Odzyskiwanie danych


TELEFON KOMÓRKOWY

Odzyskiwanie danych realizowane jest w dwóch płaszczyznach: logiczna i fizyczna.

Odczyt logiczny umożliwia zapoznanie z danymi znajdującymi się w pamięci urządzenia. 
W niektórych przypadkach zastosowane rozwiązania umożliwią również odzyskanie danych wykasowanych. Raport końcowy zawiera dane zdekodowane do formatu czytelnego. 
W zależności od systemu operacyjnego /modelu telefonu/ raport zawiera m.in:
– kontakty,
- połączenia,
- wiadomości SMS/MMS,
- zdjęcia /z obszaru thumbs, zawierającego informacje o fotografiach wykasowanych/,
- pliki wideo,
- kalendarz, 
- historia odwiedzanych stron internetowych,
Raport przygotowywany jest w formie edytowalnej, umożlwiającej wyseparowanie danych będących w zainteresowaniu Zleceniodawcy i sporządzenie raportu końcowego w dowolnym formacie /pdf, html, xlslx/. Koszt usługi 480 zł netto.

Odczyt fizyczny umożliwia dostęp do całego obszaru pamięci telefonu, danych usuniętych bądź też częściowo nadpisanych. Stosowane rozwiązania sprzętowo – techniczne umożliwiają dostęp do danych usuniętych, które zostaną zdekodowane do formatu czytelnego. Raport zawiera WSZYSTKIE poprawnie zdekodowane dane. Rozróżniamy cztery metody uzyskiwania dostępu:

Metoda podstawowa /480 zł netto/960 zł netto dla modeli z zaszyfrowaną partycją użytkownika dla których mamy możliwości technologiczne/ – zastosowanie rozwiązań sprzętowo – technicznych pozwalających na dostęp do całego obszaru pamięci EMMC. Telefon musi być sprawny.

Metoda inwazyjna /960 netto/ – zastosowanie rozwiązań pozwalających na dostęp do danych bezpośrednio z kości pamięci EMMC. Technologia nie powoduje uszkodzenia telefonu. Pozwala na ominiecie blokady ekranu / hasło wieloznakowe, graficzne lub odcisk palca/.

Metoda inwazyjna CHIP OFF /960 zł netto/- wylutowanie kości pamięci EMMC i odczytanie danych bezpośrednio z niej. Może być stosowana w odniesieniu do urządzeń zabezpieczonych hasłem użytkownika, uszkodzonych, po zalaniu.

Metoda inwazyjna NAND (1700-1950 zł netto) – pozwalana na odzyskanie danych bezpośrednio z pamięci NAND, pomijając kontroler. Zastosowanie takiego rozwiązania sprzętowo – technicznego pozwala na odzyskanie danych z nośników, które w wyniku uszkodzenia kontrolera nie są rozpoznawalne przez stacje robocze.

Zastosowanie wybranej metody inwazyjnej w stosunku do telefonów komórkowych pozwala 
w uzasadnionych przypadkach, na ujawnienie większej ilości danych niż przy zastosowaniu klasycznej metody odczytu.

PAMIĘĆ ZEWNĘTRZNA TYPU FLASH /pendrive, karta pamięci/

Uszkodzenie logiczne /480 zł netto/ – urządzenie musi być rozpoznawalne przez stacje roboczą. Odzysk polega na odtworzeniu struktur danych, bądź przeszukaniu pamięci pod kątem nagłówków plików.

Uszkodzenie fizyczne /1700-1950 zł netto/ – stosowana metoda pozwala na odzyskanie danych bezpośrednio z pamięci NAND, pomijając kontroler. Zastosowanie takiego rozwiązania sprzętowo – technicznego umożliwia odzyskanie danych z nośników, które wyniku uszkodzenia kontrolera nie są rozpoznawalne przez stacje robocze.

