2200029

Neues Verfahren zur Datenrettung von beschädigten Speicherchips

02.06.2016 | 15:42 Uhr |

Röntgentechnik, Lasertechnik und Ultraschall machen es möglich: Der innere Kern eines gebrochenen Firmware-Chips konnte erfolgreich „transplantiert“, die Daten danach ausgelesen werden. Und das ist nur eine von vielen neuen theoretischen Möglichkeiten, die eine neue Technologie bieten soll. Aus Sicht der Datenrettung ist das, was vorgestellt wird, mit einer Marslandung vergleichbar.

Im Rahmen eines deutsch-ungarischen Forschungszusammenschlusses, unter Beteiligung der Kuert Datenrettung Deutschland, der Universität Budapest / EFI Labs sowie Chip- und Forensik-Spezialisten der ungarischen Kürt-Gruppe, wurde ein neues Verfahren entwickelt.

Mit einem komplett neuen Ansatz und einer komplett atypischen Technologie, die sämtliche gängigen Rettungsstandards sprengt - verwendet werden Röntgen, Laser, Ultraschall – bieten sich in der Datenrettung jetzt unglaublich vielfältige theoretische Möglichkeiten.

Bis dato ist uns bei Kuert weltweit kein Rettungsunternehmen bekannt, das jemals etwas Ähnliches oder derart Aufwändiges umgesetzt hat, weder in den USA noch in Asien oder Europa.

In der folgenden Fallstudie erkläre ich dieses Verfahren anhand eines beschädigten Firmware-Controllers einer WD-Festplatte. Es eignet sich aber für fast alle Arten von Speichertechnologien oder chipbasierter Hardware-Verschlüsselung, die physikalisch ausgefallen ist.

Ganz oberflächlich betrachtet, besteht jede Speichertechnologie aus zwei elementaren Ebenen:

1. Controller (regelt und steuert die Datenorganisation)

2. Speicherebene (beispielsweise NAND-Flash bei SSDs, die nicht mehr beinhaltet als Nullen und Einsen).

Wenn Sie den Flash-Speicher einer SSD auslesen, dann sind die Daten durch den Controller immer verschlüsselt. Der Algorithmus, um die Daten entschlüsseln zu können, steckt im Controller. Ist der Controller defekt (etwa durch einen Überspannungsschaden), dann hat der Datenretter ein Problem, denn er kann die Daten zwar lesen, sie jedoch nicht deuten.

Dadurch, dass die eingesetzten internen Verschlüsselungsalgorithmen immer komplexer werden, ist für die gängige Datenrettungstechnologie (die aufgrund von Entwicklungszeit immer zirka ein- bis eineinhalb Jahre hinter aktueller SSD-Controller-Technologie hinterherhinkt) an diesem Punkt meistens Schluss, sprich: Sind die Algorithmen nicht bekannt, gibt es auch keine Rettungsmöglichkeit.

Unser Ansatz ist zwar aufwändiger, setzt jedoch lediglich voraus, dass der Chip-DIE im Inneren des Controllers intakt ist. Der Rest darf ruhig beschädigt, verkohlt, gebrochen oder gerissen sein. Diesen Chip-Kern nehmen wir physikalisch heraus und setzen ihn in einen funktionierenden baugleichen Controller-IC, den wir vorher “entkernt” haben und kommen dann auch an die Algorithmen, um die ausgelesenen Daten im Speicher deuten zu können.

Zudem haben wir einen vielversprechenden Rettungsansatz für die Controller-Technologie, die bislang als unrettbar galt, beispielsweise Sandforce-Controller, bei denen jeder controllerseitig generierte Algorithmus einzigartig ist und über eine Zweikanal-Hardware-Verschlüsselung verfügt (AES 128 und 256).

Theoretisch eignet sich unser Ansatz auch für komplexe Controller-Technologien in Rechenzentren (Cloud etc.). Auch hier finden sich Szenarien, in denen ein RAID-Controller ausfallen kann und nicht so ohne weiteres - ohne einen Datenverlust in Kauf nehmen zu müssen - ersetzt werden kann. Oder für jegliche Art von beschädigten Firmware-Chips konventioneller Platten, bei denen konventionelle Rettungsmethoden versagen, wie wir es in der Fallstudie darstellen. Auch ließe sich jede Art von ausgefallener Hardwareverschlüsselung auf diese Art und Weise wieder rekonstruieren.

Wir sind jetzt gerade so weit, dass wir nachgewiesen haben, dass dieser Ansatz bei konventioneller Festplattentechnologie tatsächlich funktioniert. Jetzt sammeln wir erst einmal Anwendungsszenarien und Erfahrungswerte, wie und wann wir dieses Verfahren effektiv einsetzen können.

Datenrettung: Herkömmliche Methoden vorgestellt

Fallstudie zur Datenrettung von einer Western-Digital-Festplatte

Wir erhielten eine Western Digital 2,5-Zoll-Festplatte WD10TMVW-11ZSMS4 zur Datenrekonstruktion. Der Firmware-Chip auf der Platine der Festplatte wies eine Beschädigung an der linken unteren Ecke des Chips auf.

Beschädigter Firmware-Chip
Vergrößern Beschädigter Firmware-Chip
© Kuert Datenrettung Deutschland GmbH

Aufgrund der Tatsache, dass mehrere renommierte Datenrettungsunternehmen die Daten vorher nicht retten konnten, entschlossen wir uns zur Entwicklung eines komplett neuen Verfahrensansatzes bei physikalisch beschädigten Firmware-Chips.

Zunächst wurde der vorliegende beschädigte Firmware-Chip untersucht. Dabei wurde festgestellt, dass der Chip zuvor zu stark erhitzt worden ist, wodurch sich das Kunststoffgehäuse des Chips zu wölben bzw. zu delaminieren begann.

Semi-professionelle Rettungsunternehmen bevorzugen bei der Entfernung von Chips in der Regel die Erhitzung mittels kostengünstiger Infrarot-Technologie, um den Chip von der Platine (PCB) zu lösen.

Der Nachteil dieser Technologie ist, dass man die Temperatur, die auf das Material einwirkt, nicht messen und somit auch nicht exakt regulieren kann. Die gebrochene linke Ecke des Chips resultiert somit wahrscheinlich aus einem vorausgegangenen gescheiterten Versuch, den Chip mittels Hitzeeinwirkung und Hebelwirkung von der Platine zu lösen. Durch die gebrochene linke Ecke des Chips wurde auch ein interner Anschluss-Pin beschädigt.

Röntgenbild des gebrochenen Chips
Vergrößern Röntgenbild des gebrochenen Chips
© Kuert Datenrettung Deutschland GmbH

Im Röntgenbild des gebrochenen Chips ist deutlich zu erkennen, dass der interne Anschluss-Pin an der linken unteren Ecke des Chips fehlt und die interne Verdrahtung an dieser Stelle unterbrochen ist. In der Mitte des Chips befinden sich der sogenannte Kern (DIE) des Chips sowie die Verbindungsdrähte zu den Kontakten des Chips.

Weitergehende Untersuchungen stützten die These, dass eine Überhitzung des Chips, im Rahmen eines unsachgemäß ausgeführten Datenrettungsversuchs, verantwortlich ist. Diese äußert sich durch eine Delaminierung und einen Bruch der internen Anschlussverdrahtung zum Chip-Kern.

Oberhalb der internen Anschlusskontakte des Chip-Kerns sind Brüche an der Verkabelung zu erkennen
Vergrößern Oberhalb der internen Anschlusskontakte des Chip-Kerns sind Brüche an der Verkabelung zu erkennen
© Kuert Datenrettung Deutschland GmbH

Das Röntgenbild zeigt, dass sich der Chip aufgrund zu starker Erhitzung vom Plastikgehäuse gelöst hat. Oberhalb der internen Anschlusskontakte des Chip-Kerns sind Brüche an der Verkabelung zu erkennen.

Während der Untersuchung des Chips mittels hochauflösender Röntgenbilder wurde offensichtlich, dass nicht nur die abgebrochene Ecke und die Delaminierung des Chips den Zugriff auf die Datenebene verhindern, sondern zudem die Verdrahtungen am Chip-Kern selbst an vier Stellen beschädigt waren.

Verdrahtungen am Chip-Kern selbst sind an vier Stellen beschädigt
Vergrößern Verdrahtungen am Chip-Kern selbst sind an vier Stellen beschädigt
© Kuert Datenrettung Deutschland GmbH

Der Durchmesser der internen Goldverdrahtung von den äußeren Kontakten bis hin zu den Kontakten des Chip-Kerns beträgt 20 Mikrometer, was ungefähr 30 Prozent des Durchmessers eines menschlichen Haars entspricht.

Ein identischer IC wurde zu Testzwecken geöffnet
Vergrößern Ein identischer IC wurde zu Testzwecken geöffnet
© Kuert Datenrettung Deutschland GmbH
Draht und Pad-Größen auf dem Chip
Vergrößern Draht und Pad-Größen auf dem Chip
© Kuert Datenrettung Deutschland GmbH

Innerhalb des Chip-Kerns sind links und rechts die Anschluss-Konnektoren für die Verdrahtung ersichtlich. Diese wurden mittels Ultraschall mit den Anschlüssen des Chip-Kerns verschweißt.

Im Rahmen des Datenrettungsprozesses verwenden wir ein identisches IC und „entkernen“ dieses, um im Anschluss den Chip-Kern des defekten Original-ICs in das Ersatz-IC zu „transplantieren“. Anschließend wird die interne Verdrahtung mittels Ultraschall neu verschweißt. Danach kann man den Inhalt des vormals defekten Firmware-Chips auslesen. Mit Hilfe der Firmware-Daten ist dann ein Zugriff auf die Dateninhalte der ausgefallenen Festplatte wieder möglich.

Die im Rahmen der deutsch-ungarischen Zusammenarbeit gewonnenen Erkenntnisse sind nicht nur auf Firmware-ICs beschränkt, sondern lassen sich auf nahezu alle Arten von Chip-Beschädigungen an Speichermedien und Controllern anwenden.

0 Kommentare zu diesem Artikel
2200029