Peter Gutmann - Beschermheer van de prijs.
De beschermheer van de prijs, Peter Gutmann, is een Nieuw-Zeelandse wetenschapper die zich gedurende zijn uitgebreide carrière heeft verdiept in effectieve gegevensvernietiging en vele andere onderwerpen binnen de computerwetenschappen, hoewel hij daar veel meer verstand van heeft dan van harde schijven. Desondanks verwierf hij internationale bekendheid met zijn publicatie "Secure Deletion of Data from Magnetic and Solid-State Memory" en de 35-stappenmethode voor datavernietiging door overschrijven, die naar de bedenker ervan bekendstaat als de Gutmann-methode.
Gutmanns methode maakt effectieve en onomkeerbare gegevensvernietiging mogelijk, maar is absurd redundant. Bovendien heeft de publicatie die de introductie van Gutmanns algoritme rechtvaardigt weinig te maken met de daadwerkelijke werking van harde schijven, en de daarin opgenomen fouten liggen nog steeds ten grondslag aan vele mythes die in de IT-wereld voortleven en kritiekloos worden overgenomen in diverse publicaties. Daarom is Peter Gutmann de ideale beschermheer voor een prijs voor gegevensvernietiging die zowel effectief als in strijd met de gangbare technische kennis is.
Winnaars van de Gutmann Award.
RAID-6 reek.
RAID-reeks zijn groepen schijven die gecombineerd zijn tot één logische eenheid om de gegevensverwerking te versnellen, de weerstand tegen schijfdefecten te vergroten of de beschikbare volumes te vergroten. Een RAID-6-reek is bestand tegen het uitvallen van twee schijven. In dit specifieke geval vielen echter drie van de acht schijven tegelijkertijd uit.
Het schijfdefect werd veroorzaakt door een stroomstoring en was van elektrische aard. Theoretisch gezien had het probleem eenvoudig en goedkoop op te lossen moeten zijn – het repareren van de gemakkelijkst te repareren van de drie defecte schijven zou voldoende moeten zijn om de reek weer operationeel te krijgen. Helaas koos de IT-specialist voor een andere aanpak. Hij ging naar een computerwinkel, kocht drie nieuwe schijven en herbouwde de reek. Hij had niet voorzien dat het herbouwen van de reek met drie nieuwe schijven tegelijk zou leiden tot gegevensverlies.
Hoe groot was de schade precies? De houding van de klant was hier het probleem. Hij weigerde de schijven ter diagnose aan te bieden zonder de garantie dat alle gegevens hersteld konden worden. Helaas is het in deze situatie, op basis van de probleemomschrijving, duidelijk dat niet alle gegevens kunnen worden hersteld, en zonder de inhoud van de schijven te analyseren is het onduidelijk of er überhaupt iets zinnigs kan worden gedaan. Bovendien is het bij gegevensherstel onverantwoord om iets te beloven zonder zelfs maar een basisdiagnose uit te voeren.
In deze situatie waren haast en routine waarschijnlijk de oorzaak. De genomen actie zou onherstelbare schade veroorzaken. Er was een gebrek aan een initiële back-up, een goede diagnose van de beschadigde schijven en pogingen tot gegevensherstel. In plaats daarvan richtten we ons op het zo snel mogelijk opstarten van de reek, wat, na het plaatsen van schijven met vreemde, "gewiste" inhoud, onvermijdelijk tot een ramp zou leiden.
RAID-0-reek.
De klant leverde een beschadigde schijf in voor gegevensherstel. De details van de schade doen er in dit geval niet toe; die zijn van ondergeschikt belang. De schijf startte op, maar toen deed zich een verrassing voor.
Tijdens de analyse bleek dat de logische structuren gegevens adresseerden in een adresruimte die de capaciteit van de schijf overschreed. Jawel, twee keer. Dit is een duidelijke aanwijzing dat de schijf in een reek moet hebben gewerkt. Het gesprek met de IT-specialist van de klant hierover is zo interessant dat het de moeite waard is om het volledig te citeren. Bijna volledig, zonder details die de klant identificeren:
<
"En deze schijf, heeft die niet ooit in een reek gewerkt?"
"Jawel, het was een RAID-0 reek."
"Breng me dan de tweede schijf uit die reek."
"Maar de tweede schijf werkt."
"Dat is goed, maar ik heb hem nodig om de reek samen te stellen."
"Dat kan ik niet."
"Waarom niet?"
"Omdat we deze schijf al voor andere doeleinden gebruiken."
"Kom deze schijf halen."
"Maar we moeten de gegevens ervan herstellen."
"Dat kan ik niet zonder de andere schijf."
"Maar we hebben die schijf gescand en de gegevens die we nodig hebben stonden er niet op, dus ze moeten op deze schijf staan."
"Kom deze schijf halen."
RAID-reeks (behalve RAID-1) verdelen gegevens over alle schijven in zogenaamde stripes. Dit betekent dat elk bestand dat groter is dan de stripe-grootte wordt opgedeeld in stukken en op verschillende schijven wordt opgeslagen. Zelfs bestanden die kleiner zijn dan de stripe-grootte kunnen worden opgedeeld in stukken op verschillende schijven. Daarom vereist gegevensherstel in RAID-reeks het analyseren van alle schijven en het correct samenstellen ervan, zodat complete, werkende bestanden ervan kunnen worden gekopieerd.
Helaas kennen IT-medewerkers en systeembeheerders van bedrijven vaak de configuratie van de reeks die ze beheren niet. Het komt vaak voor dat incomplete reeks worden geleverd. Het beschreven geval was niet het enige waarbij gezonde schijven van een reek werden overschreven omdat ze voor andere doeleinden werden gebruikt voordat iemand zich realiseerde dat ze gegevens bevatten die de moeite waard waren om te herstellen. Reeks worden soms ook "uitgebreid" met extra schijven die geen deel uitmaakten van de reek. Dit compliceert de analyse enigszins, maar gelukkig is het geen kritiek probleem.
Het komt ook vaak voor dat de werkelijke reekparameters, en zelfs het gegevenstype, afwijken van de parameters die door de klant zijn opgegeven. In Security Magazine Nr 5(26)/2024 werd een interessant voorbeeld beschreven van een RAID-1-reek die uiteindelijk een RAID-0-reek bleek te zijn. Deze zaak komt echter niet in aanmerking voor de Gutmann Prijs, aangezien de gegevens vrijwel volledig zijn hersteld, ondanks domme en onverantwoordelijke inmenging van iemand die eerder had geprobeerd gegevens van deze reek te herstellen.
RAID-50-reek.
Het verhaal van deze patiënt vereist een bredere context. Dit was geen plotselinge storing die als een donderslag bij heldere hemel kwam, maar een probleem dat zich al maandenlang aan het ontwikkelen was. Helaas waren de IT-specialisten gedurende deze tijd blind voor de verontrustende symptomen die wezen op degradatie van de schijven, en na elk incident, wanneer de reek eindelijk opnieuw opstartte, geloofden ze naïef dat het probleem zichzelf had opgelost en nooit meer zou terugkeren.
Na enkele maanden van dergelijke ad-hoc resets eiste het gebrek aan diagnostiek uiteindelijk zijn tol, en de reek wilde niet meer opstarten. De schijf werd geïdentificeerd als de boosdoener, omdat in plaats van een groene LED een rode LED brandde. Ja, de diagnostische vaardigheden van de IT-specialist hielden daar op; hij kon zelfs het schijfmodel niet correct van het label aflezen, maar iemand had hem de verantwoordelijkheid toevertrouwd voor een RAID-reek bij een zeer groot technologiebedrijf.
In dit geval speelden organisatorische problemen een belangrijke rol. De terughoudendheid van de klant om de schijven ter diagnose aan te bieden en een gebrek aan begrip van zowel de werking van de reek als het gegevensherstelproces. Er bestaat waarschijnlijk ook de angst dat diagnostiek beheerdersfouten aan het licht brengt die moeilijk te verbergen zijn. Niet elke organisatie wil leren van fouten. Sommige herhalen ze liever.
Misschien is gegevensherstel in dit geval nog mogelijk als het op de juiste manier wordt aangepakt, maar het is vrijwel onmogelijk om gegevens van een RAID-reek te herstellen op basis van de analyse van slechts één schijf. Dit geldt met name omdat een RAID-50-reek een defecte schijf gemakkelijk zou moeten kunnen opvangen, dus het is bijna zeker dat er een verborgen probleem was dat de IT-afdeling van het bedrijf zonder externe hulp niet kon ontdekken. Bovendien is het idee om een defecte schijf in de reek te plaatsen en te kijken wat er gebeurt zonder eerst de reek als geheel te analyseren, zeer gevaarlijk.
De meeste RAID-reeks (met uitzondering van RAID-0) zijn bestand tegen het uitvallen van ten minste één schijf. Dit betekent dat als een enkele schijf uitvalt, die schijf uit de reek kan worden verwijderd en de reek nog steeds kan functioneren. De inhoud van de reek zal veranderen en in de tussentijd zal de inhoud van de defecte schijf verouderd raken.
Het opnieuw aansluiten van een dergelijke defecte schijf met verouderde gegevens op de reek brengt het risico met zich mee dat de huidige gegevens beschadigd raken en de metagegevens van het bestandssysteem instabiel worden. Dit geldt met name als er een andere schijf ontbreekt die later defect is geraakt. Een dergelijke actie kan vergelijkbare gevolgen hebben als die welke zich voordeden bij een andere winnaar van de Gutmann Prijs: de RAID-6-reek.
Daarom wordt bij gegevensherstel van een RAID-reek de gehele reek geanalyseerd. Het doel is om de inhoud van alle schijven te herstellen en te back-uppen, en pas daarna worden beslissingen genomen over de herassemblage van de reek. Vaak wordt in dergelijke situaties de eerder defecte schijf (of schijven) buiten beschouwing gelaten en wordt er uitgegaan van het minimale aantal schijven dat nodig is om de reek van een bepaald type op te starten. Hierbij worden alleen de schijven geselecteerd die tot het einde van de reek operationeel waren. Het zou daarom uiterst onverantwoord en hebzuchtig zijn om in te stemmen met dataherstel van een reek waarvan slechts één schijf beschikbaar is.
Gleden met de wind...
Nog een voorbeeld van IT-nalatigheid. De eerste schijf in de reek begaf het ongeveer twee weken voordat de reek volledig uitviel. Niet alleen werd deze niet vervangen en de reek niet opnieuw opgebouwd, maar de schijf werd zelfs niet uitgeschakeld. Daardoor bleven de leeskoppen als een ploeg over de schijven ploegen, met de gevolgen hiervan zichtbaar op de onderstaande foto:
Tegen de tijd dat de IT-specialist eindelijk reageerde, was het te laat en zagen alle schijven er hetzelfde uit als op de afbeelding hierboven. Dezelfde schijfmodellen, vaak uit dezelfde productiebatch, via dezelfde distributieketen en onder dezelfde bedrijfsomstandigheden, hebben de neiging om zeer kort na elkaar uit te vallen. Daarom is het cruciaal om snel te reageren op een schijfstoring en de reek te herstellen voordat er nog een schijf uitvalt. RAID-6 werd juist geïntroduceerd omdat een tweede schijf te vaak uitviel, waardoor de reek werd vernietigd voordat deze zichzelf kon herstellen na de eerste storing.
Het risico op bijna gelijktijdige uitval van meerdere schijven is nog groter bij SSD's. Een kritische factor voor SSD-uitval is slijtage van de SSD's door schrijf- en wisbewerkingen, en RAID-reeks doen dit zeer gelijkmatig. Daarom is het extra belangrijk om rekening te houden met dit risico en passende preventieve maatregelen te nemen, bijvoorbeeld door de array op te bouwen met verschillende SSD's met verschillende controllers en Flash-NAND-chips. Deze aanpak zal de RAID-prestaties verminderen en de tijd tussen schijfstoringen verlengen. Technische oplossingen zullen echter niet effectief zijn als beheerders hun verantwoordelijkheden verwaarlozen en te lang wachten met reageren op storingen.
Na de reset begon het te werken...
Het resetten van apparaten is een van de populairste methoden voor probleemoplossing in de IT-wereld. Wanneer apparaten opnieuw worden opgestart, vergeten ze vaak oude fouten en beginnen ze weer naar behoren te werken. Deze reparatiemethode kan echter ook een manier zijn om een Gutmann Prijs te winnen.
Tijdens een computerherstart detecteert het systeem soms fouten op de schijf en begint deze te repareren. Het voert chkdsk, fsck, scandisk of een vergelijkbare procedure uit. Een geruststellende melding dat de schijfreparatie bezig is, verschijnt op het scherm... Maar wat gebeurt er nu eigenlijk, en wat wordt er nu echt gerepareerd? In tegenstelling tot wat vaak wordt gedacht, wordt de schijf niet daadwerkelijk gerepareerd.
De bovengenoemde procedures kunnen de schijf niet echt repareren. Ze kunnen hoogstens de logische structuren van het bestandssysteem enigszins opschonen en fouten in de metagegevens verwijderen. Hun werkelijke doel is niet om de gegevens op de schijf te beschermen, maar om de logische structuren te herstellen naar een staat waarin partities kunnen worden aangekoppeld. Dit is precies de reden waarom na zo'n "schijfreparatie" objecten vaak ontbreken, bestanden verdwijnen en soms nieuwe bestanden met vreemde namen verschijnen.
Dit fenomeen is bijzonder gevaarlijk in gevirtualiseerde omgevingen. Virtuele machinebestanden bevatten hun eigen interne bestandssystemen met hun eigen logische structuren. De logische structuren van virtuele machinebestanden verschillen van de logische structuren van het bestandssysteem dat ze beschrijft.
Daarom kunnen ze ten onrechte als inconsistent of foutief worden geïdentificeerd, wat kan leiden tot beschadiging of verwijdering. Dynamische toewijzing van resources en de opslag van virtuele machinebestanden als sparse bestanden vormen ook een risicofactor. Het verstoren van de logische structuren van het bestandssysteem dat een virtueel machinebestand beschrijft, kan leiden tot ongecontroleerde vrijgave van resources, die vervolgens kunnen worden bezet en vernietigd door te worden overschreven door een andere virtuele machine. Zelfs als schade aan de logische structuren niet resulteert in het overschrijven van een virtueel machinebestand, maar slechts in het verlies ervan, kan het herstellen van een dergelijk bestand, vanwege de fragmentatie, zo bewerkelijk en tijdrovend zijn dat het moeilijk is om de praktische implementatie ervan voor te stellen.
De TRIM-functie vormt ook een bedreiging voor het herstellen van bestanden die verloren zijn gegaan door chkdsk of fsck, wat in het geval van SSD's leidt tot de snelle fysieke vernietiging van verwijderde gegevens op het niveau van de logische structuur. De TRIM-functie is ook aanwezig in harde schijven die gebruikmaken van dakspanen magnetische opname (Shingled Magnetic Recording - SMR) -technologie. In deze gevallen is de kans op succes groter bij het herstellen van gegevens op een fysiek adres, omdat harde schijven gegevens niet fysiek wissen.
Een andere risicofactor is de technische staat van de schijf, die kan verslechteren tijdens chkdsk- of fsck -bewerkingen. SSD's zijn hier bijzonder kwetsbaar voor, omdat ze slijten door schrijf- en wisbewerkingen. Een groot aantal schrijfbewerkingen op een versleten SSD in korte tijd kan deze onherstelbaar beschadigen. Het negeren van symptomen die wijzen op hardwareproblemen, met name schijfdegradatie, is daarom vragen om de Gutmann Prijs.
De IT-specialist heeft alles geprobeerd.
De patiënt is een SSD-schijf waarvan per ongeluk trouwfoto's zijn verwijderd. Normaal gesproken is het type data irrelevant voor het herstelproces. Dus waarom is het feit dat het trouwfoto's waren in dit geval wel belangrijk? Daarover later meer...
De laptop werd naar een IT-specialist gestuurd voor gegevensherstel. Wat deed de IT-specialist (en wat deed hij niet)?
- Hij verwijderde de schijf niet eens; hij werkte direct op de laptop waarvan de gegevens was verwijderd en startte het besturingssysteem op;
- Hij schakelde de TRIM-functie niet uit;
- Hij maakte actief gebruik van internet, zoals blijkt uit de talloze installatiebestanden van minderwaardige gegevensherstelprogramma's en cracks voor deze programma's in de map "Downloads";
- Hij bewaarde de resultaten van zijn werkzaamheden, inclusief scanresultaten, direct op dezelfde schijf waarvan de gegevens verloren was gegaan.
Leonid Brezjnev en Georgi Zjoekov waren zulke schurken dat ze vier keer tot helden van de Sovjet-Unie werden uitgeroepen. En in dit geval rechtvaardigt de omvang van de domme fouten die bij het dataherstel zijn gemaakt, de toekenning van maar liefst vier Gutmann-prijzen. Maar wat was nu echt de doorslaggevende factor bij het onherstelbare gegevensverlies?
In dit geval was het hoogstwaarschijnlijk de TRIM-functie, die leidde tot de fysieke vernietiging van de gegevens, en verdere onhandige pogingen van de IT-specialist konden de situatie alleen maar verergeren. Waarom was het in dit geval belangrijk dat het om trouwfoto's ging?
De eindklant belde boos op en er moest hem van alles worden uitgelegd. Hij leek het te begrijpen en vroeg uiteindelijk wat hij in deze situatie moest doen. Dat waren de dagen dat een bekende Poolse politicus zijn ene huwelijk liet nietig verklaren en een nieuw huwelijk sloot. En aangezien er technisch gezien niets aan te doen was, was de enige optie om het huwelijk te laten nietig verklaren en opnieuw te trouwen.
De partitie formatteren.
Het is lastig om de oorsprong van de idiote gewoonte om schijven te formatteren vóór gegevensherstel te achterhalen. Niettemin blijft deze praktijk bestaan, verspreid via internetfora zonder veel inhoudelijke waarde, en in het geval van de meest incompetente bedrijven die gegevensherstel aanbieden, maakt het deel uit van hun procedures, niet zozeer voor gegevensherstel zelf, maar om verdere, ondoordachte schade aan te richten. Tegenwoordig komt het veel minder vaak voor, maar slechts een jaar of twaalf geleden was het initialiseren en formatteren van schijven gangbaar onder agenten die digitaal bewijsmateriaal veiligstelden. Dit probleem deed zich met name voor bij schijven met bewakingsbeelden, waarvan de logische structuur niet door Windows werd ondersteund.
Zulk gedrag laat zich moeilijk verklaren door een gebrek aan kennis of opleiding. De basislogica zou moeten suggereren dat dit idee buitengewoon dwaas is. De populariteit van deze fout vraagt echter om een verklaring waarom deze de Gutmann Prijs verdient.
Een fundamenteel principe bij gegevensherstel is het beschermen van het medium tegen alle schrijfbewerkingen. In bepaalde situaties, gerechtvaardigd door diagnostiek en analyse van de logische structuren van het bestandssysteem, mag dit principe worden geschonden, maar dit zou alleen moeten gelden voor bewuste en gecontroleerde schrijfbewerkingen die gericht zijn op het herstellen van de logische structuren. Het formatteren van een partitie schendt dit principe.
Tijdens het formatteren wordt nieuwe metagegevens aangemaakt die de lege partitie beschrijft. Deze overschrijft de metagegevens van de oude partitie, die, hoewel beschadigd, van grote waarde kan zijn in het gegevensherstelproces. Zelfs als de beschadigde metagegevens niet kan worden hersteld, kan deze een specialist nog steeds waardevolle informatie verschaffen over de logische structuur van de partitie en de inhoud ervan.
In het geval van FAT-bestandssystemen vernietigt formatteren de bestandstoewijzingstabellen, waardoor het moeilijk, en vaak praktisch onmogelijk, wordt om gefragmenteerde bestanden te herstellen. Zelfs in het geval van beschadigde bestandstoewijzingstabellen kunnen ze nog steeds nuttig zijn. Het feit dat we er doorgaans twee kopieën van hebben, stelt ons meestal in staat om een correcte bestandstoewijzingstabel samen te stellen op basis van de juiste fragmenten van beide beschadigde kopieën. Verlies van bestandstoewijzingstabellen is een veelvoorkomende oorzaak van problemen bij het correct herstellen van video's van geheugenkaarten.
Ook formatteren vernietigt, in meer of mindere mate, de logische structuren en andere bestandssystemen. In theory zou snel formatteren niet tot bestandsbeschadiging mogen leiden, maar dit is niet altijd het geval. Bestandsbeschadiging kan optreden als we een partitie formatteren met een ander bestandssysteem of als we andere partitieparameters instellen dan de oorspronkelijke. We mogen ook de TRIM-functie niet vergeten, die het besturingssysteem na het formatteren in staat stelt de schijf te informeren over een groot gebied met vrije ruimte waarvan de inhoud niet langer toegankelijk is in de LBA.
Het formatteren van een schijf kan binnen korte tijd onherstelbaar beschadigd raken. Om deze redenen verdient het formatteren van de schijf waarvan de gegevens verloren zijn gegaan de Gutmann Prijs. Dezelfde prijs gaat naar de beheerders en moderators van online forums die online ruimte bieden aan "onafhankelijk denkende", onverantwoordelijke gebruikers om "alternatieve meningen" te uiten, en die het advies om schijven te formatteren voor gegevensherstel niet eens als schadelijk bestempelen.