Festplatte sicher löschen

RonnyDepp schrieb:
Was mich interessiert ist, wie es möglich ist dass man alte Daten "unter" neuen Daten wiederherstellen kann?
Wenn du es wieder herstellen kannst, so ist es, einfach nie überschrieben worden.


RonnyDepp schrieb:
Wenn ich dann auch noch neue Daten darüber spiele und die Partition randvoll mache, mit zb Videoclips oder einem Film im MKV Format der genau 2 GB hat, wie soll dann eine forensische Software oder Experten "darunter" noch alte Daten finden können?

Auf Dateisystem Ebene passieren eben Dinge die du nicht unbedingt kontrollieren kannst. Da reserviert sich das Dateisystem etwas Platz. Unter Linux ext4. die Root Reserve, da werden dann 5% einfach nicht beschrieben. Oder einfach sonst irgendwelche Meta Daten Bereiche die du, mit Dateien, nicht voll schreiben kannst.

Die Sicher Lösch Methoden überschreiben normalerweise Low Level (Sektor Null bis Ende) da bleiben dann nur Overprovisioning, Reallocated Sectors.

Wichtig ist dann noch die anschliesende Prüfung denn SSDs, wenn sie sterben können auch einfach alle Schreibanfragen verwerfen und stur weiter die alten Daten liefern (Readonly Modus). Oder es gab ein Verbindungsproblem, Kabelwackler, und das Überschreibprogramm zeigt brav 100% an aber tatsächlich hat es irgendwo mitten drin auf gehört

Zum Sicher löschen gehört daher immer, 1x Überschreiben, anschleißend 1x Auslesen, zur Kontrolle.
 
markus-1969 schrieb:
ich mache es immer so: ...
wesch2000 schrieb:
Ich nehme schon viele Jahre ASCOMP SecureEraser.
Darum geht's hier aber gar nicht (auch wenn's der Titel leider suggeriert):
RonnyDepp schrieb:
ich will hier auch gar nicht nach Software und Techniken zur sicheren und vollständigen Löschungen fragen, da wurde in anderen Threads bereits ausführlich darüber berichtet.
 
RonnyDepp schrieb:
Was mich interessiert ist, wie es möglich ist dass man alte Daten "unter" neuen Daten wiederherstellen kann?

Wenn eine HDD z.B. eine Clustergröße von 8 Sektoren hat, die mit Daten gefüllt sind, die dann durch Löschen zum Überschreiben vorgemerkt sind. Dieser Cluster wird dann mit Daten von der Größe 512Byte beschrieben wird, befinden sich in 7 Sektoren immer noch die vorherigen Daten, die man sicher auslesen könnte.
 
markus-1969 schrieb:
ich mache es immer so:
ich spare mir mal die ganzen Schritte aufzulisten und du kannst es ja auch gerne so machen, wenn du dich daran gewöhnt hast.
wirklich effektiv ist es so aber nicht wirklich ;)

wenn du die Platte schon an einem Linux PC hast, dann kannst du dir doch das ganze Vorgeplänkel auf Partition Ebene sparen und gleich das Raw-Device überschreiben (dd if=/dev/random of=/dev/rABCxyz bs=... kann man dann auch nochmal z.B. mit /dev/zero machen). Das kann man auch gleich hintereinander weg machen, von mir aus mit Schleife drum herum und es läuft oder Interaktion die Nacht (oder Wochenende) durch.

markus-1969 schrieb:
Schritt 7: und tschüß liebe Platte
genau, nur mit weniger Aufwand.
 
  • Gefällt mir
Reaktionen: FCK_PTN und wesch2000
RonnyDepp schrieb:
Das was davor drauf war muss doch 100% weg sein? Ist es aber scheinbar nicht....wo liegt also mein Denkfehler, bzw meine Ahnungslosigkeit von Speichervorgängen??

https://www.computerbase.de/forum/threads/quick-guide-ssds-richtig-loeschen.1881441/

Da drin findest du auch eine Erklärung warum man (theoretisch) noch Daten(Fragmente) finden könnte.
Bei Sicherheitsthemen geht's leider oft viel zu theoretisch zu. Hauptsache Panikmache.

