Rekonstruierbarkeit gelöschter Daten

Dieses Thema im Forum "Security Talk" wurde erstellt von wasserschlange, 01.07.2008.

  1. #1 wasserschlange, 01.07.2008
    Zuletzt bearbeitet: 01.07.2008
    wasserschlange

    wasserschlange Mitglied

    Dabei seit:
    15.06.2008
    Beiträge:
    42
    Zustimmungen:
    0
    Hallo,

    ich habe mal eine kleine Frage zur Rekonstruierbarkeit von gelöschten Daten auf verschlüsselten Platten.

    Und zwar geht es dabei um folgenden Sachverhalt:

    Ich habe einen Laptop mit verschlüsselter Platte, auf dem sich eine Reihe nicht ganz unwichtiger und teils doch recht sensibler Daten befinden.

    Von diesen Daten muss ich natürlich auch Backups anlegen, denn sonst sieht's schlecht aus für mich, wenn die Platte mal den Geist aufgibt.

    Da nun jetzt einfach die Dateien auf DVD zu brennen, ohne weitere Sicherheitsvorkehrungen zu treffen, wäre ziemlich blauäugig.
    Deshalb hab ich mir mal ein Shellskript gebastelt, dass alle gewünschten Daten in einem TAR-Archiv ablegt, das ganze komprimiert und anschließend mit meinem GPG-Schlüssel verschlüsselt und signiert.

    Ich habe also am Ende mehrere Dateien in meinem Backup-Ordner:

    - das TAR-Archiv (wird beim komprimieren nicht entfernt)
    - das komprimierte TAR-Archiv
    - das verschlüsselte und komprimierte Archiv
    - den Datei-Index, der während des Backup-Vorgangs geschrieben wurde


    Nun sollen alle Dateien, bis auf das verschlüsselte Archiv sicher gelöscht werden.

    Dabei stellt sich mir nun die Frage:

    rm -r * oder wipe * ?

    Ich bin mir nicht ganz sicher ob hier ein mehrfaches Überschreiben überhaupt nötig ist, weil die Platte ja eben verschlüsselt ist.

    Wenn der Laptop aus ist, besteht also praktisch schonmal keine Chance bspw. das unkomprimierte TAR-Archiv zu rekonstruieren.
    Dafür müsste ja jemand den Schlüssel kennen.

    Die Frage ist jetzt, was ist, wenn sich der Computer im laufenden Betrieb befindet. Kann man dann als Angreifer gelöschte Daten genauso "leicht" wiederherstellen (würde für wipe sprechen), wie bei einer unverschlüsselten Platte oder ist das erheblich aufwendiger (würde für rm und einen riesen Zeitgewinn sprechen).

    Wäre schön, wenn ihr das mal irgendwie kommentieren könntet.
    Vielen Dank!

    PS: Erspart euch die Frage, ob ich paranoid bin. :D
     
  2. Anzeige

    Schau dir mal diese Kategorie an. Dort findest du bestimmt etwas.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  3. #2 supersucker, 01.07.2008
    supersucker

    supersucker Foren Gott

    Dabei seit:
    21.02.2005
    Beiträge:
    3.873
    Zustimmungen:
    0
    Ja, denn im laufenden Betrieb ist das Ding ja im Prinzip unverschlüsselt.

    Von welchem Filesystem sprechen wir hier? ext3?
     
  4. #3 wasserschlange, 01.07.2008
    wasserschlange

    wasserschlange Mitglied

    Dabei seit:
    15.06.2008
    Beiträge:
    42
    Zustimmungen:
    0
    Ja, das ist ein ext3-Dateisystem.
     
  5. #4 supersucker, 01.07.2008
    supersucker

    supersucker Foren Gott

    Dabei seit:
    21.02.2005
    Beiträge:
    3.873
    Zustimmungen:
    0
    Naja,

    im Prinzip gibt es für ext3 etliche Tools mit denen das theoretisch wiederherstellbar ist.

    Wenn du also wirklich sicher gehen willst, solltest du shred oder wipe nehmen.

    Wobei das dann schon extrem paranoid ist, weil das ja bedeuten würde, das dir jemand den Laptop im laufenden Betrieb klauen müsste.....
     
