Discussioni utente:Rbaholding

Da Wikipedia, l'enciclopedia libera.
Vai alla navigazione Vai alla ricerca

--Bradipo Lento (msg) 12:47, 16 ott 2013 (CEST)[rispondi]

Recupero Dati iRecovery Il recupero Dati da supporti informatici danneggiati - hard Disk - pen drive - recupero sms - recupero mail

[modifica wikitesto]

Nell’era che stiamo vivendo, tutti i nostri dati risiedono su dispositivi di archiviazione (data storage) di natura meccanica o elettronica. Questi dispositivi, benché studiati per essere longevi e resilienti, a volte falliscono. Inoltre, alle possibili cause che possono portare una perdita di dati concorrono molti fattori, non ultimo l’errore umano. La probabilità di perdita dei dati può essere ridotta ma è un avvenimento, che per quanto spiacevole, è sempre da considerarsi ineluttabile. Tutti i dati hanno un valore e proteggerli costa. A volte, quando si analizzano costi e benefici della loro protezione, si accettano dei compromessi introducendo un rischio legato alla probabilità che un avvenimento possa accadere a corrompere i dati. Questa “introduzione del rischio” limita lo scudo di protezione contro la potenziale perdita di dati e introduce due importanti incognite all’equazione: la capacità dell’azienda di valutare il significato della perdita del dato e i costi derivati dal ricreare i dati persi. Semplificando, possiamo quindi dire che i dati si perdono per due motivi principali: sottovalutazione del rischio e fatto imprevisto. Esiste comunque una terza possibilità, cioè quando il cliente ha valutato correttamente il rischio ma decide comunque di correrlo! Il tutto in funzione di quanto denaro si è disposti a spendere per la protezione. In ogni caso, quando si perde la capacità di accedere ai dati non è detto che le speranze di un recupero siano nulle. Se i dati sono fisicamente presenti, cioè non sono stati sovrascritti o il supporto fisico non è seriamente danneggiato esiste una concreta possibilità di recuperare tutto, o parte, dei contenuti. Esistono diverse tecniche che permettono di analizzare il contenuto di un dispositivo, anche quando difettoso, e ricavarne dei dati. Ovviamente queste tecniche si differenziano in funzione del tipo di dispositivo o, come avviene in alcuni casi particolari, in funzione del contenuto. Le problematiche che stanno dietro a queste operazioni sono molteplici, sono necessari skill particolari, software sofisticati ed anche un buon magazzino di pezzi di ricambio. L’obiettivo comunque non è mai quello di riparare un dispositivo difettoso ma di ricavare i dati in esso contenuti. IRECOVERY DATA POWER WWW.IRECOVERYDATA.COM Il recupero dei dati e iRecovery Perdita e indisponibilità Il significato di “perdere i dati” è abbastanza ampio e differisce di molto in funzione di dove questi dati risiedono e dal tipo di guasto: un disco guasto su un notebook è molto differente, ad esempio, da perdere un raid group in un array collegato ad una SAN o da un file system corrotto in cui erano presenti i data file di un DB. Di conseguenza, anche le tecniche di un potenziale recupero sono molto diverse fra loro. Inoltre la stessa definizione di “perdere i dati” dovrebbe essere approfondita. La perdita del dato, da un punto di vista letterale, dovrebbe significare che il dato non esiste più e quindi non sia neanche più recuperabile. In realtà, sarebbe molto più preciso parlare di “indisponibilità del dato” e quindi della impossibilità di accedervi. I dati poi possono essere inaccessibili per due tipi di motivi: fisici o logici. Nel primo caso si parla di un vero e proprio guasto al dispositivo che contiene il dato, nell’altro si è verificato un problema alla struttura dei dati (es. un file system corrotto). Per i motivi che ho appena descritto, il recupero dei dati è una operazione complicata e delicata. L’esperienza e la competenza di chi si impegna ad effettuare l’attività di recupero sono fondamentali proprio perchè ogni errore può portare ad una definitiva perdita di dati. Prima di procedere oltre è importante fare almeno due puntualizzazioni, la prima è che molte aziende si rendono conto del valore di questi dati solo dopo averli persi. La seconda, forse la meno ovvia ma la più importante, è che il loro valore cala in funzione del passare del tempo. L’impossibilità di accedere ad un dato per un tempo indeterminato può far si che quel dato diventi inutile e quindi senza valore. Nel caso si verifichi una perdita di dati è sempre importante dare un valore al dato relativamente al tempo necessario per recuperarlo. Questa è un’operazione difficile ma,

