Recuperação de dados

Recuperação de dados é o processo de recuperação e tratamento dos dados contidos em mídias de armazenamento secundário danificadas, falhadas, corrompidas ou inacessíveis quando ela não pode ser acessada normalmente. De acordo com HOSCO, segue uma definição mais completa e mais técnica: "recuperação de dados (data recovery, em inglês) é o termo designado ao conjunto de procedimentos específicos, utilizados por profissionais qualificados, para extrair e recuperar informações (arquivos, metadados, etc.) em dispositivos ou arquiteturas de armazenamento digital (HD, RAID, NAS, etc.) que não podem mais ser acessados de modo convencional."[1]

Geralmente os dados estão sendo recuperados de mídias de armazenamento, como unidades de disco rígido internas ou externas, unidades de estado sólido (SSD), unidade flash USB, fitas de armazenamento, CDs, DVDs, RAID e outros eletrônicos. A recuperação pode ser necessária devido a defeito físico do dispositivo de armazenamento ou defeito lógico do sistema de arquivos que impede que o impede de ser montado pelo sistema operacional (SO) do hospedeiro.

O cenário mais comum de recuperação de dados envolve uma falha do sistema operacional, dano acidental etc. (normalmente em um sistema de disco único, partição única e SO único), caso em que o objetivo é simplesmente copiar todos os arquivos desejados para outro disco. Isto pode ser realizado facilmente usando um Live CD, muitos dos quais fornecem um meio de montar a unidade do sistema e realizar backups de discos ou mídias removíveis e mover os arquivos do disco de sistema para a mídia de backup com um gerenciador de arquivos ou software de autoração de disco óptico. Tais casos geralmente podem ser mitigados pelo particionamento de disco e o consistente armazenamento de arquivos de dados (ou cópias deles) valiosos em uma partição diferente dos arquivos de sistema do SO substituíveis.

Outro cenário envolve uma falha de nível de disco, como um sistema de arquivos ou partição de disco comprometidos, ou uma falha de disco rígido. Em qualquer dos casos, os dados não podem ser facilmente lidos. Dependendo da situação, as soluções envolvem o reparo do sistema de arquivos, da tabela de partição ou do registro mestre de inicialização, ou técnicas de recuperação de disco rígido variando de recuperação de dados corrompidos baseada em software, recuperação de áreas de serviço (também conhecidas como o "firmware" do disco rígido) danificadas baseada em software e hardware, a substituição de hardware em um disco danificado fisicamente. Se a recuperação de disco rígido for necessária, o disco em si provavelmente falhou permanentemente e o foco está preferencialmente sobre uma recuperação em um momento, salvando todos os dados que puderem ser lidos.

Em um terceiro cenário, os arquivos foram "deletados de um meio de armazenamento. Normalmente, os conteúdos dos arquivos deletados não são removidos imediatamente da unidade. Em vez disso, referências a eles na estrutura de diretórios são removidas e o espaço que eles ocupam é disponibilizado para posterior sobrescrita. Para os usuários finais, arquivos deletados não são detectáveis por meio de um gerenciador de arquivos, mas estes dados tecnicamente ainda existem na unidade. Entretanto, os conteúdos originais dos arquivos permanecem, geralmente em um número de fragmentos desconectados, e podem ser recuperados.

O termo "recuperação de dados" também é usado no contexto de aplicações forenses ou em espionagem, onde os dados que foram criptografados ou escondidos, em vez de danificados, são recuperados.

Dano físico

editar

Uma grande variedade de falhas podem causar dano físico à mídia de armazenamento, que pode resultar de erros humanos e desastres naturais. CD-ROMs podem ter seu substrato metálico ou camada de tinta raspados, discos rígidos podem sofrer qualquer uma das várias falhas mecânicas, como colisões de cabeça e motores falhados, fitas podem simplesmente parar. Danos físicos sempre causam pelo menos alguma perda de dados e em muitos casos as estruturas lógicas do sistema de arquivos também são danificadas. Qualquer dano lógico pode ser tratado antes que os arquivos possam ser recuperados da mídia falhada.

A maioria dos danos físicos não pode ser reparada por usuários finais. Por exemplo, abrir um disco rígido em um ambiente normal pode permitir que a poeira do ar se instale no prato e fique presa entre o prato e a cabeça de leitura/escrita, causando novas colisões da cabeça que danificam ainda mais o prato e assim compromete o processo de recuperação. Além disso, os usuários finais geralmente não possuem o hardware ou experiência técnica necessária para fazer esses reparos. Consequentemente, as empresas de recuperação de dados são geralmente empregadas para salvar dados importante com aqueles mais respeitáveis que usam salas limpas [[classe 100] livre de estática e poeira.[2]

Técnicas de recuperação

editar

Recuperar dados de hardware fisicamente danificado pode envolver várias técnicas. Alguns dados podem ser reparados substituindo-se partes no disco rígido. Isto por si só pode tornar o disco utilizável, mas ainda pode existir dano lógico. Um procedimento especializado de produção de imagem de disco é usado para recuperar todo bit legível da superfície. Uma vez que esta imagem seja adquirida e salvada em um meio legível, a imagem pode ser seguramente analisada para danos lógicos e possivelmente permitirá que muito do sistema de arquivos original seja reconstruído.Existem alguns aplicativos de terceiros também estão disponíveis para executar a recuperação rápida e fácil de dados perdidos.

Reparo de hardware

editar
Ficheiro:HD with toasty PCB.jpg
Mídia que sofreu uma falha eletrônica catastrófica requer a recuperação de dados, a fim de salvar seu conteúdo.

Um equívoco comum é que uma placa de circuito impresso (PCB) danificada possa ser simplesmente substituída durante procedimentos de recuperação por uma PCV idêntica de uma unidade não-defeituosa. Apesar deste procedimento funcionar em raras circunstâncias em discos rígidos fabricados antes de 2003, não funcionará em discos rígidos novos. Placas eletrônicas de unidades modernas normalmente contém dados de adaptação específicos da unidade necessários para acessar suas áreas de sistema e precisam sofrer alterações em seus firmwares, de modo que os componentes relacionados não precisem ser reprogramados (se possível) ou ressoldados e transferidos entre duas placas eletrônicas dos equipamentos de recuperação.[3][4]

Cada unidade de disco possui o que é chamado de uma área de sistema ou área de serviço. Esta porção da unidade, que não é diretamente acessível ao usuário final, normalmente contem o firmware da unidade e dados adaptativos que ajudam a unidade a operar dentro de parâmetros normais.[5] Uma função da área de sistema é registrar setores defeituosos dentro da unidade, dizendo essencialmente à unidade de disco onde ela pode e não pode escrever dados.

As listas de setor também são armazenadas em vários chips adjuntos à PCB e elas são únicas para cada unidade de disco. Se os dados na PCB não correspondem com o que está armazenado no prato, então a unidade não será calibrada devidamente.[6] Na maioria dos casos as cabeças do disco rígido irão instalar, pois não serão capazes de encontrar os dados que correspondem ao que está armazenado na PCB.

Dano lógico

editar
 
Resultado de uma recuperação de dados falha de uma unidade de disco rígido.

O termo "dano lógico" refere-se a situações em que o erro não é um problema no hardware e requer soluções de nível de software.

Partições e sistemas de arquivos corrompidos e erros de mídia

editar

Em alguns casos, os dados em um disco rígido podem estar ilegíveis devido a danos na tabela de partições, no sistema de arquivos, ou a erros de mídia (intermitentes). Na maioria dos casos, pelo menos uma porção dos dados originais podem ser recuperados pelo reparo da tabela de partições ou sistema de arquivos danificados usando um software de recuperação de dados especializado como o Testdisk ou M3 RAW Drive Recovery. Software como dd rescue pode criar uma imagem da mídia apesar dos erros intermitentes e cria uma imagem de dados brutos quando há tabela de partições ou sistema de arquivos danificados. Este tipo de recuperação de dados não pode ser realizado por pessoas sem experiência no hardware da unidade, uma vez que requer equipamento físico especial (para controlar as rotinas de realocação da controladora de disco) ou acesso aos pratos da unidade.

Algumas vezes os dados podem ser recuperados usando métodos e ferramentas relativamente simples. Casos mais sérios podem necessitar de intervenção de especialista, particularmente se partes dos arquivos estão irrecuperáveis. Esculpimento de dados é a recuperação de partes de arquivos danificados usando conhecimento de sua estrutura.[7]

Dados sobrescritos

editar

Quando dados são fisicamente sobrescritos em uma unidade de disco rígido, geralmente assume-se que os dados anteriores ficam irrecuperáveis.

Em 1996, Peter Gutmann, um cientista da computação, apresentou um artigo que sugeria que dados sobrescritos poderiam ser recuperados por meio do uso de microscópio de força magnética.[8] Em 2001, ele apresentou outro artigo sobre um tópico similar.[9] Críticas substanciais seguiram, primeiramente lidando com a falta de quaisquer exemplos concretos de quantias significantes de dados sobrescritos sendo recuperados.[10] Apesar de a teoria de Gutmann poder estar correta, não há evidência prática que dados sobrescritos que podem ser recuperados, enquanto que pesquisas foram mostradas para suportar a afirmação de que dados sobrescritos não podem ser recuperados.[11][12][13] Para se defender diante deste tipo de recuperação de dados, Gutmann e Colin Plumb desenvolveram um método de purificação de dados irreversivelmente, conhecido como método Gutmann e usado por vários pacotes de software de purificação de dados.

Unidades de estado sólido (Solid-state drive - SSD) sobrescrevem dados de forma diferentes das unidades de disco rígido o que faz com que pelo menos alguns destes dados mais fáceis de recuperar. A maioria dos SSDs usam memória flash para armazenar dados em páginas e blocos, referenciados por endereços de bloco lógico (Logical Block Addresses - LBA) que são gerenciados pela camada de tradução de flash (Flash Translation Layer - FTL). Quando o FTL modifica um setor, ele escreve os novos dados em outro local e atualiza o mapa de forma que os novos dados apareçam no LBA de destino. Isto deixa os dados de pré-modificação no lugar, com possivelmente muitas gerações, e recuperáveis por software de recuperação de dados.

Recuperação de dados remota, funciona?

editar

Alguns supostos especialistas em recuperação de dados alegam que nem sempre necessitam ter acesso físico ao dispositivo danificado, embora peritos e as empresas tradicionais de recuperação de dados condenem essa prática, por ser considerada ineficiente e arriscada, caracterizando imperícia. Quando a perda de dados pode ser recuperada por técnicas de software, eles geralmente podem ser usados remotamente com um especialista usando um computador em outro local conectado pela Internet ou outra conexão ao equipamento no local da avaria, apesar do processo essencialmente não ser diferente daquele que o usuário final poderia realizar por ele mesmo, com todos os riscos e consequências isso pode trazer para a consistência dos dados quando o procedimento é realizado fora de ambiente controlado.[14]

Recuperação remota necessita de uma conexão estável com uma largura de banda adequada. Entretanto, não é aplicável onde o acesso ao hardware é requerido, como para casos de dano físico. No entanto, entre os acadêmicos de forense computacional, tal procedimento não é encarado com seriedade e pode ser questionado em âmbito jurídico.

Quatro fases da recuperação de dados

editar

Normalmente, existem quatro fases quando se trata de uma recuperação de dados realizada com sucesso, apesar de que pode variar dependendo do tipo de corrupção de dados e da recuperação exigida.[15]

Fase 1: reparo do disco rígido
Reparar o disco rígido de forma que ele funcione de alguma forma, ou pelo menos em um estado adequado para leitura de seus dados. Por exemplo, se as cabeças estiverem com defeito elas devem ser substituídas; se a PCB estiver com falha, então ela precisa ser consertada ou substituída; se o motor do eixo (spindle) estiver danificado os pratos e as cabeças devem ser movidas para uma nova unidade.
Fase 2: gerar imagem da unidade em uma nova unidade ou em um arquivo de imagem de disco
Quando um disco rígido falha, a importância de obter-se os dados extraindo-os do disco é prioridade. Quanto mais tempo uma unidade for utilizada, maior será a probabilidade de ocorrência de perda de dados. Criar uma imagem da unidade garantirá que haverá uma cópia secundária dos dados em outro dispositivo, no qual estará mais seguro para realização de procedimentos de teste e recuperação sem prejudicar a fonte.
Fase 3: recuperação lógica de arquivos, partições, MBR e MFT
Após a unidade ter sido clonada para uma nova unidade, é adequado tentar recuperar os dados perdidos. Se a unidade estiver falhado logicamente, há um número de razões par isto. Usando o clone pode ser possível reparar a tabela de partição, o MBR e o MFT com o objetivo de ler a estrutura de dados do sistema de arquivos e recuperar os dados armazenados.
Fase 4: reparo de arquivos danificados que foram recuperados
Danos em dados podem ser causado quando, por exemplo, um arquivo é escrito em um setor na unidade que tinha sido danificado. Esta é a causa mais comum em uma unidade com falha, significando que os dados precisam ser reconstruídos para se tornarem legíveis. Documentos corrompidos podem ser recuperados por vários métodos de software ou por reconstrução manual do documento usando um editor hexadecimal.

Regulamentação da Atividade no Brasil

editar

A recuperação de dados ainda não é uma atividade regulamentada no Brasil, facilitando que seja exercida por pessoas sem formação adequada, experiência probatória ou estrutura para prestação do serviço.

Alguns sites que oferecem esses serviços contém logotipos de grandes empresas que, supostamente, foram atendidas. Isso coloca em dúvida a veracidade desses casos, tendo em vista que a exposição em um a página de recuperação de dados é prejudicial para a reputação de qualquer grande empresa, além de configurar quebra ética e acarretar problemas legais.

Por enquanto, os consumidores devem considerar redes especializadas, como o LinkedIn.

Cursos de Recuperação de Dados

editar

A ausência de regulamentação tem facilitado que empresas relâmpago explorem o mercado de recuperação de dados, com venda de "cursos" que não têm respaldo de entidades educacionais ou certificadoras.

Esses materiais são divulgados principalmente no Youtube e vendidos em sites como Hotmart e outros. A sugestão de aprendizado "rápido" e "prático" costuma a ser bem explorada, atraindo pessoas mais jovens e leigas.

Parte dessas aulas tem ensinamentos que não condizem com a realidade de um profissional de recuperação de dados, mas que passam despercebidos entre a maioria dos expectadores.

Algumas personalidades que aplicam esses "cursos" alegam experiência em perícia digital, o que tem gerado polêmica por não existirem registros reais de tais pessoas atuando significativamente nessas áreas.

Até o momento no Brasil não existem cursos reconhecidos por entidades oficiais, validados ou que tenham qualquer comprovação de eficácia.

Ver também

editar

Referências

  1. «Recuperação de Dados | HOSCO». hosco.io. Consultado em 11 de agosto de 2015 
  2. Vasconcelos, Pedro. «DIY data recovery could mean "bye-bye"». The Ontrack Data Recovery Blog. Kroll Ontrack UK. Consultado em 23 de maio de 2013. Arquivado do original em 19 de junho de 2013 
  3. «Hard Drive Circuit Board Replacement Guide or How To Swap HDD PCB». donordrives.com. Consultado em 27 de maio de 2015 
  4. «Firmware Adaptation Service - ROM Swap». pcb4you.com. Consultado em 27 de maio de 2015. Arquivado do original em 29 de março de 2013 
  5. Ariel Berkman (14 de fevereiro de 2013). «Hiding Data in Hard Drive's Service Areas» (PDF). recover.co.il. Consultado em 23 de janeiro de 2015. Arquivado do original (PDF) em 26 de fevereiro de 2015 
  6. «Swapping PCB's on Data Recovery Report». Consultado em 27 de maio de 2015. Arquivado do original em 16 de abril de 2013 
  7. Zeno, Keneth (27 de setembro de 2011). «How Does Data Recovery Work?». Data Recovery Box. Consultado em 29 de fevereiro de 2012. Arquivado do original em 15 de dezembro de 2014 
  8. Secure Deletion of Data from Magnetic and Solid-State Memory, Peter Gutmann, Department of Computer Science, University of Auckland
  9. Data Remanence in Semiconductor Devices Arquivado em 21 de fevereiro de 2007, no Wayback Machine., Peter Gutmann, IBM T.J. Watson Research Center
  10. Feenberg, Daniel (14 de maio de 2004). «Can Intelligence Agencies Read Overwritten Data? A response to Gutmann.». National Bureau of Economic Research. Consultado em 21 de maio de 2008 
  11. «Disk Wiping – One Pass is Enough». anti-forensics.com. 17 de março de 2009. Consultado em 29 de maio de 2015. Arquivado do original em 2 de setembro de 2012 
  12. «Disk Wiping – One Pass is Enough – Part 2 (this time with screenshots)». anti-forensics.com. 18 de março de 2009. Consultado em 29 de maio de 2015. Arquivado do original em 27 de novembro de 2012 
  13. Wright, Dr. Craig (15 de janeiro de 2009). «Overwriting Hard Drive Data» 
  14. Barton, Andre (17 de dezembro de 2012). «Data Recovery Over the Internet». Data Recovery Digest. Consultado em 29 de abril de 2015 
  15. Stanley Morgan (28 de dezembro de 2012). «[Infographic] Four Phases Of Data Recovery». dolphindatalab.com. Consultado em 23 de março de 2015 

Leitura adicional

editar
  • Tanenbaum, A. & Woodhull, A. S. (1997). Operating Systems: Design And Implementation, 2nd ed. New York: Prentice Hall.
  • Data recovery no DMOZ