Synology Secure Erase – Probleme mit „gesperrten“ Western Digital WD20EFRX-Festplatten

Wie viele andere Nutzer auch wollte ich vor dem Verkauf meines NAS von Synology auf jeden Fall die darin enthaltenen Festplatten ordentlich und sicher löschen. Schließlich hat man auf dem NAS so einige Daten liegen, von denen man am Ende nicht möchte, dass diese wieder herzustellen sind.

So landet man schnell im Menü von Synology DSM bei einem Punkt der da heißt „Secure Erase“. Synology schreibt dazu auf seiner Hilfeseite folgendes:

Secure Erase ausführen:

  1. Gehen Sie zur Registerkarte HDD/SSD.
  2. Wählen Sie ein Laufwerk aus und klicken Sie auf Aktion > Secure Erase.

Hinweis:

  • „Secure Erase“ kann auf Festplatten in Expansionseinheiten nicht durchgeführt werden.
  • „Secure Erase“ löscht endgültig alle Daten auf Ihrer Festplatte. Stellen Sie sicher, dass die ausgewählte Festplatte nicht verwendet wird und die Daten gesichert wurden, bevor Sie fortfahren.
  • Wenn das System „Secure Erase“ durchführt, wird die ausgewählte Festplatte vorübergehend gesperrt und automatisch entsperrt, wenn der Vorgang abgeschlossen ist.
  • Wenn „Secure Erase“ während der Ausführung unsachgemäß angehalten wird, können Sie „Secure Erase“ direkt auf der Benutzeroberfläche erneut ausführen. Wenn die Festplatten entfernt oder anderweitig verwendet werden, wenn sie noch gesperrt sind, müssen Sie das Kennwort „Synology“ eingeben, um sie zu entsperren.

Das hört sich alles erstmal prima an. Die böse Überraschung kommt dann ein paar Stunden später: um zu kontrollieren, ob der Löschvorgang erfolgreich war, hatte ich die 4 Platten aus dem NAS ausgebaut und in einen PC eingebaut. Dort waren die Platten allerdings nicht mehr ansprechbar und meldeten unter anderem I/O_Fehler.

Also erstmal ein paar Grundlagen, um überhaupt zu verstehen, was passiert war. Die ATA-Spezifikationen sehen in der Tat einen Vorgang vor, den auch Synology in seinem NAS nutzt, um Platten sicher zu löschen. Hintergründe zum „Secure Erase“ findet man z.B. unter https://en.wikipedia.org/wiki/Parallel_ATA#HDD_passwords_and_security

Nun ist es offensichtlich so, dass aus welchen Gründen auch immer diese Funktion in den Synology-NAS mit manchen Platten und unter manchen Kombinationen aus Softwareversion der dazu eingesetzten Werkzeuge nicht optimal funktioniert. Die Platten werden zwar gelöscht, allerdings nicht mehr ordnungsgemäß entsperrt.

Wie kann man nun kontrollieren, in welchem Zustand sich die Platte befindet?

Dies kann man mit jedem Linux-System und dem Tool „hdparm“ tun. Ich habe dazu eine bootbare Live-CD von „gparted“ genutzt, die bereits alle Werkzeuge mitbringt.

Schritt 1: Wir kontrollieren in welchem Status sich die Platte befindet mit

sudo hdparm -I /dev/sdX

Ersetzen Sie bitte das „X“ im Befehl durch die passende Platte in ihrem System, z.B. „a“, „b“, c“, etc. Wir erhalten ein Ergebnis, dass sich ungefähr wie das nachfolgende liest:

ATA device, with non-removable media
Model Number: TX21B10400GE8001
Serial Number: FG002VTA
Firmware Revision: PRO6F515
Transport: Serial, ATA8-AST, SATA 1.0a, SATA II Extensions, SATA Rev 2.5, SATA Rev 2.6, SATA Rev 3.0
Standards:
...........................
Commands/features:
Enabled Supported:
* SMART feature set
Security Mode feature set
...........................
Security:
Master password revision code = 65534
supported
enabled
locked
not frozen
not expired: security count
supported: enhanced erase
284min for SECURITY ERASE UNIT. 284min for ENHANCED SECURITY ERASE UNIT.
Logical Unit WWN Device Identifier: 50011731001636dc
NAA : 5
IEEE OUI : 001173
Unique ID : 1001636dc
Checksum: correct

Entscheidend sind die beiden Zeilen „enabled“ und „locked“, was bedeutet, dass die Fesplattensicherheit aktiviert ist und die Platte gesperrt ist. Jetzt haben wir zumindest die Bestätigung, wo unser Problem mit der Platte liegt.

Nun wird es spannend, denn wir sind nur noch 2 kurze Befehle vom Entsperren der Platte entfernt. Nun muss noch ermittelt werden, von welchem Hersteller die Platte ist. Bei mir trat das Problem mit Platten von Western Digital des Typs WD20EFRX auf, also einer 2TB 3,5 Zoll Version.

Um die Platte zu entsperren ist es nämlich nötig ein Master-Passwort zu kennen, mit dem sich die Platte wieder entsperren lässt. Das Passwort für Western Digital-Platten habe ich gefunden unter: https://www.forensicswiki.org/wiki/Hard_Drive_Passwords

Dort sind auch noch Passwörter von anderen Herstellern vermerkt, von denen ich aber nicht sagen kann, ob diese funktionieren. Das Passwort für Western Digital-Platten hat auf jeden Fall einwandfrei funktioniert.

Jetzt sind es nur noch 2 kurze Befehle:

sudo hdparm --user-master m --security-unlock WDCWDCWDCWDCWDCWDCWDCWDCWDCWDCW /dev/sdX

sudo hdparm --user-master m --security-disable WDCWDCWDCWDCWDCWDCWDCWDCWDCWDCW /dev/sdX

Danach kontrollieren wir wieder mit

sudo hdparm -I /dev/sdX

und freuen uns über die nachfolgende Ausgabe, in der dann stehen sollten „not enabled, not locked, not frozen, etc.)

Viel Erfolg!