|
1. Löschen
vs. Datenvernichtung
Wenn man Dateien und Verzeichnisse in Windows auf dem Weg über
den Explorer löscht, werden diese Dateien üblicherweise
in den Papierkorb verschoben. Wenn danach der Papierkorb gelöscht
wird oder aber beim Löschen der Papierkorb umgangen wurde,
scheint es als ob die Dateien für immer gelöscht wurden.
Dies ist nicht so. Die Verweise auf die Sektoren, die durch die
Datei belegt werden, werden in der Zuordnungstabelle für den
Wiedergebrauch markiert. So lange diese Sektoren nicht mit neuen
Daten überschrieben werden ist die zuvor "gelöschte"
Datei noch vollständig in Takt. Bei der großen Speicherkapazität
von heutzutage verwendeten magnetischen Medien kann dies schon eine
Weile dauern. Mit spezieller Hardware und Software können alle
Dateien wieder hergestellt werden. Selbst dann, wenn die Daten überschrieben,
die Festplatte formatiert oder der Boot Sector gelöscht wurde.
Das sind gute Neuigkeiten, wenn kritische Dateien wieder hergestellt
werden sollen und schlechte Neuigkeiten wenn verhindert werden soll,
dass fremde Personen private Daten lesen können.
Datenvernichtung auf magnetischen Medien soll eine Datenwiederherstellung,
selbst mit einem großen Aufwand und Budget verhindern. Es
wird berichtet, dass Behörden oder Geheimdienste selbst dann
Daten rekonstruieren können wenn diese bereits 10 bis 22 mal
überschrieben wurden. Durch detaillierte Kenntnis der Datenspeicherung
auf magnetischen Medien auf mikroskopischer Ebene sind nun Verfahren
und Standards zum Löschen von Daten entwickelt worden, die
die Wiederherstellung bzw. die Rekonstruktion der Daten aus dem
Restmagnetismus auf dem Medium ausschließen.
Magnetische Medien, wie zum Beispiel eine Festplatte, speichert
ein Abbild aller Daten, die jemals darauf geschrieben wurden. Die
Wahrscheinlichkeit der Rekonstruktion einer bestimmten Datenaufzeichnung
in einem Bereich des Mediums wird immer geringer, je mehr Daten
auf das Medium in dem bestimmten Bereich geschrieben wurden. Verfahren
zur Rekonstruktion von überschriebenen Daten sind technisch
aufwendig und verlangen auch ein gewisses Budget. Dabei können
aber Daten rekonstruiert werden, die einerseits nur durch den täglichen
Gebrauch des Mediums oder andererseits auch gezielt mit einer geringen
Anzahl an Wiederholungen überschrieben wurden. Der Rekonstruktionsaufwand
steigt mit der Anzahl der Wiederholungen an. Zu beachten ist allerdings,
dass das einfache Überschreiben der Daten diese nicht auslöscht.
Das Wipen von Informationen erfordert eine gründliche Änderung
des magnetischen Feldes auf der Festplatte. Dazu ist es wichtig
unterschiedliche, jedoch spezielle Bitmuster für die Schreibsequenzen
auf das Medium auszuwählen und diese öfter zu wiederholen.
zurück zur Übersicht
2. Prinzip der Datenspeicherung und versteckte Daten
Das magnetische Medium speichert Information als einen Strom von
0en und 1en, wobei eine 0 keinen Magnetismus und eine 1 den vollen
Magnetismus repräsentiert. Während dem täglichen
Gebrauch der Festplatte wird diese immer und immer wieder beschrieben,
dadurch verändert sich auch der Absolutwert für eine 0
und die volle magnetische Feldstärke entsprechend. Dies bedeutet,
dass wenn eine 0 mit einer 1 überschrieben wird die neue magnetische
Feldstärke nicht die der vollen 1 erreicht, sondern beispielsweise
nur 95% erreicht. Das ist gut genug um vom Festplatten Elektronik
korrekt interpretiert zu werden, da alle Werte größer
als 50% als eine 1 interpretiert werden. Jedoch wird dadurch enthüllt,
was zuvor auf dem Medium gestanden ist. Wenn nun das fragliche Bit
nur 90% der vollen magnetischen Feldstärke aufweist, dann kann
möglicherweise angenommen werden, dass dort zwei 0 bits und
zwei 1 bits geschrieben wurden. Dies kann man beliebig fortsetzen.
Forensische Analyse Software kann sich nun äußerst erfolgreich
diese Tatsachen zu nutze machen. Es können komplette Layer
von früheren Daten auf der Festplatte rekonstruiert werden.
Aber man muss längst nicht immer so tief graben um fündig
zu werden:
Jede Festplatte wird beim Formatieren in Windows mit dem Dateisystem
FAT, FAT32 oder NTFS beaufschlagt. Das Dateisystem unterteilt die
Festplatte in Zuordnungseinheiten, sogenannte Cluster. Sie stellen
die kleinste Einheit einer Festplatte dar, die vom Betriebssystem
verwendet werden kann. Bei großen Festplatten kann die Größe
einer Zuordnungseinheit durchaus 32 KByte und mehr betragen. Für
die Organisation der Festplatte hat dies nun zur Folge, dass kleine
Dateien von beispielsweise wenigen KByte einen kompletten Speicherblock
belegen. Der übrige Speicherplatz der Zuordnungseinheit bleibt
dabei ungenutzt.
Wenn nun Cluster mit einer Datei überschrieben werden, die
kleiner ist als die vorherige, dann bleibt im letzten Cluster ein
Bereich übrig, der nicht überschrieben wird. In diesem
Cluster, der als belegt deklariert wird, kann nicht auf den freien
Bereich ohne entsprechendes Hilfsmittel zugegriffen werden. Dies
bedeutet, dass dort die Informationen der vorigen Datei erhalten
bleiben. Diese Information kann bereits mit einem einfachen Diskeditor
ausgelesen werden.
Versteckte Daten befinden sich auch in fehlerhaften Sektoren des
Mediums. Wenn fehlerhafte Sektoren vom Betriebssystem oder der Hardware
selbst erkannt werden, werden diese als defekt markiert. Es können
damit auf diese Cluster keine weiteren Daten geschrieben werden.
zurück zur Übersicht
3. Löschen mittels Secure
Wipe
Secure Wipe ist ein Löschprogramm, das das sichere Löschen
von Daten ermöglicht. Hierbei werden spezielle Verfahren verwendet,
die beispielsweise vom US-Amerikanischen Verteidigungsministerium
(Department of Defense, DoD) vorgeschlagen wurden. Wipe Softwarewerkzeuge
sind aus dem Bestreben heraus entstanden der forensischen Analyse
und der Datenrettung bewußt zu widerstehen. In der Secure
Wipe ActiveX DLL werden auf den physikalischen Sektoren des Mediums
die Daten mit bis zu 36 speziellen Pattern (Bitmuster) so überschrieben,
dass aus dem übrigbleibenden Restmagnetismus keine brauchbaren
Daten mehr zu rekonstruieren sind.
Die üblichen Wipe Algorithmen, die in vielen Wipetools angeboten
werden, überschreiben die vorhandenen Dateien mit zufälligen
Zeichenfolgen, meist einfach oder dreifach und sind lediglich in
beschränkten Fällen akzeptabel. Effektive Algorithmen
zur Beseitigung aller Spuren der Daten basieren auf genauester Kenntnis
der Speicherung von Bits und Bytes auf dem magnetischen Medium.
Mehrere Algorithmen die implementiert wurden schreiben mit vielen
unterschiedlichen Bitmustern die auf diesen Kenntnissen basieren
auf das Medium (meistens sind dies Festplatten) um zu garantieren,
dass die Informationen sicher gelöscht werden.
Ein sehr bekannter Algorithmus ist der erweiterte US
DoD 5220.22-M (ECE), dieser wurde im NISPOM (National Industrial Security Program Operating Manual) beschrieben und definiert ein siebenmaliges Überschreiben.
Die von Peter Gutmann entwickelte Verfahren wird als sicherste bisherige
Methode angesehen, bei der die Daten 35 Mal überschrieben werden.
Die im Rahmen des Projektes entwickelte Methode verwendet für das Überschreiben
der Daten einen CSPRNG (cryptographically secure pseudo random number
generator). Eine Methode die den Einsatz eines guten CSPRNG beinhaltet
wird als noch sicherer angesehen. Dies ist eine komplizierte Methode,
die keine definierten Bitmuster verwendet, sondern die Daten 36
mal mittels kryptographisch sicheren Zufallsfolgen überschreibt.
zurück zur Übersicht
4. Übersicht der integrierten
Wipe Funktionen und Löschstandards
Es stehen folgende Wipe Funktionen zur Verfügung:
Quick Wipe:
Einmaliges überschreiben der Datei mit Nullen. Keine Wiederholung
möglich. Schnellste Methode.
Full Wipe:
Dreimaliges überschreiben der Datei mit Zufallswerten. Bis
zu zehn Wiederholungen möglich.