Il recupero dei dati soprattutto in caso di disastri gravi è decisamente importante dare la giusta priorità a cosa tentare di recuperare per primo. Una delle attività propedeutiche al recupero dei dati è stimare quanto tempo sarà necessario per il loro recupero e se quindi vale la pena aspettare. Negli ultimi anni abbiamo assistito ad una evoluzione decisamente importante di tutto quello che riguarda l’information technology e anche nel campo dello storage sono state introdotte nuove tecnologie in affiancamento ad altre più vecchie ed ancora presenti. La virtualizzazione poi ha introdotto un ulteriore strato che rende le strutture di dati ancora più complesse e difficili da recuperare in caso di guasti (come ad esempio i clustered file system che distribuiscono i dati fra più nodi). Nei capitoli successivi andremo a spiegare brevemente come funzionano i dispositivi più diffusi (Hard disk, memorie flash, Array di dischi) per capire dove risiedono i maggiori rischi di perdita di dati, ma anche come è possibile recuperare dati da strutture logiche complesse come DB o storage per infrastrutture virtualizzate.


Il disco rigido

Il disco rigido è uno dei pochissimi componenti meccanici che fanno parte di un computer, sia esso un PC o un server (le ventole e i lettori DVD sono gli altri). Come tutti i meccanismi complessi che hanno parti in movimento, anche il disco rigido è soggetto a guasti che ne possono facilmente compromettere l’utilizzo. Infatti, con l’evoluzione tecnologica, si sta tentando una graduale diminuzione dei diversi dispositivi meccanici all’interno dei computer. Purtroppo, ancora oggi, il disco rigido rimane il dispositivo con il miglior rapporto spazio/costo e quindi passerà ancora molto tempo prima che verrà sostituito. Un disco rigido è composto da diversi elementi:Testo in corsivo • lo spindle motor • uno o più piatti • il braccio porta testine e le testine • l’attuatore per il posizionamento e il braccio di ritegno • l’elettronica Tutti questi componenti possono subire un guasto. Proprio per questo, le principali cause che compromettono l’uso di un hard disk si trovano nella mancanza di alimentazione, rotture meccaniche, un errato utilizzo, scariche elettrostatiche o problemi elettronici. Alcuni di questi sono problemi solo su hard disk di vecchia concezione mentre altri rimangono rischi concreti anche sui prodotti più moderni. Un ulteriore difficoltà è anche la continua crescita della capacità (oggi esistono HD con capienza di 3TB e presto saranno disponibili HD da 4 e 5 TB!) ma, dall’altro lato, la tecnologia è consolidata e non ha visto particolari Juku.it 10 Il recupero dei dati e iRecovery...

