Hacettepe Teknokent Veri Kurtarma Laboratuvarımızdan: HDD Plaka Mikroskobu Altında Neler Görüyoruz?

Veri kurtarma sektöründe en sık duyduğumuz cümle şu: "Disk açılmıyor, herhalde içindeki her şey gitti." Oysa biz Hacettepe Teknokent'teki laboratuvarımızda her gün, başkalarının "bitmiş" dediği disklerin plakalarını mikroskop altına koyuyoruz ve içeriden gerçekte neler olduğunu görüyoruz. Bu yazı bir tanıtım değil. Bu yazı, kapımızı aralayıp size laboratuvarımızın içini, kullandığımız ekipmanı, gördüğümüz fiziksel hasarları ve nasıl çalıştığımızı dürüstçe anlatma denemesi.

20 yılı aşkın süredir bu işi yapıyoruz. Bugüne kadar 20.000 TB'ın üzerinde veri kurtardık ve laboratuvar başarı oranımız yüzde 99.4. Bu rakamlar reklam panosu için değil, arkasındaki süreci anlatmak için var. Size mikroskop görüntülerimizi, temiz odamızı, donor parça raflarımızı ve PC-3000 iş istasyonlarımızı göstereceğiz. Çünkü inanıyoruz ki, veri kurtarma sektöründe şeffaflık eksik. Şeffaflık eksik olunca da herkes kendi başına bir efsane uydurmaya başlıyor.

Hacettepe Teknokent laboratuvarımızın dış görünümü

Bölüm 1: Temiz Odamızdan İçerisi, Toza Dair Her Şey

Mekanik bir HDD'nin plakası ile okuma kafası arasındaki mesafe yaklaşık 3 nanometre düzeyindedir. Bir saç telinin çapı 80.000 nanometre civarındadır. Yani, kafanın plaka üstünde uçtuğu hava yastığı bir saç telinin yaklaşık 25 binde biri kadardır. Bu durum şu anlama gelir: ortamda gezinen tek bir toz partikülü bile, plakanın üzerine yapışıp tüm yüzeyi tarayan bir bıçak gibi davranabilir.

Bu yüzden HDD açma işlemini sıradan bir masa üstünde yapmak veri kurtarma açısından felakettir. Biz Hacettepe Teknokent'teki laboratuvarımızda bu işi laminer hava akışlı temiz oda istasyonlarımızda yapıyoruz. Hedeflediğimiz partikül yoğunluğu, uluslararası standart olan ISO 14644-1 Sınıf 100 (Cleanroom Class 100) muadilidir. ISO 14644-1 standardının resmi tanımına ISO'nun kendi sitesinden ulaşılabilir. Bu sınıflandırma, metreküp havada 0.5 mikron ve üzeri partikül sayısının belirli bir eşiğin altında tutulmasını şart koşar.

ISO 14644-1 Sınıf 100 muadili laminer akış istasyonumuz

Bu standart neden bu kadar önemli? Çünkü pek çok "veri kurtarma" iddiası olan yerde diskler basit masaüstü ortamlarda, hatta bazen pencerenin yanında, klima üflemesinin altında açılıyor. Biz laboratuvara giren diski önce statik elektrik boşaltma istasyonumuzdan geçiriyoruz. Sonra teknisyenimiz topraklanmış bileklik takıyor, eldiven giyiyor, kafa hizasında maske kullanıyor. Diskin kapağı sadece laminer akış altında sökülüyor. Bu, gözden kaçırılması mümkün bir detay değil, kurtarma şansını yarıya indirebilen bir karardır.

Hacettepe Teknokent kampüsü içinde olmamız bize bir avantaj daha sağlıyor: zemin titreşim seviyesi. Sanayi sitelerinde, ana yol kenarlarında veya yer altı geçişlerine yakın binalarda mikroskop ve mekanik onarım hassasiyeti zorlaşır. Üniversite kampüsünde bu fiziksel arka plan gürültüsü çok daha düşük. Detaylı laboratuvar konumu ve süreç açıklaması için Ankara veri kurtarma hizmetimiz sayfasını da inceleyebilirsiniz.

Temiz oda standartlarının önemini bir örnekle açıklayalım. Bize bir keresinde başka bir yerden geçmiş, oradan vazgeçilmiş bir 4 TB Western Digital disk geldi. Diski mikroskop altına aldığımızda plakada çok sayıda mikro çizik gördük. Bu çizikler aşamalı olarak yapılmıştı, yani disk birden fazla kez normal ortamda açılmıştı. Her açılışta plaka üstüne yeni partiküller konmuş, sonra disk yeniden kapanıp çalıştırılınca o partiküller kafa tarafından plakaya bastırılıp sürüklenmişti. Sonuç olarak veri kurtarmanın ilk denemesi başarı şansını yarı yarıya düşürdü. Bu yüzden müşterilerimize "diskiniz açılmıyorsa kimse açmasın, sadece doğru laboratuvarda doğru ortamda açılsın" diyoruz.

