Topic: SECURITY - on December 20, 2011 at 1:53:00 PM CET
Full-Disk-Encryption Crash-Course - Bradley Manning hat forensisch wiederherstellbare Spuren hinterlassen
OK, Leute, guter Vorsatz fürs neue Jahr: lernt, wie man Full Disk Encryption benutzt, und wie man alle Daten auf einem System wegnullt. Das sind heutzutage essentielle Fähigkeiten, die jeder haben sollte, ob er nun was zu leaken plant oder nicht. Dämlicher Anfängerfehler, wegen sowas dann überführt zu werden.
This is not a hacking presentation, no vulnerabilities are presented. It’s a crash-course in full-disk-encryption (“FDE”) concepts, products and implementation aspects. An overview of both commercial and open-source offerings for Windows, Linux, and MacOSX is given. A (programmer’s) look at the open-source solutions concludes the presentation.
wegnull
Für das Überschreiben existieren international anerkannte Standards. Der 5220.22-M-Standard des US-Verteidigungsministeriums gibt beispielsweise vor, vertrauliche Daten ein Mal mit einem beliebigen Bitmuster zu überschreiben, und anschließend drei weitere Male mit einem jeweils anderen Muster. Der VSITR-Standard des Bundesamtes für Sicherheit in der Informationstechnik hingegen verlangt eine siebenmalige Überschreibung der Daten, wobei bei den ersten sechs Durchgängen das Bitmuster des vorherigen Durchgangs umgekehrt wird.
Im letzten Löschvorgang wird der gesamte Datenträger mit dem Muster "01010101" überschrieben. Zu den bekannteren Ansätzen gehören noch die unterschiedlichen Löschungs-Algorithmen der Sicherheitsexperten Bruce Schneier und Peter Gutmann - dessen sichere, aber sehr zeitaufwändige Methode der Datenzerstörung ganze 35 Überschreibungsvorgänge empfiehlt.
DoD 5220.22-M National Industrial Security Program Operating Manual (NISPOM) [pdf] Gutmann-Methode [wiki] Secure Deletion of Data from Magnetic and Solid-State Memory Darik's Boot And Nuke
Das wird immer inkriminierender, was die Forensiker von Mannings Macbook gepopelt kriegen. Jetzt haben sie Chatlogs gefunden, die angeblich zwischen Manning und Assange spielen und von dem nochmal-schicken von Regierungs-Daten handeln.
While the chat logs were encrypted, Johnson said that he was able to retrieve the MacBook’s login password from the hard drive and found that same password “TWink1492!!” was also used as the encryption key.</p>
... Comment
