Gezocht, expert in data herwinning

Met software krijg je na het normaal wissen van een HD de data misschien niet meer terug maar wat wel kan is de leeskoppen aan een custom controller hangen die gevoelig genoeg is om het magnetische residu te achterhalen.

Als je van een 1 een 0 maakt dan wordt het bijv. een 0,01. De harddisk zelf ziet het gewoon als een 0, maar speciale hardware kan het nog lezen. Hoe dit met flash chips werkt weet ik niet maar dat zal op soortgelijke manier gebeuren.

Een softwarematige vernietiger moet daarom meerdere keren de boel wissen. Bijv. met een patroon. Eerst 1010 schrijven en daarna 0101. Dan is er geen kaas meer van te maken.

Er zijn tientallen programma's die dit kunnen. Zoek maar eens op "secure erase software",

De tools die je beschrijft, zijn bedoeld voor data die nog wel aanwezig is, maar niet meer gevonden kan worden omdat slechts de "indexering" ervan is gewist. Onder normale omstandigheden heeft het geen zin om de data werkelijk te wissen omdat dat veel meer werk is (tijd en energie kost). Pas bij het opslaan van iets nieuws, zal zo'n als beschikbaar aangemerkte locatie overschreven worden. In de tussentijd kun je nog wat redden.

Het terughalen van data die werkelijk is overschreven, is vooral een theoretische aangelegenheid. Zulke software kan je daar niet bij helpen. Je praat dan over laboratoria waar aan de hand van de fundamentele eigenschappen van het opslagmedium wellicht nog iets kan worden afgeleid over eerdere data. Zie het als het bekijken van de sporen in het papier nadat eerdere tekst is uitgegumd en er wat anders overheen is geschreven. In de praktijk zal dit zelden wat opleveren omdat de datadichtheid van moderne harde schijven ontzettend hoog is. Om terug te komen op de (imperfecte) analogie: als je heel klein schrijft, is daar na uitgummen en overschrijven moeilijker nog wat van te maken dan wanneer je groot schrijft. SSD's werken anders waardoor er überhaupt niks achterblijft qua "sporen". Daar loop je echter een ander risico mee, namelijk dat een deel van de opslagcellen automatisch wordt gereserveerd om de levensduur te verlengen. Als je probeert om de hele "schijf" te overschrijven, is dat in werkelijkheid slechts (laten we zeggen) 90%. Om toch alles te wissen, kun je (vaak) via de firmware daar een speciale opdracht toe geven.

Tegenwoordig komt datavernietiging veelal neer op (vanaf het begin af aan) encryptie gebruiken en dan de sleutel weggooien. Strikt gezien is alles er nog, maar niemand kan er meer wat mee. Ben je echt bang dat die nog eens gekraakt gaat worden, dan kun je alsnog de hele schijf overschrijven met nullen of random data. Hardware door de shredder klinkt lekker rigoureus, maar is in feite onzin naar mijn idee.

https://www.researchgate...._Great_Wiping_Controversy

Ha @hcQd, dat artikel wilde ik ook aanhalen, en er zijn er nog een of twee die overigens hetzelfde te melden hebben. Overschreven data kan niet worden hersteld. Maar, dan is de volgende vraag, overschrijft de tool die je gebruikt ook echt alles?

Zogenaamde zero fillers zijn beperkt tot wat ik zal noemen 'LBA user space'. Nu is het bijvoorbeeld op bepaalde SMR drives zo, dat de schijf zelf buiten deze LBA user space meer ruimte heeft en deze ruimte ook gebruikt om courante gegevens op te slaan, bijvoorbeeld een gebied dat Seagate de 'Media Cache' noemt en dat toch een substantiële omvang heeft. Ik schreef op mijn Engels-talige blogje ongeveer een jaar geleden dat een 8 TB Seagate een 60 GB Media Cache Partition kan bevatten:

Seagates refer to this as ‘Media Cache’. This is low level information obtained from a 8 TB Seagate drive:

code:

1 2 3 4 5 6 7 8 9 10 11 12 13

User Partition LBAs 000000000000-0000756080F9 PBAs 000000000000-000076893477 System Partition LBAs 000000000000-00000013497F PBAs 000000000000-000000146F3F Media Cache Partition LBAs 000074702556-0000756080F9 PBAs 0000759486D0-000076893477 Spare pool PBAs: 00007578F548-00007586BDF5 RST Available: 8000 SCT Available: EF Spare pool (Multi-IOEDC Region) PBAs: 00007687B32C-0000768872C1 RST Available: 400 SCT Available: 1A

The Media Cache partition is not inside LBA space. It is not a partition that will pop up in Windows Disk Management! Even if we completely zero fill the drive, potentially 60 GB of recently accessed data remains untouched in the Media Cache! This data can probably be recovered by a capable data recovery lab.

The only way to wipe this space is using the ATA Enhanced Secure Erase command.

Dus de enige manier om deze gebieden ook te wissen zijn middels een enhanced secure erase die in de schijf is ingebouwd. En dit telt ook meteen voor een SSD.

Jan met de Pet kan met tools die je op het internet vind, data die met nullen overschreven werd niet terug halen. Maar dat heb je zelf al ontdekt. Een lab kan dat ook niet, maar een lab kan wel middels speciale hardware (PC3000) relatief eenvoudig de gebieden die normaal verborgen zijn bekijken en eventueel data uit deze gebieden terughalen (hoewel dit met SSD's van het specifieke model afhangt). In geval van een SSD, zeker een die wat ouder is kan een lab de NAND chips los-solderen en uitlezen (daarna is nog wel een redelijk ingewikkeld proces nodig, maar het is te doen, ook is de kans groot bij moderne SSD data de data encrypted is en is zgn. chip-off recovery dus waardeloos).

Nu zijn er in de ATA command set twee erase commando's, nl. secure erase en enhanced secure erase. Theoretisch is enhanced secure erase noodzakelijk, in de praktijk hebben beide commando's vaak hetzelfde resultaat. Je kunt eventueel met iets als HD Sentinel de tijden die beide modi nodig hebben vergelijken: Indien identiek dan is normale erase commando feitelijk een enhanced secure erase commando. M.b.t. moderne SSD's, deze zijn vaak encrypted en wordt vaak slechts de encryption key overschreven. Tevens kan een SSD makkelijk alle blokken uit LBA user space verwijderen waarna na het lezen van sectoren nullen worden gelezen. Maar zo'n secure erase (crypto erase) kan dus in seconden klaar zijn. Wederom kun je middels speciale hardware mogelijk het aan LBA user space ontrokken gebied uitlezen, maar tref je slechts encrypted en dus waardeloze data.



Enigste twijfel die je nog zou kunnen hebben is, heeft de harde schijf fabrikant de enhanced secure erase correct geïmplementeerd en is deze code bug vrij. Ik denk dat je mag aannemen van wel, een routine schrijven die de schijf overschrijft is geen rocket science. In geval van SSD ligt het gecompliceerder, nl. is de encryptie sterk en goed geïmplementeerd? Als je dus echt 100% zeker wil zijn vernietig je de drive fysiek.