Category: Opisy przypadków

Oględziny

Inspekcja wizualna wykazała, że dyski zainstalowane w komputerach stacjonarnych mają większe uszkodzenia, niż dyski zainstalowane w laptopach. Komputery stacjonarne, a szczególnie te przeznaczone do prac graficznych zawierają zazwyczaj wiele elementów, które, aby działać prawidłowo, wymagają intensywnego chłodzenia – procesory i karty graficzne generują sporo ciepła. Aktywnego chłodzenia wymagają również niektóre modele dysków twardych, ponieważ temperatura wewnątrz HDD może osiągnąć nawet 60 C, co zwiększa ryzyko przedwczesnej degradacji warstw magnetycznych. Dlatego każda obudowa PC jest zaprojektowana tak, aby zapewnić jak najlepszą cyrkulację powietrza. Ponieważ niektóre komputery działały aż do chwili wyłączenia prądu przez strażaków, gorące powietrze mogło dostać się wewnątrz obudów powodując przegrzanie się i w konsekwencji uszkodzenie ich elementów wewnętrznych.

Dyski z laptopów były w znacznie lepszym stanie. Kompaktowe 2,5-calowe dyski instalowane w laptopach mają znacznie niższą temperaturę pracy w porównaniu do 3,5-calowych dysków przeznaczonych do komputerów stacjonarnych. Nie wymagają więc intensywnego chłodzenia. Wszystkie badane laptopy pozostawiono z zamkniętymi pokrywami górnymi (zwykle dyski znajdują się w dolnej części obudowy laptopów). Podczas akcji gaszenia pożaru dyski były dodatkowo chronione przez metalowe ramy laptopów, klawiatury i ekrany.

Plastikowe obudowy dysków zewnętrznych zostały nadpalone i miały na sobie ślady po środkach przeciwpożarowych. Wewnątrz obudów nie było widocznych uszkodzeń, co oznaczało, że dyski nie były narażone na oddziaływanie wysokich temperatur.

Temperatura

Niestety nie mieliśmy żadnych informacji o tym, jakiej temperatury doświadczyły badane nośniki. Odpowiedź na to pytanie byłaby jednak korzystna z pozycji ustalenia wytrzymałości termicznej poszczególnych modeli dysków. W przybliżeniu dało się oszacować temperaturę, która oddziaływała na dyski, na poziomie 120-300 °C. O tym, że temperatura maksymalna nie przekraczała 300 °C świadczyło to, że elementy na płytkach drukowanych sterowników dyskowych oraz dysków SSD nie przesunęły się, czego można byłoby się spodziewać w przypadku, kiedy temperatura oddziaływająca na te elementy przekracza 300 °C. Na podstawie stanu etykiet na dyskach ustaliliśmy dolną granicę tej temperatury. Każda etykieta dysku HDD czy SSD jest wykonana z winylu a tekst na niej jest nanoszony przy pomocy drukarki laserowej. Podobnie jak w każdej innej drukarce tego rodzaju, najpierw nanoszona jest cienka warstwa tonera. Następnie, wysoka temperatura w połączeniu z naciskiem powodują, że toner się topi i łączy się z podłożem. Badania pokazują, że temperatura fiksacji tonera w różnych modelach drukarek wynosi od 124 do 210 °C. Ponowne wystawienie nadruku na oddziaływanie wysokiej temperatury może spowodować odwarstwienie się tonera, co zaobserwowaliśmy na etykietach uszkodzonych dysków.

Zauważyliśmy również, że toner można usunąć z etykiety przy pomocą stacji lutowniczej Hot Air oraz waciku nasyconego IPA.

Pożar a dyski SSD

Teoretycznie układy pamięci w dyskach SSD są bardziej odporne na wibracje i uderzenia w porównaniu do dysków twardych. Niemniej jednak i one mogą ulec uszkodzeniu, jeśli mamy do czynienia z ekstremalnie wysoką temperaturą. 

W odniesieniu do dysków SSD, badacze podkreślają wpływ wysokich temperatur na skuteczność procedury „chip-off” polegającej na wylutowywaniu chipów pamięci NAND z płytki drukowanej (PCB) i ich bezpośrednim odczytaniu przy pomocy specjalnych adapterów. Do wylutowywania układów pamięci używa się stacji lutowniczej Hot Air. Temperatura topienia lutu wynosi co najmniej 200 °C, ale zwykle zbliża się do 300 °C. Ustalono jednak, że zaaplikowanie nawet najniższej możliwej temperatury zwiększa ilość błędów bitowych co prowadzi do uszkodzenia zapisanych danych.

Z drugiej strony dyski SSD są mniej podatne na uszkodzenia fizyczne. Dane przechowywane na dysku SSD są dobrze chronione przez wewnętrzną konstrukcję dysku, a mianowicie przez brak ruchomych części oraz sztywną obudowę scalaków pamięci.

Niemniej jednak, podobnie jak i w przypadku HDD, tu również woda może dostać się do wnętrza obudowy i uszkodzić elektronikę.

