Sysresccd-manual-de Sicheres loeschen von Daten |
History |
Contents |
Einführung
Die sichere Löschung von Daten ist nicht ganz so einfach, wie man vielleicht glaubt. Wenn man eine Datei mit den Standard-Befehlen des jeweiligen Betriebssystems löscht, (z.B. "rm" in Unix/Linux oder "del" in DOS oder das Leeren des Papierkorbs in Windows) wird die betreffende Datei vom Betriebssystem nicht gelöscht, sondern sie verbleibt auf dem Datenträger.
Die meisten Betriebssysteme entfernen nur den Verweis auf eine zu löschende Datei. Die Datei, welche vermeintlich für immer weg ist, verbleibt auf dem Datenträger, bis eine andere Datei an deren Speicherplatz abgelegt wird. Und selbst danach ist es mit forensischen Methoden und Werkzeugen immer noch möglich, diese Datei wiederherzustellen.
Bevor die Datei von einer anderen überschrieben wird, kann diese von jedem mit entsprechenden Tools wiederhergestellt werden. Und selbst danach können Spezialisten (z.B. die Behörden mit den drei Buchstaben) mit spezieller Ausrüstung die Daten (zumindest teilweise) wieder herstellen.
Jeder hat sensible Daten, die er privat halten möchte. Beispielsweise Finanzen, Emails, Bookmarks, etc. es gibt Fälle, wo ältere Computer verkauft wurden und der neue Besitzer die Unternehmens-Finanzdaten des Verkäufers wiederhergestellt hat.
Die einzige Möglichkeit, die Wiederherstellung sensibler Daten nahezu unmöglich zu machen, ist das Überschreiben ("Schreddern") der Daten mit verschiedenen speziellen Mustern. Für weiterführende Informationen sei auf den berühmten Text von Peter Gutmann unter http://www.cs.auckland.ac.nz/~pgut001/pubs/secure_del.html (englisch) verwiesen.
ACHTUNG: Die Nutzung von überschreibenden Tools geht von einer wichtigen Annahme aus: Das Dateisystem überschreibt die Daten direkt. Dies ist die traditionelle Art, aber viele moderne Dateisysteme erfüllen diese Annahme nicht. So z.B. ReiserFS, Reiser4, XFS, Ext3, usw. (Siehe http://www.die.net/doc/linux/man/man1/shred.1.html für weitere Informationen)
In diesem Fall könnte ein Lösungsansatz sein, das gesamte Gerät (die Partition) auf welcher sich die Daten befinden zu schreddern. SystemRescueCD liefert eine handvoll Werkzeuge mit, welche die Wiederherstellung von Daten nahezu unmöglich machen – Ausdrücklich "nahezu unmöglich", weil niemand die Garantie geben kann, dass die NSA, das FBI oder das BKA nicht doch zumindest einen Teil der Daten zurückholen kann. Die Nutzung dieser Tools macht es allerdings sehr schwer.
WARNUNG: Es ist nicht möglich, die Daten mit "normalen" Mitteln wiederherzustellen (vergleiche "dban"). Wir übernehmen natürlich keine haftung für unbeabsichtigte Datenverluste!
Für ultimative Sicherheit, nutzen Sie Verschlüsselung z.B. mit "LOOP-AES", verfügbar unter http://loop-aes.sourceforge.net/. Verschlüsseln Sie Ihr Home-Verzeichnis oder erzeugen Sie eine verschlüsselte Partition bzw. einen Container.
Werkzeuge
- SHRED aus den GNU coreutils (Fileutils) (siehe http://www.gnu.org/software/coreutils/ oder http://www.gnu.org/software/fileutils/doc/manual/html/fileutils.html#shred (englisch))
Shred löscht Dateien, Partitionen oder ganze Festplatten. Es nutzt standardmäßig 25 Durchgänge, welche aber auch benutzerdefiniert erhöht/gesenkt werden können. Dadurch ist shred schneller als wipe (siehe unten). Beispiel für das sichere Löschen des 1. IDE-Laufwerks:
shred -v /dev/hda.
- WIPE von Sourceforge (siehe http://wipe.sourceforge.net)
Genau wie shred dient wipe zum sicheren Löschen von Dateien, Partitionen oder Festplatten. Es nutzt standardmäßig 35 Durchgänge (wie es der pgut001/pubs/secure_del.html Text von Peter Gutmann beschreibt). Wipe ist langsamer als shred, weil es standardmässig mehr Durchgänge ausführt (dadurch ist es auch sicherer). Beispiel für das Löschen der Windows 98 Auslagerungsdatei einer eingehängten (FAT) Windows-Partition mit 35 Schreibvorgängen:
wipe -D /mnt/windows/win386.swp
- SRM aus den THC-Secure Deletion Tools (siehe http://www.thc.org/releases.php?q=delete)
srm kann ebenfalls Dateien sicher löschen
- SFILL aus den THC-Secure Deletion Tools siehe http://www.thc.org/releases.php?q=delete
sfill überschreibt ungenutzten Platz auf dem Datenträger. sfill ist das einzige Unix-Tool, welches den unbenutzten (freien) Speicher einer Festplatte/Partition löschen kann. Man kann auch den Befehl "dd" zum sicheren Überschreiben des ungenutzten Speichers mit 0 oder Zufalls-Bytes nutzen.
- SSWAP aus den THC-Secure Deletion Tools (siehe http://www.thc.org/releases.php?q=delete)
sswap ermöglicht das sichere Überschreiben/Säubern des Swap-Dateisystems.
- SMEM aus den THC-Secure Deletion Tools (siehe http://www.thc.org/releases.php?q=delete)
smem überschreibt unbenutzten Arbeitsspeicher (RAM)
Die THC-Secure Deletion Tools nutzen standardmäßig 38 Überschreib-Durchgänge, basierend auf dem Text von Peter Gutmann (englisch), Sie können die Anzahl jedoch auch verringern.
Andere Werkzeuge
Auf der SystemRescueCD gibt es noch eine Reihe anderer Tools, welche in gleicher Weise für das Überschreiben von Gerätedateien geeignet sind:
- "dd": if=/dev/zero oder /dev/urandom, of=device
- "dd_rescue": funktioniert wie "dd"
- "badblocks": Mit Option "-w" zum Schreiben von 4 statischen Durchläufen
Lesen Sie für weitere Informationen die Beschreibungen des jeweiligen Tools.
Testszenario
Als Beispiel wie diese Tools arbeiten und um zu überprüfen, ob alle Sektoren (beispielsweise einer Diskette) tatsächlich überschrieben wurden, kann man VCHE nutzen, den "Virtual Console Hex Editor". In diesem Beispiel löschen wir alle Daten von einer Diskette.
Geben Sie zuerst folgenden Befehl ein:
shred -v -n 1 /dev/fd0
Shred überschreibt die Diskette mit einem Zufalls-Durchgang.
Dann starten Sie:
vche-raw /dev/fd0
Die Diskette wird mit Zufallswerten gefüllt.
Dann schreiben wir den folgenden Befehl:
shred -v -n 1 -z /dev/fd0
Die Option "-z" startet einen zusätzlichen Durchgang mit 0-Werten.
Und wir starten VCHE nochmals:
vche-raw /dev/fd0
Die Diskette sollte mit 0-Werten gefüllt sein.
Kritische Anmerkungen und Vorschläge sind willkommen: klemens(dot)hofer(at)aon(dot)at