Temiz oda altyapısının başka bir bileşeni hava değişim sayısıdır. Sınıf 100 muadili bir oda için saatlik hava değişiminin 240 ile 480 arasında olması beklenir. Bu, odanın havasının her saatte yaklaşık dört yüz kez filtrelenmesi anlamına gelir. Filtrelerimiz HEPA H14 sınıfıdır ve 0.3 mikron partiküller için yüzde 99.995 üzeri tutma kapasitesine sahiptir. Filtrelerin periyodik kontrolleri ve değişimleri kayıt altında tutulur.

Bölüm 2: PC-3000 Express, Sektörün Ortak Dili

Veri kurtarma sektöründe "PC-3000" denildiğinde herkes aynı şeyden bahsediyor. Bu, Rusya menşeili ACE Laboratory firmasının ürettiği, dünyada profesyonel veri kurtarma şirketlerinin neredeyse tamamının kullandığı bir donanım ve yazılım platformudur. Resmi ürün ailesi ve teknik dokümanları üreticinin sitesinde belgelidir: acelaboratory.com.

PC-3000 Express bizim için sadece bir kart değil, diskin firmware seviyesine kadar inebildiğimiz bir cerrahi alet seti. Normal bir bilgisayarın görmediği "service area" yani diskin servis alanına ulaşabiliyoruz. Adaptive, translator, SMART logları, defect listeleri, head map bilgisi gibi parametrelere doğrudan müdahale edebiliyoruz. Bunlar Windows'un bilmediği, kullanıcının dosya yöneticisinin asla göstermediği iç katmanlardır.

PC-3000 Express iş istasyonu çalışırken

Mesela bir disk açılıyor ama BIOS'ta tanımıyor. Çoğu yerde "anakart bozuk, PCB değiştirelim" deniyor. PC-3000 üzerinde diske bağlandığımızda görüyoruz ki aslında firmware'in translator modülü bozulmuş. PCB sağlam, motor sağlam, kafalar sağlam. Sadece diskin kendi içindeki adres çevirici tablosu sapıtmış. PC-3000 ile bunu yeniden inşa edip diski tekrar erişilebilir hale getirebiliyoruz. Bu işlem masa üstü bir tornavida ve termal macunla yapılamaz.

PC-3000 ile yaptığımız işlerin bir kısmını veri kurtarma rehberimizde süreç bazında açıklıyoruz. Özellikle "disk SMART hatası veriyor ama kapısı açılıyor" senaryolarında, firmware tarafında çözüm imkanları kullanıcıların düşündüğünden çok daha geniştir.

Bir noktanın altını çizmek istiyoruz: PC-3000'i lisanslı satın almak ve eğitimini almak ciddi bir yatırımdır. ACE Lab her aboneye yıllık güncellemeler, yeni nesil disk aileleri için modüller ve forum erişimi sağlar. Bu yüzden PC-3000 sahibi olduğunu söyleyen yerden mutlaka sürüm bilgisini sormak hakkınızdır. Eski, güncellenmemiş bir PC-3000, yeni nesil bir Seagate veya Western Digital diski tanımayacaktır.

PC-3000 üzerinde sıkça karşılaştığımız bir senaryo "SA okuma hatası" durumudur. SA, yani service area, diskin kendi içinde tuttuğu firmware modüllerinin yaşadığı özel bölgedir. Kullanıcı bu alanı asla göremez. SA bozulduğunda disk normal sektörlere bile erişemez, çünkü hangi sektörün nerede olduğunu bilmek için bu modüllere ihtiyaç duyar. PC-3000 üzerinde SA modülleri tek tek listelenip yedeklenir, bozuk modüller donor disk modülleriyle değiştirilir. Bu işlemler firmware aile kütüphanesi gerektirir ve her aile kendine özgüdür. Bizim arşivimizde yıllar içinde biriktirdiğimiz firmware modül kütüphanesi de PC-3000 yatırımımızın bir parçasıdır.

Bir diğer pratik nokta: PC-3000 üzerinden yaptığımız "head map editing" yani kafa haritası düzenleme işlemi. Eğer bir HDD'nin 8 kafasından 2 tanesi bozulmuşsa, biz PC-3000 üzerinden o iki kafayı geçici olarak devre dışı bırakıp sadece sağlam 6 kafayla diski imajlıyoruz. Bu sayede sağlam kafaların okuduğu veri güvenli kopyaya geçiyor, sonra ayrı bir aşamada bozuk kafaları donor head stack ile değiştirip kalan veriyi de çekiyoruz. Bu iki aşamalı yaklaşım, "tek seferde her şeyi düzelteyim" yaklaşımının aksine başarı oranını ciddi ölçüde yukarı çekiyor.

