Ödülün Hamisi: Peter Gutmann.
Ödülün hamisi olan Peter Gutmann, kariyeri boyunca etkili veri yok etme yöntemleri ve bilgisayar biliminin pek çok alanı üzerine çalışmış Yeni Zelandalı bir bilim insanıdır. Sabit diskler hakkında ise, ironik biçimde, diğer konulara kıyasla çok daha az bilgiye sahiptir. Buna rağmen, “Secure Deletion of Data from Magnetic and Solid-State Memory” adlı yayını ve kamuoyunda “Gutmann yöntemi” olarak bilinen “35 geçişli üzerine yazma tekniği” sayesinde dünya çapında ün kazanmıştır.
Gutmann yöntemi verileri gerçekten de etkili ve geri döndürülemez biçimde yok edebilir; ancak pratikte son derece gereksiz derecede karmaşık ve abartılıdır. Üstelik bu yöntemi gerekçelendiren makale, sabit disklerin gerçek çalışma mantığıyla büyük ölçüde örtüşmez. İçerdiği hatalar, bugün hâlâ BT dünyasında dolaşan pek çok efsanenin temelini oluşturmakta ve çeşitli yayınlarda sorgulanmadan tekrar edilmektedir. Bu nedenle Peter Gutmann, hem etkili hem de teknik gerçeklere aykırı veri yok etme vakalarını onurlandıran bir ödül için son derece sembolik bir isimdir.
Gutmann Ödülü Kazananlar.
RAID-6 Vakası.
RAID dizileri, diskleri tek bir mantıksal yapı altında birleştirerek performansı artırmak, arızalara karşı dayanıklılık sağlamak veya daha büyük depolama alanları oluşturmak için kullanılır. RAID-6 yapısı, aynı anda iki diskin arızalanmasına dayanacak şekilde tasarlanmıştır. Ancak bu vakada, sekiz diskten üçü aynı anda devre dışı kalmıştır.
Arızanın nedeni bir elektrik kesintisidir ve sorun elektrik kaynaklıdır. Teoride çözüm son derece basit ve ucuzdur: Şayet arızalanan üç diskten yalnızca biri onarılabilseydi, dizi tekrar ayağa kaldırılabilirdi. Fakat BT uzmanı farklı bir yol izler. Gidip üç yeni disk satın alır ve diziyi bu disklerle yeniden kurmaya kalkar. Üç yabancı diski aynı anda takarak yeniden yapılandırmanın, verilerin tamamen yok olmasına yol açacağını hesaba katmaz.
Hasarın gerçek boyutu hiçbir zaman netleşmez, çünkü müşteri, tüm verilerin kurtarılacağı garanti edilmeden diskleri incelemeye göndermeyi reddeder. Oysa sorunun tanımı bile, tüm verilerin kurtarılmasının mümkün olmadığını göstermektedir. Diskler analiz edilmeden neyin kurtarılabileceğini söylemek imkânsızdır. Veri kurtarma alanında, en temel teşhisler yapılmadan herhangi bir garanti vermek ise açıkça sorumsuzluktur.
Bu olayda asıl neden büyük olasılıkla acelecilik ve alışkanlıktır. Başlangıçta yedek yoktur, doğru bir teşhis yapılmamıştır ve veri kurtarmaya yönelik hiçbir plan uygulanmamıştır. Tek hedef, diziyi olabildiğince hızlı biçimde yeniden çalışır hâle getirmektir. İçinde “sıfırlanmış” yabancı diskler varken bunun felaketle sonuçlanması ise kaçınılmazdır.
RAID-0 Vakası.
Müşteri, hasarlı bir diski veri kurtarma için teslim eder. Hasarın ayrıntıları burada ikincil önemdedir. Disk çalıştırılabilir durumdadır, ancak inceleme sırasında şaşırtıcı bir şey ortaya çıkar.
Mantıksal yapıların, diskin gerçek kapasitesinin iki katına kadar uzanan bir adres alanına işaret ettiği görülür. Bu, diskin mutlaka bir dizi içinde çalışmış olduğunun açık göstergesidir. Bu noktada müşterinin BT uzmanıyla yaptığı konuşma o kadar ibretliktir ki, neredeyse olduğu gibi aktarmaya değerdir:
— “Bu disk daha önce herhangi bir dizide çalışmış olabilir mi?”
— “Evet, RAID-0 dizisindeydi.”
— “O hâlde dizideki diğer diski de getirmeniz gerekiyor.”
