Forbes: взломано облачное хранилище Canon, украдено 10 Тбайт данных

Вчера на сайте журнала Forbes появилась весьма тревожная статья: объявлено, что облачный сервис Canon подвергся хакерской атаке и с него было украдено около 10 Тбайт данных пользователей.

Новость эта тревожна по двум причинам. Во-первых, уж если такие крупные гиганты IT-индустрии, как Canon, не могут обеспечить безопасность своих онлайн-сервисов, то что говорить о нас, простых смертных? И, во-вторых, а если в следующий раз злоумышленники не станут красть чужие данные, а зашифруют их? Как известно, современные вирусы-шифровальщики весьма тяжело поддаются расшифровке.

Что известно на настоящий момент? 5 августа 2020 года хакеры из группировки Maze (разработчика одноименного зловреда) взломали защиту серверов Canon и украли около 10 Тбайт данных, включая персональную информацию. Что именно было украдено, не раскрывается — но, надо думать, хакеры вряд ли стали бы тянуть с серверов фоточки и видосики пользователей. Всего пострадало 24 домена Canon — случай беспрецедентный по своему размаху. Скорее всего, злоумышленники получили полный доступ к корневым директориям главных серверов компании.

В настоящее время компания Canon проводит расследование данного инцидента. Самое неприятное, что мне, как пользователю сервисов Canon, не поступало никаких предупреждений о том, что требуется мое внимание к безопасности моего аккаунта.

В свете всего этого я бы посоветовал тем, кто пользовался облачными сервисами Canon, озаботиться обновлением защиты: как минимум, поменять пароли. Оевидно, что корпорации сейчас не до оповещения пользователей о возможных проблемах и рисках. А зря.

Восстановление данных из профессионального диктофона ZOOM Handy Recorder H6

Восстановление данных в Бишкеке | DataRecovery Bishkek
ZOOM Handy Recorder H6

Задача. Восстановить данные из профессионального диктофона ZOOM Handy Recorder H6.

Описание проблемы. Карта памяти из диктофона была отформатирована в фотоаппарате, данные не видны. При восстановлении данных свободно распространяемым через интернет ПО аудиозаписи повреждены.

Результаты диагностики. В результате форматирования утеряна информация о фрагментации аудиофайлов.

Необходимые для восстановления информации процедуры.

  1. Посекторное копирование карты памяти в образ.
  2. Анализ образа, отделение аудиопотока от остальных данных.
  3. Анализ аудиопотока, реконструкция метода записи диктофона.
  4. Подготовка скрипта для сборки аудиопотока.
  5. Сборка аудиопотока, контроль результата.

Результат.

Данные восстановлены полностью.

Восстановление данных в Бишкеке | DataRecovery Bishkek
Неисправная аудиозапись
Восстановление данных в Бишкеке | Data Recovery Bishkek
Та же аудиозапись после исправления

Особенности заказа.

Диктофон ZOOM Handy Recorder H6 записывает многоканальный звук сразу с нескольких микрофонов и компонует аудиозапись таким образом, чтобы максимально увеличить производительность при записи. При этом особенное внимание уделяется качеству звука — звук записывается в формате wav с высоким битрейтом. Файлы при этом получаются достаточно большими. Для оптимизации записи диктофон пишет эти файлы на носитель фрагментированно.

После форматирования флеш-карты из диктофона информация о фрагментировании теряется, и аудиофайл перестает нормально работать. Восстановленный классическими свободно распространяемыми через Сеть приложениями, такой файл проигрывается, но запись представляет собой смесь звуков.

Размер фрагментов зависит от количества подключенных микрофонов и интенсивности записи. Не имея информации о том, каким образом диктофон записывал конкретный аудиофайл, восстановить правильный порядок и величину блоков невозможно.

В каждой папке проекта (аудиозаписи) диктофона имеется файл-описатель формата hprj. В этом файле содержится вся необходимая информация для сборки аудиофайла, пригодного для проигрывания: величина блоков записи, их расположение и порядок. Поскольку данный формат файлов нигде не описан, нам пришлось самостоятельно разбираться с ним и подготовить на его основе скрипт для нашего сборщика mov-файлов.