DYSKI SPRAWNE

Kopia 1:1 – zabezpieczona sumą kontrolną (MD5, SHA) – w przypadku sprawnych dysków możliwe jest wykonanie tzw. kopii posektorowej w celu zabezpieczenia stanu zawartości nośnika. Kopiowany nośnik podłączany jest poprzez bloker zapisu, który uniemożliwia zmianę jakichkolwiek sektorów.
Cena
Kopiowanie danych do 2TB
360 zł netto
Kopiowanie danych powyżej 2TB
540 zł netto
Kopiowanie danych powyżej 5TB
720 zł netto

Uszkodzenia logiczne* – odzyskiwanie danych usuniętych, dysk po formacie, odzyskiwanie danych z dysku raw itp. – /360-1440 zł netto/

*dyski SSD nie mogą mieć funkcji TRIMM

DYSKI USZKODZONE*

Uszkodzenia elektroniki – W przypadku awarii tego typu, w zdecydowanej większości przypadków możliwa jest odbudowa uszkodzonej elektroniki. Nośnik z uszkodzoną płytką elektroniki, po podłączeniu zasilania jest całkowicie martwy, silnik nie uruchamia się, a dysk nie wydaje z siebie żadnych dźwięków, wskazujących na jego pracę – / od 360 zł netto – dyski HDD, od 960 zł – dyski SSD/

Uszkodzenia strefy serwisowej – obejmują wszystkie przypadki, w których firmware nośnika blokuje dostęp do strefy danych użytkownika. W celu przywrócenia dostępu do informacji istnieje zwykle możliwość odblokowania tego dostępu poprzez “odbudowę” najważniejszych modułów strefy serwisowej /1200-1450 PLN netto/

Uszkodzenia mechaniczne – związane są z usterkami fizycznymi nośników i dotyczą najczęściej dysków po upadku. Posiadamy niezbędną wiedzę, doświadczenie oraz profesjonalnie wyposażone laboratorium pozwalające skutecznie pracować z tego typu przypadkami. Komora laminarna, tj. bezpyłowa pozwala na wymianę uszkodzonych elementów 
w sterylnym środowisku bez ryzyka dalszej degradacji podzespołów. / od 960 zł netto/

*analiza w trybie standardowym bezpłatna ( dla dysków bez wcześniejszej ingerencji) – tryb standardowy oznacza max 3 dni robocze od momentu wpłynięcia nośnika do laboratorium. Analiza oraz koszt odzysku dla macierzy typu RAID – ustalany indywidualnie.

DYSKI USZKODZONE MECHANICZNIE (NAJPOWAŻNIEJSZE PRZYPADKI)

Niekiedy zdarza się, że w przypadkach najpoważniejszych usterek mechanicznych dysków, nie ma możliwości odzyskania 100% struktury plików. Stosowane przez nasze laboratorium metody pozwalają jednak na uzyskiwanie dostępu do przynajmniej części danych, istotnych z punktu widzenia klienta. Dotyczy to najczęściej przypadków wynikających z:

Celowego uszkodzenia powierzchni talerzy – Jeżeli uszkodzeniu nie uległy wszystkie talerze, możliwe jest podjęcie próby odczytu z tych powierzchni, które zachowały się w stanie nienaruszonym. Odzyskane dane nie obejmą 100% zawartości nośnika, jednak często możliwe jest wyszukanie zawartości pod kątem nagłówków plików (tzw. wpisów GREP)

Poddania dysku działaniu wysokich temperatur – Posiadamy doświadczenie w pracy z dyskami, które ocalały z pożaru. Dla skuteczności procesu ważne jest, aby temperatura, która oddziaływała na dysk nie przekroczyła tzw. punktu Curie – jest to temperatura przy której ferromagnetyk traci swoje właściwości magnetyczne.

MACIERZE RAID

Nasi eksperci dysponują szeroką wiedzą na temat technologii przechowywania danych 
w macierzach RAID. Dzięki temu potrafimy z powodzeniem odzyskiwać dane zarówno ze starych, jak i najnowszych konfiguracji RAID dostępnych na rynku. Naszym klientom zapewniamy bezpłatne konsultacje dotyczące utraty danych z dysków RAID, NAS, SAN oraz serwerów m.in. w celu potwierdzenie rodzaju i konfiguracji urządzenia, systemu wirtualnego, udzielenia wskazówek przygotowania do przeprowadzenia analizy oraz odzyskiwania danych w laboratorium.

