Bild 2.1 Verzeichnis löschen mit Kontrolle der Löschoptionen
Rudi Theisen, ZAM
23.05.2006, 21.06.06
Quellen:
WWW.FZ-Juelich.DE/zam/sicherheit/download/freeware.1/eraser/zam-doc/eraser57-zam.htm
Im JuNet: Auf dem ZAM-PC-Server: \\pcsrv\public\JuNetSecCD\Notfall-CD\zam\eraser57-zam.htm
und ab Juni 2006 auch auf der ZAM-Notfall-CD selbst (CD:\ERASER\zam-doc\eraser57-zam.htm )
Gliederung:
fdisk oder format löschen nie
die einzelnen Blöcke (Datei-Inhalte), sondern immer nur die
Speicher-Bereiche, in denen der Zugriff auf die Dateien organisiert und
festgehalten wird (Verzeichnisse, FAT (File Allocation Table) usw.).
Es existieren Hilfs-Programme, um wieder auf die Inhalte (versehentlich)
gelöschter Dateien und gelöschter Partitionen zugreifen zu können.
Mitunter aber möchte man Dateien bzw. Verzeichnisse oder gar ganze Partitionen
(s.
Kap. 9)
unwiederbringlich löschen.
Auf einige Aspekte, warum das Löschen schwierig ist, wird in Kap. 12 eingegangen. Das Eraser-Programm ist ein gutes Lösch-Programm unter Windows (s. [4]). Wenn es installiert ist (s. Kap. 3), kann man z.B. aus dem Windows Explorer eine Datei oder ein Verzeichnis anklicken und über das erweiterte Kontext-Menü (Rechte-Maus-Menü) das Löschen starten (s. Bild 2.1). Auch für den Papierkorb ist das Kontext-Menü um eine sichere Lösch-Funktion ergänzt (s. Bild 2.3).
Voreingestellt werden die Dateien dann 35 mal mit verschiedenen Mustern überschrieben.
Diese hat Peter Gutmann definiert (s. [1] oder im
Erase-Hilfe-Menü).
Daneben sind auch die vom US-Verteidigungsministerium als
US DoD 5220.22-M definierten
Löschmuster verwendbar.
Weiterhin kann man die Datei mit zufällig erzeugten Mustern überschreiben, wobei dann voreingestellt
die Dateien
nur einmal überschrieben werden.
Des weiteren erlaubt es das Eraser-Programm, sich beliebige eigene Löschmuster
zu definieren.
Die Lösch-Methode kann man entweder generell über die Voreinstellungen
(Edit ==> Preferences ==> Erasing oder Strg-E )
einstellen (s. Bild 5.2) oder
über die Optionen-Funktion des Löschbestätigungs-Menüs auswählen (s. Bild 2.1,
Punkt a).
Statt nun eine Datei bzw. ein Verzeichnis zu löschen, kann man auch die nicht mehr benutzten Bereiche des Speichermediums löschen (s. Bild 2.2 und Kap. 6). Diese werden voreingestellt nur einmal überschrieben und zwar mit zufällig erzeugten Mustern. Für die meisten wird dieser Schutz völlig ausreichend sein. Professionelle Spione können mit entsprechenden Hardware-Aufwand (Magnetkraft-Mikrokospie) die ursprünglichen Informationen dann dennoch weitgehend wieder rekonstruieren. Wer denen die Arbeit erschweren will, kann auch für das Überschreiben der unbenutzten Bereiche die Gutmann-Methode oder eine der beiden NSA-Methoden auswählen. Da diese jeden Bereich 35 bzw. 7 bzw. 5 mal überschreiben, benötigen diese viel mehr Zeit, schützen dafür aber auch die wieder freigegebenen Bereiche viel besser vor unerwünschtem Ausspionieren. Es ist also ein Kompromiß zwischen Aufwand und Schutzbedürfnis zu finden.
Das Eraser-Programm bringt ein Planungs-Programm (Scheduler) mit (s. Kap. 7). Damit kann man sowohl Löschaufträge für wieder freigegebene Platten-Bereiche als auch das gezielte Löschen von Dateien und Verzeichnissen definieren.