Процедура восстановления информации с диктофона ZOOM Handy Recorder H6 заняла в нашей лаборатории 2 часа.

Восстановление данных в Бишкеке | Data Recovery Bishkek
Заголовок аудиофайла, записанного диктофоном ZOOM Handy Recorder H6
Восстановление данных в Бишкеке | Data Recovery Bishkek
Фрагмент файла-описателя проекта записи диктофона ZOOM Handy Recorder H6

Падение сервисов mail.ru и cdek.ru

Сегодня, примерно с 13-30 по времени Бишкека (10-30 по времени Москвы) у многих пользователей наблюдаются проблемы с подключением к почтовым сервисам mail.ru. Кроме того, немного позже начались проблемы и с сервисами сайта транспортной компании СДЭК.

Восстановление данных в Бишкеке | Data Recovery Bishkek
Mail.ru: ошибки входа в почтовый ящик.
Восстановление данных в Бишкеке | Data Recovery Bishkek
СДЭК: невозможно отследить заказ, а также не работают почти все онлайн-сервисы сайта.

Трассировка обоих интернет-сайтов показала, что проблемы при доступе к ним возникают в подсети одного провайдета, Transtelecom.net:

Восстановление данных в Бишкеке | Data Recovery Bishkek
Результаты трассировки сайтов mail.ru и cdek.ru, 11-00 по времени Москвы 27.01.2020.

Попытка получить доступ к сайту transtelecom.net не увенчалась успехом, браузер предупреждает о небезопасном соединении и возможных проблемах:

Восстановление данных в Бишкеке | Data Recovery Bishkek
Попытка выйти на сайт transtelecom.net

Очевидно, что произошел или крупный системный сбой на указанном выше узле, или техническая авария. Будем надеяться, что в скором времени аварию устранят, и мы снова получим доступ к почте и посылкам СДЭК.

Полагаем, что в настоящий момент не работают или работают неправильно и другие интернет-сайты, путь к которым проходит через шлюзы Transtelecom.net.

Заказчик сделал невозможным восстановление информации: Seagate в печальном состоянии на нашем столе

Радиальные царапины от неудачных попыток заказчика самостоятельно вывести задранные головки.

Очередной заказ на восстановление информации, увы, из категории «безнадежный». Диск прибыл во вскрытом состоянии и с весьма плачевным состоянием поверхностей. Головки сорвало в парковочной зоне (скорее всего, упор позиционера деформировался, что привело к удару слайдерами об ось шпинделя). В парковочной области образовался концентрический запил.

Такие типы запилов (тем более, в парковке) можно обойти. Это не просто, но возможно (модифицируется программа старта накопителя, который, вместо того, чтобы проводить полный цикл запуска с рекалибровкой, просто позиционирует головки в нужное нам место). Если бы проблема была только с запилом в парковочной зоне, за данные можно было бы еще повоевать.

Но, увы, заказчик решил самостоятельно демонтировать блок магнитных головок (для чего, сформулировать не смог). Работал без защиты от пыли и грязи, на обычном письменном столе. Как результат: отпечатки пальцев на поверхностях (что в целом не страшно и может быть убрано) и (что намного хуже) несколько радиальных царапин неправильной формы.

Радиальные царапины полностью исключают возможность использования донорского блока магнитных головок, так как при каждом вращении головки неизбежно попадут в область турбулентности, генерируемую царапиной, очень быстро перегреются и выйдут из строя. Кроме того, неизбежны микротравмы поверхности выбиваемой из этих царапин пылью.

Вердикт: восстановление данных невозможно.

Отпечатки пальцев на поверхности. Заказчик работал без соблюдения элементарной чистоты.

