Nieuws
image

Veilig bestanden verwijderen in Windows onmogelijk

woensdag 2 december 2009, 16:27 door Redactie, 19 reacties

De Volume Shadow Copy (VSC) functie in Windows 7 en Vista zorgt ervoor dat bestanden nooit echt weg zijn, een risico voor gebruikers die vertrouwelijke informatie willen verwijderen, waarschuwt Tomasz Szynalski. VSC is een service die snapshots van de disk volumes in Windows maakt en als back-end van de Systeem Restore functie opereert. Daarmee is het mogelijk om het systeem in een eerdere toestand te herstellen. Dat kan echter gevolgen hebben voor wie informatie wil verwijderen.

Szynalski schetst een scenario waarbij iemand een vertrouwelijk document verwijdert en daar eerst een versleutelde versie maakt. Dan wordt het origineel op veilige wijze verwijderd, door het meerdere keren te overschrijven en vervolgens te verwijderen. Normaliter zou het originele document nu niet meer te herstellen zijn. Behalve als het bestand op een schijf stond waar het door de Volume Shadow Copy service is beschermd en er een herstelpunt was toen het bestand werd aangemaakt. Dan is het document via de "Vorige versies" optie terug te halen. Via een paar muisklikken is het originele bestand dat eerst verwijderd was, weer te bekijken.

Overschrijven
De reden dat het "wipen" niet werkt, is omdat VSC de bestanden voor het overschrijven in de shadow copy plaatst. "Het maakt niet uit hoeveel keer je het bestand overschrijft, de shadow copy zal er nog steeds zijn, veilig bewaard op een verborgen volume." Volgens Szynalski is er geen manier om op een veilige wijze bestanden van een door VSC beschermd volume te verwijderen. "Shadow copies zijn read-only, dus is er geen manier om het bestand van alle shadow copies te verwijderen."

Een gedeeltelijke oplossing is het verwijderen van alle shadow copies voordat de gebruiker het bestand overschrijft. Zodoende kan de VSC er geen kopie van maken. Toch is het mogelijk dat één van de verwijderde shadow copies al een kopie van het bestand bevat. De enige echte oplossing is het wipen van de blocks op de harde schijf waar de shadow copies op staan. Dit is zeer lastig, aangezien er geen directe toegang tot dat gedeelte van de schijf is.

Reacties (19)
02-12-2009, 16:48 door Anoniem
he drommels.

dus maake je op je USB stick dat bestand aan, omdat daar geen VSC van wordt gemaakt.
Wel je stick daarna in de magnetron en dan in de shredder.
02-12-2009, 17:18 door Anoniem
Ccleaner gebruiken en dit op 35x overschrijven zetten :)
02-12-2009, 17:45 door Anoniem
@ Anoniem 17:18
als je het stuk gelezen had zou je weten dat dat dus NIET werkt
02-12-2009, 18:08 door Anoniem
Hebben Apple's timemachine en Sun's ZFS niet eenzelfde issue? Of hebben die wel API's/opties voor echt overschrijven?

En met "wipe" moet je sowieso altijd ook al aan je backups (die je natuurlijk hebt :-) denken...
02-12-2009, 18:23 door Anoniem
Toen ik gevraagd werd een gecrasht Vista-systeem te redden, heb ik het gemerkt: een verborgen partitie waarin heel veel informatie zat. CCleaner gaat daar niet in vegen, om het zo maar te zeggen. Ik vind het flauw van M$ om aan het volk niet uit te leggen dat die partitie er zowiezo is, en hoe je er in geraakt, en hoe je er informatie kan uit verwijderen.
Ik heb wel een oplossing, maar ik ga geen M$-bashing beginnen.
mvg
capricornus
02-12-2009, 18:50 door Anoniem
misschien iobit advanced systemcare pro wel,want die kan je zo installen dat je altijd als je niks doet je tijdelijke bestanden kan verwijderen.
Maar ja zeker weten doe ik het niet,daarom de reden waarom ik misschien zei.
02-12-2009, 19:39 door Spiff has left the building
Tomasz Szynalski stipt iets interessants aan.
Maar voor het betreffende probleem bestaat volgens mij een eenvoudige oplossing:

Shadow Copy/ Schaduwkopie staat standaard alleen ingeschakeld voor de Windows-partitie.
Behoud je die basisinstelling, en schakel je Shadow Copy niet in voor andere partities, dan zal Windows geen schaduwkopieën maken van bestanden op die andere partities.
Sla je vertrouwelijke bestanden niet op de Windows-partitie op, maar op een andere partitie (wat natuurlijk tóch al aan te raden was), een partitie waarvoor Shadow Copy niet is ingeschakeld, dan zullen van die bestanden géén schaduwkopieën worden gemaakt.
02-12-2009, 21:14 door Anoniem
Als je nou een TrueCrypt container hebt en daarin direct de eerste versie van je bestand in opslaat? Dan maakt VSC er toch geen kopie van lijkt mij? Of is dit evengoed niet veilig genoeg?
02-12-2009, 23:07 door Anoniem
"WOOT"

Sincerly Yours,

Lieutenant General Keith B. Alexander
Director, National Security Agency (DIRNSA) and Chief, Central Security Service (CCSS)
Fort Meade, Maryland
03-12-2009, 00:05 door Anoniem
Door Anoniem: <knip>
Ik heb wel een oplossing, maar ik ga geen M$-bashing beginnen.
mvg
capricornus
Dit was ook al meer dan genoeg.
Mvg, KnightOfThepost
03-12-2009, 06:29 door Anoniem
Zou je niet in dos kunnen booten daar de attribs wijzigen (indien nodig) en dan deleten?
03-12-2009, 06:36 door [Account Verwijderd]
[Verwijderd]
03-12-2009, 08:36 door Anoniem
Op zich is deze functie zeker wel handig. Als je een belangrijk bestand per ongeluk verwijderd hebt, dan zul je erg blij zijn dat je 'm nog kunt terughalen. Je moet er gewoon om denken dat je tegenwoordig dragers van data (harde schijf, USB-stick en ook mobiele telefoon) volledig ruïneert.
03-12-2009, 09:50 door sjonniev
Wanneer je gelijk begint met een versleutelde versie (middels transparante file-based of container-based versleuteling) loop je in ieder geval niet het risico dat er een onversleutelde versie boven water komt. Vooropgesteld dat ook alle tijdelijke exemplaren op die manier automatisch versleuteld worden, natuurlijk.
03-12-2009, 11:33 door Anoniem
Maar kun je shadow volume copy niet uitzetten dan? Volgens mij heb ik eens ergens gelezen dat je dat via SERVICES.MSC kon doen. Alleen heb je dan wel een probleem als je computer ooit vastloopt of erger dat je dan niet systeemherstel meer kunt gebruiken. Je kunt natuurlijk ook gewoon met ccleaner of Webroot Window Washer de boel overschrijven en dan ben je voor andere gebruikers[van je pc] relatief veilig mits dat geen mensen zijn die enorme technische know how hebben van computers.
De gemiddelde computergebruiker is toch vaak minder technisch onderlegd. En als je, je pc laat repareren moet je ook altijd oppassen want die gasten willen ook nog wel eens rondneuzen op je pc waar ze eigenlijk niks te zoeken hebben. Al zullen ze dat niet zo toegeven want dat zou klanten kosten. En wil je jou pc weg doen dan is er maar 1 middel wat jou privacy echt waarborgd en dat is je harde schijf eruithalen en laten vernietigen door een shredder.
En als iemand anders nog andere ideeen heeft laat het ons weten!
03-12-2009, 11:36 door Anoniem
Door Anoniem: Op zich is deze functie zeker wel handig. Als je een belangrijk bestand per ongeluk verwijderd hebt, dan zul je erg blij zijn dat je 'm nog kunt terughalen. Je moet er gewoon om denken dat je tegenwoordig dragers van data (harde schijf, USB-stick en ook mobiele telefoon) volledig ruïneert.
Met dat ruïneren bedoelde ik natuurlijk wanneer je afstand doet van bijv je harde schijf. :) Dus in plaats van verkopen/weggooien vernietigen.
03-12-2009, 12:03 door Anoniem
Gewoon je systeem herstel om de zoveel tijd opruimen, is zo wie zo geen overbodige luxe...
Of je data op een aparte harddisk of partitie zetten. En daarvoor systeem herstel uitschakelen.
03-12-2009, 18:07 door spatieman
systeemherstel kompleet uitzetten, zal denkelijk ook werken..
04-12-2009, 08:12 door SirDice
Door Anoniem: Hebben Apple's timemachine en Sun's ZFS niet eenzelfde issue?
Yep.
Of hebben die wel API's/opties voor echt overschrijven?
Nope.

Gewoon je systeem herstel om de zoveel tijd opruimen, is zo wie zo geen overbodige luxe...
Of je data op een aparte harddisk of partitie zetten. En daarvoor systeem herstel uitschakelen.
Inderdaad.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure