Z Pawłem Odorem, głównym specjalistą Kroll Ontrack w Polsce, rozmawia Piotr Perka.
Pod koniec 2007 r. firma Kroll Ontrack uruchomiła
w Katowicach laboratorium odzyskiwania
danych oraz informatyki śledczej.
Czym się ono zajmuje?
To największe i najbardziej zaawansowane technologicznie
w tej części Europy laboratorium
odzyskiwania danych oraz informatyki śledczej.
Ma obsługiwać blisko połowę przypadków utraty
informacji elektronicznych w Polsce. W katowickim
laboratorium Kroll Ontrack można odzyskiwać
dane ze wszystkich systemów operacyjnych,
wszystkich rodzajów nośników i niezależnie od
formatu plików. Drugą główną usługą oferowaną
przez Kroll Ontrack w Polsce jest informatyka
śledcza. Kroll Ontrack rozwiązuje tego typu sprawy
w 17 laboratoriach na całym świecie.
Dla przykładu, jednym z największych klientów firmy
w tym zakresie w Stanach Zjednoczonych jest
FBI. Polska pracownia bazuje na identycznej
technologii jak pozostałe laboratoria korporacji
na świecie. Obecnie Kroll Ontrack jest wiodącym
graczem na świecie w branży odzyskiwania danych
i informatyki śledczej, dziesięciokrotnie
większym od kolejnej firmy tego typu.
Dane można też odzyskiwać zdalnie przez
internet. Jak to się odbywa w praktyce?
Remote Data Recovery (RDR) – zdalne odzyskiwanie
danych jest opatentowaną usługą Kroll
Ontrack. Usługa jest możliwa dzięki aplikacjom
przeznaczonym zarówno dla klienta, który utracił
dane, jak i specjalistów w laboratorium odzyskiwania
danych. Ekspertyza w tym przypadku polega
na naprawie systemu plików, co umożliwia
uzyskanie dostępu do danych. W tym celu specjaliści
korzystają z autorskich aplikacji, używanych
na co dzień w laboratorium odzyskiwania
danych. Ekspertyza zostaje zakończona, gdy inżynier
Kroll Ontrack może przedstawić klientowi
pełną listę plików możliwych do odzyskania.
RDR działa w architekturze klient-serwer przy
wykorzystaniu połączenia modemowego lub sieci
LAN w celu ekspertyzy, a następnie przeprowadzenia
procesu odzyskania danych. Program
kliencki można uruchomić z dyskietki lub płyty
z poziomu działającego i sprawnego systemu.
Wszystkie dostępne wersje działają w podobny
sposób. Pierwszy etap to nawiązanie bezpiecznego
połączenia z serwerem RDR. Następnie
aplikacja umieszcza w pamięci operacyjnej
zestaw narzędziowy, który umożliwia dostęp do
nośników i zdalnie udostępnia konsolę odzyskiwania
danych, a także zarządza połączeniem internetowym
w trakcie procesu odzyskiwania danych.
W czasie trwania procesu RDR wszystkie
dane klienta pozostają na jego twardym dysku,
nie są one przesyłane na inne serwery. Specjaliści
odzyskiwania danych nie naruszają również
ich struktury do momentu, w którym otrzymują
zgodę klienta na rozpoczęcie procesu RDR. Dzięki
autorskim zabezpieczeniom Kroll Ontrack dane
źródłowe w czasie całego procesu odzyskiwania
informacji są dostępne dla klienta.
Remote Data Recovery jest usługą bezpieczną
dla klientów. Wszyscy klienci korzystający z RDR
używają szyfrowania danych, tak więc ostatecznie
informacje przesyłane pomiędzy komputerem klienta
a serwerem Ontracka nie są końcowymi danymi
użytkownika. Zainteresowanie usługą zdalnego
odzyskiwania danych Kroll Ontrack rośnie średnio
o 50% rocznie. Ma na to wpływ m.in. upowszechnienie
się coraz szybszego internetu w Polsce.
Ile osób zatrudnia laboratorium i z jakich
narzędzi korzysta?
W Kroll Ontrack Polska zatrudnionych jest obecnie
38 osób. Podstawę sprzętową uruchomionego
w Katowicach laboratorium stanowią komory
laminarne, mikroskop stereoskopowy oraz setki
aplikacji stworzonych na potrzeby najtrudniejszych
przypadków utraty danych oraz działań
z zakresu informatyki śledczej.