Pożar a dyski HDD

Wcześniej pisaliśmy o tym, jaki wpływ mają wysoka temperatura i wilgoć na talerzy magnetyczne w dyskach HDD. Po pierwsze, w przypadku dysków twardych intensywne ciepło może rozmagnesować cząsteczki ferromagnetyczne. W połączeniu z wilgocią temperatura może powodować korozję warstwy magnetycznej talerza zawierającej dane służbowe i użytkownika, co wymaga jednak czasu. Po drugie, podczas pożaru HDD może być narażony na silne wibracje, uderzenia czy upadki. Działający dysk twardy jest dość delikatny, ponieważ jego głowice pracują bardzo blisko obracających się z dużą prędkością talerzy magnetycznych. Zetkniecie się głowicy z powierzchnią talerza może powodować powstawanie zadrapań i uszkodzenie obu elementów. Po trzecie, środki gaśnicze również mogą uszkodzić dysk twardy. Z reguły nie jest on wodoodporny (wyjątek stanowią hermetyczne dyski twarde wypełnione helem), a jego delikatne elementy nie mówiąc o obwodach elektrycznych są pod tym względem podatne na uszkodzenie.

Woda a PCB

W przypadku uszkodzonych przez wodę płytek drukowanych (PCB) udowodniono, że im więcej czasu mija, tym większe są problemy.

Na szczęście właściciele dysków zareagowali szybko – dyski zostały przekazane do laboratorium w ciągu kilka godzin po odzyskaniu.

Warto zauważyć, że pomimo tego, że płytki PCB zostały oczyszczone, korozja dalej postępowała. Kilka dni po odzyskaniu danych ponownie zbadaliśmy uszkodzone dyski i okazało się, że część nie uruchomia się z powodu skorodowanych styków między płytkami drukowanymi a wewnętrznymi komponentami dysku, czy też skorodowanego konektora interfejsu.

To oznacza, że alkohol izopropylowy nie nadaje się do trwałego zatrzymania korozji. Prawdopodobnie odpowiednim rozwiązaniem w przypadku uszkodzonych przez wodę PCB jest zastosowanie procedury lutowania rozpływowego (ang. reflow soldering), czyli obróbka utlenionych styków topnikiem i podgrzanie PCB w specjalnym piecu.

Odzyskiwanie danych

W przypadku kilku dysków twardych nie można było usunąć roztopionego plastiku z powierzchni płytek drukowanych. Zastąpiono je więc płytkami PCB tego samego modelu. Układy ROM przeniesiono z uszkodzonych PCB na nowe. Trzeba powiedzieć, że ze względu na stosunkowo niskie temperatury jakie doświadczyły dyski twarde, układy ROM były w dobrym stanie i można było skutecznie zainicjować dyski.

Elementy elektroniczne dysków po wymontowaniu zostały oczyszczone przy użyciu 99,9% alkoholu izopropylowego. Najpierw płytki drukowane (PCB) dysków twardych i dysków SSD zostały całkowicie zanurzone w IPA, a następnie dokładnie w nim przepłukane, aby usunąć ewentualne zanieczyszczenia. Po wyschnięciu płytki drukowane zostały sprawdzone wizualnie pod kątem ewentualnych oznak zwarcia. Wszystkie dyski twarde ze śladami wody na obudowach zostały otwarte w komorze laminarnej i sprawdzone pod kątem obecności plam pozostawionych przez wodę w otworach wentylacyjnych i obok nich. Dopiero wtedy napędy zostały podłączone do zasilania i zainicjowane. W trakcie zwracano uwagę na wszelkie postronne dźwięki, takie jak klikanie głowic czy zgrzyty oraz intensywne wibracje. Pierwszym krokiem po udanej inicjalizacji napędów było kopiowanie oprogramowania dysków z pamięci ROM i talerzy magnetycznych (z tzw. Strefy Serwisowej). Jednocześnie sprawdzano czy oprogramowanie nie zawiera błędów.

Następnie sprawdzano S.M.A.R.T. nośników pod kątem występowania BAD sektorów oraz sprawdzano zużycie napędu (liczba godzin pracy HDD oraz znaczenie TBW w przypadku dysków SSD). Dopiero potem wykonywano odzyskiwanie danych.

Biorąc pod uwagę fakt, że w trakcie kontroli wizualnej i oczyszczania mogliśmy nie zauważyć pewnych problemów, zrezygnowaliśmy z wykonania kopii po-sektorowych nośników, czyli zabezpieczenia całego obszaru z danymi użytkownika. Zabezpieczono więc tylko potrzebne Klientowi katalogi.

Na szczęście tylko jeden dysk twardy 3,5 cala – 2 TB firmy Seagate – wykazywał oznaki uszkodzenia termicznego. Ten model jest wyposażony w dwa talerze i cztery głowice do odczytu i zapisu. Górna powierzchnia górnego talerza osiągała prędkość odczytu tylko około 1 MB/s, podczas gdy reszta dysku pozwalała na odczyt z prędkością 30 MB/s. To świadczyło o tym, że kontroler dysku zmaga się z wieloma błędami na górnej powierzchni próbując odczytać zapisane na niej dane.

Niektóre dyski posiadały zwiększoną liczbę realokowanych sektorów. Jednak powodem było przepełnienie list realokacji uszkodzonych sektorów (parametr Reallocated Sectors Count w S.M.A.R.T. dysku) na skutek zaniedbania ze strony użytkowników i intensywnego użytkowanie tych dysków. Powodem nie były natomiast czynniki związane z pożarem i operacją gaszenia.

W opisanym przypadku mieliśmy to szczęcie, że temperatury oddziaływujące na dyski nie przekroczyły znaczeń krytycznych. Pewna rolę odegrało też to, że właścicieli dysków niezwłocznie skontaktowali się z nami i przywieźli dyski do laboratorium. Dzięki temu mogliśmy rozpocząć odzyskiwanie danych przed tym, jak elementy dysków zostały uszkodzone przez korozję.