Bölüm 3: DeepSpar Disk Imager, Sektör Madalyonun Diğer Yüzü

PC-3000 firmware tarafında ne kadar güçlüyse, DeepSpar Disk Imager (DDI) "okunamayan disklerden veri çekme" tarafında o kadar uzmanlaşmış bir cihazdır. Üretici Kanada merkezli DeepSpar firmasıdır, resmi ürün dokümanlarına deepspar.com üzerinden ulaşılabilir.

DDI'ın ayrıcalığı şudur: normal bir bilgisayar diskten okuma yapamadığında defalarca aynı sektöre takılıp diski iyice yorar. Disk zaten can çekişiyorsa, bu yorma onu tamamen öldürebilir. DeepSpar Disk Imager ise hangi sektörün okunabildiğini, hangisinin direnç gösterdiğini hassas biçimde takip eder. Önce kolay okunan alanlardan başlar, sonra dirençli bloklara geri döner. Diski "öldürmeden veri çekme" stratejisinin teknik adı budur.

DeepSpar Disk Imager portatif ünitemiz

DDI ile yaptığımız tipik bir senaryo şudur: bir Samsung SSD'si veya geleneksel HDD geliyor, içinde okunamayan bad sektörler var. Müşteri yedek almamış, üzerine yenisi yazılmamış. Biz DDI ile bu diski "sektör sektör imajlıyoruz". Yani diski okumak değil, diskin kopyasını fiziksel olarak başka bir donör diske aktarmak amacımız. Sonraki tüm kurtarma denemeleri orijinal disk üzerinde değil, bu güvenli imaj üzerinde yapılır.

Samsung SSD'lerin kendine has davranışları için ayrıca Samsung SSD veri kurtarma rehberimize bakabilirsiniz. SSD'lerde TRIM komutu, wear leveling ve garbage collection süreçleri HDD'lerden çok farklı davrandığı için DDI ve PC-3000 SSD modülünü birlikte kullanıyoruz.

DDI ayrıca müşteriye somut bir rapor da çıkarıyor: kaç sektör tam okundu, kaç sektör kısmen okundu, kaç sektör hiç okunamadı. Bu rapor sadece bizim arşivimiz için değil, müşterinin sigorta talebi, bilirkişilik dosyası veya kurumsal denetimi için de delildir.

DeepSpar Disk Imager'ın bir başka kritik özelliği de "head selective imaging" yani kafa seçici klonlamadır. HDD birden fazla kafa içerdiği için, kafalardan biri bozuksa o kafanın yazdığı pisti okuma denemesi tüm süreci kilitleyebilir. DDI ile sadece sağlıklı kafaların pistlerini önce klonluyoruz. Sonra bozuk kafa pistlerini ayrı bir oturumda, gerekirse donor parça takıldıktan sonra çekiyoruz. Bu strateji, müşteriye "tüm veri kayıp" demek yerine "verinin yüzde 85'i tam, yüzde 15'i kısmi" gibi somut bir sonuç sunmamızı sağlıyor.

DDI'ı ayrıca SSD klonlamada da kullanıyoruz. SSD'lerin HDD'lerden farkı şu: SSD'de bad sector kavramı yoktur, bunun yerine "ECC uncorrectable" hataları vardır. SSD controller'ı kendi içinde hatalı blokları işaretler, kullanıcıya yansıtmaz. DDI'ın SSD modülü bu controller cevaplarını yorumlayıp hangi LBA'da gerçek veri kaybı olduğunu raporluyor. Bu, SSD veri kurtarmada "ne kadarı kurtarılabilir" sorusuna nesnel cevap vermek için olmazsa olmaz.

Bölüm 4: HDD Plaka Mikroskobu Altında Kafa Çakması Nasıl Görünür

Şimdi yazının başlığını oluşturan bölüme geldik. Bir HDD plaka mikroskobu altına alındığında ne görüyoruz? Buna cevap vermek için önce bir HDD'nin nasıl hasar gördüğünü anlamak gerekir.

Mekanik HDD'ler çalışırken kafalar plaka üstünde uçar. Diske darbe geldiğinde, elektrik kesintisi yaşandığında veya kafa eskimişse, kafa plaka üstüne çakılabilir. Bu olaya "head crash" yani "kafa çakması" diyoruz. Çakma anında saniyenin binde biri sürede plakanın üst manyetik kaplaması kafa tarafından sıyrılır. Plakanın altında alüminyum veya cam taşıyıcı kalır.

Mikroskop altında HDD plakasındaki dairesel kafa çakması izi

Mikroskop altında bu izi gördüğünüzde ne anlam çıkarıyoruz? Birincisi, izin geometrisi bize çakmanın merkezini söylüyor. Eğer iz dairesel ve plakanın belirli bir yarıçapında ise kafa o yarıçapta sıkışmış demektir. İkincisi izin derinliği önemli. Yüzeysel sıyrılma, manyetik tabakanın sadece bir kısmının kaybolduğu anlama gelir. Bu durumda hâlâ bazı verileri okumak mümkün olabilir. Eğer iz alüminyuma kadar inmişse o pisti tamamen kaybetmişizdir.

