Wie Festplatte schnell und 'etwas' sicher löschen?

Hi,
ich suche eine Möglichkeit eine komplette Festplatte (~80GB) in einem Zeitrahmen von ~10-15min so sicher zu löschen, dass „man“ nicht „mal eben“ die Daten komplett rekonstruieren kann. Was ich bisher fand (Wipe, shred, …) scheint Festplatten mindestens einmal komplett zu beschreiben und/oder erfordert ein booten des Löschsystems.

Ich stelle mir das eher so vor:
-überschreiben der Partitionstabelle(n)
-Beschreiben von vielleicht 1% (jedes 100. Bit) der Platte mit Nullen
-im laufenden System

Wer hat eine (bessere) Idee?

Dank und Grüße,
J~

killdisk
http://killdisk.com

Bootet von CD, dauert aber auch recht lange. Nullt alles.

Gruß

Stefan

moin,
es gibt nur Sicher ODER Schnell.
UBCD z.b. bringt auch alle tools mit, die du brauchst, aber wenn du nur 1% überschreibst sind die andern 99% lesbar.
gruss

Moien

Wer hat eine (bessere) Idee?

Sogar 2:

Muss die Platte es überleben ? Wenn nein wäre Thermit das Mittel der Wahl. Man kann Platten problemlos drin einpacken und laufen lassen. Und wenn die Daten weg müssen kann man das ganze zünden.

Oder das ATA-Security Passwort der Platte setzten. Dauert ~2 sec und ab dem nächsten Neustart ist die Platte unbrauchbar (bis man sie löscht oder das Passwort eingibt. es gibt noch 2-3 Modi in denen auch das Passwort nicht mehr hilft). Rettungsfirmen kommen zwar noch an die Platten ran, kostet aber halt Geld.

cu

leider 1
Hi,

Muss die Platte es überleben?

Ja. Und wenn mal nicht schraube ich die üblicherweise auf und erfreue mich an den Kopfbewegungen. Bin ich dessen überdrüssig forme ich z.B. mit einer Büroklammer lustige Muster in die Plattenoberfläche.

Oder das ATA-Security Passwort der Platte setzten.

Aktuell habe ich hier eine SCSI-Platte

Trotzdem Danke…

J~

leider 2
Hi,

es gibt nur Sicher ODER Schnell.

ganz bestimmt gibts keine Zwischenstufen? Hmm…

UBCD z.b. bringt auch alle tools mit, die du brauchst,

Auf http://www.ultimatebootcd.com/ habe ich unter „Hard Disk Wiping Tools“ leider kein Programm gesehen, welches das macht war ich suche.

aber
wenn du nur 1% überschreibst sind die andern 99% lesbar.

Für den durchschnittlichen Benutzer wäre eine Datei mit 1% korrupten Daten schon nicht mehr reparierbar. Mir würde das in vielen Fällen reichen.

BTW:
Um die komplette Platte (oder Partition) mit Nullen oder Zufallsdaten zu überschreiben kann man ja einfach nehmen.

Grüße,
J~

Hallo

Ich stelle mir das eher so vor:
-überschreiben der Partitionstabelle(n)
-Beschreiben von vielleicht 1% (jedes 100. Bit) der Platte mit
Nullen
-im laufenden System

Im laufenden System wird nicht gehen, wenn es sich um die Platte handelt, von der Dein System gebootet wurde.

Das mit den ‚1% überschreiben‘ hilft nicht, weil damit eine Rekonstruktion nicht wirklich schwierig ist.

Wenn es nicht sehr sicher sein muss, dann wäre ein einmaliges Überschreiben der fraglichen Partition oder Platte angezeigt. Wenn es sich um eine zweite Festplatte handelt, könnte das vielleicht auch zur Laufzeit des Systems gehen. Aber wie lange das dauert, weiss ich nicht.

CU
Peter

ich suche eine Möglichkeit eine komplette Festplatte (~80GB)
in einem Zeitrahmen von ~10-15min so sicher zu löschen, dass
„man“ nicht „mal eben“ die Daten komplett rekonstruieren kann.

Bei ext3 formatierten Platten reicht es aus, sämtliche Verzeichniseinträge zu löschen. Mit den üblichen Datenrettungs- und -wiederherstellungstools siehst du anschliessend kein Land (bzw. keine Dateien) mehr.

Gruss
Schorsch

Hallo,

Bei ext3 formatierten Platten reicht es aus, sämtliche
Verzeichniseinträge zu löschen. Mit den üblichen
Datenrettungs- und -wiederherstellungstools siehst du
anschliessend kein Land (bzw. keine Dateien) mehr.

Kann man dann nicht ‚raw‘ nach ‚file headern‘
bzw. ‚magic bytes‘ greppen?

Grüße

CMБ

Hi,

Bei ext3 formatierten Platten reicht es aus,

„oft“ habe ich Platten unterschiedlich partion- und formatiert. Also z.B. 1.ext2 2:NTFS, 3:ext3 (oder reiser).
Dann überscheibe ich z.B. den Anfang der ganzen Platte mit Datenmüll:

sämtliche
Verzeichniseinträge zu löschen.

Wie mache ich das automatisiert?

Grüße,
J~

Hi,

Im laufenden System wird nicht gehen, wenn es sich um die
Platte handelt, von der Dein System gebootet wurde.

es ist natürlich eine Extrafestplatte.

Das mit den ‚1% überschreiben‘ hilft nicht, weil damit eine
Rekonstruktion nicht wirklich schwierig ist.

Hmm, sagen wie x% und setzen x{2, 5, 10, ?} :wink:

Wenn es nicht sehr sicher sein muss, dann wäre ein einmaliges
Überschreiben der fraglichen Partition oder Platte angezeigt.

Wie gesagt, dass geht ja auch mit dd und ohne Extratool. Dachte, es gäbe was anderes…

Grüße,
J~

Bei ext3 formatierten Platten reicht es aus, sämtliche
Verzeichniseinträge zu löschen. Mit den üblichen
Datenrettungs- und -wiederherstellungstools siehst du
anschliessend kein Land (bzw. keine Dateien) mehr.

Kann man dann nicht ‚raw‘ nach ‚file headern‘
bzw. ‚magic bytes‘ greppen?

Das kann man durchaus; das Löschen von Dateien unter ext3 hält einer forensischen Wiederherstellung nicht im mindesten stand http://linux.sys-con.com/read/117909.htm. Ganz trivial ist die Wiederherstellung aber nicht, mir sind auch keine Tools bekannt, die eine automatische Wiederherstellung gelöschter Dateien von ext3-Partitionen ermöglichten. Für die geforderte ‚etwas sichere‘ Löschung reicht es m. E. also allemal.

Gruss
Schorsch

1 Like

Hallo Schorsch,

Das kann man durchaus; das Löschen von Dateien unter ext3 hält
einer forensischen Wiederherstellung nicht im mindesten stand
http://linux.sys-con.com/read/117909.htm.

Danke, prima Link. Muß ich am Wochendende gleich
mal ausprobieren!

Viele Grüße

CMБ

„oft“ habe ich Platten unterschiedlich partion- und
formatiert. Also z.B. 1.ext2 2:NTFS, 3:ext3 (oder reiser).
Dann überscheibe ich z.B. den Anfang der ganzen Platte mit
Datenmüll:

Diese Methode ist eher noch untauglicher als die Methode, jedes n-te Byte zu überschreiben. Sie hindert nämlich in keiner Weise daran, die Platte, wie von Semjon schon angedeutet, nach Dateiheadern oder Magic Bytes zu suche; v. a. erlaubt sie aber, noch vorhandene Verzeichnis- und Partitionsinformationen in den hinteren Teilen der Platte vollständig und ohne grossen Aufwand wieder verfügbar zu machen.

Da alle o. g. Dateisysteme aber mit festen Blockgrößen arbeiten, kannst du hingehen und die ersten n Byte jedes 256-Byte-Blocks überschreiben. Damit hast du, wenn du zusätzlich vorhandene Verzeichnisinformationen global überschreibst bzw. löschst, einer automatisierten Wiederherstellung einen stabilen Riegel vorgeschoben, eine manuelle Wiederherstellung sehr erschwert. Komprimierte Dateiformate, z. B. jpeg oder mpeg, sind anschliessend zu grossen Teilen nur noch mit erheblichem Aufwand und rein ‚auf gut Glück‘ wiederherstellbar. Andere Formate, wie z. B. Microsoft-Office-Dokumente, lassen sich aber auch anschliessend noch erkennen und geben ihre Informationen preis.

sämtliche
Verzeichniseinträge zu löschen.

Wie mache ich das automatisiert?

rm -rf. Oder willst du löschen, ohne zu mounten? Könnte ein intimer Kenner von ext3 (et al.) sicher scripten, aber wenn du eh weisst, was wie formatiert ist, ist ein Mount immer die einfachere und wohl meist schnellere Methode.

Gruss
Schorsch

1 Like

Hi,

ich dank’ dir für deine Antwort…

Da alle o. g. Dateisysteme aber mit festen Blockgrößen
arbeiten, kannst du hingehen und die ersten n Byte jedes
256-Byte-Blocks überschreiben.

Hmm, sowas übersteigt leider meine Kenntnisse bei weitem. Wenn es dafür kein Tool gibt…

Andere Formate, wie z. B.
Microsoft-Office-Dokumente, lassen sich aber auch
anschliessend noch erkennen und geben ihre Informationen
preis.

Wer verwendet denn sowas? :wink:
Im Ernst, diese Art der Löschung wäre genau das richtige Maß an Sicherheit welches ich mir vorgestellt hatte.

Wie mache ich das automatisiert?

rm -rf.

Aber wird dann nicht nur der allererste Verweis auf eine Datei (genauer, der Verweis auf den ersten Teil der „Datenkette“) gelöscht? D.h. die Verweise von Block n auf Block n+1 bleiben dann doch ebenso wie der ganze Dateiinhalt bestehen. Ist das dann nicht „sehr“ leicht wieder rückgängig zu machen?

Oder willst du löschen, ohne zu mounten?

Wäre praktischer…

Grüße,
J~

Da alle o. g. Dateisysteme aber mit festen Blockgrößen
arbeiten, kannst du hingehen und die ersten n Byte jedes
256-Byte-Blocks überschreiben.

Hmm, sowas übersteigt leider meine Kenntnisse bei weitem. Wenn
es dafür kein Tool gibt…

Dass es dafür ein Tool gäbe, halte ich für unwahrscheinlich. Der Nutzen wäre einfach zu zweifelhaft. Zumal ich nicht sicher bin, ob der Geschwindigkeitsvorteil wirklich signifikant ist. Zumindest ist er nicht annähernd proportional zu n/k, wie man zunächst vermuten könnte wenn man eine kleine Anzahl n Byte je Block k schreibt.

rm -rf.

Aber wird dann nicht nur der allererste Verweis auf eine Datei
(genauer, der Verweis auf den ersten Teil der „Datenkette“)
gelöscht?

Eben nicht bei Verwendung von ext3. Wie das bei anderen journalisierten Dateisystemen aussieht, weiss ich nicht. Bei ext3 wird das Journal und damit sämtliche Verweise im Inhaltsverzeichnis gelöscht. Was tatsächlich sogar, wenn man viel mit sehr grossen Dateien zu tun hat, zu quälenden Wartezeiten beim löschen führen kann. Ext3 ist halt nicht auf Performance hin optimiert.

D.h. die Verweise von Block n auf Block n+1 bleiben
dann doch ebenso wie der ganze Dateiinhalt bestehen. Ist das
dann nicht „sehr“ leicht wieder rückgängig zu machen?

Bezüglich des Dateiinhalts macht sich noch eine andere Eigenart von ext3 bemerkbar: Es ist ein von seiner Natur her fragmentiertes Dateisystem. Du kannst ext3, im Ggsatz z. B. zu ntfs, nicht defragmentieren. Das aber führt schon bei relativ geringer Volatilität der gespeicherten Dateien zu vielfach unterbrochenen Ketten, so dass ohne die gelöschten Journalinformationen nur kleine Dateien verlustfrei wiederhergestellt werden können. Bei jpegs aus der privaten Fotosammlung z. B. wären dann zwar die Charakterköpfe wiederherstellbar, die (aus Sicht des Sammlers selbstverständlich) unwichtigeren unteren Körperteile der Models hingegen im Datennirwana verschwunden.

Gruss
Schorsch

Hi,

Dass es dafür ein Tool gäbe, halte ich für unwahrscheinlich.
Der Nutzen wäre einfach zu zweifelhaft.

hmm…
Ich werde die Zeit mal messen (lassen) die ein komplettes Überschreiben mit Nullen braucht und mir dann das ganze noch mal überlegen :wink:

Aber wird dann nicht nur der allererste Verweis auf eine Datei
(genauer, der Verweis auf den ersten Teil der „Datenkette“)
gelöscht?

Eben nicht bei Verwendung von ext3. Wie das bei anderen
journalisierten Dateisystemen aussieht, weiss ich nicht.

Wenn ich mich recht erinnere sind ext3-Partionen ext2-kompatibel. Eine 3er kann ich also auch als 2er mounten und verwenden. Dann natürlich ohne Journal.
Heißt das im Umkehrschluß nicht, dass ein gelöschtes Journal die Daten trotzdem komplett erhält?

Bei jpegs aus der privaten
Fotosammlung z. B. wären dann zwar die Charakterköpfe
wiederherstellbar, die (aus Sicht des Sammlers
selbstverständlich) unwichtigeren unteren Körperteile der
Models hingegen im Datennirwana verschwunden.

:smile:

J~

Wenn ich mich recht erinnere sind ext3-Partionen
ext2-kompatibel. Eine 3er kann ich also auch als 2er mounten
und verwenden. Dann natürlich ohne Journal.
Heißt das im Umkehrschluß nicht, dass ein gelöschtes Journal
die Daten trotzdem komplett erhält?

Auszug aus den Ext3-FAQ http://batleth.sapienti-sat.org/projects/FAQs/ext3-f…
In order to ensure that ext3 can safely resume an unlink after a crash, it actually zeros out the block pointers in the inode, whereas ext2 just marks these blocks as unused in the block bitmaps and marks the inode as „deleted“ and leaves the block pointers alone.

Gruss
Schorsch