Очередная китайская подделка: жесткий диск якобы на 500 Гбайт

Восстановление информации в Бишкеке | Data Recovery Bishkek | Восстановление данных в Кыргызстане | DataRecovery.KG

Сегодня к нам в лабораторию поступил довольно любопытный диск. Нет, вначале мы подумали, что это будет рядовой, заурядный заказ — Western Digital на 500 Гбайт, ничего вроде бы особенного, но… При подключении диска к ПАК РС-3000, после вывода диска на интерфейс, оказалось, что его емкость 320 Гбайт, а серийный номер диска при идентификации отличается от того, который написан на этикетке.

Тщательный осмотр показал: гермоблок накопителя относится совсем к другому семейству. Судя по этикетке, диск должен быть Tahoe и иметь явственно выраженные ребра по краям крышки гермозоны. По факту же накопитель оказался из семейства Rider с соответствующим строением крышки.

Собственно, те, кто подделал накопитель, особенно и не скрывали своей активности. Торцевая этикетка накопителя, дублирующая серийный номер, даже не была отделена от печатной основы — мы легко удалили ее, и нашему взору предстала оригинальная, исходная этикетка с серийным номером.

Вполне логично спросить: а для чего наклеивать на накопитель емкостью 320 Гбайт этикетку, на которой указано 500? Кто знает… Судя по истории этого компьютера, был он куплен давно, в те времена, когда такая разница в емкости была существенной по деньгам. Поэтому, думается, меркантильный интерес тут самый оправданный.

Восстановление информации в Бишкеке | Data Recovery Bishkek | Восстановление данных в Кыргызстане | DataRecovery.KG
Восстановление информации в Бишкеке | Data Recovery Bishkek | Восстановление данных в Кыргызстане | DataRecovery.KG
Восстановление информации в Бишкеке | Data Recovery Bishkek | Восстановление данных в Кыргызстане | DataRecovery.KG

RAID10: восстановление данных из SAS-накопителей

Задача. Восстановить данные из дискового массива RAID10, собранного на 4 накопителях SAS Seagate ST9146853SS.

Описание проблемы. Дисковый массив поступил в состоянии «не определяется контроллером».

Результаты диагностики. Диагностика проведена с использованием ПАК РС-3000 SAS, ламинарного шкафа класса чистоты 100 и специализированного ПО. Выяснено, что один из дисков массива имеет серьезные повреждения поверхности (фото в шапке этого поста), три других диска исправны, но еще один диск был исключен из массива около трех лет назад по команде контроллера (аварийное исключение участника массива).

Необходимые для восстановления информации процедуры.

  1. Определение актуальных участников массива.
  2. Создание посекторной копии каждого актуального участника массива.
  3. Сборка дискового массива с использованием Data Extractor RAID Edition.
  4. Оценка целостности данных.
  5. Копирование данных на накопитель заказчика.

Результат.

Данные восстановлены полностью.

Особенности заказа.

Дисковые массивы типа RAID10 являются быстрыми (за счет страйпирования) и надежными (за счет зеркалирования). Однако в случае, если системный администратор, который следит за массивом, пропустил выход из строя одного из его участников, при следующем сбое (даже самом незначительном) могут возникнуть проблемы. В нашем случае следующим сбоем оказалось полное запиливание одного из участников массива без какой-либо возможности восстановить с него данные. При этом еще один диск был исключен из массива задолго до выхода из строя этого диска. Заказчику повезло, что вышли из строя диски из одной и той же пары. Если бы вышедшие из строя диски относились к разным парам, то восстановление данных было бы уже невозможно.

Флешка из видеорегистратора: о восстановлении информации

Довольно часто для успешного восстановления информации решающую роль играет техническое оснащение (хотя, конечно, не всегда). Часто оказывается так, что без определенных технических средств восстановить данные просто нельзя. К счастью, мы занимаемся восстановлением данных уже 27 лет, и к оборудованию относимся очень щепетильно.

На днях в нашу лабораторию поступил довольно любопытный заказ — microSD карта из китайского видеорегистратора. Карта памяти упорно не хотела определяться ни одном устройством, куда ее устанавливали. При этом на карте должно было находиться видео аварии, в которой, как мы понимаем, обвиняли хозяина флешки.

