Her er spørsmålene og svarene som handlet om rekonstruksjon av data i nettmøte på hardware.no

Mac-recovery:
Våren 2010 brøt min, da snart 4 år år gamle, macbook sammen og alt jeg fikk frem på skjermen var et blinkende mappesymbol. Jeg fikk beskjed fra Eplehuset i Trondheim om at dette trolig var en mekanisk feil som de dessverre ikke kunne hjelpe meg med. Da dette var midt i en hjemmeeksamensperiode kjøpte jeg en ny maskin og siden har den gamle harddisken blitt liggende. Dessverre hadde jeg ingen backup. Har dere tidlligere kunne hjelpe folk i samme situasjon og er dette kostbart?

Svar:
I fjor hadde vi over 500 privatpersoner, mange studenter, som fikk reddet data hos oss og vi har fastpriser for private, Kr. 7990,- og 9990,- for MAC-brukere

Begrensninger for rekonstruksjon:
Er det noen begrensninger på hvor skadet diskene kan være? Evt. kan dere gi eksempler på når det ikke går an og redde ut data. Skal sies at jeg til nå har måtte bruke dere en gang, en bekjent som hadde problemer. Dyrt men de fikk reddet bilder.

Svar:
Det er 4 senarioer som gjør at data ikke kan rekonstrueres:

  1. At alle datasektorer er fullstendig overskrevet
  2. At magnetbelegget er fullstendig borte (diskkrasj)
  3. At diskplatene er utsatt for et magnetfelt som er kraftigere enn styrken på magnetstavene som lagrer data.
  4. At disken blir utsatt for høyere temperatur enn "curie" punktet til metall-legeringen som inneholder magnetstavene. I dag ca. 600 til 700 grader.

Brann:
Hvis man f.eks. får ødelagt en uvurderlig disk i en husbrann, hvor mye koster det egentlig i norske kroner å få restaurert den nok til at man kan trekke ut dataene..? Er jo ikke akkurat to småsteiner bundet sammen med gaffa-teip det er snakk om... :-P

Svar:
Langt fra gaffa teip til recovery av vann og brannskader:-) Umulig å gi noen "fastpris" på slike skader da det er avhengig av hvor varmt det har vært, hvor lang tid det har gått før vi mottar den, generelt hvor vanskelig det er å gjenskape dataene. Men vi lykkes som oftest:-)Vi gir pris på rekonstruksjonene etter en innledende analyse, da først vet vi hvor vanskelig saken er og sannsynligheten for hvor mye data vi kan redde er. Men et tips er å spørre om forsikringsselskapet ditt dekker slike skader, mer og mer vanlig at dette er inkludert i innboforsikringen

Personlige data:
For noen år siden tok en av mine harddisker kvelden, og jeg har tatt vare på den med tanke på å forsøke å få den gjenopprettet en dag. Den inneholder bl.a. familiebilder, arbeidsdokumenter og annet personlig fra mange år tilbake i tid. Hvis dere klarer å gjenopprette harddisken, i hvilken grad går dere gjennom slike personlige eiendeler? Blir dette lagret hos dere? Det er klart man ikke ønsker at ukjente skal "snoke" i personlige dokumenter eller at det kommer på avveie. Sist lurer jeg på i hvilket format man får de restaurerte data tilbake fra dere? Takk for svar.

Svar:
Vi lagrer dine data mens vi utfører oppdraget og vi lagrer disse i 30 dager. Lagringen gjøres for din sikkerhet. Lagring i kortere eller lengre tid kan avtales. Ibas arbeider under strenge retningslinjer og med taushetsplikt. Vi har ingen interesse eller kapasitet til å gjennomgå informasjonen utover tekniske hensyn for å løse ditt oppdrag best mulig. Vi leverer de rekonstruerte data på den måten du måtte ønske, DVD, minnepinne, harddisk.

Kryptering:

Spørsmål 1:
Klarer dere å gjenskape informasjon fra en disk som er kryptert med truecrypt/PGPdesktop eller liknende? Hvis en harddisk er kryptert med "AES-Twofish-Serpent" f.eks som er en kryptering som f.eks Truecrypt kan bruke til å kryptere harddisker med. Og hvis alle filer er kryptert, klarer dere å få noe nyttig/leselig ut av en harddisk? selv om harddisken er fullt oppegående?

Svar:
Ja, vi utfører daglig rekonstruksjon på krypterte harddisker. Selvfølgelig i samarbeid med administrator/eier.

Spørsmål 2:
Det finnes et par minnepinner på markedet i dag med hardwareimplementert kryptering. IronKey har eksempelvis en mikroprosessor som krypterer alt innhold. Denne brikken er støpt i en epoxy-blanding for å forhindre tukling og reversering av krypteringen osv. I tilleg er det en hardwareteller som sørger for at om passordet blir tastet inn feil x antall ganger, wipes og deaktiveres hele minnebrikken. Har dere vært borti eksempelvis Ironkey tidligere, og er de såpass sikre og pålitelige som de selv skal ha det til? Vet at IronKey er FIPS 140-2 Level 3-godkjent, så hadde vært interesant å høre om dere har jobbet med slikt.