Komora laminarna (ang. clean bench) zapewnia
czystość powietrza o klasie 100. W przybliżonych
warunkach produkowane są dyski twarde, najczęstszy
rodzaj nośników z których tracimy dane.
Mikroskop stereoskopowy wykorzystywany jest
w procesie odzyskiwania danych do pracy nad coraz
mniejszymi elementami nośników danych.
Proces odzyskiwania danych i rozwiązywania
spraw związanych z przestępczością z użyciem
komputera wspiera pakiet kilkuset opracowanych
na potrzeby laboratorium specjalistycznych
programów informatycznych. Aplikacje tworzone
są przez ekspertów działającego przy laboratorium
Centrum Badań i Rozwoju Kroll Ontrack. Katowickie
Centrum jest największą poza Stanami
Zjednoczonymi placówką tego typu w światowych
strukturach firmy.
Laboratorium w Polsce jest drugim największym
laboratorium poza USA. Dlaczego
zdecydowano się na Polskę?
Lokalizacja laboratorium w Polsce jest konsekwencją
systematycznych inwestycji Kroll Ontrack
w naszym kraju. Marka Ontrack obecna jest
w Polsce od 2001 roku.
O decyzjach inwestycyjnych można mówić
w dwóch aspektach. Pierwszy i najważniejszy to
polscy specjaliści. Koncern nie tylko zdecydował się
na uruchomienie w Katowicach laboratorium naj-większego w tej części Europy, ale od kilku lat ufa
naszym specjalistom w zakresie badań i rozwoju.
Polscy informatycy są wszechstronnie i gruntownie
wykształceni, co pozwala im w sposób bezproblemowy
przejść przez specjalistyczną ścieżkę szkoleniową
Kroll Ontrack.
Kolejnym powodem inwestycji firmy w Polsce
jest oczywiście lokalizacja geograficzna. Nasz
kraj leży w sercu Europy i jednocześnie jest bramą
dla koncernu na rynki wschodnie. Już dziś
polski oddział Kroll Ontrack koordynuje rozwój
firmy w Rosji i Krajach Bałtyckich.
Kto korzysta z usług firmy w Polsce? Z jakimi
przypadkami losowymi najczęściej
macie do czynienia i jakie nośniki są najczęściej
narażone na utratę danych?
Z usług firmy w Polsce w zakresie informatyki
śledczej korzystają przedstawiciele sektora biznesowego
oraz policja i prokuratura. W zakresie
odzyskiwania danych służymy pomocą każdemu,
zarówno klientom indywidualnym, jak i firmom
i instytucjom oraz urzędom publicznym.
Najwięcej zleceń dotyczących zarówno odzyskiwania
danych, jak i informatyki śledczej trafia do
naszego laboratorium od klientów biznesowych.
Najwięcej trafiających do Kroll Ontrack spraw stanowią
uszkodzenia mechaniczne (60% zleceń) polegające
na fizycznym uszkodzeniu nośnika. Do
najczęstszych powodów utraty danych należą
awarie sprzętu (59%) i błąd człowieka (26%).
W laboratorium odzyskujemy dane ze wszystkich
nośników. Najczęściej trafiają do nas twarde dyski –
na tych właśnie nośnikach pamięci zapisujemy najwięcej
najważniejszych dla nas informacji.
Jaka jest skuteczność odzyskiwania danych?
W jakich sytuacjach najtrudniej
odzyskać dane?
Średnia światowa skuteczność odzyskiwania danych
wynosi 76%. Jednak najbardziej zaawansowane
technologicznie laboratoria odzyskiwania danych,
w tym katowicka pracownia, odzyskują dane
z wyższą skutecznością. W przypadku wyłącznie
spraw logicznych (m.in. awaria systemu, wirus,
awaria aplikacji) skuteczność odzyskiwania danych
przekracza 90%. Do najtrudniejszych spraw należą
przypadki mechanicznego uszkodzenia nośnika.
Jednak zdarzają się też sprawy, w których prawdziwym
wyzwaniem są uszkodzenia logiczne.
Jakie usługi oferuje Kroll Ontrack oprócz
odzyskiwania danych?
