Ich weiß schon wie meine eine Platte richtig überschreibt
Wer behauptet man können HDDs oder SSDs nicht so überschreiben, dass sich da nichts mehr wiederherstellen lässt, der weiß offensichtlich nicht, wie man dies macht. Richtig überschrieben, bleibt da nichts mehr, was sich noch wiederherstellen lässt. Bei HDDs bleiben da nur die Sektoren die vorher als defekt ausrangiert und durch Reservesektoren ersetzt wurden, aber die wurden ja ausrangiert, weil die Platte selbst ja deren Daten schon nicht mehr korrekt auslesen und auch nicht mehr anhand der dahinterstehenden ECC rekonstruieren konnte. Viel Spaß da was sinnvolles auslesen zu wollen und selbst wenn da ein paar sinnvolle Bytes drin stehen, so reden wir von maximal 4k pro Sektor von TB an Daten, die Chance das dort was wichtiges stand ist also sowieso minimal. Außerdem bekommt man für eine derartige HDD nicht mehr viel, wenn man sie ehrlich mit dem Hinweis auf die defekten Sektoren verkauft, da kann man sie dann auch mechanisch zerstören.
Ähnlich ist es bei SSDs, wenn da die SSD einen NAND Block als defekt ausrangiert hat, dürfte da kaum noch was auslesbar sein und selbst wenn, so ist dies auch immer nur ein winziger Bruchteil der Gesamtkapazität und entsprechend gering ist die Wahrscheinlichkeit, dass gerade dort sensible Daten gestanden haben und auch für so eine SSD dürfte man nicht mehr viel bekommen, wenn man sie ehrlich beschreibt, da kann man sie auch gleich mechanisch/thermisch vernichten.
Ich möchte nicht mal mehr abstreiten das ein Clean All nicht ausreichend ist für 99% der Anwendungsfälle und möchte meine Aussage damit gerne etwas "entschärfen" Evtl bin ich da auch einfach etwas zu Paranoid...
Aber Behörden und co würde ich so eine Platte dennoch nicht einfach so überlassen oder gar fremden im Netz.
Das klingt schon besser, aber es bleibt dann immer noch die Frage, was die übrigen 1% sein sollen. Außerdem ist es schon noch ein Unterschied, ob es ein Fremder im Netz oder eine Sicherheitsbehörde ist, die sich daran versucht. Der Fremde der einfach eine gebrauchte HDD oder SSD kauft, wird maximal ein Tool wie eben Testdisk nehmen um zu versuchen was zu finden und dies geht nach einem Überschreiben mit Diskpart und CLEAN ALL eben nicht mehr. Was Sicherheitsbehörden ggf. noch versuchen, weiß ich nicht, aber mehr als ein Datenrettungslabor macht, können sie auch nicht tun und bei einer HDDs haben sie da keine Chance, die Chance ein Byte mit viel Aufwand wie einem Magnetkraftmikroskop korrekt zu ermitteln, liegt bei unter 1% und ganze Dateien wiederherzustellen ist daher unmöglich.
Bei SSDs könnten sie versuchen die NAND Dies abzulöten und manuell auszulesen, aber auch da werden sie kaum Erfolg haben. Einmal weil die SSD Controller die Daten eben der Performance wegen über die NAND Dies verteilt schreiben, dann weil sie eben bemüht sind ungültige Daten (also Daten deren LBAs überschrieben oder getrimmt wurden) zu löschen, eben damit sie leere NAND Blöcke haben die sie dann schnell wieder beschreiben können. Wie gesagt waren die Sandforce Controller da eine Ausnahme, aber die anderen Controller machen es so und wer hat noch eine SSD mit einem alten Sandforce Controller? Nach dem Überschreiben mit Clean All sind aller vorherigen Userdaten ungültig geworden und werden daher spätestens bei der nächsten Idle-GC gelöscht und da lässt sich dann nichts mehr wiederherstellen. Bei SLC NAND konnte man vielleicht noch anhand der vielleicht verbliebenen Elektronen in einer Zelle erraten, wie deren Ladung vorher war, denn beim Löschen werden nicht immer alle Elektronen entfernt, aber spätestens wenn die Zelle schon mehrfach überschrieben und gelöscht wurde, werden da immer ein paar Elektronen drin sein und bei dem heutigen TLC und QLC NAND dann alle 3 bzw. 4 Bits zu erraten, ist komplett unmöglich.
