Datenlöschung auf USB-Sticks und anderen Flash-Medien

Ein Besucher des Blogs schreibt:

„Bei Festplatten sind die Angaben ja korrekt, bei USB-Sticks sieht das etwas anders aus: Hier verteilt meist der Controller die Schreibzugriffe auf unterschiedliche Speicherzellen. Natürlich ist ein einmaliges Überschreiben besser als nichts, aber das Restrisiko Daten zurück zu lassen ist technisch Bedingt größer, vor Allem, wenn nicht der Komplette Stick überschrieben wird.

Dieser Hinweis dürfte für Anwender von Flash-Medien interessant sein.

Bei Festplatten werden die Daten magnetisch gespeichert. Die Magnetisierung der jeweiligen Partikel bzw. Bereiche (in der Fachsprache „magnetische Domänen“ genannt) auf der Festplatte, die jeweils ein die kleinste speicherbare Einheit von einem Bit repräsentieren, hält unter normalen Umständen mehrere Jahre ihren Zustand. Die Daten gehen nicht verloren.

Bei Flash-Medien wie USB-Sticks und SSD-Festplatten werden die Informationen in sogenannten Speicherzellen abgelegt. Diese Speicherzellen bestehen aus besonderen MOSFET-Transistoren, die einen elektrisch isolierten Bereich beinhalten. Beim Beschreiben einer Flash-Zelle werden – vereinfacht ausgedrückt – Elektronen in der Zelle abgelegt und anschließend die Zelle auf Isolation geschaltet. Die Elektronen sind nun in der Zelle eingeschlossen und verteilen sich nur sehr langsam. Dieser Prozess dauert unter Normalbedingungen mehrere Jahre – somit sind Informationen in Flash-Speichern mehrere Jahre haltbar. Beim Lesevorgang wird geprüft, ob in der jeweiligen Zelle Elektronen vorhanden sind (eine Spannung) oder nicht. Das Ergebnis dieser Prüfung repräsentiert eine binäre 1 oder 0, so wie bei einer Festplatte eine magnetisierte Domäne für eine 1 und eine entmagnetisierte Domäne für eine 0 steht.

Flashspeicher haben den Nachteil, daß für das Beschreiben, sozusagen das Hineinquetschen von Elektronen in den isolierten Bereich der Zelle, kurzzeitig eine Überspannung angelegt werden muss. Die Flashzelle würde diese Überspannung auf Dauer nicht aushalten. Auch viele kurze Schreibvorgänge belasten die Zelle stark.

Aus diesem Grund sind Flash-Zellen nur für eine bestimmte Anzahl von Schreibzyklen ausgelegt, im Gegensatz zu Festplatten, die durch die Magnetisierung und Entmagnetisierung keine Abnutzung erfahren und in aller Regel nur wegen mechanischen Defekten (Motorschaden, „Head Crash“ etc.) Datenverluste erleiden.

Heutige Multilevel-Flashzellen sind meist zwischen 10.000 und 20.000 Mal beschreibbar. Dies mag dem Nutzer viel erscheinen. Man sollte sich allerdings vor Auge führen, daß Betriebssysteme oft Log-Dateien anlegen die regelmäßig und häufig beschrieben und aktualisiert werden müssen, oder das Betriebssystem bei jedem Zugriff auf eine Datei den Zeitstempel aktualisiert, wann zuletzt auf die Datei zugegriffen wurde. Dabei entsteht jeweils ein Schreibzugriff auf das Speichermedium, und 10.000 Zugriffe sind dadurch schnell erreicht. Auch Anwendungsprogramme führen regelmäßig Schreibzugriffe aktives Zutun des Nutzers durch. Beispielsweise legen Office-Programme alle 5 bis 10 Minuten Sicherungskopien der aktuell bearbeiteten Dokumente an, die sie jeweils mit der aktuellsten Version überschreiben.

Um dem Nutzer ein möglichst langes Vergnügen mit seinem Flash-Speicher zu gewähren, bauen Hersteller von Flash-Medien eine Steuerelektronik in die Flash-Medien ein. Diese Steuerelektronik führt ein sogenanntes „Wear-Leveling“ (sinng. als „Abnutzungs-Ausgleich“ übersetzbar) durch. Dies bedeutet: Der Flash-Speicher führt über die gesamte Lebensdauer des Mediums Buch, welche Zellen wie oft beschrieben wurden. Werden neue Daten auf das Medium geschrieben, sorgt das „Wear-Leveling“ dafür, dass alle Zellen möglichst gleich oft beschrieben wurden. Somit wird verhindert, dass bestimmte Zellen sehr häufig beschrieben werden und das Medium frühzeitig ausfällt. Was dem Benutzer und dem Betriebssystem als zusammenhängender Speicherbereich auf dem Flash-Medium erscheint, kann in Wirklichkeit auf zahlreiche Zellen auf unterschiedlichen Bereichen im Speichermedium verteilt sein. Die Wear-Leveling-Elektronik bedient sich einer Übersetzungstabelle, die den nach Aussen abgebildeten durchgängigen Speicherbereich beliebig umorganisieren kann, ohne daß das Betriebssystem Kenntnis davon hat. Beim Wear-Leveling kann passieren, daß das Speichermedium bereits bestehende Zellen kopiert. Angenommen alle Zellen auf einem Speichermedium haben im Schnitt bereits 1000 Schreibzugriffe erfahren. Nun wird auf Zelle X besonders häufig geschrieben, und diese Zelle hat bereits 2000 Schreibzugriffe hinter sich. Das Speichermedium kann nun den Inhalt von Zelle X auf Zelle Y kopieren, die erst 500 Schreibzugriffe hinter sich hat. Das Betriebssystem bekommt davon nichts mit, da das Speichermedium auch den internen Verweis in der Übersetzungstabelle entsprechend von Zelle X auf Zelle Y änderte. Löscht der Nutzer nun den Inhalt von Zelle Y, kann es passieren, daß der alte Inhalt weiterhin auf Zelle X fortbesteht und durch forensische Datensicherung ausgelesen werden kann – obwohl der Inhalt der Datei überschrieben wurde! Das Speichermedium markiert Zelle X als „Tote Zelle“ und löscht diese Zelle nach einer bestimmten Zeit.

Zusätzlich haben Flash-Speicher mit NAND-Speicherchips (diese Typen sind mit Abstand am Verbreitetsten) die Eigenschaft, die Speicherblöcke nicht direkt überschreiben zu können. Meist sind NAND-Speicherzellen in Gruppen von 4 Kilobyte (also 4096 * 8 Transistoren) zusammengefasst. In einem solchen Speicherblock können einzelne Zellen nicht gesondert geändert werden. Vielmehr muss der gesamte Block überschrieben werden. Dies wiederum geht nur, wenn der Block zuvor vollständig gelöscht wurde (also alle Elektronenspeicher entladen wurden). Dieser Prozess würde lange dauern und Schreibprozesse stark verzögern. Deswegen unterstützen viele Flash-Speichermedien und moderne Betriebssysteme einen speziellen ATA-Befehl namens TRIM. Beim Löschen von Dateien teilt das Betriebssystem dem Speichermedium mit, welche Zellen nicht mehr benötigt werden. Das Flash-Speichermedium kümmert sich nun automatisch darum, die jeweiligen Zellen zu löschen, während der PC läuft und das Speichermedium ansonsten untätig ist.

