Western Digital з апаратним шифруванням

  • Дата 15/06/2017

Наші партнери «512byte» продовжують описувати цікаві випадки відновлення даних користувача з несправних накопичувачів (www.512byte.ua).

Мова піде про зовнішній жорсткий диск «Western Digital WD30NMVW-11C3NS2», 3TB, USB 3.0. До моменту, як накопичувач потрапив у «512byte» його розкрили в іншій організації: судячи з усього намагалися міняти блок магнітних головок. За словами клієнта, не змогли розшифрувати дані. У процесі роботи користувач встановив пароль на розблокування пристрою за допомогою програмного продукту від виробника «WD Drive Utilities». Крім того, всередині задіяний механізм SED. Self Encrypting Drive - диск, шифрування якого реалізовано на методах апаратного шифрування і повного шифрування диска з умовою того, що в контролер цього диска вбудовано пристрій апаратного шифрування. Самошифровані диски, що використовують алгоритм шифрування AES з 128 або 256 бітовими ключами для шифрування даних. Таким чином, наші колеги зіткнулися з подвійним шифруванням. У більш ранніх родинах накопичувачів WD, що використовують апаратне шифрування даних, механізм розшифрування "на льоту" відпрацьований. При цьому відомо місце розташування застосовуваних ключів в області призначених для користувача даних і сфері службової інформації. Для виконання цієї операції необхідно замінити рідний контролер USB 2.0/3.0 на аналогічний SATA. Інша ситуація з досить свіжим «WD30NMVW-11C3NS2». Виробник змінив адреси розташування ключів, а апаратно-програмні комплекси для відновлення даних, які застосовуються більшістю компаній, перебудуватися ще не встигли. При цьому немає можливості розшифрувати дані. Після заміни несправного блоку магнітних головок від диска-донора, було прийнято рішення читати дані рідним контролером (що містить USB 3.0), не змінюючи його на SATA. Такий спосіб вичитування досить складний, тому що набір команд використовуваних по USB сильно обмежений в порівнянні з SATA, і не дозволяє в повній мірі обробити фізичні ушкодження магнітної поверхні. Позбувшись від SED і перевіривши накопичувач, в режимі роботи по SATA провели верифікацію дискового простору, з'ясували адреси пошкоджень. На щастя, таких виявилося кілька штук, і знаходилися вони на самому початку. Повернувши SED і USB, застосувавши пароль користувача в WD Drive Utilities колеги отримали доступ до даних користувача без шифрування, які успішно були скопійовані на справний накопичувач. При цьому, навмисне не зверталися до адрес, які містять пошкодження. Втрати склали кілька мегабайт.

Підписка на новини

Підпишіться на наші новини, щоб завжди бути в курсі знижок та нових пропозицій!

Контакти

  • м. Луцьк, вул. Ковельська 2, оф. 315

  • +38066 023 70 86+38063 418 22 57
  • Ця електронна адреса захищена від спам-ботів. вам потрібно увімкнути JavaScript, щоб побачити її.

Gross

logo Gross

Відновлення даних. Комп'ютерна криміналістика. e-Discovery

Top