Redundantno polje nezavisnih tvrdih diskova, RAID (eng. Redundant Array of Independent Disks), je tehnologija koja pruža zaštitu podataka u slučaju neispravnosti tvrdog diska. Postoji više razina RAID-ova koji se razlikuju po konfiguracijama i značajkama koje nude. Sve razine RAID-ova osim RAID-0 razine, koja je ujedno i najosnovnija razina, pružaju mogućnost redundancije. Redundancija omogućava potpuni oporavak podataka u slučaju neispravnosti tvrdog diska. Pri forenzičkoj analizi RAID-a, potrebno je snimiti sliku sustava po kojoj se provodi istraga. Moguće je snimiti sliku kompletnog RAID-a ili snimati zasebne slike svakog tvrdog diska koji predstavlja dio cjeline te potom napraviti rekonstrukciju RAID-a. Za ponovno sastavljanje RAID-a potrebno je saznati parametre koji čine njegovu konfiguraciju, za što se koriste razne metode i alati.

Ključne riječi: RAID; redundancija; tvrdi disk; striping; blokovi podataka;

U današnje vrijeme u kojem dominiraju digitalni podaci, jedna od glavnih briga je pouzdanost i sigurnost sustava koji se koriste za njihovu pohranu. RAID, redundantno polje nezavisnih tvrdih diskova, je tehnologija koja nudi povećani kapacitet za pohranu podataka, toleranciju na greške te brzinu protoka podataka. Ovisno o razini RAID-a, odnosno njegovoj konfiguraciji, nude se različite prednosti korištenja sustava. Dok RAID konfiguracije pružaju zaštitu od zatajenja tvrdih diskova, također postavljaju izazove digitalnim forenzičarima koji pokušavaju otkriti, analizirati i sačuvati podatke sadržane u njima. Cilj ovog seminara je opisati RAID tehnologiju, najčešće korištene RAID razine, njihove prednosti i mane te opisati moguće forenzičke postupke u kontekstu RAID tehnologije.

RAID (eng. Redundant Array of Independent Disks) je metoda skladištenja podataka na tvrde diskove u svrhu njihove zaštite u slučaju zatajenja hardvera. U pravilu, kod RAID sustava tvrdi diskovi su grupirani zajedno i pokušavaju pohraniti jednu ili više kopija podataka na njima tvoreći jedinstvenu logičku cjelinu. Općenite prednosti uporabe RAID polja su:

• povećavanje tolerancije grešaka ili sposobnosti funkcioniranja nakon kvara jednog ili više diskova

• povećanje kapaciteta za pohranu podataka

• povećanje brzine operacija čitanja i pisanja. [1]

RAID se može podijeliti na:

• sklopovlje (hardverski RAID) - RAID-om upravlja hardver namijenjen za RAID

• programska podrška (softverski RAID) - RAID-om upravljaju posebne aplikacije namijenjene za RAID [2]

RAID sustavi imaju tzv. RAID kontroler koji obavlja operacije čitanja i pisanja (eng. read/write operations) na tvrdim diskovima na način koji uzima u obzir redundanciju. S pomoću tog kontrolera RAID sustavi operiraju kao jedna logička cjelina. Ideja RAID sustava je postići redundanciju koja osigurava dodatnu sigurnost od zatajenja hardvera i poboljšava I/O (eng. Input/Output) performanse, odnosno performanse operacija čitanja i pisanja. Redundancija omogućava da se sadržaj neispravnog tvrdog diska u potpunosti povrati bez gubitka podataka. Ostvarenje redundancije u poljima diskova sa sobom povlači problem odabiranja metode računanja redundantnih informacija. Za taj problem većina RAID-a koristi paritet, dok neki koriste Hammingov ili Reed-Solomonov kod. Paritet izračunava blok podataka koji nedostaje kako bi se spriječio gubitak podataka u slučaju neispravnog diska koristeći XOR operaciju. Ovisno o tipu (razini) RAID-a koji se koristi, a koji će biti objašnjeni u sljedećem poglavlju, postupak spašavanja podataka razlikuje se po kompleksnosti i toleranciji na pogreške. [3]

RAID tehnologije razlikuju se po razinama rada i načinima spajanja diskova. Svaka RAID razina zahtjeva određen minimalan broj diskova za spajanje, od samo dva pa sve do minimalno četiri diska.[4]

Većina RAID razina koriste „striping” na svakom od pojedinih tvrdih diskova da bi poboljšali performanse operacija čitanja i pisanja. Proces zvan „striping” obuhvaća ravnopravnu distribuciju podataka na više diskova da bi se činilo kao da oni tvore jedan brz i velik disk. Podaci se distribuiraju u obliku blokova zvanih „stripes” odakle i naziv samog procesa potječe. Ovaj proces poboljšava agregirane I/O performanse na način da dopušta više performansi da se poslužuju istovremeno, odnosno omogućava paralelno posluživanje više I/O operacija. [5]

Ovisno o RAID kontroleru, odabiru se različite veličine blokova podataka („stripe”-ova). Najmanja moguća veličina bloka je upravo veličina sektora tvrdog diska koja iznosi 512 bajtova, a najveća moguća veličina bloka nije definirana.

Najčešće korišteni RAID tipovi (razine) su RAID-0, RAID-1 te RAID-5. Najosnovnija razina RAID-a je RAID-0.

RAID-0 je najosnovnija razina RAID polja, a ujedno je i najjeftinija od svih RAID sustava jer uopće ne koristi redundanciju. Upravo zbog toga ima najbolje performanse pisanja, jer nema potrebu za ažuriranjem redundantnih informacija. Mana RAID-0 tipa je što bez redundancije, svaki kvar diska rezultira potpunim gubljenjem podataka. Zato se ovaj RAID tip koristi u okruženjima gdje su primarnije dobre performanse i kapacitet, a ne pouzdanost i sigurnost podataka.

RAID-0 je najosnovniji primjer procesa „striping” gdje tzv. „stripe map” opisuje linearizaciju blokova podataka kroz sve uređaje, što je prikazano slikom 1.

             Slika 1: Primjer distribucije blokova podataka RAID-0 
                         sustava s četiri diska [3]

Alternativa RAID-0 tipa koji omogućuje „striping”, ali ne i redundanciju, je RAID-1, koji ne podržava „striping”, ali podržava redundanciju. RAID-1 koristi tehniku zrcaljenja (eng. mirroring) zbog koje koristi dvostruko više diskova nego neredundantno polje diskova, tj. RAID-0. Zrcaljenje funkcionira tako da kad god je neki podatak zapisan na jedan disk, taj isti podatak zapiše se na drugi, redundantni disk tako da uvijek postoje dvije kopije iste informacije. Na ovaj način, ako samo jedan disk ostane očuvan, a svi drugi su pokvareni, oporavak podataka je trivijalan. Zbog toga što kod tipa RAID-1 „striping” proces ne postoji, poboljšane su performanse operacije čitanja podataka, ali su performanse lošije za operacije pisanja. Najčešće se koristi za aplikacijske poslužitelje gdje je presudna sigurnost i pouzdanost podataka. [1]

Izuzev RAID-0 i RAID-1 razina, sve ostale RAID razine podržavaju redundanciju kroz bitove pariteta koji su najčešće ostvareni koristeći XOR operaciju na razini bitova. Trenutno najraširenija i široko prihvaćena kao jedna od sigurnijih konfiguracija je RAID-5 konfiguracija. RAID-5 zahtijeva najmanje tri diska, a zbog mogućnosti pristupa podacima s više diskova nudi brzinu kao jednu od prednosti. Također omogućuje i veliku pouzdanost jer može nastaviti s radom uz kvar jednog od diskova bez da se dogodi gubitak podataka. [1] RAID-5 distribuira paritet jednoliko kroz sve diskove što donosi prednosti zato što se ujedno i podaci distribuiraju kroz sve diskove, a ne kroz sve osim jednog. Ovakav način rada dopušta svim diskovima da sudjeluju u posluživanju operacija čitanja, dok su u razinama koje prethode razini RAID-5, neki diskovi uvijek bili zaduženi samo za paritet. [5] RAID-5 se najčešće koristi za pohranu datoteka i za poslužitelje aplikacija.

Slikom 2 su usporedno prikazane razine RAID-0, RAID-1 i RAID-5 s kapacitetom od četiri diskova. Diskovi s više slojeva ukazuju da se „striping” proces (proces distribucije podataka) odvija na razini blokova, dok se kod razina poput RAID-2 i RAID-3 (koji nisu objašnjeni u sklopu ovog seminara) taj proces odvija na razini bitova. Osjenčani dijelovi diskova predstavljaju redundantne podatke.

       Slika 2: Prikaz opisanih RAID razina s kapacitetom od 4 diskova [5]   

Pravilna akvizicija RAID-a forenzičkim postupcima je teška vještina koju forenzičari trebaju usavršiti. Podatci na RAID-u trebaju biti sačuvani tako da maksimiziraju svoj integritet i dostupnost, u isto vrijeme minimizirajući utjecaj na sustav koji se istražuje. Prvi korak je snimanje slike RAID sustava.

Pri snimanju slike RAID-a potrebno je uzeti u obzir dvije glavne točke:

• Je li moguće ugasiti sustav koji održava RAID? Mnoge organizacije si ne mogu priuštiti gašenje poslužitelja (eng. server) pa to u nekim slučajevima nije praktično rješenje.

• Trebaju li se komponente RAID-a snimiti zajedno ili pojedinačno? Snimanje pojedinačnih slika za svaki disk može biti potrebno zbog problema s upravljačkim programom (eng. driver) ili pohranom, ali može dovesti do komplikacija koje bi uslijedile kada dođe vrijeme za obraditi i ispitati slike. [6]

U slučaju kada nije moguće ugasiti RAID poslužitelj, često se koriste live akvizicije u sustavu Windows. Ako postoji mogućnost korištenja administratorskih akreditiva, najbrži i najjednostavniji način za snimiti sliku dok poslužitelj radi je pokrenuti alate za snimanje slika po želji (npr. AccessData FTK Imager) s thumb drive-a. Nakon toga se slika može spremiti na formatirani disk za pohranu podataka (npr. NTFS) koji je spojen direktno na RAID sustav ili se slika može poslati preko mreže. Ako se disk spaja direktno na RAID, forenzičar treba pripaziti na izbor najbrže sabirnice. Pri mrežnom slanju slike brzina prijenosa može se ubrzati ako i RAID poslužitelj i računalo koje prima sliku imaju Gigabit Ethernet kartice.

U slučaju da se RAID sustav može ugasiti za snimanje slike, najlakša metoda za snimanje slike RAID hardvera je da se sustav boot-a s pomoću boot CD-a i da se slika spremi na vanjski disk povezan najbržom dostupnom sabirnicom. Kod ovakvog postupka snimanja slike, konfiguracijske podatke pruža RAID kontroler, a koji su potrebni da operacijski sustav pristupi RAID-u. Zbog toga je bitan odabir boot diska koji ima odgovarajuće driver-e za hardver RAID kontrolera. [6]

U oba prethodno spomenuta slučaja, postoji rizik da podatci neće ostati nepromijenjeni. Na primjer, pri korištenju CD-a postoji mogućnost da operacijski sustav napravi neke promjene tijekom rada na sustavu. Slika RAID-a koja nastaje u ovim slučajevima prikazana je slikom 3.

                      Slika 3: Jedinstvena slika RAID-a [7]

U nekim slučajevima, forenzičari će biti primorani snimiti odvojene slike za svaku od RAID komponenti, odnosno za svaki disk RAID-a te ih nakon toga logički presložiti prije početka forenzičke istrage. Prije snimanja zasebnih slika, forenzičar (ili osoba koja je prva na mjestu scene istrage) bi trebao zabilježiti sve podatke o konfiguraciji RAID-a prije gašenja sustava. Neke od informacija koje bi se trebale zabilježiti su npr. RAID tip (RAID-0, RAID-1, RAID-5, itd.), redoslijed diskova i veličina blokova podataka (eng. stripe size). Takve i slične informacije su od velike vrijednosti za rekonstrukciju RAID-a za njegovo ispitivanje. Ova metoda snimanja slike RAID-a prikazana je slikom 4.

                 Slika 4: Zasebno snimanje slika svakog HDD-a i 
         njihovo sastavljanje da bi se dobila cjelovita slika RAID-a [7]

Prednost ove metode je što jedina osigurava integritet podataka i daje priliku za istraživanje svih područja tvrdog diska (RAID ne mora koristiti cijeli disk pa se na neiskorištenim područjima mogu kriti neki podatci). Mana je što je za sastavljanje polja diskova potrebno odrediti njegovu konfiguraciju koja ne mora biti unaprijed poznata.

Da bi se RAID sastavio nakon snimanja zasebnih slika svakog tvrdog diska, potrebno je odrediti njegovu konfiguraciju. To znači da je potrebno odrediti [7]:

• koji su diskovi korišteni za RAID (moguće je da postoji višak diskova koji se koriste za sustav, a moguć je i manjak diskova u slučaju da su neki diskovi bili pokvareni ili bačeni, a RAID još uvijek funkcionira zbog redundancije)

• poredak diskova u polju (poredak ne mora odgovarati onome po kojem su diskovi smješteni u računalu)

• RAID razinu (tip) i algoritam (ako ga ima)

• veličinu bloka koji se koristi za proces „striping”

• početni i završni LBA (Logical Block Addressing) korišten u RAID-u

Određivanje ovih parametara može biti problematično jer je broj mogućih konfiguracija velik i brzo raste s porastom broja diskova u polju (kombinatorna eksplozija).

Danas postoji mnogo tehnika i alata za sastavljanje RAID-ova i za određivanje parametara njihovih konfiguracija. Na primjer, u [3] korištene su heuristike zasnovane na računanju entropije za sastavljanje RAID-ova, odnosno za određivanje parametara konfiguracije poput lociranja granica „stripe”-ova. Po [6], jedan od najboljih alata za rekonstrukciju RAID-ova je RAID Reconstructor tvrtke Runtime Software. Također se spominje i Guidance Softwareov EnCase koji je sposoban obnavljati i softverske i hardverske verzije RAID-ova.

RAID konfiguracije koriste se u svrhu zaštite i mogućnosti oporavka podataka u slučaju neispravnosti tvrdog diska. Postoje različite razine RAID konfiguracija koje se razlikuju i po svojstvima uporabe, odnosno korisničkim potrebama i resursima. Općenite prednosti uporabe redundantnih polja diskova uključuju povećanje kapaciteta za pohranu podataka, mogućnost oporavka podataka nakon zatajenja tvrdog diska te poboljšane performanse operacija čitanja i pisanja podataka. Osim toga, koriste se i za forenzičku analizu digitalnih podataka. Glavni izazov koji slijedi prije same forenzičke analize podataka je sastavljanje RAID-a, odnosno određivanje parametara konfiguracije polja.

[1] https://www.datasector.hr/hr/blog/sto-je-to-raid/10

[2] Knok Ž., Horvat N.: RAID polje tvrdih diskova

[3] Zoubek C., Seufert S., Dewald A.: Generic RAID reassembly using block-level entropy

[4] https://www.hgspot.hr/novosti/osnove-upravljanja-podacima-osnove-raid-tehnologije

[5] Chen P., Lee E., Gibson G., Katz R., Patterson D.: RAID: high-performance, reliable secondary storage

[6] Pittman R. D., Shaver D.: Windows Forensic Analysis: RAID Acquisition

[7] https://www.forensicfocus.com/articles/making-complex-issues-simple-a-unique-method-to-extract-evidence-from-raid-with-lost-configuration/