Üçüncüsü ve en önemlisi, plaka üzerinde dağılmış "manyetik toz" var mı, ona bakıyoruz. Çakan kafa parçacıkları plaka üzerinde dolaşır. Diske yeni bir kafa stacki taksanız bile bu toz orada kaldıkça yeni kafa da çakılır. Bu, plakanın laminer akış altında dikkatli temizlik gerektirmesi anlamına gelir. Bazen plaka temizliği başlı başına 2-3 günlük bir süreçtir.

Plaka üzerinde dağılmış manyetik partikül izleri

Müşteri tarafında en sık karşılaştığımız hata şudur: HDD ses çıkarmaya başladığında, çıtırtı veya tıklama sesi geldiğinde insanlar diski tekrar tekrar açmaya çalışıyor. Her açma, kafayı plakaya bir kez daha çaktırıyor. Diske her enerji verişinizde, hasarı katlamış oluyorsunuz. Bizim laboratuvara gelmeden önce yapılması gereken en önemli şey, ses çıkaran HDD'yi derhal kapatıp dokunmamaktır.

Mikroskop görüntülerinde gördüğümüz başka bir vaka tipi de "stiction" olayıdır. Stiction, disk kapatıldığında kafaların park alanına geri çekilememesi durumudur. Kafalar plakaya yapışık kalır. Disk yeniden çalıştırıldığında motor dönmeye çalışır ama yapışık kafalar plakayı sürükler ve hem motor sigortasını hem de plakanın o kısmını yıpratır. Bu vakalarda diski açıp kafaları manuel olarak park alanına almak, mikroskop ve özel pinset gerektiren bir işlemdir. Eğer bu işlem laminer akış dışında denenirse, hem kafa hem de plaka tamamen kaybedilir.

Plakaların kendisi de zamanla yaşlanır. Eski 2000'li yıllarda üretilmiş disklerin manyetik kaplaması, modern disklerinkine göre daha kalın ve daha dayanıklıydı. Buna karşın yoğunluk da daha düşüktü. Modern yüksek yoğunluklu disklerde plaka üstündeki manyetik tabaka çok daha ince ve dolayısıyla mekanik strese karşı daha hassas. Bu yüzden 1 TB'ın üzerinde yoğunluğa sahip modern disklerin mikroskop altındaki hasar paterni, eski disklerden farklı. Bizim teknisyenlerimiz hangi üretici, hangi yıl, hangi yoğunluk için hangi davranışın beklendiğini deneyim ile öğrendi.

Bölüm 5: SSD NAND Chip-Off Süreci, BGA Reflow Masamızda Neler Oluyor

HDD'lerin plakası varsa, SSD'lerin NAND chipleri var. Bir SSD elektriksel olarak öldüğünde, controller chip yandığında, kart üstünde kısa devre olduğunda, veriler aslında hâlâ NAND chiplerinin içinde duruyor. Mesele bu chipleri karttan ayırıp özel okuyucularda okumak. Bu işleme "chip-off forensics" diyoruz.

Chip-off süreci basit değildir. NAND chipleri kart üzerine BGA (Ball Grid Array) tekniği ile lehimlenir. Yani çipin altında düzinelerce küçük lehim topu vardır ve bunlar görünmez. Çipi karttan ayırmak için kontrollü ısı veriyoruz, bu süreçte hem çipi yakmamak hem de altındaki PCB'yi deforme etmemek gerekiyor. Bu yüzden infrared reflow istasyonumuz var.

BGA infrared reflow istasyonunda NAND chip çıkarılması

Çipi çıkardıktan sonra iş bitmiyor, asıl iş yeni başlıyor. Çünkü NAND chip ham haliyle okunabilir bir dosya sistemi içermez. JEDEC standartlarına göre üretilmiş bu chiplerde veriler controller'ın "Flash Translation Layer" (FTL) algoritmasına göre dağıtılır. Yani 1 GB'lık bir dosyanın parçaları birbirinden çok uzak fiziksel bloklara yazılmış olabilir. JEDEC standartları flash bellek teknik özelliklerini belirler ve sektörün ortak dilidir.

Chip-off'tan sonra elimizde NAND'in ham bit dökümü oluyor. Bunu controller'ın algoritmasına göre yeniden birleştirmek gerekiyor. ECC düzeltmeleri, scrambling, interleaving, wear leveling tabloları... Bütün bunlar tersine mühendislikle çözülüyor. Bu yüzden chip-off, "çipi söktüm, veri geldi" değil, "çipi söktüm, şimdi 3 hafta veriyi anlamlandırma sürecindeyim" işidir.

Telefon ve tablet veri kurtarma süreçlerinde de NAND chip-off devreye girebiliyor, özellikle suya düşmüş veya yanmış cihazlarda. iPhone veri kurtarma ve Android cihaz süreçlerimizde bu yaklaşımı zaman zaman kullanıyoruz, ancak ilk tercihimiz mantıksal yöntemlerle veriyi cihazı bozmadan çekmektir.

SSD veri kurtarmada karşılaştığımız bir başka katman da modern üreticilerin uyguladığı şifrelemedir. Pek çok modern SSD donanımsal şifreleme (Self-Encrypting Drive, SED) ile gelir. Yani veriler NAND'e yazılırken zaten şifreli olarak yazılır, anahtar controller içinde saklanır. Bu, controller yandığında anahtarın kaybolabileceği anlamına gelir. Bu yüzden modern SSD kurtarmada controller'ı kurtarmak veya anahtarı dışarıdan elde etmek HDD kurtarmadan farklı bir uzmanlık alanıdır. Bizim chip-off iş akışımız bu farkı dikkate alıyor: NAND'in ham dökümünü almak yetmez, controller cevaplarını da analiz etmek gerekir.

Apple cihazlarda özel olarak NAND chip-off neredeyse hiç işe yaramaz. Çünkü Secure Enclave anahtarı silikon içinde yaşar ve dışarı çıkarılamaz. Bu yüzden iPhone gibi cihazlarda chip-off bir seçenek değildir, mantıksal ve yedek tabanlı çözümler tek yoldur. Android cihazlarda durum üreticiye göre değişir. Samsung Knox aktif cihazlarda yine donanım şifreleme devreye girer. Eski veya orta seviye Android cihazlarda chip-off hâlâ uygulanabilir bir yöntemdir.

Bölüm 6: RAID Disk Klonlama İstasyonu, Dört Diski Paralel Okumak

Kurumsal müşterilerden en sık gelen iş RAID dizilerinin kurtarılmasıdır. RAID 0, RAID 1, RAID 5, RAID 6, RAID 10, RAID 50, RAID 60... Her birinin matematiği farklı. Ama hepsinin ortak özelliği şudur: ilk yapılacak iş hiçbir diske bağımsız müdahale etmeden hepsinin birebir kopyasını almaktır.

Bunun için 4 disk paralel klonlama istasyonumuz var. Aynı anda 4 hatta gerekirse 8 diski paralel klonlayabiliyoruz. Bu sadece zaman kazandırmıyor, RAID setinin "zaman tutarlılığını" da koruyor. RAID 5 bir dizide bir disk yetmiş gün önce, bir disk dün arızalanmışsa, biz iki diski farklı zaman damgalarıyla görüyoruz. Klonlama sırasında bu damgaları kaybetmek istemiyoruz.

RAID dizisi 4 disk paralel klonlama istasyonu

RAID 5 veri kurtarma konusunu ayrıca detaylı yazdık ama burada şunu vurgulamak istiyoruz: RAID kurtarmada en sık yapılan müşteri hatası, "rebuild" başlatmaktır. Bir disk arızalanır, yedek disk takılır, sistem otomatik olarak RAID'i yeniden inşa etmeye çalışır. Eğer ikinci bir disk de yorgunsa, rebuild sırasında o disk de çökerse, RAID 5 dizisi tamamen ölür. Biz laboratuvara gelen RAID setlerinde önce hiçbir disk üzerinde yazma işlemine izin vermiyoruz. Sadece okuma, sadece klon.

Klonlama bittikten sonra orijinal diskler güvenli bir kasaya kaldırılıyor. Tüm analiz, dizgi yeniden kurma, parite hesaplama ve veri çıkarma işlemleri kopya disklerde yapılıyor. Müşteriye teslim ettiğimizde, orijinal disklerini bile geldiği haliyle iade ediyoruz. Bu pratik bir tercih değil, ilkesel bir tercih.

RAID kurtarmada karşılaştığımız teknik problemler şu kategorilere giriyor: yanlış parite hesabı yapılmış kontroller değişiklikleri, ham disk başlığında bozulan RAID meta verileri, stripe size yanlış hesaplanması, disk sırasının kaybedilmesi. Bunların her biri ayrı bir çözüm yaklaşımı istiyor ve hiçbiri "tek tıkla rebuild" şablonuna sığmıyor.

Bölüm 7: Donor Parça Stoğumuz, Neden Hâlâ 2010 Modelleri Saklıyoruz

Laboratuvarımıza geldiğinizde göreceğiniz manzaralardan biri de donor parça raflarımızdır. Burada 2010'lardan bu yana üretilmiş binlerce HDD ve SSD modelinin yedek parçası tutuluyor: PCB kartları, head stack assembly üniteleri, motor parçaları, plaka şablonları, bazı durumlarda komple ölü diskler.

Donor parça rafımızdan bir kesit, HDD PCB ve head stack

Niye? Çünkü HDD'lerde aynı model bile farklı üretim partilerinde farklı firmware versiyonu, farklı PCB revizyonu, farklı head stack tasarımı taşıyabilir. Western Digital, Seagate, Toshiba, Hitachi, HGST gibi üreticiler PCB ile plaka arasında "adaptive" denilen kalibrasyon verisi tutar. PCB değiştirildiğinde bu adaptive verisi de aktarılmadan disk çalışmaz, hatta bazen plaka üzerinde fiziksel hasara bile yol açar.

Bu yüzden "donor disk" arayışı sadece "aynı model" değil, "aynı üretim haftası, aynı PCB revizyonu, mümkünse aynı head map ID" düzeyinde detay ister. Biz bu yüzden yıllar içinde donor stoğumuzu büyüttük. Bazı eski 2.5 inch dizüstü diskleri için, üretim durdurulduğu için artık sadece bizim raflarımızda kalmış parçalar var.

Donor üzerinden PCB transferi yaptığımızda ROM çipi transferi de yapılır. ROM çipini eski PCB'den söküp donor PCB'ye lehimlemek, kalibrasyon verisinin doğru disk üzerinde kalmasını garanti eder. Bu işlem mikroskop altında, sıcak hava lehimleme istasyonunda yapılır ve genelde 30-45 dakika sürer.

Head stack transferi ise çok daha hassas bir iştir. Kafaları plakadan zarar vermeden çıkarmak için head comb adı verilen özel bir aparat kullanılır. Kafalar plakaya temas etmeden park alanına çekilir, comb yerleştirilir, sonra head stack assembly tek parça olarak çıkarılır. Donor diskin head stack'i aynı şekilde çıkarılır ve hasta diske takılır. Bütün bu süreç temiz oda altında, eldivenli ellerle, dakikalar süren bir hassasiyet işidir.

Bölüm 8: Mobil Cihaz Adli Bilişim, Cellebrite UFED Touch

Veri kurtarma artık sadece HDD ve SSD demek değil. Telefonlar, tabletler, akıllı saatler, drone'lar, araç bilgisayarları... Hepsi veri içeriyor ve hepsi kurtarma talebi yaratabiliyor. Bu yüzden laboratuvarımızda Cellebrite UFED Touch da var. Cellebrite, dünyada hem adli bilişim hem de kurumsal veri kurtarma alanında en yaygın kullanılan mobil ekstrasiyon platformudur.

Cellebrite UFED Touch mobil ekstrasiyon istasyonu

UFED ile yapabildiğimiz çalışmalar dört ana kategoriye ayrılıyor: logical extraction (telefonun normalde gösterdiği veriler), file system extraction (uygulama veritabanları dahil), physical extraction (bellek ham dökümü) ve advanced extraction (kilitli cihazlar için). Her biri farklı yasal ve teknik koşullar gerektiriyor.

Burada vurgulamak istediğimiz nokta şudur: mobil cihaz veri kurtarmada müşteri rızası ve mülkiyet doğrulaması bizim için olmazsa olmazdır. Telefonu getiren kişinin telefonun sahibi olduğunu, sahibi değilse vekaletini sunmasını istiyoruz. Aksi takdirde işlem kabul etmiyoruz. Bu, hem yasal hem etik bir gerekliliktir.

iPhone'larda Secure Enclave nedeniyle bazı ekstrasiyon yöntemleri çalışmıyor. Bu durumlarda mantıksal yedek (iTunes/Finder yedeği üzerinden) veya iCloud üzerinden geri yükleme gibi yan yollara başvuruyoruz. Android tarafında üretici çeşitliliği daha fazla olduğu için her cihaz için farklı yaklaşım gerekebiliyor. Mobil cihaz süreçlerimiz hakkında daha fazla bilgi için iPhone veri kurtarma sayfamızı inceleyebilirsiniz.

Bölüm 9: Hash Doğrulama ve Chain of Custody, Veri Kurtarma Etiği

Veri kurtarma sadece veriyi geri getirmek demek değil. Veriyi getirirken o verinin orijinaline sadık kaldığını, hiçbir bit kaybı olmadığını, hiçbir manipülasyon yapılmadığını ispat edebilmek demek. Bu yüzden her iş dosyamızda hash doğrulama adımı vardır.

Süreç şöyle işliyor: müşteri diski getirdiğinde, ilk klonlama anında orijinal disk üstünden ve klon üstünden SHA-256 ve MD5 hash değerleri alıyoruz. Bu değerler tutanağa giriyor, müşteri ile imzalı kopyaya dönüşüyor. Sonraki tüm işlemler klon üzerinde yapılıyor. Teslim edilen veri için yine hash değeri üretiyor, müşteriye veriyoruz. Yani müşteri bizim teslim ettiğimiz veri ile orijinal arasındaki ilişkiyi kriptografik olarak doğrulayabiliyor.

Hash doğrulama tutanağının imzalanması

Bu süreç NIST SP 800-88 "Guidelines for Media Sanitization" başta olmak üzere uluslararası dijital delil kabul kılavuzlarıyla uyumlu çalışmamızı sağlıyor. NIST SP 800-88 aslında medya sanitizasyonu üzerinedir ancak medya bütünlüğü ve doğrulama prensiplerini de detaylandırır. Veri kurtarmada işin tersi, yani veriyi koruma tarafı, aynı disiplini gerektirir.

Chain of custody, yani "delil zinciri", özellikle bilirkişilik ve hukuki süreçlerde kritiktir. Disk laboratuvara girdiği andan itibaren kim, ne zaman, hangi ekipmanla, ne işlem yaptı, hepsi kayıt altındadır. Diskin fiziksel olarak hangi kasada bekletildiği bile loglu. Bu sayede mahkeme tarafından istendiğinde rapor sunabiliyoruz. Bilirkişilik raporu süreçlerimiz hakkında detaylar için bilirkişi raporu yapısı sayfamızı inceleyebilirsiniz.

Müşterinin sıklıkla sorduğu bir soru: "Verilerimi kurtarırken siz de görüyor musunuz?" Cevap dürüst olmalı: teknik olarak teknisyenin teorik erişimi var, ancak şirket politikamız ve sözleşmelerimiz veri içeriğini incelemeyi kesinlikle yasaklar. Sadece dosya bütünlüğünü ve okunabilirliğini doğrulamak için belirli dosyalar (genelde standart office veya medya dosyaları) örneklem üzerinden açılır, başka müdahale yapılmaz. Tüm laboratuvar bilgisayarları KVKK ve gizlilik politikalarımıza uyumlu çalışır.

Bölüm 10: Kurumsal Müşteri Teslim Odası, Şifreli Disk Devri

Kurumsal müşteriler için ayrı bir teslim odamız var. Bunun sebebi sadece konfor değil, gizlilik. Bir kurumsal müşteri bir disk getirdiğinde, o diskin içeriği o kurumun ticari sırrı olabilir. Müşteri kaydı, finansal veri, kaynak kod, müşteri sözleşmeleri, personel dosyaları... Bu bilgilerin başka kurumsal müşterilerin gözü önünde el değiştirmesi profesyonelce değil.

Kurumsal müşteri teslim odası şifreli disk devri

Teslim odamızda yapılan işlem şudur: müşteriye ait kurtarılmış veriyi, müşterinin istediği medyaya yazıyoruz. Genelde bu, AES-256 ile şifrelenmiş bir harici disk veya kurumsal NAS oluyor. Şifreyi müşterinin temsilcisi belirliyor, biz sadece "veriyi tesellüm aldım" tutanağına imza atılmasını istiyoruz. Şifreyi kendimize bile saklamıyoruz, çünkü saklamamız gereken bir şey değil.

Bazı kurumsal müşteriler için orijinal disklerin imhasını da yapıyoruz. Bu imha NIST SP 800-88 standartlarına uygun olarak gerçekleşiyor. Manyetik medyalar için degausser kullanımı, SSD'ler için kontrollü fiziksel imha. İmha sertifikası müşteriye veriliyor, denetimlerinde sunabilecekleri resmi belge oluyor.

Format atılmış disklerin geri kurtarılma süreçleri özellikle kurumsal tarafta sık görülen bir konu. Bu konuda yaptığımız ayrı bir çalışmayı format atılan fotoğraflar nasıl kurtarılır yazımızda bulabilirsiniz.

Yüzde 99.4 Başarı Oranı Nasıl Mümkün

Şirket olarak laboratuvar başarı oranımızı yüzde 99.4 olarak açıklıyoruz. Bu rakam pazarlama dilinin parlatması değil. Bu rakamın arkasında şu temel ilkeler var:

Birincisi, ön analiz aşamasının ücretsiz ve dürüst olması. Müşteri diski bize getirdiğinde, önce diskin durumunu inceliyoruz. Eğer veri kurtarılabilir değilse, bunu açıkça söylüyoruz. "Çalışalım bakalım, olursa olur" yaklaşımıyla iş almıyoruz. Bu yüzden işe başladığımız her durum, başarı şansı somut olarak görülmüş bir durumdur. İstatistiği bu seçim besliyor.

İkincisi, sektördeki en iyi ekipmana yatırım yapmak. PC-3000 abonelik ücretleri, DeepSpar Disk Imager lisansı, Cellebrite UFED, BGA reflow istasyonu, mikroskop sistemleri, ISO 14644-1 muadili temiz oda altyapısı... Bunlar küçük yatırımlar değil. Ama bu yatırımlar olmadan başarı oranı tutturulamaz.

Üçüncüsü, donor parça stoğu. Üretimden kalkmış disklerin yedek parçalarını tutmak hem yer hem para istiyor. Ama bir müşterinin 12 yıllık verisi söz konusu olduğunda, 12 yıllık bir donor parçası bizim için çok değerli oluyor.