Aber selbst wenn in der einen oder anderen NAND Page noch Daten stehen, was der Fall sein wird, dann da steht ja auch Verwaltungsdaten wie die Mappingtabelle, die S.M.A.R.T. Werte und die FW des Controllers drin, wird es nahezu unmöglich sein diese zuzuordnen. Selbst wenn man dann das Format der Verwaltungsdaten kennt und diese damit ausblenden kann, bekommt man bestenfalls winzige Fragmente von Dateien. Auch hier ist dann die Chance das da was kompromittierendes rauf ist, extrem gering. Aber ich könnte mir gut vorstellen, dass die Ermittler im Verhör trotzdem behaupten, sie hätten alles wiederhergestellt und nun wäre es Zeit für ein Geständnis, auch wenn sie gar nichts wiederherstellen konnten oder die Daten vorher schon auf anderem Wege, z.B. über einen vorher eingeschleusten Trojaner, erlangt haben. Der Hausdurchsuchung gehen ja lange Ermittlungen voraus und den Durchsuchungsbeschluss bekommen sie auch erst, wenn sie genug Anhaltspunkte oder Beweise haben. Aber wer sich darum Gedanken machen muss, sollte keine gebrauchten Datenträger verkaufen und er sollte das Geld was er dafür bekommt, auch nicht nötig haben.
Immer diese Unterstellungen und das typische glaube ich so nicht blah blah, hab keine Nerven für sowas und ich muss mir das nicht geben
Wer absurde Behauptungen aufstellt, der muss damit rechnen, dass diese angezweifelt werden. Die Aussage man könnte HDDs oder SSDs nicht sicher löschen, hast du ja nun schon dahingehend relativiert, dass es zu 99% reichen würde, aber was die übrigen 1% betrifft, würde ich gerne noch eine Erklärung haben, wie dies denn in der heutigen Zeit gehen soll. Meiner Meinung nach, beruhen Berichte wonach dies möglich sein soll, auf Lügen oder Missverständnissen. Entweder wurde nicht wirklich alles richtig überschrieben, wobei man da aufpassen muss, dass man beim Überschreiben mit Zufallsdaten ggf. auch zufällig Bytemuster auf die Platte schreibt, die Recoverytools dann falsch interpretieren und anzeigen, sie hätten eine Datei gefunden, was manchen eben schon reicht um zu behaupten, dass Überschreiben eben nicht funktioniert, statt sich die Mühe zu machen den ganzen Weg zu gehen, diese vermeintliche Datei auch zu retten und auf Brauchbarkeit zu überprüfen. Oder es wird einfach so behauptet, denn kontroverse Meinungen erhöhen die Aufmerksamkeit, erzeugen also mehr Clicks und die sind in der heutigen Welt der sozialen Medien eben Geld wert.
Manchmal wird auch einfach nur etwas wiedergegeben, was komplett veraltet ist, wie man es eben anhand der Richtlinien sieht, die für manche Fälle immer noch die Vernichtung des RAMs von Rechnern verlangen, was bei Kernspeichern mal wichtig war, bei DRAM aber eben totaler Unsinn ist. Es dauert manchmal etwas länger, bis überholtes Wissen korrigiert wird, wie wir ja bei SSDs anhand der lange verbreiteten Empfehlung zum Einstellen von Windows zur Reduzierung der Schreibzugriffe gesehen haben. Dies war bei den ersten Consumer SSDs mit dem berüchtigten JMicron 602 Controller wichtig, der konnte sich bis zu 2s Bedenkzeit bei Schreibzugriffen gönnen und war generell beim Schreiben viel lahmer als HDDs, nur Lesend konnte er glänzen. Da machte es Sinn Schreibzugriffe zu minimieren, aber spätere SSD Controller hatten diese Problem nicht mehr und trotzdem wollten manche sich offenbar als Wissende rausstellen und Aufmerksamkeit generieren, indem sie diese alten Tipps dann recyceled haben und diese zur Schonung der NANDs anpriesen. Dabei hat kaum jemand die vielen P/E Zyklen der damaligen SLC oder MLC NANDs jemals aufgebraucht, sondern die SSDs vorher gegen solche mit größeren Kapazitäten getauscht, weil diese immer billiger wurden. Auch da gab es aber Ausnahmen, die Indilinx Controller waren z.B. dafür berüchtigt, dass ihre Idle-GC die P/E Zyklen der NANDs regelrecht gefressen hat und absurd hohe Write Amplifications erzeugen konnte.
Es ist also irrelevant, wenn jemand damit ankommt, dass man bei SLC NAND, welches einmalig beschrieben wurde, dann vielleicht nach dem Löschen noch recht gut erraten kann, ob die Zelle 0 oder 1 war, weil nach dem Löschen vielleicht noch ein Elektron darin zurückgeblieben ist, da schon lange keine SSDs mit SLC NAND mehr hergestellt werden und die NANDs in alten SSDs mit SLC NAND schon vielfach überschrieben wurden. Bei NAND mit mehr als einem Bit pro Zelle ist es wie gesagt total unmöglich noch irgendwie die vorher gespeicherten Bits zu erraten, nachdem die Zelle gelöscht wurde. Bei HDDs beträgt die "
Areal density, (Gb/in2 avg) 1260", was 1.953.004 pro mm² ist eben knapp 2 Bits pro µm². Meine erste HDD hatte 20MB, mit einem MFM Controller, das war eine 5 1/4" wo die Köpfe noch von einem Schrittmotor bewegt wurden und man wirklich eine Low-Level Formatierung machen und dafür die Liste der fehlerhaften Sektoren vom Label eingeben musste. Die Daten die man damals darauf gespeichert hat, passen bei modernen HDDs auf wenig mm². Viel Erfolg da mit den damaligen Methoden noch was auslesen zu wollen.
SSD's funktionieren zwar nicht so wie Festplatten, aber im sehr grundlegenden Prinzip: Daten auf Sektor(memory-page) Ebene überschreiben (und den Speicherkontroller Zeit geben, die Daten auch abzulegen/zu reorganisieren).
Bei NAND kann man keine Page überschreiben, die kann nur einmal beschrieben werden und muss dann zusammen mit allen anderen Pages des gleichen Blocks (was gerne Hunderte Pages sind), dann wieder gelöscht werden. Dies wird der Controller nach dem Überschreiben der logischen Block Adressen mit denen die Daten einer NAND Page verbunden waren, aber eben gerne tun, da für ihn die alten Daten nun ungültige Daten geworden sind.
Grobes Lösungsschema unter Linux wäre z.B.: dd if=/dev/urandom of=/dev/targetdevice
Wobei Zufallsdaten das Risiko mit sich bringen, dass Recovery Tools da meinen gültige Daten gefunden zu haben, wenn dabei zufällig ein Muster geschrieben wird, was dem eines bekannten Dateiformates entspricht, welches sie eben kennen und wonach sie suchen. Steht dann zufällig z.B. BM am Anfang eines Sektors, so meinen die dann ggf. eben ein Bitmapfile gefunden zu haben.
Für sehr heikle Daten gilt: Nur physikalische Zerstörung ("physical annihilation") bietet wirklichen Schutz
Wobei ich da immer noch darauf warten zu erfahren, was man denn bei heutigen HDDs und SSDs noch wiederherstellen können soll, wenn selbst Datenretter dies nicht können.
Amaya's Aussage ist ziemlicher Schwachsinn.
Ja.
Die Wahrscheinlichkeit das Deine Daten damals via Schadsoftware(z.B.Rootkits), Seitenkanal-Angriffen, Hintertüren abgegriffen wurden liegt vielfach höher, als die Chancen Deiner Behauptung das HDD-Daten nach >= 1x überschreiben einfach wiederherstellbar waren.
Eben, dies ist der viel einfachere Weg um jemanden auszuspionieren, Stichwort: Bundestrojaner.
Nach 1x HDD komplett Überschreiben, kann kein kommerzielles Datenrettungs-Unternehmen mehr die überschriebenen Daten wiederherstellen!
So ist es, da geht nichts mehr. Die Datendichten sind so hoch und die Bits werden mit PMR in die Tiefe geschrieben, dass es einfach keine Technologie gibt um die Reste einer vorherigen Magnetisierung des Bits noch auslesen zu können, die ja nur noch einen Bruchteil der Größe und damit Magnetisierung des eigentlichen Bits haben.
(Daten die nicht überschrieben werden, wie z.B. ausgemappte Sektoren, als fehlerhaft markierten Sektoren, können aber prinzipbedingt ein Datenleck darstellen)
Aber diese Sektoren werden ja eben ausgemappt, weil die HDD selbst deren Daten nicht mehr fehlerfrei lesen kann, selbst wenn sie versucht die Daten anhand der ECC zu rekonstruieren, die ja hinter jedem Sektor steht (auch jede SSDs hat hinter für NAND Page extra Bytes für die ECC). Dazu hat ein physikalischer Sektor 512 oder 4096 Byte, was eben im Vergleich zu den TB an Kapazität einer HDDs so wenig ist, dass es extrem unwahrscheinlich ist, dass dort etwas relevantes drin steht, selbst wenn man die meisten der nicht mehr fehlerfrei lesbaren Bits korrekt interpretiert.
(und sehr fähige Coder können Daten-Ablage-Bereiche schaffen, welche vor normalen Usern ziemlich sicher versteckt sind (umgeleitete Schreib-/Lese Zugriffe bei HDD, Daten in MB/Gfx/AddOn-Card Bios ablegen, ... you get the idea ...))
Wer so eine Software einschleusen kann, der wird die Daten die diese sammelt, dann gleich übers Internet nach Hause senden, statt zu versuchen sie irgendwo im Rechner selbst zu hinterlegen, zumal die BIOS Chips ja auch nicht gerade viel Kapazität haben und nur ein Bruchteil davon frei ist und wenn man das eigentliche BIOS überschreibt, funktioniert die Hardware nicht mehr.
Wenn, dann ist eher eine HPA (Host Protected Area) ein Risiko, da man diese eben mit Tools wie Diskpart nicht überschreiben kann, aber wer legt sich sowas schon an und speichert dann seine sensiblen Daten dort? Früher haben Gigabyte Mainboards mal eine HPA auf der primären Platten angelegt und dabei einen Rechenfehler bzgl. deren Größe gemacht, weshalb dies dann auffiel, um dort ein Backup des BIOS abzulegen. Da können sich dann die Forensiker gerne über ein Backup des alten BIOS des Mainboards freuen, aber Userdaten werden sie da nicht finden.
Aber ich lasse mir hier nicht vorwerfen das ich unsinn von mir gebe von Sachen die mir persönlich nachweißlich passiert sind!
Das finde ich von den jeweiligen Usern mal wirklich Frech, da frage ich mich leider wirklich was da bei einigen falsch läuft?!
Keine Ahnung was bei dir damals falsche gelaufen ist, aber ich vermute mal, dass du einer der vielen Leute warst, die Formatieren mit Überschreiben gleichgesetzt haben und dies war bei Windows damals eben nicht der Fall, wie ich schon geschrieben habe. Damals wurde beim Formatieren von Windows eben nur ein klein wenig geschrieben, nämlich die Metadaten für ein leeres Filesystem und der Rest der Partition wurde gelesen um ggf. defekte Sektoren zu finden, die dann ins $BadClus Metafile einzutragen, damit diese nicht verwendet werden. Der Hintergrund ist, dass HDDs beim Lesen eben Lesefehler ausgeben, wenn ein Sektor nicht mehr korrekt lesbar ist, beim Schreiben aber eben keine Schreibfehler, da die Daten nach dem Schreiben nicht geprüft werden, außer wenn der Sektor vorher schon einen Lesefehler geliefert hat und deshalb als schwebend markiert ist.
Nur bei schwebenden Sektoren prüfen die HDDs ob die neu geschriebenen Daten auch korrekt lesbar sind und wenn nicht, dann wird der betroffene Sektor durch einen Reservesektor ersetzt. Von daher war es auch schon damals wenig sinnvoll die Partition zu lesen, denn schwebende Sektoren müssen keinen Defekt aufweisen, die Daten können auch teilweise überschrieben worden sein, wenn der Strom während des Schreibens ausfiel oder weil der Kopf wegen Stößen/Vibrationen beim Schreiben der Nachbarspur die korrekte Position verlassen und daher die Daten teilweise überschrieben hat. Bei Floppy Disks war es noch sinnvoll, die hatten ja keine Reservesektoren, aber HDDs haben Reservesektoren um defekte Sektoren zu ersetzen und daher war es gut, dass MS dies Verhalten dann endlich mal geändert hat, aber es hat sehr, sehr lange gedauert. Es dauert eben immer lange, bis Software an die Eigenschaften und Fähigkeiten der Hardware angepasst wird.
Ich war damals zu unerfahren und unvorsichtig der Datenträger war nicht verschlüsselt muss man dazu sagen.
Was dazu passen würde, dass die Platte eben nicht überschrieben wurde, auch wenn du dies bis heute glaubst. Was damals genau vorgefallen ist, kann ich natürlich nicht wissen, aber es ist zu 100% sicher, dass die HDD nicht vollständig überschrieben wurde und die Vermutung liegt nahe, dass dies eben aufgrund der lange verbreiteten Fehlannahme lag, dass man Datenträger durch Formatieren (nicht Schnellformatierung) löschen könne. MS hat damals sicher nicht den besten Job gemacht, wenn es um die Aufklärung ging was beim Formatieren wirklich passiert und ohne spezielle Tools sahen die formatierten Datenträger ja auch leer aus, waren aber eben nicht wirklich überschrieben.
, mit Darstellung der sehr einfach zu bewerkstelligenden Zerstörungsmethode welche vor > 99,99% aller Leseversuche von allzu neugierigen Menschen schützt.
