Festplatte 2 x formatiert – findet Polizei meine Daten?

[CRen]

... oder die haben ihn gleich komplett eingesackt, der ist nämlich irgendwie nicht mehr an der Diskussion beteiligt...

Offensichtlich ist da jemand dem Irrglauben erlegen, mit OS X sind Filesharer sicher.

Zum Thema Festplatten-Löschung habe ich mal 'nen Artikel geschrieben:

http://www.netzwelt.de/news/66549-tutorial-festplatte-loeschen-aber-sicher.html

Laut Tenor der Gesprächspartner reicht schon einmaliges Überschreiben für den normalen Gebrauch, ab 3x wirds auch mit professionellen Tools schwer und spätestens nach dem 7. Überschreiben ist Schluss mit den Daten. Recht spät, dünkt mir.

Leider waren die befragten Ermittlungsbehörden zu keinem Statement zu bewegen, aber ich tippe mal drauf, dass die sich die Mühe, eine 2x überschriebene Platte zu rekonstruieren nur machen werden, wenn es sich um eine schwere Straftat handelt.

Gruß,
Christian

 

[Klasl57]

Mit Permanentmagneten geht das echt nicht?
Ich wollte meine alte Platte aus nem LC II verschenken, möchte aber nicht, dass jemand weiß, was ich damals so gemacht habe.

Wie bekomme ich die denn so gelöscht, dass Laien sie nicht mehr lesen können.
Der LC läuft nicht mehr und eine andere Möglichkeit habe ich nicht sie zu formatieren oder anderswo anzuschließen.

 

[joestoeb]

Die Polizei hat mein iBook mitgenommen.Jetzt frage ich mich ob die alles finden können, was auf meinem iBook vor der Formatierung darauf war. habe iBook im Büro benutzt. Hätte jeder was schreiben können.Aber da es meins war....

Dann will ich auch mal meine Senf dazugeben, eine ganz gute Link, finde ich ist diese hier, http://www.netzwelt.de/forum/showthread.php?p=263118#post263118 , da wird ziemlich gut verständlich über Datenvernichtung auf Festplatten gesprochen.
Schon mal vorab genommen, dort ist man der Meinung, dass nur ein 10 maliges Überschreiben nach heutigem Stand der Technik, selbst mit modernster Technik, sicherstellt dass sich die Daten nicht wiederherstellen lassen.
Ein bloßes Formatieren oder Partitionieren bringt jedoch so gut wie garnichts, die Daten lassen sich selbst mit einfachster Technik wiederherstellen.

 

[joestoeb]

... oder die haben ihn gleich komplett eingesackt, der ist nämlich irgendwie nicht mehr an der Diskussion beteiligt...

Offensichtlich ist da jemand dem Irrglauben erlegen, mit OS X sind Filesharer sicher.

Zum Thema Festplatten-Löschung habe ich mal 'nen Artikel geschrieben:

http://www.netzwelt.de/news/66549-tutorial-festplatte-loeschen-aber-sicher.html

Laut Tenor der Gesprächspartner reicht schon einmaliges Überschreiben für den normalen Gebrauch, ab 3x wirds auch mit professionellen Tools schwer und spätestens nach dem 7. Überschreiben ist Schluss mit den Daten. Recht spät, dünkt mir.

Leider waren die befragten Ermittlungsbehörden zu keinem Statement zu bewegen, aber ich tippe mal drauf, dass die sich die Mühe, eine 2x überschriebene Platte zu rekonstruieren nur machen werden, wenn es sich um eine schwere Straftat handelt.

Gruß,
Christian

Wie schon geschrieben, laut meinen Infos, 3x überrschreiben, macht das wiederherstellen so gut wie unmöglich, bzw den Aufwand unverhältnismäßig hoch, nach dem 10x überschreiben soll es selbst Geheimdiensten, die wahrscheinlich über die besten Möglichkeiten der Wiederherstellung verfügen, nicht mehr möglich sein, die Daten wiederherzustellen.

Gruß
Jörg

 

[ratti]

Nein! Partitionieren ist was anderes, Partitionen kann man für die Zwecke dieses Threads fast wie eine eigene Festplatte sehen.

Ne, da hat er schon recht.

Auf dem Mac ist das etwas schwierig auseinanderzuhalten, weil die entsprechenden Tools traditionell beides machen. FÜr Linuxer oder altgediente DOSler ist der Unterschied eher offensichtlich.

