samvanratt
Goto Top

RAID, Datenschutz und wie das mit den Bits so funktioniert

Das ist keine Anleitung sondern ein Erfahrungsbericht aus einer Schulung die ich zum Thema Datenrecovery im SAN Umfeld gehalten habe.
Die 1,5 Stunden dauernde Schulung war mit rund 50 Leuten aus dem Fachbereich einer größeren Firma gefüllt. Inhalt war eigentlich wie man an gelöschte Daten an dummen Blockspeicherarrays wieder rankommen kann und wie das mit dem "ich bin ein Arraymember" so bei einigen Herstellern so gemacht wird.
So nach einer Stunde war dann eine kleine Fragerunde geplant. Erste Frage war dann wie das mit Dysfunktionalen RAIDs (worum es primär ging) steht und das löste dann die Publikumsmeldung aus "geht nicht, alles verloren". Da ich in der Datenrettung arbeite, habe ich das erst einmal kommentiert: richtig bei SED Drives oder mit crypting controllern, falsch bei allen was sonst so rumläuft, egal ob Software RAID, fake RAID oder Hardware RAID (ungleich RAID2).

Grundaussage: alles was blockweise RAID Volumen aufbaut (RAID0,4,5,6,7,Z1/2/3..... + Kombis daraus) und oben drüber keinen Crypting Layer führt schreibt die Bits wunderschön in einer Reihe (bis zur definierten Strip/Cluster Size) und nur die Parity Blöcke sind real unlesbar.
Folge großer Aufsturm kann gar nicht sein, .... Hersteller von HBA/RAIDs ... und was auch immer: Daten liegen unlesbar auf jedem einzelnen Member und Basta.
Ich habe daraufhin von meinem gehassten Powerpoint abgelassen und bin zu einem Whiteboard gegangen (hoffe ich habe nicht den permanent Edding erwischt) und zeichnete mal einen Datenstrom und einen typ. Mechanismus einer RAID(5) Logik auf.
Nach weiteren 30 Min angeregter Diskussion (sicher 90% waren der Meinung das RAID = Verschlüsselung bedeutet), habe ich dann mit dem Notebook und ein paar SATA Adaptern ein SoftRAID5 mit meinem installierten 2008R2 aufgebaut; vorher die benutzten SSDs genullt und gleiche 4kByte Signaturen daraufgeschrieben in einem x MB großen Loopback.
Dann Array aufgelöst und die HDs einzeln mit dd ausgelesen und via grep gefiltert: tata war natürlich da en masse auf den ersten drei SSDs=> Ernüchterung, dann verneinung: Windows RAID nutzt damit ja keiner, proprietär, so kleine Arrays, böse SSDs, ...nicht richtig gelöscht vorher, ....
=>Das ganze dann erneut unter einem Linux Bootstick (GParted); SSDs kurz mit Nullen gelöscht und dann kurz ausgelesen=> gut auch für die Paranoiker. Dann btrfs init mit eben diesen 3 Membern und R5 initiert; init abgewartet und dann das Array hart abgesteckt und nach einem neuen Reboot mit je nur einer SSD dann via dd ausgelesen und gefiltert: nichts (klar); dann wieder mit allen Membern hochgefahren, gemountet, die Suchsignatur (war ein openssl public Key mit 4k Inhalt) via Stick und Loopback mehrere hundert MB vollgeschrieben, runtergefahren, alle members abgesteckt, W2k8R2 gestartet, SSD einzeln angesteckt und tata wieder gefunden=> raunen, gut anderes Notebook mit GParted CD (es wird schlimmer ihr seht) gestartet, dd auf die SSD angesetzt und wieder das selbe Ergebnis.

Je weiter das lief (3 Stunden waren nun vergangen) umso weniger Zweifler gab es , 10% hardcore Paranoia Anhänger blieben bis zum Schluß. Daraus folgte dann der Datenschutzbeauftragte dieser Firma, welcher mir dann mitteilte das deren ServerHDs ohne Rückfrage immer einzeln verschrottet oder zum Austausch gegeben wurden, im sicheren (un)Wissen das die Daten nicht wiederherstellbar seien. Dann kam der Rechenzentrumsleiter (es waren nun 4 Stunden vergangen) dazu sowie der Gewerksnehmer für den Speicherbereich und langes Reden: keiner war Schuld denn jeder kennt dieses Problem, schlecht nachvollziehbar und wirtschaftlich nicht vertretbar alles Schreddern lassen zu müssen und SED ist sowieso schon in Ausschreibung und mit den neuen ISE HDs geht ja auch ein löschen wenn die HD nicht mehr geht (...eigentlich nur wenn der Controller sein immer benutztes Passwort vergisst) und ausgetauscht werden muss,..... Dann hat noch einer eine alte (NetApp) Array HD angebracht zusammen mit einem Rechner inkl. SAS HBA und auch dort konnten wir den kurzen Imageauszug wunderschön reintext lesen (danke an strings von sysinternals).

Nach 5 Stunden bei der Firma bin ich dann total irritiert in meine Firma zurück und dort zu meinem Bereichsleiter gerufen worden: die Fremdfirma (atos) und die auftraggebende Firma (für den Vortrag) hätten sich beschwert welche revolutionären Unwahrheiten ich da verkündet habe. Sie haben sich bei deren Dienstleistern versichern lassen das dies rein technisch nicht geht und ich dort erst wieder erscheinen soll wenn ich meine "Hausaufgaben" gemacht habe. Da ich bisher noch nie inhaltlich gerügt wurde (ich überziehe gerne....) wollte er meine Seite dazu mal hören.

Erstaunlich was mir da so nach 23 Jahre in dem Bereich noch so passieren kann und wie ignorant IT Leitung sein kann. Ein CISO hätte wohl genau anders herum reagiert (was mir auch nicht ganz geheuer ist). Evtl. habe ich ja ein paar Leuten gezeigt das mit Arbeit man an vieles rankommt, das zahlt sich nur im alltäglichen Betrieb selten aus. HD/SSD/Tapes aber einfach so auszutauschen und ungelöscht (weil nicht mehr löschbar oder Kontroller defekt) ist schon bedenkenswert....

Gruß
Sam

Content-Key: 336952

Url: https://administrator.de/contentid/336952

Ausgedruckt am: 19.03.2024 um 09:03 Uhr

Mitglied: Lochkartenstanzer
Lochkartenstanzer 05.05.2017 aktualisiert um 13:29:58 Uhr
Goto Top
Moin,

Ich glaube, das ist ein klassisches Mißverständnis. Die haben davon geredet, daß man vermutlich die Dateien als solche nicht mehr wiederherstellen kann,also Schicht 5-7, wenn man so willst. Du hast davon geredet, daß man an die Information in den Blöcken kommt, also Schicht 1-4 .

Grundsätzlich gilt: Solange die Daten nicht verschlüsselt sind, sind immer Informationen aus den Blöcken auslesbar, auch wenn man RAIDs verwendet und Teile davon kaputt sind.

Und bei modernen Festplatten oder SSDs die man wegen defekter Blöcke ausmustert, muß man sogar davon ausgehen, daß der "kaputte" Block noch kritische Daten enthalten kann, selbst wenn man die komplette Platte/SSD überschreibt. Ist eigentlich Basiswissen im IT-Bereich.

lks

edit: Typos
Mitglied: SamvanRatt
SamvanRatt 05.05.2017 um 12:32:16 Uhr
Goto Top
Yup, das wollte aber keiner so wahrhaben von den unteren Rängen und die oberen verlassen sich auf SLAs mit Whitepapers das sie sicher sind. Ersatunlich das Admins da nichts hinterfragen (Basiswissen=Hausaufgaben). In wikipedia ist RAID genauer erklärt als was ich da aufgezeichnet habe. Wer lesen kann ist klar im Vorteil; naja vielleicht haben wenigstens einige da was mitgenommen aus dem Bereich 2-5 Stunde.
Mitglied: Lochkartenstanzer
Lochkartenstanzer 05.05.2017 um 13:31:51 Uhr
Goto Top
Zitat von @SamvanRatt:

Wer lesen kann ist klar im Vorteil

Das Problem ist, daß die Fähigkeit lesen zu können alleine nicht reicht. Man muß es auch tun und vor allem das Gelesene auch verstehen.

lks
Mitglied: SamvanRatt
SamvanRatt 05.05.2017 um 13:44:43 Uhr
Goto Top
Das kann man doch sicher als Gewerk ausschreiben und einem Subkonbtraktor (oder dessen Praktikanten) weitergeben oder face-wink
Die andere Seite (CISO) ist auch nicht viel schöner, da dort auch schon moniert wird, wenn man sehen kann wieviele Daten gelesen/geschrieben wurde und Reassigned Blocks generell böse sind da sie im SMART oft nicht auftauchen. Da sind dann auch genullte HDs schon ein NoGo (bei denen ich noch nie was retten konnte).

Pest oder Cholera

Schönes Wochenende!
Sam
Mitglied: Penny.Cilin
Penny.Cilin 05.05.2017 um 14:25:54 Uhr
Goto Top
Zitat von @Lochkartenstanzer:

Zitat von @SamvanRatt:

Wer lesen kann ist klar im Vorteil

Das Problem ist, daß die Fähigkeit lesen zu können alleine nicht reicht. Man muß es auch tun und vor allem das Gelesene auch verstehen.
Deswegen der Spruch:
Wer lesen kann ist besser dran.
Wer es verstehen kann ist super dran.

lks


Gruss Penny.
Mitglied: C.R.S.
C.R.S. 06.05.2017 aktualisiert um 12:35:30 Uhr
Goto Top
Hi,

das Beispiel verblüfft mich, weil es Ignoranz gegenüber absolutem Grundlagenwissen darstellt. Das Phänomen ist aber universell und gerade in der IT-Sicherheit vorherrschend. Pentester leben gut davon. Der darunter liegende Fehler ist: Grundsätzlich wird an die Sicherheit eines Systems bzw. Verfahrens geglaubt, solange bis es tatsächlich vor den eigenen Augen kompromittiert ist - entweder vom böswilligen Angreifer oder vom Pentester.

IT-Sicherheit lässt sich so nicht anstreben, weil kein Pentester dieselben Ressourcen aufbieten kann, wie die Gesamtheit aller denkbaren Angreifer. Es hat auch wirtschaftlich keinen Sinn, den Großteil der Arbeitszeit von Sicherheitsexperten in das tatsächliche Hacken eines Systems zu investieren, dessen konzeptionelle Schwächen offenkundig sind. Analog dazu deine stundenlangen Umsetzung eines "Angriffs" auf eine einzelne Member-Disk ist verschwendete Zeit, wenn man, wie Du schon sagst, die RAID-Spezifikationen lesen kann.

Grüße
Richard
Mitglied: SamvanRatt
SamvanRatt 07.05.2017 um 14:08:23 Uhr
Goto Top
Hallo Richard
deshalb war ich auch (bei der Größe sollte ja ein überwiegender Teil durchaus gut bezahlt und geschult sein) so verwundert. Eigentlich dumm, da weder bezahlt und auch noch Belehrungsresistent. Alle Sec Leute die ich so kenne oder auch ProfiHacker sind eher von der anderen Seite und naja ist auch nicht schön damit zu arbeiten. Konzeptionell haben die bei dem Thema Nullen von HD/Tapes/Floppy's/... oder Flashzellen auch recht, denn es gibt bei Digitaltechnik keine perfekte Analoge Null und somit kann man Rückschlüsse ziehen, was da vor dem Nullen vermutlich drauf war. Beim Challenger Unglück war meine Firma ja auch dran und hat nach Jahren mühevoller Arbeit alle Daten wieder abliefern können. Insofern haben die Überempfindlichen sicher ihre Mahnung zurecht.
Das Ignorieren oder Abstreiten hatte viel mit Galileo gemein: "Verwirren sie mich nicht mit Tatsachen, ich habe schon eine Meinung".

Gruß
Sam
Mitglied: Herbrich19
Herbrich19 15.05.2017 um 04:28:47 Uhr
Goto Top
Hallo,

Ich hatte mal ne Wette am laufen mit nen Kumpel von mir, wir haben Festplatten bei eBay gebracht gekauft und konnten die meisten Daten wiederherstellen. Ganz blöde ist nur ich hatte damals SCASI Festplatten für meine Server gekauft und ja mit einen dd kann man teilweise sogar noch auf ex RAID Laufwerken Klartext lesen. So kennt wohl jeder einige Magic Bytes <?xml z.B. und die tauchen auch schon bei einen simplen cat /dev/sda auf.

RAID ist keine Verschlüsselung aber der Controller kann Verschlüsselung drinnen haben. Fakt ist auch dass ich genau aus diesem Grund keine Festplatten weggebe.

Aber danke @SamvanRatt für den schönen und doch sehr unterhaltsamen Beitrag. So läuft der Grüne Balken beim Kopieren viel schneller (Ja Einbildung ist auch ne Bildung).

Gruß an die IT-Welt,
J Herbrich
Mitglied: Dilbert-MD
Dilbert-MD 15.05.2017 um 11:28:11 Uhr
Goto Top
Zitat von @Herbrich19:
[...]
Fakt ist auch dass ich genau aus diesem Grund keine Festplatten weggebe.

Gruß an die IT-Welt,
J Herbrich

Na da sehe ich doch ein Geschäftsfeld für Müllverbrennungsanlagen...
Eine Klappe für Speichermedien am Hochtemperaturofen einbauen, jeden Dienstag wird auf Maximaltemparatur geheizt und am Nachmittag ist Admin-Treffen. Als Nachweis gibt es ein Video vom Einwurf und ein Eimerchen Asche.

face-wink

Gruß
Holger
Mitglied: Lochkartenstanzer
Lochkartenstanzer 15.05.2017 um 12:07:57 Uhr
Goto Top
Zitat von @Dilbert-MD:

Na da sehe ich doch ein Geschäftsfeld für Müllverbrennungsanlagen...
Eine Klappe für Speichermedien am Hochtemperaturofen einbauen, jeden Dienstag wird auf Maximaltemparatur geheizt und am Nachmittag ist Admin-Treffen. Als Nachweis gibt es ein Video vom Einwurf und ein Eimerchen Asche.

Vorher das Foto von der feuchtfröhlichen Runde mit den Steaks und dem Bier heraussortieren. face-smile

lks
Mitglied: Herbrich19
Herbrich19 15.05.2017 um 17:17:08 Uhr
Goto Top
Hallo,

Na da sehe ich doch ein Geschäftsfeld für Müllverbrennungsanlagen...

Ja, sowas wird dringen benötigt.

Vorher das Foto von der feuchtfröhlichen Runde mit den Steaks und dem Bier heraussortieren.

Ja haha, wen man schon Feuer hat kann man noch eine Grill Platte auf den Hochofen implementieren dass die Admins auch schön Stakes gegrillt bekommen.

Eimerchen Asche

Das zwar nicht aber die Festplatte kommt einfach als Barren zurück face-smile

Gruß an die IT-Welt,
J Herbrich
Mitglied: SamvanRatt
SamvanRatt 16.05.2017 um 18:03:04 Uhr
Goto Top
Hi LKS
danke für den Hinweis face-wink
Gruß
Sam
Mitglied: mathu
mathu 16.05.2017 um 18:12:15 Uhr
Goto Top
Zitat von @Herbrich19:



RAID ist keine Verschlüsselung aber der Controller kann Verschlüsselung drinnen haben. Fakt ist auch dass ich genau aus diesem Grund keine Festplatten weggebe.


Gruß an die IT-Welt,
J Herbrich

So ist es, Disks mit Geschäftsdaten werden in den Condirator gegeben. face-wink "geschreddert"
Mag Paranoia sein, ist aber am Sichersten, wo nix ist, kann auch nichts wiederhergestellt werden.
Mitglied: Herbrich19
Herbrich19 16.05.2017 um 18:17:21 Uhr
Goto Top
Hallo,

Man denke aber nur an die Stasi Papriere wo auch geschredderte Schnipsel wiederhergestellt werden konnten face-smile Wen schon dann richtig. Festplatte in ein Säurebad oder ab in den oben schon erwähnten Hochoffen damit. Eine Festplatte einfach nur in den Ofen zu werden vernichtet noch lange nicht die Daten. Es ist Forensikern schon mal gelungen daten aus einen Verbrannten Computer wiederherzustellen.

Gruß an die IT-Welt,
J Herbrich
Mitglied: SamvanRatt
SamvanRatt 16.05.2017 um 18:32:29 Uhr
Goto Top
Hallo Herbrich
meine Mutterfirma hat ja die Daten vom Challenger Unglück ('86) recht aufwendig gerettet. Ab dem Hrn. Curie ist aber trotzdem Ende mit Forensik (wobei da ersteres Statement aufwirft=> Höhenstrahlung, Wasserstoffexplosion, hochaggressive Festtreibstoffe, Fall aus 15km Höhe, Aufschlag, Bauteile verteilt auf 60km Radius, ....) Moderne Magnetmaterialien sind ja sehr empfindlich was die Curie-Temperatur angeht, schön an Tapes auf BaFe Basis zu sehen ist.

Und dem gegenüber stehen eben Teile von Enterprise IT, die das anders sehen. Nicht wissen und Belehrungsresistent zu sein ist schon ein Unterschied.

Schnipsel: die Kripo ist auch öfters mit Einzelbauteilen von Datenträgern bei uns.... Durch die hohe Integration reicht schon 1/100mm^2 der Oberfläche (=Staub) um ganze Megabytes an eng zusammenhängen Daten zu erhalten. Bei Wirtschaftsverbrechen und Cyberverbrechen wird das auch immer bezahlt.... Das machen aber bei uns schon die "Physiker" mit ihren Messgeräten (ein recht öder Job!!!).

Gruß
Sam
Mitglied: Lochkartenstanzer
Lochkartenstanzer 16.05.2017 um 19:31:20 Uhr
Goto Top
Zitat von @Herbrich19:

Eine Festplatte einfach nur in den Ofen zu werden vernichtet noch lange nicht die Daten. Es ist Forensikern schon mal gelungen daten aus einen Verbrannten Computer wiederherzustellen.

Dann war der Ofen einfach nicht heiß genug. Deutlich mehr als 1000 Grad sollten eigentlich imerm reichen. Ein normaler Kaminofen kann bis zu 1300°C heiß werden, wenn man ihn richtig heizt, aber da muß man schon sorgfältig drauf achten, daß die Temparatur nicht zu niedrig ist. Bei einem normalen Gebäudebrand können diese Temparatruren zwar auch erreicht werden, aber meistens kokelt das Computerzeug bei meist deutlich geringeren Temparaturen, so daß die Platter of noch ausgelesen werden können (nachdem man ihnen ein neues Gehäuse verpaßt oder in entsprechende Spezialhardware verfrachtet hat.)

lks