— “Ama o disk sağlam.”
— “Zaten iyi olması gerekiyor, diziyi kurabilmem için ona ihtiyacım var.”
— “Getiremem.”
— “Neden?”
— “Çünkü şu anda onu başka işlerde kullanıyoruz.”
— “Gidin ve o diski alın.”
— “Ama ondan da veri kurtarmamız gerekiyor.”
— “Diğer disk olmadan bunu yapmam mümkün değil.”
— “Ama biz o diski taradık, ihtiyacımız olan veriler onda yok. Demek ki bu diskte.”
— “Gidin ve o diski alın.”
RAID dizileri (RAID-1 hariç) verileri “şeritler” hâlinde tüm disklere yayar. Bu da, şerit boyutundan büyük her dosyanın parçalara bölünüp farklı disklere yazılması anlamına gelir. Hatta daha küçük dosyalar bile birden fazla diske dağılabilir. Bu nedenle RAID sistemlerinde veri kurtarma, tüm disklerin birlikte analiz edilmesini ve doğru sırayla bir araya getirilmesini gerektirir. Ancak bu şekilde eksiksiz ve çalışır dosyalar elde edilebilir.
Ne yazık ki şirketlerdeki BT personeli ve sistem yöneticileri çoğu zaman yönettikleri dizilerin yapılandırmasını bile bilmez. Bu yüzden veri kurtarmaya eksik dizilerle gelinmesi son derece yaygındır. Yukarıda anlatılan olay, bir dizinin sağlam disklerinin, üzerlerinde kurtarılabilecek değerli veriler olduğu fark edilmeden başka amaçlarla kullanılıp silindiği tek vaka değildir. Bazen dizilere, aslında hiçbir zaman o dizinin parçası olmamış ek diskler de dâhil edilir. Bu analiz sürecini zorlaştırır, ama genellikle ölümcül bir sorun değildir.
Ayrıca gerçek dizi parametrelerinin, hatta dizi türünün bile, müşterinin söylediğinden farklı çıkması da sık rastlanan bir durumdur. Sonradan RAID-0 olduğu anlaşılan RAID-1 vakası, Security Magazine 5(26)/2024 sayısında anlatılmıştır. Ancak bu olay Gutmann Ödülü’ne aday değildir; çünkü daha önce yapılan aptalca ve sorumsuzca müdahalelere rağmen, veriler neredeyse tamamen kurtarılabilmiştir.
RAID-50 Vakası.
Bu hastanın hikâyesi daha geniş bir arka plan gerektiriyor. Bu, bir anda ortaya çıkan ani bir arıza değil, aylar boyunca yavaş yavaş büyüyen bir problemdi. Ne var ki bu süre boyunca BT uzmanları, disklerin bozulduğunu açıkça gösteren belirtileri görmezden geldi. Her olaydan sonra dizi yeniden çalıştığında, sorunun kendiliğinden çözüldüğüne ve bir daha asla yaşanmayacağına inanmayı tercih ettiler.
Aylar süren bu geçici yeniden başlatmalardan sonra, doğru teşhis konulamamasının bedeli sonunda ağır oldu ve dizi bir daha ayağa kalkamadı. Yeşil LED yerine kırmızı bir LED’in yanmasıyla suçlu disk ilan edildi. BT uzmanının teşhis yeteneği de burada sona erdi; etiket üzerindeki model bilgisini bile doğru okuyamıyordu. Buna rağmen, çok büyük bir teknoloji şirketinde bir RAID dizisinin sorumluluğu kendisine emanet edilmişti.
Bu vakada organizasyonel sorunlar belirleyici rol oynadı: Müşterinin diskleri incelemeye göndermeye isteksiz olması, dizinin nasıl çalıştığına ve veri kurtarmanın ne anlama geldiğine dair ciddi bir bilgi eksikliği ve muhtemelen, yapılacak incelemenin üzeri örtülmesi zor hataları ortaya çıkaracağından duyulan korku. Her kurum hatalarından ders almak istemez. Bazıları onları tekrar etmeyi tercih eder.
Belki doğru bir yaklaşımla veri kurtarma hâlâ mümkün olabilirdi. Ancak yalnızca tek bir diski inceleyerek bir RAID dizisinden veri kurtarmak kesinlikle mümkün değildir. Zaten RAID-50 dizisi tek bir disk arızasına rahatlıkla dayanabilecek bir yapıdır. Bu da, ortada şirket içindeki BT ekibinin kendi başına fark edemediği gizli bir problem olduğuna güçlü bir işarettir. Üstelik diziyi bir bütün olarak analiz etmeden, arızalı bir diski alıp “bakalım ne olacak” diyerek tekrar sisteme takmak son derece tehlikelidir.