Zazwyczaj przyczyną awarii macierzy RAID jest nieprawidłowe działanie podzespołów (dysków twardych lub kontrolerów). Innymi czynnikami mogą być błędy aplikacji i systemów operacyjnych powodujące wadliwy odczyt danych lub ich niedostępność. Podjęcie niewłaściwych działań lub nieudolne próby przywrócenia danych mogą spowodować nieodwracalne straty.

Sformatowanie, reinstalacja lub nadpisanie dysku. To najczęstsze przyczyny utraty danych z winy człowieka. Nasze specjalistyczne narzędzia umożliwiają odbudowanie wirtualnej macierzy RAID, zamaskowanie nowych danych i naprawę pierwotnych woluminów.

Pojedyncze dyski w systemach RAID, tak jaki inne dyski twarde są podatne na awarie. W przypadku, gdy jeden z dysków w konfiguracji RAID ulegnie uszkodzeniu, pozostałe dyski narażone są na znaczne obciążenie. Sytuacja jest szczególnie krytyczna w przypadku procesu odbudowy macierzy, kiedy aktywność zapisu i odczytu plików jest najbardziej zintensyfikowana.

Wycena analizy dla macierzy RAID, NAS i SAN jest zależna od ilości zastosowanych dysków, ich rodzaju oraz systemu na którym macierz została oparta. Koszt usługi odzyskiwania danych jest ustalany indywidualnie w zależności od przypadku.


KASOWANIE DANYCH

Usługa kasowania danych skierowana jest przede wszystkim do tych, którzy cenią sobie poufność lub są zobligowani do ochrony danych. Każda zmiana przeznaczenia nośnika lub jego utylizacja jest obarczona problemem pozostawionych na nim danych.
Kasowanie danych poprzez formatowanie dysku z poziomu systemu nie gwarantuje permanentnego usunięcia danych, a ich pozostawienie niesie ryzyko przechwycenia poufnych informacji.

Kasowanie sprzętowe – stosowane przed utylizacją nośników i polegająca na silnym oddziaływaniu silnego pola magnetycznego na nośnik z użyciem certyfikowanego urządzenia Degausser. Pole magnetyczne wytwarzane przez to urządzenie bezpowrotnie usuwa wszelkie dane zapisane na nośniku magnetycznym (dysk twardy, dyskietki itp.) jednocześnie niszcząc go na tyle, iż nie jest możliwe dalsze jego użytkowanie / od 110 zł netto, dla ilości hurtowych indywidualna wycena/

Kasowanie programowe – kasowanie danych polegające na wielocyklicznym, posektorowym zapisywaniu danych na nośniku. Ma ona w założeniu nadpisać znajdujące się na nim dane, co uniemożliwi ich późniejsze odzyskanie. Specjaliści posługują się przy tym odpowiednim oprogramowaniem, które pozwala zachować sprawność nośnika po przeprowadzeniu procesu kasowania danych – / od 180 zł netto dla pojedynczych nośników, dla ilości hurtowych indywidualna wycena/

Oferujemy również fizyczną utylizację nośników poprzez zmielenie w specjalistycznych maszynach. Po przeprowadzeniu utylizacji wystawiamy stosowny certyfikat potwierdzający przeprowadzoną usługę / 12 zł netto za sztukę/


