SSDs sicher löschen?

Nee, bin für komplettes Einschmelzen des Bauteils als sicherste Methode,
aber trotzdem Danke für das humorvolle posting :-), mit Darstellung der sehr einfach zu bewerkstelligenden Zerstörungsmethode welche vor > 99,99% aller Leseversuche von allzu neugierigen Menschen schützt.
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Ich weiß schon wie meine eine Platte richtig überschreibt
Wer behauptet man können HDDs oder SSDs nicht so überschreiben, dass sich da nichts mehr wiederherstellen lässt, der weiß offensichtlich nicht, wie man dies macht. Richtig überschrieben, bleibt da nichts mehr, was sich noch wiederherstellen lässt. Bei HDDs bleiben da nur die Sektoren die vorher als defekt ausrangiert und durch Reservesektoren ersetzt wurden, aber die wurden ja ausrangiert, weil die Platte selbst ja deren Daten schon nicht mehr korrekt auslesen und auch nicht mehr anhand der dahinterstehenden ECC rekonstruieren konnte. Viel Spaß da was sinnvolles auslesen zu wollen und selbst wenn da ein paar sinnvolle Bytes drin stehen, so reden wir von maximal 4k pro Sektor von TB an Daten, die Chance das dort was wichtiges stand ist also sowieso minimal. Außerdem bekommt man für eine derartige HDD nicht mehr viel, wenn man sie ehrlich mit dem Hinweis auf die defekten Sektoren verkauft, da kann man sie dann auch mechanisch zerstören.

Ähnlich ist es bei SSDs, wenn da die SSD einen NAND Block als defekt ausrangiert hat, dürfte da kaum noch was auslesbar sein und selbst wenn, so ist dies auch immer nur ein winziger Bruchteil der Gesamtkapazität und entsprechend gering ist die Wahrscheinlichkeit, dass gerade dort sensible Daten gestanden haben und auch für so eine SSD dürfte man nicht mehr viel bekommen, wenn man sie ehrlich beschreibt, da kann man sie auch gleich mechanisch/thermisch vernichten.
Ich möchte nicht mal mehr abstreiten das ein Clean All nicht ausreichend ist für 99% der Anwendungsfälle und möchte meine Aussage damit gerne etwas "entschärfen" Evtl bin ich da auch einfach etwas zu Paranoid...
Aber Behörden und co würde ich so eine Platte dennoch nicht einfach so überlassen oder gar fremden im Netz.
Das klingt schon besser, aber es bleibt dann immer noch die Frage, was die übrigen 1% sein sollen. Außerdem ist es schon noch ein Unterschied, ob es ein Fremder im Netz oder eine Sicherheitsbehörde ist, die sich daran versucht. Der Fremde der einfach eine gebrauchte HDD oder SSD kauft, wird maximal ein Tool wie eben Testdisk nehmen um zu versuchen was zu finden und dies geht nach einem Überschreiben mit Diskpart und CLEAN ALL eben nicht mehr. Was Sicherheitsbehörden ggf. noch versuchen, weiß ich nicht, aber mehr als ein Datenrettungslabor macht, können sie auch nicht tun und bei einer HDDs haben sie da keine Chance, die Chance ein Byte mit viel Aufwand wie einem Magnetkraftmikroskop korrekt zu ermitteln, liegt bei unter 1% und ganze Dateien wiederherzustellen ist daher unmöglich.

Bei SSDs könnten sie versuchen die NAND Dies abzulöten und manuell auszulesen, aber auch da werden sie kaum Erfolg haben. Einmal weil die SSD Controller die Daten eben der Performance wegen über die NAND Dies verteilt schreiben, dann weil sie eben bemüht sind ungültige Daten (also Daten deren LBAs überschrieben oder getrimmt wurden) zu löschen, eben damit sie leere NAND Blöcke haben die sie dann schnell wieder beschreiben können. Wie gesagt waren die Sandforce Controller da eine Ausnahme, aber die anderen Controller machen es so und wer hat noch eine SSD mit einem alten Sandforce Controller? Nach dem Überschreiben mit Clean All sind aller vorherigen Userdaten ungültig geworden und werden daher spätestens bei der nächsten Idle-GC gelöscht und da lässt sich dann nichts mehr wiederherstellen. Bei SLC NAND konnte man vielleicht noch anhand der vielleicht verbliebenen Elektronen in einer Zelle erraten, wie deren Ladung vorher war, denn beim Löschen werden nicht immer alle Elektronen entfernt, aber spätestens wenn die Zelle schon mehrfach überschrieben und gelöscht wurde, werden da immer ein paar Elektronen drin sein und bei dem heutigen TLC und QLC NAND dann alle 3 bzw. 4 Bits zu erraten, ist komplett unmöglich.

Aber selbst wenn in der einen oder anderen NAND Page noch Daten stehen, was der Fall sein wird, dann da steht ja auch Verwaltungsdaten wie die Mappingtabelle, die S.M.A.R.T. Werte und die FW des Controllers drin, wird es nahezu unmöglich sein diese zuzuordnen. Selbst wenn man dann das Format der Verwaltungsdaten kennt und diese damit ausblenden kann, bekommt man bestenfalls winzige Fragmente von Dateien. Auch hier ist dann die Chance das da was kompromittierendes rauf ist, extrem gering. Aber ich könnte mir gut vorstellen, dass die Ermittler im Verhör trotzdem behaupten, sie hätten alles wiederhergestellt und nun wäre es Zeit für ein Geständnis, auch wenn sie gar nichts wiederherstellen konnten oder die Daten vorher schon auf anderem Wege, z.B. über einen vorher eingeschleusten Trojaner, erlangt haben. Der Hausdurchsuchung gehen ja lange Ermittlungen voraus und den Durchsuchungsbeschluss bekommen sie auch erst, wenn sie genug Anhaltspunkte oder Beweise haben. Aber wer sich darum Gedanken machen muss, sollte keine gebrauchten Datenträger verkaufen und er sollte das Geld was er dafür bekommt, auch nicht nötig haben.

Immer diese Unterstellungen und das typische glaube ich so nicht blah blah, hab keine Nerven für sowas und ich muss mir das nicht geben
Wer absurde Behauptungen aufstellt, der muss damit rechnen, dass diese angezweifelt werden. Die Aussage man könnte HDDs oder SSDs nicht sicher löschen, hast du ja nun schon dahingehend relativiert, dass es zu 99% reichen würde, aber was die übrigen 1% betrifft, würde ich gerne noch eine Erklärung haben, wie dies denn in der heutigen Zeit gehen soll. Meiner Meinung nach, beruhen Berichte wonach dies möglich sein soll, auf Lügen oder Missverständnissen. Entweder wurde nicht wirklich alles richtig überschrieben, wobei man da aufpassen muss, dass man beim Überschreiben mit Zufallsdaten ggf. auch zufällig Bytemuster auf die Platte schreibt, die Recoverytools dann falsch interpretieren und anzeigen, sie hätten eine Datei gefunden, was manchen eben schon reicht um zu behaupten, dass Überschreiben eben nicht funktioniert, statt sich die Mühe zu machen den ganzen Weg zu gehen, diese vermeintliche Datei auch zu retten und auf Brauchbarkeit zu überprüfen. Oder es wird einfach so behauptet, denn kontroverse Meinungen erhöhen die Aufmerksamkeit, erzeugen also mehr Clicks und die sind in der heutigen Welt der sozialen Medien eben Geld wert.

Manchmal wird auch einfach nur etwas wiedergegeben, was komplett veraltet ist, wie man es eben anhand der Richtlinien sieht, die für manche Fälle immer noch die Vernichtung des RAMs von Rechnern verlangen, was bei Kernspeichern mal wichtig war, bei DRAM aber eben totaler Unsinn ist. Es dauert manchmal etwas länger, bis überholtes Wissen korrigiert wird, wie wir ja bei SSDs anhand der lange verbreiteten Empfehlung zum Einstellen von Windows zur Reduzierung der Schreibzugriffe gesehen haben. Dies war bei den ersten Consumer SSDs mit dem berüchtigten JMicron 602 Controller wichtig, der konnte sich bis zu 2s Bedenkzeit bei Schreibzugriffen gönnen und war generell beim Schreiben viel lahmer als HDDs, nur Lesend konnte er glänzen. Da machte es Sinn Schreibzugriffe zu minimieren, aber spätere SSD Controller hatten diese Problem nicht mehr und trotzdem wollten manche sich offenbar als Wissende rausstellen und Aufmerksamkeit generieren, indem sie diese alten Tipps dann recyceled haben und diese zur Schonung der NANDs anpriesen. Dabei hat kaum jemand die vielen P/E Zyklen der damaligen SLC oder MLC NANDs jemals aufgebraucht, sondern die SSDs vorher gegen solche mit größeren Kapazitäten getauscht, weil diese immer billiger wurden. Auch da gab es aber Ausnahmen, die Indilinx Controller waren z.B. dafür berüchtigt, dass ihre Idle-GC die P/E Zyklen der NANDs regelrecht gefressen hat und absurd hohe Write Amplifications erzeugen konnte.

