Schnell mal gelöscht heißt beileibe nicht unauffindbar: Wir zeigen, was moderne Tools auf der Festplatte aufstöbern und wie Sie Vertrauliches wirklich sicher vom Datenträger putzen.
In der Textkonsole geht alles schneller – auch beim Löschen von Dateien: Kein Geklicke auf dem Desktop, kein umständliches Verschieben von Dateien in den KDE- oder Gnome-Mülleimer, sondern ein knappes rm *, und schon ist das Verzeichnis leer:
$ rm * zsh: sure you want to delete all the files in /home/kneib/Archiv [y/n]?y
Nach dem Bestätigen des Löschvorganges, sofern die Shell diesen überhaupt abfragt, durchfährt es manchen Anwender siedend heiß, dass das Kommando zu schnell und voreilig war: Eine dringend benötigte Datei verschwand beim Kehraus im Verzeichnis versehentlich im Daten-Nirwana. Was hilft hier aber weiter, außer sich über den Verlust die Haare zu raufen? Erst einmal tief durchatmen, denn das Remove-Programm hat die Datei längst nicht von der Platte getilgt.
Doch nicht gelöscht!
Ins Unreine gesprochen: rm löscht eine Datei nicht physikalisch von der Festplatte, sondern gibt nur den Raum zum Überschreiben frei, den die Daten bisher eingenommen haben. Stellen Sie sich Ihr Linux-System wie ein Buch vor – ein rm /kapitel_5/seite_34 reißt nicht die vierundreißigste Seite heraus und vernichtet sie, sondern markiert lediglich den passenden Eintrag im Inhaltsverzeichnis als freie Seite. Jeder darf sie nun nach Lust und Laune mit neuen Gedanken füllen und den alten Text überschreiben.
Solange das aber noch niemand getan hat, fällt es im Falle des Buches leicht, den alten Inhalt zu finden, selbst wenn er im Inhaltsverzeichnis fehlt: Man folgt dazu einfach der Paginierung. Im digitalen Zeitalter erledigen Tools wie PhotoRec diese Arbeit auf der Festplatte.
Suchen und Finden
Das Datenrettungstool PhotoRec finden Sie auf der Projektseite [1] für eine ganze Reihe von Betriebssystemen, darunter auch Linux. Laut Angaben des Entwicklers Christophe Grenier beherrscht PhotoRec über 80 Dateiformate und funktioniert einwandfrei mit den Filesystemen FAT, NTFS, Ext2, Ext3 und HFS+. Lediglich mit ReiserFS kommt es zu Problemen. Das Einsatzgebiet des Tools beschränkt sich zudem nicht auf Festplatten, sondern bezieht unter anderem USB-Laufwerke und Speicher-Sticks, CD-ROMs und Digitalkameras mit ein.
Aktuelle Distributionen wie Debian oder Ubuntu halten PhotoRec als Teil des Pakets Testdisk in ihrem Repository parat. So genügt bei Ubuntu der Befehl sudo apt-get install testdisk in der Kommandozeile, und PhotoRec steht zum Rettungseinsatz bereit. Alternativ schauen Sie auf der Heft-CD nach: Dort finden Sie die Sourcen von Testdisk, die sich zum Installieren auf allen Systemen eignen.
Sudo – beziehungsweise Root-Rechte – brauchen Sie auch, um das Programm zu starten: Rufen Sie es als Anwender auf, dann stellt es mit dem Hinweis No harddisk found. You need to be root to use PhotoRec den Betrieb ein. Der Programmname in der Shell lautet übrigens nicht wie der Projektname PhotoRec, sondern klein geschrieben photorec.
Sobald Sie sie mit administrativen Rechten starten, zeigt sich die Ncurses-Software PhotoRec in sehr übersichtlichem und aufgeräumtem Design (Abbildung 1). Als Nachteil fällt die englischsprachige Oberfläche auf, dieses Manko macht das Tool jedoch durch ein sehr gutes Bedienkonzept wieder wett. Zum Navigieren durch die Anzeige nutzen Sie die Pfeiltasten, und Eingaben bestätigen Sie mit [Eingabe]. Nach dem Start gilt es zunächst das zu durchsuchende Medium auszuwählen. Das Programm zeigt die Speichermedien mit Geräte-Namen wie Disk /dev/hda für beispielsweise Festplatten oder Disk /dev/sdf für Speicher-Sticks samt deren Größe an.
Abbildung 1: Die Ncurses-Software PhotoRec zeigt sich gleich von Beginn an gut strukturiert und leicht zu bedienen.
Das Bestätigen über Proceed mit [Eingabe] führt Sie in die nächste Stufe: Dort wählen Sie den Partitionstyp aus. In der Regel erweist sich die erste Vorgabe Intel/PC für die meisten User als die richtige. Die Software unterstützt aber auch Partitionstabellen von Macs, Sun-Maschinen oder XBoxen. Nach der Definition des Partitionstyps geben Sie im darauf folgenden Fenster die zu durchsuchende Partition an – entweder die gesamte Disk, den Swap-Bereich oder eine Partition, die zum Beispiel ein Windows-System oder die Home-Verzeichnisse beherbergt.
Im unteren Bereich des Fensters, unter den aufgelisteten Partitionen, zeigt PhotoRec die Schalter Search, Options, File Opt und Quit. Letzteres schickt Sie in das erste Fenster zu den durchsuchenden Speichermedien zurück. Search startet, mit [Eingabe] in Gang gesetzt, sofort das Wiederherstellen der Daten. Hinter dem Punkt Options verbergen sich weiterführende Parameter, die den Umgang des Programms mit der Plattengeometrie, der Blockgröße, dem Speicherverbrauch oder beschädigten Daten regeln. Zu jeder Option liefert Ihnen das Tool eine Kurzinfo.
Das für Sie vielleicht interessanteste Menü verbirgt sich hinter dem Knopf File Opt. Hier lagert eine Liste aller möglichen Dateiformate, nach denen PhotoRec bei der Suche Ausschau hält (Abbildung 2). Sie wählen die Formate nach Bedarf über die Leer- und Pfeiltasten an oder ab. Über [Eingabe] betätigen Sie die Auswahl.
Abbildung 2: Laut Entwickler unterstützt PhotoRec über 80 Dateiformate.
Sobald Sie mittels Search die Suche aktivieren, öffnet das Wiederherstellungstool einen kleinen Dateibrowser mit der Bitte, ein Verzeichnis zu nennen, in das es die gefundenen Daten speichert. Mit Y bestätigen Sie die Auswahl des Zielverzeichnisses, und PhotoRec beginnt mit der Arbeit. Diese können Sie übrigens jederzeit abbrechen: Anhand des Logfiles photorec.ses im Home-Verzeichnis setzt die Software mit der Frage Continue previous session? (Y/N) die Suche später fort, falls Sie das möchten.
Die Arbeitsdauer der Datensuche hängt von der Größe der Partition beziehungsweise Festplatte ab. Bei einer kompletten 160-GByte-Platte erledigen Sie problemlos einen größeren Einkauf im nächsten Supermarkt, bevor PhotoRec mit dem Hinweis Recovery completed die Arbeit beendet hat (Abbildung 3). Und dann beginnt die wirkliche Arbeit – und zwar für Sie.
Abbildung 3: Nach 54 Minuten hat PhotoRec bereits 10429 Dateien gefunden.
PhotoRec hinterlegt nämlich jedes Fundstück in verschiedenen Unterverzeichnissen des zuvor festgelegten Zielverzeichnisses. Die Unterverzeichnisse tragen die numerisch fortlaufenden Namen /recup_dir.1, /recup_dir.2 und so weiter; nur der User root darf sie einsehen. Jedes der Verzeichnisse enthält oft 200 oder mehr Dateien mit Namen wie f434809.gif, f406169.html oder f262465.txt: Die ursprünglichen Dateinamen, wie etwa ~/.fetchmailrc oder ~/familienfoto.png sind im Zug des Löschvorgangs verloren gegangen.
Jetzt zählen echte Handarbeit und ein gerüttelt Maß an Geduld, denn in den vielleicht Tausenden wiederhergestellten Dateien finden sich beispielsweise auch Inhalte aus dem Cache des Webbrowsers – also Webseiten, die Sie irgendwann besucht haben. Als hilfreich erweisen sich beim Sortieren einige Shell-Kommandos, um Listen der verschiedenen Dateitypen anlegen. Der folgende Befehl schreibt die Namen aller Dateien mit dem Suffix GIF aus den Ziel- und Unterverzeichnissen in die Textdatei gif-liste.txt – ein erster Schritt, wenn Sie nach einer Grafik in diesem Format suchen:
# find . -name '*.gif' > gif-liste.txt
Auf der Website des PhotoRec-Projektes finden Sie noch weitere, detaillierte Tipps, damit Sie gezielt durch den Datenwust steuern [2] und tatsächlich das finden, was Sie ursprünglich verloren haben.
Das Oha!-Erlebnis
Beim Stöbern in den untergegangen geglaubten Resten Ihrer Daten und Unterlagen stoßen Sie auf reichlich Material, das sehr persönlicher Natur ist oder sogar eine potentielle Gefahr für Sie darstellt. Die Fundstücke reichen vom bereits erwähnten Inhalt des Browsercaches und beruflichen Unterlagen über private Fotos und Videos bis hin zu Konfigurationsdateien, die Passwörter im Klartext enthalten. Alles, was Sie bisher guten Gewissens mit rm gelöscht haben, steht nun wieder klar vor Ihnen.
Natürlich steht es Ihnen frei, sämtliche Fundstücke – gleichgültig ob wichtig oder unwichtig, brisant oder nicht brisant – sogleich mittels rm zum Überschreiben freizugeben. Wie gesehen, bleiben die Daten dann eventuell für immer unter der Oberfläche, auch wenn Sie den Rechner an Dritte weitergeben oder an Unbekannte via Internet-Auktion verkaufen.
Ab in den Schredder
Um es gleich vorneweg zu sagen: Es gibt keine hundertprozentige Sicherheit – nicht in der Liebe und erst recht nicht auf dem Gebiet der Technik. Aber es gibt Annäherungen, ein Mehr in die Richtung des Ideals der absoluten Sicherheit. Das GNU-Tool Shred gehört zu diesen. Wie die Programme touch, ls und mv zählt es zu den Core- beziehungsweise File-Utilities und findet sich damit in jeder Linux-Distribution.
Wie der Name verrät, zerstört Shred die Daten, die Sie ihm vorlegen. Das bedeutet konkret: Ohne weitere Parameter überschreibt es die Daten 25 Mal mit binärem Datenmüll:
$ shred passwörter.txt
Das Ergebnis begutachten Sie ganz einfach in einem Texteditor Ihrer Wahl. Daneben versteht Shred eine Hand voll Optionen: Um eine Datei auszunullen, dient der Parameter -z für Zero. Diese Methode überschreibt zum Beispiel die Datei ~/bewerbung.tex mit so genannten Zero-Bits. So täuschen Sie im Ergebnis über das vorangegangene Zerschnitzeln hinweg:
$ shred -z ~/bewerbung.tex
In Listing 1 erhöht der Parameter -n 60 die Durchläufe für das Überschreiben einer Video-Datei auf sechzig. mit -v informiert Sie die Software über die Fortschritte beim Vernichten der Daten.
$ shred -n 60 -v privat.mov shred: privat.mov: Durchgang 1/60 (random)… shred: privat.mov: Durchgang 2/60 (911111)… shred: privat.mov: Durchgang 3/60 (4ccccc)… […] shred: privat.mov: Durchgang 60/60 (random)..
Falls Sie möchten, löscht das Programm die Datei sofort nach dem Zerhacken. Dazu dient die Option -u oder, in der Langform, --remove:
$ shred -u auftrag.html
Selbstverständlich dürfen Sie mit dem GNU-Tool nicht nur kleine Dateien, sondern durch die Angabe von Geräte-Namen ganze Partitionen schreddern. Der folgende Aufruf überschreibt die erste Partition der ersten Festplatte 25 Mal und zeigt den Ablauf der Aktion an:
$ shred -v /dev/sda1
Weitere Hinweisen finden Sie in der Manpage des Programms, die Sie mit dem Befehl man shred aufrufen, sowie auf den Webseiten des Projektes [3]. Dort finden Sie zudem Warnungen, für welche Dateisysteme Shred dank Journal-Funktion eine geringere Garantie übernimmt. Denn immerhin protokollieren Ext3 oder ReiserFS jedes Ändern mit und könnten damit zu einer Art Verräter in den eigenen Reihen mutieren.
Fazit
Das Restaurieren vermeintlich gelöschter Dateien erweist sich als das sprichwörtlich zweischneidige Schwert. Im Falle eines vorschnellen Löschens erweist sich PhotoRec zwar als ein willkommenes Mittel, um unvorsichtig vorgenommenes Löschen von Dateien und Verzeichnissen rückgängig zu machen. Auf der andere Seite birgt es jedoch ein Gefahrenpotential, wenn Dritte mit dem an sich praktischen Werkzeug als Spürhunde in der Privatsphäre des Nutzers herumschnüffeln.
Durch den bedachten Einsatz des Kommandos rm und dem gezielten Überschreiben von sicherheitskritischen Dateien mit Shred beugen Sie auf jedem Fall dem Ärger vor. Bei diesem Einsatz fördert PhotoRec wirklich nur noch die Dinge ans Tageslicht, die Sie in der Tat verloren haben oder die für Sie unbedenklich halten.
[1] PhotoRec: http://www.cgsecurity.org/wiki/PhotoRec_DE
[2] Rekonstruktionstipps: http://http://www.cgsecurity.org/wiki/Nach_dem_Gebrauch_von_PhotoRec
[3] Shred:http://www.gnu.org/software/coreutils/manual/coreutils.html#shred-invocation
