Thoughts. Ideas. Photography.

IT-Sicherheit

Ein paar Gedanken zu Dells verseuchten Mainboards

Dieser Fall hier geht gerade durch die Presse:

http://en.community.dell.com/support-forums/servers/f/956/t/19339458.aspx

Der Inhalt – leicht verkürzt: Dell hat eine Charge Mainboards im Service verbaut, deren Flash-Speicher eine Windows-Malware enthält. Aufgefallen ist es wohl erst, nachdem das Board bei einigen Kunden verbaut wurde.

Die Kunden wurden informiert, gefährdet sind Server mit Windows-Betriebssystemen, die keine aktuellen Virenscanner haben. Demnächst will Dell die betroffenen Server reparieren.

Ich sehe das ganze recht kritisch: Nicht jede Installation eines x86-Servers wird von einem Image mit integriertem Malware-Scanner gemacht. Von daher sind sämtliche Server gefährdet, die – nach einem Mainboardtausch – einfach nur mit dem vorinstallierten Windows oder einem simplen Installationsmedium installiert werden. Das dürften, gerade bei kleineren Unternehmen, recht viele sein. Leider sind die betroffenen Server für kleine und mittlere Kunden ausgerichtet.

Es ist lobenswert, dass Dell recht schnell reagiert und die betroffenen Kunden informiert. Es ist auch lobenswert, dass man die Server kurzfristig repariert. Ich vermisse allerdings eine klare Empfehlung, was jetzt mit den Maschinen zu tun ist. Ob Abschalten hilft?

Generell ist es natürlich peinlich, dass die Qualitätsicherung von Dell, die vermutlich den Fehler bei den Boards für die Serienfertigung gefunden hatte (es wurden keine “verseuchten” Boards in der Serienproduktion verbaut), für die Boards im Service nicht greift.

Doch deutet dies darauf hin, dass Dell im Service andere Komponenten verbaut als in der Serienfertigung. Das kommt mir bekannt vor – vor Jahren als Dell-Kunde hatte ich mehrfach das Problem, dass getauschte Boards nicht mehr Image-kompatibel waren.

Was kann man nun als Nutzer von Windows- Servern lernen:

  • Windows und Antivirus sind nur gemeinsam zu nutzen. Viren und andere Bedrohungen sind mittlerweile selbst auf neuer Hardware präsent. Es ist zwar der erste mir bekannte Fall bei dem der Virus auf dem Mainboard sitzt. Doch wurden schon Viren auf USB-Sticks verschenkt, oder Installationsmedien wurden “verseucht” ausgeliefert.Auf einer virenfreien Plattform sollte man sich Images oder Installationsmedien bauen, die den Antivirus bereits enthalten (Stichwort “Slipstream”). Diese Images muss man aktuell halten, da bietet sich eine Netzwerkinstallation an.
  • Neue Server lieber erst mal in einer DMZ mit IDS ans Netz hängen, um Windows-Viren in den Flash-Bausteinen zu identifizieren.

Man könnte auch andere Betriebssysteme verwenden. Das hilft zumindest beim Fencing, falls mal der Virus trotzdem ausbricht. Also sollte man auch daraus lernen:

  • Keine 1-Betriebssystem-Landschaften aufbauen. Man sollte auch für das Betriebssystem einen Ausweichsplan haben. Montonie hat schon immer geschadet. Bei vielen RZs gibt es 2-4 gängige OSes, das scheint ein gesunder Wert zu sein. Weniger wird unsicher, mehr wird lästig und teuer.
  • Sicherheit bedeutet manchmal auch teure Prozesse beim Hersteller. El-Cheapo wird natürlich noch billiger sein als Dell, doch wird er überhaupt merken, wenn es solch ein Problem gibt? (Ja, Dell ist meist auch eher preiswert, doch werden andere Hersteller vermutlich auch die Service-Teile exakter prüfen, und diese gemeinsam mit den Serien-Teilen beschaffen und vorrätig halten)

Keine “einfach zu erratenden Zahlen” in der PIN

Manche Leute lernen es nie: Man sollte, wenn man PIN oder ähnliches vergeben will, sich nicht den Bereich, aus dem die PIN stammen soll, durch angeblich sicherheitssteigernde Regeln verkleinern. Das hat schon bei der Enigma nicht funktioniert!
So gerade eben: 5-stellige PIN als Passwort, nur Zahlen, keine Buchstaben, keine Sonderzeichen. Auf den ersten Blick also 100.000 mögliche Kombinationen.
Dann die Einschränkungen:
1. Keine Null als erste Ziffer (-10.000 Mögliche PINs)
2. Keine Ziffernwiederholungen (also 11, 22, 33, 44, 55, 66, 77, 88, 99, 00, 111, 222, …; weitere -39.000)
3. Keine Ziffer mehr als zwei mal in der PIN (auf Grund der 2. Regel kostet das nur nochmal 10 weitere Möglichkeiten)

Mit diesen drei Regeln hat der PIN-Vergeber den Suchraum fast halbiert. Da wird’s einfacher…


RTFB: Die Kunst des Einbruchs

Kevin Mitnick und William Simon gehen in die zweite Runde, diesmal ein wenig techniklastiger als Teil 1 (Die Kunst der Täuschung).
Die Schilderungen von Mitnick sind nicht allzu aktuell, sie sind sogar eher leicht veraltet. Die Software, die er vorstellt, ist zwar nach wie vor erhältlich, doch die Exploits sind geschlossen, die Schwachstellen wohl bekannt und die Angriffsmethoden gehören mehr in die Einführung in IT-Sicherheit und IT-Forensik als das sie state-of-the-art wären.
Doch das tut dem Buch keinen Abbruch – genau das macht das Buch sogar lesenswert. Gerade die Bekanntheit der Schwachstellen und Exploits macht das Buch allgemein verständlich, und der schon in der Kunst der Täuschung genutzte erzählende Sprachstil fesselt den Leser ungemein. Man möchte wissen, wie es weitergeht, man fiebert mit, wenn Pakete gesnifft, wenn WLAN-Zugänge verschleiert oder John the Ripper sich über ein Passwort hermacht.
Mitnick und Simon schaffen es auch in diesem Teil, IT-Sicherheit unterhaltsam und lehrreich zu vermitteln. Daher ein klares RTFB.
Momentan gibt’s das Buch als Taschenbuch zum reduzierten Tarif, der Hardcover sieht aber auch gut im Regal aus.


Maulkorb für Studierende

Die Defcon ist eine große Konferenz in den USA zum Thema IT-Sicherheit, Hacking und ähnlichem. Alljährlich sollen dort angeblich die gefährlichsten und besten Hacker auf engstem Raum versammelt sein. In ihrem Buch “Hacker Stories” sprechen die Autoren des Syngress-Teams auch davon, dass dort die meisten Ermittler eben jene Personengruppe auf engstem Raum versammelt seien.

Im Vorfeld dieser Konferenz gibt es jedes Jahr einige interssante Ankündigungen, Steckbriefe werden erneuert und Schweigegelder gezahlt. Das gehört anscheinend zum “normalen” Grundrauschen rund um diese Veranstaltung. Doch dieses Jahr gibt es einen Peak in diesem Rauschen: Nach einer 45-minütigen Anhörung beschloss der ehrenwerte U.S. District Judge George O’Toole Jr. eine einstweilige Verfügung auszusprechen, dernach die drei MIT-Studenten Alessandro Chiesa, R.J. Ryan, and Zack Anderson ihre Ergebnisse über ein Sicherheitsproblem bei den Dauerkarten der Bostoner Verkehrsbetriebe nicht offenlegen dürfen, bis er am kommenden Dienstag in der Sache weitere Fakten sichten würde. Somit haben die Antragsteller ihr Ziel erreicht, die Präsentation darf nicht stattfinden.

Was niemanden daran hindern sollte, sich die Unterlagen zur Präsentation herunterzuladen und anzusehen: Die Päsentation gibt’s hier. Irgendwie muss da jemand vergessen haben, den Webmaster mit zu verklagen…

So weit, so schlecht. Das ganze fußt auf dem ersten Zusatz zur Amerikanischen Verfassung, der eine Einschränkung der “Freedom of Speech” -  der Redefreiheit – zulässt, wenn bestimmte Bedingungen erfüllt sind. Diese zu prüfen dauert natürlich seine Zeit.

Der Casus knaktus scheint dabei nicht die Tatsache zu sein, dass diese Ergebnisse ein schlechtes Licht auf die Bostoner Verkehrsbetriebe werfen oder eine Anleitung darstellen, wie man mit 5 Cent Einsatz, einem Kartenleser für 100 Euro und ein wenig Geschick für 650 Dollar in Boston Bus fahren kann. Es ist vielmehr die Tatsache, dass die Präsenation als Commercial Speech angesehen werden kann. Und das ist das komplexe an der Sache: Ist die Defcon kommerziell? Ist sie einfach nur eine öffentliche Veranstaltung? Und wie ist der Vortrag als solcher innerhalb einer vermutlich als gemischt anzusehenden Veranstaltung einzuordnen.

Das ganze ist eigentlich nur aus juristischer Perspektive interessant. Ein Blick in die Präsentation beweist: Normales Cloning von Karten (gähn), überschreiben von Werten durch andere zur Veränderung des Kartenwertes (schnarch), ein wenig Social Engineering und eine allgemeingültige Äußerung über schlecht gemachte Verschlüsselung von RFID-Daten (naja, immer wieder lustig, diesen häufig gemachten Fehler zu finden…). Aber schon witzig, dass dieser Vortrag so einen Staub aufwirbelt. Mal schauen, was die Defcon sonst so bietet…


RTFB: Die Kunst der Täuschung

Auf vielfachen Wunsch eines einzelnen Herrn fange ich heute eine neue Rubrik an: Meine Leseempfehlungen – oder kurz RTFB – Read This Fabulous Book.

Kevin Mitnick und William Simon: Risikofaktor Mensch – Die Kunst der Täuschung.

Dieses Buch handelt von IT-Sicherheit. Aber es handelt nicht von Antiviren-Software, Patch-Strategien, Grey-Listing, Backup-Reglungen oder Multiplen DMZ-Umgebungen. Es handelt von der häufigsten Fehlerquelle, von dem, was Admins gerne als den OSI-Layer-8 nennen. Es handelt von den Menschen, die in Firmen arbeiten.

Social Engineering gilt als die gefährlichste Angriffsform auf Rechnernetze. Mit ihr greift man an der verwundbarsten Stelle des Rechnersystems an. Und wie Social Engineering funktioniert, wie es durchgeführt wird und wie man Schutzmaßnahmen dagegen aufbaut, ist das Thema, welches von Mitnick und Simon gekonnt und anschaulich dargestellt wird.

Mitnick und Simon verwenden einen sehr gut nachvollziehbaren Erzählstil, um ihre Beispiele für Social Engineering auszuschmücken. Sie machen an vielen Beispielen die Gefahr deutlich, die von Social Engineering ausgeht: So erzählen Sie, wie man durch scheinbar harmlose Telefongespräche Vertrauen aufbauen kann oder wie man durch geschicktes Nachfragen Information für weitere Angriffe sammelt. Sie beschreiben, wie man Eitelkeiten oder auch die Hilfsbereitschaft von Mitarbeitern ausnutzt, um an Information zu kommen.

Doch beschränken Sie sich nicht auf eine reine erzählende Darstellung eines Angriffs mittels Social Engineering. Sie analysieren im Nachgang auch, welche Schwachstellen sie ausgenutzt  haben und wie man sich davor schützen könnte. Der Stil dabei ist unterhaltsam, aber zugleich präzise. Dies macht das Buch einfach verständlich, und dennoch tiefgehend genug.

