back_crypto5

Neben der sicheren Aufbewahrung von Daten steht man gelegentlich auch vor dem Problem, Dateien gründlich vom Datenträger zu putzen. Es gibt verschiedene Varianten, Dateien vom Datenträger zu entfernen. Über die Arbeit der einzelnen Varianten sollte Klarheit bestehen, anderenfalls erlebt man evtl. eine böse Überraschung.

Dateien in den Papierkorb werfen

Unter WIN wird diese Variante als Datei(en) löschen bezeichnet, was etwas irreführend ist. Es wird überhaupt nichts beseitigt. Die Dateien werden in ein spezielles Verzeichnis verschoben. Sie können jederzeit wiederhergestellt werden. Das ist kein Bug, sondern ein Feature.

Auch beim Löschen der Dateien in dem speziellen Müll-Verzeichnis werden keine Inhalte beseitigt. Lediglich die von den Dateien belegten Bereiche auf dem Datenträger werden als “frei” gekennzeichnet. Falls sie nicht zufällig überschrieben werden, kann ein mittelmäßig begabter User sie wiederherstellen. Forensische Toolkits wie Sleuthkit unterstützen dabei. Sie bieten Werkzeuge, die den gesamten, als frei gekennzeichneten Bereich, eines Datenträgers nach Mustern durchsuchen können und Dateien aus den Fragmenten wieder zusammensetzen.

Dateien sicher löschen (Festplatten)

Um sensible Daten sicher vom Datenträger zu putzen, ist es nötig, sie vor dem Löschen zu überschreiben. Es gibt diverse Tools, die einzelne Dateien oder ganze Verzeichnisse shreddern können.

• Das GpgSX für Windows bietet als Erweiterung für den Explorer die Möglichkeit, Dateien und Verzeichnisse mit einem Mausklick sicher zu löschen: “Wipe…”

• Für WINDOWS gibt es AxCrypt (http://www.axantum.com/AxCrypt). Das kleine Tool zur Verschlüsselung und Löschung von Dateien integriert sich in den Dateimanager und stellt zusätzliche Menüpunkte für das sichere Löschen von Dateien bzw. Verzeichnissen bereit.

• Unter Linux kann KGPG einen Reißwolf auf dem Desktop installieren. Dateien können per Drag-and-Drop aus dem Dateimanager auf das Symbol gezogen werden, um sie zu shreddern.

Standardmäßig ohne die Option -q überschreibt wipe die Daten 34x. Das dauert bei großen Dateien sehr lange und bringt keine zusätzliche Sicherheit.

Btrfs soll das kommende neue Dateisystem für Linux werden und wird bereits bei einigen Server-Distributionen eingesetzt. Bei diesem Datei- system funktionieren shred und wipe NICHT. Btrfs arbeitet nach dem Prinzip Copy on Write. Beim Überschreiben einer Datei werden die Daten zuerst als Kopie in einen neuen Bereich auf der Festplatte geschrieben, danach werden die Metadaten auf den neuen Bereich gesetzt. Ein gezieltes Überschreiben einzelner Dateien auf der Festplatte ist bei Btrfs nicht mehr möglich.

Auch bei diesen Varianten bleiben möglicherweise Spuren im Dateisystem zurück. Aktuelle Betriebssysteme verwenden ein Journaling Filesystem. Daten werden nicht nur in die Datei geschrieben, sondern auch in das Journal. Es gibt kein Tool für sicheres Löschen von Dateien, welches direkten Zugriff auf das Journal hat. Die Dateien selbst werden aber sicher gelöscht.

Dateireste nachträglich beseitigen

Mit Bleachbit kann man die Festplatte nachträglich von Dateiresten säubern. Das Programm gibt es für Windows und Linux. Linuxer können es auch aus den Repositories installieren.

Nach der Installation ist Bleachbit als Adminstrator bzw. root zu starten und nur die Option Free disk space zu aktivieren. Außerdem ist in den Einstellungen ein schreibbares Verzeichnis auf jedem Datenträger zu wählen, der gesäubert werden soll. Anschließend startet man die Säuberung mit einem Klick auf den Button Clean.

