sowie interne Verwaltungsinformationen abgelegt.

- Kann man von SSD Festplatten oder Flash-Speicher Daten rekonstruieren?

Ja! Die Vorgehensweise ist jedoch eine ganz andere wie bei Festplatten, bei denen oft mechanische Eingriffe im Reinraum notwendig sind. Bei defekten SSDs und anderen Flash-Datenträgern müssen meistens die einzelnen Speichersteine vom Medium entnommen werden. Das kann je nach Kapazität des Datenträgers und der Kapazität eines einzelnen Speicherbaustein ein Einzelner sein (z.B. bei kleinen Compact-Flash-Medien), aber auch 32 oder mehr Speichereinheiten (bei einer SSD Festplatten mit 256 GB können z.B. 32 Stück 8 GB Speicherbausteine verbaut sein).
Diese einzelnen Speicherbausteine werden mit speziell von Attingo entwickelter Hardware ausgelesen.

- Ist Datenrettung von Flash-Medien und SSD-Datenträgern teuer?

Teuer ist immer relativ. Im Vergleich zu Festplatten bewegen sich Datenrettungen von SSD-Festplatten in der Größenordnung von Festplatten, da sehr viel Aufwand beim Entlöten, Reinigen, Auslesen und Zusammensetzen der Daten anfällt. Einer der aufwendigsten Arbeitsschritte bei der Rekonstruktion von Flash-Medien ist das Zusammensetzen der Datenblöcke der einzelnen Speichereinheiten zu einem virtuellen Image, von welchem das Dateisystem rekonstruiert werden kann. Es werden vom Hersteller sogenannte “Wear Leveling” Algorithmen eingesetzt. Diese helfen die einzelnen empfindlichen Speicherblöcke (Cluster) möglichst gleichverteilt zu verwenden, damit nicht einzelne besonders stark belastet werden und früher ausfallen. Diese Algorithmen sind meistens streng geheim, und von Modell zu Modell, von Serie zu Serie, von Hersteller zu Hersteller unterschiedlich. Diese werden von den Technikern von Attingo reverse engineert, damit die Daten von Flash-Medien rekonstruiert werden können.
Bei USB-Sticks, Compact-Flash-Karten, etc. sind Datenrettung aufgrund der geringeren Anzahl von Speicherbausteinen meistens deutlich billiger.

Unix Benutzer kennen den Befehl: “rm -rf” im Root-Verzeichnis aufgerufen löscht gleich mal einen ganzen Server. Wir erhalten laufend Fälle, bei denen versehentlich oder absichtlich (meistens von Scriptkiddies) Verzeichnisse auf Linux-Servern gelöscht wurden. Meistens handelt es sich noch um virtuallisierte Web-Server, klassisch mit Apache und MySQL oder PostgreSQL, mit einer ganzen Menge von Homepages von Kunden, teilweise mit Webshop, CMS, etc. Datensicherungen werden auch hier häufig vernachlässigt.

Das interessante bei Datenrettung mit EXT-Dateisystemen ist, dass sich die Dateisystemstruktur in jeder der EXT-Versionen (also EXT, EXT2, EXT3 und EXT4) wesentlich – zumindestens aus Datenrettersicht – verändert hat. Die Forschungs- und Entwicklungsabteilung von Attingo hat somit für jede EXT Version eigene Software entwickelt.

Nur einige Begründungen:
- seid EXT3 werden die INODEs beim Löschen genullt (somit ist eine einfache Zuordnung von fragmentierten Dateien nicht mehr möglich)
- EXT4 führt sogenannte EXTENTs ein
- sogenannte “indirect blocks”, “double indirect blocks” und “tripple indirect blocks” unterstützen eine erfolgreiche Datenrekonstruktion

In jeder EXT-Version erfolgt die Rekonstruktion von größeren, fragmentierten Dateien anders. Die gute Nachricht: Attingo kann bei EXT-Versionen gelöschte Dateien (auch fragmentierte) und Verzeichnisse rekonstruieren.

Die Vorgehensweise der Rekonstruktion von gelöschten Dateien unter EXT hängt von folgenden Faktoren ab:
- Welche EXT-Version ist im Einsatz?
- Wie groß ist die Datei (zwei bis drei unterschiedliche Ansätze zur Datenrekonstruktion, je nach EXT-Version)
- War Journaling aktiv?

Eines ist sicher – wir kennen kaum ein Dateisystem das für Datenretter optimiert wurde – und EXT steht in einer Rangliste ganz ganz weit unten (das soll natürlich nicht bedeuten, dass EXT ein schlechtes Dateisystem ist).

Datenverlust bei den zunehmend weiter verbreiteten NAS Servern (Network Attached Storage) ist stark im steigen. Attingo Datenrettung hat alleine heute vier unabängige Anfragen zu Datenverlust bei der INTEL NAS Box S4000e erhalten. Die dabei beschriebenen Fehlerbilder sind jedoch sehr unterschiedlich:

- Hardwarefehler bei den Festplatten (z.B. Crash, Seagate Firmware Bug, Überhitzung)
- Firmwarefehler (z.B. durch Firmwareupdate, Programmierfehler)
- Verzeichnisse oder Dateien waren verschwunden, das NAS war scheinbar leer
- Versehentlich wurde die Freigabe gelöscht oder Daten teilweise überschrieben

Die meisten NAS Systeme arbeiten mit einer Prozessorarchitektur, die nicht PC-kompatibel ist. Somit ist ein Auslesen der Datenträger über einen normalen PC unter Linux oder BSD nicht möglich. Attingo Datenrettung hat für diesen Fall eine spezielle Konvertierung entwickelt. Manche NAS Hersteller setzen auf zumindest teilweise proprietäre Software (nicht quelloffen oder dokumentiert), zum Beispiel beim Dateisystem oder Logical Volume Manager. Diese muss mit Reverse Engineering analysiert werden, um die Daten später extrahieren zu können.
Das RAID selbst ist oft ein Software-Raid: RAID0 für Stripe (ohne Redundanz), RAID1 für Spiegelung, RAID01 oder RAID5, manchmal auch bereits RAID6, also ohne Verwendung eines eigenen Hardwarecontrollers.
In der nächsten Ebenen wird meistens ein  sogenannter LVM (Logical Volume Manager) eingesetzt, um die Freigaben sowie das interne Betriebssystem zu verwalten.
Die verwendeten Dateisysteme sind meistens Linux oder BSD, z.B. EXT2, EXT3, EXT4, ReiserFS oder XFS, jedoch oft nicht kompatibel mit den PC Varianten.

Aufzeichnungssysteme (DatenLogger)  arbeiten unter anderem mit Festplatten. Trotz modernster Technik sind Festplatten dem Risiko der üblichen Defekte ausgeliefert. Ausfälle sind daher auch bei diesen Systemen nur eine Frage der Zeit. Die Techniker von Attingo Datenrettung haben das Aufzeichnungsverfahren der DatenLogger der Firma Astro-Med (zum Beispiel DatenLogger Dash 32HF) reverse engineert und können nun die Daten (Messwerte) rekonstruieren.

Häufe Ursachen für Ausfälle beim Astro-Med sind Hardwareschäden an der Festplatte, versehentlich gelöschte Aufzeichnungen oder nicht vollständig geschriebene Daten (die zB. im Cache lagern). Attingo kann dank des eigens entwickelten Verfahrens in allen diesen Fällen die Daten rekonstruieren.

Erfasste Geräte sind unter anderem: TMX, Dash 32HF-HS, Dash 20HF-HS, Dash 18X, Dash 8HF-HS, Dash 8Xe, Dash 8 XPM, DASH 2EZ+, Everest X-HSR, Everest X-HS, Everest X-HSK, Dash 18XR-HS
Dateiformate: .DCR, .IDX
Verzeichnisse: Data Capture Files

Kunden von Attingo Datenrettung, die mit DataLoggern arbeiten, kommen unter anderem aus Industrie, Forschung und Universitäten.

Attingo Datenrettung ist unter anderem auf die Datenwiederherstellung von HP Servern, darunter auch sehr alten Systemen wie der HP 9000 Workstation, spezialisiert. Laufend rekonstuieren die Techniker von Attingo HP-UX Systeme (UNIX System III oder V) mit VxFS, egal ob dabei ein RAID und/oder LVM (Logical Volume Manager) verwendet wurde.

Verlorene Daten und Datenbanken von Servern und Workstations von Industrie, Forschung und Wirtschaft können bei Attingo rekonstruiert werden. Gerade solche Fälle sind zeitlich für die Betroffenen oftmals sehr kritisch (zum Beipiel weil die Produktion beeinträchtigt ist), deshalb bietet Attingo Datenrekonstruktionen rund um die Uhr an, auch am Wochenende.

Videoaufzeichnungssysteme wie jene der Serie AVTECH bzw. SSAM Security Systems und CPCAM verwenden eigene Dateiformate. Da auch diese Systeme ausfallen können hat Attingo Datenrettung diese einem reverse engeneering unterzogen, um die Daten rekonstruieren zu können. Unter anderem werden solche Geräte zur Videoüberwachung eingesetzt (z.B. 773M, ADV7171, AVC770). Attingo Datenrettung erhält regelmäßig Videosysteme (HD-Recorder) zur Datenrekonstruktion, meistens um Beweise (Videoaufnahmen, Videoszenen) nachträglich zu rekonstruieren.

Häufige Ursachen für Datenverlust bei diesen Systemen sind neu initialisierte bzw. formatierte Festplatten, überschriebene Videos (z.B. bei Unendlich-Aufzeichnungen) oder gezielt vernichtete oder gelöschte Videos.

Attingo Datenrettung rekonstruiert unter anderem die Videoaufzeichnungen von AVTECH, SSAM, CPCAM für Polizei, Gericht, Sachverständige, Sicherheitsbüros, etc.

Geräte: u.a. IVS System AVD744 CPD551B, CPD551, MDR673, CPD541D, CPD556B, CPD556, CPD546, CPD558, CPD548, CPD558B, CPD517, CPD537, CPD515, CPD535, CPD511, CPD531, CPD561ASV, CPD502ZAD, CPD505HD, CPD507HD, CPD537ASV, CPD535ASV, CPD538, CPD536, KPD676, KPD678