  6. #5 saeckereier, 01.07.2008
    Zuletzt bearbeitet: 01.07.2008
    saeckereier

    saeckereier Graue Eminenz

    Dabei seit:
    08.05.2005
    Beiträge:
    1.920
    Zustimmungen:
    0
    Ort:
    Im schönen Norden
    Allerdings sollen Tools wie shred bei Dateisystemen mit Journal nicht funktionieren, steht z.B. in der Manpage von Shred. Da ext3 eines dieser Dateisysteme ist sieht's schlecht aus. Aber in dem Tar File sind ja eh nur Dateien aus dem verschlüsselten Dateisystem? Wenn ich dann das Tarfile extrahieren kann (müsste ich Zugriff auf das Device haben) kann ich ja auch genausogut die Dateien einfach kopieren ohne Tarfile.. Alternative: Leg das Tar auf ner separaten verschlüsselten Partition an und unmounte diese wenn fertig
    .
    .
    .
    EDIT (autom. Beitragszusammenführung) :
    .

    Noch was: WARUM legst du denn dann diese Dateien überhaupt erst an? Es macht doch gar keinen Sinn überhaupt das unverschlüsselte und das unkomprimierte Tarfile irgendwohin zu speichern??
     
  7. JBR

    JBR Fichtenschonung

    Dabei seit:
    18.03.2007
    Beiträge:
    561
    Zustimmungen:
    0
    Ort:
    Nolop
    Die englischsprachige manpage(LC_ALL=EN man shred) ist hier ein wenig genauer:
     
  8. #7 supervisor, 01.07.2008
    supervisor

    supervisor Eroberer

    Dabei seit:
    15.06.2008
    Beiträge:
    61
    Zustimmungen:
    0
    Ort:
    Bayern
    Wenn er nur die genannten Dateien auf der Festplatte lassen will, brauch er einfach nur diese Dateien extern speichern und dann das gesamte Dateisystem löschen u. mit wipe bzw. shred die festplatte überschreiben. wenn das dateisystem weg is, dann is auch das Journal weg, folglich is es dann auch egal, was er fürn dateisystem hatte.
     
  9. #8 wasserschlange, 02.07.2008
    Zuletzt bearbeitet: 02.07.2008
    wasserschlange

    wasserschlange Mitglied

    Dabei seit:
    15.06.2008
    Beiträge:
    42
    Zustimmungen:
    0
    Wenn ich wüsste, wie ich das unterbinden könnte, würde ich das gerne so machen.
    Aber wie soll GPG ein Archiv verschlüsseln, dass gar nicht gespeichert wurde?

    Vielleicht ist eine einfachere Variante, sich eine schon große Backup-Platte zu holen und die einfach zu verschlüsseln. Da kann ich die Sicherungsarchive immer gleich dort drauf anlegen und muss mir keine Gedanken darüber machen, wie ich das Zeug wieder von meiner Laptop-Platte verschwinden lasse.
    Was nimmt man denn da am besten? Gibt's da nicht irgendwelche "unverwüstlichen" Massenspeicher? Werd mal scrooglen...

    Es kann ja aber auch sein, dass jemand versucht übers Netzwerk in mein System einzudringen.
     
  10. #9 Mike1, 02.07.2008
    Zuletzt bearbeitet: 02.07.2008
    Mike1

    Mike1 Niederösterreicher

    Dabei seit:
    21.12.2006
    Beiträge:
    1.376
    Zustimmungen:
    0
    Ort:
    Österreich
    ein nettes kleines Script das ich für so etwas verwende:
    Code:
    #!/bin/bash
    DATE=$(date +%d.%m.%Y_%H:%M)
    
    #Directory where the backup-archive should be stored.
    # Path shouldn't end with "/"
    BACKUP_DIR="/media/sda1/backup"
    
    #Directories which should be backuped
    #Paths shouldn't end with "/"
    #Paths shouldn't start with "/" because if they start with "/" the original files could be overwritten, when unpacking
    SOURCE="home etc boot"
    
    echo "Will make backup of $SOURCE to $BACKUP_DIR"
    cd /
    tar cz $SOURCE | gpg --compress-level 0 -c > $BACKUP_DIR/backup-$DATE.tar.bz.gpg
    
    #Decrypting with:
    #gpg --output backup-DATE.tar.bz --decrypt backup-DATE.tar.bz.gpg
    #Unpacking with
    #tar -xzpf backup-DATE.tar.bz
    
     
  11. #10 saeckereier, 02.07.2008
    saeckereier

    saeckereier Graue Eminenz

    Dabei seit:
    08.05.2005
    Beiträge:
    1.920
    Zustimmungen:
    0
    Ort:
    Im schönen Norden
    Du kannst das Tar Kommando mittels der Pipie ( | ) direkt an gpg ausgeben lassen. Damit wird verschlüsselt ohne dass Dateien angelegt werden. Lies dir mal an, was Output Redirection ist. In dem Skript was hier gepostet wurde wird auch die Pipe benutzt.
     
