Forum: Offtopic Wie leichtfertig doch mit sensiblen Daten umgegangen wird.

Maronis D. schrieb:
> Und es reichte schon alleine Recuva im Schnellverfahren drüber laufen
> zu lassen, um brisante Daten wie Fotos oder alte Mails zu
> rekonstruieren, aus denen Anschriften und anderes ersichtlich sind. Und
> das mit einer Freeware!

Ob Freeware oder nicht ist eigentlich ziemlich egal. Was meinst du, 
macht z.B. extundelete großartig anders als ein kommerzielles Programm? 
Die kochen auch nur mit Wasser... Richtig ist, dass halt mal jemand das 
Programm geschrieben haben und sich in das Dateisystem eingearbeitet 
haben muss.

http://extundelete.sourceforge.net/
https://tools.kali.org/forensics/extundelete

> Ist schon ein Ding, was der Laden damals unter "Sichere und endgültige
> Löschung garantieren wir!" verstand. Und wir hatten auch mal was in
> deren Obhut gegeben.

Wie du bereits erkannt hast, hilft nur sich selber zu schützen. 
Vertrauen auf andere ist per Definition eine Sicherheitslücke. (*)

Auf einer Veranstaltung des Chaos Computer Club vor ein paar Jahren hat 
mal jemand ein paar Platten von Deponien in Afrika mitgebracht, die dort 
dann wohl inspiziert wurden.

Ein Bekannter hat vor Jahren mal ein funktionierendes RAID/NAS aus dem 
Müll hinter einem großen und bekannten Möbelhändler gezogen. Da war 
alles von der Filiale drauf: Einkäufe, Lieferverträge, 
Hausdetektiv-/Diebstahl-Berichte, Namen der Beschuldigten, Mitarbeiter, 
...

Unglaublich, würde man meinen, aber leider Realität.

> Gibt es denn eine Möglichkeit für jemanden als Verbraucher, seine Daten
> sicher zu löschen, wenn man die Platte selber noch weiter nutzen will?

Das Problem ist zunächst, dass in deinem beschriebenen Fall nur die 
Dateieinträge "gelöscht" wurden, also die Dateisystemblöcke als 
leer/frei markiert wurden. Die Daten an sich wurden nicht überschrieben. 
Das ist eine Optimierung, denn sonst würde eine Dateilöschung u.U. sehr 
lange Dauern, da sie komplett überschrieben werden muss. Z.B. 4 GB 
schreiben kann schon mal Minuten dauern.

> Also im Sinne von sicher, dass nicht irgendein Virus oder anderer mit
> genannten Werkzeugen die Sachen wieder herstellen kann.

Folglich solltest du vor der Entsorgung einer Platte/eines Rechners die 
Platte komplett überschreiben. Manche Leute "nullen" die Platte, 
überschreiben also alles mit 0x00. Das funktioniert für die normalen 
einfachen Angreifer, die Platte ist danach datenmäßig quasi "wie neu".

Wer es sicherer braucht, sollte nicht nullen, sondern die Platte mit 
Zufallszahlen überschreiben. Hintergrund ist, dass man mit guten 
Messgeräten (Magnetfeldstärke) erkennen kann, ob ein Bit auf der 
Magnetscheibe 0 war und mit 0 überschrieben wurde, oder ob es 1 war und 
mit 0 überschrieben wurde. In dem Fall würde man eine leicht erhöhte 
Feldstärke messen können, die zwar unterhalb des 0/1 Schwellwerts liegt 
(der Plattencontroller erkennt den überschriebenen Bereich tatsächlich 
als 0), aber nicht komplett z.B. "umgepolt" ist.
Wenn man nun Zufallszahlen darauf schreibt, kann man nicht mehr so gut 
abschätzen, was wohl der vorangegangene Wert gewesen war.
Ein gewissen Restrisiko bleibt natürlich auch dann, denn wenn man noch 
genauer misst, kann man ggf. doch noch den ursprünglichen Wert 
bestimmen. Allerdings steigt dann auch die Fehlerrate, man wird also 
nicht einfach die komplette Platte rekonstruieren können.

Zum zufälligen überschreiben von meinen Platten nehme ich (unter Linux) 
üblicherweise openssl oder LUKS mit einem zufälligen seed/key (aus 
/dev/random). Das ist schneller, als /dev/urandom. Das ist dann also nur 
pseudo-random überschrieben (aber kryptographisch sicher, CSPRNG).
Andere verwenden auch DBAN: https://dban.org/

Für ganz kritische Daten bleibt einem aber nur Löcher in die Scheiben 
bohren, schreddern, oder mit Thermit behandeln:
http://frank.geekheim.de/?p=2423
https://gonium.net/blog/2013/12/18/datenschmelze--thermit-im-praxistest-/

Als zusätzliche Maßnahme sollte man natürlich die Festplatte komplett 
verschlüsseln, unter Linux z.B. mit LUKS. Das hilft auch dann, wenn 
jemand den ausgeschalteten Laptop aus dem Auto klaut. Zum Löschen genügt 
es dann den LUKS Header (mit dem mit der Passphrase verschlüsselten 
Schlüssel) am Anfang der Platte zu überschreiben.
Im einfachen Fall ist dann aber immer noch die /boot Partition 
unverschlüsselt (das BIOS muss ja irgendwoher den Kernel laden). In 
meinem Fall habe ich daher /boot auf einem USB-Stick, sowie auch den 
LUKS header, d.h. die Platte sieht komplett (pseudo-)random aus, ohne 
Partitionen, LUKS Metadaten etc. Zum Booten und bei kernel update den 
USB-Stick anstecken; nach dem Boot kann man ihn wieder abziehen 
(kernel+LUKS key liegen im RAM).

