Zum Inhalt wechseln


Foto

Einzelne Dateien auf USB-Stick sicher gelöscht?


  • Please log in to reply
14 Antworten in diesem Thema

#1 Micki357

Micki357

    Neu bei uns

  • Mitglieder
  • PIP
  • 8 Beiträge

Geschrieben 04 September 2009 - 08:59

Hallo,

ich hätt mal ein Frage:

Grundsätzlich besteht ja das Problem, dass man eigentlich keine einzelnen Dateien auf einem USB-Laufwerk überschreiben kann, weil aufgrund der Physik der NAND-Flash-Speicherbausteine bei einem Schreibvorgang immer wieder andere Speicherzellen angesteuert werden, damit keine Speicherzelle übermäßig häufig im Vergleich zu den anderen Zellen beschrieben wird und es zu einer ungleichmäßigen "Abnutzung" der Speicherzellen käme. Deswegen sagt man, dass man zu einem wirklich sicheren Löschen von Einzeldateien das komplette Laufwerk überschreiben muss.

Nun kann man ja aber mit Secure Eraser auch im Prinzip Einzeldateien auf einem USB-Stick sicher überschreiben - jedenfalls scheint es so zu sein.

Meine Frage ist: Ist denn wirklich gesichert, dass dieselben Speicherzellen überschrieben werden, in denen die Datei enthalten ist? Wie funktioniert das?

Oder besteht auch mit Secure Eraser das Problem weiterhin, dass man den gesamten Stick überschreiben müsste, damit alle Datenspuren der Datei restlos gelöscht sind?

Wissbegierige Grüße von

Micki

#2 AStroebel (ASCOMP)

AStroebel (ASCOMP)

    Administrator

  • Admin
  • PIPPIPPIPPIPPIPPIP
  • 5.556 Beiträge
  • Gender:Male

Geschrieben 04 September 2009 - 13:21

Hallo,

Secure Eraser überschreibt diejenigen Cluster, auf denen tatsächlich die Dateibestandteile abgespeichert sind. Insofern sehe ich auch bei USB-Medien diesbezüglich keine Probleme.

Zumindest war bisher eine mit Secure Eraser auf USB-Medien gelöschte Datei nie wiederherstellbar. Wir führen vor jedem externen Betatest einen solchen internen durch, bei dem auf allen möglichen Speichermedien Dateien sicher gelöscht werden. Danach versuchen wir, die gelöschten Dateien mit gängigen Wiederherstellungs-Tools zu restaurieren. Erst, wenn alle Restaurierungsversuche fehlgeschlagen sind, wird die Beta-Version in den externen Betatest übergeben.
Viele Gruesse / Best regards

Andreas Stroebel, ASCOMP Software GmbH

#3 Micki357

Micki357

    Neu bei uns

  • Mitglieder
  • PIP
  • 8 Beiträge

Geschrieben 04 September 2009 - 14:37

Hallo,

ah ich hab in der Wikipedia dazu folgendes gefunden:

Sicheres Löschen von Flash-Speicher:
"Gewöhnliche Betriebssysteme löschen nicht den Dateiinhalt selbst, sondern entfernen lediglich den Eintrag im Inhaltsverzeichnis des Dateisystems. Dies beschleunigt den Löschvorgang, ermöglicht aber auch eine Wiederherstellung der Datei. Um dies zu verhindern, gibt es Programme, welche die Dateien tatsächlich komplett überschreiben. Dieses Überschreiben leiten Flashspeicher mit Nutzungsverteilung dann aber auf die bisher am wenigsten benutzten Blöcke, nicht auf jene, in denen die Datei steht.

Um dieses Sicherheitsleck zu nutzen und auf die so gelöschte Datei zugreifen zu können, müsste aber das Laufwerk geöffnet und der Controller gegen einen ausgetauscht werden, der alle Blöcke ausliest. Zudem fehlt die Information, welche Blöcke zu einer durch „Überschreiben“ gelöschten Datei in welcher Reihenfolge gehören. Kryptographiehersteller warnen trotzdem vor dem Einsatz solcher Laufwerke, da zumindest Schlüssel auffindbar sein könnten."

s.
http://de.wikipedia....lid_State_Drive

Daraus lese ich, dass die Datei im Prinzip doch nicht physisch überschrieben worden ist und durch Hardwareeingriffe wieder zugänglich gemacht werden könnte, aber im Inhaltsverzeichnis als überschrieben eingetragen wurde.

