Re: Sicheres Loeschen von Festplatten

From: Oliver Fromme <olli(at)lurza.secnetix.de>
Date: Mon, 27 Mar 2006 10:05:16 +0200 (CEST)

Olaf Hoyer <ohoyer(at)ohoyer.de> wrote:
> Oliver Fromme wrote:
> > Der arme Herr Gutmann wurde _gründlichst_ mißverstanden.
> > Es gibt kein »Gutmann 35-pass Verfahren«, das man sinnvoll
> > auf eine bestimmte Festplatte anwenden kann. Aus diesem
> > Grund hat er seiner Arbeit später einen Epilog hinzugefügt
> > (den man eigentlich als erstes lesen sollte), um das zu
> > klären. Leider scheinen nur wenige bis zu dem Epilog
> > durchzukommen, da sich die Mythen um das 35-pass Verfahren
> > weiterhin hartnäckig halten.
>
> Klar, das Pamphlet hatte ich mir komplett durchgelesen, es sind deshalb
> 35 passes, damit man in jedem Falle bei jeder damals bekannten
> Plattentechnik von einer sauberen Loeschung ausgehen konnte- Guttmann
> selbst sagt ja auch, dass man eigentlich nur die fuer den jeweiligen
> Plattentyp benoetigten passes braucht.

Selbstverständlich. Wer alle 35 Passes anwendet, hat den
Artikel schlicht und ergreifend nicht verstanden (oder ist
ein Betrüger, wenn er Software verkauft, die behauptet,
daß sowas notwendig sei).

Man sollte beispielsweise bedenken, daß einige der Passes
maximal für Floppy-Disketten geeignet sind, nicht für Fest-
platten. MFM- oder GCR-Codierung gibt es sei 15 Jahren
nicht mehr bei Festplatten.

> > Ist mir nicht bekannt, und auf den Webseiten des BSI
> > sind auf Anhieb auch keine konkreten Informationen zu
> > dieser Thematik zu finden.
>
> Danach suche ich gerade auch wie ein Blutarmer- fuer Magnetbaender und
> flexible Medien gibt es DIN 33858, die ein Degaussen regelt,

Naja ... Bei denen ist Verbrennen wohl wirklich am ein-
fachsten und billigsten. Gutman schreibt auch dazu:
»If the data is very sensitive and is stored on floppy
disk, it can best be destroyed by removing the media from
the disk liner and burning it, or by burning the entire
disk, liner and all (most floppy disks burn remarkably
well - albeit with quantities of oily smoke - and leave
very little residue).«

Man sollte auch bedenken, daß die Spuren bzw. Zylinder auf
Floppies _meilenweit_ auseinanderliegen, im Vergleich zu
Festplatten. (Übrigens deutlich weiter auseinander als bei
einer Schallplatte, d.h. man könnte sie mit bloßem Auge
erkennen, wenn sie gefärbt wären!) Da ist also viel Spiel-
raum für Restmagnetismus, und es ist sicherlich möglich, da
nach ein- oder zweimaligem Überschreiben noch Originaldaten
zu restaurieren (mit entsprechender Ausrüstung).

> diese Norm
> wurde auch mal ausgesetzt mangels Bezug zum aktuellen Stand der Technik,

Nicht verwunderlich, daß sowas nach wenigen Jahren nicht
mehr auf dem Stand der Technik ist. Die Hersteller pushen
ja ständig neue Forschungsergebnisse in die Fertigungsli-
nien, um im Markt einen minimalen Vorsprung zu haben.
Gerade der Festplattenmarkt ist ziemlich hart, vergleich-
bar mit dem RAM-Markt.

Ich kann mich noch gut an den Heise-Artikel erinnern, der
Perpendicular-Recording als neues Forschungsprojekt be-
schrieb, und daß es noch geraume Zeit von der Praxistaug-
lichkeit entfernt sei. Ist noch gar nicht so lange her.

> ist wohl wieder in Kraft- zumindest IBAS behauptet, jetzt auch nen
> Degausser fuer Platten zu haben, der danach konform arbeitet.

Und der natürlich die Platte zerstört. Alles nicht geeig-
net, wenn man sie noch verkaufen will.

Übrigens, Festplatten reagieren auf externe Magnetfelder
gar nicht so empfindlich, wie weitverbreiteter Glaube ist.
Mit einem normal starken Stabmagneten, wie man ihn vom
Physikunterricht aus der Schule kennt, oder handelsüblichen
Kühlschrankmagneten richtet man nicht viel aus. Ich habe
schon häufiger Festplatten mit einem magnetisierten Schrau-
benzieher ein- und ausgebaut (weil's einfach praktischer
ist und einem die Schrauben nicht sonstwohin fallen), und
mehr als einmal haben Augenzeugen dabei Grimassen geschnit-
ten und gemeint, ich würde die Platte damit zerstören.
Das ist Unsinn.

Anders sieht es natürlich mit hochfrequenten Wechselfeldern
aus. Damit kann man die Daten auf einer Platte schon sehr
schnell unbrauchbar machen -- jedenfalls für normale Zu-
griffe durch die Platte selbst. Das heißt aber noch lange
nicht, daß die Daten nicht mit Spezialausrüstung restau-
riert werden können. Ich glaube eher, daß ein Überschrei-
ben der Daten wirkungsvoller ist, weil es einfach geziel-
ter ist und die ausreichende Stärke hat (allein schon durch
die Nähe der Magnetköpfe an der Oberfläche), um die Magne-
tiesierung hinreichend zu beeinflussen.

Wie Du schon merkst, halte ich von Degaussern und sonstigen
»coolen Spielzeugen« gar nichts. Damit man man sich seine
EC-Karte unbrauchbar, aber was es mit der Platte macht,
weiß man nicht mit Sicherheit -- jedenfalls nicht, ohne
selbst eine aufwendige und teure Recovery-Untersuchung zu
machen.

Wenn man die Platten noch verkaufen will, darf man mit so-
was eh nicht kommen. Da muß man sich auf das beschränken,
was man mit Software-Mitteln ausrichten kann.

Wenn man die Platten dagegen nicht verkaufen will, dann
schraubt man sie auf, baut die Scheiben aus und zerstört
sie physikalisch oder chemisch. Das Abschleifen, das Bernd
Walter vorschlug, ist eine gute Idee: einfach und wirkungs-
voll. Besser als Degauss-Spielerei.

(Ich habe übrigens schon selbst Scheiben aus Festplatten
ausgebaut -- das ist nicht schwer --, allerdings nicht zur
Zerstörung, sondern um daraus eine hübsche Wanduhr zu
basteln. ;-)

> > > - stellt z.B. ein dd(1) sicher, dass es jeden Block auf der Platte
> > > erwischt, gerade wenns mit einer Blocksize groesser der Blocksize eines
> > > Sektors arbeitet?
> >
> > Es stellt sicher, daß Du jeden adressierbaren Block der
> > Festplatte erwischst, sofern keine I/O-Fehler auftreten.
> >
> > Du hast also zwei potentielle Probleme: Erstens können
> > I/O-Fehler auftreten. Wenn die Platte den Schreibvorgang
> > abbricht, werden die Bytes dahinter nicht überschrieben.
> >
> > Zweitens gibt es physikalische Sektoren auf der Festplatte,
> > die sich nicht logisch adressieren lassen. Das sind z.B.
> > Reservesektoren für das Bad-Sector-Remapping, und natür-
> > lich die Originalsektoren, die bereits remappt wurden.
> > Diese kannst Du auf herkömmlichem Weg nicht überschreiben.
>
> Klar, die Frage ist, wie gut dd seine Arbeit erledigt hat, wenn er ohne
> Fehler terminiert.

Ich verstehe die Frage nicht. Wenn dd(1) ohne Fehler ter-
miniert, hat es genau das, was man ihm aufgetragen hat,
erfolgreich erledigt. Nicht mehr und nicht weniger.
Oder spielst Du auf Bugs in dd(1)? Bugs können natürlich
immer und überall auftreten, aber dd(1) ist ja durchaus
ein recht häufig verwendetes Tool, so daß Bugs dort schon
ziemlich rasch auffallen und behoben werden.

> Die Reservesektoren sind im Idealfalle nicht benutzt,
> und die Sektoren, die remappt wurden, duerften gegenueber den
> geloeschten Sektoren keine zusammenhaengenden Daten enthalten,
> aus denen man noch verwertbare Infos rausholen kann.

Naja, ein Restrisiko bleibt aber. Wenn Du Pech hast, steht
gerade in so einem remappten Sektor die master.passwd drin,
oder ein Stück Swap, der Deine Banking-PIN aus dem Browser
enthält, oder Deine Kreditkartennummer ...

Häufig sind sensitive Informationen nur recht kleine Bruch-
stückchen, die sich leicht identifizieren lassen. Und es
stellt sich die Frage, wie sehr man sich auf sein Glück
verlassen will, zumal man an anderer Stelle erheblichen
Aufwand treibt, z.B. durch tagelanges mehrfaches Über-
schreiben mit Zufalsdaten. Man muß die Relationen im Auge
behalten.

Apropos Relationen: Aufwendige Sicherheitsmaßnahmen lohnen
sich nur dann, wenn die zu schützenden Daten einen entspre-
chenden Wert für eine fremde Person darstellen. Ausrüstung
für eine Untersuchung einer Magnetoberfläche dürfte schon
mindestens im fünfstelligen Euro-Bereich angesiedelt sein,
vermutlich muß man auch einen Reinraum mieten usw. Gibt es
überhaupt Personen oder Organisationen, denen das Restau-
rieren von Informationen von der betreffenden Platte soviel
wert wäre? Wenn nicht, laß ein dd(1) drüberlaufen und laß
es gut sein.

Gruß
   Olli

-- 
Oliver Fromme,  secnetix GmbH & Co. KG, Marktplatz 29, 85567 Grafing
Dienstleistungen mit Schwerpunkt FreeBSD: http://www.secnetix.de/bsd
Any opinions expressed in this message may be personal to the author
and may not necessarily reflect the opinions of secnetix in any way.
"... there are two ways of constructing a software design:  One way
is to make it so simple that there are _obviously_ no deficiencies and
the other way is to make it so complicated that there are no _obvious_
deficiencies."        -- C.A.R. Hoare, ACM Turing Award Lecture, 1980
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Mon 27 Mar 2006 - 10:06:44 CEST

search this site