Onlangs werden verschillende websites lamgelegd door een grootschalige botnet aanval.
Hierbij werd gebruik gemaakt van tot nu toe ongebruikte apparatuur, zoals bewakingskamera's en babyfoons.
Het internet of things dat men nu aan het ontwikkelen is gaat dit alleen nog maar erger maken.
Hoewel het idee op zich niet slecht is om apparatuur te verbinden met het internet om software-updates of andere toepassingen uit te voeren, het houdt op zich ook een heel grote bedreiging in.
Wat velen niet beseffen, en wat recent is aangetoond, is dat zulke apparaten (o.a. door de onachtzaamheid van hun gebruikers) ook steevast zwakke punten hebben.
Ze worden dan misbruikt door cybercriminelen om georchestreerde aanvallen uit te voeren op vooraf bepaalde doelen.
Hoe meer apparaten men met het internet verbindt, hoe meer tools beschikbaar komen voor die criminelen om te misbruiken.
Men kan denken dat men de zwakke punten kan verhelpen met een software-update, maar wat men daarbij vergeet is dat zulke apparaten voor de fabrikanten een end-of-life hebben.
Na enkele jaren worden ze niet meer ondersteund door de fabrikant, maar voor de eigenaar zijn ze nog nuttig en blijven dus in gebruik. De cybercrimineel heeft dan alle tijd om zwakke punten te zoeken en ze in te zetten voor die cyberaanvallen. Aangezien de fabrikant niet meer de moeite doet om die bugs te verhelpen zijn zulke apparaten een blijvend gevaar zolang ze met het internet verbonden zijn.
Tot nu toe bleef het beperkt tot enkele websites, maar met de evolutie van de data naar de cloud dient zich een veel groter probleem aan.
Veel softwareontwikkelaars laten de klant nu geen keuze meer en dwingen de gebruikers om hun data in de cloud te steken, met alle gevaren vandien.
Hierbij één voorbeeld, maar er zijn er nog tientallen te bedenken.
Stel u heeft een boekhoudpakket dat zijn data uitsluitend in de cloud steekt. Gemakkelijk zou u denken. Inderdaad, maar ook voor de cybercrimineel.
De data is toch geëncrypteerd zegt u ? Juist, maar de cybercrimineel hoeft helemaal uw data niet te hebben. Hij hoeft er maar voor te zorgen dat u er niet meer aankan !
Stel dat een cybercrimineel een gerichte aanval uitvoert op de servers waar uw boekhouding staat. Dankzij het internet of things heeft hij miljoenen apparaten ter beschikking voor zijn doel: Die servers toegang tot internet blokkeren.
Dan kan hij rustig losgeld vragen om u terug toegang te geven tot uw eigen data. Een grote versie van wat we nu kennen als ransomware, en hij hoeft daarvoor zelfs geen toegang te hebben tot die server.
Er zijn tegenmaatregelen om zulke aanvallen af te weren, maar die kunnen een poosje duren. En hoelang wilt u het stellen zonder uw boekhouding ?
Idem voor emails of tekstverwerking. Het principe is hetzelfde.
Tot nu toe hebben we zulke zaken nog niet zien gebeuren, maar het is slechts een kwestie van tijd ...
Noem mij een pessimist, ik noem het realist.
woensdag 2 november 2016
donderdag 29 september 2016
New service: data recovery on site!
New service: data recovery on site!
Today we're happy to announce a new service that Datarecuperatie BVBA will provide to it's customers.
As of now, we offer the ability to perform data recovery on site, at your own company.
If you suffered the loss of data on any type of media device that contains highly confidential information or if the company policy doesn't allow for the data carrier to be sent to our recovery facility (e.g. banks or government agencies) you can request a data recovery on site, one of our highly trained data recovery engineers will travel to your company and perform the data recovery on site, this service is worldwide (including conflict zones).
If you would like more information about this service, feel free to contact us.
Today we're happy to announce a new service that Datarecuperatie BVBA will provide to it's customers.
As of now, we offer the ability to perform data recovery on site, at your own company.
If you suffered the loss of data on any type of media device that contains highly confidential information or if the company policy doesn't allow for the data carrier to be sent to our recovery facility (e.g. banks or government agencies) you can request a data recovery on site, one of our highly trained data recovery engineers will travel to your company and perform the data recovery on site, this service is worldwide (including conflict zones).
If you would like more information about this service, feel free to contact us.
maandag 4 juli 2016
Waar op letten bij logische recoveries door een "IT-specialist"
We hebben onlangs te maken gehad met enkele hopeloze gevallen.
Onze klanten waren eerst bij hun lokale IT-winkel geweest, met het verzoek verloren data terug te vinden op hun harddisk.
Zonder verder na te denken heeft men daar via software een recovery uitgevoerd.
Men zag de data met naam verschijnen, en kopieerde toen alles terug naar de originele schijf, zonder verificatie.
Thuis verifieerde de klant zijn data, en niets was bruikbaar.
Daarenboven had men al de data terug naar de originele schijf teruggeschreven, waardoor alle kansen op een tweede poging zo goed als hopeloos waren. (de data is overschreven)
Als u dus besluit om niet bij een professioneel recoverybedrijf te gaan, maar eerst een "IT-professional" probeert, vraag hen dan het volgende:
Werken ze met de originele schijf (fout) of een kloon daarvan (goed) ?
Verifieren ze of de data wel leesbaar is na recovery ? Indien ja, prima, indien niet, fout !
Schrijven ze de data terug naar de originele schijf ? Indien nee, prima, indien ja, fout !
Dit zijn belangrijke punten die het onderscheid maken tussen een professionele recovery en een amateur, en het verschil kunnen maken tussen een geslaagde recovery en een catastrofe !
Onze klanten waren eerst bij hun lokale IT-winkel geweest, met het verzoek verloren data terug te vinden op hun harddisk.
Zonder verder na te denken heeft men daar via software een recovery uitgevoerd.
Men zag de data met naam verschijnen, en kopieerde toen alles terug naar de originele schijf, zonder verificatie.
Thuis verifieerde de klant zijn data, en niets was bruikbaar.
Daarenboven had men al de data terug naar de originele schijf teruggeschreven, waardoor alle kansen op een tweede poging zo goed als hopeloos waren. (de data is overschreven)
Als u dus besluit om niet bij een professioneel recoverybedrijf te gaan, maar eerst een "IT-professional" probeert, vraag hen dan het volgende:
Werken ze met de originele schijf (fout) of een kloon daarvan (goed) ?
Verifieren ze of de data wel leesbaar is na recovery ? Indien ja, prima, indien niet, fout !
Schrijven ze de data terug naar de originele schijf ? Indien nee, prima, indien ja, fout !
Dit zijn belangrijke punten die het onderscheid maken tussen een professionele recovery en een amateur, en het verschil kunnen maken tussen een geslaagde recovery en een catastrofe !
maandag 13 juni 2016
Harddisk getroffen door wateroverlast
Onlangs kregen we twee harde schijven binnen van een server die enkele uren onder water heeft gestaan.
Onze klant was een advocatenkantoor met meer dan 20 werknemers.
Door de hevige onweders van de laatste weken was er s'nachts water binnengelopen in de ruimte waar zowel de server als de backup stonden. Pas na enkele uren konden de toestellen terug op het droge gebracht worden.
Tegen de middag kwamen de harddisks aan in ons labo. De klant koos voor de 24u optie.
In zo een geval laten we alles liggen nemen deze zaak voor.
S'anderendaags om 10 u stond de klant hier opnieuw om zijn data op te halen. Alles was met succes teruggehaald!
Onze klant was een advocatenkantoor met meer dan 20 werknemers.
Door de hevige onweders van de laatste weken was er s'nachts water binnengelopen in de ruimte waar zowel de server als de backup stonden. Pas na enkele uren konden de toestellen terug op het droge gebracht worden.
Tegen de middag kwamen de harddisks aan in ons labo. De klant koos voor de 24u optie.
In zo een geval laten we alles liggen nemen deze zaak voor.
S'anderendaags om 10 u stond de klant hier opnieuw om zijn data op te halen. Alles was met succes teruggehaald!
dinsdag 17 mei 2016
Data van Macbook in verkeerscrash gered
Deze macbook was van nabij getuige van een verkeersongeval. De harddisk was lichtjes geplooid, de leeskoppen zaten vast, en de rotatie-as van de platter was verbogen.
Ondanks dit alles is de data gered ...
vrijdag 22 april 2016
Seagate Grenada harddisks met headcrash op head 0 nu ook te recoveren
Tot nu toe waren Seagate Grenada schijven die een head crash hadden op de magnetische laag 0 (head 0) niet te recoveren, ook al waren alle andere magnetische lagen ongeschonden.
Normaal gezien hebben Seagate harddisks van de reeks 7200.11 of hoger twee magnetische lagen vanwaar ze kunnen opstarten. Is dan één van die lagen geschonden, dan kan men de harddisk nog starten van de andere laag.
Een uitzondering hierop waren de schijven van de Grenada familie.
Is hier de magnetische laag 0 geschonden, dan was opstarten niet meer mogelijk.
Door intensieve interne research is het ons nu gelukt dit toch te doen.
Voortaan zijn Seagate Grenada schijven ook partieel te recoveren, zelfs al is de magnetische laag 0 niet meer bruikbaar.
Normaal gezien hebben Seagate harddisks van de reeks 7200.11 of hoger twee magnetische lagen vanwaar ze kunnen opstarten. Is dan één van die lagen geschonden, dan kan men de harddisk nog starten van de andere laag.
Een uitzondering hierop waren de schijven van de Grenada familie.
Is hier de magnetische laag 0 geschonden, dan was opstarten niet meer mogelijk.
Door intensieve interne research is het ons nu gelukt dit toch te doen.
Voortaan zijn Seagate Grenada schijven ook partieel te recoveren, zelfs al is de magnetische laag 0 niet meer bruikbaar.
donderdag 31 maart 2016
Hoe SSD's gebruiken ?
Recent hebben we enkele SSD schijven binnengekregen voor recuperatie.
Eerste geval: Een klant met een schijf van 1 TB met vele projecten. Op een bepaald moment blijft zijn computer hangen. Hij herstart de computer. Blijkt dat er een map van 100 GB met belangrijke data verdwenen is. Een scan naar de data levert niets op, ook niet in RAW mode. Conclusie: De data is gewist !
Tweede geval: Een SSD met sandforce processor. Telkens men de SSD probeert te benaderen blijft de schijf in "busy mode" hangen en is op geen enkele manier te benaderen. De data is geencrypteerd, dus de geheugenchips afhalen is geen optie. Conclusie: Hoewel de data nog aanwezig is, is er geen enkele manier om er nog aan te geraken!
Derde geval: Dit is bij een buitenlandse collega gebeurd. Hij is een SSD aan het klonen. Plots hangt de schijf. Hij herstart ze. Ineens blijkt de schijf leeg. Helemaal niets meer. Conclusie: De data is gewist !
Vierde geval: Een SSD die enkele maanden opzij gelegen heeft (gewoon in een kast), blijkt bij opnieuw aansluiten 88% van zijn data kwijt te zijn. Conclusie: Sommige modellen SSD gebruiken geheugenchips die hun inhoud kwijtgeraken als ze niet onder stroom staan.
Boosdoener: In geval 1 en 3 is het trim commando de schuldige
Voordeel van Trim: Deze "Feature" van de meeste SSD's maakt het geheugen leeg als de pc aangeeft dat deze ruimte niet meer in gebruik is. Hierdoor kan de SSD sneller nieuwe data stockeren.
Nadeel van Trim: Als u per ongeluk een map wist is er geen manier meer om de data terug te halen. Ook als dit gebeurt door een fout van het besturingssysteem zoals in geval 1.
Begrijp me niet verkeerd. SSD schijven zijn snel en een plezier om je pc of mac ermee uit te rusten, maar juist door die snelheid kunnen ze ook je data in een oogwenk wissen ! Waar een normale harddisk ongeveer een klein uurtje zou nodig hebben om 100 GB data te overschrijven heeft een SSD genoeg aan enkele milliseconden.
Mijn advies: Gebruik een SSD zuiver om je besturingssysteem op te zetten en gebruik een gewone harddisk om de data op te zetten.
Voor archivering: Gebruik nooit een SSD maar steeds een gewone harddisk.
Als laatste raadgeving: Maak steeds een kopie; geen enkele harddisk is 100% veilig.
Eerste geval: Een klant met een schijf van 1 TB met vele projecten. Op een bepaald moment blijft zijn computer hangen. Hij herstart de computer. Blijkt dat er een map van 100 GB met belangrijke data verdwenen is. Een scan naar de data levert niets op, ook niet in RAW mode. Conclusie: De data is gewist !
Tweede geval: Een SSD met sandforce processor. Telkens men de SSD probeert te benaderen blijft de schijf in "busy mode" hangen en is op geen enkele manier te benaderen. De data is geencrypteerd, dus de geheugenchips afhalen is geen optie. Conclusie: Hoewel de data nog aanwezig is, is er geen enkele manier om er nog aan te geraken!
Derde geval: Dit is bij een buitenlandse collega gebeurd. Hij is een SSD aan het klonen. Plots hangt de schijf. Hij herstart ze. Ineens blijkt de schijf leeg. Helemaal niets meer. Conclusie: De data is gewist !
Vierde geval: Een SSD die enkele maanden opzij gelegen heeft (gewoon in een kast), blijkt bij opnieuw aansluiten 88% van zijn data kwijt te zijn. Conclusie: Sommige modellen SSD gebruiken geheugenchips die hun inhoud kwijtgeraken als ze niet onder stroom staan.
Boosdoener: In geval 1 en 3 is het trim commando de schuldige
Voordeel van Trim: Deze "Feature" van de meeste SSD's maakt het geheugen leeg als de pc aangeeft dat deze ruimte niet meer in gebruik is. Hierdoor kan de SSD sneller nieuwe data stockeren.
Nadeel van Trim: Als u per ongeluk een map wist is er geen manier meer om de data terug te halen. Ook als dit gebeurt door een fout van het besturingssysteem zoals in geval 1.
Begrijp me niet verkeerd. SSD schijven zijn snel en een plezier om je pc of mac ermee uit te rusten, maar juist door die snelheid kunnen ze ook je data in een oogwenk wissen ! Waar een normale harddisk ongeveer een klein uurtje zou nodig hebben om 100 GB data te overschrijven heeft een SSD genoeg aan enkele milliseconden.
Mijn advies: Gebruik een SSD zuiver om je besturingssysteem op te zetten en gebruik een gewone harddisk om de data op te zetten.
Voor archivering: Gebruik nooit een SSD maar steeds een gewone harddisk.
Als laatste raadgeving: Maak steeds een kopie; geen enkele harddisk is 100% veilig.
vrijdag 5 februari 2016
Sommige SSD niet geschikt voor langdurige dataopslag
We krijgen regelmatig SSD schijven binnen die niet meer functioneren, met de vraag om de data te recoveren.
Soms zijn de SSD nog niet ondersteund door onze tools, en moeten we wachten op een update vooraleer we ze kunnen recoveren.
Recent hadden we zo een geval, met een SSD die hier al enkele maanden lag.
Uiteindelijk bleek het mogelijk om toegang te krijgen tot de data en die eraf te halen.
Bleek tot onze verbazing dat 80% van de data corrupt was.
Nader onderzoek door de ontwikkelaar van onze tools wees uit dat sommige SSD gebruik maken van TLC gebaseerde geheugenchips.
Deze geheugenchips slaan de data op als kleine ladingen. Met verloop van tijd lekken deze ladingen weg en blijft er niets meer van de data over.
Zeker bij deze TLC geheugenchips gaat dit vlug.
