Новое поколение систем для съема и анализа данных на жестких дисках и флеш-накопителях Прокопенко Сергей, компания ЕПОС Москва 2012

23 февраля 1993г. Дата основания компании ЕПОС Начало работ по ремонту HDD и восстановлению данных 1994г. Департамент восстановления информации Центр восстановления информации ЕПОС Восстановление со всех носителей Более 150 заказов в месяц Показатель успеха – 85.7% Рост 13% в 2011г. Лучшие инженеры и технологии 1 в Украине Центр восстановления информации Энтар Восстановление с HDD, Flash, RAID Типовые случаи Доступные цены Лаборатория компьютерной криминалистики Первая в Украине независимая лаборатория Расследование инцидентов информационной безопасности Криминалистические исследования Оценка защищенности информационных систем Оборудование ЕПОС, AceLab, ICS, Tableau, Guidance, Cellebrite, eDecision и др Отдел НИОКР Разработка технологий восстановления информации Разработка оборудования и ПО Исследование методов уничтожения данных Опытно-конструкторское производство

1.Съем и анализ данных на HDD 2.Съем и анализ данных на Flash 3.Уничтожение данных

Восстановление данных с HDD Проблемы Растущая популярность внешних USB дисков -более 40% обращений – внешние HDD -основные причины обращений – дефектные сектора и неисправность БМГ Все проблемы только начались… -80% внешних 2,5" дисков не имеют SATA (PATA) -применение шифрования -потеря гарантии при вскрытии корпуса -отсутствие средств для работы с дефектными USB HDD

EPOS DiskMaster USB – эффективный инструмент для восстановления данных с дефектных USB HDD Восстановление данных с HDD Многофункциональный прибор EPOS DiskMaster USB Посекторная копия Копирование USB SATA, USB USB Многократное чтение нестабильных и дефектных секторов Реверсивное копирование Управление питанием и таймингами Поддержка сектора более 512 байт Защита от записи на источник Модификация MBR на копии Выравнивание количества секторов на приемнике Поддержка накопителей с более чем одним LUN Скорость копирования 1,5 ГБ/мин (до 90ГБ/час) Работа под управлением ПК через сервисный интерфейс Копирование заданных диапазонов LBA Копирование файлов Построение карты дефектов …

Восстановление данных с HDD Многофункциональный прибор EPOS DiskMaster USB Основные функции Копирование данных Уничтожение (стирание) информации 00h, FFh, RND Диагностика USB и SATA HDD Верификация, чтение, запись Фоновая диагностика Протоколирование операций Интерфейс источника1 х USB 2.0 High Speed Интерфейсы приемников 1 х USB 2.0 High Speed 1 х SATA II (SATA Gen.2) Режимы и скорость копирования данных USB –> SATA: более 1,5 ГБ/мин USB –> USB: более 700 МБ/мин Количество записей результатов выполнения задач 26 (опционально 230) Размеры130 х 100 х 40 мм Вес0,22 кг ЭлектропитаниеВнешний источник питания, 12 В, 6А

Восстановление данных с HDD Проблемы Невозможно прогнозировать наличие дефектов Невозможно прогнозировать поведение системы при наличии дефектов Традиционный техпроцесс восстановления информации включает создание технологических копий Емкость и количество технологических носителей Нужно на вчера… Необходимы новые подходы

Восстановление данных с HDD EPOS BadDrive Adapter EPOS BadDrive Adapter – специализированный блокиратор записи с функцией восстановления данных Перехват и маскирование команд, завершившихся с ошибкой Отсутствие зависаний ОС и приложений Устранение необходимости в создании промежуточных копий Повышение эффективности восстановления информации с HDD большой емкости и RAID систем Съем данных при расследовании ИТ инцидентов Простой инструмент для ИТ служб предприятий Область применения

Восстановление данных с HDD EPOS BadDrive Adapter Прозрачен для программного и аппаратного обеспечения Возможность отключения блокирования записи Поддержка SATA и PATA HDD любой емкости «Горячее» подключение Не требует установки драйверов Совместимость с бесплатным ПО EPOS Imager для копирования данных в образы e01, dd Небольшие размеры и вес Подключение к ПК: SATA, е-SATA Работа с: 2,5/3,5 SATA HDD и SSD, 1,8/2,5/3,5 PATA HDD, 1,8 ZIF PATA HDD Особенности

Анализ данных Анализатор протоколов EPOS ATA Analyzer-A Новый анализатор протоколов EPOS ATA Analyzer-A для регистрации и отображения команд и данных, передаваемых между хостом и любым устройством с интерфейсами PATA или SATA определение алгоритмов работы оборудования (DVR, промышленных и специальных ПК, медицинской техники…) поиск уязвимостей в программных и аппаратных криптографических средствах разработка и отладка устройств и ПО оценка работы специального ПО выявление вендор-команд определение АТА паролей Назначение Особенности неограниченный объем регистрируемых данных не требуется внешний источник питания удобный интерфейс небольшие размеры

Анализ данных Анализатор протоколов EPOS ATA Analyzer-A Регистрация данных в режиме UltraDMA Скрытие неподдерживаемых команд Новые режимы Компактное отображение команд Статистика команд протокола Развитый поиск Интерактивная справка Новое программное обеспечение Регистрация soft и hard reset-ов Два SATA и два PATA порта Новый дизайн Новая аппаратная платформа

EPOS DiskMaster Portable – универсальный инструмент для копирования данных, стирания информации, диагностики SATA и PATA HDD Создание посекторной копии Защита от записи на источник Копирование данных с HDD с дефектами Уничтожение (стирание) данных Работа с областью НРА Интерфейсы SATA, PATA Диагностика HDD Высокая скорость – более 3,5ГБ/мин Восстановление данных с HDD Многофункциональный прибор EPOS DiskMaster Portable

Съем данных с HDD Блокиратор записи EPOS WriteProtector EPOS WriteProtector – аппаратный блокиратор записи для предотвращения модификации данных на HDD при расследовании ИТ инцидентов Наивысшая скорость Прозрачен для программного и аппаратного обеспечения Работа с защищенной областью НРА Поддержка SATA и PATA HDD любой емкости «Горячее» подключение Не требует установки драйверов Совместимость с бесплатным ПО EPOS Imager для копирования данных в образы e01, dd Небольшие размеры и вес Подключение к ПК: SATA, е-SATA Работа с: 2,5/3,5 SATA HDD и SSD, 1,8/2,5/3,5 PATA HDD, 1,8 ZIF PATA HDD

1.Съем и анализ данных на HDD 2.Съем и анализ данных на Flash 3.Уничтожение данных

Восстановление данных с Flash Проблемы Новые интерфейсные протоколы - новые форматы команд, новые режимы Монолиты, SSD ЕСС, XOR Отсутствие документации Сложности с поиском доноров Большая емкость Низкая помехоустойчивость

Восстановление данных с Flash Анализатор протоколов EPOS Flash Analyzer Законченное решение Объем буферной памяти 16 MB Подключение к ПК – USB 2.0 Подключение TSOP48 чипов без пайки Усовершенствованное ПО Через 3-4 месяца: EPOS Flash Analyzer – анализатор протоколов для регистрации команд и данных, передаваемых между контроллером и памятью Отладочный макет Объем буферной памяти 12 MB Подключение к ПК – PCI Навесной монтаж

Восстановление данных с Flash Анализатор протоколов EPOS Flash Analyzer

Восстановление данных с Flash NAND Flash ридер EPOS FlashExtractor Второе поколение технологии восстановления информации с Flash накопителей Самый быстрый ридер (в 2,5-4 раза быстрее аналогов, С.Корб: Поддержка стандарта ONFI 1.0 Подключение к ПК по интерфейсу еSATA с возможностью горячего подключения Коррекция ошибок чтения Корректное чтение ИМС с размером блока, не кратным 2 Возможность чтения ИМС с синхронным режимом, reliable read Управление напряжениями питания ИМС памяти Длительность цикла чтения до 20 нс Быстрая замена адаптеров

Восстановление данных с Flash Наши планы EPOS FlashExtractor Адаптеры под различные типы памяти Расширение базы поддерживаемых ИМС Обновление прошивки Отказ от пайки EPOS iRecovery Восстановление данных через интернет Коммерческое ПО для восстановления данных Самостоятельное восстановление данных

1.Съем и анализ данных на HDD 2.Съем и анализ данных на Flash 3.Уничтожение данных

EPOS eFlash – специализированный Flash накопитель с возможностью гарантированного уничтожения (стирания) данных Устройство уничтожения данных «Лавина» Мгновенное (0,1 сек) уничтожение данных Возможность массового уничтожения данных (до 100 накопителей / час) Полное уничтожение данных на физическом уровне, включая служебную разметку Уничтожение данных на неисправных HDD перед гарантийной заменой предназначено для уничтожения данных на HDD в конце срока их эксплуатации, в том числе на неисправных дисках Гарантированное уничтожение данных с восстановлением работоспособности Flash носителя Высокая скорость стирания Емкость 4 ГБ Возможно автономное питание Уничтожение данных

Мгновенное (0,1 сек) уничтожение данных Полное уничтожение данных на физическом уровне, включая служебную разметку Способы запуска процесса уничтожения: ручной программный по радиоканалу (дальность до 100м) по GSM-каналу (голосовое и SMS) по событиям охранной сигнализации (датчики движения, вскрытия и т.п.) Отчет о срабатывании устройства (SMS, голос) Высокая напряженность магнитного поля Защита от 1 до 4 НЖМД Кольчуга - устройство для экстренного уничтожения данных на HDD при угрозе изъятия, несанкционированного доступа, физического захвата или кражи ПК, сервера или системы хранения данных Уничтожение данных Информационный сейф «Кольчуга»

Спасибо за внимание! Сергей Прокопенко Лаборатория компьютерной криминалистики ЕПОС