Es  ist klar, keiner der Autoren ist ein Psychologe und wäre somit in der Lage, wissenschaflich exakt die Denkmuster und Verhaltensweisen zu analysieren, welche ausgenutzt werden.  Doch das ist auch nicht das Ziel des Buches. Es ist auch kein Werk wie das IT-Grundschutz-Handbuch, welches genaue Handlungsanweisungen gibt. Und es ist auch keine Wissenschaftliche Abhandlung über IT-Sicherheit. Es ist eine Einführung in das Social Engineering. Und die ist gelungen!

Um sich den Stil besser vorstellen zu können, habe ich ein Social-Engineering-Experiment, an dem ich selbst mitgewirkt habe, ein wenig im Stil von Mitnik und Simon ausgeschmückt. Wem der Stil gefällt, dem sei das Buch von Mitnik und Simon empfohlen. Gute Unterhaltung.


Ausflug nach K-Town

Nach noch nicht einmal 4 Monaten (März, April, Mai und Juni) kehre ich kurz an die TU Kaiserslautern zurück. Allerdings nur um einen kurzen Vortrag über IT-Sicherheit zu halten. Wenn den jemand sich ansehen möchte:

Donnerstag, 26. Juni 2008, 17:15 – 18:45 in Hörsaal 46-210

Für alle, die meinen alten Sicherheitsvortrag schon kennen: Es gibt einen neuen, und es hat sich mehr verändert als nur das Folienlayout. Allerdings sind knapp 160 Folien in 90 Minuten eine Herausforderung. Und ich verwende nicht den Stil von Alec Muffet.


Voreingestellte WPA-Schlüssel in WLAN-Routern leicht erratbar

Gestern auf Heise: Eine unglaubliche Sensation! Voreingestellte WPA-Schlüssel in WLAN-Routern leicht erratbar

Sensationell, liebe Heiseredaktion. Machen wir uns dieses GENERELLE Problem doch mal klar. WPA-Keys sind eigenlich bis zu 64 Zeichen lang. Probiert man anhand einer mitgesnifften Probe auf einem Rechner jetzt herum, welcher Key denn passt – also ein normaler Brute-Force-Angriff – so ist man selbst bei 1.000.000 Keys pro Sekunde (die erreicht man aktuell nur durch Parallelisierung, beispielsweise mit einem Bot-Net) etwa eine Billiarde Jahre beschäftigt. Das ist sicher.

Aber: Man kann den zu durchsuchenden Raum sehr einfach einschränken:

  1. Kein Hardwarehersteller verwendet mehr als 10-12 Zeichen. Die haben nur wenig Platz auf den Typenschildern, und die Vertippwahrscheinlichkeit nimmt nun mal bei steigender Anzahl der Zeichen zu.
  2. Die Hersteller werden immer gleich lange Schlüssel verwenden. Sonst hätte man an der Hotline das Problem, den Leuten sagen zu müssen, dass der Schlüssel das unförmig lange Ding auf der Unterseite des Gerätes ist. Ebenso hat der Schlüssel vermutlich eine zweite Bedeutung und unterliegt beispielsweise den Regeln, nach denen eine Seriennummer vergeben wird.
  3. Kein Hersteller wird den vollständigen ASCII-Zeichensatz verwenden. Man wird sich auf die wenigen Zeichen beschränken, welche auf einer beliebigen Tastatur auf diesem Planeten immer zu finden sind. Groß- und Kleinschreibung werden viele Hersteller meiden.
  4. Auch werden die Hersteller nicht die Null und das große O gemeinsam nutzen. Noch ein Zeichen weniger.
  5. Einige Hersteller werden es sich bequem machen, und generell Buchstaben meiden.

Im schlimmsten Fall reduziert sich der Suchraum also auf alle Zahlen zwischen 0 und 9.999.999.999. Bei 1.000.000 Schlüssel pro Sekunde ist man also in 3 Stunden durch.