evoluzioni negli ultimi anniTesto in corsivo

Un esempio: la velocità di rotazione di un HD può essere al massimo 15000 RPM (giri per minuto), questo valore è rimasto identico negli ultimi 10 anni. L’industria ha comunque lavorato molto per aumentare la densità con cui i dati vengono scritti sul media. La maggiore densità di dati che possono risiedere in un piatto, e la ridotta dimensione dei dischi di ultima generazione (2.5”, 1.8” e 1”), ha come conseguenza diretta una componentistica ancora più miniaturizzata. La miniaturizzazione ha diversi vantaggi (minor consumo elettrico, più velocità, minori inerzie) ma ha necessità di una attenzione e di una professionalità ancora maggiore quando il device deve essere aperto per un eventuale ripristino temporaneo. Per iniziare l’intervento tecnico su di un disco rigido è molto importante eseguire un’analisi accurata per capire la natura del problema. Una volta individuato il problema si hanno le informazioni necessarie a capire se è possibile ripristinare le funzionalità del disco in modo da poter prelevare un’immagine completa del disco stesso (un’immagine del disco è un file che può essere visto dal computer come un disco virtuale). L’obiettivo infatti non è mai quello di riparare il disco per poterlo usare nuovamente ma è quello di riattivarlo per il tempo necessario a prelevarne il contenuto, un disco rigido moderno ha comunque delle tolleranze minime e una volta aperto, riparato e richiuso potrebbe non rispondere più agli standard per i quali è stato progettato. Contrariamente a quanto molte persone credono i dischi rigidi non sono sigillati sottovuoto ne, tanto meno, sono stagni ma, una volta aperti, anche un granello di polvere può risultare devastante. Questo significa che per aprirli e operare l’eventuale pulizia (come nel caso di un allagamento) o sostituzione di parti sono necessari speciali ambienti (camera bianca) dove l’aria viene filtrata dalle impurità. In funzione del tipo di guasto si opera in modo molto diverso per effettuare le operazioni di recupero. Nella maggior parte dei casi è necessario smontare il dispositivo e sostituire le parti danneggiate, ricalibrare al microscopio le testine, effettuare un’ispezione della superficie dei piatti. Altre volte si effettuano interventi di microelettronica o di riprogrammazione. Ogni azione intrapresa richiede l’uso di hardware e software ad hoc. Altre volte è possibile recuperare i dati anche da dischi rigidi che sono stati sottoposti a stress particolarmente forti, come può succedere in caso di alluvioni o di incendi. Esistono però casi in cui il disco rigido non è recuperabile, o il recupero è possibile solo parzialmente. Ad esempio, se la testina tocca il piatto (head crash) può creare un solco con conseguente distruzione dei dati. Infatti le grandezze a cui operano i dischi sono infinitesimali, basti pensare che la testina sorvola il piatto ad una distanza di 12 nm (12 milionesimi di millimetro!).

Array di dischiTesto in corsivo

Se recuperare dati da un singolo disco rigido è complicato, ma tutto sommato un’attività concettualmente semplice, non si può dire la stessa cosa per i sistemi RAID. Le c omp l e s s i t à i n t r o d o t t e d a i meccanismi di protezione RAID e dalla loro specifica implementazione sono molteplici: le informazioni nel singolo disco rigido sono utili solo se correttamente allineate e ricostruite con tutte le altre facenti parte dello stesso set di dischi. Inoltre, proprio per natura dei sistemi RAID, i dati possono essere organizzati in modo diverso in funzione del tipo di protezione scelta, della versione del firmware dei controller, ma anche di particolari configurazioni che sono state fatte sul sistema. Gli array dell’ultima generazione hanno anche introdotto meccanismi di virtualizzazione dei dischi rigidi interni. In questo modo non esistono più RAID group tradizionali ma i singoli dischi vengono suddivisi in chunk (pagine o blocchi) di piccole dimensioni che poi concorrono a comporre dei raid group molto ampi (wide striping). In altri casi, come ad esempio nel caso dei NAS, l’array ha anche un suo filesystem interno che deve gestire i file da condividere. In ogni caso si ha sempre più spesso a che fare con array molto sofisticati che gestiscono dati e metadati, ed è necessario recuperare entrambi per ripristinare i dati dell’utente. Non ultimo c’è anche da considerare che molti produttori stanno introducendo nuove tecnologie per migliorare l’efficienza di immagazzinamento dei dati, come ad es.: thin provisioning, zeroing, deduplication e compressione. In questi casi si ha un ulteriore complessità

Il recupero dei dati del layout ma anche un rischio maggiore dovuto al fatto che, soprattuto in caso di sistemi di deduplicazione, anche la perdita di una piccolissima parte di dati può seriamente compromettere l’integrità di tutto il sistema. Un doppio guasto in un array moderno è un rischio che cresce continuamente, soprattutto perchè i tempi di ricostruzione aumentano sensibilmente in funzione dell’aumentare della capacità dei dischi rigidi. Per questa ragione, molti costruttori hanno implementato meccanismi di protezione RAID più sofisticati che in passato (come ad esempio il RAID 6). Purtroppo però la probabilità che un guasto critico possa compromettere il RAID e i dati al suo interno non è ineluttabile. Il ripristino dei dati su un array è più complicato rispetto alla ricostruzione di un disco rigido singolo perchè, come scritto in precedenza, i dati sono divisi su più dispositivi e ogni operazione di IO viene gestita da uno o più controller. In alcuni casi, gli array utilizzano un vero e proprio file system per organizzare i dati al proprio interno. La conseguenza di tutto questo è che per poter procedere con un ripristino dei dati sul lato utente è obbligatorio seguire una serie di passi per ripristinare tutti i livelli intermedi e verificarne la loro consistenza. L’eventuale operazione di recupero va quindi divisa in diverse parti e, in funzione del tipo di guasto, il processo può richiedere da pochi giorni a tempi molto lunghi nei casi più catastrofici. Nei casi più gravi, Il processo di ripristino di un Array può essere molto complesso: in casi estremi è necessario estrarre i dischi dal sistema originario e recuperarli ad uno ad uno per poi simulare il comportamento dell’array attraverso software disegnati appositamente. Queste operazioni sono decisamente delicate e possono richiedere di spostare l’array in un laboratorio per ripristinare l’accesso ai dati.

SSD e memorie flashTesto in corsivo

Le memorie flash stanno invadendo il mercato: dischi SSD (Solid State Drive) su computer portatili, server e array sono solo una piccolissima porzione di quanto viene prodotto dall’industria, il grande sviluppo si sta verificando soprattutto nel mondo dei dispositivi mobili e in quello delle memorie rimovibili (ad esempio le chiavi USB o schede SSD). Inoltre, i form factor, sono tantissimi e, ancora oggi, in espansione! Infatti, basti pensare che alcuni portatili non montano un dispositivo che ha la forma del tradizionale disco rigido ma un scheda ingegnerizzata appositamente (per risparmiare spazio e corrente elettrica). L’unica nota positiva riguarda uno degli aspetti tecnologici: l’industria è abbastanza standardizzata sull’uso di chip con porte NAND (questo per motivi di facilità costruttiva e minor spazio necessario sul silicio). La complessità non si riduce a quanto scritto sopra ma ci sono almeno altre due criticità che vanno considerate quando si pensa alle memorie flash: la prima è che i chip di memoria sono inutili se non accoppiati ad un controller specializzato, appositamente studiato per operare con loro. L’altra è legata al momento storico di grande sviluppo del settore: l’industria è particolarmente attiva e i prodotti cambiano e vengono aggiornati con una cadenza quasi compulsiva rendendo particolarmente difficile tenere il passo per chi deve operarci dal lato del recupero dati. In particolare, rispetto all’industria dei dischi rigidi, dove ormai si contano solo tre fornitori e una tecnologia abbastanza consolidata, nel mondo delle memorie flash siamo in una fase di grande crescita anche nel numero di produttori. I fornitori sono tanti, molte sono delle startup, la somma dei prodotti proposti è innumerevole e basati su tecnologie molto diverse fra loro. Sempre da un punto di vista di giovinezza, in alcuni casi immaturità, i

Le memorie flash funzionano attraverso la cancellazione e la riprogrammazione di blocchi composti da celle di memoria che si trovano su dei chip appositi, questi blocchi possono avere dimensioni anche grandi (32K o più quando si parla di memorie NAND). Sono una evoluzione delle EEPROM che si usavano negli anni settanta/ottanta e, la tecnologia più diffusa con cui vengono costruiti questi prodotti, soprattutto nel lato consumer, sia chiama Multi Level Cell. Viene utilizzata principalmente perchè è la più economica ma è quella peggiore in termini di affidabilità e durabilità. Infatti, mentre la tecnologia SLC (single level cell) raggiunge circa 100.000 cicli di scrittura le MLC arrivano al massimo a 10.000. La ricerca è comunque continua e alcuni vendor stanno sensibilmente migliorando questi dati. L’utilizzo di memorie flash nei server e negli array di dischi è ancora limitatissimo, per cui sono ancora pochi i casi di perdita di dati in questi contesti. Al contrario, l’uso di questi sistemi di memorizzazione è largamente diffuso nei device di tipo portatile (smartphone, tablet, notebook, macchine fotografiche e videocamere) e su dispositivi di memorizzazione rimovibili (i.e: chiavi USB, schede SD, ecc.) ed è proprio qui che avviene la maggior perdita di informazioni. Le statistiche mostrano altrettanto chiaramente che la maggior parte dei guasti è dovuta ad agenti esterni (es. telefono finito in acqua o distrutto dopo una caduta). La difficoltà principale nel recupero di dati da dispositivi portatili, da un punto di vista logico, riguarda l’organizzazione dei dati al loro interno. Infatti, per quanto molti dispositivi usino un’organizzazione dei dati a file system, paragonabile quindi a quella di un PC, questi sono spesso diversi da quelli che conosciamo e usiamo abitualmente (magari sono un sottoinsieme del filesystem originale). Quindi la proliferazione di dispositivi e dei relativi sistemi operativi ha anche portato una maggiore difficoltà nell’eventuale recupero di dati. Il processo di recupero è comunque concettualmente simile a quanto già visto in precedenza, ma diverso dal punto di vista pratico: si cerca di ripristinare il funzionamento, anche parziale, del dispositivo o si dissaldano i chip per montarli su un altro dispositivo simile o un sistema che ne permetta la rilettura dei contenuti. Questo tipo di lavorazioni sono complicate e richiedono l’attività di centri specializzati difficili da reperire. Le difficoltà per recuperare i dati aumentano sui dispositivi più complessi anche per le tecnologie che vengono impiegate per migliorare la durabilità delle memorie flash o la consistenza dei dati. Ad esempio, il “wear leveling” è

Il recupero dei dati è una tecnica usata per distribuire le scritture dei dati in maniera uniforme sui chip oppure i chip organizzano i dati i modo diverso in funzione del controller che li gestisce: in pratica non si deve solo recuperare il dato grezzo che risiede all’interno del chip ma è anche necessario ricostruire la struttura originaria in cui erano organizzati. A complicare ulteriormente le cose è il fatto che praticamente ogni produttore implementa diversamente questi meccanismi/algoritmi di organizzazione dei dati.

I guasti software Fino ad ora abbiamo parlato principalmente di dispositivi e di aspetti hardware ma questa è solo una parte del problema. Un guasto software, compreso l’errore umano, è più probabile di uno hardware e non è detto che, a seguito di un guasto hardware, non si riscontri anche un conseguente problema di consistenza dei dati da un punto di vista software. Se il problema è solo software l’intervento di recupero è relativamente più semplice, soprattutto se si tratta di un singolo disco rigido installato su un PC o un server. In molti casi esistono tool, anche di pubblico dominio, che eseguono la scansione del filesystem e riescono a recuperare i dati non leggibili. Molti sistemi operativi hanno anche dei tool integrati al filesystem stesso che possono eseguire alcune operazioni di base per risolvere le problematiche più comuni. E’ ovvio comunque che più il sistema operativo è diffuso più sarà facile reperire i tool e l’esperienza per usarli. Rimane comunque sempre in vigore la regola che un intervento sbagliato può definitivamente compromettere i dati. Le problematiche riguardo al recupero di strutture di dati si complicano quando si ha a che fare con array, soprattutto con quelli dell’ultima generazione. Per rigenerare la parità dopo un guasto hardware multiplo o ripristinare il filesystem interno ad un array non esistono tool commerciali o di pubblico dominio e spesso anche i vendor non prevedono questa possibilità (almeno non attraverso operazioni eseguibili dall’utente). In questi casi quindi è necessario che chi tenta il recupero abbia maturato delle conoscenze profonde dell’array e abbia anche una qualche forma di supporto dal vendor (decisamente non facile da ottenere). Nei casi più estremi è necessario estrarre tutti i dischi dall’array e importarli in un sistema che ne simuli il funzionamento. Questa lavorazione è molto complessa ed è possibile solo in pochissimi laboratori specializzati in tutto il mondo. Nei casi più complessi è necessario attingere a competenze molto specifiche, ricostruire i pattern dei dati, sviluppare software ad hoc e poi recuperarei dati, il tutto con un processo praticamente manuale. I costi possono essere particolarmente elevati e i tempi per ottenere un risultato decisamente lunghi.


La virtualizzazione L’adozione massiva di strumenti di virtualizzazione dei server ha portato negli anni ad aggiungere un ulteriore strato di software da gestire, anche nel caso di una eventuale perdita di dati: i file system che contengono le macchine virtuali (Virtual Machines o, brevemente, VM). Infatti, mentre nel caso di un singolo server che perde l’accesso ai dati archiviati è necessario ripristinare la consistenza di un solo file system nel caso di una i n f r a s t r u t t u r a v i r t u a l i z z a t a l’operazione è doppia perchè, oltre al file system che contiene la VM, c’è la probabilità che sia necessario ripristinare anche il FS all’interno della VM stessa! Per poter recuperare i dati all’interno di una virtual machine è necessario che esista la consistenza di tutti gli strati intermedi. L’obiettivo è sempre quello di recuperare i dati o comunque, in questo caso, il ripristino della macchina virtuale che li ospita. Le Virtual Machine ospitate all’interno di una infrastruttura virtuale, di solito, risiedono all’interno di uno o più sistemi storage condivisi. Il sistema di storage condiviso può essere di tipo NAS o SAN. Nel primo caso è lo storage che si occupa di gestire il file system e quindi le macchine virtuali sono dei file condivisi attraverso quello che in gergo viene definito uno share di rete. Il secondo caso, quello più complesso, si verifica quando l’accesso allo storage viene effettuato a blocchi invece che a file. Su questi volumi viene creato un filesystem di tipo cluster in cui vengono salvate le Virtual Machine e i relativi file di controllo, per poi essere acceduto contemporaneamente da più server. Un ulteriore complessità, riguardo soprattuto il recupero dei dati, può arrivare dall’uso di VSA, in pratica una Virtual Storage Appliance, che vitualizza e fornisce servizio storage alle altre Virtual machine prelevandolo da storage locale o condiviso.


Operare con ambienti virtuali quindi mostra una complessità superiore non tanto per il tipo di operazione in se, che va ripetuta più volte proprio per il fatto che le strutture di dati sono annidate, ma perchè è necessario conoscere a fondo anche la piattaforma di virtualizzazione (l’hypervisor). Una difficoltà reale invece è data dalla mole di dati da recuperare sia per questioni di tempo che per spazio disco necessario. Proprio per questo motivo, in una operazione per il recupero di dati da una infrastruttura virtualizzata è più importante che mai conoscere cosa è inaccessibile esattamente, cosa è importante recuperare, cosa no e le priorità di recupero. Fortunatamente, se non ci sono danni hardware ed essendo questa una attività particolarmente legata ad aspetti software, è possibile eseguirla da remoto con sensibili risparmi di tempo per l’utente finale.

By irecovery Recupero Dati www.irecoverydata.com