Diese beiden Besonderheiten von Flash-Medien haben aus forensischer Sicht Vor- und Nachteile. Einerseits ist das TRIM-Kommando von Vorteil, wenn es vom Speichermedium und dem Betriebssystem unterstützt wird. Während das explizite Überschreiben von Daten bei herkömmlichen Festplatten nur auf Befehl des Benutzers stattfindet, zeitintensiv ist und die Festplatte währenddessen keine anderen Aufträge verarbeiten kann, kümmern sich Flash-Speichermedien durch den TRIM-Befehl von alleine um das Löschen der Daten – sogar dann, wenn der Benutzer die Datei lediglich normal gelöscht und nicht explizit überschrieben hat. Die Daten in einem mit dem TRIM-Befehl überschriebenen Speicherblock lassen sich nach heutigem Stand der Technik nicht wiederherstellen. In einem Fachmagazin wurde in Bezug auf den ATA-TRIM-Befehl bei SSD-Festplatten ein Artikel mit dem treffenden Titel „Der Anfang vom Ende der gängigen Methoden in der digitalen forensischen Datenwiederherstellung?“ veröffentlicht: Für Computerforensiker bedeutet der ATA-TRIM-Befehl weniger Arbeit. Bestenfalls sind auf der Festplatte lediglich jene Daten vorhanden, die ohnehin sichtbar sind. Ein Versuch der Wiederherstellung gelöschter Daten wird bei korrekt ausgeführtem ATA-TRIM keine weiteren Daten hervorbringen, da alle gelöschten Daten nicht nur auf dem Dateisystem entfernt, sondern auf dem Datenträger wirklich physisch gelöscht sind.

Einen sehr großen Nachteil hingegen hat aus forensischer Sicht das Wear-Leveling. Wie der zitierte Kommentator anmerkte, kann sogar das Überschreiben einer Datei unter Umständen nicht verhindern, daß sie Teile oder sogar die gesamte Datei im Originalzustand noch auf „toten Zellen“ des Speichermediums befindet, die vom Speichermedium noch nicht zurückgesetzt wurden. Selbst ein Reinigen des Speichermediums mit Löschprogrammen, die bei magnetischen Festplatten einwandfrei funktionieren, führt nicht garantiert zum Erfolg.

Konkrete Zahlen oder Überreste in Prozentangaben können unmöglich angegeben werden. Jeder Hersteller verwendet unterschiedliche Steuerelektronik, die sich von Modell zu Modell und dort teilweise von Charge zu Charge unterscheidet. Ausgegangen werden sollte – bei einem vollständigen Überschreiben eines USB-Sticks – von Überresten der Originaldaten von mindestens fünf Prozent der Gesamtspeicherkapazität. Dies mag sich wenig anhören – bei einem USB-Stick mit 2 Gigabyte Speicherkapazität sind fünf Prozent allerdings 100 Megabyte erhaltene Originaldaten, die als Textdaten dem Textumfang der Bücher einer kleinen Bibliothek entsprechen.

An dieser Stelle muß erwähnt werden, daß bei USB-Sticks im Gegensatz zu SSD-Festplatten nur der Nachteil zum Tragen kommt. Wegen des geringen Preises befindet sich in USB-Sticks meist eine sehr einfache Steuerelektronik, die zwar Zellen kopieren kann, jedoch den TRIM-Befehl nicht unterstützt. Anwender sollten dabei stehts vom Worst-Case ausgehen.

In der Praxis scheint es, als habe der Nutzer zwei Alternativen. Entweder zerstört der Anwender regelmäßig alte USB-Sticks und tauscht sie durch neue Speicher aus, oder verzichtet auf USB-Speichermedien und nutzt nur Festplatten oder solche SSD-Festplatten, die den TRIM-Befehl verstehen, zusammen mit einem Betriebssystem das ebenfalls ATA-TRIM unterstützt (Windows ab Version 7, Linux ab Kernel-Version 2.6.33 im Zusammenhang mit den Dateisystemen ext4 und brtfs).

Insgesamt sind Flash-Medien durch ihre zusätzliche Abstraktionsebene (Übersetzungstabellen für das Wear-Leveling etc.) intransparenter und unberechenbarer aus Sicht des Anwenders als herkömmliche magnetische Festplatten.

Update: Tesseract 3

Die professionelle OCR-Software Tesseract wurde am 1. Oktober in Version 3 veröffentlich. Sehr wichtig und neu hinzugekommen ist die Layout-Analyse und das Abspeichern des korrekten Layouts im hOCR-Format.