Dördüncüsü, eğitim ve süreklilik. Bu işi yapan teknisyenlerin 5-10 yıllık deneyim biriktirmesi gerekiyor. Personel sirkülasyonu yüksek olan yerlerde aynı kalite tutturulamaz. Biz ekibimizi uzun vadeli tutarak, uluslararası eğitimlere katılım sağlayarak büyütüyoruz.

Beşincisi, etik sınırlar. Bazı işler teknik olarak yapılabilir ama yasal ya da etik olarak kabul etmiyoruz. Bu reddettiğimiz iş hacmi başka şirketlerde gözükmeyebilir ama bizim için süreklilik ve itibar açısından önemli.

Yüzde 99.4 oranını "hadi her diski mucize ile kurtarıyoruz" gibi okumak yanlış olur. Doğru okuma şudur: bizim işe başladığımız durumların büyük çoğunluğunda, müşteriye somut bir sonuç dönüyoruz. Diğer yüzde 0.6, çoğunlukla mühendislik sınırlarının ötesindeki, plaka katastrofik hasarına uğramış, NAND chipleri yanmış vakalar oluyor.

Hacettepe Teknokent Neden Bizim İçin Stratejik

Son bölümde laboratuvar yerimizden bahsetmek istiyoruz. Hacettepe Teknokent içinde olmamız tesadüfi değil, stratejik bir karar.

Birincisi üniversite ekosistemine yakınlık. Hacettepe Üniversitesi bilgisayar mühendisliği, elektrik-elektronik mühendisliği, malzeme mühendisliği gibi bölümlerle aynı kampüste olmak teknik tartışma ve danışma imkanı yaratıyor. Bazı zor vakalarda akademisyenlerden bağımsız değerlendirme alıyoruz.

İkincisi altyapı kalitesi. Teknokent binalarında yedekli elektrik altyapısı, kesintisiz internet, fiber bağlantı, güvenlik, fiziksel erişim kontrolü standart olarak sağlanıyor. Bu altyapıyı sıfırdan kurmaktansa, kampüsün altyapısından yararlanmak hem ekonomik hem güvenli.

Üçüncüsü güvenlik. Müşterilerimiz arasında kamu kurumları, finans kuruluşları, savunma sanayi şirketleri ve uluslararası firmalar var. Bu müşteriler laboratuvarın güvenlik standartlarını sorguluyor. Teknokent kampüsünün giriş kontrolü, kamera altyapısı ve fiziksel güvenliği bu denetimlerin geçilmesini kolaylaştırıyor.

Dördüncüsü Ankara'nın merkezi konumu. Türkiye'nin her bölgesinden disklerin Ankara'ya ulaşması nispeten kolay. Hava ve karayolu lojistiği gelişmiş. Yurt dışından gelen iş paketleri için Esenboğa Havalimanı'nın yakınlığı, gümrük süreçleri için Ankara'nın merkezi rolü işimize yarıyor.

Hacettepe Teknokent'teki laboratuvarımıza randevulu ziyaret kabul ediyoruz. Kurumsal müşterilerimiz için süreçlerimizi yerinde göstermek, ekipmanı tanıtmak, soruları yanıtlamak hem güven inşa ediyor hem de bizim için işin şeffaflığı adına önemli. Eğer disk durumunuz acil değilse ve yapılan işin nasıl yapıldığını yerinde görmek isterseniz, lab ziyareti randevusu almanız mümkün.

İletişim ve Lab Ziyareti

Hacettepe Teknokent Ankara'daki laboratuvarımıza ulaşmak veya lab ziyareti için randevu almak istiyorsanız:

Konum: Hacettepe Teknokent, Ankara

Telefon: +90 536 662 38 09

Lab Ziyareti: Randevulu olarak kabul edilmektedir. Kurumsal müşterilerimiz teknik ekipmanımızı ve süreçlerimizi yerinde görme imkanı bulabilir.

Diğer Hizmetlerimiz:

Veri kurtarma sektöründe en büyük yanılgı, "ses çıkaran disk birkaç saatte düzelir" beklentisidir. Gerçekte, doğru ekipman, doğru temiz oda, doğru donor parça ve doğru süreç olmadan veri kalıcı olarak kaybolur. Biz Hacettepe Teknokent'teki laboratuvarımızda her gün bu disiplini sürdürüyoruz. Disklerinizi getirmeden önce, lütfen onları kapatın, sallama, hiç açmayın ve bize ulaşın. Verinizin ilk dakikası en kıymetli dakikadır.

20 yılı aşkın deneyim, 20.000 TB'ı aşan kurtarılmış veri ve yüzde 99.4 laboratuvar başarı oranı sadece rakam değil, her gün laboratuvara giren her diskte yenilenen bir sözdür. Şeffaflık, etik ve mühendislik. Biz işimizi böyle tanımlıyoruz.