komprimierungsvorgang als loeschmethode sicher?[erl.]

  • Thunderbird-Version 17.0.:
    Betriebssystem + Version win 7 64bit:
    Kontenart (POP / IMAP) pop/imap :
    Postfachanbieter: gmx :


    Hallo,


    ich möchte gern wissen, wie das komprimieren genau funktioniert bzw. wie ich emails sicher aus/in thunderbird loeschen kann. ich nutze zur datenvernichtung auf der festplatte normalerweise eraser, was wahrscheinlich nicht zu vergleichen ist mit dem komprimierungsvorgang bei thunderbird als loeschmethode. was macht also das komprimieren genau? gibt es irgendwelche "rueckstaende" in form von dateien, aus denen sich die geloeschten mails doch wieder herstellen ließen?


    danke

  • Das Komprimieren schreibt die betreffende Mailbox-Datei neu, wobei gelöschte Mails (die bis dahin noch vorhanden, jedoch als gelöscht markiert sind und deswegen nicht angezeigt werden) nicht mehr geschrieben werden. Die Mailbox-Datei wird dadurch kleiner, belegt ergo weniger Festplattenplatz. In dem freigewordenen Sektoren der Festplatte wären die Inhalte also nach wie vor auffindbar. Entfernen könnte man sie, in dem man den Slack mit Eraser überschreibt. Ob das sinnvoll ist, solange niemand auf den Rechner zugreifen kann, der auch in der Lage ist, den ungenutzten Festplattenplatz zu untersuchen, sei dahingestellt, ich wage es zu bezweifeln. Sofern der Rechner mit eingeschränkten Benutzerrechten zum täglichen Arbeiten verwendet wird (und das Admin-Konto durch ein Paßwort gesichert ist), kann keine Software ausgeführt werde, die den freien Plattenplatz untersuchen kann. Diese Vorgehensweise ist in jedem Fall dringend zu empfehlen und somit das Problem wahrscheinlich gar nicht mehr relevant.

  • Hallo,
    erfahrungsgemäß ist es recht schwierig, gelöschte Mail-Datenbanken mit den bekannten kostenlosen Tools wieder zu rekonstruieren. Es ist mir noch nie gelungen z.B. eine *.dbx Datenbank damit wieder zurückzuholen, nicht einmal Teile davon. Diese hat zwar nicht die gleiche Struktur wie eine Mbox Datei, ich vermute aber, dass dies genauso unmöglich ist.


    Ich habe mal eben eine Datei inbox mit ca 500 KB aus dem Papierkorb gelöscht und sofort danach mit PC INSPECTOR™ File Recovery und Recuva gesucht. Keine Chance.


    Gruß

    Konversationen ohne vorherige Anforderung werden ignoriert..
    Windows 10, 64-bit, immer die aktuelle Thunderbird-Version und ältere Testversionen. Testprofile vorhanden.
    Testkonten bei den meisten größeren Mailanbietern wie GMX, Web.de usw

  • Hallo thund4B3rd,


    Mit einem Schmunzeln habe ich mir deine Frage durchgelesen. Konnte nicht gleich antworten, da ich "nur" mit meinem Smartphone unterwegs war, und so viel nicht tippseln wollte ... .


    Ja, bis jetzt dachte ich immer, dass ich nach sooooo vielen Jahren beruflicher Tätigkeit auf dem Gebiet der IT-Sicherheit ein gerüttelt Maß an Berufs-Paranoia entwickelt habe. Aber du hast es geschafft, mich zu toppen ... .


    Zuerst einmal würde mich interessieren, wen du als denn so als "deinen Gefähder" ansiehst. Ist es:
    1.) Ein neugieriges Familienmitglied, Ehefrau oder Kinder?
    2.) Die "internationale Hackergemeinschaft", die an/in jeder LAN-Steckdose lauert und uns übers Internet ausforscht ...?
    3.) "Wolfgang" bzw. die Kollegen der Beamten, die ihm das Internet ausgedruckt haben, und die im "Bedarfsfall" direkten Zugang zu deinem Rechner haben?


    Du verstehst, dass das Kennen der Gefahr natürlich wichtig ist, für den Schutz der eigenen Daten.


    Was beim Komprimieren der mbox-Dateien passiert, hat dir Cosmo sehr gut erklärt. Und wie mrb auch völlig richtig geschrieben hat, ist es "recht schwierig" diese gelöschten Bestandteile wieder zu rekonstruieren.
    Wir können uns darauf einigen, dass das Komprimieren der mbox-Dateien nicht nur eine wichtige Hygienemaßnahme für diese Dateien ist, sondern auch absulut ausreichend ist für die Angreifer der Kategorie 1.


    Auch dem "normalen Hacker", dem es gelingen mag über das NAT deines Routers und den sicherlich vorhandenen Firewall auf deine WinDOSe zu gelangen, gebe ich für einen derartigen Angriff recht geringe Chancen. Er müsste die entsprechende Software auf deinem Rechner installieren und online den vollen Zugriff darauf haben. Und dann müsste er, wenn es ihm gelänge, das Produkt seiner Bemühungen auch noch nach Hause bringen.
    Meine Einschätzung zum Angreifer der Kategorie 2: vergiss es!


    Völlig anders sieht es aber aus, wenn du auf der Kundenliste von "Wolfgang" stehst. Immer daran denken, er hat physischen Zugriff auf deinen Rechner. Und er, bzw. die Kollegen der ... werden zuerst deine HD nur lesend mounten und eine bitgenaue Kopie anfertigen um keine Beweismittel zu verändern. Und dann werden sie den ganzen Zoo der forensischen Tools darauf loslassen.
    Über das Ergebnis wirst du aus dem Staunen nicht herauskommen. Wähne auch deine mit dem Eraser (Heidi?) gelöschten Dateien nur nicht als sicher gelöscht. Bei einem journaled-Filesystem werden selbst bei mehrfachem Überschreiben zumindest Fragmente von Beweisen gefunden. Die eigentlichen Dateien sind natürlich in der Regel nicht mehr komplett wiederherzustellen.
    Wenn du mir nicht glaubst, dann lade dir "DEFT 7" herunter und spiele damit herum. Ich konnte damit schon manchem helfen, verlorene Dateien wieder zu beschaffen.
    So viel zur Kategorie 3 ... .


    Dazu noch als Ergänzung:
    Bis vor wenigen Monaten war es zulässig, zum Löschen kompletter Festplatten mit eingestuftem VS-Inhalt diese mit einem speziell dafür entwickelten und intensiv getesteten Spezialprogramm des BSI zu löschen, so dass die HD wieder zurückgestuft werden konnte. Die neuesten Entwicklungen auf dem Gebiet der Dateisysteme und auch bestimmte Partitionierungen, welche versteckte Partitionen anlegen die auch mit Daten befüllt werden, haben bewirkt dass die Zulassung für "VS-Clean" zurückgezogen wurde. Hier zum Nachlesen: BSI : VS-Clean Festplatten-Löschprogramm
    Dieses Programm hat "nix anderes" gemacht als dein Eraser. Und das sogar für die ganze HD ... .


    Fazit und meine Empfehlung:
    Entweder den Tatsachen ins Auge sehen, oder die eigene Paranoia etwas zurückdrehen, oder den LAN-Connector bis zum Rand mit Heißkleber befüllen ;-)
    Ich empfehle die mittlere Variante. (Oder eine Komplettverschlüsselung der HD, so wie wir das bei Notebooks machen.)


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!