Gut, den voreingestellten WPA-Schlüssel auf Basis der MAC-Adresse zu vergeben, ist mehr als grob fahrlässig. Auch wenn man den Algorithmus nicht kennt, man könnte ihn, wenn man genug “Stützpunkte” hat, mit einer entsprechenden Funktion oder einem neuronalen Netz annähern. Dann wären es nur noch Sekunden, nachdem man das erste Paket mitgesnifft hat.

Ein Vorschlag zur Lösung: Der voreingestellte Key sollte ruhig 64 Zeichen lang und per Zufallsgenerator erstellt worden sein. Den Key speichert man in einer Datei auf einem USB-Stick ab. Diesen Stick legt man dem Router bei, besser aber man macht eine Halterung im Router dafür. Jetzt kann man sich den Key bequem in seine Betriebssysteme kopieren.

Für Sicherheitsfanatiker noch einen Bonus: Der Stick sitzt im Router in einem Sockel. Man kann ihn zum Kopieren des Keys herausnehmen. Wenn der Stick aber 10 Minuten weg ist, schaltet sich der Router aus. So kann man auch das Entwenden des Sticks absichern.


Aus gegebenem Anlass

Liebe Vorgesetzte, Kollegen und Mitarbeiter, die sich bestimmt angesprochen fühlen,

es tut mir aufrichtig leid, Sie in diesem offenen Brief noch so kurz vor Jahresende auf unangenehme Dinge hinweisen zu müssen. Doch leider sehe ich mich aufgrund der letzten Stunden dazu genötigt.

Wenn Sie schon Webapplikationen installieren, würde ich mich freuen, wenn Sie diese auch regelmäßig warten. Zur Wartung gehört auch, hin und wieder mal ein Update zu machen – insbesondere wenn die Hersteller oder Communities der Webapplikationen schon vor einigen Jahren Hinweise auf Sicherheitslücken gegeben haben. Ebenfalls ist es sinnvoll, Anwendungen, die nicht mehr benötigt werden, auch wieder zu löschen. Sonst wundert man sich irgendwann, was da noch alles rumliegt und Ärger macht.

Es ist mir klar, dass einige mit solchen Aufgaben überfordert sind. In diesem Fall ist es sinnvoll, solche Sachen nicht selbst zu machen, sondern jemanden damit zu beauftragen. Managed Services sind keine Dämonen, sondern durchaus sinnvoll.

Mit freundlichen Grüßen

Jan Brosowski


§202c StGB- Juristischer Podcast

Ein sehr schöner Podcast zum Thema §202c, aus juristischer Perspektive.

http://www.law-podcasting.de/der-neue-202c-stgb-quo-vadis-hacker-paragraph 

Am besten gefallen mir die Stellen:

“Was sich zunächst relativ alltäglich und profan anhört, könnte sich für die im Bereich der IT-Sicherheit Beschäftigten relativ schnell zum Super- GAU entwickeln, wenn eine Staatsanwaltschaft oder ein Gericht ihr Handeln einmal auf Herz und Nieren prüfen sollte.”

“Der Gesetzgeber hat – wie so häufig in der letzten Zeit – in einem vollkommenen Wahn die gesetzlichen Änderungen im Online-Bereich durchgepeitscht, ohne auf die berechtigte Kritik von Rechts oder Links Rücksicht zu nehmen.  All dies zeigt – wieder einmal – wie dilettantisch inzwischen in diesem Bereich gearbeitet wird.”

“Aha, ein kleiner Trost also für die Betroffenen. Sollte es Ermittlungsverfahren geben, wird man also das Gesetz ändern. Hier offenbart sich der gesamte Wahnsinn des gesetzgeberischen Verhaltens.”

Fassen wir also zusammen: Das Gesetz ist ein dilettantisches Werk eines sich im Wahn befindlichen Gesetzgebers. Er hat berechtigte Einsprüche ignoriert, und will nun abwarten, was so passieren kann.

