Host Protected Area

aus Wikipedia, der freien Enzyklopädie

Host Protected Area (HPA), auch bekannt als Hidden Protected Area oder ATA-geschützter Bereich, ist ein reservierter Bereich für die Speicherung von Daten außerhalb des normalen Dateisystems. Dieser Bereich wird vor dem Dateisystem und dem Betriebssystem - und somit auch vor Formatierungs- und Partitionierungsprogrammen - versteckt und ist für diese nicht erreichbar.

Inhaltsverzeichnis 1 Verwendungszwecke 2 HPA-relevante ATA-Befehle 3 Computer-Forensik 4 Manipulieren und Löschen von Datenträgern 5 Siehe auch 6 Weblinks

[Bearbeiten] Verwendungszwecke

Verwendungszwecke für HPA sind vor allem die Systemwiederherstellung und die Sicherung von Konfigurationsdaten. So kann beispielsweise der Original-Inhalt einer Systeminstallation in einem geschützten Bereich auf der Festplatte abgelegt und bei einer Wiederherstellung in den regulären Bereich der Festplatte zurückkopiert werden.

HPA ist ein optionales Festplatten-Merkmal, das im ATA-5 Standard definiert ist und von den meisten modernen Festplatten unterstützt wird.

Mittels HPA kann eine HPA-fähige Festplatte so manipuliert werden, dass sie kleiner erscheint als sie tatsächlich ist. HPA ermöglicht es, einen oberen Bereich der Festplatte zu verstecken.

[Bearbeiten] HPA-relevante ATA-Befehle

a) IDENTIFY_DEVICE
Der ATA-Befehl IDENTIFY_DEVICE, der üblicherweise bei der Hardwareerkennung des Betriebssystems aufgerufen wird, gibt die Kapazität einer Festplatte zurück.

b) SET_MAX_ADDRESS
Der ATA-Befehl SET_MAX_ADDRESS wird verwendet, um die Festplatte kleiner erscheinen zu lassen, als sie tatsächlich ist. Der Befehl kann sowohl im flüchtigen (volatile) als auch im nicht-flüchtigen (non-volatile) Modus ausgeführt werden. Im nicht-flüchtigen (non-volatile) Modus bleibt die neue Maximalgröße dauerhaft - also auch nach einem Ausschalten der Festplatte - erhalten, während im flüchtigen (volatile) Modus die Größe nur vorübergehend, d.h. bis zum nächsten Reset, verändert wird. Über den ATA-Befehl SET_MAX_ADDRESS wird der Festplatte also mitgeteilt, welche Kapazität sie beim Befehl IDENTIFY_DEVICE melden soll.

c) READ_NATIVE_MAX_ADDRESS
Der ATA-Befehl READ_NATIVE_MAX_ADDRESS zeigt immer die maximale obere Sektoradresse an, indem er die höchste Adresse gemäß der Werkseinstellung - also die tatsächliche Größe - ausliest.

Durch den Vergleich der Ausgaben der Befehle IDENTIFY_DEVICE und READ_NATIVE_MAX_ADDRESS lässt sich ermitteln, ob HPA vorhanden bzw. aktiviert ist. Wenn die beiden Befehle unterschiedliche Größen anzeigen, dann ist die Festplatte irgendwann zuvor mit dem Befehl SET_MAX_ADDRESS "verkleinert" worden.

Durch erneute Ausführung des Befehls SET_MAX_ADDRESS kann die Festplattengröße wieder auf die Werkseinstellung zurückgesetzt werden. Dann kann wieder auf die gesamte Festplatte zugegriffen werden, d.h. die Festplatte hat wieder ihre volle Kapazität.

[Bearbeiten] Computer-Forensik

Für Strafverfolgungsbehörden, Ermittler und Forensik-Experten ist die Erkennung und Auswertung von Host Protected Areas (HPA) sehr interessant.

Zum einen können vom Beschuldigten mittels HPA bewußt Bereiche der Festplatte ausgeblendet und Daten versteckt worden sein. Zum anderen können sich in den "versteckten" Bereichen der Festplatte verwertbare Spuren und Beweise finden lassen, wenn dem Beschuldigten HPA nicht bekannt gewesen ist oder er HPA aus technischen Gründen nicht modifizieren kann.

Die weit verbreitete Forensik-Software EnCase Forensics (Version 5.05) erkennt und deaktiviert HPA automatisch um den Bereich lesbar zu machen. Die Forensik-Software X-Ways Forensics ist nach eigenen Angaben in der Lage HPA zu erkennen und X-Ways Replica kann HPAs deaktivieren.

[Bearbeiten] Manipulieren und Löschen von Datenträgern

Auch für den Anwender (IT Administrator, Privatbenutzer, etc.) kann HPA von großer Bedeutung sein, besonders wenn er die Daten auf der Festplatte durch vollständiges Überschreiben komplett löschen möchte bzw. löschen muss.

Das bekannte Wipe-Tool DBAN (Version 1.0.4) kann nicht erfolgreich mit HPA umgehen. Falls die Festplatte durch HPA kleiner erscheint als sie tatsächlich ist, wird nur der sichtbare Teil der Festplatte gelöscht.

Das gleiche gilt für den Unix-Befehl dd, der gerne zum Löschen von Datenträgern mittels kompletten Überschreiben der Festplatte mit Nullen oder zufälligen Zahlen verwendet wird.

Eine kommerzielle Software, Blancco Pro, kann jedoch auch HPA geschützte Bereiche sowie einen konfigurierten DCO löschen.

Aktuelle Linux-Kernel setzen grundsätzlich eine beim Booten detektierte HPA temporär zurück (deaktivieren diese), sodass der Kernel (und damit der Administrator) auf alle Sektoren bis zur nativen Maximaladresse zugreifen kann. Beispielsweise:

...
hda: Host Protected Area detected.
        current capacity is 109170031 sectors (55895 MB)
        native  capacity is 117210240 sectors (60011 MB)
hda: Host Protected Area disabled.
hda: 117210240 sectors (60011 MB) w/7877KiB Cache, CHS=65535/16/63, UDMA(100)
...

[Bearbeiten] Siehe auch

Device Configuration Overlay (DCO) ATA Security Feature Set (ATA Security Mode Feature Set)

[Bearbeiten] Weblinks

Post-mortem-Analyse von Filesystemen unter Linux http://www.heise.de/ix/artikel/2006/03/038/

Computer Forensics and the ATA Interface http://www.foi.se/upload/rapporter/foi-computer-forensics.pdf

Detecting Host Protected Areas (HPA) in Linux http://www.sleuthkit.org/informer/sleuthkit-informer-17.html#hpa

Removing Host Protected Areas (HPA) in Linux (disk_sreset Tool) http://www.sleuthkit.org/informer/sleuthkit-informer-20.txt

Blancco - Löschsoftware HPA kompatibel (kommerziell) http://www.blancco-ce.de