Dann ist allerdings immer noch das BIOS/EFI unverschlüsselt... Wobei man 
könnte das BIOS steckbar machen und mit Hilfe von Coreboot könnte man 
auch gleich den Bootloader/Grub integrieren:
https://www.coreboot.org/Security#Existing_security_features

Da neue CPUs mit Intel ME und AMD PSP ausgestattet sind, kann man die 
eigentlich auch nicht verwenden. Daher setze ich ausschließlich alte 
Laptops ein (so bis 2007). Bekommt man immer noch günstig (~40 EUR)  auf 
Ebay.
Aber auch das ist eigentlich noch nicht ausreichend, weil die CPU z.B. 
von einer Spectre-Variante betroffen ist, es Cold Boot Angriffe und 
Seitenkanäle gibt. Malware/Trojaner lassen sich auch persistent z.B. in 
Festplattencontroller schreiben.
https://spritesmods.com/?art=hddhack

Außerdem kann man die Sicherheit fremder Server/Rechner nicht (positiv) 
beeinflussen, letztendlich muss man also doch zu einem gewissen Grad 
anderen Vertrauen (ist aber ein menschliches und kein technisches 
Problem, lässt sich auch nicht technisch lösen). We're doomed :(

https://www.databreaches.net/update-sterlingbackcheck-breach-impacted-100000/
https://en.wikipedia.org/wiki/List_of_data_breaches

(*) "Ein gemeinsames Geheimnis zwischen drei Personen ist nur dann 
sicher, wenn zwei davon tot sind." (Eigene Übersetzung. Englisches 
Original vor einigen Jahren auf der gnupg-users oder -devel 
Mailingliste)

Moin,
kann ich voll bestätigen.
vor Kurzem habe ich auf dem Sperrmüll zwei ausrangierte XP-Laptops 
gefunden, die insofern "unbrauchbar" gemacht wurden, dass die Displays 
rausgebrochen wurden.
Waren noch 2,5"-IDE-Platten drin, aber ich hab noch nen externes Gehäuse 
mit ner IDE drin, so dass ich die Platten tatsächlich inspizieren 
konnte.
War schon interessant: Hunderte private Photos, Discobesuche, Stadtfest, 
Shopping im Einkaufszentrum, Familienfeiern, Urlaubsphotos inkl. Bikini 
(aber sonst nix Pikantes). Eine mehrere GB große Outlook-pst-Datei mit 
umfangreicher Korrespondenz: private Mails, Uni-Mails, Bewerbungen, 
Lebensläufe. Besitzer war offensichtlich weiblich. Offensichtlich auch 
ein kleines Projekt zur Integration von Langzeitarbeitslosen auf einem 
Tierhof mit Projektplänen, Einkaufslisten, Arbeitsabläufen...
Viele MP3s, auch türkische.
Ein Scan mit Recuva brachte wenig neues zum Vorschein: Hauptsächlich nur 
gelöschte Thumbnails und Cookies von Internet Explorer. Surf-Verläufe 
auf diversen Shopping- und Klamotten-Seiten.

Offensichtlich stammen beide Rechner vom gleichen Besitzer, da die 
Schnittmenge an Bildern und E-Mail-Kontakten sehr groß war.

Schon traurig, wie unsensibel viele Leute mit Datensicherheit sind. Wenn 
aber F-Book Daten verkauft und dies auch noch in den AGB ausdrücklich 
beschreibt, dann wird aber groß rumgemotzt.

Christian B. schrieb:
> Aber was nützen dir Fotos von anderen Leuten? wie willst du daraus
> irgendwas zu deinem Vorteil Nutzen, sodaß es überhaupt auch nur den
> sinnvollen Ansatz gibt da etwas zu ändern?

Ich könnte mir Fake-Profile in sozialen Netzwerken anlegen und durch 
social Engineering weitere Leute belästigen/ausnutzen/betrügen.
Ich könnte mit den Bewerbungsschreiben und Lebensläufen weitere gefakte 
Bewerbungen durchführen. Ich könnte mit den persönlichen Daten mir 
teuren Krempel bestellen.
Ich könnte die Person auch einfach nur mobben, stalken, erpressen...
Oh, und ich könnte die Daten auch einfach weiter verkaufen.

Es muss nicht zu meinen Vorteil sein, es reicht schon, wenn es zum 
Nachteil des Opfers wird.

Peter D. schrieb:
> Maronis D. schrieb:
>> Gibt es denn eine Möglichkeit für jemanden als Verbraucher, seine Daten
>> sicher zu löschen, wenn man die Platte selber noch weiter nutzen will?
>
> Bei heutigen Platten ist die Schreibdichte so hoch, daß eine normale
> Formatierung ausreicht, um die Daten unwiederbringlich zu löschen. Aber
> das dauert etwas, daher wird es oft unterlassen.
> Nur bei einer Schnellformatierung bleiben die Daten erhalten.
> Bei einer SSD muß zusätzlich noch der TRIM-Befehl ausgeführt werden.