Es ist also irrelevant, wenn jemand damit ankommt, dass man bei SLC NAND, welches einmalig beschrieben wurde, dann vielleicht nach dem Löschen noch recht gut erraten kann, ob die Zelle 0 oder 1 war, weil nach dem Löschen vielleicht noch ein Elektron darin zurückgeblieben ist, da schon lange keine SSDs mit SLC NAND mehr hergestellt werden und die NANDs in alten SSDs mit SLC NAND schon vielfach überschrieben wurden. Bei NAND mit mehr als einem Bit pro Zelle ist es wie gesagt total unmöglich noch irgendwie die vorher gespeicherten Bits zu erraten, nachdem die Zelle gelöscht wurde. Bei HDDs beträgt die "Areal density, (Gb/in2 avg) 1260", was 1.953.004 pro mm² ist eben knapp 2 Bits pro µm². Meine erste HDD hatte 20MB, mit einem MFM Controller, das war eine 5 1/4" wo die Köpfe noch von einem Schrittmotor bewegt wurden und man wirklich eine Low-Level Formatierung machen und dafür die Liste der fehlerhaften Sektoren vom Label eingeben musste. Die Daten die man damals darauf gespeichert hat, passen bei modernen HDDs auf wenig mm². Viel Erfolg da mit den damaligen Methoden noch was auslesen zu wollen.

SSD's funktionieren zwar nicht so wie Festplatten, aber im sehr grundlegenden Prinzip: Daten auf Sektor(memory-page) Ebene überschreiben (und den Speicherkontroller Zeit geben, die Daten auch abzulegen/zu reorganisieren).
Bei NAND kann man keine Page überschreiben, die kann nur einmal beschrieben werden und muss dann zusammen mit allen anderen Pages des gleichen Blocks (was gerne Hunderte Pages sind), dann wieder gelöscht werden. Dies wird der Controller nach dem Überschreiben der logischen Block Adressen mit denen die Daten einer NAND Page verbunden waren, aber eben gerne tun, da für ihn die alten Daten nun ungültige Daten geworden sind.

Grobes Lösungsschema unter Linux wäre z.B.: dd if=/dev/urandom of=/dev/targetdevice
Wobei Zufallsdaten das Risiko mit sich bringen, dass Recovery Tools da meinen gültige Daten gefunden zu haben, wenn dabei zufällig ein Muster geschrieben wird, was dem eines bekannten Dateiformates entspricht, welches sie eben kennen und wonach sie suchen. Steht dann zufällig z.B. BM am Anfang eines Sektors, so meinen die dann ggf. eben ein Bitmapfile gefunden zu haben.

Für sehr heikle Daten gilt: Nur physikalische Zerstörung ("physical annihilation") bietet wirklichen Schutz
Wobei ich da immer noch darauf warten zu erfahren, was man denn bei heutigen HDDs und SSDs noch wiederherstellen können soll, wenn selbst Datenretter dies nicht können.

Amaya's Aussage ist ziemlicher Schwachsinn.
Ja.

Die Wahrscheinlichkeit das Deine Daten damals via Schadsoftware(z.B.Rootkits), Seitenkanal-Angriffen, Hintertüren abgegriffen wurden liegt vielfach höher, als die Chancen Deiner Behauptung das HDD-Daten nach >= 1x überschreiben einfach wiederherstellbar waren.
Eben, dies ist der viel einfachere Weg um jemanden auszuspionieren, Stichwort: Bundestrojaner.

