Detail Information

Löschen vs. Datenvernichtung

Wenn man Dateien und Verzeichnisse in Windows auf dem Weg über den Explorer löscht, werden diese Dateien üblicherweise in den Papierkorb verschoben. Wenn danach der Papierkorb gelöscht wird oder aber beim Löschen der Papierkorb umgangen wurde, scheint es als ob die Dateien für immer gelöscht wurden. Dies ist nicht so. Die Verweise auf die Sektoren der Festplatte, die durch die Datei belegt werden, werden in der Zuordnungstabelle für den Wiedergebrauch markiert. So lange diese Sektoren nicht mit neuen Daten überschrieben werden ist die zuvor "gelöschte" Datei noch vollständig in Takt. Bei der großen Speicherkapazität von heutzutage verwendeten magnetischen Medien kann dies schon eine Weile dauern. Mit spezieller Hardware und Software können alle Dateien wieder hergestellt werden. Selbst dann, wenn die Daten überschrieben, die Festplatte formatiert oder der Boot Sector gelöscht wurde. Das sind gute Neuigkeiten, wenn kritische Dateien wieder hergestellt werden sollen und schlechte Neuigkeiten wenn verhindert werden soll, dass fremde Personen private Daten lesen können.

Datenvernichtung auf magnetischen Medien soll eine Datenwiederherstellung, selbst mit einem großen Aufwand und Budget verhindern. Es wird berichtet, dass Behörden oder Geheimdienste selbst dann Daten rekonstruieren können wenn diese bereits 10 bis 22 mal überschrieben wurden. Durch detaillierte Kenntnis der Datenspeicherung auf magnetischen Medien auf mikroskopischer Ebene sind nun Verfahren und Standards zum Löschen von Daten entwickelt worden, die die Wiederherstellung bzw. die Rekonstruktion der Daten aus dem Restmagnetismus auf dem Medium ausschließen.

Magnetische Medien, wie zum Beispiel eine Festplatte, speichern ein Abbild aller Daten, die jemals darauf geschrieben wurden. Die Wahrscheinlichkeit der Rekonstruktion einer bestimmten Datenaufzeichnung in einem Bereich des Mediums wird immer geringer, je mehr Daten auf das Medium in dem bestimmten Bereich geschrieben wurden. Verfahren zur Rekonstruktion von überschriebenen Daten sind technisch aufwendig und verlangen auch ein gewisses Budget. Dabei können aber Daten rekonstruiert werden, die einerseits nur durch den täglichen Gebrauch des Mediums oder andererseits auch gezielt mit einer geringen Anzahl an Wiederholungen überschrieben wurden. Der Rekonstruktionsaufwand steigt mit der Anzahl der Wiederholungen an. Zu beachten ist allerdings, dass das einfache Überschreiben der Daten diese nicht auslöscht. Das Wipen von Informationen erfordert eine gründliche Änderung des magnetischen Feldes auf der Festplatte. Dazu ist es wichtig unterschiedliche, jedoch spezielle Bitmuster für die Schreibsequenzen auf das Medium auszuwählen und diese öfter zu wiederholen.

Prinzip der Datenspeicherung und versteckte Daten

Das magnetische Medium speichert Information als einen Strom von 0en und 1en, wobei eine 0 keinen Magnetismus und eine 1 den vollen Magnetismus repräsentiert. Während dem täglichen Gebrauch der Festplatte wird diese immer und immer wieder beschrieben, dadurch verändert sich auch der Absolutwert für eine 0 und die volle magnetische Feldstärke entsprechend. Dies bedeutet, dass wenn eine 0 mit einer 1 überschrieben wird die neue magnetische Feldstärke nicht die der vollen 1 erreicht, sondern beispielsweise nur 95% erreicht. Das ist gut genug um von der Festplatten Elektronik korrekt interpretiert zu werden, da alle Werte größer als 50% als eine 1 interpretiert werden. Jedoch wird dadurch enthüllt, was zuvor auf dem Medium gestanden ist. Wenn nun das fragliche Bit nur 90% der vollen magnetischen Feldstärke aufweist, dann kann möglicherweise angenommen werden, dass dort zwei 0 bits und zwei 1 bits geschrieben wurden. Dies kann man beliebig fortsetzen.
Forensische Analyse Software kann sich nun äußerst erfolgreich diese Tatsachen zu nutze machen. Es können komplette Layer von früheren Daten auf der Festplatte rekonstruiert werden.

