USB-Stick autoboot Festplatte überschreiben

guru

Well-Known Member
Grüßeuch,

um das Problem der Datensicherheit bei mehreren Computern zu lösen, wird nach einem einfachen Weg gesucht, bei mehreren Computern die SSD wirklich zu löschen und möglichst keine spezielle Arbeit zu verrichten. Das muss nicht zwingend DSGVO-Konform sein, es handelt sich hier um private Computer. macOS bot zumindest früher die Möglichkeit, eine Festplatte 35x mit 0en zu überschreiben. Reicht das bei einer SSD?

Interessant wäre also ein EFI-fähiger Bootstick mit irgendeinem Knoppix oder BSD oder so drauf, der als einzigen Aufruf gleich nach dem boot (oder danach sehr unkompliziert erreichbar) alle eingebundenen Festplatten löscht.

Etwa
for ((i = 0 ; i <= 35 ; i++)); do
dd if=/dev/null of=/dev/sd*
done
oder so - das ganze als daemon oder in der bash_login ...

Hat jemand hierzu ideen? Oder ist das den Aufwand bei fünf Computern nicht wert? Wie würdet ihr das machen?

Cheers,
guru
 

turrican

Well-Known Member
Eine Festplatte konnteste früher gut mit "shred" löschen - dies untenstehende Beispiel "löschte" die Platte 27x ohne weiteres zutun
Code:
shred -n 27 /dev/sdX
Konnte man gut scripten.

Eine SSD überschreibst du zum löschen nicht x-mal neu - erstens würde das die Zellen über Gebühr verschleißen, zweitens ist ne SSD salopp gesagt nicht sequentiell organisiert wie eine HDD; der Controller entscheidet zur Laufzeit, in welche Zelle er als nächstes das nächste Datenpaket schreibt; ein "Löschen" - was ja im Prinzip auch ein Schreiben ist - wäre dann quasi random.

Bei SSDs kannst du ein sog. "secure erase" ausführen, es ist Teil des ATA Standards und wird somit von jeder SSD unterstützt (nun, sollte).
Im Prinzip setzt du damit eine Verschlüsselung - und verwirfst den Schlüssel.
EDIT [3] hinzugefügt

[1] https://www.thomas-krenn.com/de/wiki/SSD_Secure_Erase

[2] https://wiki.ubuntuusers.de/SSD/Secure-Erase/

[3] https://ata.wiki.kernel.org/index.php/ATA_Secure_Erase
 

mr44er

moderater Moderator
Teammitglied
Interessant wäre also ein EFI-fähiger Bootstick mit irgendeinem Knoppix oder BSD

Hat jemand hierzu ideen? Oder ist das den Aufwand bei fünf Computern nicht wert? Wie würdet ihr das machen?
Wenn es schnell gehen soll und physische Zerstörung eine Möglichkeit, kann man immer 2-3x mit einer Bohrmaschine an den richtigen Stellen durchgehen.

Secure erase bieten auch oft SAS-Platten an, bei SSDs wäre es Pflicht, weil man sonst sinnlos Lebensdauer (wie turrican auch anmerkte) verbrennt.

Oder ist das den Aufwand bei fünf Computern nicht wert? Wie würdet ihr das machen?
Bei den nächsten (neuen) fünf Computern einfach rigoros Vollverschlüsselung fahren, dann stellt sich die Frage nicht mehr. Auch dann nicht, wenn ein Datenträger kaputt geht.
 

pit234a

Well-Known Member
ich würde meine Entscheidung einzig davon abhängig machen, ob ich bereits ein Live-System zum externen Booten verfügbar habe. Bei mir ist das der Fall und zwar auf beinahe jedem USB-Stick liegt eben zusätzlich noch ein Knoppix drauf.
Der Aufwand, das Löschen manuell zu machen, ist bei fünf Geräten nun wirklich nicht so groß, als dass man da automatisieren müsste.
Wenn aber kein Live-System zur Verfügung steht und nun speziell eines angefertigt werden soll, ist der Aufwand ein wenig Größer, aber meines Erachtens immer noch nicht groß genug, um dafür aufwändig Scripte zu bauen. Andererseits: das sind ja auch nur wenige Zeilen und gut ist.

Wenn das alte PCs sind, zerlegt man allerdings ja eh und macht sie sauber und so.
Dann kann die SSD auch schnell an einem PC mittels eines Adapters an USB angeschlossen und die Daten dann gelöscht werden. Allerdings könnte es dann sein, dass die SSD nicht als ATA-Gerät erkannt wird und deshalb auch dieses secure erase von oben womöglich scheitert.

Was das Angeht, ist mein Paranoiker-Level ziemlich niedrig.
Zwar gebe ich nie einen irgendwie verwertbaren Datenträger in den Müll, aber bei Eigengebrauch oder Wiedereinsatz mache ich grundsätzlich nicht viel Aufhebens und schreibe sie einmal mit Nullen voll. Es gilt da bei mir immer der Grundsatz: "gut genug" und das gilt auch für "sicher genug". Die letzten 5% bis zur Perfektion kosten oft mehr Aufwand, als die ersten 95% und selten lässt sich Vollkommenheit überhaupt erreichen.

Denn auf Angreifer-Seite ist das doch ähnlich.
Einen Stick rein stecken und mal schnell auslesen, das geht einfach und macht keine Mühe.
Doch schon den einfach nur neu formatierten Stick auf alte Daten zu untersuchen, bedeutet einen gewissen Aufwand und wo liegt der mögliche Nutzen? Gleichwohl es einen gewissen Aufwand bedeutet, wird dieser jedoch nahezu automatisch von bekannten Tools erledigt und vielleicht hat jemand einen Spaß daran, tausende von wiedergewonnen Daten auf das eine verfängliche Foto hin zu scannen.
Doch war der Stick zuvor einfach nur mit Nullen beschrieben, wächst der Aufwand gleich gigantisch, die alten Daten wieder herzustellen. Wer will denn das? Wozu?

Gleichwohl, unsere Firma, also das Unternehmen, das mir meine Arbeit bezahlt, benutzt SW von: https://en.wikipedia.org/wiki/Blancco
Scheinbar erfüllen die irgendwelche Kriterien, Zertifikate oder so was. Bei uns startet die SW von CD/DVD und die zu löschenden Datenträger hängen dann an meinem Laptop, evtl über erwähnte Adapter. Leider kann ich dann anschließend kein Protokoll importieren, sondern muss die Löschung immer noch manuell bestätigen und dafür unterschreiben.
Naja, für meine Firma ist das offenbar "gut genug".
 

roema

Well-Known Member
Vollverschlüsselung wie @mr44er schon geschrieben hat.
Die Daten kann man dann in einer Sekunde unbrauchbar machen, Stichwort NukeKey bei Luks.
 

medV2

Well-Known Member
Das Equivalent zu geli kill wäre cryptsetup luksErase.

NukeKey ist ein spezieller Key bei dem - wenn man ihn zum entschlüsseln angibt - alle KeysSlots des Devices gelöscht werden (also luksErase ausgeführt wird).
Ist aber nicht offiziell Teil von cryptsetup / LUKS sondern ein eigener Patch. Manche Distros haben den integriert z.b Kali, ich meine auch für Arch gibt es die Version mit nukeKey zumindest in den Repos.
 

guru

Well-Known Member
Vielen Dank für Eure Antworten! Werden das mal mit DBAN versuchen - sollte sicher passen.
 

kaputtnik

Active Member
Wie oben schon von turracan geschrieben, ist DBAN nicht mehr zeitgemäß. Je nach Wear leveling erwischst du damit nicht mal alle Zellen und musst einige Durchgänge machen, nur um dann immer noch keine Sicherheit zu haben, das wirklich alles gelöscht wurde.

Nimm lieber Secure Erase, das geht schneller und da der Festplattencontroller weiß, was du willst, löscht er alle Speicherzellen. Auf DBAN kannst du dann immer noch zurückgreifen, wenn Secure Erase nicht unterstützt wird.
 
Oben