WELKOM!

Tape recovery

Afgelopen maand hebben wij een case gehad waarbij data van een oude backup nodig was. Het ging om een rechtszaak tussen twee bedrijven waarbij er sprake was van datalekkage en bedrijfsspionage. Dit is altijd lastig om aan te tonen, omdat het vaak gaat over langere periodes waarin de data wordt gelekt. Samenhang van deze informatie is moeilijk te detecteren op het moment zelf. Terug naar de case bij Attingo:

De backup werd nu op disks gemaakt, maar de periode waarvan de data nodig was, stond nog op tapes. Toen tijdens de rechtszaak om bewijs werd gevraagd, werd pijnlijk duidelijk dat de tapeunit de tapes niet meer kon lezen en dat de oplossing waarmee de backup was gemaakt niet meer functioneerde. Om dan de rechtszaak te laten voor wat het is, kost meer dan het laten herstellen door een professioneel bedrijf. Wat wij kunnen betekenen in een dergelijke situatie is het volgende:

Wij lezen tapes uit en maken uit de tapes op wat we kunnen herstellen. Dit is niet slechts een schatting, we doen de daadwerkelijke restore vanuit de tape al en kijken naar de integriteit van de data, de bruikbaarheid. Als dit inhoudt dat we 10 tapes moeten herstellen, dan herstellen we 10 tapes. Als het namelijk gaat over een aaneenschakeling van gebeurtenissen, dan is dit meestal niet in één tape te vinden. Vaak is het bewijs via e-mail, aanpassing van data, uitlezen van eventlogs die in de Systemstate backup staan. Vooral de email en systemstate zijn uitdagingen. Dit is namelijk in het geval van een mailserver, vrijwel de gehele mailserver. Als wij dan tien tapes dienen te herstellen, dan hebben we het over tien bijna kant-en-klaar startende machines die hersteld en vergeleken dienen te worden.

Het daadwerkelijke forensisch onderzoek werd in dit geval niet aan Attingo over gelaten. Attingo diende alleen de filedata van de tien tapes te herstellen en in chronologisch goed te lezen mappen aan te leveren. Daarnaast werd gevraagd om export van een aantal specifieke email-accounts los aan te leveren. Dit bleek in de zaak voldoende te zijn om aan te hoeven leveren.

Er zijn echter ook cases bekend waarbij wij wel werden gevraagd om de tien volledige systemen te herstellen, waarbij tijdens het forensisch onderzoek door ons en derden werd gekeken naar de metadata van de files en mails, de digitale sporen die zijn nagelaten bij het openen of wijzigen van bestanden. Dan kijken wij naar de datums van aanmaak, wijziging, accounts die gebruikt zijn en wat er daadwerkelijk veranderd is. Dan heb je op zo een dergelijk moment wel de tien machines nodig, om te kunnen vergelijken.

Mocht u nu niet een dergelijk onderzoek hebben, maar wel de data van uw (oude) backup media willen inzien, dan kunt u vrijblijvend een gesprek aangaan met ons om de opties te bespreken. Denk hierbij aan data vanuit een vorig systeem (bijvoorbeeld voor een migratie), tapes van een vorige tapeunit, backups vanuit een oplossing die niet meer in gebruik is. Wij kunnen u met vrijwel elke oplossing helpen in herstel van (oude) backups op tape en/of disk. Deze vorm van herstel heet data-conversie of medium-conversie en komt in de praktijk vaker voor dan men denkt.

Bron: https://www.attingodatarecovery.nl/

FaLang translation system by Faboba