RAID-0 dışındaki çoğu RAID dizisi en az bir disk arızasına dayanıklıdır. Bu, tek bir disk bozulduğunda o diskin çıkarılabileceği ve dizinin çalışmaya devam edebileceği anlamına gelir. Ancak bu sırada dizinin içeriği değişir ve arızalı diskteki veriler giderek güncelliğini yitirir.
Bu şekilde eski veriler içeren bir diski yeniden diziye bağlamak, mevcut verilerin bozulmasına ve dosya sistemi meta veri yapısının çökmesine yol açabilir. Özellikle dizide sonradan arızalanmış başka bir disk de eksikse, sonuçlar başka bir Gutmann ödülü sahibi olan RAID-6 vakasında yaşanan felaketlere çok benzeyebilir.
Bu yüzden bir RAID dizisinden veri kurtarma uygulamasında önce tüm dizi analiz edilir, mümkün olan tüm diskler onarılır ve içerikleri güvence altına alınır. Ancak bundan sonra dizinin nasıl kurulacağına karar verilir. Çoğu durumda, daha önce arızalanmış diskler tamamen dışarıda bırakılır ve yalnızca dizinin çalıştığı son ana kadar sağlıklı olan, diziyi başlatmaya yetecek asgari sayıdaki disk kullanılır. Bu nedenle elinde sadece tek bir disk varken bir RAID dizisinden veri kurtarmayı kabul etmek, son derece açgözlüce ve sorumsuzca bir davranış olur.
“Rüzgâr Gibi Geçti…”
Bu da BT ihmalkârlığının çarpıcı bir başka örneği. Dizideki ilk disk tamamen bozulmadan yaklaşık iki hafta önce arızalanmaya başlamıştı. Ne değiştirilmişti, ne de dizi yeniden oluşturulmuştu. Dahası, sistem kapatılmamıştı bile. Disk kafaları, tarlada saban süren bir demir gibi plakaların üzerinde gezinmeye devam etti. Bunun sonuçları aşağıdaki fotoğrafta açıkça görülüyordu:
BT uzmanı nihayet müdahale ettiğinde ise artık çok geçti. Tüm diskler yukarıdaki görüntüye benzer hâle gelmişti. Aynı model diskler, çoğu zaman aynı üretim partisinden çıkar, aynı dağıtım zincirinden geçer ve aynı koşullar altında çalışır. Bu yüzden de genellikle arızalar çok kısa aralıklarla peş peşe gelir. İşte bu nedenle bir disk arızası görüldüğünde vakit kaybetmeden müdahale etmek ve ikinci disk bozulmadan diziyi yeniden oluşturmak hayati önem taşır. RAID-6’nın ortaya çıkış nedeni de tam olarak budur: İlk disk bozulduktan sonra dizi kendini toparlayamadan, ikinci bir disk çok sık devre dışı kalıyordu.
Birden fazla diskin neredeyse aynı anda bozulma riski SSD’lerde daha da yüksektir. SSD’lerde arızanın temel nedenlerinden biri, yazma ve silme işlemlerine bağlı yıpranmadır. RAID dizileri bu yükü diskler arasında son derece eşit dağıtır. Bu yüzden bu risk özellikle dikkate alınmalı ve önleyici tedbirler alınmalıdır. Örneğin diziyi, farklı denetleyicilere ve farklı Flash-NAND yongalarına sahip SSD’ler kullanarak kurmak bu riski azaltabilir. Bu yaklaşım RAID performansını biraz düşürür ve disk arızaları arasındaki süreyi uzatır. Ancak yöneticiler sorumluluklarını ihmal eder ve arızalara zamanında müdahale etmezse, hiçbir teknik çözüm işe yaramaz.
“Resetten sonra çalıştı…”
Cihazları yeniden başlatmak, BT dünyasında en yaygın sorun giderme yöntemlerinden biridir. Yeniden başlatılan sistemler çoğu zaman eski hataları unutur ve çalışır gibi görünür. Ancak bu alışkanlık bazen insanı doğrudan Gutmann Ödülü’ne götürür.
Bir bilgisayar yeniden başlatıldığında, sistem bazen diskte hatalar tespit eder ve bunları “onarmaya” girişir. chkdsk, fsck, scandisk ya da benzeri araçlar devreye girer. Ekranda “disk onarılıyor” gibi rahatlatıcı bir mesaj belirir…
Peki gerçekte ne olur? Ve aslında ne onarılır? Sanılanın aksine, disk onarılmaz. Bu araçların hiçbiri diski fiziksel olarak tamir edemez. Yaptıkları şey en fazla, dosya sisteminin mantıksal yapılarında küçük düzenlemeler yapmak ve meta verilerde tespit edilen tutarsızlıkları temizlemektir. Amaç verileri korumak değil, mantıksal yapıları bölümlerin tekrar bağlanabileceği bir hâle getirmektir.
Bu yüzden böyle bir “disk onarımından” sonra dosyaların kaybolması, klasörlerin yok olması ya da garip isimli yeni nesnelerin ortaya çıkması çok yaygındır. Bu durum sanallaştırılmış ortamlarda özellikle tehlikelidir. Çünkü sanal makine dosyalarının içinde, kendi dosya sistemleri ve kendi mantıksal yapıları bulunur.
Bu iç yapılar, sanal makine dosyasını barındıran dosya sisteminin mantıksal yapılarından tamamen farklıdır. Sistem bunları tutarsız ya da hatalı sanıp bozabilir veya silebilir. Dinamik kaynak tahsisi ve sanal makinelerin “seyrek dosya” olarak tutulması da riski daha da artırır.
Ana dosya sisteminin mantıksal yapılarına müdahale edilmesi, kaynakların kontrolsüz biçimde serbest kalmasına yol açabilir. Bu alanlar daha sonra başka sanal makineler tarafından doldurulup üzerine yazılabilir. Dosya sadece “kaybolmuş” olsa bile, çoğu zaman aşırı parçalanmış durumda olur. Böyle bir sanal makine dosyasını kurtarmak, pratikte uygulanması zor, son derece zahmetli ve uzun bir sürece dönüşebilir.
TRIM işlevi de bu noktada ciddi bir tehdittir. chkdsk veya fsck sonrası “silinmiş” kabul edilen alanlar, SSD’lerde TRIM sayesinde çok kısa sürede fiziksel olarak da temizlenebilir. TRIM yalnızca SSD’lerde değil, SMR (Shingled Manyetik Kayıt) teknolojisi kullanan bazı mekanik disklerde de bulunur. Ancak mekanik diskler veriyi fiziksel olarak silmediği için, bu tür durumlarda ham fiziksel alan üzerinden veri kurtarma yapma şansı biraz daha yüksektir.
Bir başka risk de, chkdsk veya fsck işlemleri sırasında diskin teknik durumunun daha da kötüleşmesidir. SSD’ler özellikle hassastır, çünkü her yazma ve silme işlemi hücreleri biraz daha yıpratır. Zaten ömrünün sonuna yaklaşmış bir SSD’ye kısa sürede büyük miktarda veri yazılması, onu tamamen öldürebilir. Bu yüzden donanım sorunlarının, özellikle de disk bozulmasının işaretlerini görmezden gelmek, adeta Gutmann Ödülü için başvuru yapmak gibidir.
“BT uzmanı her şeyi denedi…”
Bu vakadaki hasta, düğün fotoğraflarının kazara silindiği bir SSD’dir. Normalde veri türü, kurtarma süreci açısından önemli değildir. Peki burada neden özellikle düğün fotoğraflarından bahsediyoruz? Birazdan…
Dizüstü bilgisayar veri kurtarma için bir BT uzmanına gönderilir. Uzmanın ne yaptığına (ve ne yapmadığına) bakalım:
Diski yerinden bile sökmez; doğrudan dizüstü bilgisayar üzerinde çalışır ve işletim sistemini başlatır. TRIM işlevini kapatmaz. İnterneti aktif biçimde kullanır; “İndirilenler” klasöründe, işe yaramaz pek çok veri kurtarma yazılımının kurulum dosyaları ve bu yazılımlara ait crack’ler birikir.
Yaptığı tüm işlemlerin sonuçlarını, tarama çıktıları dâhil, verilerin kaybolduğu aynı diske kaydeder.
Leonid Brejnev ve Georgi Jukov, dört kez “Sovyetler Birliği Kahramanı” ilan edilecek kadar büyük düzenbazlardı. Bu vakada da, yapılan aptallıkların ölçeği, aynı anda dört Gutmann Ödülü verilmesini hak edecek düzeydedir. Ancak geri döndürülemez veri kaybına asıl ne sebep olmuştur? Büyük olasılıkla TRIM. Veriler fiziksel olarak yok edilmiştir ve uzmanın sonraki beceriksiz çabaları durumu zaten daha kötü hâle getiremezdi.
Peki kayıp verilerin düğün fotoğrafları olması detayı neden önemliydi? Son kullanıcı öfkeyle aradı. Uzun uzun açıklamalar yapıldı. Anlamış gibi görünüyordu ve sonunda “Peki şimdi ne yapmalıyım?” diye sordu. O sıralar meşhur bir Polonyalı politikacının düğününü iptal ettirip yenisini yaptığı günlerdi. Teknik olarak yapılabilecek hiçbir şey kalmadığına göre, tek “çözüm” düğünü iptal ettirip yeniden evlenmekti.
“Bölümü biçimlendirmek”
Veri kurtarmadan önce disk biçimlendirme gibi akıl dışı bir alışkanlığın nereden çıktığını kesin olarak söylemek zor. Ama bu fikir, içi boş internet forumlarında yıllardır dolaşıp duruyor. En yetersiz veri kurtarma şirketlerinde ise neredeyse standart bir prosedür: Veriyi kurtarmaktan çok, biraz daha tahrip etmek. Bugün daha nadir görülüyor ama 10–15 yıl önce, dijital delil toplayan görevliler arasında diski başlatmak ve biçimlendirmek son derece yaygındı. Bu özellikle, Windows’un tanımadığı mantıksal yapılara sahip güvenlik kamerası disklerinde sık yaşanıyordu.
Böyle bir davranışı bilgisizlikle bile açıklamak zor. En temel mantık, bunun ne kadar saçma olduğunu göstermeye yeter. Buna rağmen bu hatanın bu kadar yaygın olması, neden Gutmann Ödülü’nü hak ettiğini açıklamayı gerekli kılıyor.
Veri kurtarmanın en temel ilkesi şudur: Ortama asla yazma. Bazı özel durumlarda, dosya sistemi yapısı ayrıntılı biçimde incelendikten sonra, yalnızca mantıksal yapıları onarmaya yönelik bilinçli ve kontrollü yazmalar yapılabilir. Fakat bir bölümün biçimlendirilmesi bu ilkeyi doğrudan çiğner.
Biçimlendirme sırasında boş bölümü tanımlayan yeni meta veriler oluşturulur ve eskilerin üzerine yazılır. Oysa bu eski meta veriler, hasarlı olsalar bile, kurtarma süreci için son derece değerli bilgiler taşır. Onarılamasalar bile uzmana, bölümün yapısı ve içeriği hakkında yol gösterirler.
FAT dosya sistemlerinde biçimlendirme, dosya ayırma tablolarını yok eder. Bu da parçalanmış dosyaların kurtarılmasını çoğu zaman neredeyse imkânsız hâle getirir. Oysa hasarlı FAT tabloları bile işe yarayabilir. Genellikle iki kopya bulunduğu için, her ikisindeki sağlam parçalardan yola çıkarak doğru bir tablo oluşturmak mümkündür. FAT tablolarının tamamen kaybolması, bellek kartlarından video kurtarmada yaşanan sorunların en yaygın nedenlerinden biridir.
Benzer biçimde, biçimlendirme diğer dosya sistemlerinin mantıksal yapılarını da az ya da çok tahrip eder. Teoride hızlı biçimlendirme dosyalara dokunmamalıdır. Ama pratikte her zaman böyle olmaz. Özellikle farklı bir dosya sistemi seçilmişse ya da bölüm parametreleri değiştirilmişse, dosyalar bozulabilir.
Bir de TRIM gerçeği vardır. Biçimlendirmeden sonra işletim sistemi, büyük bir alanın artık “boş” olduğunu diske bildirir. SSD’lerde bu, kısa süre içinde bu alanların fiziksel olarak da silinmesi anlamına gelebilir.
Tüm bu nedenlerle, verilerin kaybolduğu bir diski biçimlendirmek, Gutmann Ödülü’nü sonuna kadar hak eder. Aynı ödül, veri kurtarma için “diski biçimlendirin” gibi tavsiyelere alan açan, bunları zararlı olarak bile işaretlemeyen internet forumlarının yöneticileri ve moderatörleri için de fazlasıyla uygundur.