Неисправная флешка из регистратора

Действительно, при штатном подключении флешка не определилась. Это означает, что она физически неисправна, и может потребоваться сложная процедура определения пинаута, подключения на технологические контакты, вычитывания данных с последующей их сборкой. Как вы понимаете из перечисления необходимых акций, восстановление могло оказаться довольно дорогим.

Однако, прежде чем включать тяжелую артиллерию, мы всегда пробуем пойти более легким путем. Для этого у нас имеется специализированное оборудование: SD/microSD адаптер для РС-3000 Flash. В сочетании с модулем чтения NAND-микросхем 4-го поколения, этот прибор позволяет производить тонкую настройку чтения карты памяти по нескольким параметрам, включая напряжение питания.

Далеко не всегда проблемы флеш-карты связаны с транслятором или ошибками микропрограммы, и далеко не всегда распайка на самом деле необходима. Важно понимать, что распайка — это значительно более дорогая услуга, и не очень добросовестные компании могут предлагать вам ее как единственно возможное решение лишь потому, что хотят заработать на вас максимум денег. Мы идем другим путем: если более простое и более дешевое решение возможно, мы его непременно предложим.

Лог инициализации карты памяти при стандартном напряжении питания виден на картинке внизу. Из этого лога очевидно, то карта практически инициализирована, но на подаче последней команды случился сбой — причем РС-3000 успела считать с карты загрузочный сектор и некоторое количество секторов за ним, после чего карта памяти перестала определяться. Заметим, что в загрузочном секторе обнаружились вполне вменяемые данные: программа определила раздел. Следовательно, карту можно назвать неисправной лишь частично: на короткое время она дает доступ к поверхности и позволяет забрать порцию информации.

Инициализация карты памяти при стандартном напряжении питания 3.3 Вольт

Такое поведение карты памяти обычно говорит о частичном или только начавшемся выходе из строя (деградации) ее контроллера. Контроллер карты памяти — это небольшая микросхема, которая организует миллионы ячеек памяти NAND-микросхем в единый массив данных, определяет алгоритмы сохранения ресурса карты памяти и делает массу другой работы, направленной на то, чтобы карта памяти функционировала правильно и как можно более долго.

Наиболее логичным способом обхода таких ошибок является понижение питания флешки. При этом контроллер получает меньшее питание и меньше нагревается, что позволяет ему хоть и ненадолго, но вернуть карте работоспособность. Собственно, нам надолго и не надо: наша задача забрать информацию с неисправной карточки. Само устройство, в силу его малой цены, обычно никому уже не интересно.

Применение пониженного напряжения (3 Вольт) на карту памяти microSD

Опытным путем мы установили, что карты памяти с подобного рода повреждениями лучше всего работают при напряжениях 2.8 — 3.0 Вольт. Берем верхнюю границу этого значения, и получаем стабильно работающую карту памяти. Не теряя времени, забираем с нее интересующие нашего заказчика видеофайлы.

MicroSD-карта, проинициализировавшаяся при напряжении 3.0 Вольт

Дальше это было лишь делом техники. Нужные заказчику видеофрагменты были выделены и скопированы на наши носители. Вся операция заняла не более 15 минут, и довольный заказчик понес в ГАИ доказательства своей невиновности.

Станислав Корб (С) 2019

Восстановление информации с украденного диска: невозможное возможно

На днях к нам поступил довольно любопытный заказ. Жесткий диск, абсолютно исправный, но около двух месяцев бывший в использовании у другого человека. Проще говоря, диск украли, а вернулся он к своему хозяину лишь через два месяца. Естественно, все время, что диска не было на его законном месте, его использовали: записывали на него фильмы и музыку, очевидно, чтобы куда-то это все переносить или где-то смотреть и слушать.