Ferner wird auch eine DOS-Version dieses Löschprogramms bereitgestellt (s. Kap. 8), die man ohne Installation nutzen kann.
In Kap. 9 wird gezeigt, wie Sie damit in Verbindung mit der ZAM-Notfall-CD Partitionen sicher löschen können, auch die System-Partition. Das macht insbesondere dann Sinn, wenn man seinen Rechner abgibt.
Um einzelne Partitionen oder eine ganze Festplatte zu löschen, kann man sich aber auch eine bootfähige Diskette erzeugen (s. Kap. 10.1), die unter einem Mini-Linux das DBAN-Löschprogramm anbietet.
Abschließend werden im Kap. 12 einige Lösch-Aspekte näher besprochen und in Kap. 13 Links und Zusatzinformationen bereitgestellt.
Das installierte Eraser-Programm erweitert die Kontext-Menüs des Explorers und des Papierkorbes. Als erstes soll gezeigt werden, wie einfach Sie dann aus dem Explorer heraus Dateien oder Verzeichnisse löschen können.
Voreingestellt werden Dateien und Verzeichnisse mit den von Gutmann
definierten Lösch-Muster (s. [1]) 35 mal überschrieben (B)
und auch die Bereiche hinter den EOF-Marken (C) und bei NTFS formatierten Dateisystemen
auch diejenigen Dateien, die den zu löschenden Dateien zugeordnet sind (
Alternate Data Streams (ADS), s. D) so
gelöscht. Sie können aber diese Lösch-Optionen für jeden Lösch-Auftrag
ändern (s. a, b).
Das Löschen muß explizit bestätigt werden (4). Der Fortschritt wird angezeigt (F)
und falls die Option "Show results" (s. G) nicht abgewählt ist, wird zum Abschluß die
Lösch-Statistik präsentiert (H). Im Explorer sehen Sie, daß das Verzeichnis
nun gelöscht ist (s. I).
Bild 2.1 Verzeichnis löschen mit Kontrolle der Löschoptionen
Wenn Sie sich mit der Rechten Maus aus dem Explorer (1) nicht das Kontext-Menü zu
einem Verzeichnis, sondern zu einer Partition anzeigen lassen (2),
dann können Sie über den neuen Kontext-Menü-Eintrag Erase unused space (3)
alle unbenutzten Bereiche einschließlich der Bereiche hinter den EOF-Marken (Cluster tips)
und gelöschte Inhaltsverzeichnis-Einträge (s. B) löschen lassen:
Bild 2.2 Unbenutzte Bereiche durch einmaliges Überschreiben mit Zufalls-Mustern löschen
Voreingestellt werden die freigegebenen Bereiche einmal mit Zufallszahlen überschrieben (s. A). Über die Edit-Funktion (C) könnten Sie die Zahl der Durchläufe ändern. Sie können aber auch per Maus eine andere Löschmethode auswählen. Auf diese Lösch-Aufgabe wird in Kap. 6 noch ausführlicher eingegangen.
Speziell zum sicheren Löschen des Papierkorbes ist nach der
Installation des Eraser-Programms in Papierkorb-Kontext-Menü
die Funktion "Erase Recycle Bin" (s. 2) neu eingeführt.
Damit werden voreingestellt (s. a) alle Dateien im Papierkorb einschließlich
der Bereiche hinter deren EOF-Marken (s. D) und der zugeordneten Dateien (ADS) (s. E)
35 mal mit den Gutmann-Löschmustern (s. C) überschrieben, bevor diese
Bereiche endgültig freigegeben werden:
Bild 2.3 Papierkorb sicher löschen
Das folgende Bild zeigt, daß man vordefinierte Löschaufträge nutzen kann:
Bild 2.4 Start eines Löschauftrages aus dem Eraser-Programm
Wie Sie einen solchen Löschauftrag definieren und dann bequem vom Planer (Scheduler) des Eraser-Programms regelmäßige ausführen lassen können, wird in Kap. 7 vorgestellt.