Aber man muss längst nicht immer so tief graben um fündig zu werden:

Jede Festplatte wird beim Formatieren in Windows mit dem Dateisystem FAT, FAT32 oder NTFS beaufschlagt. Das Dateisystem unterteilt die Festplatte in Zuordnungseinheiten, sogenannte Cluster. Sie stellen die kleinste Einheit einer Festplatte dar, die vom Betriebssystem verwendet werden kann. Bei großen Festplatten kann die Größe einer Zuordnungseinheit durchaus 32 KByte und mehr betragen. Für die Organisation der Festplatte hat dies nun zur Folge, dass kleine Dateien von beispielsweise wenigen KByte einen kompletten Speicherblock belegen. Der übrige Speicherplatz der Zuordnungseinheit bleibt dabei ungenutzt.
Wenn nun Cluster mit einer Datei überschrieben werden, die kleiner ist als die vorherige, dann bleibt im letzten Cluster ein Bereich übrig, der nicht überschrieben wird. In diesem Cluster, der als belegt deklariert wird, kann nicht auf den freien Bereich ohne entsprechendes Hilfsmittel zugegriffen werden. Dies bedeutet, dass dort die Informationen der vorigen Datei erhalten bleiben. Diese Information kann bereits mit einem einfachen Diskeditor ausgelesen werden.
Versteckte Daten befinden sich auch in fehlerhaften Sektoren des Mediums. Wenn fehlerhafte Sektoren vom Betriebssystem oder der Hardware selbst erkannt werden, werden diese als defekt markiert. Es können damit auf diese Cluster keine weiteren Daten geschrieben werden.

Löschen mittels MCWipe

MCWipe ist ein Löschprogramm, das das sichere Löschen von Daten ermöglicht. Hierbei werden spezielle Verfahren verwendet, die beispielsweise vom US-Amerikanischen Verteidigungsministerium (Department of Defense, DoD) vorgeschlagen wurden. Wipe Softwarewerkzeuge sind aus dem Bestreben heraus entstanden der forensischen Analyse und der Datenrettung bewußt zu widerstehen. In MCWipe werden auf den physikalischen Sektoren des Mediums die Daten mit bis zu 36 speziellen Pattern (Bitmuster) so überschrieben, dass aus dem übrigbleibenden Restmagnetismus keine brauchbaren Daten mehr zu rekonstruieren sind.
Die üblichen Wipe Algorithmen, die in vielen Wipetools angeboten werden, überschreiben die vorhandenen Dateien mit zufälligen Zeichenfolgen, meist einfach oder dreifach und sind lediglich in beschränkten Fällen akzeptabel. Effektive Algorithmen zur Beseitigung aller Spuren der Daten basieren auf genauester Kenntnis der Speicherung von Bits und Bytes auf dem magnetischen Medium. Mehrere Algorithmen die in MCWipe implementiert wurden schreiben mit vielen unterschiedlichen Bitmustern die auf diesen Kenntnissen basieren auf das Medium (meistens sind dies Festplatten) um zu garantieren, dass die Informationen sicher gelöscht werden.
Ein sehr bekannter Algorithmus ist der erweiterte US DoD 5220.22-M (ECE), dieser wurde im NISPOM (National Industrial Security Program Operating Manual) beschrieben und definiert ein siebenmaliges Überschreiben. Die von Peter Gutmann entwickelte Verfahren wird als sicherste bisherige Methode angesehen, bei der die Daten 35 Mal überschrieben werden. Die neue von MCSoft entwickelte Methode verwendet für das Überschreiben der Daten einen CSPRNG (cryptographically secure pseudo random number generator). Eine Methode die den Einsatz eines guten CSPRNG beinhaltet wird als noch sicherer angesehen. Dies ist eine komplizierte Methode, die keine definierten Bitmuster verwendet, sondern die Daten 36 mal mittels kryptographisch sicheren Zufallsfolgen überschreibt.

Laufwerke mit Schreibcache und Lesecache

Aktuelle Laufwerke haben große Schreib- und Lesebuffer, die den Zugriff auf das Laufwerk beschleunigen sollen. Wenn auf Dateien zugegriffen wird, werden diese zunächst in den Laufwerk Cache geladen um eventuelle wiederholte Zugriffe zu beschleunigen. Dadurch müssen diese Dateien dann nicht mehr vom Medium neu geladen werden. Wiederholte Schreib- und Leseprozesse auf die Dateien werden im Cache durchgeführt. Wenn nicht berücksichtigt wird, dass die Dateien im Laufwerkscache bearbeitet werden kann es sein, dass der gesamte Wipe Prozess der Datei im Buffer durchgeführt wird. Nach Abschluss des Wipe Prozesses wird die geänderte Datei nicht mehr weiter gebraucht und zurück auf das Laufwerk geschrieben. Dadurch wurde bei der Anwendung von beispielsweise der Gutmann’schen Methode die Datei in Wirklichkeit nur einmal (und nicht 35 mal) überschrieben.
MCWipe berücksichtigt dieses sicherheitskritische Problem bei Laufwerken mit Schreib- und Lesebuffern. Es wurde eine Funktion implementiert die das Zurückschreiben der Dateien aus dem Laufwerkscache auf das Medium aktivieren soll. Dadurch sollen nach jedem abgeschlossenen Schreibdurchlauf die Dateien neu auf das Medium geschrieben werden und bei jedem neuen Schreibdurchlauf die Dateien neu vom Medium gelesen werden.

Verwandte Themen:

• MCWipe ActiveX DLL
• MCCrypt Pro
• MCCrypt Lite