"partitionieren" ist das, was man mit fdisk, cfdisk etc. macht. Dabei wird tatsächlich nur ein Block geschrieben, der die Einteilung der Platte enthält. Die Partitionen selbst werden dabei nicht angefasst.

Wer bei Gelegenheit mal was kaputtspielen will, was sowieso weg soll: Nimm fdisk, teile deine Platte in neue Partitionsgrößen auf. Starte fdisk nochmal, trage die alten Werte wieder ein: Voila - alles wieder da.



Der zweite Begriff, das "formatieren", heisst auf verschiedenen Plattformen unterschiedlich, und einige Tools (auch die von Apple) führen das automatisch nach dem Partitionieren aus. Daher ist das ganze etwas verwirrend.
Am treffendsten finde ich die Linux-Diktion: "Ein Dateisystem erstellen".

Ein Tool schreibt ein leeres Inhaltsverzeichnis. Fertig. Das wars. Je nach Filesystem sieht das leere Inhaltsverzeichnis unterschiedlich aus: HFS, HFS+, UFS, FAT16, FAT32, EXT2, EXT3, ReiserFS, JFS, XFS, NTFS, ...

Einige Dateisysteme wiederholen Teile des Inhaltsverzeichnisses alle soundsoviele Blöcke, ggf. wird also auch das noch, gemacht, aber das wars ebenfalls: Es werden eine handvoll Blöcke geschrieben, fertig.



Früher war es unter manchen OSsen üblich, die gesamte Partition bei der Initialisierung des Dateisystems zu "nullen". Unter DOS sprach man dann von einer "weichen" (siehe oben) oder "harten" Formatierung. "Formatierung" wieder zu lesen als: Ein Dateisystem zu erstellen.
Davon ist man abgekommen. Die Platten sind heutzutage so groß, daß eine "harte" Formatierung viel zu lange dauert. Wer eine 200Gig-Platte hat, bei dem dauert das genau so lange, wie 200 Gig Daten zu schreiben, denn nichts anders macht der Rechner: Er speichert die ganze Platte voller Nullen.

Sinn macht das heutzutage nur in wenigen Fällen:
- Man will die Platte vor dem Verkauf sicher löschen
- Man will prüfen, ob die Platte einen Defekt hat. Diese Methode ist aber recht unsicher, manchmal fehlt aber gerade schlaueres Werkzeug. Katze, Schwanz.

Wer sicher gehen will, die Daten "unrettbar" gelöscht zu haben, überschreibt die KOMPLETTE Partition mehrfach mit Müll. Der Maccianer nimmt dazu die erweiterten Optionen des Festplattendiesntprogramm, der Unixer kopiert mit dd mehrfach /dev/random/ auf /dev/xxxx.


Also, zusammenfassend:

- Partitionierung löscht fast gar nichts und dauert eine Sekunde.

- Weiche Formatierung (Dateisystem erstellen) löscht ebenfalls nicht viel und dauert ein paar Sekunden.

- Harte Formatierung (Partition voll beschreiben und dann Dateisystem erstellen) löscht alle Daten und dauert gern mal mehrere Stunden. Im Reinraum und mit Zerstörung der Platte sind die Daten noch zu retten.

- Mehrfaches Überschreiben der Platte mit Zufallsdaten löscht die Platte zuverlässig, dauert aber möglicherweise mehrmals mehrere Stunden.

Gruß, Ratti

 

[celsius]

dreimal hoch für ratti und ._ut *hochhochhoch* clap clap clap

 

[ratti]

Nehmen die dir deinen Laptop schon wegen einer kleinen MP3-Sammlung mit, ich glaub eher, hier hat jemand schlimmeres getrieben!

Nun, mitnehmen werden die sicherlich - aber wenn er wirklich nur ein paar mp3-Dateien geshared hat, wird er wohl davonkommen.

@Ratti:
woher kennst du dich so gut aus, bei den Methoden, machst du sowas beruflich????

Die Grundlagen muste man "früher" kennen, um überhaupt irgendwas zum Laufen zu bringen. Als Linuxer bin ich vielleicht etwas näher an der Hardware dran. Und Daten hab ich mir auch schon geschreddert.


Die ganzen Reinraumgeschichten stehen durchaus mal in Computerzeitschriften, wenn es nicht gerade ComputerBLÖD ist. Ich arbeite als Admin, und in diesem Bereich ist sowas durchaus interessant, weil manchmal unersetzliche Hardware abraucht, die jahrzehntelang keiner mehr gebackupt hat... sollte nicht, passiert aber.


Übrigens ist man in Deutschland ziemlich weit in solchen Geschichten. Viele der Festplatten aus dem World-Trade-Center sind in Deutschland restauriert worden, weil man wissen wollte, ob Insider kurz vor dem Anschlag noch schnell eine Milliarde überwiesen haben oder nicht. Es ist wirklich erstaunlich, was die Leute in den Labors noch lesen können. Auf diese Festplatten ist ein komplettes Gebäude runtergekommen, nachdem sie selbst aus der Höhe des Eiffelturms runtergesaust sind. Unsereins kann seine Daten vergessen, wenn ihm bloß das iBook aus der Hand fällt.


Noch erstaunlicher ist die Software, die verwendet wird. Es handelt sich um komplette Neuentwicklungen von Treibern für die verschiedenen Dateisysteme - anders als die "normalen", die du und ich auf unseren Platten haben, sind deren Treiber halt "tolerant" gegen jede Art Fehler, Lücken oder unleserliche Stellen. Damit werden komplette Images ausgelesen.

Dabei muß man bedenken, daß die Daten ja nicht so auf Platte stehen, wie wir sie auslesen. Auf der Platte steht viel mehr an Steuerungs-, Synchronisations- und Markierungsinformationen. Auf dieser Lowlevel-Eben bewegen sich Datenretter. Wenn sie diesen Level bewältigt haben, halten sie überhaupt erst die defekten Datenblöcke in Händen.

Mit weiteren Eigenentwicklungen werden diese Images wieder in Dateien zerlegt - durch Dateierkennung, Wahrscheinlichkeitsrechnung und viel Handarbeit.

Und zu guter letzt haben die Programme, mit denen sie z.B. "halbe" Word-Dateien öffnen können, bei denen das echte Word gnadenlos wegbrechen würde (Naja, das echte Word bricht schon weg bei dem Versuch, z.B. einen Text zu schreiben, aber das ist ein anderes Thema...)


Mit anderen Worten: Die haben sich die Low-Level-Treiber, die Formatparser und Teile der Applikationen komplett selbst in 1000x stabiler nachgebaut. Respekt, Mann. Respekt. Profis.

Gruß,
Ratti

 

[dannycool]

Ne, da hat er schon recht.

Wie bitte was? Er hat definitiv nicht recht, immerhin ging es darum, was *ich* gemeint habe, tschuldigung, das weiss ich ganz sicher, was ich meine

Ansonsten stimme ich Dir natürlich zu, wir benutzen einfach verschiedene Terminologien. Meine stammt halt noch aus Zeiten wo Heimrechner keine Festplatten hatten, gerade "Formatieren" hat sich enorm gewandelt...

 

[emjaywap]

Vor ca. 2 Jahren wurde ich mal über einen befreundeten Staatsanwalt als "Sachverständiger", d.h. als Jurist mit Wissen über die technische Struktur des Internets zu einem Fall gebeten, in dem es um Kinderpornografie ging (grauenhaft). Meine Aufgabe hing nicht direkt mit der Wiederherstellung von Daten zusammen (juristische Bewertung der Beweiskraft von Verbindungsdaten), aber ich konnte die Arbeit der Experten dort sehen.

wir hatten so ein Klassenlehrer der es auch für ne sehr gute Idee hielt sich im Internet auf so seiten herumzutreiben und auch noch Kreditkartendaten anzugeben. Irgendwann haben Sie ihn mit seinem eMac und seinen schön archivirten Bildergalereien abgeholt.
Irgendwie glauben diese pädophilen "Leute" (alles Ausdrücke, welche mir einfallen sind nicht genug für dieses Verbrechen) , das sie ein Mac unerkennbar oder sonst irgendwie sicher macht.
Soll in keinem Fall ein Verdacht oder so gegen den Eröffner des Threads sein, aber mir ist halt gerade die Geschichte wieder hochgekommen. Und dass das iBook abgeholt wurde hat vermutlich seinen Grund. Und falls dies nicht mit der Musikindustrie zusammenhängt bin ich vollkommen dafür das es aufs härteste verurteilt wird.

 

[nakat0mi]

Ich hatte gerade keine Motivation, den ganzen Thread zu lesen - sorry.
Aber ein kleiner Gedanke:
War es nicht so, dass Du natürlich sämtliche mp3s von Deinen eigenen CDs kopiert hattest und die Platte formatiert hast, weil Du die CDs auf dem Flohmarkt verkauft hast?

 

[jofamac]

Du bist doch nicht Schiri Jansen?

 

[Fidel42]

Zwei Fragen in diesem Thread sind bei mir nach wievor im Kopf.

Eine vernünftige Antwort fänd ich toll...

Einerseits, wie war das mit Datenvernichtung und Dauermagneten. Zerstöre ich die Platte nicht, wenn ich sie intensiv mit einem Magneten bearbeite? Irgendwann müßte der Kopf doch hin sein, oder?

Zweitens war da die Frage, ob FileVault irgendwen davon abhält, Daten zu rekonstruieren? Oder hilft mir FileVault nur den Zugriff auf meine Daten zu erschweren, aber im Labor ist dann doch alles wiederauffindbar...

Eine gute Nacht.

 

[Flupp]

Kann es sein dass piazola schon im Knast ist ?

Das mit dem 7x mit Random überschreiben ist ja schön und gut, aber ihr denkt nicht "kriminell" genug: Zeit!
Schon mal schnell 30 GB 7x überschrieben während die Polizei an die Türe kloppft ?

Ne ne, da muss grösseres Geschütz hin: Hitzefackeln oder Schusswaffengebrauch !

(Bevor ich hier verdächtigt werde, ich habe kein Schweinkram und klaue nicht, siehe Sig, sondern hatte mich als Informatiker bei der Polizei beworben, die sagten mir es gäbe gar keine solche Abteilung! Man fasst es nicht :motz )

 

[ratti]

Zweitens war da die Frage, ob FileVault irgendwen davon abhält, Daten zu rekonstruieren? Oder hilft mir FileVault nur den Zugriff auf meine Daten zu erschweren, aber im Labor ist dann doch alles wiederauffindbar...

FileVault ist ein Crypto-Filesystem mit ausreichend starkem Schutz - also "sicher".

Bedauerlicherweise gilt das auch für den Fall, daß du mal versehentlich was beschädigst. Dann ist es nämlich auch ausreichend gegen Reparaturprogramme geschützt.

Also frag dich, was du willst: Optimalen Schutz vor Hausdurchsuchungen oder optimale Funktionalität bei Erster Hilfe nach Dickfingerigkeit.

Um Pornos vor der Freundin zu verstecken, taugt es allemal.

Die eigentlich interessante Frage muß dir ein Jurist beantworten: Darf die Polizei Maßnahmen ergreifen, um das Passwort aus dir rauszuholen? Ich weiss es nicht, aber in dem Fall wäre das alles unsinnig.

Gruß,
Ratti

 

[macSchreck]

Ein beherzter, mit ganzer Leibeskraft ausgeführter Schlag des edlen Gerätes gegen den Türrahmen soll und kann auch Wunder bewirken (reine Theorie, denn das würde ich meinem Book nie antun )! Wobei es im Eifer des Gefechts auch ein anderer, harter Gegenstand sein kann, gegen welchen man sein geliebtes Book "drischt". Im Zweifel könnte man ja auch einen der "Vollstrecker" missbrauchen: Zwei Fliegen mit einer Klappe, oder besser mit einem Book *eheh*.

Bei letzterem Schritt bleibt allerdings abzuwägen, ob die Daten den versuchten Totschlag auch definitiv wert sind!


Salut und gute Nacht,
mac

PS: Vielleicht hätte das ja geholfen

Nachher ist man halt immer schlauer

 

[lordsony]

FileVault ist ein Crypto-Filesystem mit ausreichend starkem Schutz - also "sicher"

Das bezweifle ich auch nicht, nur basiert die Sicherheit ja eben darauf nicht nur einzelne Ordner sondern das ganze Home Verzeichnis zu verschlüsseln (mehr Daten = mehr Schutz) Daher meine Frage: (Diese hielt mich bisher ab FileVault zu benutzen)

Ich habe in meinem Home Verzeichnis nicht nur Dokumente & Bilder, sondern auch 30gb an (iMovie-)Filmen und 13gb meiner cd-sammlung, wie sehr geht FileVault beim abspielen dieser (d.h. beim täglichen Gebrauch) auf Kosten der Performance?? (ibook g4, erste generation)

Hat irgendwer diesbezüglich Erfahrungswerte mit einer ähnlichen Konfiguration??

Grüße
Tom

 

[timoken]

wenn man dateien löscht oder formatiert werden sie nicht physikalisch gelöscht, sondern nur zum überschreiben freigegeben. wenn du eine platte formatierst und wert auf datensicherheit legst, solltest du sie mir leeren nullen überschreiben lassen (auch wenn es etwas länger dauert). für gelöschte daten gilt: je älter, desto sicherer überschrieben. wenn du eine große platte hast und nur wenig speicherplatz nutzt, hat der computer vuiel spielraum bevor er deine gelöschten daten überschreibt. wenn dein rechner allerdings eh auf den letzten 100mb rumpfeift, ist die wahrscheinlichkeit umso größer, dass deine virtuelle speicherdatei (oder "swap" für linux-user) das dinge schon unter sich begraben hat.

mit der polizei hat sowas übrigens garnix zu tun. die filzen eh erst deinen schrank nach cd-roms bevor sie deinen rechner checken. auf dem rechner sollten natürlich nur daten gespeichert sein, die du voll und ganz verantworten kannst.
capiche? ;-)

 

[Ebbi]

Nachdem ratti eigentlich schon alles gesagt hat, möchte ich doch noch mal etwas in den Raum werfen, da hier offenbar keine c't Leser sind. Die c't hatte letztes Jahr in einer Ausgabe genau das getestet, nämlich wie einfach man Daten rekonstruieren kann.
Fazit: gar nicht mal so einfach.
Die haben Platten einfach ganz normal mit PC-formatiert und testweise an die renommierten Datenrettungsunternehmen (Ibas, Convar, Ontrack, etc.) geschickt, mit dem Ergebnis dass keine Daten lesbar waren.

Leider finde ich den Artikel gerade nicht, daher müsst ihr mir entweder glauben oder selber danach suchen.

 

[maceis]

FileVault ist ein Crypto-Filesystem mit ausreichend starkem Schutz - also "sicher".
...

Es gab hier mal ne Diskussion, weil FileVault ja mit dem Benutzer Passwort verschlüsselt.
Das Benutzerpasswort wird aber im swap gespeichert und zwar unverschlüsselt.
Nun soll es für Experten möglich sein, dass unverschlüsselte Passwort auf der Platte zu finden und sich damit ganz normal anzumelden.
Da nutzt dann FileVault auch nichts mehr.

Wer devor Angst hat (aus welchen Gründen auch immer), dem ist anzuraten die swap-files zu verschlüsseln.
Die Alternative wäre, schützenswerte Daten in einem verschüsselten Immage zu speichern.

Für den OP hätte FileVault vermutlich schon was gebracht.

 

[ratti]

Es gab hier mal ne Diskussion, weil FileVault ja mit dem Benutzer Passwort verschlüsselt.
Das Benutzerpasswort wird aber im swap gespeichert und zwar unverschlüsselt.

Deswegen schrieb ich "sicher" und nicht: sicher.

Die Sicherheit hängt ja auch davon ab, wie weit man den Kreis um das Objekt zieht und welcher Methoden man sich bedient.

Ich nehme mal an, daß man das Passwort im Swap nur per Textfilter suchen kann? Dann ist ein Passwort wie "Finder" schon ideal, weil es im Swap-Dump nicht als Passwort erkannt wird, weil es 1000 mal aus anderen Gründen drinsteht. Aus anderen bekannten Gründen ist das natürlich ein saublödes Passwort.

Das nützt natürlich alles nichts, wenn man das Passwort irgendwo notiert - notieren muß, z.B. weil man beruflich 4000 Rechner betreut und schlechterdings allen das gleiche Passwort verpassen kann. Also muß man auch das dokumentierte Passwort irgendwo sichern.

Das nützt natürlich alles nichts, wenn sich der Eindringling sich einfach zwei Tschetschenen mietet, die root solange boxen, bis er das Passwort verrät. (Das nennt sich dann "Brute Force Attacke" ) Auch die Polizei dürfe da so ihre Rechte und Methoden haben.

Sicherheit ist halt relativ.

Gruß,
Ratti