Wichtig ist es, vor der Installation früherer Versionen dieses Programms
zu löschen (s. Anmerkung B):
Bild 3.1 Start der Installation des Eraser-Programms
Bild 3.2 2. Teil der Installation des Eraser-Programms
Bild 3.3 Abschluß der Installation des Eraser-Programms
Bild 4.1 Überblick über die Eraser-Bedienoberfläche
Bild 4.2 Überblick über die Menü-Leiste des Eraser-Programms
Bild 4.3 Eraser-Erweiterung des Kontext-Menüs des Papierkorb
Bild 4.4 Hilfe-Manual: Anzeige z.B. der Modul-Übersicht
Bild 5.1 Allgemeine Voreinstellungen (General Preferences)
Die Löschung des Swap-Bereiches beim Herunterfahren des PCs sollten Sie setzen (s. 5).
Bild 5.2 Voreinstellungen für das Löschen von Dateien und von unbenutzten Platten-Bereichen
Bild 6.1 Vorbereitung: Platte bereinigen
Nun kann die Löschung der unbenutzten Bereiche gestartet werden:
Bild 6.2 Start der Löschung der unbenutzten Bereiche einer Partition
Unbenutzte Bereiche werden voreingestellt durch Überschreibung mit
Zufallswerten gelöscht (A).
Das ist übrigens auch die Methode, die Peter Gutmann inzwischen für solche Platten
empfiehlt, von denen man nicht wirklich weiß, wie der betreffende Platten-Kontroller tatsächlich
die Daten beim Schreiben auf eine Platte kodiert.
Diese Bereiche werden voreingestellt nur einmal überschrieben (Passes=1) (s. A).
Diese Lösch-Strategie sollte für die meisten von uns reichen. Gegen die Wiederherstellungs-Profis (Geheimdienste, Firma Ontrack usw.) schützt das zwar nicht - gegen die kann man sich sowieso kaum schützen, allenfalls nur durch Zerstörung der Platten -, wohl aber gegen all diejenigen, die nur neugierig sind, was denn der Vorbesitzer einer Platte alles so gespeichert hatte (s. [3]).
Zunächst wird die Platte durchsucht (B) und dann als erstes die "Cluster Tips"
überschrieben (C). Das sind die Bereiche im letzten Block einer Datei,
die hinter der End-of-File-Marke (EOF) stehen. In den allerseltensten Fällen
wird ja der letzte Block einer Datei ganz von der Datei belegt.
Hinter der EOF-Marke können noch Informationen von der Datei stehen, die diesen
Platten-Bereich vorher belegt hat.
Der Fortschritt dieser sehr zeitaufwendigen Überschreibungs-Phase (D)
und der gesamte Fortschritt (E) werden angezeigt.
Nachdem die "Cluster Tips" gelöscht sind (s. C), werden als nächstes die freien Blöcke
überschrieben (F):
Bild 6.3 Abschluß der Löschung der unbenutzten Bereiche einer Partition
Zum Abschluß werden die temporär genutzten Bereiche überschrieben (G) und auch die freien Bereiche in Inhaltsverzeichnissen gelöscht (H), denn Datei-Namen sind ja oft bereits sehr aussagekräftig (Kündigung-zum-31.3.2010.doc). Abschließend werden noch einmal temporäre Bereiche gelöscht (I).
Wenn die Option "Show results" (K) aktiviert ist (Voreinstellung,
s. Bild 5.1, dort A
), dann bekommt
man den Abschluß-Bericht angezeigt:
Bild 6.4 Ergebnis-Protokoll
Schon in der ersten Zeile wird man pauschal informiert, daß nicht alle Bereiche gelöscht werden konnten (L).
Zunächst bekommt man die statistische Übersicht angezeigt. Daraus erkennt
man, wieviel MB an Bereichen insgesamt sicher gelöscht wurden (M) und
wieviel Bytes hinter den EOF-Marken gelöscht wurden (Cluster Tips: N).
Auch die gesamte Löschzeit ist erfaßt (O): Zum Löschen der ca. 10 GB freier
Speicher-Blöcke und der End-Bereiche der ca. 26 MB Dateien wurden bei diesem
mit 700 MHz arbeitenden Laptop fast eine Stunde benötigt.
Überraschend aber war für mich, daß bei fast 2500 Dateien die Löschung -
vermutlich der Bereiche hinter der EOF-Marke (Cluster Tips) - nicht möglich war.
Wer will, kann sich ja dieses
Ergebnis-Protokoll näher ansehen.
Daß man auf Dateien, die gerade in Benutzung sind (geöffnet sind), nicht
zugreifen kann, ist ja noch einleuchtend, z.B. auf Windows- oder Log-Dateien.
Die meisten dieser nicht bereinigten Dateien sind geschützte (protected) Dateien.
Bibliotheken (.dll) scheint das Löschprogramm auch nicht anzufassen.
Wenn Sie auch von der System-Platte die unbenutzten Bereiche löschen wollen,
empfiehlt es sich, den PC z.B. von der ZAM-Notfall-CD zu booten und dann dort
die Kommando-Version des Eraser-Programms aufzurufen (s. Bild 9.4).
Dann ist das Windows von der System-Platte (hier: C) nicht gestartet, dann
sind keine der System-Dateien von C: blockiert und dann
werden auch keine Fehler mehr gemeldet:
Bild 6.5 Ergebnis-Protokoll nach Nutzung des Eraser-Programms von der gebooteten ZAM Notfall-CD
Fazit: Besser nicht zu übermütig werden und glauben, daß alle unbenutzten Bereiche gelöscht werden!
Bild 7.1 Starten des Eraser-Planers, Entfernung des Disketten-Löschauftrages und Definition des Platte-C-Löschauftrages
Bild 7.2 Kontrolle des Planer-Auftrages
eraserl.exe (180 KB)
und eraser.dll (448 KB). Sie finden diese beiden
Module auch auf der ZAM-Notfall-CD (X:\eraser\).
Man kann dieses Programm-Version ohne Installation nutzen.
Bild 8.1 Überblick über die Optionen der Eraser-Kommando-Version
Bild 8.2 Löschung einer Datei mit Hilfe der Eraser-Kommando-Version
Über die -disk -Option kann man unbenutzte Bereiche auf dem
angegebenen Laufwerk sicher löschen. Wenn man keine Lösch-Methode angibt,
werden die unbenutzten Bereiche einmal mit Zufallswerten überschrieben.
Beispiel:
eraserl -disk "c" Auf C: alle unbenutzten Bereiche löschen
eraserl -disk "all" Auf allen Festplatten unbenutzte Bereiche löschen
Das Eraser-Programm kann die unbenutzten Blöcke sicher löschen. Wenn man die zu löschende Partition mit Hilfe des A43-Explorers formatiert, dann sind alle Blöcke unbenutzt und das Eraser-Programm kann diese und damit die ganze Partition sicher löschen.
Was ist zu tun?
X:\ERASER\CMD\ wechseln.
Mit X:\ERASER\CMD\A-UNUSED.BAT können sich Sie vorher
vergewissern, wie das geht und mit
X:\ERASER\CMD\C-UNUSED.BAT bzw.
X:\ERASER\CMD\D-UNUSED.BAT
von den unbenutzten Blöcken der C- bzw. der D-Partition
den ursprünglichen Inhalt mit Zufallswerten überschreiben.
Sie können aber auch direkt das ERASERL - Programm von X:\ERASER\CMD\
aufrufen, entweder mit
GO ==> Ausführen... oder
mit
GO ==> "DOS"-Box (CMD).
Geben Sie dort ein:
X:\ERASER\CMD\ERASERL -disk "N" -results
wobei N die Partitions-Bezeichnung ist, z.B. C.
Die folgenden Bilder veranschaulichen das ganze noch einmal. Die Verwendung der ZAM-Notfall-CD hat zwei Vorteile:
Bild 9.1 Start der Formatierung (von der ZAM-Notfall-CD) der zu löschenden Partition
Bild 9.2 Formatierung der zu sicher zu löschenden Partition mit Hilfe der ZAM-Notfall-CD
Aus Windows-Sicht ist diese Partition nun leer:
Bild 9.3 Kontrolle der formatierten Partition
Leer bedeutet, daß alle Blöcke dieser Partition nicht benutzt werden.
Das Eraser-Programm erlaubt es, alle unbenutzten Blöcke z.B. mit Zufalls-Werte zu überschreiben und
verhindert damit, daß deren ursprünglicher Inhalt wiederhergestellt werden kann:
Bild 9.4 Überschreiben der unbenutzten Blöcke einer Partition
Bild 10.1 Erzeugung einer bootfähigen Linux-basierten Diskette mit dem DBAN-Lösch-Programm
Falls Ihr PC schon kein Disketten-Laufwerk mehr besitzt, müssen Sie sich an einem PC, der noch ein Disketten-Laufwerk und einen CD-Brenner hat, zuerst diese DBAN-Boot-Diskette erzeugen und aus dieser Diskette eine bootbare CD erstellen (s. Erzeugung einer bootfähigen CD unter Nero (http://www.fz-juelich.de/zam/sicherheit/docs/win/inf-win/Boot-CD-per-nero.htm)). Eventuell können Sie aber auch die Option "Image File" nutzen (s. A).
Vorbereitung: Wenn Sie mehrere Platten haben, aber nur
eine bzw. nur eine Partition auf einer Platte löschen wollen,
so müssen Sie die Typen-Bezeichnungen Ihrer Platte kennen,
weil nur diese vom DBAN-Programm angezeigt werden, da das unter Linux läuft.
Als Administrator kann man die Typen-Bezeichnungen unter Windows z.B. über
Bild 10.2 Ermittlung der Platten-Typenbezeichnungen unter Windows
Die DBAN-Nutzung selbst erfordert folgende Schritte:
A:\dban
gerettet. Normalerweise ist das die DBAN-Lösch-Diskette; diese darf dann aber
nicht schreibgeschützt sein!
Anmerkungen:
Bild 11.1 Löschung eine einzelnen Datei mit PrivateCrypto
Wenn man mehrere Dateien löschen will, wird man bei der ersten der zu
löschenden Dateien gefragt, ob man gleich alle Dateien löschen soll (4):
Bild 11.2 Löschung mehrerer Dateien mit PrivateCrypto
Beim Löschen eines Verzeichnisses ändert sich nur das Kontext-Menü. Ansonsten
kann man wieder dessen Dateien einzeln oder gleich alle löschen (4):
Bild 11.3 Löschung eine Verzeichnisses mit PrivateCrypto
pgp -wc file
verschlüsselt die angegebenen Datei symmetrisch und löscht dann die Klartext-Datei.
Inzwischen ist PGP leider eine lizensierte Software, zuerst von der Firma NAI/McAfee, nun
von der Firma PGP. Die folgenden beiden Bilder belegen, wie man damit eine einzelne
Datei bzw. ein Verzeichnis löscht. Bei größeren Dateien sieht man den Radiergummi
bei der Arbeit (s. t):
Bild 11.4 Löschung eine einzelnen Datei mit PGP
Bild 11.5 Löschung eine Verzeichnisses mit PGP
fdisk oder format. Mit speziellen Hilfsprogrammen kann man sich
dann immer noch die Inhalte solcher zum Überschreiben freigegebenen Dateien
anzeigen lassen.
Mitunter aber möchte man Dateien bzw. Verzeichnisse oder gar ganze Partitionen unwiederbringlich löschen. Am sichersten ist es, die magnetischen Speicher (Platten) zu zerstören. Das geht aber dann nicht, wenn diese anschließend weiter genutzt werden soll, z.B. wenn man (s)einen PC abgibt (zurückgibt, verkauft oder verschenkt).
Bei digitalen Speichern (RAM, USB-Sticks) ist das Löschen ja noch einfach:
Man überschreibt die zu löschenden Dateien bzw. den ganzen Bereich mit
einem (beliebigen) Muster.
Schwieriger aber ist es, magnetische Speicher-Medien (Fest-Platten, Disketten,
ZIP-Disketten oder Magnet-Bänder) sicher zu löschen.
Magnet-Bändern oder Disketten kann man noch verhältnismäßig einfach
entmagnetisieren. Dazu gibt es spezielle Geräte.
Mit diesen kann man aber keine Festplatten löschen, es sei denn, man
baut die Speicher-Platten aus; die kann man dann aber auch gleich zerschreddern
und entsorgen.
Eingebaut aber verhindern die Platten-Metall-Gehäuse, die wie ein Faradayscher
Käfig wirken, daß man die Daten auf den magnetischen Platten entmagnetisieren
kann. Innerhalb des FZJ besitzen wir zwar Geräte mit sehr starke Magnetfelder,
z.B. am NMR 4 bis 5 Tesla, aber auch damit verbietet sich ein Entmagnetisieren,
weil man ja nicht weiß, ob nicht die Platten-Elektronik mit all den
ICs und Speicherbahnen verdampft.
Deshalb kommt nur ein Löschen mit Software-Hilfsmitteln in Frage.
Normale Programme kommen aber bei weitem nicht an alle auf einer Platte gespeicherten Informationen. Da sind zum einen die als Bad-Sektor markierte Bereiche zu nennen. Zum anderen gibt es auch oft Spuren, die man normalerweise gar nicht adressieren kann. Der Schreibkopf wird aber nicht nur die in einer Spur liegenden Bereiche ummagnetisieren, sondern auf Grund der nicht zu vermeidenden Streuung auch immer Bereich zwischen den Spuren. All diese Bereiche kann ein normales Anwendungs-Programm nicht überschreiben.
Ein solches magnetisches Speicher-Medium soll nun für uns sicher gelöscht sein, wenn man mit Software-Mitteln nicht mehr die vorher gespeicherte Informationen rekonstruieren kann. Es soll also kein Schutz vor Angreifern erreicht werden, die diese Medien "unter dem Mikroskop" untersuchen; wenn man etwas vor den Geheimdiensten verheimlichen will, dann hilft nur das sichere Löschen mit anschließender physikalischen Zerstörung, z.B. verbrennen. Grund dafür, daß man mit den entsprechende Hardware-Werkzeugen oft auch nach vielfachen Überschreiben doch an die ursprüngliche Information heran kommt, ist, daß zur Speicherung einer binären Eins bzw. Null sehr viele kleinste Dipole ummagnetisiert werden. Dieses Ummagnetisierung aber klappt nie zu hundert Prozent. Die vorgefundene Magnetisierung ist also immer eine Funktion von der ursprünglichen, nun zu versteckenden Information und den anschließend darübergeschriebenen Informationen.
Beim sicheren Löschen werden die magnetischen Speicher-Medien mehrfach mit
unterschiedlichen Mustern überschrieben. Die von Peter Gutmann [1] definierten
28 Muster, ergänzt um weitere 7 Zufalls-Muster werden bei sehr vielen
Lösch-Programmen als sichere Methode verwendet. Jeder Bereich wird dabei
also 35 mal überschrieben. Diese Lösch-Methode ist zwar recht sicher,
leider aber auch sehr zeitaufwendig.
Wenn man Datei-Inhalte nur vor den Anwendern von gängigen Lese-Programm für
gelöschte Bereiche verstecken will, genügt ein einmaliges Überschreiben mit
Zufalls-Werten.
Dann ist zwischen dem Löschen von ganzen Speicher-Medien und dem Löschen von
Dateien und Verzeichnissen zu unterscheiden.
Für den ersten Fall gibt es Lösch-Programme, die total unabhängig von dem
Betriebssystem arbeiten, mit dem die betreffende Platte erstellt wurde.
Es gibt mehrere Lösungen, die zum Löschen eine bootfähige Diskette bzw. CD
benutzen, die ein einfaches Linux-Betriebssystem starten.
Das Löschen wird dann üblicherweise mit dem Unix "dd"-Befehl durch
Überschreiben durchgeführt.
Oft erlauben diese Lösch-Systeme es, unterschiedliche Lösch-Muster zu verwenden,
z.B. die Gutmann-Muster [1]. Mit einem solchen Lösch-Programm kann man
also sowohl Windows- als auch UNIX/LINUX-Platten löschen.
Dann ist zu prüfen, ob das Löschprogramm auch die betreffende Platten-Schnittstelle beherrschen. Bei Windows werden vorrangig IDE- bzw. ATA-Platten eingesetzt und weniger SCSI-Platten. Neuere Schnittstellen rücken nach. Da ist zu prüfen, ob das im Lösch-Programm eingesetzte Mini-Linux diese Schnittstellen beherrscht.
Wenn das sichere Lösch-Programm gezielt aber "nur" einzelne Dateien bzw. Verzeichnisse löschen soll, muß dieses Lösch-Programm unter dem vorhandenen Betriebssystem arbeiten.
Datei-Löschprogrammen machen üblicherweise einen Unterschied, ob der Benutzer ganz gezielt eine bestimmte Datei oder ob er die nicht benutzten Bereiche einer Partition löschen will. Darunter versteht man zum einen die noch nie benutzten bzw. die wieder freigegebenen Blöcke und zum anderen den Bereich innerhalb eines Blockes, der von der aktuellen Datei nicht belegt ist, also im letzten Block einer Datei alles hinter der End-of-File-Marke (EOF-Marke). Dieser Bereich wird im englischen auch Cluster Tip-Area genannt. Ansonsten kann nämlich hinter der EOF-Marke noch Information von einer vorherigen Datei schlummern. Auch diese Datei-Bruchstücke soll keiner auswerten können.
Beim Windows-NTFS Datei-System können jeder Datei (z.B. hugo.txt) noch ein
sogenannter Alternate Data Stream (ADS) zugeordnet werden (z.B. hugo.txt:hacktool.exe).
Win XP ab Service Pack 2 nutzt solche Zusatz-Dateien z.B. dafür aus, um dort bei
Dateien, die man per Internet Explorer (IE)
aus dem Internet geholt hat, die IE-Zone zu notieren, unter der die Datei
geholt wurde. Dadurch kann Win XP die Benutzer immer warnen, wenn sie
eine Datei ausführen wollen, die sie von extern geholt haben.
In solchen Zusatz-Dateien verstecken sich aber oft auch Viren (z.B. der Dumaru-Virus).
Mit den normalen Windows-Bordmitteln kann man solche NTFS-Zusatz-Dateien überhaupt
nicht erkennen. Man benötigt schon Spezial-Programme dazu.
Für das sichere Löschen ist es also wichtig, ob ein Datei-Löschprogramm auch
diese ADS-Zusatz-Dateien erkennt und sicher löscht.
Bei Windows XP kann man Dateien und ganze Partitionen mit Hilfe des
Encrytion File Systems (EFS) verschlüsseln.
Es gibt auch eigenständige Programme, die ganze Festplatten völlig
transparent verschlüsseln, z.B. SafeGuard Easy von Utimaco oder WinMagic.
Sogenannte verschlüsselte Container kennt man von den lizenz-pflichigen
Programmen (z.B. von
PGP-Disk- oder
Steganos) oder von freien Programmen (z.B. TrueCrypt [5]) oder GnuDisk).
Einzelne Dateien kann man
z.B. mit PGP (lizensiert) bzw. dem freien GnuPG oder mit dem für Privat-Benutzer
freien
Private Crypto (von Utimaco, [6]) ) verschlüsseln.
Verschlüsselte Bereiche sind bereits durch die Verschlüsselung vor
dem nachtträglich Ausspionieren weitgehend gesichert, sofern nicht der
Schlüssel zur Entschlüsselung vorliegt. Bei solchen Bereichen genügt es,
sie nur einmal mit Zufalls-Werten zu überschreiben.
Ein weiterer Sonderfall ist das Löschen von komprimierenden Datei-Systemen. Bei Win XP kann man das sehr einfach anfordern. Eine riesige Datei voller Einsen oder voller Nullen schrumpft dann durch die Komprimierung auf wenige Blöcke zusammen, denn oft wird bei der Komprierung angegeben, wie oft das jeweilige Muster an dieser Stelle der Datei vorkommt. Damit kann man zum Löschen von komprimierten Dateien z.B. nicht die Löschmuster von Peter Gutmann [1] verwenden, weil diese die Dateien mit ganz regelmäßigen Mustern überschreiben wollen. Der bzw. die wenigen dann noch verbliebene Blöcke einer Datei werden dann zwar noch wie vorgesehen 34 mal mit anderen Mustern überschrieben, aber nicht mehr alle ursprünglich von einer Datei belegten Blöcke. Für komprimierte Dateien empfiehlt es sich, sie nur einmal mit zufälligen Lösch-Werten zu überschreiben.
Weiterhin ist der Swap-Bereich eine Gefahr. Dorthin lagert das Betriebssystem Bereiche des RAM-Speichers aus, wenn dort für neue Prozesse Speicher-Platz benötigt wird. Der Swap-Bereich kann aber nicht gelöscht werden, solange das Betriebssystem läuft.
Auch der PC-Speicher (RAM-Speicher) enthält sensitive Informationen. Es ist mir kein Programm bekannt, daß den RAM-Speicher löscht. Der RAM-Speicher verliert aber dann seine Informationen, wenn man den Rechner ausschaltet.
Weitere Kurz-Hinweise:
Erste Wertung: Da keine Zufallszahlen, sondern nur statische Löschmuster verwendet werden, erscheint mir dieses Löschverfahren nicht sehr vertrauenserweckend. Andere Programme, z.B. das DBAN-Programm können diese Löschaufgabe mindestens gleichwertig erfüllen.
Pass Lösch-Muster (binary, hex) 1 01010101 01010101 01010101, 0x55 2 10101010 10101010 10101010, 0xAA 3 10010010 01001001 00100100, 0x92 0x49 0x24 4 01001001 00100100 10010010, 0x49 0x24 0x92 5 00100100 10010010 01001001, 0x24 0x92 0x49 6 00000000 00000000 00000000, 0x00 7 00010001 00010001 00010001, 0x11 8 00100010 00100010 00100010, 0x22 9 00110011 00110011 00110011, 0x33 10 01000100 01000100 01000100, 0x44 11 01010101 01010101 01010101, 0x55 12 01100110 01100110 01100110, 0x66 13 01110111 01110111 01110111, 0x77 14 10001000 10001000 10001000, 0x88 15 10011001 10011001 10011001, 0x99 16 10101010 10101010 10101010, 0xAA 17 10111011 10111011 10111011, 0xBB 18 11001100 11001100 11001100, 0xCC 19 11011101 11011101 11011101, 0xDD 20 11101110 11101110 11101110, 0xEE 21 11111111 11111111 11111111, 0xFF 22 10010010 01001001 00100100, 0x92 0x49 0x24 23 01001001 00100100 10010010, 0x49 0x24 0x92 24 00100100 10010010 01001001, 0x24 0x92 0x49 25 01101101 10110110 11011011, 0x6D 0xB6 0xDB 26 10110110 11011011 01101101, 0xB6 0xDB 0x6D 27 11011011 01101101 10110110, 0xDB 0x6D 0xB6Zusätzlich sollte man mit zufällig erzeugten Muster die zu löschenden Dateien überschreiben. Das Eraser-Programm beginnt z.B. mit 4 Lösch-Durchläufen mit Löschmustern, die mit dem ISAAC Pseudo-Zufallsgenerator erzeugt sind. Dann folgen die 27 Lösch-Durchläufe mit den oben angegebenen festen Mustern. Abschließend wird noch einmal der zu löschende Bereich 4 mal mit Zufalls-Mustern überschrieben, sodaß die Gutmann-Löschmethode insgesamt 35 mal die Daten überschreibt.
Pass Matrix Lösch-Muster
1 E [1] Zufälliges Zeichen X
2 E [2] Dessen bit-weise invertierte Darstellung
3 E [3] Zufälliges Löschmuster
4 C Zufälliges Zeichen Y
5 E [1] Zufälliges Zeichen Z
6 E [2] Dessen bit-weise invertierte Darstellung
7 E [3] Zufälliges Löschmuster
mit X, Y, Z = [0,255]
Zufalls-Muster mit ISAAC
Pseudo-Zufallsgenerator erzeugt
Pass Matrix Lösch-Muster (bin und hex)
1 E [1] 00000000, 0x00
2 E [2] 11111111, 0xFF
3 E [3] Zufälliges Löschmuster, erzeugt mit ISAAC
Pseudo-Zufallsgenerator
Diese Lösch-Methode ist wiederum für komprimierende Datei-Systeme
ungeeignet.