Sicheres Löschen von Daten auf Flash-Speicher funktioniert nicht. Sobald 
der Angreifer auch nur halbwegs was auf dem Kasten hat, kann man z.B. 
den Chip abschleifen und das Flash im Rasterelektronenmikroskop 
betrachten. Da sieht man dann recht einfach die Ladungszustände der 
Speicherzellen. Hier hat das mal jemand gemacht, um Firmware aus einem 
uC auszulesen (Fig.20-22):

https://arxiv.org/abs/1709.06026
https://arxiv.org/ftp/arxiv/papers/1709/1709.06026.pdf

Marek N. schrieb:
> Christian B. schrieb:
>> Aber was nützen dir Fotos von anderen Leuten? wie willst du daraus
>> irgendwas zu deinem Vorteil Nutzen, sodaß es überhaupt auch nur den
>> sinnvollen Ansatz gibt da etwas zu ändern?
>
> Ich könnte mir Fake-Profile in sozialen Netzwerken anlegen...

Du kannst das Email-Passwort aus dem Mail-Client kopieren, bei 
Onlinebanking oder anderen Konten das Passwort zurücksetzen lassen, die 
Mail abfangen und einkaufen gehen. Du kannst dadurch mglw. Zugriff auf 
das Uni-Konto der Person bekommen und sie exmatrikullieren, dich für die 
Person ausgeben und den Arbeitgeber beschimpfen.
Beweislast ist jeweils bei dem/der Betroffenen.

Man kann sich WLAN-Passwörter extrahieren und die anderen Rechner der 
Person angreifen...

Einen kompletten Rechner einfach so zu entsorgen, ist eines der 
schlechtesten Dinge, die man tun kann.

Rufus Τ. F. schrieb:
> Jiri D. schrieb:
>> Sobald der Angreifer auch nur halbwegs was auf dem Kasten hat, kann man
>> z.B. den Chip abschleifen und das Flash im Rasterelektronenmikroskop
>> betrachten.
>
> Das kannst Du bei Flash, der als Massenspeicher verwendet wird, komplett
> vergessen. Da nämlich werden mehrere hauchfein geschliffene Dies
> (Siliziumplättchen) gestapelt und gemeinsam in ein IC-Gehäuse gebondet.
>
> Auch die in SD-Karten etc. verwendeten Flash-Bausteine sind so
> aufgebaut.

Du kannst Schicht für Schicht abarbeiten. Lithographiegeräte sind 
mittlerweile auch nicht mehr wirklich teuer (halbwegs brauchbares 
Werkzeug habe ich so in Größenordnung einiger 10k EUR in Erinnerung). 
Man wird i.d.R. wahrscheinich einen ökonomischeren Angriff wählen und 
sich die Informationen von wo anders beschaffen. Ich finde es aber 
überaus leichtsinnig zu sagen "das geht nicht". Möglicherweise geht es 
im Moment nicht für jeden Dahergelaufenen, aber die Werkzeuge werden 
in Zukunft noch günstiger werden und so werden sich mehr Leute finden, 
die damit arbeiten.

Hier gibts ein paar mehr Mikroskopaufnahmen:
http://www.ee.ucl.ac.uk/lcs/previous/LCS2009/NEMS/Konopinski.pdf

Bernd B. schrieb:
> ... und was lernen wir daraus?

Daten verschlüsseln hilft und schützt bei Dummheit. Kryptographie wirkt.

Christian B. schrieb:
> Rufus Τ. F. schrieb:
>> Das kannst Du bei Flash, der als Massenspeicher verwendet wird, komplett
>> vergessen. Da nämlich werden mehrere hauchfein geschliffene Dies
>> (Siliziumplättchen) gestapelt und gemeinsam in ein IC-Gehäuse gebondet.
>>
>> Auch die in SD-Karten etc. verwendeten Flash-Bausteine sind so
>> aufgebaut.
>
> Dazu kommt, daß nur der Speichercontroller selbst weiß, welche Daten auf
> dem Speicher wie zusammen gehören. Die Daten liegen ja im Flash nicht
> aneinandergereiht vor sondern werden, je nach Abnutzung der einzelnen
> Blöcke zerhackt. Wie, das weiß nur der Flash selbst.

Das benötigst du u.U. gar nicht. Eine mehrfach geschriebene/geänderte 
Datei/Speicherseite kommt dadurch vielleicht sogar öfters vor, als wenn 
sie nur einmal geschrieben wäre. Mit heuristiken kannst du schon recht 
gut Daten identifizieren, z.B. mit Entropieanalyse (komprimiert, 
verschlüsselt), alles nur ASCII, base64 (Email?), gültige AMD64 
Instruktionen (Code), ... Magic numbers suchen, Email header...

Das, was Jiri da beschreibt, ist doch etwas sehr unrealistisch oder hast 
du Daten die so viel wert sind, dass er so einen Aufwand dafr treibt? 
Dass man da mal recuva drüberlaufen lässt ja, viel mehr aber nicht.

Ansonsten aber ein wirklich spannender Thread!

Ivo

Christian B. schrieb:
> Man muss
> halt abschätzen, inwieweit es sinnvoll ist, seine Daten zu schützen und
> wann der Preis den Nutzen übersteigt.

...und was die Daten einem Angreifer an Aufwand wert wären und wie die 
eigenen Maßnahmen diesen Aufwand für den Angreifer überproportional 
erhöhen können.
Festplatte verschlüsseln und bei Entsorgung den verschlüsselten 
Schlüssel überschreiben (eine gute/sichere/lange Passphrase 
vorausgesetzt, ist theoretisch nicht mal das notwendig) ist für mich als 
Nutzer eine sehr einfache Maßnahme, die die Kosten für einen Angriff 
erheblich erhöht und somit das Risiko minimiert. Das kann man auch bei 
(vielleicht...) unwichtigen privaten Daten machen, einfach bewusste 
Praxis im Umgang mit Daten.

100%ige Sicherheit gibt es halt nicht. Man kann Massenüberwachung durch 
Verschlüsselung aber wirkungsvoll begegnen.

Ivo Z. schrieb:
> Das, was Jiri da beschreibt, ist doch etwas sehr unrealistisch oder hast
> du Daten die so viel wert sind, dass er so einen Aufwand dafr treibt?
> Dass man da mal recuva drüberlaufen lässt ja, viel mehr aber nicht.

Ich weiß nicht, was jemand bereit wäre für meine Daten zu tun (m.M.n. 
sind sie ganz normal, durchschnittlich). Ich habe halt eine Handvoll 
einfacher Maßnahmen getroffen, die meiner Meinung nach zumindest fürs 
gröbste reichen sollten. Das ist auch nichts, was man in einem Schritt 
umsetzten muss (man muss gar nicht). Aber es wäre schon ein großer 
insgesamter Gewinn, wenn die Leute in der Masse ihre Platten und 
sonstigen Datenträger verschlüsseln würden. Beim Booten eine Passphrase 
eingeben und dabei aufpassen, nicht beobachtet zu werden, ist jetzt 
nicht so der mega Aufwand.

Wer z.B. als Journalist mit Geheimnissen zu tun hat und seine Quellen 
schützen muss, sollte natürlich mehr beachten (aus gegebenen Anlass z.B. 
Printer Dots...). Und dann gibt es noch diese Fälle:
https://www.theguardian.com/world/video/2014/jan/31/snowden-files-computer-destroyed-guardian-gchq-basement-video
https://www.theguardian.com/us-news/2018/jun/04/surreal-moment-guardian-destroyed-snowden-files

Cyblord -. schrieb:
> Jiri D. schrieb:
>> Bernd B. schrieb:
>>> ... und was lernen wir daraus?
>>
>> Daten verschlüsseln hilft und schützt bei Dummheit. Kryptographie wirkt.
>
> Dein Beitrag erinnert mich stark an das angehängte XKCD.
>
> Dort liest man dann noch im ToolTip Text:
> "Actual actual reality: nobody cares about his secrets."
>
> Sehr wahr alles. XKCD bringt es auf den Punkt.

Natürlich ist Sicherheit relativ. Wir verwenden das XKCD auch regelmäßig 
in Cryptoparties, um das hervorzuheben.

Es sollte aber, hoffe ich, herüber gekommen sein, dass 
Datenträgerverschlüsselung ein wichtiger und einfach umzusetzender 
Schritt zu mehr Sicherheit in der Masse ist. Momentan sind wir 
glücklicherweise nicht in der Situation, dass in der Breite 
Familienangehörige entführt und gefoltert werden, um Passwörter frei zu 
pressen. Stattdessen genügt es bereits Altgeräte aus dem Müllcontainer 
zu fischen.

Cyblord -. schrieb:
> Jiri D. schrieb:
>> Es sollte aber, hoffe ich, herüber gekommen sein, dass
>> Datenträgerverschlüsselung ein wichtiger und einfach umzusetzender
>> Schritt zu mehr Sicherheit in der Masse ist.
>
> Sehe ich anders. Es ist, gerade für den DAU, eine sehr einfache und
> sichere Methode seine ganzen Daten für immer zu verlieren. Dieses Risiko
> haben die eh schon, weil sie keine Backups machen. Jetzt will man ihnen

Aber gerade das entkräftet doch dein Argument. Wenn der DAU bereits die 
Daten durch einfachen Defekt verlieren kann, macht das zusätzliche 
Risiko einer vergessenen Passphrase auch nicht viel mehr aus ("Dieses 
Risiko haben die eh schon"). Diese Passphrase verwendet und übt man ja 
bei jedem Bootvorgang, z.B. 1 Mal/Monat (wer ansonsten Suspend to RAM 
benutzt).
Datenverlust ist zwar ärgerlich, aber wenigstens sicher.

> die noch die Platte verschlüsseln damit das Risiko noch steigt.
> Und für was? Ein paar Urlaubsbilder?

Hatten wir oben bereits, es gibt da noch vertrauliche Emails, 
medizinische Unterlagen, Daten von Dritten (oben hatte ich eine 
Wikipedia-Liste verlinkt, in der z.B. Teilnehmer med. Studien betroffen 
waren), Passwörter, ...

> Da fängt man heute mit dem geklauten Facebook Account 20 mal mehr an.

... auf den man Zugriff über die unverschlüsselten Passwörter auf der 
Festplatte bekommt, oder das Passwort zurücksetzen lässt (hier kann 2FA 
helfen).