Svar:
Kjenner ikke til at vi har hatt noen oppdrag på dette, men Iron Key har ulike disaster recovery løsninger som eventuelt kan benyttes. Hvis dataene er slettet ved å kjøre trim kommando så kan det fortsatt være data tilgjengelig på minnebrikken. Hvis crypto informasjon er lagret hos Iron Key eller andre steder kan denne benyttes for dekryptering av rekonstruert data. Dette blir selfølgelig noe komplisert og krever reverse engineering!

Spørsmål 3:
Klarer dere å hente ut data fra disker kryptert med bitlocker?

Svar:
Bitlocker er vanskelig å dekryptere. Det avhenger av hvilken versjon av BL som er benyttet. Det er noen kjente svakheter i forhold til at crypto nøkkel kan være lagret i minnet på maskinen og at denne kan hentes ut på maskiner som er aktive (påslått) eller har gått i dvale modus/hibernation. Vi har forsket en del på dette området, men kan dessverre ikke gå inn på detaljer!

Spørsmål 4:
Benytter dere rainbow-tables mot windows 7 NTLM (i forbindelse med f.eks. bitlocker)?
Noen tanker om å benytte Amazon cloud i spesielle tilfeller?

Svar:
Dette er et spennede felt og vi har benyttet både Rainbow tables og også Amazone EC2 tjenester. Det er viktig å presisere at vi kun knekker kryptering i de tilfeller vi har en rettsmessig adgang til dataene!

Spørsmål 5:
Hvor stor del av harddisker som dere har fått inn (i kriminell sammenheng) er fullstendig kryptert med for eksempel AES slik at det ikke lar seg gjøre å bruteforce? Hvis ikke du vet eksakt, kan du gjøre et utdannet gjett?

Svar:
Vi har stadig inne disker med kryptering, men det er et fåtall av disse som kommer fra individer som krypterer for å skjule kriminelle handlinger. I disse tilfellene bruker vi ulike metoder for å forsøke å dekryptere blant annet ordliste angrep eller også bruteforce (avhenger av cryptonøkkel og passord)! Vanskelig å gi noen eksakt antall på hvor mange saker vi har hatt inne men det forekommer!

Lengre levetid:
Har dere tips til forbrukere om enkle tiltak de kan gjøre for å ha håp om lengere levetid på sine disker?
Er det også noen dere vil si som lager mer solide og pålitelige disker enn andre?
Hvordan er det med muligheter for gjenopprette data fra SSD'er kontra gode gamle HDD'er?

Svar:
Det er viktig å behandle harddiskene pent, unngå slag/støt og overoppheting. Dagens disker er veldig likt oppbygd, men det er nok litt her som ellers i livet billigst er ikke alltid best.. Rekonstruksjon fra en SSD kan være utrolig komplisert hvis den har fysiske skader, se også andre svar angående SSD rekonstruksjon.

Central point backup:
Har dere mulighet for å redde databånd lagret med Central Point Backup som er passordbeskyttet, meg vitende er det ikke kryptert (tidlig 90-talls software)?

Svar:
Her burde det være gode muligheter for å redde dine data! Vi har lang og god erfaring med å rekonstruere data fra det meste av backupsystemer, også gamle taper og backupformater.

Knuse disk:
Om jeg f.eks knuser en 2.5" harddisk som har en knuselig plate ( glass?) så høres det ut som om det er 10000 glassbiter inne i disken. Er dette noe som går an å restaurere? Hører det at man kan gjenopprette brente harddisker osv. men de har vel fortsatt platen intakt? så selv med 10.000 glassbiter er det mulig å hente nyttig informasjon?

Svar:
Ibas kan per i dag ikke rekonstruere data fra enkelt plater som er pulverisert i 10000 biter. Men ofte har diskene flere plater hvor vi da kan rekonstruere data fra platene som er hele.

Piratkopierte data:
Hva om en bruker har piratkopiert materiale på sin disk? kan privat personer i et dilemma over familie bildene og frykten av rettslig etterfølgelse av pirat kopierte sanger/materiale på disken, være trygge i at dere ikke tyster på deres kunder?

Svar:
Ibas har ingen mulighet eller ønske om å sjekke opphavsrettigheter på lagret informasjon med mindre dette er noe vår oppdragsgiver ønsker å få undersøkt.

Statestikk:
Jeg jobbet tidligere som tekniker ved et verksted og jobber nå som selger av datautstyr, noe som gjør at jeg titt og ofte har hatt kunder med ymse mekaniske feil på harddiskene sine, gjerne forårsaket av et fall i bakken, men like ofte ikke. Veldig ofte i slike tilfeller er det gjerne lesehodet som har skrapet over overflaten og lignende feil.

Jeg pleier å tipse kunder om dere i slike tilfeller, men det jeg lurte på er om det ville vært mulig å få noen tall på f.eks. hvor mange harddisker med mekaniske feil dere gjennomsnittlig får reddet data fra, eller noe annet kvantifiserbart som vi kan opplyse kunder om. De setter gjerne pris på en eller annen sannsynlighetsberegning når de tenker over om de skal kontakte dere.

Dere gjør en knall jobb, og jeg har en håndfull kunder som den dag i dag lovpriser arbeidet dere gjør. :)

Svar:
Ibas får inn ca 3000 jobber pr år og ca 80 til 85 % av disse diskene har fysiske feil/skader. Ibas kan i 8 av 10 tilfeller gi våre kunder et tilbud på rekonstruksjon av deres data. Veldig hyggelig å høre at dine kunder har en positiv opplevelse ved å benytte våre tjenester.

Kortslutning:
Jeg har to harddisker som ikke vil fungere etter at jeg byttet strømforsyning til pcen. Jeg mistenker at de kortsluttet da jeg startet pcen, siden jeg kan ikke høre harddiskene kjøre. Jeg er rimelig sikker på at alle data på harddiskene er intakt, men finnes det noen økonomisk måte å gjenopprette dataene på, siden jeg bare er en fattig student?

Svar:
Siden diskene ikke spinner opp er det mest sannsynlig en elektronikkfeil. Vi har priser som er overkommelige også for studenter!

20 år siden:
Husker for ca 20 år + vi tukkla mye med innmaten og behandlet data på en ufin måte. Enkelte ganger så hoppa plate leseren av og vi bare skrudde opp og deksle lirka den på plass skrudde igjen og vips surra det og gikk en stund til. Vet ikke om innmaten har endret seg av stor betydning på de siste 20 åra men sitter her med en Hd som mulig har hoppet av tror du det gamle trikset går fremdeles.

Svar:
I prinsipp fungerer diskene på samme måte i dag som for 20 år siden, men mye har allikevel endret seg. Hodene er i dag utrolig små og tåler ikke mye. De nye MR hodene tåler også veldig lite statisk elektrisitet kun 3-5 volt uterminert. Har dine data en veldig lav verdi kan du jo forsøke og om du lykkes er det jo flott. Er data verdifulle ville jeg kontaktet en profesjonell aktør. Hvis du ønsker å sende inn enheten for data rekonstruksjon blir som regel kostnadene lavere om enheten ikke er skrudd på før den blir sent inn.

Hovedkort:
For en tid tilbake gikk hovedkortet jeg hadde heden. I samme slengen tok det med seg tre disker. Andre maskiner finner harddiskene uten problemer, men størrelsen er feil. Den kommer nemlig bare opp med størrelsen på cachen som tilgjengelig plass. Er det noen måte å fikse dette på, eller er det bare å kaste diskene?

Svar:
Vi jobber ikke med reparasjon av harddisker, men hvis disse inneholder data som er viktige for deg kan du gjerne ta kontakt med vårt kundesenter.

500 GB WD-Disk:
Jeg hadde en 500GB WD-disk som tok kveld for et års tid siden. Jeg lurer på hva som kan ha gått galt med den. Den sto i en eksternt (USB)boks om aldri ble flyttet på. Første symptom var at den ikke dukket opp i Explorer, men den var tilbake etter en reboot. Jeg begynte å ane ugler i mosen og begynte å ta backup men kom ikke lenger enn 5-10 prosent før jeg mistet kontakt igjen. Etter fire-fem reboots spant den ikke opp i det hele tatt.

Svar:
Det du beskriver høres ut som en fysisk skade og du er nok ikke den første som har opplevd dette.
Vi anbefaler ikke at man kjører slike disker for lenge ettersom skaden da ofte blir forverret og muligheten til en vellykket rekonstruksjon kan reduseres. Spesielt bruk av datarekonstruksjonsprogrammer eller andre programmer som reorganiserer eller "reparer" korrupte filer anbefales ikke i slike tilfeller. Vi har egne folk som er spesialisert og bare jobber med fysiske skader, så dette er som regel ikke noe man bør forsøke å reparere selv.

Tikk / smell:
Jeg har en hardisk som jeg i øyeblikket ikke tør å bruke lenger. Dvs. den er heller ikke brukbar i den nåværende tilstand. Det høres ut som at den spinner opp med maks omdreining, for så kort noen sekunder etter, hører jeg tikk/smell før den så starter opp igjen på samme måte. Jeg er redd for at det er en mekanisk feil..
Høres dette kjent ut?
Og hvorfor må det koste så mye for hvermansen å få rep. en sånn feil?
Hadde det vært litt rimeligere hadde kanskje flere kunder strømmet til..?(en studentpris hadde vært fett ;D)

Svar:
Ja, dette høres absolutt kjent ut. Ut fra det du beskriver, høres det ut som en begynnende fysisk krasj. Som nevnt i tidligere svar, anbefaler vi ikke at man kjører slike disker da en slik skade som regel vil forverres relativt raskt. For deg som privatperson vil det koste deg 7990,- (inkl. mva) for å få rekonstruert denne hos oss, en relativt rimelig penge for en omfattende jobb selv om jeg godt kan forstå at det sjelden kan bli billig nok for en student ;-)

Anonymt:

Spørsmål 1:
Om jeg sender en disk til dere som _kan_ inneholde svært private bilder, kan de som behandler haddisken hos dere se hvem som eier disken, eller er dette ~ anonymt?

Svar:
De som utfører rekonstruksjonen hos oss har informasjon om hvem som er vår oppdragsgiver. Dette fordi det som regel er en kommunikasjon mellom ingeniøren og kunden i forhold til hva som skal rekonstrueres og hva som skal prioriteres etc.
Alle ansatte jobber forøvrig under strenge retningslinjer og har taushetsplikt. Se forøvrig svar på andre tilsvarede spørsmål, du kan trygt sende dine data til Ibas.

Spørsmål 2:
Er dere pliktig til å kontakt politiet hvis dere finner ulovlig innhold på en harddisk?

Svar:
Det er viktig å presisere at Ibas ikke har noe ønske eller mulighet til å se igjennom de enorme datamengdene vi håndterer. Vi utfører våre oppdrag ihht avtale med våre oppdragsgivere og vil f.eks. i en datarekonstruksjon ofte forholde oss til informasjoen på et teknisk nivå.
Hvis vi kommer over straffbart materiale vil vi ta opp dette med vår oppdragsgiver.

Redde bilder:
Jeg har en HDD liggende, som jeg skulle reddet ut ca 10000 .jpg filer fra, jeg får imidlertid feilmelding når denne blir koblet til maskinen "Cyclic redundancy error" og maskinen fryser. Problemet blir mindre når disken er koblet gjennom et eksternt USB kabinett. Finnes det et program som kan komme rundt problemet, alternativt en kontroller som egner seg bedre til denne typen oppgave enn andre?

Svar:
Dette høres ut som en fysisk krasj. Når lesehodet beveger seg i området for fysisk skade/krasj vil denne utvikle seg og du kan risikere at du til slutt ikke har kontakt med disken eller at denne ikke går "ready". Dette er nok dessverre ikke et område for prøv og feile-metoden da den nok i de aller fleste tilfellene vil feile.

RAID 0:
Etter 3 år sa grafikk-kortet takk for seg på min XPS Laptop før jeg fikk tatt ut alle bildene mine på harddisken. Nå er det slik at det er to harddisker satt opp i RAID 0 og således får jeg ikke selv tatt ut data fra en og en harddisk. Hvordan er muligheten for å få tatt ut data på disker satt opp i RAID 0?

Svar:
Hvis du har begge diskene er ikke dette noe problem. Har du kun en disk vil det ikke være mulig å rekonstruere store filer, men små filer vil kunne bli komplette.

RAID med 6 disker:
Jeg har et raidoppsett med 6 disker, og dette skal tåle at en disk ryker. Dersom to disker i et raid 5 oppsett ryker, har dere da mulighet å berge noe av innholdet?

Svar:
Ja det kan være mulig. Vil vil i utgangspunktet forsøke å rekonstruere rådata fa de defekte diskene for å kunne bygge opp igjen raidet. Vi trenger kun diskene for å utføre denne typen oppdrag. Vi har god erfaring med denne type skade og rekonstruerer data fra raid daglig.

CD-ROM:
Er det mulig å redde innholdet fra en CD-ROM som er brukket i 2 tvers over?

Svar:
Ja faktisk, dette har vi gjort tidligere!

Dataetterforskning
Dersom det lykkes IBAS å delvis gjenopprette et svært viktig elektronisk spor, la oss i dette tilfellet si en fil hvis innhold er kjent for etterforskerne. Hvor mye sammenhengende data er det nødvendig å dokumentere for å kunne stadfeste med tilstrekkelig sikkerhet at det elektroniske sporet faktisk befant seg på lagringsmediet? Holder det med et par bit eller kreves det at større deler/hele filen må kunne gjenopprettes?

Svar:
Hvis informasjonen finnes på lagringsmediet vil vi kunne dokumentere dette uavhengig av mengden. Hvis dette f.eks. er en del av et tekst-dokument kan dette ofte eksistere i flere versjoner og kanskje i flere ulike dokumenter. I noen tilfeller vil imidlertid et fragment kunne dokumentere viktig informasjon. For at hele filen skal kunne gjenopprettes må all informasjon være tilstede.

Her er spørsmålene og svarene som handlet om sletting av data i nettmøte på hardware.no

Random mønster:
Om man vil fjerne alt innhold fra en harddisk før den skal skrotes, holder det å skrive 0 på alt, eller må man skrive et random mønster av 0 og 1 for å være sikker på at innholdet ikke kan hentes ut?

Svar:
Det holder å skrive 0 i hver sektor på disken! Det betyr ikke noe hva slags mønster du skriver men at du faktisk skriver over alt på disken. Dagens disker kan ha områder som benyttes av operativsystemet til å mellomlagre data eks i dvalemodus og lignende. Flere sletteverktøy sletter ikke slike områder og disse kan inneholde mye sensitive brukerdata. Sørg for at du bruker et verktøy som er godkjent av feks nsm (https://www.nsm.stat.no)

Myter:
Som dere sikkert kjenner til er det mange myter der ute angående sikker sletting av data. Debatter omkring dette temaet ender veldig ofte opp i rent teoretiske diskusjoner der ekstreme metoder for både både sletting og eventuell gjenopretning settes opp mot hverandre. Det kunne vert interessant å fått belyst dette temaet med litt konkret erfaring. Vil det eksempelvis være tilstrekkelig å skrive over disken en gang (f.eks med gutmann-algoritmen) for å umuliggjøre gjeopretting hos ibas selv i en viktig etterforskningssak? Besitter ibas noen form for "hemmelig teknologi" ala et egnet atomkraftmikroskop eller liknende som muliggjør delvis gjenoprettelse av overskrevet data? Hva med fysisk destruksjon av plater, vil ibas kunne gjenoprette informasjon fra en harddiskplate som knust i flere biter av mer eller mindre irregulær fasong forutsatt at informasjonen ikke er overskrevet? Spesielt det siste kunne det vert interessant å få et svar på, da man ofte hører at ibas kan gjenopette data selv fra bitte små fragmenter av magnetiske plater.

Svar:
Med dagens disk teknologi er en overskrivning nok. Ibas kan ikke rekonstruere data som er overskrevet en gang og vet heller ikke om andre aktører som har bevist at de kan gjøre dette. Klipper man en plate i små biter sletter man ikke data, man gjør det bare utrolig vanskelig å rekonstruere.

Ny degausser:
Kommer dere med en ny degausser snart, eller blir sertifiseringen på den eksisterende modellen fornyet? Har dg.02 på jobben, som ikke lengre er sertifisert hos nsm, men vi vil nødig bytte den ut om den eksisterende modellen får videre sertifisering, eller en ny modell kommer med nye fire år sertifisert.

Svar:
Dg.02 er som du sier ikke lengre sertifisert av nsm og vi lanserte dg 3.0 i 2009, denne er selvsagt sertifisert av nsm. Vi følger kontinuerlig med på diskteknologien og vi lanserer ny degausser når vi trenger å lage et kraftigere magnetisk felt for å sikre en 100% sikker sletting. Vi har ingen nærliggende planer om noen ny degausser ennå.
Her finner mer info om dg 3.0

Sletteprogramvare:
Har hørt "her" at det ikke lar seg gjøre å slette data fra harddisk og annen magnetisk lagring (bånd) uten å fysisk ødelegge mediumet. Har dere anbefalinger om det finnes sletteprogramvare som er tilstrekkelig for å slette magnetiske lagringsmedier for "hvermannsen"? Har selv prøvd ccleaner sin slette/ overskrivnings muligheter og ikke klart å gjennopprette data ved bruk av annen programvare.
Har ikke selv det store behovet for sletting, men det kan være trygt å få slettet passord, private brev, selvangivelse ol.

Svar:
Cc cleaner er et såkalt fil sletteverktøy som sletter internett historikk, noen temporære filer, deler av filsystemet på disken samt uallokert (tilgjengelig) område på harddisken. Problemet er at data kan ligge på mange ulike områder som ikke er synlig for en vanlig bruker som feks beskyttede fier og områder, fil slakk o.s.v. Det er ofte her vi finner data i våre etterforskningssaker! Med fare for å gjøre det vanskelig for ibas å hente ut data :) så anbefaler vi sletteverktøy som skriver over hele disken.

Disk knusing:
Som alternativ til å kjøre disker gjennom degausser eller skrive over med bitmønstere x antall ganger hele disken. Vil en slegge i disken gjøre samme nytte?

Svar:
Nei, slegga gjøre ikke samme nytten da denne ikke sletter noen data. Bruk av degausser eller programvare gjør hverdagen din mye lettere samtidig som du er sikker på at dataene faktisk er slettet.
Hvis det er treningsnytten du er ute etter kan vi anbefale ved-hogst med øks ;-)

Formattering:
Hvor mange ganger må en harddisk bli fullstendig formatert for å være sikker på det ikke ligger igjen spor av den gamle informasjonen på disken? Er det bedre å formatere disken med tilfeldig bits?