Nach 1x HDD komplett Überschreiben, kann kein kommerzielles Datenrettungs-Unternehmen mehr die überschriebenen Daten wiederherstellen!
So ist es, da geht nichts mehr. Die Datendichten sind so hoch und die Bits werden mit PMR in die Tiefe geschrieben, dass es einfach keine Technologie gibt um die Reste einer vorherigen Magnetisierung des Bits noch auslesen zu können, die ja nur noch einen Bruchteil der Größe und damit Magnetisierung des eigentlichen Bits haben.

(Daten die nicht überschrieben werden, wie z.B. ausgemappte Sektoren, als fehlerhaft markierten Sektoren, können aber prinzipbedingt ein Datenleck darstellen)
Aber diese Sektoren werden ja eben ausgemappt, weil die HDD selbst deren Daten nicht mehr fehlerfrei lesen kann, selbst wenn sie versucht die Daten anhand der ECC zu rekonstruieren, die ja hinter jedem Sektor steht (auch jede SSDs hat hinter für NAND Page extra Bytes für die ECC). Dazu hat ein physikalischer Sektor 512 oder 4096 Byte, was eben im Vergleich zu den TB an Kapazität einer HDDs so wenig ist, dass es extrem unwahrscheinlich ist, dass dort etwas relevantes drin steht, selbst wenn man die meisten der nicht mehr fehlerfrei lesbaren Bits korrekt interpretiert.

(und sehr fähige Coder können Daten-Ablage-Bereiche schaffen, welche vor normalen Usern ziemlich sicher versteckt sind (umgeleitete Schreib-/Lese Zugriffe bei HDD, Daten in MB/Gfx/AddOn-Card Bios ablegen, ... you get the idea ...))
Wer so eine Software einschleusen kann, der wird die Daten die diese sammelt, dann gleich übers Internet nach Hause senden, statt zu versuchen sie irgendwo im Rechner selbst zu hinterlegen, zumal die BIOS Chips ja auch nicht gerade viel Kapazität haben und nur ein Bruchteil davon frei ist und wenn man das eigentliche BIOS überschreibt, funktioniert die Hardware nicht mehr.

Wenn, dann ist eher eine HPA (Host Protected Area) ein Risiko, da man diese eben mit Tools wie Diskpart nicht überschreiben kann, aber wer legt sich sowas schon an und speichert dann seine sensiblen Daten dort? Früher haben Gigabyte Mainboards mal eine HPA auf der primären Platten angelegt und dabei einen Rechenfehler bzgl. deren Größe gemacht, weshalb dies dann auffiel, um dort ein Backup des BIOS abzulegen. Da können sich dann die Forensiker gerne über ein Backup des alten BIOS des Mainboards freuen, aber Userdaten werden sie da nicht finden.
Aber ich lasse mir hier nicht vorwerfen das ich unsinn von mir gebe von Sachen die mir persönlich nachweißlich passiert sind!
Das finde ich von den jeweiligen Usern mal wirklich Frech, da frage ich mich leider wirklich was da bei einigen falsch läuft?!
Keine Ahnung was bei dir damals falsche gelaufen ist, aber ich vermute mal, dass du einer der vielen Leute warst, die Formatieren mit Überschreiben gleichgesetzt haben und dies war bei Windows damals eben nicht der Fall, wie ich schon geschrieben habe. Damals wurde beim Formatieren von Windows eben nur ein klein wenig geschrieben, nämlich die Metadaten für ein leeres Filesystem und der Rest der Partition wurde gelesen um ggf. defekte Sektoren zu finden, die dann ins $BadClus Metafile einzutragen, damit diese nicht verwendet werden. Der Hintergrund ist, dass HDDs beim Lesen eben Lesefehler ausgeben, wenn ein Sektor nicht mehr korrekt lesbar ist, beim Schreiben aber eben keine Schreibfehler, da die Daten nach dem Schreiben nicht geprüft werden, außer wenn der Sektor vorher schon einen Lesefehler geliefert hat und deshalb als schwebend markiert ist.