INFORMATYKA ŚLEDCZA

Informatyka śledcza to nic innego jak pozyskiwanie, dostarczanie i zabezpieczanie materiałów dowodowych w ramach analizy zawartości cyfrowych nośników danych, mogących stanowić skuteczne uzupełnienie tradycyjnych metod gromadzenia materiałów dowodowych.
Poszukiwanie i analiza materiału cyfrowego dotyczy wszelkiego rodzaju elektronicznych nośników danych, jak dyski twarde komputerów, dyski SSD instalowane w coraz to większej ilości urządzeń, karty pamięci, pendrive, telefony i smartfony. Informatyka śledcza obejmuje również analizę ruchu sieciowego, odwiedzanych stron internetowych czy aktywności na portalach internetowych.
Proces pozyskiwania dowodów elektronicznych rozpoczyna się od rozpoznania problemu. Nośnik zostaje zabezpieczony w naszej siedzibie, bądź bezpośrednio u klienta. Tworzona zostaje kopia binarna pamięci, służąca zabezpieczeniu przed utratą danych oraz modyfikacją zapisów. W zależności od problemu informacje znajdujące się na nośniku zostają filtrowane i przeszukiwane, bądź w pierwszej kolejności odzyskiwane, jeśli wcześniej zostały utracone lub skasowane. To na tym etapie dokonuje się analizy śledczej, którą wieńczy ekspertyza raportująca o uzyskanych dowodach.
Raporty tworzone przez ekspertów z zakresu informatyki śledczej mogą być wykorzystywane w szczególności w:
Sprawach cywilnych – dochodzenie roszczeń, sprawy rozwodowe, alimentacyjne, opieki nad dziećmi, łamanie praw autorskich,
Sprawach gospodarczych i wszelkiego rodzaju nadużyć – nieuczciwa konkurencja, nielojalność pracownika, złamanie zakazu konkurencji, szpiegostwo przemysłowe, kradzież danych, ujawnienie tajemnicy przedsiębiorstwa,
Sprawach karnych – w celu zgromadzenia materiału dowodowego na udowodnienie winy, bądź poparcie przyjętej linii obrony.
Każda z przeprowadzanych analiz stanowi proces podparty zapewnieniem o bezpieczeństwie danych, obejmujący zarówno kwestie bezpieczeństwa fizycznego, jak i poufności przechowywanych oraz odzyskanych danych. Stosujemy specjalne środki mające na celu zachowanie poufności i zapewniające bezpieczeństwo przechowanego na czas analizy materiału.
Lata doświadczeń oraz regularne pogłębianie wiedzy na temat nowych technologii, a także podnoszenie kompetencji w oparciu o międzynarodowe szkolenia pozwalają MIP DATA&FORENSIC sprostać niemalże każdemu z powierzonych zleceń.

ZAKRES CZYNNOŚCI WCHODZĄCYCH W RAMY INFORMATYKI ŚLEDCZEJ

Informatyka śledcza obejmuje szeroki zakres działań. Poniżej prezentujemy przykładowe, możliwe do przeprowadzenia czynności:

Bezpłatne konsultacje merytoryczne z zakresu informatyki śledczej
Bezpośrednie wsparcie w trakcie czynności procesowych
Typowanie sprzętu podlegającego zabezpieczeniu
Zabezpieczanie materiału dowodowego
Zabezpieczanie materiału dowodowego z zastosowaniem metod Live Forensic
Wstępna weryfikacja danych (zastosowanie metody Triage)
Biały wywiad – OSINT (Open Source INTelligence)
Analiza oraz weryfikacja zebranych materiałów
Generowanie raportu końcowego
Analiza zapisów monitoringu
Odzyskiwanie danych skasowanych
Raport końcowy
Badania urządzeń mobilnych
Analiza zawartości urządzeń, np. wykrywanie oprogramowania szpiegującego
Generowanie i sporządzenie raportu, w oparciu o przeprowadzoną analizę.
Odszyfrowywanie danych
Analiza danych znajdujących się na cyfrowych nośnikach informacji
Prezentacja ujawnionych dowodów cyfrowych na potrzeby postępowania przygotowawczego i sądowego
Odzyskiwanie danych z cyfrowych nośników danych, zarówno sprawnych, jak i uszkodzonych fizycznie np. po zalaniu, złamaniu, stłuczeniu itd.
Dyski HDD, SSD
Macierze RAID
Telefony, Smartfony, Tablety
Karty SD, micro SD
Pozostałe nośniki cyfrowe

W powyższym zakresie przedstawiliśmy ogólne możliwości Informatyki Śledczej. Jednakże, zgodnie z polityką firmy każde zapytanie traktujemy indywidualnie. Przed podjęciem prac Eksperci laboratorium computer forensic w pierwszej kolejności proszą o dostarczenie niezbędnych informacji pozwalających na dobranie właściwych metod działania oraz wytypowanie odpowiednich rozwiązań sprzętowo-technicznych potrzebnych 
do prawidłowego zrealizowania zlecenia. Dopiero po dokonaniu wstępnej analizy uzyskanych informacji przedstawiane są prognozy co możliwości pozyskania informacji, czasu potrzebnego na zrealizowanie zlecenia i opracowania ekspertyzy, a także kosztorys operacji / od 2200 zł netto/