Gebrauchsspuren 2....Gelöscht ist nicht immer wirklich gelöscht...Innere Sicherheitsrisiken von Windows.

Kein System ist sicher, das sagte ich ja bereits...
Aber was Ihnen wirklich jeden Tag auf neue Sorgen bereiten sollte, ist die Tatsache,
dass das Löschen sensibler daten gar nicht so einfach ist, wie sie bisher vielleicht dachten.
Das in den Papierkorb verschobene Dateien jederzeit wieder an Ihrem Ursprungsort wiederhergestellt werden können,
wird Ihnen hoffentlich bereits bekannt sein....

Nicht?...Dann versuchen Sie mal folgendes Spielchen:
Erstellen Sie eine beliebige Text-Datei auf dem Desktop .....

...und befördern Sie diese in den Papierkorb.
Klicken Sie den Papierkorb mit der rechten Maustaste an und wählen Sie Öffnen aus dem Kontextmenü.

Es öffnet sich ein Fenster, in welchem Ihnen sowohl das entgültige Löschen (Papierkorb leeren)
als auch das Wiederherstellen am ursprünglichen Ort angeboten wird.

Markieren Sie die Datei wie im Screenshot oben
und klicken Sie dann auf Wiederherstellen.
Simsalabim befindet sich das Teil wieder auf dem Desktop.

Soweit ...So gut. Diese Papierkorbfunktion sollte eigentlich jedem bekannt sein und stellt auch nix weltbewegendes dar.
Auch ein echter Papierkorb kann schließlich durchwühlt werden, wenn mal etwas versehentlich weggeworfen wurde.
Ist der Müll aber schon in der Haustonne gelandet, wird es schwieriger, ganz zu Schweigen vom Durchsuchen der städtischen Müllhalde in Buxtehude,
nach dem wöchentlichen Besuch der Müllabfuhr.

Windows macht es uns da viel einfacher!
"Gelöschte" Dateien sind nämlich nicht wirklich gelöscht im Sinne von physikalisch entfernt,
sondern lediglich ein wenig unbrauchbar gemacht, damit das "Löschen" schneller von der Hand geht.
In der Regel werden nämlich dazu lediglich kleine Teile der Dateinamen bzw. der Endungen
überschrieben, und somit verschwindet die Datei nur scheinbar von der Festplatte, da Windows sie schlicht nicht mehr erkennt.
Das bedeutet aber keineswegs, dass sie nicht mehr existiert!
Um das deutlich zu machen, verwenden wir wieder eine gelöschte Textdatei,
die wir entweder gleich mit gedrückter Umschalttaste angeblich unwiderruflich löschen oder in den Papierkorb verschieben,
welcher anschließend sofort geleert wird.-Sucht man mittels Suchfunktion nach der Datei,
wird Windows sie also folgerichtig nicht mehr finden.

Anders ist dies beim Einsatz eines einfachen Recoverytools wie z.b. dem Unerase Assistenten aus den Norton Utilities.
Dieser vermag zwar nur reineTextdateien komplett und andere Dateitypen konvertiert zu Textdateien wiederherzustellen,
aber andere Tools können durchaus auch komplette Programme, E-Mails, Audio und Videofiles
sowie beliebige andere Dateien völlig intakt zurück auf die Platte bringen.

Zurück zu Norton:
Nach dem Starten des Uneraseassistenten werden Sie zur Eingabe verschiedener Informationen aufgefordert.

Hier geben wir den Namen (oder was uns bekannt ist) der gesuchten Datei ein.

Es folgt die Angabe des zu durchsuchenden Pfades um die Suche einzugrenzen.

Die gesuchte Datei und noch eine weitere Datei wurden gefunden.
Unsere Datei konnte ich anhand des angegebenen Pfades identifizieren und habe sie rot markiert.

Die Datei wurde markiert und kann an einem beliebigen Ort wiederhergestellt werden.

Im vorliegenden Falle ist das der Originalpfad, also unser Desktop.

Die Suche kann im freien Speicherplatz der Festplatte fortgesetzt werden.
Dies empfiehlt sich natürlich immer dann, wenn im vorherigen Suchlauf noch nichts gefunden wurde.
Allerdings kann man auch einfach mal blind suchen und darf wirklich gespannt sein,
was da noch so alles zu Tage tritt.

Hierzu geben wir nochmals die gewünschten Dateikriterien ein.

Das Tool listet nun je nach Festplattengröße in den nächsten Minuten
bis Stunden alle Fundstellen auf,
die unseren Kriterien entsprechen.Das können locker ein paar Tausende sein,
welche durchnumeriert aufgelistet werden.
Ich habe nach den ersten beiden Funden abgebrochen und die erste Fundstelle markiert.

Öffnen mit einem Texteditor oder Fileanalysator zeigt, dass es sich hier keineswegs um eine Textdatei handelte.
Diese Datei ist nur ein Fragment einer größeren Datei und hatte ursprünglich zusammen
mit noch weiteren Teilen vor dem Löschen im Hauptverzeichnis eine bestimmte Funktion auszuführen,
auf welche ich aber hier jetzt nicht näher eingehen werde.
In weiteren Schritten und mit speziellen Tools wäre es nun durchaus möglich,
die fehlenden Dateifragmente ebenfalls zu isolieren und wieder zur ursprünglichen Datei zusammenzusetzen.

Das war, wie gesagt , nur ein ganz einfaches Beispiel mit einem recht simplen Tool.
Professionelle und teils recht teure Recoverytools können noch sehr viel mehr und sind dazu oft wesentlich leichter zu bedienen.
Es geht mir aber hier nicht um einen Kurs zur Dateirettung sondern lediglich um das Aufzeigen
schlummernder Gefahren durch die Sicherheitsrisiken nur teilweise entfernter und somit wiederherstellbarer Dateien.

Gebrauchsspuren selbst, wie normale Verläufe und Logdateien, kann man recht sicher mit externen Tools
wie Spybots S&D erfassen und entfernen lassen. Dies gilt sowohl für Registryeinträge
als auch Dateien in Haupt und Programmverzeichnissen.
In der Regel werden diese Dateien von diesen Tools nämlich nicht nach windiger Windows-Art "gelöscht",
sondern in einem wesentlich sichereren Verfahren mehrfach mit Einsen und Nullen in einem wechselnden Bitmuster
überschrieben um eine Wiederherstellung möglichst schwierig zu machen.
Aber selbst in diesem Falle muß beachtet werden, dass nichts 100%ig sicher ist.
Schon gar nicht, wenn parallel eine Undo-Datei mitgeloggt wird, um alle erfolgten Spyware und Gebrauchsspuren-Löschungen
notfalls auch mittels der internen Recoveryfunktion rückgängig machen zu können,
falls das System einmal durch das Cleaning beschädigt wurde, und der User nun eine teilweise
oder gar komplette Wiederherstellung des vorherigen Zustandes wünscht.
Dazu muss nur im Register Wiederherstellen die jeweilige Sicherung mit einem Haken markiert werden ....

....und anschließend mittels der Option Markiertes wiederherstellen in das System zurückgeschrieben werden..

Natürlich kann man das automatische Backup auch deaktivieren, indem Sie unter Einstellungen von S&D die im Screenshot rot markierten 3 Haken entfernen.

Dies empfiehlt sich jedoch nicht unbedingt, da es ja wirklich einmal notwendig sein könnte,
eine oder mehrere Aktionen von S&D rückgängig zu machen, was mit fehlendem Sicherheitsbackup mehr als schwierig sein dürfte.
Löschen Sie stattdessen einfach regelmäßig nach ca. 1 Woche Wartezeit alle Sicherheitsbackups.
Die Wahrscheinlichkeit, dass noch nach einer Woche Probleme auftreten ist recht gering .Wenn Sie ganz sicher gehen wollen,
sucht S&D für Sie auch alle Einträge heraus, die älter als 30 Tage sind und schlägt diese zur Entfernung vor.
Klicken Sie dazu mit der rechten Maustaste in die Oberfläche des Wiederherstellungsfensters
und entfernen Sie anschließend nur die automatisch markierten Einträge.

Dateien, die Sie manuell selbst vernichten wollen, müssen Sie mittels einem Dateivernichter wie Norton Wipe Info
oder dem in S&D integrierten Werkzeug Aktenvernichter mehrfach überschreiben lassen.
Dazu ziehen Sie einfach die entsprechenden Dateien aus einem Explorer-Fenster herüber
(oder benutzen Sie das Kontext-Menü der Liste), stellen die Anzahl der Durchgänge ein,
und klicken Sie den Knopf. Vernichten ganz unten rechts im Programmfenster an.

Die ersten 5 Durchgänge werden mit vordefinierten Bitmustern gelöscht,
die auch eine Hardwarewiederherstellung unmöglich machen sollten.
Für weitere Durchgänge werden zufällige Muster verwendet, die sich alle paar Bytes ändern.

Bitte beachten Sie:
Ein einzelner Durchgang ist nicht genug, um eine Datei endgültig zu vernichten,
da die Festplattenköpfe nie 100,00% die Spur gleich treffen.
Es gibt immer Ungenauigkeiten von ein paar µm, die Profis eine Wiederherstellung erlauben.
Darum sind mehrere Durchgänge mit verschiedenen Bitmustern notwendig.
Gebrauchsspuren in Dateien werden übrigens standardmäßig mit 5 Durchgängen gelöscht.

Naja, OK: Auf den ersten Blick schon...
Und vermutlich reicht dieses Vorgehen in den allermeisten Fällen auch aus.
Aber diese Sicherheit bezieht sich ja hier vor allem auf den freien Speicherplatz,
in welchem die gelöschte Datei selbst vorher einmal angesiedelt war.

Normal gelöschte Daten sind niemals wirklich gelöscht sondern lediglich so in ihrem Dateinamen verändert,
dass sie lediglich dem normalen Zugriff entzogen werden und im System unsichtbar verborgen bleiben.
Aber selbst wenn spezielle Tools eine Datei zum angeblich sicheren Löschen
mit lauter Nullen und Einsen überschreiben, existiert in der Regel mindestens eine wiederherstellbare Kopie auf der Festplatte!
Alle Betriebssysteme beinhalten nämlich ein virtuelles Kurzzeitgedächtnis, den sog. RAM- oder Arbeitsspeicher.
RAM bedeutet "Random Acces Memory" und ermöglicht schnellen Zugriff aktuell gestarteter Software und Prozesse
auf alle für diese bestimmte Anwendung benötigten Dateien.
Da die Größe des RAM-Speichers aber bekanntlich aus technischen Gründen sehr begrenzt ist,
verlagert das Betriebssystem fortwährend seltener gebrauchte Daten aus dem RAM in einen fest definierten Bereich
am Anfang oder am Ende der Festplatte, welche zwar langsamer als der Arbeitsspeicher ist,
dafür aber wesentlich mehr Speicherkapazität bietet und somit den Arbeitsspeicher entlastet
und dadurch letztendlich die Systemperformance erhöht.

Wenn ein 16-Bit Programm (DLL) gestartet wird, werden bestimmte Teile dieses Programms beim Start genau einmal ausgeführt,
wobei der Programmcode nicht ständig im RAM residiert, sondern später in die Auslagerungsdatei verschoben wird.
Auf diesen Code wird nie wieder zugegriffen. Reservieren Programme Speicherplatz, wird dieser nicht unbedingt sofort benötigt
und daher auch nicht ins RAM sondern gleich in die Auslagerungsdatei geschrieben.
Erst wenn der reservierte Speicherbereich Daten aufnimmt wird, wird Platz im RAM freigemacht.
Die meisten Programme nutzen nur ganz bestimmte Teile der im Speicher befindlichen Daten permanent.
Die Speicherverwaltung von Windows sorgt nun dafür, dass diese Abschnitte auch im RAM gehalten werden.
Daten, auf die nur sehr selten zugegriffen wird, werden dann also in der bekannten Weise ausgelagert.

Die Größe dieses Bereiches wird in der Regel vom Betriebssystem selbst dynymisch verwaltet,
kann aber durchaus auch extern vom User festgelegt werden.
Dabei entsteht in C:\Windows eine sog. SWAP-Datei zumeist mit Namen Win386.swp
(Auslagerungsdatei) welche etwa so viele Daten enthält wie Arbeitsspeicher selbst sind.
Das Dateivolumen kann sich je nach Speichermanagement zuweilen im GB Bereich bewegen.

Mit der Suchen Funktion finden Sie leicht
die Auslagerungsdatei im Windows Hauptverzeichnis.
Sie kann aber über einen Eintrag
in der SYSTEM.INI unter [386Enh]
mit PagingDrive=D
und PagingFile=D:\Swap.ddd
jederzeit auf ein anderes Laufwerk (Hier: D) verlegt werden.
Interessant in diesem Zusammenhang ist noch die Tatsache,
dass auch manche Programme,wie hier der Realplayer
ungefragt eine SWAP-Datei anlegen.

Selbst wenn eine Datei im RAM oder einem anderen Pfad der Festplatte sicher gelöscht wurde,
existiert also immer noch eine ganze Weile eine Kopie in der SWAP-Datei.
Allerdings nur in einem begrenzten Zeitraum, der alleine davon abhängt, wie groß die SWAP-Datei eingestellt wurde
und wann das System die entsprechenden Daten aus Platzgründen mit neuen Inhalten überschreibt.
Dies kann dann schon durch das bloße Einschalten des Rechners beim Booten des Systems geschehen.

Daher müssen die Festplatten zur Sicherheit vorher aus den betreffenden Rechnern ausgebaut
und ohne Booten auf ein anderes System gespiegelt werden.
So gehen z.B. auch die Ermittler der Kripo zwecks Beweissicherung vor.
Professionelle Recoverytools nutzen dann u.a. diese Swapdatei zusammen mit dem freien Speicherplatz
zur Wiederherstellung der ursprünglichen Dateien gemäß bestimmter Vorgaben,
wie im obigen Beispiel gezeigt wurde.

Abhilfe würde hier nur das zusätzliche, manuelle Überschreiben der SWAP-Datei schaffen,
natürlich immer vorausgesetzt, dass man vorher das Betriebssystem daran hindert sogleich eine Neue zu erstellen.
Das völlige Deaktivieren der Auslagerungsdatei (Dateipuffer) ist zwar bei genügend großem RAM-Speicher grundsätzlich möglich,
jedoch aus technischen Gründen nicht unbedingt empfehlenswert.

Löschen Sie alle sensiblen Daten nur manuell
und nur mit einem Dateivernichter.

Scannen Sie regelmäßig, wenn möglich täglich Ihr System mit
Cleaningtools wie S&D von Spybot und dem Regcleaner von Jouni Vuorio.
Durchsuchen Sie zusätzlich alle Festplatten mit der Win-Suchfunktion
nach Dateien mit den Endungen: *.tmp;*.bak;*.sik;*.old sowie *@*.txt.
und löschen Sie diese mit einem Dateivernichter.
Dies können Sie dann als gespeicherte Suche mit einem Icon ablegen
und bei Bedarf jederzeit mit einem Klick wiederholen.

Fertig abgespeicherte Suchen zum direkten Download
sowie Links zu allen hier vorgestellten Cleaning Programmen
finden Sie selbstverständlich auch in meinen Tools.

Löschen Sie regelmäßig, am besten wöchentlich die Sicherheitsbackups ihrer Cleaningtools.

Durchsuchen Sie anschließend mit einem Recoverytool alle Bereiche,
also auch den freien Speicheraum Ihrer Festplatte nach Dateifragmenten gelöschter Dateien,
und löschen Sie diese nochmals endgültig mit einem Aktenvernichter.

Mein Kommentar
Selbst wenn Sie alle diese Maßnahmen beherzigen, bleibt immer noch ein erhebliches Restrisiko.
Denn sogar bei komplett formatierten und mit F-Disk völlig neu partionierten Platten
bleiben auf Kernspinebene extrem schwache, magnetische Restmuster der vorher gespeicherten Dateien
auch weiterhin physikalisch vorhanden und könnten zumindest fragmentarisch ausgelesen werden.
Das für die Wiederherstellung derartig gründlich gelöschter Dateien erforderlicheWissen und Equipment
steht allerdings in keinem Verhältnis zum erzielbaren Nutzen, so dass allerhöchstens Geheimdienste
oder sündhaft teure Spezialfirmen solche Möglichkeiten überhaupt realisieren können.
Sie sehen, in diesem Punkt befindet man sich leider in einem ständigen Spagat
zwischen System-Sicherheit und Datensicherheit.
Auch ich kenne keine Patentlösung ausser einem goldenen Mittelweg,
den aber jeder für sich selbst finden sollte,
und der zuweilen auch schon mal haarscharf an einer Paranoia vorbeizuführen scheint.