Współczesne ultrabooki i komputery hybrydowe często wykorzystują konstrukcję, w której dysk SSD jest bezpośrednio wlutowany w płytę główną. Rozwiązanie to pozwala zmniejszyć rozmiar urządzenia, ale w przypadku awarii znacząco utrudnia odzyskiwanie danych. Tak było w przypadku realizacji dotyczącej laptopa z serii Microsoft Surface, który uległ poważnemu uszkodzeniu po zalaniu.

Celem prac nie była pełna naprawa urządzenia (choć ostatecznie się to udało), lecz przywrócenie działania płyty głównej na tyle, aby możliwe było uzyskanie dostępu do danych zapisanych na wlutowanym dysku SSD.

Dodatkowym utrudnieniem było szyfrowanie danych przy użyciu technologii BitLocker.

Okoliczności awarii

Laptop trafił do laboratorium po zalaniu cieczą. Po zdarzeniu urządzenie przestało się uruchamiać i nie reagowało na podłączenie zasilania.

W trakcie wstępnej diagnostyki stwierdzono typowe objawy uszkodzeń spowodowanych przez ciecz:

• korozję na elementach elektronicznych
• uszkodzenia elementów SMD
• utlenione i przerwane połączenia na płycie głównej
• zwarcia w sekcji zasilania

Największe uszkodzenia znajdowały się w obszarze układów zasilania, co całkowicie uniemożliwiało uruchomienie komputera.

Problem z dostępem do dysku

Wlutowany dysk SSD w Microsoft Surface

W wielu laptopach możliwe jest fizyczne wyjęcie dysku i podłączenie go do innego komputera w celu skopiowania danych. W tym przypadku było to niemożliwe.

W modelach z serii Microsoft Surface często stosuje się dyski SSD wlutowane bezpośrednio w płytę główną.

Oznacza to, że:

• dysk nie jest wymienny
• nie można go łatwo podłączyć do innego komputera
• uszkodzenie płyty głównej uniemożliwia dostęp do danych

W praktyce bez naprawy płyty głównej nie było możliwości odzyskania danych.

Dodatkowe utrudnienie: szyfrowanie dysku

Sytuację komplikował fakt, że dysk był zaszyfrowany przy użyciu technologii BitLocker w systemie Microsoft Windows.

Klient nie posiadał klucza odzyskiwania BitLocker.

W takich przypadkach dostęp do danych jest możliwy tylko wtedy, gdy:

• system uruchomi się w oryginalnym środowisku sprzętowym
• moduł TPM nadal przechowuje właściwe klucze szyfrowania

Kluczową rolę odgrywa tutaj moduł Trusted Platform Module, który przechowuje informacje umożliwiające automatyczne odblokowanie dysku podczas startu systemu.

Jeżeli TPM zostanie zresetowany lub usunięty, system zażąda klucza odzyskiwania BitLocker, którego klient w tym przypadku nie posiadał.

Strategia odzyskiwania danych

Ze względu na konstrukcję urządzenia jedyną możliwą metodą odzyskania danych było przywrócenie działania płyty głównej.

Proces obejmował:

• usunięcie skutków zalania
• diagnostykę uszkodzeń w sekcji zasilania
• naprawę uszkodzonych obwodów
• przywrócenie podstawowych funkcji uruchamiania systemu

Celem prac było uzyskanie stabilnego startu systemu operacyjnego i automatycznego odblokowania dysku przez TPM.

Naprawa płyty głównej w Microsoft Surface po zalaniu

Proces naprawy

Naprawa rozpoczęła się od dokładnego oczyszczenia płyty głównej z pozostałości po cieczy oraz produktów korozji.

Następnie wykonano szczegółową diagnostykę obwodów zasilania.

Stwierdzono:

• kilka zwarć w liniach zasilania
• uszkodzone elementy SMD
• przerwane połączenia spowodowane korozją

Naprawa obejmowała:

• wymianę uszkodzonych komponentów
• rekonstrukcję skorodowanych ścieżek
• usunięcie zwarć w sekcji zasilania
• stabilizację napięć zasilających

Celem tych działań było przywrócenie możliwości uruchomienia laptopa.

Kluczowy element: stan TPM

W przypadku komputerów wykorzystujących BitLocker ogromne znaczenie ma stan modułu Trusted Platform Module.

Jeżeli podczas awarii lub naprawy doszłoby do:

• resetu TPM
• zmiany konfiguracji zabezpieczeń
• utraty danych w module

system uznałby środowisko za nieautoryzowane i zażądał klucza odzyskiwania BitLocker.

Na szczęście w tym przypadku TPM zachował swoje dane.

Po naprawie płyty głównej laptop uruchomił się w oryginalnej konfiguracji sprzętowej, a dysk został automatycznie odblokowany.

Zabezpieczenie danych

Po uzyskaniu dostępu do systemu operacyjnego wykonano natychmiastowe zabezpieczenie danych klienta poprzez ich skopiowanie na zewnętrzny nośnik.

Ze względu na wcześniejsze uszkodzenia spowodowane zalaniem i dość rozległą naprawę zaleciliśmy zakup nowego laptopa, choć ten udało się w pełni uruchomić. 

Wnioski z realizacji

Ten przypadek dobrze pokazuje wyzwania związane z odzyskiwaniem danych z nowoczesnych komputerów oraz to, że w usługach tego typu wymagana jest bardzo obszerna wiedza, której brakuje na rynku.

Najważniejsze wnioski:

  1. Zalanie laptopa może spowodować poważne uszkodzenia elektroniki i korozję połączeń.

  2. W przypadku urządzeń z wlutowanym dyskiem SSD uszkodzenie płyty głównej często uniemożliwia bezpośredni dostęp do danych.

  3. Szyfrowanie przy użyciu BitLocker sprawia, że dostęp do danych jest silnie powiązany z oryginalnym sprzętem.

  4. Stan modułu Trusted Platform Module ma kluczowe znaczenie dla powodzenia odzyskiwania danych.

W tym przypadku odzyskanie danych było możliwe tylko dzięki skutecznej naprawie płyty głównej oraz zachowaniu integralności modułu TPM. Bez przywrócenia działania laptopa dostęp do danych zapisanych na wlutowanym dysku SSD byłby niemożliwy. Pamiętajcie - Kopia zapasowa to najlepszy przyjaciel.