Bei dem bisher diskutierten muss man aber auch beachten, dass 
Festplattenverschlüsselung nur das System in ausgeschalteten Zustand 
schützt (aber immerhin!). Wer sich Malware einfängt, hat andere Probleme 
und braucht andere Lösungen.

Ivo Z. schrieb:

> Das, was Jiri da beschreibt, ist doch etwas sehr unrealistisch oder hast
> du Daten die so viel wert sind, dass er so einen Aufwand dafr treibt?
> Dass man da mal recuva drüberlaufen lässt ja, viel mehr aber nicht.

Man muss sich halt über das Angriffs-Szenario Gedanken machen. Geht es 
darum, dass ein neugieriger Nachbar, Reparaturbetrieb oder 
Sekundärnutzer mit Hausmitteln keine Daten abgreifen kann, oder müssen 
die vor dem israelischen Geheimdienst geschützt werden? In letzterem 
Fall reicht auch der Hammer oder der 8 mm-Bohrer nicht zur Zerstörung 
aus, sondern die Baugruppen müssen mit der Flex in Stücke < 1 mm 
Kantenlänge zerspant werden. Wie seinerzeit Snowdens Notebook.

Platte formatieren, einmal mit Filmen (oder Zufallsdaten) vollknallen, 
und nochmal formatieren reicht für zivile Daten völlig aus.

Uhu U. schrieb:
> Jiri D. schrieb:
>> macht das zusätzliche
>> Risiko einer vergessenen Passphrase auch nicht viel mehr aus ("Dieses
>> Risiko haben die eh schon").
>
> Für den DAU erhöht jede weitere Hürde, nicht mehr an die Daten zu
> kommen, das Risiko, sie zu verlieren.

absolut gesehen: ja. relativ: nicht wirklich.

>> Diese Passphrase verwendet und übt man ja bei jedem Bootvorgang, z.B.
>> 1 Mal/Monat (wer ansonsten Suspend to RAM benutzt).
>
> Wieso soll ausgerechnet "der DAU" ein so langes Gedächtnis für eine
> Passphrase haben?

Wir wären sehr viel besser als jetzt dran, wenn sich diejenigen, die 
sich eine Passphrase für mindestens 1 Monat merken können und sie jeden 
Monat mal verwenden, ihre Daten verschlüsseln würden.

> Das funktioniert nur, wenn das PW so kurz und naheliegend ist, dass ein
> halbwegs versierter Hacker sie im Zweifelsfall per brute force Attacke
> kombiniert mit etwas kriminalstischem Spürsinn heraus bekommt.

Es geht mir nicht um den Einzelfall. Brute force (mit Heuristiken, 
Passwortlisten, Rainbow Tables, ...) kann da funktionieren, ist /in der 
Masse/ aber unpraktisch/teuer.
Stattdessen die Daten gar nicht verschlüsseln und die Platte einfach 
wegwerfen? Gewagt...

soul e. schrieb:
> Ivo Z. schrieb:
>
>> Das, was Jiri da beschreibt, ist doch etwas sehr unrealistisch oder hast
>> du Daten die so viel wert sind, dass er so einen Aufwand dafr treibt?
>> Dass man da mal recuva drüberlaufen lässt ja, viel mehr aber nicht.
>
> In letzterem
> Fall reicht auch der Hammer oder der 8 mm-Bohrer nicht zur Zerstörung
> aus, sondern die Baugruppen müssen mit der Flex in Stücke < 1 mm
> Kantenlänge zerspant werden. Wie seinerzeit Snowdens Notebook.

(Es waren Laptops von Journalisten vom Guardian, nicht Snowdens 
privater.) Habe oben bereits das Video verlinkt.

> Platte formatieren, einmal mit Filmen (oder Zufallsdaten) vollknallen,
> und nochmal formatieren reicht für zivile Daten völlig aus.

Habe ich in meiner ersten Antwort schon beschrieben. Das hilft aber nur 
gegen geplante Weiter-/Weggabe des Datenträgers. Wenn dir der Laptop 
geklaut wird, oder am Flughafen abhanden oder "abhanden" kommt, hilft 
dir das nichts.

Es sind auch schon Nackbilder von Promis im Netz gelandet, ebenso wie 
vertrauliche Regierungsdokumente oder Aufstellungen von 
Fußballmannschaften.
Und alles das ohne den pöhsen HaX0r, sondern weil 'DAU' sich das Laptop 
vom Rücksitz hat klauen lassen.

Von daher ist Verschlüsselung tatsächlich eine weitere Hürde, dass Daten 
zufällig weitersickern.

Uhu U. schrieb:
> Jiri D. schrieb:
>> absolut gesehen: ja. relativ: nicht wirklich.
>
> Das musst du begründen.

Es ist für den "DAU" unerheblich, ob das Gerät kaputt gegangen ist, oder 
ob die Passphrase vergessen wurde. Works as designed.

>>> Wieso soll ausgerechnet "der DAU" ein so langes Gedächtnis für eine
>>> Passphrase haben?
>>
>> Wir wären sehr viel besser als jetzt dran, wenn sich diejenigen, die
>> sich eine Passphrase für mindestens 1 Monat merken können und sie jeden
>> Monat mal verwenden, ihre Daten verschlüsseln würden.
>
> Du weichst aus. Es geht nicht um "wir", sondern um "den DAU".

Nein. Mir geht es um Massenüberwachung und was jeder einzelne mit 
geringem Aufwand tun kann, die Kosten für die Angreifer erheblich zu 
erhöhen. Schutz von Individuen ist eine andere Baustelle, der XKCD ist 
ja schon genannt worden.

> Im Übrigen ist Suspend to RAM nicht gerade die Methode, wie man die

Richtig. Hatte ich in der ersten Antwort schon geschrieben (Cold Boot). 
Später dann nochmal ("nur das System in ausgeschalteten Zustand 
schützt").

> Festplattenverschlüsselung nutzen sollte.

Richtig. Hatte ich oben auch geschrieben. Es war ein entgegenkommendes 
Beispiel, um den Leistungsdruck auf deinen proklamierten "DAU" zu 
erhöhen, sich einen Monat lang (oh boy...) eine Passphrase zu merken. 
Wenn du dem "DAU" nun täglich oder wöchentlich die Passphrase eingeben 
lässt, dann merkt er sich die eben besser und das Risiko des Vergessens 
der Passphrase ist noch geringer...
Wer auf Reisen ist, den Laptop per Post verschickt, oder Gefahr läuft, 
dass der Laptop geklaut werden könnte, sollte den natürlich 
herunterfahren.

Matthias L. schrieb:

> Meine zu entsorgenden Festplatten mache ich übrigens entweder mit einem
> 10er Bohrer kaputt (Einmal durch das komplette Plattengehäuse durch)
> oder schraube sie auf und mache mit der Rohrzange einen formschönen
> 90°-Bogen in die Platten. Das möchte ich sehen, dass die noch jemand
> liest...

Mechanisch beschädigte Magnetscheiben elektrooptisch auslesen geht 
deutlich einfacher als überschriebene Daten aus dem Signalrauschen zu 
extrahieren.

Den neugierigen Nachbarn hältst Du durch Überschreiben genauso auf wie 
mit dem Zehnerbohrer. Dem Geheimdienst machst Du es mit Überschreiben 
schwerer.

Matthias L. schrieb:
> Jiri D. schrieb:
>> Mit geht es um Massenüberwachung
>
> Massenüberwachung mittels abgegriffener lokaler Datenträger?
>
> Magst du erklären, was du unter "Massenüberwachung" verstehst?
>
> Ich meine, wenn Heerscharen von böswilligen Menschen einer bestimmten
> Organisation ausschwärmen und alle Datenträger abgreifen, die sie
> irgendwie ergattern, klauen, aus dem Müll holen können und diese dann
> organisiert auswerten und die Daten verdichten - das wäre für mich eine
> "Massenüberwachung" - aber das Szenario erscheint mir allein wegen des
> Personalaufwandes nicht so sehr wahrscheinlich. Massenüberwachung wäre
> da IMHO durch illegale Hintertüren zu Internet-Knoten eher zu
> realisieren, oder?

Richtig, allerdings würde ich "illegale" streichen. "Massenüberwachung 
lässt sich durch Hintertüren zu Internet-Knoten realisieren." (Auch und 
insbesondere Legale! Manchmal braucht es nicht mal eine Hintertür 
dafür.)

Ich habe da zwei wichtige Themen vermischt:
Ausgangsthema war der sorglose Umgang mit physischen Datenträgern, der 
ein großes Problem ist. Die Datenträger können von Leuten im Umfeld mit 
Gelegenheit abgegriffen werden: Diebstahl aus dem Auto, 
Malwareinstallation  vom Zoll/TSA/..., Unbeaufsichtigter Transport 
(Post). Oft hört man auch von Firmen, welchen interne Baupläne und 
Dokumente abhanden gekommen sind (Spionage), die auch auf solchem Weg 
ablaufen können.
Einfache und wirkungsvolle Maßnahmen existieren (Platte crypten). 
Dadurch lässt sich das Sicherheitsrisiko erheblich senken. Bei den 
Zwiebelfreunden sind z.B. unverschlüsselte (da Papier) Mitgliederlisten 
abhanden gekommen.
Die anderen vertraulichen aber für die Polizei irrelevanten Daten auf 
Festplatten aber nicht.
https://netzpolitik.org/2018/zwiebelfreunde-durchsuchungen-wenn-zeugen-wie-straftaeter-behandelt-werden/
https://netzpolitik.org/2018/gericht-urteilt-durchsuchung-bei-zwiebelfreunden-war-rechtswidrig/

Massenüberwachung hat einen hohen Automatisierungsgrad. Um dem zu 
begegnen verwendet man TLS, Tor+Onion Services, Tails/Qubes OS/..., 
aktuelle Software mit GPG Signaturen, GPG verschlüsselte Emails mit 
Smartcards, Reproducible Builds/NIX/Guix usw. usf. Wenn man nur 
"Wichtiges" (wie bestimmt man das überhaupt?) verschlüsselt, weiß der 
Angreifer, wo es sich zu suchen lohnt. Um die false positive Rate 
anzuheben und damit teuer zu machen, muss daher alles/so viel wie 
möglich verschlüsselt werden.
Das würde idealerweise dazu führen, dass sich die überbemittelten 
Dienste wieder auf die wesentliche, effektivere, zielgerichtete Arbeit 
konzentrieren würden. Im schlechten Fall kriegen sie mehr Geld.

> Meine zu entsorgenden Festplatten mache ich übrigens entweder mit einem
> 10er Bohrer kaputt (Einmal durch das komplette Plattengehäuse durch)
> oder schraube sie auf und mache mit der Rohrzange einen formschönen
> 90°-Bogen in die Platten. Das möchte ich sehen, dass die noch jemand
> liest...

Das ist eine gültige Methode gegen deinen Nachbarn. Stand auch ganz am 
Anfang schon mal. Der Nachteil ist aber, dass die Platte zerstört ist.

Uhu U. schrieb:
> Jiri D. schrieb:
>> Es ist für den "DAU" unerheblich, ob das Gerät kaputt gegangen ist, oder
>> ob die Passphrase vergessen wurde. Works as designed.
>
> Du hast merkwürdige Ansichten über Risiken und Wahrscheinlichkeiten…

Wenn dein DAU die Passphrase regelmäßig (z.B. 1/Monat) verwendet, 
vergisst er sie nicht. W'keit nahe 0. Damit kein Einfluss vs. Defekt der 
Platte. Ist logisch, oder?

>>> Du weichst aus. Es geht nicht um "wir", sondern um "den DAU".
>>
>> Nein. Mir geht es um Massenüberwachung und was jeder einzelne mit
>> geringem Aufwand tun kann, die Kosten für die Angreifer erheblich zu
>> erhöhen.
>
> Wir hattens aber gerade vom DAU und wie du gemerkt hast, dass du da über
> eine Rehe von Denkfehlern gestolpert bist, hast du versucht, schnell das
> Thema zu wechseln.
>
> Seriös ist diese Taktik nicht.

Den DAU-Fall habe ich mit "für den "DAU" unerheblich" abgeschlossen und 
begründet. Dann habe ich mit dem verwandten Thema "Massenüberwachung" 
weiter gemacht. Asche auf mein Haupt, ein dialektischer Ausrutscher.

>>> Im Übrigen ist Suspend to RAM nicht gerade die Methode, wie man die
>>
>> Richtig. Hatte ich in der ersten Antwort schon geschrieben (Cold Boot).
>> Später dann nochmal ("nur das System in ausgeschalteten Zustand
>> schützt").
>
> Ach ja?

Ja, habe es dir zitiert. Lesen musst du selber. Es steht ja alles da.

Jiri D. schrieb:
> Dann habe ich mit dem verwandten Thema "Massenüberwachung"
> weiter gemacht. Asche auf mein Haupt, ein dialektischer Ausrutscher.

@Uhu U.:
Das Thema "Massenüberwachung" habe ich übrigens aufgegriffen, weil du 
von der Praktikabilität von brute force Angriffen auf schlechte 
Passwörter geschrieben hast.

Matthias L. schrieb:
> Jiri D. schrieb:
>> Massenüberwachung lässt sich durch Hintertüren zu Internet-Knoten
>> realisieren." (Auch und insbesondere Legale! Manchmal braucht es nicht
>> mal eine Hintertür dafür.)
>
> Für legale Massenüberwachung fallen mir in Deutschland keine
> Rechtsgrundlagen ein.

Ich meinte legale Hintertüren :-)
Also z.B. die "lawful interception" ports an diversen Geräten.

> Die strategische TK-Überwachung darf nur Auslandsverkehr betreffen und
> die Quellen-TKÜ darf nur Einzelfallbezogen eingesetzt werden.
>
> Wenn es dabei Missbrauch geben sollte, dann wäre der zwar staatlich,
> aber trotzdem illegal... ;-)

Man kann sich ja auch Theorien des "Virtuellen Auslands", "Weltraum", 
oder "Funktionsträger" zulegen.
https://media.ccc.de/v/33c3-8116-nicht_offentlich

Matthias L. schrieb:
> Du wirfst munter die Begriffe durcheinander. Die Lawful Interception
> Ports kann man vielleicht als "legale Hintertüren" bezeichnen, aber die
> ermöglichen eben keine Massenüberwachung.

Ich schrieb "z.B.". Man kann natürlich auch einen oder mehrere 
Fasersplitter dranhängen.

> Die Ideen des BND zu virtuellem Ausland und schutzlosem Transitverkehr
> sind IIRC schon länger als nicht rechtens angesehen - deutlicher
> ausgedrückt: illegal...

Naja, also spätestens mit dem Bekanntwerden waren sie allgemein als 
illegal angesehen. An ein Urteil oder dergleichen kann ich mich aber 
nicht erinnern. Stattdessen wurde das BNDG geändert.

Weitere abstruse Szenen aus dem NSA/BND-UA
https://media.ccc.de/v/32c3-7225-grundrechte_gelten_nicht_im_weltall

Matthias L. schrieb:
> Die strategische TK-Überwachung darf nur Auslandsverkehr betreffen und

Nicht nur "nur Auslandsverkehr", sondern auch "nur Ausländer".

Michael B. schrieb:
> Christobal M. schrieb:
>> festplatten gleich von anfang an verschlüsseln - dann muss man nur ein
>> paar MB am anfang ausnullen und nicht die gesamte platte überschreiben.
>
> Keine gute Idee, ich kenne mehr Leute, die fluchen, weil ihre
> verschlüsselte Festplatte dank eines defekten Sektors dann gleich
> komplett nicht mehr lesbar ist, als Leute, die wegen einer weggeworfenen
> Festplatte Ärger mit stibitzen Daten haben.

Bei z.B. LUKS sind nur wenige Bytes (je Fehler) betroffen, es ist also 
nicht sehr viel schlechter als ein normaler Fehler.
https://superuser.com/a/1158788

Backups sind natürlich auch hier angeraten.

Matthias L. schrieb:
> Bitte erzähl doch mal, an welcher Stelle da was dazu kommt, dass der BND
> aktuell mehr überwacht, als er ganz offiziell darf. Ich seh' mir jetzt
> nicht auf Verdacht eine Stunde Video an! Die ersten 15 Minuten habe ich
> gesehen, die sind sehr gut, aber da war nix Neues dabei.

Nun, Landefeld darf zu den aktuellen Vorgängen ja gar nichts sagen. 
Daher sagt er in seinem Vortrag natürlich nur zu solchen Dingen etwas, 
die sowieso schon in der Zeitung standen. Daraus zu folgern, dass 
aktuell alles Blümchenwiese ist -- gewagt...
Die DE-CIX Klage vom Mai vor dem BVerwG war auch deshalb wichtig, weil 
die Betreiber öffentlich sagen konnten, dass es weiterhin solche 
Anordnungen gibt. Mal sehen ob sie vor das BVerfG ziehen werden und wie 
das dann die Situation bewertet.

Und nach dem DAFIS-Debakel können einem schon Zweifel an der 
Rechtmäßigkeit diverser Tätigkeiten kommen. Zudem funktioniert die 
Geheimdienstkontrolle derer, die sie machen wollen und sollen nicht, da 
sie selbst bestenfalls nur halbe Informationen bekommen.

Gespräch mit Hans-Christian Ströbele zur Arbeit im PKGr:
https://media.ccc.de/v/34c3-9289-die_lauschprogramme_der_geheimdienste

Maronis D. schrieb:

> Dann würde ich die Platte ja immer wieder mit Random Werten überspielen.

Richtig. Ob Du Nullen draufschreibst, Zufallsdaten oder Filme, das ist 
der Platte egal. Überschrieben ist überschrieben.

Überschriebene Daten lassen sich unter Umständen wiederherstellen:

a) wenn sie nicht komplett überschrieben wurden, weil der Kopf ein 
bisschen neben der Spur langgefahren ist. Dann sind am Rand Reste der 
alten Daten sichtbar. Dagegen hilft mehrfaches Überschreiben.

b) weil sich die Eigenschaften des Magnetmaterials ändern, wenn längere 
Zeit ein Bitmuster eingeprägt war. Im Netz geistert irgendwo ein Paper 
einer Uni herum, denen es gelungen ist mehrfach überschriebene Daten mit 
einer Wahrscheinlichkeit von etwas über 50% wiederherzustellen.

(Einfaches Raten liefert eine Wahrscheinlichkeit von genau 50%)


Damit sich aber ein Geheimdienst Deiner Platte annimmt ("normale" 
Datenretter treiben diesen Aufwand nicht) musst Du denen einen guten 
Grund liefern.

soul e. schrieb:

> b) weil sich die Eigenschaften des Magnetmaterials ändern, wenn längere
> Zeit ein Bitmuster eingeprägt war. Im Netz geistert irgendwo ein Paper
> einer Uni herum, denen es gelungen ist mehrfach überschriebene Daten mit
> einer Wahrscheinlichkeit von etwas über 50% wiederherzustellen.
>
> (Einfaches Raten liefert eine Wahrscheinlichkeit von genau 50%)

Da ist es: 
https://www.vidarholen.net/~vidar/overwriting_hard_drive_data.pdf
Die Autoren, Wright, Kleiman and Sundhar, geben die Wahrscheinlichkeit 
für die Wiederherstellung eines Datenbits bei einer über längere Zeit 
genutzen Platte mit 56% an. Die Verbundwahrscheinlichkeit für 1 byte (8 
bit) liegt bei 0,97%, die für eine 1 kB große Datei bei 1.4E-258.

Die Wahrscheinlichkeit, dass eine über die Tastatur laufende Katze ein 
C-Programm schreibt, ist ähnlich groß.


Im Gegenzug hierzu lassen sich die intakt gebliebenen Bereiche 
mechanisch beschädigter Magnetscheiben relativ problemlos mit einem 
Rasterkraftmikroskop auslesen. D.h. wer es sich nach der Anwendung des 
10er Bohrers nochmal anders überlegt, der hat gute Chancen.

Matthias L. schrieb:

> Da muss ich doch mal schauen, ob im Keller zwischen den Rohrzangen und
> Sägen noch irgendwo ein Rasterkraftmikroskop herumliegt... ;-)

Der eine oder andere Datenretter hat sowas. Festplatten mit einer Rille 
in der Magnetscheibe, welche der abgerissene Lesekopf erzeugt hat, 
kommen öfter mal vor.

Aber darum geht es nicht, sondern um die Frage "Zehnerbohrer vs. 
Überschreiben". Man trifft immer wieder Leute, die auf keinen Fall 
funktionierende Hardware herausgeben wollen, sondern diese lieber 
mechanisch zerstören. Dabei ist eben diese mechanische Zerstörung oft 
weniger wirksam als das Überschreiben, welches zusätzlich noch eine 
Wiederverwendung des Mediums ermöglicht.