GLF

Orchid, das ist nur was für grosse Jungs

Hallo Annika,

ich bin schon ein sehr großer Junge, deshalb bin ich schon ganz gespannt auf deine Erklärung
Was Du meinst ist Kryptoanalyse und hat nichts mit der physikalischen Wiederherstellung von Daten zu tun

Also tatsächlich hatte ich einen Beitrag schreiben wollen, um Pädos vor allzu viel Paranoia zu bewahren, und damit Ermittler sich nicht immer eins feixen, wenn sie die Beiträge von armen unbedarften Pädos lesen

Weißt Du was passiert, wenn ein Rechner einkassiert und forensisch untersucht wird? Ich kann es Dir sagen:

Es werden zwei Abbilder von der Festplatte erstellt. Eines zur Beweissicherung und eines zur eigentlichen Untersuchung.
Dabei können diese nur das beinhalten, was die Platte selber wiedergibt, also was vorher irgendwann auf ihr gespeichert wurde. Das geht natürlich nur, wenn die Elektronik oder die Mechanik nicht beschädigt wurden. Ansonsten muß im Labor versucht werden, an die Daten heranzukommen. Das gelingt genau dann, wenn der eigentliche Datenträger möglichst nicht (nicht nur mechanisch) beschädigt ist.

Unter welchen Bedingungen kann man an die Daten einer Festplatte herankommen?

- wenn nur die Elektronik beschädigt ist und/oder
- wenn nur das Gehäuse beschädigt ist und/oder
- wenn der eigentliche (magnetische )Datenträger nicht magnetisch, aber durchaus physisch beschädigt ist

Wann kann man die Daten nicht mehr herankommen?

- Wird der Datenträger ansich, also die Daten selber, so manipuliert (also einfach mal überschrieben) ist praktisch gar nichts mehr herstellbar.
Ist doch logisch oder zumindest begreifbar, oder?

Schnitt:

Wenn ein Rechner eines Normalbürgers, also mindestens ein größerer Speicherträger, sichergestellt wird, haben es die Forensiker normalerweise mit einer normal benutzten und unbeschädigten Festplatte zu tun. Dieses Speicherabbild wird nun auf Bild- und Videoinhalte hin untersucht. Sowohl auf bekannte Inhalte mittels Fingerprint und aber auch augenscheinlich. Anschließend wird auch versucht, bereits gelöschte (aber nicht wirklich vernichtete) Inhalte wieder herzustellen.
Was dabei nicht gelingen wird, weil die Platte nur das lesend hergibt was auf ihr vormals durch Überschreiben gespeichert war, ist das Herstellen von Informationen, die vor dem Überschreiben auf ihr gespeichert waren.
Für die Herstellung unter Laborbedingen gelten aber die oben genannten einfachen mathematischen und damit auch praktischen Zusammenhänge und Bedingungen. Ein Herstellen der vor dem einfachen Überschreiben vorhandenen Daten ist nicht mehr möglich.

Was kann der unbedarfte Nutzer nun tun?

Die Festplatte sicher überschreiben und dann wegschmeißen, währe die sicherste Methode.
Oder er überschreibt die gesamte Platte bzw. wenn er das installierte BS weiternutzen möchte, setzt er auf eine sicheres Tool, welches alle BS-Resourcen, Dateinamen und Clusterclips löscht, wie z.B. Archicrypt Shredder. Ein Wiederherstellen ist dann ebenfalls nicht möglich.


Eine andere Alternative stellt das Verschlüsseln der gesamte Platte dar! Dabei ist aber zu beachten (und das verteht leider auch nicht jeder), dass man dafür ein starkes Passwort braucht. Das muss man dann aber im Kopf haben oder z.B. auf einer daumnagelgroßen Speicherkarte, die hinter der Tapete oder sonst wo versteckt wird

Vor einer HD schützen diese Maßnahmen natürlich nicht. Da trotz gegenlautiger Verlautbarung alle Dienste im Internet (IRC, Web sowieso, P2P, private Kontake via EMail und FTP, usw) überwacht werden, sollte man sich von gewissen Inhalten fern halten. Sonst ist man eines der Vogt-Opfer. Auch wenn es nur um Posing geht. Pädo bleibt Plädo

@Orchid: Und wie sieht die Welt bei SSDs aus?

@Orchid: Und wie sieht die Welt bei SSDs aus?

Sehr gut Eine berechtigte Frage! Aber selbst in diesem Fall nicht ganz hoffnungslos! Wobei allerdings unter normalen (forensischen) Bedingungen bei überschriebenen Speicherinhalten nichts mehr herstellbar ist

Gewöhnliche Betriebssysteme löschen nicht den Dateiinhalt selbst, sondern entfernen lediglich den Eintrag im Inhaltsverzeichnis des Dateisystems. Dies beschleunigt den Löschvorgang, ermöglicht aber auch eine Wiederherstellung der Datei. Um dies zu verhindern, gibt es Programme, welche die Dateien tatsächlich komplett überschreiben. Dieses Überschreiben leiten Flashspeicher mit Nutzungsverteilung dann aber auf die bisher am wenigsten benutzten Blöcke, nicht auf jene, in denen die Datei steht.

Um dieses Sicherheitsleck zu nutzen und auf die so gelöschte Datei zugreifen zu können, müsste aber das Laufwerk geöffnet und der Controller gegen einen ausgetauscht werden, der alle Blöcke ausliest. Zudem fehlt die Information, welche Blöcke zu einer durch „Überschreiben“ gelöschten Datei in welcher Reihenfolge gehören. Kryptographiehersteller warnen trotzdem vor dem Einsatz solcher Laufwerke, da zumindest Schlüssel auffindbar sein könnten.

Behebbar ist das Problem erst durch einen Controller, der auf Wunsch vorübergehend die Nutzungsverteilung abschalten kann und so ein „Secure Erase“ ermöglicht. Entsprechende Laufwerke sind aber nur im Hochpreissegment zu finden, etwa von M-Systems. Diese enthalten dann auch Löschalgorithmen nach US-Airforce- oder Navy-Standard.


Und darauf käme es an:
Für den Heimgebrauch dürfte es bereits genügen, das Laufwerk einmalig mit Dateien zufälligen Inhalts vollständig zu beschreiben. Somit wird jeder Sektor einmal überschrieben, unbesehen seines Nutzungsgrades. Ab Windows XP leistet dies etwa DiskBench.[31] Ein Nebeneffekt ist das unberührt bleibende Inhaltsverzeichnis des Dateisystems, das alle Datei- und Verzeichnisnamen enthält. Ein dateisystemloses Beschreiben würde das Laufwerk hingegen nach und nach in die jeweils wenigst abgenutzten Flashzellen umleiten, wodurch Sektoren ungelöscht blieben. Erst das Dateisystem zwingt das Laufwerk zur Nutzung (Überschreibung) aller Sektoren.

Sehr schön zitiert Orchid. Quellenangabe wäre aber mal nicht schlecht. Hole ich für Dich nach.

Quelle: http://de.wikipedia.org/wiki/Solid_State_Drive

Aber es gibt ja dann auch SSDs die sicheres Löschen ermöglichen, indem das Wear-Leveling abgeschaltet werden kann.

Worum geht es hier`?

Sehr schön zitiert Orchid. Quellenangabe wäre aber mal nicht schlecht.

Ist nur von mir selber verfasst! Nichts für Ungut

Gast hat geschrieben:Ist nur von mir selber verfasst! Nichts für Ungut

Schön gequakt....

Kann aber jeder quaken.

Bruce
Das Manifest ist übrigens von mir....