Danke jedenfalls für die Antwort!

Grüße

Micki

#4 AStroebel (ASCOMP)

AStroebel (ASCOMP)

    Administrator

  • Admin
  • PIPPIPPIPPIPPIPPIP
  • 5.556 Beiträge
  • Gender:Male

Geschrieben 04 September 2009 - 14:51

Hallo,

das ist ja genau das, was Windows als "Löschen" bezeichnet. Das Entfernen des Eintrags aus der Zuordnungstabelle - nicht das tatsächliche Überschreiben der verwendeten Festplattensektoren.

Secure Eraser löscht/überschreibt direkt die Festplattensektoren, in denen die Dateibestandteile gespeichert sind. Dazu werden die verwendeten Sektoren ermittelt und gezielt überschrieben.
Viele Gruesse / Best regards

Andreas Stroebel, ASCOMP Software GmbH

#5 Micki357

Micki357

    Neu bei uns

  • Mitglieder
  • PIP
  • 8 Beiträge

Geschrieben 04 September 2009 - 15:36

Hallo,

das ist ja genau das, was Windows als "Löschen" bezeichnet. Das Entfernen des Eintrags aus der Zuordnungstabelle - nicht das tatsächliche Überschreiben der verwendeten Festplattensektoren.

Secure Eraser löscht/überschreibt direkt die Festplattensektoren, in denen die Dateibestandteile gespeichert sind. Dazu werden die verwendeten Sektoren ermittelt und gezielt überschrieben.


Aber das geht ja eben bei USB-Sticks genau nicht, weil die aufgrund der Abnutzungsproblematik Verfahren haben, die eine Nutzungsverteilung bewirken. In obigem Wikipedia-Eintrag steht dazu unter dem Abschnitt Verschleiß und Ausfallvorhersage:

"Konventionelle und Flashfestplatten verschleißen mit der Zeit. Während sich das bei ersteren aus der Abnutzung der Mechanik ergibt, wirkt bei der Flashtechnik ein elektrischer Effekt begrenzend. Lesevorgänge sind hier zwar unbegrenzt möglich, je nach Qualität kann eine Flashzelle aber nur zwischen 100.000 und 5 Millionen Schreibvorgänge absolvieren. Danach „vergisst“ sie, was neu geschrieben wird und kann nur noch gelesen werden.[23] Flashspeicher wären so mitunter schon nach wenigen Tagen defekt. Dem wirken seit einigen Jahren „Wear-Levelling“-Verfahren entgegen. Der Controller im Flashlaufwerk verteilt Schreibvorgänge auf alle Speicherzellen so, dass jede möglichst gleich häufig beschrieben wird. Die hierfür verwendeten Algorithmen sind herstellerspezifisch, in jedem Fall aber vom Rest des Computers aus weder sichtbar noch beeinflussbar."

Die Schreibvorgänge können eben nicht durch eine Software auf bestimmte Sektoren geleitet werden, weil der USB-Controller die Schreibvorgänge selbst steuert und nicht vom OS des Rechners oder einer Anwendungssoftware auf dem Rechner beeinflusst werden kann.

Grüße,
Micki

#6 AStroebel (ASCOMP)

AStroebel (ASCOMP)

    Administrator

  • Admin
  • PIPPIPPIPPIPPIPPIP
  • 5.556 Beiträge
  • Gender:Male

Geschrieben 04 September 2009 - 17:41

Da es mich jetzt selbst brennend interessiert hat, habe ich einige Tests mit USB-Sticks (DataTraveler 2 GB, Flash Memory) durchgeführt.

Resultat: Auch die Option "Dateien sicher löschen" überschreibt die verwendeten Cluster sicher und endgültig! Ich habe testhalber den kompletten Speicher "clusterweise" eingelesen, vor und nach der Löschung sowie nach einer gewöhnlichen Löschung mit Windows.

Secure Eraser überschreibt also auch bei der "einfachen" Dateilöschung exakt die verwendeten Cluster. Mir ist insofern nicht ganz klar, inwieweit der Wikipedia-Beitrag korrekt ist. Du kannst allerdings beruhigt sein und musst nicht unbedingt eine Komplettlöschung vornehmen, das Endergebnis ist nämlich für die beschriebenen Cluster (sprich: für die konkrete Datei) dasselbe.
Viele Gruesse / Best regards

Andreas Stroebel, ASCOMP Software GmbH

#7 Micki357

Micki357

    Neu bei uns

  • Mitglieder
  • PIP
  • 8 Beiträge

Geschrieben 05 September 2009 - 08:13

Bei meinen Tests, ob ich eine mit Secure Eraser auf dem USB-Stick gelöschte Datei wiederherstellen kann, bin ich auch gescheitert. Allerdings haben die Datenrettungsprogramme, die ich verwendet habe, schon erkannt, dass da mal ne Datei war und auch den Dateinamen und sie haben auch was wiederhergestellt, aber der Dateiinhalt war dann Murks (nur vier ASCII-Zeichen).

Ich versteh das auch nicht ganz, wie das mit dem Wikipedia-Artikel hinkommt. Deswegen hab ich ja hier nachgefragt :D

Aber danke jedenfalls für deine Antworten!

Gruß
Micki

#8 Micki357

Micki357

    Neu bei uns

  • Mitglieder
  • PIP
  • 8 Beiträge

Geschrieben 08 September 2009 - 13:18

Ich muss nochmal auf dieses Thema zurückkommen.

Habe jetzt doch Folgendes festgestellt:
Ich habe auf einem USB-Stick Extrememory Smart U3 4 GB mal den freien Speicherplatz mit Secure Eraser sicher gelöscht (Deutscher Standard, 3 x überschreiben) und konnte von den recht vielen gelöschten Dateien mit Recuva eine 32 MB große PDF-Datei wiederherstellen. Die anderen Dateien waren wahrscheinlich alle unbrauchbar (habe nur stichprobenartig geprüft). Der Dateiname war bei allen lesbar und die Dateigröße bei den meisten sicher gelöschten, aber nicht wiederherstellbaren Dateien > 0.

Also, offenbar gibt es doch bestimmte Situationen mit USB-Sticks, bei denen Dateien wiederherstellbar sind...

Gruß,
Micki

#9 AStroebel (ASCOMP)

AStroebel (ASCOMP)

    Administrator

  • Admin
  • PIPPIPPIPPIPPIPPIP
  • 5.556 Beiträge
  • Gender:Male

Geschrieben 08 September 2009 - 13:21

Das ist nahezu unmöglich, da bei dieser Löschmethode eine Datei erstellt wird, die den gesamten freien Speicher einnimmt und daraufhin mit der gewählten Methode sicher gelöscht wird. Eine alte Datei muss logischerweise in diesem freien Speicherbereich gelegen haben und wird somit auch zu 100% überschrieben.

Da muss dir also irgendein Fehler unterlaufen sein. Technisch gesehen gibt es bei dieser Löschmethode überhaupt keine Chance, wieder an die Daten ranzukommen.

Könnte mir höchstens vorstellen, dass die Datei noch im lokalen Cache lag - daher auch der Hinweis, das System möglichst nach dem Löschvorgang neuzustarten.
Viele Gruesse / Best regards

Andreas Stroebel, ASCOMP Software GmbH

#10 Micki357

Micki357

    Neu bei uns

  • Mitglieder
  • PIP
  • 8 Beiträge

Geschrieben 08 September 2009 - 14:45

Hm, ich denk nicht, dass ich einen Fehler gemacht habe. Secure Eraser ist ja auch kinderleicht zu bedienen (was ja auch so schön daran ist).

Im Cache kann die Datei nicht gelegen habe, weil ich einen Neustart durchgeführt und den Rechner mit einer Live-CD, auf der sich u. a. verschiedene Datenrettungsprogramme befinden, gestartet habe.

Möglicherweise hat ja hier doch der Wear-Leveling-Algorithmus zur Verteilung der Schreibzugriffe Einfluss genommen und bestimmte Speicherzellen vom Beschreiben ausgenommen.

Komische Sache, das...

#11 AStroebel (ASCOMP)

AStroebel (ASCOMP)

    Administrator

  • Admin
  • PIPPIPPIPPIPPIPPIP
  • 5.556 Beiträge
  • Gender:Male

Geschrieben 08 September 2009 - 15:11

Wie gesagt, das ist in diesem Fall überhaupt nicht möglich, da ja alle freien Cluster überschrieben worden sind.

Hab jetzt auch nochmal bestimmt 50 Tests mit USB-Sticks verschiedener Hersteller durchgeführt, mit Recuva war in keinem der Fälle eine Datei wiederherstellbar (bzw. die Dateien waren wiederherstellbar, aber mit unleserlichem Inhalt).

Bei der Löschung der Dokumente einzeln waren diese gar nicht wiederherstellbar, da hierbei die Dateigröße am Ende auf 0 gesetzt und der Dateiname verfälscht wird.
Viele Gruesse / Best regards

Andreas Stroebel, ASCOMP Software GmbH

#12 Micki357

Micki357

    Neu bei uns

  • Mitglieder
  • PIP
  • 8 Beiträge

Geschrieben 09 September 2009 - 08:44

Es gibt noch die Möglichkeit, dass Recuva nicht richtig funktioniert hat.

Die Sache ist die: Ich habe keine wirklich systematischen Tests mit USB-Sticks durchgeführt, sondern die genommen, die ich hatte. Und auf dem von Exremememory waren ein Haufen unsicher gelöschte Dateien drauf. Aaaaber: Diese Datei, die Recuva angeblich wiederhergestellt hatte, war zwar auch ursprünglich mal unsicher gelöscht worden. Aber in demselben Verzeichnis war dieselbe Datei mit demselben Dateinamen auch noch vorhanden. D. h. ich muss sie zwar mal gelöscht haben irgendwann, aber dann doch wieder in dasselbe Verzeichnis kopiert haben. Nachdem ich nun den freien Speicherplatz mit Secure ERaser sicher gelöscht hatte, und dann über Recuva versucht habe, Dateien wiederherzustellen, hat Recuva vielleicht auf die im Verzeichnis noch vorhandene ungelöschte Datei zugegriffen und nicht auf die gelöschte Datei mit demselben Namen. Dadurch konnte es dann diese Datei "wiederherstellen".

So könnte ich mir das erklären.

Jedenfalls hab ich ne Menge gelernt.

Danke und Gruß,
Micki

#13 AStroebel (ASCOMP)

AStroebel (ASCOMP)

    Administrator

  • Admin
  • PIPPIPPIPPIPPIPPIP
  • 5.556 Beiträge
  • Gender:Male

Geschrieben 09 September 2009 - 12:47

Damit hat Recuva aber keine gelöschte Datei wiederhergestellt, sondern eine noch existierende Datei eingelesen und das als Wiederherstellen bezeichnet. Da die Dateien am exakt gleichen Speicherort lagen, sieht Recuva da keinen Unterschied.
Viele Gruesse / Best regards

Andreas Stroebel, ASCOMP Software GmbH

#14 Micki357

Micki357

    Neu bei uns

  • Mitglieder
  • PIP
  • 8 Beiträge

Geschrieben 09 September 2009 - 13:46

Damit hat Recuva aber keine gelöschte Datei wiederhergestellt, sondern eine noch existierende Datei eingelesen und das als Wiederherstellen bezeichnet. Da die Dateien am exakt gleichen Speicherort lagen, sieht Recuva da keinen Unterschied.


Ja, das wollte ich mit meinem letzten Beitrag sagen.

Insofern haben wir keinen Dissens mehr. :D


Viele Grüße,

Micki

#15 AStroebel (ASCOMP)

AStroebel (ASCOMP)

    Administrator

  • Admin
  • PIPPIPPIPPIPPIPPIP
  • 5.556 Beiträge
  • Gender:Male

Geschrieben 09 September 2009 - 17:32

Ich würde im Zweifelsfall trotzdem empfehlen, am Ende nochmal den freien Speicher sicher zu löschen.

Ggf. werden wir das in Secure Eraser auch noch als Hinweis einblenden, wenn man Dateien auf USB-Sticks zur Löschung ausgewählt hat. Sozusagen als 105%-ige Sicherheit. :D
Viele Gruesse / Best regards

Andreas Stroebel, ASCOMP Software GmbH




Besucher die dieses Thema lesen: 0

Mitglieder: 0, Gäste: 0, unsichtbare Mitglieder: 0