  12. rikola

    rikola Foren Gott

    Dabei seit:
    23.08.2005
    Beiträge:
    2.133
    Zustimmungen:
    0
    Wenn jemand an das laufende Laptop rankommt, kann er Deine Platte spiegeln und danach die Daten finden, sofern sie noch nicht ueberschrieben worden sind. Dagegen hilft dann schon einmaliges Ueberschreiben, da dd ja tatsaechlich bits kopiert und nicht den magnetischen Zustand der Platte.
    Ob man forensische Mittel (mit denen man auch mehrfach ueberschriebene Daten rekonstruieren kann) auf eine laufende Platte anwenden kann, weiss ich dagegen nicht.
     
  13. #12 wasserschlange, 30.07.2008
    Zuletzt bearbeitet: 30.07.2008
    wasserschlange

    wasserschlange Mitglied

    Dabei seit:
    15.06.2008
    Beiträge:
    42
    Zustimmungen:
    0
    Ich hab nochmal eine Frage zur Ausgabeumleitung in meinem Backup-Skript:

    Wenn ich bspw. Folgendes ausführe, funktioniert die Sache ganz wunderbar:
    Code:
    user@debian:~/Backup$ tar -czf * | gpg -r user --encrypt --sign > backup.tar.gz.gpg
    Aber, wenn ich z.B.
    Code:
    user@debian:~/Backup$ tar -czf Dokumente/ | gpg -r user --encrypt --sign > backup.tar.gz.gpg
    ausführe, sagt tar:
    Code:
    tar: Anlegen eines leeren Archivs wird feige verweigert.
    Warum macht tar denn Probleme, wenn ich da ein Verzeichnis statt dem Sternchen reinschreibe, obwohl es im Ordner Backup momentan nur das Verzeichnis Dokumente/ gibt.
    Das eigentliche Skript funktioniert dann logischerweise auch nicht, weil alle Daten von $HOME/Ordner1/ $HOME/Ordner2/ usw. geholt werden müssen.
     
  14. #13 saeckereier, 30.07.2008
    saeckereier

    saeckereier Graue Eminenz

    Dabei seit:
    08.05.2005
    Beiträge:
    1.920
    Zustimmungen:
    0
    Ort:
    Im schönen Norden
    Hat nix mit dem Originalthread zu tun. Bitte für solche Fragen einen neuen Thread aufmachen!

    Lass in beiden Fällen das f in den Tar Optionen weg. Die erste Variante wird wahrscheinlich die erste Datei, die ls * zurückgibt überschrieben haben mit dem Tar Archiv und wenn du deine Backup.tar.gz mal entschlüsselst wirst du feststellen, dass sie leer ist. Hast du jemals versucht so ein Backup wiederherzustellen???
     
  15. Anzeige

    Vielleicht findest du HIER Antworten.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  16. Gast1

    Gast1 Guest

    Fürs Protokoll:

    Mit cryptsetup kann man auch "Container" anlegen, die als Loopback-Device wie eine Partition angesprochen werden können.

    Backup = das gesamte Image sichern und schon kann man sich diese ganzen, seltsamen Aktionen von weiter oben sparen.
     
  17. #15 saeckereier, 30.07.2008
    saeckereier

    saeckereier Graue Eminenz

    Dabei seit:
    08.05.2005
    Beiträge:
    1.920
    Zustimmungen:
    0
    Ort:
    Im schönen Norden
    Ja aber wenn du nicht dauernd den Container vergrößern willst, musst du nen Riesencontainer sichern, statt dem kleinen Anteil an Nutzdaten da drin. Außerdem lassen sich verschlüsselte Daten tendenziell sch*** komprimieren. Wir reden hier von nem kompletten System. Dazu kommt: Loopback kostet Performance und eine Partition ist auch nix anderes als ein Container..
     
Thema:

Rekonstruierbarkeit gelöschter Daten

Die Seite wird geladen...

Rekonstruierbarkeit gelöschter Daten - Ähnliche Themen

  1. "client denied by server configuration" trotz gelöschter .htaccess Datei

    "client denied by server configuration" trotz gelöschter .htaccess Datei: Hallo, ich habe folgende Thematik: Ich habe irgendwann mal auf meinem Apache Webserver per .htaccess einen ganzen IP-Bereich ausgesperrt....
  2. Gelöschter Thread wegen Ventrilo 3 Client

    Gelöschter Thread wegen Ventrilo 3 Client: Tolld er der Thread gelöscht wurde, auf dem Ventrilo Forum ebensoi! Scheinbar interessiert es niemand warum der Ventrilo Client 3.0.1 neben der...