Die Säuberung einer größeren Festplatte dauert einige Zeit. Dabei werden nur die als frei gekennzeichneten Bereiche überschrieben, das Dateisystem bleibt intakt.

Dateien sicher löschen (SSDs)

Alle oben genannten Tools für Festplatten funktionieren nicht mit Flash basierten Solid State Drives (SSD-Festplatten und USB-Sticks)! Um die Speicherzellen zu schonen, sorgt die interne Steuerelektronik dafür, dass für jeden Schreibvorgang andere Zellen genutzt werden. Ein systematischen Überschreiben einzelner Dateien ist nicht möglich. Die Auswertung der Raw-Daten der Flash Chips ermöglicht eine Rekonstruktion mit forensischen Mitteln. Mehr Informationen liefert die Publikation Erasing Data from Flash Drives.

Für SSDs ist die Trim Funktion zu aktivieren. Dabei werden den Speicher- zellen eines Blocks beim Löschen der Datei auf den Ursprungszustand zurück gesetzt. Zusätzliche Maßnahmen zum sicheren Löschen sind dann nicht mehr nötig. Die meisten aktuellen Betriebssystem aktivieren Trim nicht(!) standard- mäßig. Folgende Schritte sind nötig, um Trim nach der Installation für SSDs zu aktivieren.

Windows 7 und neuer kann TRIM aktivieren. Starten sie das Programm cmd als Administrator, um ein Terminal zu öffnen. Im Terminal kann man mit folgendem Kommando den Status der Trim Funktion abfragen:

Alle Nutzer, die unter Windows mit vFAT formatierte USB-Sticks einsetzen wollen, müssen zur Gruppe floppy gehören (was standardmäßig unter Ubuntu der Fall ist). Die vFAT formatierten Sticks müssen als root ausgehängt werden (mit pumount), bevor man den Stick abzieht. Anderenfalls kann es zu Datenverlusten kommen.

Ich werde für mich persönlich weiterhin die vollständige Verschlüsselung der USB-Sticks den Spielereien mit TRIM vorziehen. Damit werden nicht nur gelöschte Dateien geschützt sondern auch die noch vorhandenen Daten. Das Auslesen der RAW-Daten der Speicherzellen durch Forensiker ist dann eben- falls wenig erfolgreich.

Gesamten Datenträger säubern (Festplatten)

Bevor ein Laptop oder Computer entsorgt oder weitergegeben wird, sollte man die Festplatte gründlich putzen. Am einfachsten erledigt man diesen Job mit Darik’s Boot and Nuke (DBAN) 3 Live-CD. Nach dem Download ist das ISO-Image auf eine CD zu brennen und der Computer mit dieser CD zu booten. Es werden automatisch alle gefundenen Festplatten gelöscht – fertig.

Eine beliebige Linux Live-CD tut es auch (wenn man bereits eine Live-CD nutzt). Nach dem Booten des Live Systems öffnet man ein Terminal (Konsole) und überschreibt die gesamte Festplatte. Bei einem Aufruf wird der Datenträger 4x überschrieben, es dauert einige Zeit.

Gesamten Datenträger säubern (SSDs)

Das komplette Löschen einer SSD-Platte oder eines USB-Sticks funktioniert am besten, wenn der Datenträger den ATA-Befehl SECURE-ERASE unterstützt. Diese Funktion muss allerdings durch den Datenträger bereitgestellt werden. Unter Linux kann man das Tool hdparm nutzen, um diese Funktion aufzurufen.

Securely destroying data

Just hit the delete button and you are done! No it’s not that easy. To understand how to securely delete data, we have to understand how data is stored.

Securely delete data under Windows

For Windows there is a good open source tool called “File Shredder”. This tool can be downloaded from http://www.fileshredder.org

The installation is very straightforward, just download the application and install it by hitting the next button. After installation this application will automatically start. You can then start using it for shredding files. However the best part of the program is that you can use it from within windows itself by right clicking on a ?le.

1. Click right on the file you want to shred, and choose File Shredder -> Secure delete files

2. A pop-up asks if you really want to shred this file

3. After confirming, there your file goes. Depending on the size of the ?le this can take a while

Securely destroying data

11.4.3 Securely delete data under MacOSX

There are basically to build-in steps to make to securely delete your data on Mac OSX.

1. Erase the free-space on your hard-drive containing all the data of items which are deleted in an insecure way.

2. Make sure that every ?le from then on is always securely deleted. We start with the ?rst one:

Erasing Free Space

1. Open Disk-Utility which resides in the Utilities folder inside the Applications folder.

2. Select your hard drive and click on ‘Erase Free Space’.

3. Three options will appear, from top to bottom more secure, but also they take much more time to complete. Read the descriptions on each one of them to get an idea from what will happen if you use them and then choose which one might suite your needs the best and click ‘Erase free Space’.

If time is no issue, then use the most secure method and enjoy your free time to get a good coffee while you Mac crunches away on this task. If the crooks are already knocking on your front-door you might want to use the fastest way.

Securely Erasing Files

Now that your previously deleted data is once and for ever securely erased you should make sure that you don’t create any new data that might be recovered at a later date.

1. To do this open the ?nder preferences under the Finder Menu.

2. Go to the advanced tab and tick ‘Empty trash securely’. This will make sure that every time you empty your trash all the items in it will be securely deleted and are really gone!

Note: Deleting your ?les securely will take longer then just deleting them. If you have to erase big portions of unimportant data (say your movie and mp3 collection) you may wanna untick this option before doing so.

Securely delete data under Ubuntu/Linux

Unfortunately currently there is no graphical user interface available for Ubuntu to delete ?les secure. There are two command-line programs available though:

  • shred
  • wipe

Shred is installed in Ubuntu by default and can delete single files. Wipe is not installed by default but can easily be installed with using Ubuntu Software Center or if you understand the command line you can install it with apt-get install wipe. Wipe is a little more secure and has nicer options.

It is possible make access to these program’s easy by adding it as an extra menu option

1. We assume you are familiar with the Ubuntu Software Center. To add the securely wipe option, it’s required to install these two programs wipe and nautilus-actions

If the two programs are installed follow the following steps. If they are not installed use the Ubuntu Software Center to install them or on the command line simply type apt-get install nautilus-actions wipe

2. Open the “Nautilus Actions Configuration” from the System -> Preferences menu

3. We have to add a new action. To do this, start clicking on the “create new action button”, the ?rst option in the toolbar

4. Next is describing the new action. You can give the action every name you wish. Fill out this title in the “Context label” field. In this example we used “Delete file securely”

5. Click on the second tab (“Command”), here is how we specify the action we want. In the field “Path”, type “wipe”, in the field parameters type “-rf %M”, please be sure about the capitalisation of all characters here, this is very important.

6. Next is specifying the conditions, click on the conditions tab and choose the option “Both” in the “Appears if selection contains. . . ” box. With this option you can wipe

Both files and folders securely. If done, click the save button (second item on the icon bottom toolbar) or use the menu File->Save

7. Now close the Nautilus Actions Configuration tool. Unfortunately, after this, you have to re-login into your system, so ether reboot or logout/login.

8. Now browse to the file you want to securely delete and right click:

Choose ‘Delete File Securely’. The ?le will then be wiped ‘quietly’ – you do not get any feedback or notice that the process has started or stopped. However the process is underway. It takes some time to securely delete data and the bigger the file the longer it takes. When it is complete the icon for the ?le to be wiped will disappear. If you would like to add some feedback you can change the parameters ?eld in Nautilius Actions Configuration tool to this:

-rf %M | zenity –info –text „your wipe is underway please be patient. The icon of the file to be wiped will disappear shortly.“

The above line will tell you the process is underway but you will not know the file is deleted until the icon disappears.