Beispiele:
https://www.computerbase.de/forum/t...-private-e-mails-lesen.1809815/#post-21460216
Klar können andere deine Mails lesen, wenn du das erlaubt hast.

Oder die WinRAR Sicherheitslücke, die letztes Jahrwochenlang durchs ganze Netz ging und dann auch nur eine theoretische Lachnummer war:
https://www.computerbase.de/forum/t...dcode-ausfuehren.2156846/page-8#post-28545759


Edit:
Nochmal ein ganz aktuelles Beispiel:
https://www.computerbase.de/forum/t...ps-fachsimpelei.1996524/page-55#post-29282266
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: wesch2000
markus-1969 schrieb:
gibt es eigentlich einen Unterschied zwischen SSD - Platten und nicht - SSD - Platten ?
Ja. Deine „nicht-SSD-Platten“ (bitte ohne Leerzeichen schreiben) sind – wie du schon sagst – keine SSDs, sondern eben Platten, also mechanische Geräte. Und SSDs sind keine Platten, denn in ihnen dreht sich nichts, weil sie aus unbeweglichen Siliziumchips bestehen. Daher bitte abgewöhnen, SSDs als Platte oder SSD-Platte zu bezeichnen, denn es ist technisch falsch und kann auch gern in Forenthreads zu Verwirrung führen.

markus-1969 schrieb:
wie das bei SSD Platten ist weiß ich nicht
Wenn man auf einer SSD eine Datei löscht, dann teilt das Betriebssystem über den Dateisystemtreiber dem Controller in der SSD mit, dass der Bereich, den diese gelöschte Datei einst belegt hat, nun wieder frei ist. Diesen Prozess nennt man „trimmen“. Dabei setzt der Controller erstens den Flash-Speicher zurück, sodass der nächste Schreibvorgang schneller abläuft (weil dann die Speicherzelle nicht erst zurückgesetzt werden muss), und zweitens merkt sich der Controller, dass dieser Bereich aktuell nicht belegt ist. Das hat zur Folge, dass eine Abfrage dieses Speicherbereichs gar nicht erst den Flash-Speicher ausliest, sondern der Controller sofort nur Nullen zurückgibt. Diese „Abkürzung“ ist der Grund, warum ein Secure Erase ausreicht und man den Speicher nicht selbst mit Nullen überschreiben muss oder überhaupt sollte.
 
verschlüsselung und privacy sind eine starke problematik und grundsätzlich berechtigtes sorgenkind.
aber im privatbereich sehr überbewertet.
weil sich mit höchster wahrscheinlickeit schlicht niemand dafür interressiert, für meist schlicht die kleinen schmutzigkeiten.
wie sagen staatanwälte?:
es gibt keine unschuldigen, bloß welche, die noch ned überführt sind.

und wenn doch...
bete, daß es die behörde ist, in europa zumindest. und selbst da ned überall bzw abhängig um was es geht.
weil wenn nicht...
...wirst du einfach freundlich nach dem schlüssel gefragt. und die kneifzange vor dir auf den tisch gelegt.
und... das macht gesprächig.
vor jahrtausenden, heute, und wohl auch in zukunft.
 
Spätestens seit schon beim normalen Lesen von HDDs PRML verwendet werden muss dürfte es unmöglich sein einmal überschriebene Daten zu rekonstruieren.
Bei einer SSD kann man spätestens, wenn die Datenblock geTRIMt ( d. zu Liste der unbenutzen Blöcke hinzugefügt worden ist) worden ist nur noch nur unter Umgehung des SSD-Controlers auf die Daten des Blocks zugreifen. Denn für eine geTRIMten Block gibt der Controler einfach Nullen zurück .
Da SSDs auch noch in der Regel SEDs ( self encrypting drives) sind, gibt es eine weitere Hürde :
Beim Schreiben werden Daten noch mal mit einem internen Schlüssel des Controlers verschlüsselt . Man muss diesen Schlüssel aus dem Controler extrahieren um etwas mit den unter Umgehung des Controlers gewonnenen Daten anfangen zu können. Ein Secure Erase ersetzt diesen Schlüssel dann durch einen Neuen. Damit sind die Daten auch nicht mehr über den Controler entschlüsselbar.
 
  • Gefällt mir
Reaktionen: wesch2000
Zurück
Oben