1. Durchlauf: überschreiben der Daten mit pseudo Zufallswerten
2. Durchlauf: überschreiben der Daten mit dem Komplementwert des ersten
Durchlaufs
3. Durchlauf: überschreiben der Daten mit pseudo Zufallswerten
U.S. Standard, DoD 5220.22-M (E):
Es wurde ein Standard vom Defence Security Service (DSS) entwickelt,
für einige Zeit das Problem der permanenten Entfernung von
Daten darstellte. Dieser wurde von vielen kommerziellen Unternehmen
eingesetzt. Unter dem National Industrial Security Program (NISP)
haben Vertreter der Industrial Security ihre Sicherheitsprogramme
vorgestellt. Als ein Teil dieser NISP hat die DSS den DoD 5220.22-M
Standard (National
Industrial Security Program Operating Manual - NISPOM) entwickelt,
den man mittlerweile in nahezu jedem Löschtool verwendet.
In diesem Manual ist unter anderem eine Methode zur Entfernung von
Daten auf magnetischen Medien hervorgehoben. Die NISP definiert
eine Technik zum Überschreiben von Daten, so dass alle Informationen
von dem Medium entfernt werden. Dieser Lösch-Algorithmus verwendet
drei Schreibdurchläufe:
1. Durchlauf: überschreiben der Daten mit fest vorgegebenem Wert
2. Durchlauf: überschreiben der Daten mit dem Komplementwert des ersten
Durchlaufs
3. Durchlauf: überschreiben der Daten mit pseudo Zufallswerten
Das US-Amerikanische Verteidigungsministerium
weist bei der Verwendung dieses Verfahrens darauf hin, dass es damit nicht gestattet ist Informationen auf Medien zu löschen, die als "Secret"
oder "TOP-Secret" klassifiziert wurden. In anderen Fällen sowie für den Heimgebrauch ist das Verfahren als ausreichend definiert worden.
Es sind bis zu zehn Wiederholungen möglich.
U.S. Standard, DoD 5220.22-M (ECE):
Das Verfahren ist eine erweiterte Variante des DoD 5220.22-M. Diese Variante des DoD Standards verwendet für das überschreiben der Daten sieben Durchläufe.
Dabei werden die Daten zweimal mit dem DoD 5220.22-M (E) Standard und einmal mit einem Zufallswert
DoD 5220.22-M (C) überschrieben. Es sind bis zu zehn
Wiederholungen möglich. Die Reihenfolge der Schreibdurchläufe ist dabei folgende:
1. bis 3. Durchlauf: überschreiben der Daten mit dem DoD 5220.22-M (E) Standard
4. Durchlauf: überschreiben der Daten mit pseudo Zufallswerten, dem DoD 5220.22-M (C) Standard
5. bis 7. Durchlauf: überschreiben der Daten mit dem DoD 5220.22-M (E) Standard
Peter Gutmann:
Peter Gutmann stellt in seiner 1996 veröffentlichten Arbeit
(Secure
Deletion of Data from Magnetic and Solid-State Memory) Verfahren
für das Löschen von verschiedenen Medientypen vor. Das
von Peter Gutmann entwickelte Verfahren bezieht auch Codierungsschemata
ein, die von Festplattenherstellern für die Codierung des Mediums
verwendet werden. Es werden sämtliche Permutationen von vierstelligen Bitmustern, die
für die Speicherung von Daten auf diversen Medien verwendet werden können,
nacheinander in insgesamt 35 Durchläufen auf die Festplatte geschrieben. Auf magnetischen Medien hat dies zur Folge, dass der Restmagnetismus der originalen Daten stark verrauscht wird und dadurch eine Wiederherstellung der Daten so gut wie unmöglich ist. Diese
Methode braucht durch die Verwendung von vielen Durchläufen mehr Zeit als die anderen Methoden zur Löschung der Informationen. Aber es ist eine sehr sichere Methode. Es sind
bis zu zehn Wiederholungen möglich.
Überschreiben mit dem ISAAC
CSPRNG
Die sicherste und komplizierteste Methode Daten auf magnetischen
Medien zu löschen ist die Daten mit einem CSPRNG (cryptographically
secure pseudo random number generator) zu überschreiben. Mit
36 Durchläufen bietet diese Methode auch auf modernen magnetischen
Medien einen sicheren und zuverlässigen Schutz vor Attacken.
Es ist selbst für Geheimdienste höchstwahrscheinlich nicht
möglich noch irgendwelche brauchbaren Daten zu rekonstruieren.
Diese Methode ist sehr zeitintensiv. Es sind bis zu zehn Wiederholungen
möglich.
zurück zur Übersicht
|
1. 