Nur bei schwebenden Sektoren prüfen die HDDs ob die neu geschriebenen Daten auch korrekt lesbar sind und wenn nicht, dann wird der betroffene Sektor durch einen Reservesektor ersetzt. Von daher war es auch schon damals wenig sinnvoll die Partition zu lesen, denn schwebende Sektoren müssen keinen Defekt aufweisen, die Daten können auch teilweise überschrieben worden sein, wenn der Strom während des Schreibens ausfiel oder weil der Kopf wegen Stößen/Vibrationen beim Schreiben der Nachbarspur die korrekte Position verlassen und daher die Daten teilweise überschrieben hat. Bei Floppy Disks war es noch sinnvoll, die hatten ja keine Reservesektoren, aber HDDs haben Reservesektoren um defekte Sektoren zu ersetzen und daher war es gut, dass MS dies Verhalten dann endlich mal geändert hat, aber es hat sehr, sehr lange gedauert. Es dauert eben immer lange, bis Software an die Eigenschaften und Fähigkeiten der Hardware angepasst wird.

Ich war damals zu unerfahren und unvorsichtig der Datenträger war nicht verschlüsselt muss man dazu sagen.
Was dazu passen würde, dass die Platte eben nicht überschrieben wurde, auch wenn du dies bis heute glaubst. Was damals genau vorgefallen ist, kann ich natürlich nicht wissen, aber es ist zu 100% sicher, dass die HDD nicht vollständig überschrieben wurde und die Vermutung liegt nahe, dass dies eben aufgrund der lange verbreiteten Fehlannahme lag, dass man Datenträger durch Formatieren (nicht Schnellformatierung) löschen könne. MS hat damals sicher nicht den besten Job gemacht, wenn es um die Aufklärung ging was beim Formatieren wirklich passiert und ohne spezielle Tools sahen die formatierten Datenträger ja auch leer aus, waren aber eben nicht wirklich überschrieben.
 
Na komm, sei doch nicht gleich eingeschnappt. Bin schon ganz gespannt auf die relevanten Auszüge aus Deiner dicken Akte.
 
Ganz im Ernst: musste mir auch schon ein paarmal Sorgen machen, dass da wer nachschauen kommt. Also nicht wegen mir persönlich, aber man kennt ja Gott und die Welt. Habe dann meist nach wochenlangen diskpart /clean all Sessions schon bedeutend besser geschlafen. Nur so zur Sicherheit. Die restlichen HDDs welche noch rum lagen hatten die Kinder vom Kumpel dann zum Glück noch mit der Spitzhacke bearbeitet.

Das war ein Scherz mein Herz. Ich bin so klein, mein Herz ist rein.
 
@Amaya : bin diesbezüglich prinzipiell Neugierig und sehr Interessiert. Einige Puzzle-Stücke passen aber so, in der Form, noch nicht zusammen.
Bei nur SQL-injection (ohne die "Datenwiederherstellung" nach überschreiben) klingt Dein beschriebener Sachverhalt plausibel.
@Holt : last posting was mostly TLDR.
Bei NAND kann man keine Page überschreiben, die kann nur einmal beschrieben werden und muss dann zusammen mit allen anderen Pages des gleichen Blocks (was gerne Hunderte Pages sind), dann wieder gelöscht werden. Dies wird der Controller nach dem Überschreiben der logischen Block Adressen mit denen die Daten einer NAND Page verbunden waren, aber eben gerne tun, da für ihn die alten Daten nun ungültige Daten geworden sind.
Funktionsweise SSD Speicher war mir vorher schon bekannt. Es ändert nichts am sehr grundlegenden Prinzip: möglichst alle alten Daten mit neuen Daten überschreiben
(Und nein, kein Interesse an weiterführende Diskussion über: Aufbau NAND, Speicherkontroller, wear level mechanism, over-provisoned space, Hardwaremods unter REM/TEM, etc..., es sei den, es wäre interessant. Dilemma.)

Wobei Zufallsdaten das Risiko mit sich bringen, dass Recovery Tools da meinen gültige Daten gefunden zu haben, wenn dabei zufällig ein Muster geschrieben wird, was dem eines bekannten Dateiformates entspricht, welches sie eben kennen und wonach sie suchen. Steht dann zufällig z.B. BM am Anfang eines Sektors, so meinen die dann ggf. eben ein Bitmapfile gefunden zu haben.
Really ????????
Wo läge denn das Problem bei einer solchen "false positive" Erkennung für den HDD Besitzer ? (Dies ist in Wirklichkeit keine Frage)
Bitte etwaigen Sarkasmus zu verzeihen, die Wahrscheinlichkeit das hintereinander liegende Zufallszahlen eine einigermaßen funktionsfähige Bilddatei mit Bild des PC-Besitzers und/oder korrekter Postanschrift (o.ä.) bilden, schätze ich grob ungefähr auf 1:10^100. Googol 🥰

Wobei ich da immer noch darauf warten zu erfahren, was man denn bei heutigen HDDs und SSDs noch wiederherstellen können soll, wenn selbst Datenretter dies nicht können.
Weiss ich auch nicht. Die Vorschriften für "physical annihilation" von möglichen(!) Datenträgern sind ähmm ... bestimmten staatlichen Vorschriften zur Wahrung staatlicher Interessen, entnommen. Typischerweise .mil oder Nähe/direkte Hutträger-Fraktion, diese können auch mit sich selbst zusammenstoßen, wenn Sie um eine Ecke gehen.

Aber diese Sektoren werden ja eben ausgemappt, weil die HDD selbst deren Daten nicht mehr fehlerfrei lesen kann, selbst wenn sie versucht die Daten anhand der ECC zu rekonstruieren, die ja hinter jedem Sektor steht (auch jede SSDs hat hinter für NAND Page extra Bytes für die ECC). Dazu hat ein physikalischer Sektor 512 oder 4096 Byte, was eben im Vergleich zu den TB an Kapazität einer HDDs so wenig ist, dass es extrem unwahrscheinlich ist, dass dort etwas relevantes drin steht, selbst wenn man die meisten der nicht mehr fehlerfrei lesbaren Bits korrekt interpretiert.
Funktionweise HDD ist mir bezüglich encoding/ecc bekannt. Die korrekte Funktion einer SSD/HDD Firmware wäre bei einer, vom Benutzer nicht unterstützten, Daten-Extraktion auch ziemlich uninteressant. Viel wichtiger wäre in dem Fall, das die Firmware das macht, was der Extrakteur will, wie z.B: funktionierende Bereiche als fehlerhaft markieren, damit dieser benötigten Speicherplatz, sicher, sowie nur für sich alleine, verfügbar hätte. Extraktionsweg via Internet wäre, wie von Dir gesagt, deutlich wahrscheinlicher. Nichtsdestoweniger muss man ehrfürchtig Hard- und Softwarefunktionalitäten bewundern, welche es via side-channels, auch über einige Meter air-gapped getrennte Systeme schaffen, Daten (langsam) zu übertragen.
 
Zuletzt bearbeitet:
@Amaya : bin prinzipiell sehr Interessiert. Einige Puzzle-Stücke passen aber so nicht in der Form zusammen
Es gibt keine Puzzle Stücke mehr. Die wurden alle sicher gelöscht. Einiges in dem Thread wirkt jetzt halt aus dem Zusammenhang gerissen. Bin sicher die anderen Akteure werden auch noch die betreffenden Passagen aus den Zitaten tilgen. Vielleicht ist das Verfahren noch nicht ganz abgeschlossen, wer weiss. Von meinen Atari Platten existieren auf jeden Fall nur noch Schwebstoffe.
 
Denke einfach das ich diese Meinung so extrem dazu habe weil mir das damals so passiert ist und mir vermutlich auch fehler auf meiner Seite passiert sind und ich seit dem der Meinung bin das es nicht sicher löschbar ist.
Nur beruht diese Meinung eben auf einem Missverständnis und nicht der Wahrheit. Dies bedeutet nicht, dass ich dir unterstelle bewusst zu lügen, vielleicht hast du einfach Formatiert und dir eben gemerkt, damit die Platte überschrieben zu haben, was aber eben nicht der Fall war. Oder sie wurde wirklich überschrieben, aber die Ermittler hatten die Daten schon vorher per Schadsoftware abgegriffen und um dies geheim zu halten, dann so getan als wären die Daten wiederhergestellt worden. Ich weiß es nicht, aber du weißt es eben auch nicht (mehr so genau).

Hab meinen in euren Augen "Schwachsinn" mal gelöscht bitte alle Zitate dazu in euren Post zu entfernen bzw bearbeiten und meinen Namen auch aus den Posts rausnehmen danke 🙃🤡 (@Holt , @Rarity, @coolup )
Nein, wieso sollte ich mir diese Mühe machen? Wieso kannst du dazu stehen was getan zu haben, wofür du fast eingefahren wärst, aber nicht dazu, ihr Mist geschrieben zu haben? Muss man nicht nachvollziehen können, oder?

@Holt : last posting was mostly TLDR.
Lustig, wieso finden Leute die keine Zeit haben es zu lesen, dann trotzdem immer wieder noch die Zeit es zu kommentieren?

(Und nein, kein Interesse an weiterführende Diskussion über: Aufbau NAND, Speicherkontroller, wear level mechanism, over-provisoned space, Hardwaremods unter REM/TEM, etc..., es sei den, es wäre interessant. Dilemma.)
Dies ist aber wichtig um solche Sachverhalten zu verstehen.

Really ????????
Wo läge denn das Problem bei einer solchen "false positive" Erkennung für den HDD Besitzer ? (Dies ist in Wirklichkeit keine Frage)
Keines, denn wie du ja selbst schreibst:

Bitte etwaigen Sarkasmus zu verzeihen, die Wahrscheinlichkeit das hintereinander liegende Zufallszahlen eine einigermaßen funktionsfähige Bilddatei mit Bild des PC-Besitzers und/oder korrekter Postanschrift (o.ä.) bilden, schätze ich grob ungefähr auf 1:10^100.
Die sind null, da es ja die geschriebenen Zufallsdaten sind, aber darum ging es nicht. Es ging um die Leute die behaupten, es würde nicht reichen einen Datenträger zu überschreiben um alle Daten sicher zu löschen. Die überschreiben dann mit Zufallsdaten, dabei entsteht zufällig auch ein Bytemuster welche so eine Recoverysoftware sucht und die zeigt dann an, dass sie was gefunden hat und statt diese angeblich gefundene Datei wiederherzustellen und zu prüfen, wobei sie dann merken würde, dass es nur Müll ist, schreien diese Leute dann gleich rum, dass Überschreiben eben nicht reicht. Habe ich aber auch so geschrieben, hättest du mal wirklich lesen sollen!

Die korrekte Funktion einer SSD/HDD Firmware wäre bei einer, vom Benutzer nicht unterstützten, Daten-Extraktion auch ziemlich uninteressant.
Wie gesagt: Wer eine manipulierte FW einspielen kann, der hat einfachere Möglichkeiten die Daten dann auch rauszuschleusen als zu versuchen diese irgendwo versteckt abzulegen und dann zu hoffen, irgendwann an die Hardware zu kommen. Auch wenn dies gelingt, so würde es auffallen, da die Nutzkapazität eben geringer wird, wenn man so einen versteckten Bereich schaffen würde um dort Daten zu halten, die der User nicht löschen können soll. Dies fällt dann auf, sobald es um ein nennenswertes Datenvolumen geht. Dies sind also Überlegungen für Aluhutträger, denn wer wirklich meint so eine Schadsoftware wäre eine Bedrohung, der sollte davon ausgehen, dass er längst auf anderem Wege ausspioniert wurde und seine Daten schon lange beim Angreifer angekommen sind, bevor er merkt das irgendwas nicht stimmt.

Viel wichtiger wäre in dem Fall, das die Firmware das macht, was der Extrakteur will, wie z.B: funktionierende Bereiche als fehlerhaft markieren, damit dieser benötigten Speicherplatz, sicher, sowie nur für sich alleine, verfügbar hätte.
HDDs haben aber eben nur eine sehr beschränkte Anzahl an Reservesektoren. Ein Angreifer könnte also nur wenige Daten dort ablegen und müsste daher genau filtern können, welche der Daten auf der Platte für ihn so interessant sind, dass er sie dort ablegt. Dazu müsste er die originale FW genau kennen um sie so manipulieren zu können, dass die Platte weiterhin normal zu funktionieren scheint, damit dies nicht auffällt und das Opfer sie nicht ersetzt, weil er meint sie wäre defekt.

Nichtsdestoweniger muss man ehrfürchtig Hard- und Softwarefunktionalitäten bewundern, welche es via side-channels, auch über einige Meter air-gapped getrennte Systeme schaffen, Daten (langsam) zu übertragen.
Es gibt bestimmte Möglichkeiten elektromagnetische Strahlungen von bestimmten Geräten abzugreifen, Tastaturen scheinen da besonders sensibel zu sein, aber eben weil deren Kabel lang und außerhalb des Gehäuses sind, dazu sind sind wegen der geringen Frequenzen meist auch nur kaum bis gar nicht abgeschirmt. Bei HDDs, SSDs und erst recht NVMe SSDs sieht dies aber anderes aus, die sind intern und selbst bei SATA sind wenig Meter Kabellänge schon das Limit, bei PCIe reden wir dann eher von cm und umso weniger, je schneller die PCIe Schnittstelle ist. Bei PCIe 5.0 braucht man schon hochwertige Materialien für die Platine, ein gutes Routing der Lanes und nach recht wenigen cm schon einen Redriver, der dann das Signal wieder aufbereitet. Dies über Kabel an U.2 SSDs zu übertragen, ist schon anspruchsvoll und außerhalb des Gehäuses da was abfangen und auswerten zu wollen, ist komplett illusorisch.

Bin sicher die anderen Akteure werden auch noch die betreffenden Passagen aus den Zitaten tilgen.
Nein, wieso? Steht zu euren Fehlern. Da Irren bekanntlich menschlich ist, kann dies jedem passieren und die wahre Größe zeigt sich im Umgang mit den eigenen Fehlern. Da ist es leider immer mehr verbreitet dies nicht einzugestehen oder sich gar dafür zu entschuldigen, was dann das allerletzte ist und solche Menschen kann ich nur zutiefst verachten, oder eben die Fehler einzugestehen um daraus zu lernen, was der Sinn der Sache sein sollte. Das Lernen hört nie auf! Amaya sollte daher nicht versuchen seine Fehler nachträglich revidieren zu wollen, sondern einfach dazu stehen, dass er wohl einem Irrtum unterlag und z.B. einfach mal ausprobieren, ob er nach dem wirklich erfolgten Überschreiben einer HDD und/oder SSD nun wirklich noch etwas wiederherstellen kann.
 
Ich hatte nun mit etwas abstand zu diesem Thema und nochmals Zeit mir das alles genau anzuschauen.
Ich lag ich mit meiner Aussage die ich ja schon eigentlich revidiert hatte wirklich daneben.

Hab es nun mal die die Ruhe gehabt es bei einer SD testen zu können, ein HDD test folgt noch wenn meine neue HDD da ist.
Da hat sich einfach der Irrglaube und die Erfahrung von damals zu fest verankert gewesen. Wo man mir wohl nur weiß machen wollte es wiederhergestellt zu haben, und man es in wirklichkeit es wahrscheinlich aus anderen "Quellen" hatte.

In diesem fall denke ich das eine Entschuldigung von meiner Seite hier angebracht ist, da ich doch etwas sehr aus der Haut gefahren bin :)
Es tut mir leid das ich hier wirklich einem Fehler unterlag, kann jedem mal passieren.
 
Hab es nun mal die die Ruhe gehabt es bei einer SD testen zu können, ein HDD test folgt noch wenn meine neue HDD da ist.
Ja, probiere es aus, dann weißt Du es aus eigener Erfahrung und dies überzeugt immer mehr, als wenn man es nur von anderen hört oder liest..

Da hat sich einfach der Irrglaube und die Erfahrung von damals zu fest verankert gewesen.
Das kommt leider zu oft vor, wenn man erstmal von etwas überzeugt ist, was aber eben auf einem Irrtum beruht, dann lassen sich die meisten Menschen nur schwer davon abbringen.

Es tut mir leid das ich hier wirklich einem Fehler unterlag, kann jedem mal passieren.
Ja und wenn Du es Deinen Irrtum nun eingesehen und dazugelernt hast, hat sich der Aufwand ja gelohnt. Hoffentlich lesen auch andere diesen Thread und lernen daraus, z.B. wenn auch sie der Meinung sind, dass einmal Überschreiben mit Diskpart und CLEAN ALL eben nicht reichen würde, dass sie es einfach mal ausprobieren. Oder wenn sie mit Zufallsdaten überschreiben und irgendein Tool meint was gefunden zu haben, dass sie es dann auch wiederherstellen um zu schauen, ob es wirklich brauchbare Daten sind.
 
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh