Qbi's Weblog

Heute gibt es eine Portion Hardware-Porn:

via Hardware-Pornographie: Festplatte, entblättert

Ich komme gerade von der Kriminalpolizei, wo ich erkennungsdienstlich behandelt wurde. Wenn das so weitergeht, muss ich bald meine DNA abgeben und am Ende atme ich selbst gesiebte Luft. Was war passiert?

Es ist schon etwas länger her, da fragte mich eine Firma an, ob ich nicht eine Analyse ihrer IT-Infrastruktur vornehmen könne. Sie hatten den Verdacht, dass da etwas “nicht stimmt”. Es war anzunehmen, dass jemand aus der Mitarbeiterschaft Daten entwendet. Ich untersuchte also das Netzwerk und einige Rechner. Dabei stach ein Rechner besonders hervor. Dort baute ich mit dem Sysadmin die Festplatte aus und kopierte diese zur weiteren Untersuchung. Es stellte sich heraus, dass der Mitarbeiter in massivem Umfang Daten aus der Firma geschleust hatte. Im weiteren Verlauf schaltete die Firma die Staatsanwaltschaft ein. Diese hat mittlerweile die (Ermittlungs)fäden in der Hand. Im Rahmen dessen werden diverse Gegenstände untersucht und geschaut, wer diese angefasst hat. Als Tatortberechtigter durfte ich somit meine Fingerabdrücke abgeben.

Im Vorfeld habe ich lange gerätselt, ob das machen soll oder nicht. Denn es gibt nicht wenige Fälle, in denen die einmal erhobenen Daten irgendwo landen, so nach dem Motto: Könnte man vielleicht noch einmal gebauchen.. Meinen Anwalt konnte ich für einen fundierten Rat nicht erreichen also verließ ich mich auf meinen guten Glauben und Fragen. Ich hatte mir vorgenommen, den Beamten vorher über die befürchteten Konsequenzen auszuquetschen und, falls es unglaubwürdig wäre, die Abgabe zunächst zu verweigern. Aber dazu kam es gar nicht. Denn kaum war ich in seinem Büro angekommen, setzte er zu einer längeren Belehrung an. Demnach werden die Spuren nicht gespeichert, sondern nur mit den am Tatort vorgefundenen verglichen. Die Fingerabdrücke werden nach den Worten des Beamten nicht in Datenbanken gespeichert, sondern nach Abschluss des Falles (oder sagte er, nach Beendigung des Vergleichs?) gelöscht. Wahrscheinlich schaute ich immer noch skeptisch und er meinte zum Schluss, dass sie, selbst wenn sie die Abdrücke aufheben und später auswerten würden, dürften die nicht gegen mich verwendet werden. War da nicht was mit den Früchten des vergifteten Baumes? In der Tat scheint dies nicht so zu sein, wie ich dachte. Die Wikipedia weiß mehr im Artikel zum Beweisverbot. Schließlich bekam ich einmal einen Satz schwarze Hände. Dank eines Spezialwaschmittels sind die aber schon wieder sauber.

Ich fand den Besuch letztlich recht interessant. Denn der Beamte war sehr offen und wir unterhielten uns über einige Themen, u.a. natürlich auch über das Abnehmen von Abdrücken. Interessanterweise nutzt die Polizei dieselbe Methode wie der CCC. Der Unterschied besteht letztlich nur darin, dass es das Ganze für die Polizei als fertige Einheit gibt.

Spätestens wenn der Fall abgeschlossen ist, werde ich mal eine Auskunftsanfrage bei verschiedenen Behörden starten und hoffentlich herausfinden, dass keine Informationen über mich gespeichert sind.

Foto von TheRealGrudge

Vor etwa einem Jahr schrieb ich über die Great Zero Challenge. Bei dem Wettkampf bekam jeder Teilnehmer eine Festplatte, deren Inhalte mit Nullen überschrieben waren. Derjenige, der den Namen eines Ordners oder einer Datei auf der Platte auslesen kann, gewinnt den Wettkampf. Bis heute gibt es keinen Gewinner. Diejenigen, die sich im Usenet oder entsprechenden Webforen rumtreiben, werden sich darüber sicher wundern. Denn es gibt immer wieder Aussagen, dass solche Daten trivial wiederzugewinnen sind. Ein Experte für Computerforensik hat sich jetzt dieser Tatsache angenommen.Nach einem Artikel bei Securityfocus fand er dabei heraus, dass es reicht, die Festplatte einmal mit Zufallswerten zu überschreiben. Die Wahrscheinlichkeit, ein Byte an korrekten Daten wieder zu gewinnen, liegt bei unter einem Prozent. Die korrekte Rückgewinnung von vier Bytes funktionierte nur in neun von einer Million Fällen.

In many instances, using a MFM (magnetic force microscope) to determine the prior value written to the hard drive was less successful than a simple coin toss.

Insofern besteht immer noch eine vage Möglickeit, den obigen Wettkampf zu gewinnen. Doch den meisten meienr Leser dürften die dazu notwendigen Arbeitsmittel nicht zur Verfügung stehen.

Update: Die Diskussion in der Newsgroup de.comp.security.misc Beweise für das Wiederherstellen “überschriebener” Daten hat weitere interessante Details zu dem Thema.

Der Titel verrät es. Ich habe neue Hardware und zwar für meinen Rechner. Mal wieder kündigte eine Festplatte ihren Tod an und nach kurzem Überlegen entschloss ich mich zu einem Upgrade.

Festplatten sind in meinem Rechner permanent ausfallgefährdet. Deren Lebenszeit liegt bei unter einem Jahr und das, obwohl ich diese nicht besonders beanspruche. Hier liegen momentan zwei kaputte Western Digital, eine Hitachi und eine Seagate (eher “Siegehtnicht”) sowie noch eine, bei der ich wegen des Herstellers nicht mehr sicher bin. Alles sind IDE-Platten. Jetzt steckt eine Hitachi SATA-Platte im Rechner. Ich bin gespannt, wie lange die halten wird.

Neben der Festplatte habe ich mir ein GB mehr RAM gegönnt und vor allem die CPU auf einen neuen Stand gebracht. Vorher war hier ein 1 GHz Athlon am Werkeln. Jetzt versucht sich ein Athlon64 Dual Core. Momentan bin ich noch dabei, Backups einzuspielen, Daten neu zu strukturieren und auch einige neue Software einzustellen. Daher habe ich noch nicht alles austesten können. Jedoch fühlt sich der Rechner wirklich schneller an.

Eine Herausforderung war die Montage des Lüfters. Die CPU sollte durch einen Thermaltake Ruby Orb gekühlt werden. Laut der Spezifikation versprach der Lüfter leise zu sein und dabei viel Luft durchzupusten. Als ich ihn dann in der Hand hielt, staunte ich nicht schlecht. Von der Größe her, sah es so aus, als ob man eher einen Hubschrauber antreiben kann. Zum Einbau werden zwei Schellen in das Motherboard geschraubt. Darauf kommt dann der Lüfter. Die Schrauben am Lüfter, die auf die Schellen geschraubt werden, sind mit relativ starken Federn versehen. Da der Lüfter zusätzlich auf der mit Wärmeleitpaste versehenen CPU hin- und herrutscht, ist es sehr schwer, die Löcher zu treffen. Wenn ihr das Teil in eure Rechner verbauen wollt, empfehle ich, das zu zweit zu machen. Ich hätte mir einen dritten Arm oder eine helfende Hand gewünscht.

Nach dem Anschalten fängt der Lüfter an, rot zu leuchten. Für Case-Modder ist der wohl auch geeignet. Und er ist ist wirklich leise. Mein Rechner läuft seit einiger Zeit mit einer Load von mehr als vier und beide CPU-Kerne sind beschäftigt. Vom Lüfter ist dennoch kaum etwas zu hören.

Momentan bin ich mit der Wahl der Hardware also recht zufrieden und hoffe, dass diese (inklusive der Festplatte) mich wieder ein paar Jahre aushält.

Ich hatte auf meinem Laptop seit einiger Zeit ein Ubuntu installiert und kürzlich war ich der Meinung, dass er mal eine andere Distribution benötigt. Zum einen war kürzlich grml in der Version 1.1 erschienen und wollte getestet werden, andererseits hatte ich früher Gentoo und damit war ich damals auch zufrieden.

grml bringt das Programm grml2hd mit. Damit lässt sich die Live-CD auf die Festplatte bringen. Die Installation selbst ist recht einfach. Es wird nach der Partition und dem Dateisystem gefragt, Nutzer angelegt etc. In kürzester Zeit war das System installiert und ich konnte es nutzen. Doch es dauerte nicht lange und ich bemerkte, dass der Rechner beim Runterladen großer Dateien langsam wurde. Ein Blick auf die DMA-Einstellungen bestätigte den Verdacht, dass kein DMA eingeschalten ist. Es liess sich nicht aktivieren und dmesg zeigte:

ata_piix 0000:00:1f.2: version 2.12
ata_piix 0000:00:1f.2: MAP [ P0 P2 IDE IDE ]
PCI: Unable to reserve I/O region #1:8@1f0 for device 0000:00:1f.2
ata_piix 0000:00:1f.2: failed to request/iomap BARs for port 0 (errno=-16)
PCI: Unable to reserve I/O region #3:8@170 for device 0000:00:1f.2
ata_piix 0000:00:1f.2: failed to request/iomap BARs for port 1 (errno=-16)
ata_piix 0000:00:1f.2: no available native port

Spätere Tests ergaben, dass das ein “grml-Problem” ist. Ich konnte den Effekt bei keiner anderen Live-CD (Debian, Gentoo, Knoppix, Ubuntu) feststellen. Eine Idee war noch, einen anderen Kernel zu installieren. Gesagt, getan. Doch nach einem Reboot begrüsste mich die Meldung GRUB. Also wieder die Live-CD eingeworfen und mittels grub-install den Rechner wieder bootfähig gemacht. Mika gab mir noch einen Tip, einen Blick auf /etc/kernel-img.conf zu werfen. Doch selbst mit einer angepassten Konfiguration ging das schief.

Daneben gab es noch kleinere Probleme und ich entschied mich, mit Gentoo weiter zu machen. Gentoo bringt seit einiger einen grafischen Installer mit. So hoffte ich, den mal praktisch testen zu können. Aber der X-Server tat mir nicht den Gefallen zu starten. So versuchte ich den konsolenbasierten zu nutzen. Dieser stürzte jedoch undeterministisch ab. Ich schaffte es damit nur einmal in die Nähe einer Installation zu kommen. Ich hätte es zwar noch auf dem klassischen Weg probieren können. Dazu fehlte mir jedoch die Lust.

Bei Distrowatch schaute ich mich noch nach weiteren interessanten Distributionen um. Jedoch konnte ich nichts ansprechendes finden und unternahm deswegen einen letzten Versuch mit Debian. Zu meiner Überraschung war das eine komplett problemlose Angelegenheit. Die Installation lief problemlos durch. Danach habe ich ein paar Anpassungen gemacht, Software eingespielt und Konfigurationen ergänzt. Also läuft auf dem Rechner zunächst mal Debian. Zumindest bis es mir zu langweilig wird.

Ach ja, wer sich fragt, welchen exotischen Rechner ich denn habe: IBM Thinkpad R52

Ordentliche Kryptogrpahie scheint immer noch nicht so einfach zu sein. Heise Security fand eine Festplatte, die mit AES-Verschlüsselung wirbt. Ein genauer Blick auf die verschlüsselten Daten zeigte jedoch anderes.

Die untersuchte Festplatte ist eine Easy Nova Data Box PRO-25UE RFID. Nach Angaben des Herstellers funktioniert sie bei allen gängigen Betriebssystemen ohne zusätzliche Treiber. Die Analyse der Platte zeigte zum einen, dass es Bereiche gab, die mit Nullbytes beschrieben waren. Dadurch weiß ein Angreifer, wo er nach verschlüsselten Daten suchen muss. Optimalermeise sollte ein Angreifer nur zufällige Daten auf der kompletten Festplatte sehen. Die gängigen Festplattenverschlüssler machen das meines Wissens auch so.

Einen ersten Schreck bekamen die Forscher, als sie die Verteilung abdruckten. Anstatt annähernder Gleichverteilung sah man Muster und ein tieferer Blick in die verschlüsselten Daten eröffnete schockierendes. Von einer auch nur AES ähnelnden Verschlüsselung war nichts zu finden. Stattdessen waren die Daten mit XOR in 512 Byte-Blöcken “verschlüsselt”. Damit ist die Zurückgewinnung der Daten natürlich einfach.

Die Mitarbeiter von Heise setzten sich daraufhin mit dem Hersteller des Controller Chips, Innmax, in Verbindung und dieser bestätigte, dass er momentan einen “proprietären Algorithmus” einsetzt. Ein neuer, verbesserter Controller ist in Arbeit. Dieser soll wohl dann auch wirklich AES können.

Offensichtlich ist nicht überall, wo AES draufsteht auch AES drin. Das Beispiel zeigt auch mal wieder, die Wichtigkeit Freier Software. Denn die klassischen Verschlüssler, wie GnuPG, Truecrypt, dm-crypt und noch weitere haben den Quellcode offengelegt. Jeder kann sich diesen anschauen, verändern und bei eventuellen Fehlern laut aufschreien.

Wenn man untenstehendes im Syslog liest, ist es wohl Zeit, sich von der Festplatte zu verabschieden:

kernel: ide: failed opcode was: 0xb0
kernel: ide: failed opcode was: unknown
kernel: hda: status error: status=0x58 { DriveReady SeekComplete DataRequest }

Wolltest du schon immer mal eine Festplatte knacken? Dafür gibt es Abhilfe. Ein findiger Mensch veranstaltet die The Great Zero Challenge. Du bekommst eine Festplatte zur Verfügung gestellt. Diese wurde mit Nullen überschrieben. Deine Aufgabe ist es, Datei- oder Verzeichnisnamen zu gewinnen.

Der Grund hierfür ist, dass einige große Firmen, die sich auf Datenrettung spezialisiert haben, die Annahme einer derartigen Platte verweigerten. Dabei wurde die ja nur mit dd if=/dev/zero of=/dev/hda überschrieben. Nach der allgemein gehörten Meinung können die Daten leicht wiedergewonnen werden. Aber die Aussage der Datenretter war anders:

According to our Unix team, there is less than a zero percent chance of data recovery after that dd command. The drive itself has been overwritten in a very fundamental manner.

Wer also Lust auf ein wenig Spass hat, kann sich an den Autor wenden.

via Isotopp

Anfang der Woche hatte ich endlich mal Zeit, diverse Hardwareprobleme zu lösen. Mein CPU-Lüfter war mir zu laut, eine Festplatte war deutlich am sterben und mehr RAM braucht mein Rechner auch. Als schraubte ich ihn auf, befreite ihn vom Staub der letzten Jahre, baute die Ersatzteile ein und spielte das Backup zurück. Nach einigen kleinen Anpassungen lief der Rechner recht schnell wieder. Gestern hielt ich einen Workshop zu Subversion und hatte einige Beispiele auch auf meinen Rechner zu Hause liegen. Beim Öffnen einer Datei schmettert mir dann mein Editor einen Lesefehler entgegen. Meine dunkle Ahnung bestätigte sich dann zu Hause. Auch die zweite Festplatte starb gerade einen langsamen Tod.

Anstatt mir nun wieder eine IDE-Platte in den Rechner zu hängen, beschloss ich, nun den kompletten Rechner umzubauen. Über den endgültigen Ausbau bin ich noch nicht sicher. Aber mit großen Wahrscheinlichkeit wird es ein AMD-Dual-Core mit entsprechendem Mainboard werden. Mal sehen, vielleicht bekomme ich auch die kürzlich gekaufte IDE-Platte in eine SATA-Platte getauscht. Gute Hinweise zu diversen Bauteilen nehme ich natürlich gern entgegen.