Stel dat u op verlof vertrekt en uw laptop thuis achterlaat, uitgeschakeld.
Bij terugkomst na twee weken schakelt u deze terug aan en u zult merken dat de snelheid nog slechts een vijfde is van de oorspronkelijke snelheid van de harddisk. Hoe dat komt ? Bij het inschakelen merkt de harddisk dat de data al een stuk corrupt geworden is, en corrigeert dit dmv de ECC codes.
Dit vergt overhead en vertraagt de snelheid aanzienlijk.
Na enige tijd zou alle code moeten gecorrigeerd zijn en de snelheid terug normaal worden.
Wil u echter deze SSD gebruiken als backupschijf die u slechts om de zoveel maanden uit de kast haalt, of u slaat er bvb een project op dat u pas veel later terug zal nodig hebben... SLECHT IDEE !
Na enkele maanden zal u zien dat uw data verdwenen of sterk corrupt is !
SSD schijven gebaseerd op andere soorten geheugenchips zijn hier minder gevoelig aan. Hier hebben we nog geen rapporten gekregen over eventueel verdwijnen van data, maar mijn raad is toch om voorzichtig te zijn. Gebruik deze schijven niet als archief schijf die u vervolgens in de kast legt om ze binnen enkele maanden/jaren terug te gebruiken.
Deze technologie is nog te jong om er 100% vertrouwen in te hebben. Als u ze gebruikt, neem steeds een goede backup op een gewone harddisk !
Soms zijn de SSD nog niet ondersteund door onze tools, en moeten we wachten op een update vooraleer we ze kunnen recoveren.
Recent hadden we zo een geval, met een SSD die hier al enkele maanden lag.
Uiteindelijk bleek het mogelijk om toegang te krijgen tot de data en die eraf te halen.
Bleek tot onze verbazing dat 80% van de data corrupt was.
Nader onderzoek door de ontwikkelaar van onze tools wees uit dat sommige SSD gebruik maken van TLC gebaseerde geheugenchips.
Deze geheugenchips slaan de data op als kleine ladingen. Met verloop van tijd lekken deze ladingen weg en blijft er niets meer van de data over.
Zeker bij deze TLC geheugenchips gaat dit vlug.
Stel dat u op verlof vertrekt en uw laptop thuis achterlaat, uitgeschakeld.
Bij terugkomst na twee weken schakelt u deze terug aan en u zult merken dat de snelheid nog slechts een vijfde is van de oorspronkelijke snelheid van de harddisk. Hoe dat komt ? Bij het inschakelen merkt de harddisk dat de data al een stuk corrupt geworden is, en corrigeert dit dmv de ECC codes.
Dit vergt overhead en vertraagt de snelheid aanzienlijk.
Na enige tijd zou alle code moeten gecorrigeerd zijn en de snelheid terug normaal worden.
Wil u echter deze SSD gebruiken als backupschijf die u slechts om de zoveel maanden uit de kast haalt, of u slaat er bvb een project op dat u pas veel later terug zal nodig hebben... SLECHT IDEE !
Na enkele maanden zal u zien dat uw data verdwenen of sterk corrupt is !
SSD schijven gebaseerd op andere soorten geheugenchips zijn hier minder gevoelig aan. Hier hebben we nog geen rapporten gekregen over eventueel verdwijnen van data, maar mijn raad is toch om voorzichtig te zijn. Gebruik deze schijven niet als archief schijf die u vervolgens in de kast legt om ze binnen enkele maanden/jaren terug te gebruiken.
Deze technologie is nog te jong om er 100% vertrouwen in te hebben. Als u ze gebruikt, neem steeds een goede backup op een gewone harddisk !
dinsdag 26 januari 2016
Wie zijn data uitsluitend in de cloud steekt is niet goed bezig
We horen meer en meer bedrijven die ervoor uitkomen dat hun data allemaal in de cloud zit.
Die mensen zouden beter eens een cursus Hacking Techniques and Exploits volgen zoals ik verleden week gedaan heb.
Je wordt een week ondergedompeld in alle mogelijk technieken die gebruikt worden door hackers.
Daar gaan je ogen open ! Als men ziet hoe eenvoudig het kan zijn om in andermans systeem binnen te dringen, denk je wel twee keer na om je data ergens in de cloud te zetten.
Het strafste was wel dat onze lesgever zei: "zeg niet dat je je data in de cloud zet, maar wel dat je hem op andermans computer zet". En ze hebben gelijk. De data in de cloud zit niet zomaar ergens maar wel op een fysieke computer in één of ander datacenter.
En dat datacenter heeft uiteindelijk het zeggenschap over die computer. Wie de kleine lettertjes leest zal zien dat het datacenter het recht heeft een computer van het net los koppelen indien hij gehackt is. En wat dan met het bedrijf dat zijn data er heeft op staan ?
De datacenters worden continu aangevallen via internet. Het is dan ook uiterst gemakkelijk. Het volstaat om een computer te hebben en een connectie met het internet. Dan kan men overal ter wereld computersystemen aanvallen. Onze lesgever maakt deel uit van een groepering die optreedt als er ergens een inbraak in één of ander computersysteem vastgesteld wordt; zij gaan dan ter plekke om de hacker op te sporen en uit het systeem te werken. Dit kan soms heel eenvoudig gaan, maar soms ook meerdere weken in beslag nemen, afhankelijk van hoe sterk de andere partij is.
Soms hebben ze de ene buitengewerkt om s'anderendaags een andere te zien binnendringen.
Ik heb tijdens die lessen mensen ontmoet van allerlei bedrijven, gaande van vliegtuigconstructeurs tot fabrikanten van huishoudapparatuur die zich hiertegen willen wapenen.
Zeker met het internet of things dat eraankomt is een goede beveiliging heel belangrijk.
In ieder geval ga ik tweemaal nadenken vooraleer ik mij op reis ergens aan één of ander (wifi-)netwerk koppel.
Marc
Die mensen zouden beter eens een cursus Hacking Techniques and Exploits volgen zoals ik verleden week gedaan heb.
Je wordt een week ondergedompeld in alle mogelijk technieken die gebruikt worden door hackers.
Daar gaan je ogen open ! Als men ziet hoe eenvoudig het kan zijn om in andermans systeem binnen te dringen, denk je wel twee keer na om je data ergens in de cloud te zetten.
Het strafste was wel dat onze lesgever zei: "zeg niet dat je je data in de cloud zet, maar wel dat je hem op andermans computer zet". En ze hebben gelijk. De data in de cloud zit niet zomaar ergens maar wel op een fysieke computer in één of ander datacenter.
En dat datacenter heeft uiteindelijk het zeggenschap over die computer. Wie de kleine lettertjes leest zal zien dat het datacenter het recht heeft een computer van het net los koppelen indien hij gehackt is. En wat dan met het bedrijf dat zijn data er heeft op staan ?
De datacenters worden continu aangevallen via internet. Het is dan ook uiterst gemakkelijk. Het volstaat om een computer te hebben en een connectie met het internet. Dan kan men overal ter wereld computersystemen aanvallen. Onze lesgever maakt deel uit van een groepering die optreedt als er ergens een inbraak in één of ander computersysteem vastgesteld wordt; zij gaan dan ter plekke om de hacker op te sporen en uit het systeem te werken. Dit kan soms heel eenvoudig gaan, maar soms ook meerdere weken in beslag nemen, afhankelijk van hoe sterk de andere partij is.
Soms hebben ze de ene buitengewerkt om s'anderendaags een andere te zien binnendringen.
Ik heb tijdens die lessen mensen ontmoet van allerlei bedrijven, gaande van vliegtuigconstructeurs tot fabrikanten van huishoudapparatuur die zich hiertegen willen wapenen.
Zeker met het internet of things dat eraankomt is een goede beveiliging heel belangrijk.
In ieder geval ga ik tweemaal nadenken vooraleer ik mij op reis ergens aan één of ander (wifi-)netwerk koppel.
Marc
Abonneren op:
Reacties (Atom)