Podstawowymi usługami Kroll Ontrack są: informatyka
śledcza (ang. computer forensics), odzyskiwanie
danych i będące jego naturalną konsekwencją
bezpowrotne usuwanie danych. Informatyka
śledcza to proces dostarczania elektronicznych
środków dowodowych świadczących
o popełnieniu (lub nie) przestępstw, których ślady
w postaci danych cyfrowych znajdują się na
nośnikach danych, w poczcie elektronicznej, komunikatorach
internetowych i wszędzie tam,
gdzie mamy do czynienia z danymi w formie cyfrowej.
W sądzie elektroniczne środki dowodowe
mogą stać się takimi samymi dowodami, jak np.
odciski palców. Jednak w informacje elektroniczne
można łatwo ingerować. Żeby zapobiec nadużyciom
w tym zakresie, specjaliści informatyki
śledczej, tzw. elektroniczni detektywi, działają
według schematu, który nazywany jest procesem
informatyki śledczej.
Kasowanie danych polega na bezpowrotnym
usuwaniu danych elektronicznych z nośników. Istnieje
wiele sposobów usuwania danych, zarówno
takich, które bezpowrotnie niszczą dane
i nośnik na którym są zapisane, oraz takie, które
usuwając dane nie niszczą urządzenia na którym
zostały one zapisane. Zaawansowane laboratorium
odzyskiwania danych jest swoistego rodzaju
kartą gwarancyjną dla usług bezpowrotnego
kasowania danych. Po każdej operacji kasowania
danych możliwość ich odzyskania sprawdzana
jest w laboratorium.
Która usługa jest najpopularniejsza?
Zdecydowanie odzyskiwanie danych. Jednak bardzo
dynamicznie rozwija się segment usług
związanych z informatyką śledczą. Obserwując
sytuację na światowym rynku tych usług i bazując
na doświadczeniach naszej korporacji można
przypuszczać, że w przyszłości to właśnie usługi
computer forensics będą się cieszyć największym
zainteresowaniem.
Jak wygląda procedura odzyskiwania
danych?
Pierwszym etapem procesu odzyskiwania danych
jest kontakt z firmą świadczącą usługi odzyskiwania
danych. Prawidłowo przeprowadzona rozmowa
wstępna pozwala uzyskać podstawowe
informacje, które sprawiają, że rzeczywisty czas
usługi ograniczony zostaje do minimum. W trakcie
takiej rozmowy padają pytania o rodzaj nośnika
i jego typ, rodzaj utraconych danych (typy
plików), system operacyjny oraz maksymalny
czas, w którym dane powinny zostać odzyskane.
Informujemy wówczas, jak zabezpieczyć nośnik
i przygotować go do transportu. Sprawdzamy
też, czy przypadek jest na tyle trudny, że wymaga
ingerencji specjalistów. Czasem okazuje się,
że wystarczy użyć programu do samodzielnego
odzyskiwania danych.
Gdy nośnik trafi do laboratorium, poddawany
jest ekspertyzie. To pierwszy etap rzeczywistego
odzyskiwania danych. Podczas ekspertyzy określony
zostaje rodzaj uszkodzenia (fizyczne i/lub logiczne)
i czas potrzebny do przywrócenia utraconych
informacji. Po ustaleniu przyczyny utraty
danych i podjęciu decyzji klienta o rozpoczęciu
działań, dane zostają odzyskane w laboratorium.
Przepustowość laboratorium Kroll Ontrack
pozwala rozwiązać 800 przypadków utraty danych
w miesiącu. Dla klienta zlecającego usługę
odzyskania danych działania związane z data recovery
kończą się w momencie otrzymania całości
lub części utraconych wcześniej informacji (średnia
światowa skuteczność wynosi 76%).
W firmie DR proces odzyskiwania danych kończy
się 30 dni po odzyskaniu informacji. Ich kopie
za zgodą klientów przechowywane są w laboratoryjnych
archiwach danych. Zwiększa to bezpieczeństwo
danych i minimalizuje zagrożenie wynikające
z konieczności powtórnego odzyskania tych
samych informacji. Po upływie tego okresu dane
są kasowane, a klienci firmy otrzymują certyfikat
bezpowrotnego usunięcia danych.
Jeżeli chodzi o proces związany z informatyką
śledczą, to jego pierwszym etapem jest ustalenie
szczegółów dotyczących przypadku. Często firmy,
instytucje, a nawet osoby prywatne zwracają się
do specjalistycznych firm odzyskiwania danych i informatyki
śledczej, mylnie zlecając usługi odzyskiwania
danych zamiast computer forensics. Różnica
pomiędzy obiema usługami jest znaczna. W przypadku
odzyskiwania danych celem specjalistów jest
odzyskanie wskazanych lub całości danych, które
znajdowały się na nośniku. Natomiast w przypadku
informatyki śledczej zadaniem ekspertów jest wykazanie
faktu i określenie czasu wystąpienia określonych
zdarzeń. Częścią tego procesu może być
również odzyskiwanie danych w przypadku, gdy
nośnik, na którym znajdowały się dane jest uszkodzony
lub usunięto informacje na nim zapisane.
Po ustaleniu szczegółów dotyczących przypadku następuje
etap zabezpieczenia danych. Jednym z podstawowych
wyzwań specjalistów computer forensics
jest takie zabezpieczenie informacji cyfrowych, które
w kolejnych etapach postępowania wykluczy
możliwość zmiany zawartości danych. Zaniedbanie
tego elementu może doprowadzić do odrzucenia
środka dowodowego przez sąd.
Podczas zabezpieczania danych, elektroniczni
detektywi biorą pod uwagę szereg uwarunkowań.
Do najważniejszych z nich należy m.in. środowisko
informatyczne (rodzaje serwerów sieciowych,
terminali sieciowych, liczba i typ komputerów
osobistych – stacjonarnych i przenośnych,
istniejące elementy sieci komputerowej itd.).
Elektroniczni detektywi badają również metody
ochrony dostępu do danych, a nawet analizują,
kto mógł mieć dostęp do danych włącznie z osobami
postronnymi.
Zabezpieczenie danych polega na wykonaniu
binarnych kopii nośników, które mają zostać
poddane analizie. Kopia binarna to metoda kopiowania
danych, tzw. \”bit po bicie\”. Oznacza
to, że każdy bit danych znajdujący się na nośniku
źródłowym zostaje odczytany z nośnika pierwotnego
i zapisany na nośniku docelowym. W procesie
informatyki śledczej wykonywane są dwie
kopie binarne. Pierwsza – na potrzeby dowodowe
(jest przechowywana na potrzeby ewentualnego
postępowania sądowego) i druga, na której
przeprowadzane są wszelkiego rodzaju analizy
danych oraz, w razie potrzeby, odzyskiwane
dane i łamane hasła.
Podczas zabezpieczania danych eksperci wykonują
sumy kontrolne dla poszczególnych fragmentów
danych i całego nośnika. Sumy kontrolne
pozwalają na określenie czy zawartość pliku,
dysku, porcji danych od czasu jej wygenerowania
nie zmieniła się. Każda bowiem nawet drobna
modyfikacja powoduje całkowitą zmianę sumy
kontrolnej. Do jej stworzenia wykorzystywany
jest specjalny algorytm matematyczny (SHA,
MD5), który powoduje, że korzystając z obecnie
dostępnej technologii nie da się zmienić zawartości
pliku w taki sposób, żeby uzyskać żądaną
sumę. Proces zabezpieczenia danych przeprowadzany
jest w obecności osób mogących świadczyć
o prawidłowym przebiegu poszczególnych
czynności (np. notariusz). Do zabezpieczenia danych
używa się specjalistycznego oprogramowania
oraz dedykowanych do tego celu urządzeń –
tzw. blockerów zapisu.
Kolejnym etapem procesu informatyki śledczej
po zabezpieczeniu i skopiowaniu danych jest ich
analiza. Przeprowadza się ją według kryteriów,
które ustalane są przez elektronicznych detektywów
w porozumieniu ze zleceniodawcą. Spośród
wszystkich danych znajdujących na nośniku
specjaliści wyodrębniają te, które mają znaczenie
dla prowadzonej sprawy.
Podsumowaniem pracy specjalistów computer
forensics jest raport, w którym udokumentowano
przebieg zdarzeń będący przyczyną podjęcia procesu
informatyki śledczej. Raport ma formę dokumentu,
w którym specjaliści dowodzą zajścia określonych
zdarzeń w czasie. W razie potrzeby
elektroniczni detektywi w roli biegłych i ekspertów
odpowiadają na pytania sądów podczas rozpraw.
Jednak większość spraw z zakresu informatyki
śledczej, szczególnie w sektorze biznesowym,
nigdy nie trafia do sądu. Firmy, dysponując ewidentnymi
dowodami określonych działań, zwykle
dla ograniczenia kosztów, decydują się na polubowne
rozwiązanie sporów.