Etwas ist ja schon passiert: TecChannel hat das BSI wegen der Verbreitung von Hacker-Tools angezeigt. Die Ermittlungsverfahren wurden eingestellt, der ermittelnde Staatsanwalt erkannte keinen subjektiven Tatbestand.

Das mit dem subjektiven Tatbestand ist verständlich – die Intention des BSI wird wohl kaum das Vorbereiten einer Straftat gewesen sein. Allerdings hat der Staatsanwalt das nicht ermittelt, sondern hat schon bei den Vorüberlegungen abgebrochen. Zwar schreibt er

“Andererseits soll es zur Verwirklichung des Tatbestandes genügen, wenn dem Tool nach dem Willen des Handelnden zumindest auch die Zweckbestimmung zukommt, eine Computerstraftat zu begehen.”,

doch relativiert er es wieder auf der vierten Seite seines Schreibens:

“Schließlich muss durch das Handeln jedoch eine andere Tat, nämlich ein (rechtswidriges und unbefugtes) Ausspähen oder Abfangen von Daten, vorbereitet werden. Hier genügt [...] grundsätzlich ein Eventualvorsatz. Allerdings muss der Täter auch beim sogenannten “dolus eventualis” dies andere Tat zumindest in groben Zügen vor Augen haben. Es reicht für die Erfüllung des subjektiven Tatbestandes daher nicht hin, damit zu rechnen (oder gar lediglich rechnen zu müssen), dass irgend eine andere Person das überlassene Tool zum Ausspähen  irgendwelcher Daten benutzen könnte. Vielmehr muss über die allgemeine Möglichkeit eines derartigen Einsatzes des Programms hinaus eine grobe Vorstellung des Handelnden darüber vorliegen, welche konkrete Tat verwirklicht werden könnte”

Super! Es hängt also von der Fantasie, der Kreativität und dem Umfeld eines Täters ab, ob er eine Straftat begeht oder nicht. Wenn ich mir beim besten Willen nicht vorstellen kann, wer ein Tool wofür gebrauchen könnte, mache ich mich nicht strafbar. Wenn ich das aber kann, oder jemanden kenne, der da was plant, muss ich sofort alle Links von meiner Homepage entfernen, den Kontakt einstellen und per MiB-Blitzdings alles aus seinem Hirn löschen, was ich ihm zum Thema IT-Sicherheit gesagt habe.


Virus mit Heartbeat…

Ungepatchte Sicherheitslücken in Windows 2000 sind nervig. Klar, die Systeme sollten eh demnächst ausgemustert werden, aber diese Form von Virus war mir bislang unbekannt: Wenn das Virus sich nicht beim Infektor regelmäßig meldet, probiert dieser eine neue Infektion.

Wie genau das Virus auf die Systeme gekommen ist, konnte ich noch nicht endgültig nachvollziehen. Soweit nur soviel:

  • Der Infektor fordert den zu infizierenden Rechner auf, eine bestimmte Datei herunterzuladen und diese auszuführen.
  • Die Datei startet einen Prozess und wird an verschiedene Stellen im system32-Verzeichnis von Windows kopiert und dabei umbenannt. Hier wird sie zumindest von Sophos gefunden und auch wieder gelöscht. Der Prozess läßt sich aber nicht abschießen, ein zweiter Prozess überwacht den ersten und startet ihn neu. Allerdings verzichten die Prozesse darauf, mit dem Virenscanner ein Wettbewerb zu machen, wer schneller auf der Festplatte löscht oder schreibt. Sie bleiben im Speicher und laufen dort vor sich hin.
  • Die Prozesse bauen regelmäßig eine Verbindung zum Infektor auf und melden sich dort, gleichzeitig versuchen sie, andere Rechner über die Lücke zu infizieren.
  • Schaltet man das infizierte System dann aus, um es mit einem Virenscanner von LiveCD zu scannen, ist der Virus weg – er war ja nur im Arbeitsspeicher.
  • Ist das System wieder da, meldet sich aber gleich wieder der Infektor, um neu zu infizieren. Die regelmäßige Meldung des infizierten System ist ausgeblieben, also wird eine neuerliche Infektion probiert. Außerdem versucht gleich darauf ein vom neu gestarteten Rechner infizierter Rechner, das Virus neu einzubringen. Wenn der Infektor weg ist, wird dieser neu infiziert…

Insgesamt ein schlüssiges Konzept, wenn die Maschinen nicht alle gleichzeitg ausgeschaltet werden. Ich hoffe, es gibt nicht zu viele Infektoren außerhalb unseres Subnetz, sonst müssen wir noch sehr viel mehr IPs sperren.


Löschen einer defekten Festplatte

Wie löscht man eine Festplatte, die defekt ist und auf die nicht mehr zugegriffen werden kann? Eine Platte mit sehr sensiblen Daten gab den Geist auf, und der Eigentümer wollte sicherstellen, dass niemand mehr – auch mit Datenrettungsmethoden – an die Inhalte rankommt.

Auf Anhieb gibt’s dabei ein Problem: shred und dd versagen gnadenlos, da mit Software nicht mehr auf die Platte zu komen war. Die lief nicht mal mehr an.

Also bleiben drei (auch nach militärischen Normen korrekte Varianten): Schreddern, Degaussen und Erhitzen.

Die erste Variante leuchte ein: Physische Gewalt zum zerlegen der Platte in kleine Stücke und dann kontrolliertes Einschmelzen der Metallteile. Perfektes Recycling. Leider kann man es nicht mal eben im Büro machen, außer mit starken Brennern und schweren Tiegeln zum Kochen. Außerdem möchte ich nicht wissen, welche Gase dabei entstehen können.

Alternative 2, das Entmagnetisieren, ist da schon einfacher. Am bequemsten dürfte es mit einem fertigen Gerät für diesen Zweck gehen, beispielsweise der Degausser DG.02 von Ibas . Das Gerät liefert etwa 1,15 Tesla, was sehr viel mehr ist, als der Schreibstrom beim Beschreiben der Platte. Allerdings sind die Geräte nicht so weit verbreitet,als dass in jeder Firma irgendwo einer rumsteht.

Magnet-Resonanz-Tomographen, oder auch Kernspintomatographen, stehen schon häufiger bei irgendwelchen Radiologen herum. Die Geräte schaffen auch 3 Tesla , das sollte also locker ausreichen. Daher aber auch die Empfehlung: Nicht an der Notebooktasche festkrallen, wenn man nach einem Unfall eben mal in die Röhre muss. Die Daten wären weg. Und um Eckart von Hirschhausen zu zitieren:

“Also sprechen Sie vor der Untersuchung mit der Assistentin über Ihren Herzschrittmacher, und auch über Ihr Intimpiercing!”

Der Herzschrittmacher würde warm werden, die Elektronik würde gestört und an den Leitungen würden Spannungen entstehen – ziemlich tötlich. Was am Piercing entsteht, möge man sich bitte selbst vorstellen.

Alternative 3 ist übrigens auch interessant: Wenn man die Platte genug erhitzt, verlieren die ferromagnetischen Stoffe irgendwann ihre magnetischen Eigenschaften und richten sich chaotisch aus. Man spricht dabei von der Curie-Temperatur . Angenehmer – oder unangenehmer – Nebeneffekt: Für Festplatten liegt diese Temperatur etwa bei 700°C, sämtliche Kunststoffteile sind dann bestimmt auch weg.

Wir haben das Problem übrigens mit Schraubendrehern (zum Demontieren), einem Excenterschleifer (zum Zerkratzen der magnetischen Beschichtung auf den Platten) und einer Lötlampe (zum Glühen der Magnetscheiben nach dem Zerkratzen) gelöst. Der Plattenbesitzer hat alle Teile mitgenommen und möchte Sie nun irgendwie entsorgen.