Verständnisfrage dd if=/dev/zero oder /dev/urandom?

[benebeck]

Hallo zusammen,

ich habe mal ne Frage zu dem guten dd Befehl. Ich möchte gerne meine alte Festplatte komplett von allen Daten befreien. Worin liegt denn jetzt der Unterschied, ob ich /dev/zero (also Nullen) oder /dev/urandom zum Überschreiben nehme?
In diesem thread

http://debianforum.de/forum/viewtopic.p ... 7e82f8e7b9

wird zumindest behauptet, dass urandom besser ist. Nur warum? Den Daten dürfte es doch ziemlich wumpe sein, womit sie überschrieben werden, oder verstehe ich das falsch?

mfg benebeck

[Meillo]

Wenn die magnetische Ausrichtung auf der Platte geändert wird, dann lässt sich die ursprüngliche Ausrichtung, mit geeigneten Geräten, noch immer auslesen. Ich habe gehört, es sollen die sechs letzten Ausrichtungen auslesbar sein.

Wenn die Platte mit Nullen überschrieben wird, dann könnte ich mir vorstellen, dass es dann leichter ist, die vorhergehenden Polungen auszulesen. Wenn du Zufallswerte drüber schreibst, könnte es schwerer werden.

Wenn du sicher gehen willst, solltest du sowieso mehrfach verschiedene Daten drüber schreiben.

Vermutlich braucht man aber ohnehin Spezialhardware (Datenrettungsfirmen) um überschriebene Daten nochmal lesen zu können.


(Achtung: Alle Aussagen basieren auf Hören-Sagen oder sind geraten.)

[jeff84]

Ist wohl auch ziemlich egal. Laut heise, hat irgendein Prof mal gezeigt, dass man nach einem Überschreiben mit Nullen schon so gut wie nichts mehr rekonstruieren kann. Zumindest nichts mehr, mit dem man was anfangen kann...
Der Bericht war mal irgendwann hier auch verlinkt...

[severin]

hast Du keine Mikrowelle?

[benebeck]

hast Du keine Mikrowelle?

Hehe, doch schon. Aber mit dd könnte ich die Platte noch verkaufen.

Es geht mir hier mehr darum zu verstehen, wieso es nen Unterschied zwischen 0000000000000000 und aldfhf7iaz6ahsfjkh geben kann. Ich hab allerdings auch keine Ahnung von Festplatten und wie die Dinger funktionieren. Ich würds nur gerne verstehen.

mfg benebeck

[Mictlan]

Hi!

also mit NULLEN überschriebene Daten kann man wiederherstellen! Allerdings kann sowas nur eine spezialisierte Firma und ist mit den normalen Leseköpfen wie sie in der Festplatte verbaut sind nicht möglich. Für eine solche Datenwiederherstellung wird die Festplatte zerlegt und mit Laser abgetastet und dann wird sehr viel gerechnet um zu den ursprünglichen Daten zu gelangen.

/dev/zero reicht für den Heimgebrauch. Wenn die Platte voll mit Patientendaten, Kontodaten oder ähnlichem war dann mach vielleicht besser /dev/random und dann /dev/null. Aber mehr sollte definitiv nicht nötig sein um die Daten vor den Normalsterblichen "ebay"-Kauf-Hackern zu schützen.

[TuxPeter]

Auch ich erinnere mich an den Heise-Artikel, in dem stand: Einmal überschreiben genügt. Egal womit. Das deckt sich mit meiner Anschauung. Woher soll so ein magnetischer Bezirk auch wissen, wie er vorher gepolt war, da er doch stets in die Sättigung gesteuert wird? Und mit Laser geht's schon gar nicht.

Und irgendwelche Randbezirke, die bei ungenauer Spur-Justage bei analogen Magnetbändern und -Kassetten noch die alten magn. Ausrichtungen enthalten können, gibt es bei Platten schon lange nicht mehr, da überlappend aufgezeichnet wird.

Ich würde trotzdem random drüberbügeln. Warum? Damit die Jungens, die versuchen, in meinen Daten zu schnüffeln, ein bisschen mehr Spaß haben, ehe sie merken: Ä - war doch nüscht.

[cirrussc]

Ich stimme Mictlan im Großen zu.
Das ist wirklich nur relevant, wenn da wirklich sehr wichtige/teure/brisante Daten drauf sind/waren.

Ich hab allerdings auch keine Ahnung von Festplatten und wie die Dinger funktionieren. Ich würds nur gerne verstehen.

So ist es auch. Denn da spielen so viele Faktoren mit. welche Modulation verwendet wird und wie die Firmware damit umgeht.
Es kursieren so viele Meinungen und Standpunkte über diese Thematik im Internet, niemand kann eindeutig beweisen was nun stimmt. Dazu muss man selbst in den Entwickleretagen der HDD Hersteller sitzen.

[cosmac]

hi,

noch ein ganz anderes Argument: als artiger Verkäufer überschreibt man mit Nullen, weil die Platte dann fabrikneu aussieht. Mit Zufallsdaten im MBR kann's passieren, dass Windows sich weigert, die Platte anzufassen (oder noch was schlimmeres). Wahrscheinlich bekommst du sie dann als defekt zurück.

[Mictlan]

hi,

noch ein ganz anderes Argument: als artiger Verkäufer überschreibt man mit Nullen, weil die Platte dann fabrikneu aussieht. Mit Zufallsdaten im MBR kann's passieren, dass Windows sich weigert, die Platte anzufassen (oder noch was schlimmeres). Wahrscheinlich bekommst du sie dann als defekt zurück.

Sehr gutes Argument!!!!!

[Ozelot]

Und erinnere ich mich richtig, daß es mit Nullen auch wesentlich schneller geht als mit urandom?

[Meillo]

Und erinnere ich mich richtig, daß es mit Nullen auch wesentlich schneller geht als mit urandom?

Eine Null ist jedenfalls was Statisches. Wie auch immer die Zufallswerte zustande kommen, es erzeugt bestimmt mehr Systemlast wie eine statische Null.

[...] /dev/urandom ("unlocked"/non-blocking random source[4]) which reuses the internal pool to produce more pseudo-random bits.

[gnude]

hallo
ich war mir ziemlich sicher das ich mal die frage nach der datenlöschung gestellt habe. aber leider find ich nix mehr dazu.... egal.
ich habe schon eine menge platten mit nullen gelöscht, indem ich einfach dd if=/dev/zero of=/dev/sdx gemacht habe.
ich erinnere mich auch an den heise artikel, das nach einmaligen überschreiben nix mehr zu holen war.
ich denke auch, wenn man die platte erst mit zufallswerten und dann mit nullen überschreibt, dann sollte das reichen. ein ebay käufer wird ne platte für nen paar euro fünfzig ja nicht zum speziallabor tragen und dort für irre viel geld retten lassen.
die gefahr, das jemand in dein haus einbricht und dabei den computer klaut ist vermutlich viel grösser.

.... aber darüber macht sich wahrschienlich kaum jemand gedanken...

[Christoph Franzen]

Nullen reichen, laßt Euch keinen Mist erzählen. Das was man heutzutage benutzt, sind keine MFM-Festplatten mehr, wo man links und rechts neben den Daten noch was wiederfinden könnte. Niemand kann von einer modernen Festplatte überhaupt noch *wirklich* überschriebene Daten zurückgewinnen. Mag sein, daß man mit unangemessenem Aufwand Schnipselchen findet, aber gewiß nichts brauchbares. Man muß nur beachten, daß Neupartitionieren nicht reicht, auch wenn die Platte als "leer" erscheint, wenn man das unter Windows macht. Man sollte auch die gesamte Platte und nicht nur die Partitionen überschreiben, also "/dev/sda" und nicht "/dev/sda1" und so weiter, dann ist auch das letzte an Information sicher weg.

[gnude]

mal eine andere sache... wenn ich die festplatte anweise alle sektoren mit nullen zu überschreiben, dann bekommt die festplatten elektronik gesagt... schreibe sektor 1 mit nullen etc. aber... intern verwaltet die elektronik die sektoren doch sowieso anders, defekte werden vieleicht ausgetauscht und dann nicht mehr benutzt. so kann man nie sicher sein, ob alle physikalischen sektoren genullt wurden,
richtig?
ich hab ja auch keinen einfluss auf die intern als defekt markierten sektoren.
da kann ja auch noch was liegen.

[Christoph Franzen]

Natürlich, so ein Ebay-Festplattenkäufer, der Leute erpressen oder Geschäftsdaten an deren Konkurrenz verkaufen will, besorgt sich superteure Spezialgeräte, schraubt die Gehäuse in staubfreier Umgebung auf, nur um ein paar hundert defekte 512-Byte-Schnipselchen zu finden, in denen noch Datenbruchstücke sind. Bedenke, daß die meisten Deppen ihre Platten gar nicht löschen, sondern allenfalls "schnellformatieren" (also im Falle von NTFS im wesentlichen $MFT neumachen).

[cosmac]

hi,

die defekten Sektoren kann das Laufwerk durchaus selber lesen, das sind ja ganz normale Daten-Sektoren, nur die Prüfsumme stimmt halt nicht mehr. Ich meine, es gibt sogar einen ganz normalen ATA-Befehl, mit dem man einen Sektor ungeprüft inkl. den ECC-Bytes lesen kann. Fehlt nur noch eine Möglichkeit, auch "rausgemappte" Sektoren zu addressieren. Das braucht aber maximal eine bessere Firmware in der Platte, vielleicht muss man nur den geheimen Befehl rausbekommen.

[Christoph Franzen]

Auch das ist hoher Aufwand; denn es ist von Hersteller zu Hersteller und Platte zu Platte unterschiedlich, das Ergebnis sind auch hier ein paar unzusammenhängende Sektoren mit Datenschnipseln. Was mal eine Programmdatei war, ist zudem unbrauchbar, wie hoch ist also die Wahrscheinlichkeit, Informationen zu finden, die für einen Bösewicht interessant und vollständig genug sind?

[cirrussc]

aber... intern verwaltet die elektronik die sektoren doch sowieso anders, defekte werden vieleicht ausgetauscht und dann nicht mehr benutzt. so kann man nie sicher sein, ob alle physikalischen sektoren genullt wurden,
richtig?

Wenn Sektoren ausgelagert werden bekommt man davon mit. Dafür ist SMART da. Unter dem Attribut "5 Reallocated_Sector_Ct" werden diese gelistet. Noch dazu zeigen ausgelagerte Sektoren an, dass schnell weitere folgen könnten und die Festplatte sowieso ausgetauscht, also nicht mehr verkauft, wird.

[cosmac]

Noch dazu zeigen ausgelagerte Sektoren an, dass schnell weitere folgen könnten und die Festplatte sowieso ausgetauscht, also nicht mehr verkauft, wird.

ach so? und ich dachte immer, SMART zeigt den smartesten Zeitpunkt für den Verkauf an

[cirrussc]

Ich meinte damit, dass die Platten nicht mehr vertickt werden sollte
Aber so ein S.M.A.R.T. Smiley vom BIOS für eine smarte und fitte Platte wäre doch mal was

[Innocentus]

hi,

noch ein ganz anderes Argument: als artiger Verkäufer überschreibt man mit Nullen, weil die Platte dann fabrikneu aussieht. Mit Zufallsdaten im MBR kann's passieren, dass Windows sich weigert, die Platte anzufassen (oder noch was schlimmeres). Wahrscheinlich bekommst du sie dann als defekt zurück.

Sehr gutes Argument!!!!!

Random und dann Nullen würde dieses Risiko aber beseitigen.

Mit freundlichen Grüßen
Innocentus