Ситуация оказалась отягощена тем, что диск (а это был внешний накопитель емкостью 1 Тб) был размечен и отформатирован в файловой системе FAT32 — не самый удачный выбор для файлового хранилища. Почему? Да хотя бы потому, что в FAT32 имеются ограничения на длину пути в имени файла, на размер файла, на количество файлов, и т.п. (подробнее можно почитать в википедии). Ну и самое главное — при форматировании FAT32 затираются файловые таблицы. После этого воссоздать файловую систему довольно трудно, а если на диске имелись крупные фрагментированные (состоящие из нескольких кусков, раскиданных по разным местам диска) файлы, то возникают проблемы с их сборкой.

Ну и добавьте сюда то, что диск около двух месяцев использовался, активно затирая данные настоящего владельца.

В этих условиях восстановление информации — задача вовсе не тривиальная. С чего мы начали?

Как обычно, был создан полный посекторный клон диска. Да, мы работаем только так: в любых условиях, при любой неисправности мы вначале создаем клон диска. О том, почему мы так делаем, мы уже писали, и останавливаться на этом не будем. Работа с оригинальным диском — вне зависимости от того, какая у него неисправность — это грубейшая ошибка любого псевдоспециалиста в области восстановления данных, так как при этом имеется потенциальный риск для данных пользователя. А работа специалиста по восстановлению данных как раз и заключается в том, чтобы достать данные, полностью исключив все риски.

После клонирования работы ведутся только с клоном, оригинальный «больной» диск заказчика отправляется на полку.

Естественно, в нас теплилась надежда, что какие-то фрагменты старой файловой системы на диске все-таки остались. И мы не ошиблись — при анализе диска нам удалось обнаружить больше 800 записей о каталогах и больше 64000 записей о файлах. Дело за малым: собрать это все в файловую систему.

Как правило, в таких случаях мы не ограничиваемся сборкой виртуальной файловой системы, так как гарантировать ее 100%-ное совпадение с исходной в условиях перезаписи нельзя. Поэтому мы проводим параллельную работу восстановления файлов по сигнатурам: диск сканируется последовательно, все найденные заголовки файлов анализируются, после чего файлы собираются и «выливаются» на диск-приемник. При этом восстанавливается все, что было записано на диск, вне зависимости от того, кто и когда это сделал. В случае с фрагментированными файлами (особенно это касается видео) используются наши собственные разработки.

Так же мы поступили и на этот раз: данные были восстановлены как традиционным путем, с сохранением файловой структуры, так и в режиме сигнатурного поиска. Как ни странно, результаты оказались почти одинаковыми по объему восстановленного — а это означает, что файловая система была воспроизведена очень близко к исходной, почти без потерь.

Ну и о результатах. Это было сюрпризом, но результат оказался более чем воодушевляющим: нам удалось восстановить около 75% данных, которые находились на диске на момент кражи. Заказчик остался доволен, да и мы тоже остались довольны своей работой.

Станислав К. Корб (С) 2019

И снова о непрофессиональном вмешательстве: диск Seagate Momentus Thin из Казахстана

Вот и закончился наш отпуск, и первый диск, за который мы взялись по его окончании — Seagate Momentus Thin, который приехал к нам из Казахстана. При первичном осмотре диска были выявлены многочисленные проблемы — диск вскрывался до нас, но заказчик уверенно убеждал нас, что с диском кроме вскрытия ничего не делалось. Но все оказалось намного печальнее.

Прежде всего, мы демонтировали блок магнитных головок (он все равно должен был идти под замену). БМГ оказался в весьма плачевном состоянии: головки оборваны, нижняя отсутствует, щлейфы между MR-элементом головки и микросхемой коммутатора-предусилителя порваны. Блок магнитных головок явно вытаскивался из гермозоны «тупым тяжелым предметом» — скорее всего, обычными пассатижами.

При таких повреждениях неизбежно требуется исследование поверхности диска. Верхняя поверхность магнитной пластины оказалась в удовлетворительном состоянии, хотя фог-тест показал зарождающиеся царапины. А вот нижняя… Ее искромсало всю. И немудрено — очевидно, диск пытались неоднократно включить уже после того, как поставили в гермоблок оборванные головы. Нижней головки у нас нет — то есть слайдер царапал поверхность без каких-либо препятсвий. А слайдер металлический. А обороты у диска немаленькие. В общем, вы понимаете…

Резюмируя, хочу еще раз предостеречь вас от обращения в конторы, в которых нет профессионального оборудования для восстановления информации. Касаемо жестких дисков и их внутреннего мира обязательными инструментами являются ламинарный шкаф и съемники головок. Если всего этого (или чего-то из этого) нет — скорее всего, здесь вам не помогут, а навредят.

Концентрические царапины на поверхности диска
Сбитые шлицы шурупа крепления магнитной пластины
Оборванные головки диска. Вид сбоку
Оборванные шлейфы головок. Вид сверху

Новый сложный заказ из России: Seagate ST2000DM001 с запилами

Из России прибыл больной накопитель некогда популярной серии Seagate Grenada (ST2000DM001). Диск вскрыт, пакет пластин разбирался (что видно по состоянию шурупов), блок магнитных головок менялся. При таком уровне воздействия диск неизбежно проходит у нас ряд проверок, так как абсолютно неизвестно, что с диском делалось до нас. Эти проверки:

  1. Проверка соответствия платы электроники и гермоблока.
  2. Проверка состояния платы электроники (выполняется совместно с первым пунктом).
  3. Проверка состояния блока магнитных головок.
  4. Проверка состояния магнитных поверхностей.

В результате проверок было выяснено: плата электроники исправна и соответствует гермоблоку; блок магнитных головок в плачевном состоянии (об этом ниже), магнитные поверхности в удовлетворительном состоянии (об этом ниже).

Блок магнитных головок

Этот узел вызвал у нас наибольшие опасения. Состояние головок крайне неудовлетворительное, головки имеют серьезные повреждения, изображенные на фотографиях ниже.

Как мы видим, все головки без исключения покрыты мелкодисперсной металлизированной вылью и имеют повреждения, несовместимые с их функционированием.

В этом накопителе верхняя головка не используется (выяснено по серийному номеру устройства), поэтому ее использование предыдущим специалистом видится нам как минимум странным. Очевидно, она не используется с завода не просто так: поверхность имела повреждения, поэтому при установке на эту поверхность новой головки она начала царапать эти повреждения, что привело к формированию запила и повреждению всего гермоблока.

Пакет магнитных пластин

Повреждения головок не внушали оптимизма о состоянии магнитных пластин, поэтому пакет пластин был разобран и внимательно осмотрен. Была обнаружена первоначальная проблема диска: след хорошего удара на поверхности 1. При таких повреждениях использование головки по этой поверхности строго не рекомендуется, так как может привести к формированию запила по «больной» поверхности и, как следствие, к выходу из строя БМГ полностью.

Выводы и результат

Для выполнения работ по восстановлению данных с этого диска нам потребовалось два донорских устройства. БМГ из первого устройства был модифицирован так, чтобы не участвовать в вычитывании поврежденной поверхности 1. БМГ из второго устройства использовался для вычитывания только поверхности 1.

С учетом имеющихся повреждений, в оригинальном гермоблоке накопителя было очень много металлической пыли. Было принято решение об очистке магнитных пластин и их переносе в другой гермоблок (это оказалось эффективнее очистки оригинального гермоблока).

Результатом всех этих манипуляций стало восстановление информации из накопителя на 86%. Потери в 14% объясняются тем, что в дисках этого семейства (Seagate Grenada) зоны (последовательные участки логических секторов, расположенные на поверхности) имеют небольшой размер, и некоторая часть данных оказалась в довольно обширном (около 30% объема) поврежденном участке по поверхности 1. В целом, с учетом всех повреждений и предыдущего вмешательства, результат неплохой. В случае полной потери поверхности 1 он был бы хуже в несколько раз.



Мы принимаем к оплате | We accept payments


Мы стажировались и работали в странах | We worked or practiced in following countries