Leider ist diese Funktion nicht dokumentiert. Aktiviert wird die hOCR-Ausgabe, indem im Verzeichnis tessdata/configs die Datei „hocr“ (ohne Endung .txt!) angelegt wird mit dem Inhalt

tessedit_create_hocr 1

Aufgerufen wird Tesseract dann mit dem Wort „hocr“ am Ende der Parameterliste, also

tesseract Bild.tiff Ausgabe -l Sprache hocr

Mittels hocr2pdf können PDFs mit Text-Overlay erzeugt werden, wie man sie beispielsweise aus der Google-Büchersuche kennt. Durch die Möglichkeit, den erkannten Text im hOCR-Format zu speichern ist Tesseract nunmehr ein vollständiges Texterkennungsprogramm mit Strukturanalyse.

Die Geschwindigkeit und Erkennungsgenauigkeit sind überdurchschnittlich.

Visual Studio-Applikationen anfällig für Binary Planting

Einem Bericht von ACROS Security zufolge können sämtliche mit Visual Studio kompilierten MFC-Applikationen anfällig für das sogenannte Binary Planting sein. Dabei wird eine ausführbare Binärdatei lediglich in einem Programmverzeichnis hinterlegt und beim nächsten Programmstart ohne Zutun des Benutzers ausgeführt.

Dem Binary Planting liegt das Fehlverhalten einiger Anwendungen zu Grunde, beim Anfordern einer DLL-Datei keinen vollständig definierten Pfad (FQPN – Fully Qualified Path Name) anzugeben sondern die Suche nach der passenden DLL-Datei entweder Windows zu überlassen oder zunächst selbst im lokalen Verzeichnis nachzusehen.

Nun ist es nicht selten, daß ein Benutzer U mit eingeschränkten Rechten zwar bestimmte Programme oder Betriebssystemaktionen nicht ausführen darf, die nur für den Administrator A vorgesehen sind. Allerdings ist es bei schlechter Systemkonfiguration oft möglich, in den Programmverzeichnissen Daten ablegen zu können – unter anderem maliziöse DLL-Dateien. So kann beispielsweise eine DLL von A versteckt in einem Netzlaufwerk abgelegt und im gleichen Verzeichnis eine Visitenkarten-Datei für das installierte Kalenderprogramm gespeichert sein. Klickt ein Administrator oder anderer Benutzer mit erweiterten Rechten auf die Visitenkarten-Datei um sie in seinem Kalender zu importieren, sucht ein verwundbares Kalenderprogramm die von ihm benötigten Dateien zunächst auf dem Verzeichnis im Netzlaufwerk und lädt sie. Auf diese Weise kann ein unprivilegierter Benutzer U einen Administrator unbemerkt dazu veranlassen, die DLL-Datei mit Administrationsrechten auszuführen.

Binary Planting

Binary Planting

Bei Programmen, die z.B. vom Taskplaner regelmäßig automatisch aufgerufen werden, kann ein unprivilegierter Nutzer oder Gast im System sogar ohne jegliches manuelles Zutun eines Administrators gefährliche Dateien starten und das System kompromittieren.

Diese Problematik wurde unter anderem von Stuxnet erfolgreich genutzt, um unbemerkten Zugang zum System zu ermöglichen.

Da sowohl Windows als auch beliebige Programme verwundbar sein können, muss jedes Softwareprogramm von seinem Hersteller aktualisiert werden. Dies war der Grund für die Update-Welle populärer Softwareprogramme Anfang September 2010.

ACROS Security fand nun heraus, daß sämtliche Programme, die mit Visual Studio unter Nutzung der MFC (Microsoft Foundation Classes) kompiliert wurden, anfällig für Binary Planting sind. Bei dynamisch gelinkten PE-Dateien kann der Fehler relativ leicht durch ein Update der Microsoft VC++ Redistributable-Pakete auf dem Einsatzsystem der Software behoben werden. Dynamisch gelinkte PE-Dateien rufen die MFC-Dateien aus dem Redistributable-Paket auf. Daher reicht ein einmaliges VC++ Redist-Update, um sämtliche dynamisch gelinkten PEs vor dieser Art des Binary Planting zu schützen.

Schwieriger hingegen wird es bei statisch gelinkten Dateien. Der für die Binary Planting-Schwachstelle verantwortliche MFC-Code ist bei statisch gelinkten PEs im Programm integriert. Der Nutzer ist auf ein Softwareupdate von Seiten der Herstellers angewiesen, jeweils für jedes installierte Programm, das mit Visual Studio und MFC-Unterstützung kompiliert wurde.

Facebook – Herausgabe von Nutzeridentitäten an Fremdanbieter

Wie das Wall Street Journal heute unter Berufung auf eigene Nachforschungen und einen Beitrag im Entwicklerblog von Facebook meldete, versendet Facebook die Identitätsangaben seiner Mitglieder an Drittanbieter – ungefragt.

Während Facebook behauptet, der Versandt der User-Identitäten „unabsichtlich“ und „von Facebook nicht erwünscht“, gibt es aus den Top-10-Apps in Facebook keine einzige Applikation, die keine User-Identitäten weiterleitet. Betroffen waren nicht nur die persönlichen Informationen der jeweiligen Mitglieder, sondern auch die Identitäten ihrer jeweiligen Freunde. Dies ist besonders brisant, da Facebook auch ungefragt Personenprofile erstellt. Diese entstehen durch das Durchforsten der Mailadressen von angemeldeten Mitgliedern nach „Freunden“. Dabei lädt Facebook sämtliche eMails vom Account der Facebook-Mitglieder und speichert alle Identitäten, an die man Mails schickt, von denen man Mails erhält oder die anderweitig im Adressbuch des Mailaccounts verzeichnet sind.

Schon zuvor waren ähnliche „Sicherheitslücken“ in Facebook bekannt geworden.

Internet-Browser können beim Öffnen eines Links oder dem Laden einer Applikation einen sogenannten Referrer übertragen, der die Ursprungsadresse enthält. Beinhaltet die Ursprungsadresse die ID des jeweiligen Nutzers, so können Rückschlüsse auf die Identität des Nutzers gezogen werden.

Um es zu verdeutlichen ein Beispiel von dieser Seite. Zwei Personen bekamen per Mail einen Link zu diesem Blog zugesandt und luden die Seite. Durch den Referrer (den Hinweis auf den Verweisenden) ist leicht ersichtlich, welche Mailanbieter die Personen verwenden und um welche Nutzer es sich handelt:

http://de.mc369.mail.yahoo.com/mc/welcome?.gx=1&.tm=1287126308&.rand=a8krnvmm8baa8

http://bl109w.blu109.mail.live.com/mail/InboxLight.aspx?n=83304443

Im Gegensatz zu Links, die manche Personen sich per Mail zusenden, sind die Facebook-Apps nahtlos in die Facebook-Seite integriert. Viele Nutzer nehmen diese Applikationen nicht als Programme von Fremdanbietern wahr. Auch ist die Kontrolle über die eigenen Informationen bei Facebook vielleicht noch einigermaßen möglich, in den Händen der unzähligen Applikationsanbieter jedoch nicht mehr. Hier sollte Facebook dringend Klarheit verschaffen und für eine einheitliche Kontrolle der Nutzerdaten sorgen.

Gerade bei einer solch großen Firma mag so mancher nur schwer glauben, die Firma habe über mehre Monate und Jahre trotz eingehender Prüfung der Applikationen nichts von den teils gravierenden Datenschutzverstößen mitbekommen.

Webapplikationen in großen Unternehmen werden in der Regel ausgiebig getestet und auf Bugs untersucht. Die Weitergabe des Referrers erfolgt beim Web-Browser im Klartext und ist im Testbetrieb mittels Paketmonitor leicht zu entdecken.

eBay-Verkäufe am 16.10.2010 und 17.10.2010 ohne Gebühr!