Svar:
Når man skal slette en harddisk må man benytte en software som sikrer at alle sektorer på disken blir fysisk overskrevet og at dette verifiseres og dokumenteres av programmet. Benytt gjerne software som er godkjent av nsm. Det finne mange teorier om hvordan man kan rekonstruere overskrevne data, men dagens disk lagrings teknolog(prml lesekanal)har ibas as ikke sett noen som kan bevise at det er mulig å rekonstruere brukerdata fra en hard disk som er oveskrevet en gang.

Hvor mange ganger:

Spørsmål 1:
I en god del diskusjoner på diverse forumer har alltid diskusjonen kommet opp om hvor mange ganger man må overskrive en disk før all data blir umulig å lese eller å få nyttig informasjon ut ifra. Noen sier at det må være 32 ganger før alt blir fullstendig uleselig og noen mener at med 3 ganger så er man sikret at det ikke kan gjenopprettes.så hvor mange ganger må en hdd overskrives med f.eks random bytes eller lignende før det er u-gjenopprettelig?

Svar:
En (1) overskrivning vil være tilstrekkelig for at data ikke lar seg rekonstruere.
Det som er viktig når det gjelder datasletting er å kunne vite at alle lagringsområder faktisk er overskrevet. Derfor anbefaler vi å benytte sertifiserte produkter som også gir deg nødvendig dokumentasjon på at enheten er slettet.

Spørsmål 2:
Klarer dere og hente ut data fra disker som har blitt overskevet 7-8 ganger? Og er det mulig og hente ut data fra skjulte truecrypt volum?

Svar:
Er alle sektorer overskrevet en gang kan vi ikke rekonstruere data. Det kan være mulig å rekonstruere data fra et truecrypt volume i samarbeid med kunde.

Gutmann:
Klarer dere å hente data fra en disk som har blitt behandlet med the gutmann method?

Svar:
Peter gutman utviklet en algoritme for overskriving/sletting av data og innebærer bl.a 35 ganger overskrivning. Siden denne metoden ble utviklet har lagringsteknologien utviklet seg voldsomt og hans teorier om å lese data fra ulike "overskrivningslag" er nok ikke relevant for dagens teknologi og hjelpemidler. I alle praktiske henseender er en -1- overskrivning nok til at informasjonen ikke lar seg rekonstruere.

Disk bøying:
Er det fysisk mulig å gjennopprette data om man tar ut harddiskplaten og ødlegger den/bøyer den slik at harddiskplaten på 3.5" ser ut som et askebeger? Kan godt tenkes man kan gjenopprette data men hvor mye tror du man kan få ut? Spesielt hvis vi snakker om raid 0? Mener du at dette er så fysisk sikkert som mulig hvis man vil kaste harddisken eller at ingen skal få tilgang til data?

Svar:
Om du vil være sikker på at ingen får tak i dine data vil en enkel og god måte være å benytte en degausser.

Micro sletting:
Stemmer ryktet om at et par minutter i micro'en ugjenkallig sletter all data på cd'er og minnepinner?

Svar:
Ja det har vi prøvd og minnepennen fungerte etterpå. Du kan nok kanskje oppleve en kortslutning i pennen som gjør at den ødelegges men dataene er mest sannsynlig ikke slettet.

Drill:
Jeg er med og driver et lite familiefirma. Vi har en del gammelt datautstyr som da har harddisker disse ønsker vi å destruere, men ønsker ikke å bruke firma til dette. Om jeg driller en fem-seks hull gjennom diskene med en kraftig søylebormaskin vil dette gjøre diskene ubrukelige/ umulige å redde for evt. Tyver?

Svar:
Boring av hull i disken sletter ikke data. Du bør stille deg et spørsmål om denne informasjonen er av en art at den ikke kan komme på avveie. Du vet aldri hva en "tyv" gjør med en disk etter brekket, eller hvor den ender opp. Vi har eksempler der folk har boret og brukt epoxylim inn i hullene. Det var fortsatt mulig å hente ut mye data.

MFP printere:
En del mfp printere har intern disk. Det sies at kopier x-antall uker tilbake ligger relativt ubeskyttet på disse diskene. Gjelder dette også mange farge og s/v lasere? Og hva bør man gjøre ved retur av slike printere enten dette er til gjenvinningsstasjon eller til leverandør ifm. Bytte?

Svar:
Printere med lagringsdkapasitet (eks. Harddisk) vil kunne inneholde kopier av det som er skrevet ut eller kopiert. Det er nok ikke alle som er like oppmerksomme på dettte som deg, og vi anbefaler at printere med denne funksjonaliteten slettes med godkjent programvare eller degausser ved avhending. Tidsaspektet har ikke så mye å si for hva som fremdelses ligger lagret, den faktiske bruken (hyppighet) har større betydning. Du kan derfor oppleve at informasjon langt eldre en noen uker fortsatt kan være lagret på enheten. Når service-teknikeren er på besøk bør du selvsagt spørre om han har byttet disk og at den i så fall slettes behørig. Det er ikke bra om konfidensiell informasjon forsvinner ut døra etter service.

Sletteverktøy:
Kan dere anbefale et program som wiper en disk slik at informasjon ikke kan bli hentet ut? Om dere kan anbefale/foreslå et program som kan gjøre dette hadde vært veldig fint :) om du vet om et gratis program eller program som kan kjøpes men programmet må være skikkelig sånn at det får effektivt slettet data.

Svar:
Som du sikkert kjenner til har vi utviklet et verktøy, ontrack eraser som vi hovedsaklig selger til bedrifter men du finner tjenesten hos vår partner elkjøp:

Sletting av mobilteelfon:
Jeg har noen spørsmål som går på sletting av data fra mobiler som er tapt/mistet og faller i hendene på noen med gode kunnskaper. Utfra deres erfaringer med å gjenskape data, hva er tilstrekkelig sletting. Jeg er spesielt bekymret for lekkasje fra tapte android mobiler. Anser dere bruk av "remote wipe"/kill pill funksjoner fra feks mdm/afaria som tilstrekkelig sletting i ft loven? Dersom man benytter aes kryptering av data lokalt på mobilen, (programvarebasert) og dette benyttes i kombinasjon med remote wipe er da dataene tilstrekkelig beskyttet i ht loven?

Svar:
Forskriften i personopplysningsloven definerer ikke hvordan selve slettingen skal utføres. Generelt er sletting av mobiltelefoner komplisert, men flere mobil plattformer som android og ios støtter sletting av brukerdata, også remote. Som regel vil dette være tilstrekkelig, men kvalitet vil være avhengig av operativsystem, lagringsmedie og metode. Dette vil i de fleste tilfeller ikke slette 100% av dataene, men det er vanskelig å verifisere dette uten inngående reverse engineering. Hvis dataene i tillegg er krypterte er det mindre sannsynlig at data kan rekonstrueres.

En gang overskriving:
Så vidt jeg har fått med meg er det ingen som har bevist at det er mulig å hente ut fornuftige data fra en disk som har blitt overskrevet 1 gang. Stemmer dette med deres erfaring? Er det da egentlig noe poeng å overskrive disken flere ganger?

Svar:
Så lenge du faktisk vet at dataene er 100% overskrevet 1 gang er det ikke mulig å hente ut noe data. Men noen internasjonale standarder krever flere ganger overskriving og derfor vil du finne sletteprogramvare med 1 eller flere ganger overskriving, men det eneste du oppnår er at slettingen tar lengre tid :-)

Her er spørsmålene og svarene som handlet om rekonstruksjon og sletting av ssd i nettmøte på hardware.no

Død SSD:
Mistet all data å ikke bare data men hele disken er død, det er her snakk om første gen SSD? kan data hentes fra slike ?

Svar:
I mange tilfeller kan vi rekonstruere data fra slike skader som du nevner, men samtidig skal vi ikke underslå at det er utfordringer med SSD. Hvis du tar kontakt med oss kan vi bli enige om å gjøre en teknisk analyse for å kartlegge mulighetene i ditt tilfelle.

SSD vs HDD:

Spørsmål 1:
Hvordan skiller SSDer seg fra HDDer med tanke på gjenoppretting av data? Vil IBAS kunne gjenopprette data fra en SSD der alle de individuelle NAND-brikkene er fysisk skadet, eksempelvis etter slag fra en hammer? Hva med overskrivning, holder det med en enkelt overskrivning på en SSD?

Svar:
Hvis man må lese data ut fra de individuelle NAND-brikkene er det en meget komplisert jobb å sette dette sammen til bruker data igjen på grunn av komplisert lagringsteknologi og en miks av aktive og ikke aktive data. Er "Waferen" i NAND-brikken knust kan vi nok ikke gjøre noe, ellers kan data rekonstrueres fra fysisk skadde brikker. En enkelt overskriving vil slette aktive lagringslokasjoner, men gamle data kan fortsatt finnes i ikke aktive/reserve lagringslokasjoner.

Spørsmål 2:
Hvordan er gjenoppretting av slettede data på en SSD i forhold til vanlige harddisker? Er det mer data som kan hentes ut, siden det er vanskeligere å slette dem sikkert?

Svar:
En SSD disk har mer lagringsplass enn det du som bruker har tilgang til på normal måte. For å bedre ytelsen og øke holdbarheten har den ofte 10% "reserve" kapasitet. Disse områdene blir benyttet av kontrolleren på SSD enheten og kan inneholde mye bruker data, som for eksempel eldre versjoner av en fil du jobber med. Med spesialutstyr og kompetanse kan det være mulig å rekonstruere disse områdene og dermed finne igjen data fra en "slettet" SSD.

Runcore SSD:
SSD med fysisk ødeleggelse knapp, er ikke det umulig for dere og få ut noe av? det er jo antatt at flere og flere vil bruke det siden de enten er kriminell eller bare har jobb data eller militært data som er hemmelig.

Svar:
Regner med at du refererer til Runcores nye SSD-serie Invincible. Vi har ikke jobbet noe med disse enda, men det ser ut til å være vanskelig å rekonstruere noe fra disse etter at den røde knappen er benyttet..

Slettet SSD:

Spørsmål 1:
Om filer blir slettet på helt vanlig måte på en SSD. er dette noe som enkelt kan gjennopprettes? eller hvordan er det med gjennoppretting med ikke fysiske/mekaniske lagringsmedium generelt?

Svar:
Filer slettet på vanlig måte på en SSD vil kunne gjenopprettes på samme måte som filer slettet på en normal harddisk, hvis ikke det er kjørt "trim kommando".

Spørsmål 2:
Har dere noen konkrete verktøy eller metoder for sikker sletting av SSD disker? Degausser vil jo ikke fungere. Hva med Dariks Boot & nuke? Såvidt jeg har forstått er dette vanskelig av mange årsaker. (simulering av LBA'er, wear leveling, trim, spare area fra produsent osv)

Svar:
Pr i dag har kun en "in-house" sletteløsning for SSD som vi kan garantere at data blir slettet 100%. Dette er en destruktiv løsning. Problemstillingene du nevner rundt sletting av SSD er riktige.

Fremtiden med SSD:
Hvordan tror dere fremtiden blir nå som SSD begynner å få fotfeste, da med tanke på at det er rimelig enkelt å blanke ut en SSD med overspenning?

Svar:
Vi ser lyst på fremtiden, slettede data utgjør kun en veldig liten del av vår jobb mengde. De fleste diskene vi mottar for rekonstruksjon har fysiske skader, dette gjelder også for SSD disker.

Tømt SSD:
Er det mulig å hente ut informasjon fra en SSD-disk som fungerer, men er tilsynelatende tømt? Brukt som OS-disk, men glemt å skru av "Skru av HDD etter x-sekund"-funksjonen.

Svar:
Her må vi nok utføre en analyse av enheten, for å kunne si noe om mulighetene.
Siden SSD har factory overprovision som kun er tilgjengelig for diskens firmware, holder det vel neppe å overskrive disken en gang hvis man vil være sikker på at alle spor av gammel data er borte.

ATA Secure Erase:
Vil en ATA Secure Erase også dekke factory OP? Vil i så måte en destruktiv firmware flash eventuelt fjerne all data, eller er det kun kontrolleren som ikke lenger tar hensyn til at det kan være gammel data igjen noe sted, og bare flagger alt som ugyldig, mens det fremdeles kan rekonstrueres helt/delvis hos dere?

Svar:
Det er riktig at man ikke når alle data seller ved å overskrive en SSD. Problemet er at man ikke har direkte aksess til celle nivå kun det logiske blokk laget. Uten aksess til celle laget får man heller ikke verifisert at data er slettet, her ligger litt av problemstillingen.

Degausser og SSD:

Spørsmål 1:
Bare lurer på hva som vil være raskeste måte å gjøre en disk ubrukelig. Vil en degausser gjøre en platedisk ubrukelig ? Hvordan er det med dette og SSD? Kan man rekonstuere data på platelager/SSD etter en runde med en degausser? Har du noen andre tips til rask og sikker sletting av data/wiping av disk?

Svar:
Raskeste er definitivt en degausser, vår bruker 4 sekunder. Alle dataene er slettet og disken er ubrukelig. Du kan ikke slettes data på SSD med degausser da dataene ikke er lagret magnetisk. Bruker du programvare for sletting kan du gjenbruke disken.

Spørsmål 2:
Vil en degausser gjøre kretskortet på vanlige disker/SSD ubrukelig? Er det ikke i praksis en slags elektromagnetisk puls?

Svar:
Du vil sannsynligvis ikke ødelegge kretskortet i en disk/SSD. Vi har 18.000 gaus i magnetfeltet når vi gausser en disk i vår degausser.

Spørsmål 2:
Ville du stolt på ssd'ens innebygde security erase enhanced kommando om du ville slette alt på en SSD? Hvordan den gjennomføres kommer jo an på hvordan den er implementert i firmwaren, og du har ingen lett måte å verifisere om reservert plass er slettet eller ikke. Mener å ha lest at Parted bruker denne kommandoen f.eks.

Svar:
Som du selv sier er problemstillingen å kunne verifisere om data faktisk er slettet.