„Zuletzt verwendet“ abschalten.

Wenn Sie etwas auf Ihre Privatsphäre achten, haben Sie i.d.R. verschlüsselte Laufwerke oder vollverschlüsselte Festplatten, auf denen Ihr System installiert ist.  In letzterem Fall, ist es für Sie als Einzeluser ggf. nicht so schlimm, wenn alle Ihre Dateiaufrüfe von Gnome protokolliert werden.

Wenn Sie aber nur ein TrueCrypt Laufwerk benutzen um Ihre schützenswerten Daten geheim zu halten, ist die „Zuletzt verwendet“ Funktion von Gnome ( oder auch Windows) meistens ein echter Verräter. Der vollständige Pfad mit Dateinamen wird in Ihrem Homeverzeichnis  gespeichert. Damit kann man als „Ermittler“ anfangen die Verschlüsselung zu knacken, denn diese Verzeichnisse und Namen müssen ja in der verschlüsselten Festplattenstruktur enthalten sein. Damit läßt sich ein passender Directoryblock im Filesystem berechnen und aus dem kann dann das Passwort abgeleitet werden. Natürlich ist es immer noch die Suche nach der Nadel im Heuhaufen, aber der Heuhaufen ist deutlich kleiner geworden.

Einfach abschalten

Abschalten kann man die Datensammlung ganz einfach:

1. Rufen Sie den dconf-Editor auf.

Dconf-editor suchen und öffnen

dconf-Editor suchen und öffnen

 

2. in org -> gnome -> desktop -> privacy -> remember-recent-files abschalten :

 

im Dconf-editor die Recent-Files Option abestellen

im Dconf-editor die Recent-Files Option abstellen

 

Das wars schon. Gnome löscht dann die Aufzeichnungen auch sofort. Trotzdem sollte man unter ~/.local/share/ nachsehen ob die Datei  recently-used.xbel (und alle Derivate davon) leer sind.

Alternative Ansätze

Wer diese Funktion im täglichen Arbeiten braucht, kann sich ein kleines Script schreiben, daß beim Beenden der Gnome-Session, also wenn der User sich ausloggt, die Datei recently-used.xbel löscht. Damit kann man nachsehen, was man heute gemacht hat, aber eben nicht mehr was gestern war.

Allerdings gibt es hier einen derben Haken. Zum Einen werden die Dateien auf einem unverschlüsselten Datenträger nie wirklich gelöscht, bis nicht ein anderes Programm den Block auf der Festplatte neu belegt, zum Anderen kann im Falle eines Stromausfalls, der gern einer Hausdurchsuchung voran geht, selbiger dazu führen, daß die Datei gar nicht mehr gelöscht wird.

In jedem Fall, sollte die Datei dann nicht nur einfach mit rm -f gelöscht werden, sondern vorher mit Datenmüll überschrieben werden. Wenn diese dann wiedergefunden wird, steht nichts brauchbares mehr drin.

Soviel zur Theorie

Was vielen auch nicht immer bewußt ist, ist der Umstand, daß moderne Filesysteme ein sogenanntes Journal führen. Das sind abgetrennte Bereiche im Filesystem, in denen jeder Schreibzugriff vorab ausgeführt wird, bevor er im „echten“ Filesystem durchgeführt wird. Damit kann im Falle eines Stromausfalls die Konsistenz der Daten beibehalten werden und man muß das Filesystem lediglich kurz die letzte Aktion nochmals durchführen lassen um wieder einen benutzbaren Datenträger zu haben.

Leider bedeutet das auch, daß im Journal eine Kopie der geschriebenen Daten steht, selbst wenn diese auch gelöscht werden ( Erklärung oben). Wenn ich nun eine Datei überschreiben will, steht diese im Journal ggf. an einer anderen Stelle der Festplatte und überschreibt nicht, was ich eigentlich überschreiben wollte. Zwar wird im nutzbaren Teil des Filesystem die Datei überschrieben, aber ggf. nicht im Journalbereich.

Das kann man nur vermeiden, wenn man im Anschluß das Journal mit Datenmüll flutet, also eine große Datei schreibt, die größer ist als die Größe des Journalbereiches des Filesystems.

In der Praxis – Datenspuren vermeiden

In der Praxis kann nur der Einsatz eines vollverschlüsselten Mediums helfen das Problem einzudämmen. Ganz beheben kann man das nur, in dem man gar nicht erst speichert, was man nicht wirklich braucht. So kann auch nichts „verloren“ gehen oder in fremde Hände gelangen.