Auf eBay lassen sich diesen Samstag und Sonntag wieder Artikel ab 1 Euro ohne Angebotsgebühr einstellen.
Das Angebot gilt jedoch nur für Auktionen ohne Mindest- oder Festpreis und nicht für Handyverträge. Zusatzoptionen kosten ebenfalls zusätzlich, sowie ausschließlich (wie gewohnt) über das eBay-eigene, webbasierte Verkaufssystem eingestellte Artikel.

Microsoft Patchday und Stuxnet

An heutigem Patchday hat Microsoft eine fast rekordverdächtige Zahl von 49 Sicherheitslücken in Windows geschlossen, die größtenteils von Stuxnet zur Infektion von Windowssystemen genutzt wurden.

Die von Stuxnet genutzten Injektionslücken -zumindest die bisher bekannten – wurden bereits zuvor geschlossen, dieses Mal handelte es sich bei den Bugfixes hauptsächlich um sogennante Privilege Elevation Bugs (Auch als Privilege Escalation bezeichnet), die das Ausführen von Schadcode mit höheren Rechten als jenen des Accounts, unter dem sie ausgeführt werden. In der Regel läuft ein Schadprogramm nach Ausnutzung eines solchen Bugs de facto mit Administrator-Rechten. Mindestens eine von Stuxnet genutzte Lücke bleibt auch knapp 5 Monate nach offiziellem Bekanntwerden des Schadprogramms noch offen und soll laut Microsoft erst zu einem späteren Zeitpunkt behoben werden.

Sicherheitsprobleme bei Facebook, Facebooksperre bei Porsche

Durch ungenügende Sicherheitsabfragen gelang es einem bekannten Blogger, bei Facebook einen Fake-Account des Google-Top-Managers Eric Schmidt anzulegen. Da er zur Anmeldung bei Facebook die richtige Mailadresse von Schmidt verwendete (ohne selbst Zugang zu dieser zu haben), schlug Facebook anderen bei Facebook angemeldeten Industriegrößen vor, den vermeintlichen Eric Schmidt als Freund ins eigene Profil hinzuzufügen. Der Blogger Michael Arrington des IT-Magazins TechCrunch meldete einen Account mit dem Namen Eric Schmidt an. Da Facebook die Namen bekannter Persönlichkeiten nur zur Anmeldung freigibt wenn diese sich durch Angabe ihrer echten, bekannten Mailadresse verifizieren, trug Arrington die reale Mailadresse von Schmidt ein. Bei den meisten Webportalen wäre er nun nicht weitergekommen, da er den Link aus der Bestätigungsmail an Schmidts Account nicht aufrufen konnte. Facebook erlaubt jedoch auch nicht aktivierten Accounts, bestimmte Aktionen auszuüben, darunter das Einrichten des eigenen Profils samt Photo und das Versenden von Privatnachrichten. Da etliche Bekannte von Eric Schmidt bei Facebook angemeldet sind und ihre Mailaccounts von Facebook nach Adressen von Freunden zwecks automatischer Hinzufügung durchsuchen ließen, erging nunmehr an jene Bekannten von Schmidt von Facebook der Hinweis,  ihr Freund von Google habe sich nun auch einen Facebook-Account zugelegt.

Besonders peinlich wurde es, nachdem reale Bekanntschaften von Schmidt seinem vermeintlichen Facebook-Account Nachrichten mit privaten Inhalten zukommen ließen.

Zumindest vor den Angestellten eines großen Autobauers kann Schmidt sich ab heute sicher fühlen. Porsche hat mit sofortiger Wirkung alle Zugriffe auf Facebook, Xing und andere Tratsch-Plattformen gesperrt – aus Angst vor Geheimdiensten, die mit gefälschten Profilen Kontakt zu Mitarbeitern aufnehmen und sie ausspionieren.

Vorherige ältere Einträge

%d Bloggern gefällt das: