image

Eén keer wipen voldoende voor vernietigen data

zaterdag 17 januari 2009, 11:04 door Redactie, 24 reacties

Wie niet wil dat anderen informatie van zijn of haar harde schijf kunnen lezen hoeven de aanwezige data maar één keer te wipen, zo heeft een onderzoeker ontdekt. Craig Wright gebruikte een magnetische krachtmicroscoop om verwijderde gegevens terug te halen. Hoewel het meerdere keren overschrijven van data met enen en nullen het moeilijker voor forensische experts maakt om de gegevens te herstellen, is het na een enkele "pass" al bijna onmogelijk. Het terugzetten van een enkele byte aan data is in minder dan één procent van de keren succesvol. Het achterhalen van vier bytes, of 32 bits, lukt alleen negen keer per elke miljoen pogingen.

"Hoewel het terughalen van een enkele bit van een harde schijf een goede kans heeft, is de kans voor het terughalen van welke hoeveelheid gegevens dan ook via een elektronenmicroscoop te verwaarlozen", aldus Wright. "Het idee dat data forensisch is terug te halen met een elektronenmicroscoop of gerelateerde manieren kan dan ook naar het rijk der fabelen worden verwezen."

Wright ontdekte wel dat het meerdere keren overschrijven van data het nog moeilijker maakt, maar als het om gebruikte harde schijven gaat, dan volstaat een enkele pass om de privacy te beschermen. "In veel gevallen was het gebruik van een magnetische krachtmicroscoop om de vorige waarde te bepalen die naar de harde schijf was geschreven minder succesvol dan het tossen van een muntstuk."

Reacties (24)
17-01-2009, 11:38 door [Account Verwijderd]
[Verwijderd]
17-01-2009, 11:57 door [Account Verwijderd]
[Verwijderd]
17-01-2009, 12:27 door Anoniem
Dit onderzoek heeft geen rekening gehouden met de nieuwe methode van IBM die 1000x gevoeliger is.
Het is onmogelijk je data te wissen, gegeven dat de partij die het wil lezen genoeg geld en kennis heeft.
De enige manier om je data echt te verwijderen, is ervoor te zorgen dat de harde schijf niet meer bestaat.

Dat gezegt hebbende, ben ik het met hem eens, voor normale mensen, waar geen echte veiligheidsdiensten bij betrokken raken, zoals de NSA... is 1 keer voldoende. Maar 3 keer is beter.
17-01-2009, 12:40 door Anoniem
Door Iceyoung
Door SpiritTypfoutje:
"Ik veel gevallen was het gebruik van.. -> "In veel gevallen...

Dyslectisch toetsenbord !

En dyslectisch spelling en grammatica controle :p
17-01-2009, 13:21 door Bitwiper
Ik roep al jaren dat één keer overschrijven van een harddisk (niet de alleroudste 20MB Seagates maar zeg alles groter dan 1GB) in de praktijk betekent dat de oude gegevens unrecoverable zijn, en niet alleen ik doe dat: ook [url=http://en.wikipedia.org/wiki/Peter_Gutmann_(computer_scientist)]Peter Gutmann[/url] doet dat o.a. [url=http://www.mail-archive.com/cryptography%40metzdowd.com/msg09850.html]hier[/url]:
... if they were looking for data in erase bands (assuming the drive was old enough to still feature them, they'd be hard to find in any modern drive) they'd be using something like a magnetic force microscope which is a scanning probe microscope, or a magnetic force scanning tunneling microscope, and in either case I doubt you could read perpendicularly-recorded EPRML data just by staring at it.
Goed dat dit nu eens verder wetenschappelijk wordt aangetoond (ik bedoel door Wright).

Echter, interessant is dat Peter Gutmann in zijn artikel getiteld [url=http://www.cs.auckland.ac.nz/~pgut001/pubs/secure_del.html]Secure Deletion of Data from Magnetic and Solid-State Memory[/url] n.a.v. de blog-post van Craig Wright zijn artikel heeft aangevuld en daarin kritiek uit op de werkwijze van Wright:
Further Epilogue
A [url=http://sansforensics.wordpress.com/2009/01/15/overwriting-hard-drive-data/]recent paper[/url] (verwijzend naar het artikel van Wright) claims to be unable to recover any overwritten data using an MFM to perform an error-cancelling read. This isn't surprising, since the paper confuses two totally unrelated techniques. One is the use of an MFM to recover offtrack data, discussed in paragraph 7 of section 2 and illustrated in one of the slides from the 1996 talk (and in several of the papers cited in the references). The other is the use of an error-cancelling read (in this case using a high-speed sampling scope) to recover overwritten data, discussed in paragraph 6 of section 2. Unfortunately the authors of the paper confused the two, apparently attempting to perform the error-cancelling read using an MFM(!!) (I'm currently on holiday but will try and contact them when I get back to verify this... I wish they'd asked me before they put in all this effort). Given that these are totally different techniques exploiting completely unrelated phenomena, it's not surprising that trying to use one to do the other didn't work.
Helaas, net zoals je nooit kunt aantonen dat een encryptie-algoritme niet te kraken is, zul je nooit kunnen bewijzen dat eenmalig (of vaker) overschreven harddisksectors unrecoverable zijn. Echter, iedereen die weet hoe moeilijk het is om bij een grote gefragmenteerde FAT schijf die opnieuw geformatteerd (zonder volledig overschrijven) is bijv. de laatste versies van Word-files te recoveren, zal begrijpen dat als daarbovenop zeer grote twijfel bestaat of elke "recovered" bit 0 of 1 was het een bizar complexe, langdurige en dus prijzige puzzel gaat worden met allesbehalve gegarandeerd resultaat, waarvan de correctheid niet of nauwelijks bewijsbaar is.

Kortom, wetenschappelijk aantgetoond of niet, 1x overschrijven volstaat in de praktijk. Heb je serieus iets te verbergen, versleutel dan je schijf en voorkom dat deze ooit in handen van anderen valt (fisiek vernietigen dus).
17-01-2009, 14:13 door dim
Je kunt beter [url=http://www.datenkiller.com/]dit product[/url] gebruiken, als je zeker wilt weten dat het echt weg is :)
17-01-2009, 15:22 door Wootles
Door dimJe kunt beter [url=http://www.datenkiller.com/]dit product[/url] gebruiken, als je zeker wilt weten dat het echt weg is :)

Zelfs dan schijnt het in specialistische laboratoria (volgens mij zit er een ergens in Noorwegen) mogelijk te zijn om stukken data tot iets bruikbaars te reconstrueren. :P Het zelfde geldt voor verbrande HD's. Het best kun je denk ik eerst de HD softwarematig laten wipen, om daarna het arme ding bloot te stellen aan een krachtige magneet.
17-01-2009, 15:31 door [Account Verwijderd]
[Verwijderd]
17-01-2009, 15:56 door Anoniem
Grappig hoor, een expert met electronenmicroscoop doet diepgaand onderzoek naar deze materie, komt met een goed onderbouwde conclusie dat 1 keer wipen voldoende is, en toch komen er allemaal couch-experts die het beter weten :) Want die hebben natuurlijk ook diepgaande onderzoek gedaan met electronenmicroscopen.

Ok, waar blijven nu de tinfoil hats, want het mogen duidelijk zijn dat dit allemaal een door de overheid opgezette hoax is om er voor te zorgen dat je maar 1 keer je data wiped zodat de NSA jouw harddisk met 15 jaar aan porno kan terughalen.
17-01-2009, 16:00 door cyberpunk
Door SpiritTypfoutje:
"Ik veel gevallen was het gebruik van.. -> "In veel gevallen...

"typefout"... (Pot... ketel... zwart...)
17-01-2009, 16:43 door Ketsman
Door cyberpunk
Door SpiritTypfoutje:
"Ik veel gevallen was het gebruik van.. -> "In veel gevallen...

"typefout"... (Pot... ketel... zwart...)
[url=http://en.wikipedia.org/wiki/Muphry%27s_law]Gevalletje Muphry's law zo te zien en volgens mij.[/url]
17-01-2009, 17:33 door Sokolum
Kunnen jullie oftoppic onzin de volgende keer niet meer melden. Zo achterlijk en het heeft niets met het verhaal te maken. Stuur de volgende keer naar de auteur een reactie, ik hoe hoef je bevindingen niet te lezen.
Van mij part mag de moderator dit direct verwijderen.
17-01-2009, 17:40 door TD-er
Een beetje aparte manier van benaderen.
Er is nu gekeken hoe waarschijnlijk het is dat je een specifiek stukje informatie je van de schijf kunt halen.
Echter is het in sommige gevallen noodzakelijk dat je echt alles van de schijf moet verwijderen. Oftewel dan is elk woord wat teruggehaald kan worden al te veel. Of dat voor prive-situaties, met waarschijnlijk een behoorlijk gefragmenteerde schijf (en dus ook wat ruis in het signaal op de schijf) een issue is weet ik niet.
Maar voor het idee even een schaamteloze knip en plak van iemand anders' reactie op Tweakers: http://gathering.tweakers.net/forum/list_message/31362787#31362787

Stel 1 HDD van 500GB
Gevuld met e-mailadressen van allemaal 16 karakters lang.

Voor een e-mailadres zijn er geen 256 verschillende geldige tekens, eerder 64. Dus 2^6. Deze liggen ook nog eens in blokken (dichter bij elkaar). Dus de kans op één teken is 56%^6.

Ik ga er voor het gemak even van uit dat er niet nog meer 'relaties' af te leiden zijn. Zoals ".nl" of ".com" of moet een geldige domeinnaam zijn.

De kans op 16 'geldige' bytes is dan 56%^6^16 = ±2,9 * 10 ^ -6.

Echter er mag geen één e-mailadres terug gevonden worden. Dus we moeten ons getal vermenigvuldigen met het aantal blokken van 16 bytes op die harde schijf.

500.000.000.000 bytes op een schijf van 500GB. (Anders had ik wel GiB geschreven).

500.000.000.000 / 16 = 31.250.000.000.

±2,9 * 10 ^ -6 * 31250000000 = ±90000.

Dus als ik een HD van 500GB pak tot de nok toe gevuld met e-mailadressen. Dan ga ik na één keer wissen nog zo'n 90000 geldige e-mailadressen terug kunnen vinden.
17-01-2009, 20:20 door Anoniem
Dus als ik een HD van 500GB pak tot de nok toe gevuld met e-mailadressen. Dan ga ik na één keer wissen nog zo'n 90000 geldige e-mailadressen terug kunnen vinden.[/quote]
En hoeveel emailadressen zouden er op zo'n schijf kunnen? Hoe is dan de verhouding van àl die adressen tot die 90000?

Zal je wel in de buurt zitten van wat de TS hier vertelde denk ik
18-01-2009, 01:13 door Anoniem
je legt het verkeerd uit:
tussen de 31250000000 email adressen die ze terug vinden zitten er gemiddeld 90000 de misschien wel eens zouden kunnen kloppen.

als je 31250000000 email adressen random genereerd heb je denk ik ongeveer de zelfde kans dat er 90000 overeenkomen met een email adres die op die schijf stond voor dat hij gewist werd


Greetingz,
Jacco
18-01-2009, 10:38 door _Peterr
90000 van de 31250000000. Dat is -0.0003% (afgerond). Theorie en praktijk liggen hier lichtjaren van elkaar.
Stel ik heb 50000 prive e-mailadressen op mijn schijf staan. Dan komt er 0,14% van 1 mailadres naar voren na recovery. Dat is niet voldoende om te mailen.

Praktisch is het voor de thuisgebruiker meer dan voldoende. Voor een RootCA van bv Verisign is het niet voldoende.
Niet alles moet 100% waterdicht zijn. Praktisch haalbaar moet je ook meenemen in het verhaal.

Als iedereen zijn schijf leeghaald op deze methode heb je al een winst geboekt van hier tot de maan.
18-01-2009, 11:36 door ccengine
Wat denken jullie hiervan:
Volgens mij kun je een harddisk simpel en snel vernietigen door hem uit elkaar te schroeven, de platters eruit halen en er een schuurpapiertje er overheen halen. Vervolgens in de recycle bak deponeren of inleveren bij de gemeente afvalverwerking...
Geen zware shredder nodig dunkt me ;-)
18-01-2009, 20:57 door Bitwiper
Door TD-er... voor het idee even een schaamteloze knip en plak van iemand anders' reactie op Tweakers: http://gathering.tweakers.net/forum/list_message/31362787#31362787
Stel 1 HDD van 500GB
Gevuld met e-mailadressen van allemaal 16 karakters lang.
...
Dus als ik een HD van 500GB pak tot de nok toe gevuld met e-mailadressen. Dan ga ik na één keer wissen nog zo'n 90000 geldige e-mailadressen terug kunnen vinden.
Stel op die manier lees ik ergens "TD-er*bedrijf.nl" (ik gebruik geen @ voor het geval het emailadres toevallig echt bestaat). Het lijkt een geldig adres, maar stel dat het eigenlijk .nu was? Dat een karakterreeks voldoet aan de eisen die je aan een email-adres kunt stellen wil toch niet automatisch zeggen dat het een bestaand adres is, laat staan dat het om het adres gaat dat echt op de schijf stond vóór overschrijven?Je kunt net zo goed met 26-kantige dobbelstenen gaan gooien totdat je een bestaand woord vindt...

Ondertussen heb ik het http://sansforensics.wordpress.com/2009/01/15/overwriting-hard-drive-data/]verhaal van Wright nog eens goed gelezen: het rammelt echt aan alle kanten. Voorbeeld:
Category A divided the experiment into testing the raw drive (this is a pristine drive that has never been used), formatted drive (a single format was completed in Windows using NTFS with the standard sector sizes) ...
Een harddrive gekocht in de winkel is hoogstwaarschijnlijk niet "pristine" (maagdelijk), in elk geval niet op de manier die zij bedoelen. Hoewel er nog geen consumentengegevens op staan, zullen er door de fabrikant al testpatronen naar de schijven zijn geschreven en sectors (mogelijk hele tracks) zijn geremapped (dit naast het feitelijke low-level formatteren wat feitelijk niets met overschrijven te maken heeft, maar met het aanbrengen van markeringen die aangeven waar sectors beginnen). Ten slotte zullen fabrikanten vaak alle, maar soms slechts een verhoudingsgewijs klein aantal sectoren aan het begin van de schijf met nullen overschrijven; ik ben genoeg "maagdelijke" schijven tegengekomen met vanaf zo'n 2% van de drive een elke sector herhalend semi-random patroon met vaak in de eerste 4 a 8 bytes een oplopende teller.

Een NTFS format schrijft nauwelijks iets, zelfs niet als je een surface scan laat uitvoeren. Bovendien, maar dit is misschien wat nitpicken, heb ik nog nooit een harddisk met een andere sector size dan 512 bytes gezien (wel MO disks), wat Wright bedoelt is cluster size.

Maar ook op andere punten rammelt het:
A MFM is a variety of what most people simply term an electron microscope.
dit is een stompzinnige opmerking die ook in de afsluiting gebruikt wordt en vervolgens her en der wordt aangehaald: een [url=http://en.wikipedia.org/wiki/Magnetic_force_microscope]MFM[/url] is een totaal ander apparaat dan een [url=http://en.wikipedia.org/wiki/Transmission_electron_microscope]TEM[/url] (T voor Transmission, waarbij elektronen door een preparaat heen geschoten worden dat daarom extreem dun moet zijn, niet toepasbaar voor een disk dus) of een [url=http://en.wikipedia.org/wiki/Scanning_electron_microscope]SEM[/url]. Het gebruik van een SEM voor het analyseren van schijfoppervlakken is denkbaar; met een voldoende lage bundelenergie en rondom detectors is het (in elk geval theoretisch) denkbaar dat de van het oppervlak teruggekaatste elektronen qua richting beïnvloed worden door de magnetisatierichting van het "bit" waar het spotje op dat moment op "schijnt". Het gebruik van een MFM ligt voor dit soort toepassingen echter meer voor de hand. Waarbij opgemerkt kan worden dat de leessnelheden met zo'n apparaat eerder in de orde van grootte van bits per seconden dan MBytes per seconde zullen liggen...
Ik hoop dat het artikel zelf beter in elkaar zit (staat dat al ergens online, en zo ja waar?)

@ccengine: ook wat mij betreft is afschuren de beste methode (heb het zelf wel eens gedaan bij HDD's die niet meer benaderbaar waren, ook bij CD's trouwens) maar niet iedereen heeft van die torx sleuteltjes in huis, en bovendien zijn de platters zelf niet altijd even eenvoudig van de spindel te halen (de bijbehorende schroefjes zijn vaak vastgezet met een borgmiddel met een sterkte die soms naar secondenlijm neigt).

Overigens is het toch verstandig om, voordat je destructief te werk gaat, de schijf zomogelijk (eenmalig volstaat) te overschrijven (met nul-bytes bijv.), en met wat steekproeven te controleren of dat ook daadwerkelijk is gebeurd. Dit is namelijk de enige test die je "thuis" kunt uitvoeren; of van een door een sterk magneetveld gehaalde en/of met een hamer bewerkte drive door een gespecialiseerd bedrijf nog data teruggehaald kan worden kun je niet zelf vaststellen.
19-01-2009, 08:37 door Anoniem
Oud nieuws... is zo 2007....
19-01-2009, 10:56 door Anoniem
Als het echt mogelijk is data te achterhalen na overschrijving is je harddisk in principe 2 maal zo groot immers je kan er 2 maal zoveel inf op kwijt.
31-01-2009, 17:17 door Anoniem
Waarom kan dan een nieuwe schijf (als alles zo makkelijk is???) waar een beetje muziek en foto's op stond niet terug worden gezet
Ik had een nieuwe externe harde schijf een (WD) hij liep gelijk vast toen ik wat overgezet had.Computer Lip ook vast .Er mee terug naar de winkel moest altijd mogelijk zijn om alles terug te zetten opgestuurd naar fabriek later op gehaald maar stond niks meer op de nieuwe schijf was niet mogelijk om wat op de schijf terug te zetten werd mij verteld
17-02-2009, 13:18 door Anoniem
Wij laten voor alle zekerheid onze harde schijven sinds kort fysiek vernietigen door Brantjes Datavernietiging uit Haarlem (www.brantjes.com) tot een grootte van circa 1 cm2. Dit geeft ons toch een vertrouwder gevoel dan alle andere methoden welke wij hebben bekeken.
04-03-2009, 23:36 door Anoniem
Ja daar verdient die Brantjes weer lekker mee: je weet het niet zeker.. dus kom maar hier en dan gaan wij met grof geweld aan de slag. Dan "zie" je tenminste wat er gebeurt ipv een programmaatje dat wat onzichtbare dingen doet en dat moet dan zekerheid geven..

Ik wed dat een geheime dienst (met tijd teveel) echter nog eerder wat leesbare data van die 1cm² stukjes zal weten te halen, dan van een 1x overschreven harddisk. Een harddisk in stukjes zagen is vernietigen op macro niveau, data overschrijven is vernietigen op bijna atomair niveau. Vergelijk het met een vel papier in stukken scheuren of iedere regel met een zwarte stift overschrijven...

Bij 100en harddisk is het logisch om de datavernietiging daarvan uit te besteden, maar overschrijven is gewoon voldoende. Daarbij afgaan op "je gevoel" lijkt mij nogal dubieus: je koopt toch ook geen nieuwe pc's op het gevoel?
05-07-2009, 16:35 door Anoniem
Man o man, allemaal goed bedoeld enzo.. maare.. alsje "EastTec Eraser Enterprise" editie gebruik, die even goed configureert op "Government Level Method" en dan de High Security-verwijderings methode van Dr. Guttmann gebruikt weet ik zeker dat er geen sterveling op aarde het nog terug zal vinden.

deze methode maakt gebruik van het byte-voor-byte honderden keren te overschrijfen etc.

vervolgens kun je met Hiren's bootcd allemaal bekende Foresische programma's los laten op je harddiskje.

mocht je meer informatie willen over dit onderwerp download eens een trial versie van dit programma en doe zelf onderzoek!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.