In letzter Zeit häufen sich Berichte wie Dieser. Bei Google gibt es mittlerweile viele solcher Artikel. Komischerweise sind die allermeisten davon von heise, andere Medien greifen das Thema offenbar nicht so stark auf. Aber auch reddit und andere Foren sind voll von diskutierenden Nutzern. Grund genug, sich mal damit zu beschäftigen und seine eigenen Festplatten zu prüfen.
Worum geht es eigentlich? Es geht um Betrug, offenbar von einem oder mehreren Festplatten-Händlern. Kurz gesagt wurden gebrauchte Festplatten offenbar als Neuware verkauft. Bislang ist das Medienecho, dass irgendwer gebrauchte Festplatten (z. B. vom mittlerweile aus der Mode gekommenem chia-Farming) nimmt, sie rebrandet und als Neuware verkauft. Dem Hersteller Seagate selbst werden derzeit wenig Vorwürfe gemacht zu diesem Thema. Warum auch, Seagate selbst nimmt meines Wissens nach keine gebrauchten Festplatten zurück. However: Warum ausgerechnet Seagate-Festplatten? Seagate ist jetzt nicht das Problem, sondern eher ein Teil der Lösung. Es dürften auch Festplatten anderer Hersteller betroffen sein (namentlich von Toshiba und Western Digital, weil viel mehr andere Festplattenhersteller gibt es nicht mehr), aber das ist offenbar nicht nachweisbar. Bei Seagate-Festplatten kann man etwaigen Betrug dieser Art aber nachweisen, weil Seagate im Gegensatz zu den anderen Festplattenherstellern vereinfacht gesagt spezielle zusätzliche interne Logs – sogenannte “Farm-Daten” – schreibt, die die Betrüger nicht kannten oder nicht reseten konnten. Und wenn man diese Farm-Daten ausliest, haben einige Festplatten wohl plötzlich deutlich höhere Betriebszeiten als man es von Neuware vermuten sollte. Ich als Seagate-Fanboy habe seit Jahren was HDDs mit großer Kapazität angeht ausschließlich Seagate-HDDs im Einsatz und kann diese Festplatten auch nur weiter empfehlen. Nicht nur der Preis und die Langlebigkeit, sondern auch diese Geschichte mit dem Betrug jetzt zeigt, dass man mit Seagate-Festplatten besser fährt. Weil wenn man Festplatten anderer Hersteller hat, kann einem (stand heute) niemand mit Sicherheit sagen, ob die eigene Festplatte bei diesem Betrug betroffen ist.
Aber Moment mal, sind genau dafür – um die Betriebsstunden einer Festplatte auszulesen – nicht die sogenannten SMART-Daten da? Ja. Und man sollte eigentlich auch meinen, dass diese Daten vertrauenswürdig sind. Aber die SMART-Daten der Festplatten konnten offenbar zurückgesetzt werden. Die SMART-Daten sind Festplatten-Interna, die herstellerübergreifend in einem standardisierten Format in der Festplatte gespeichert und von speziellen Tools ausgelesen werden können. (Falls du einfach mal auf die Schnelle die Smart-Daten deiner Festplatten mal auslesen willst: Ein Klassiker hier ist z. B. CrystalDiskInfo.)
Die Farm-Daten wurden jedoch nicht zurück gesetzt, das hat die Betrüger verraten. SMART-Daten sollten eigentlich auch nicht zurücksetzbar sein, weil sie das ja useless macht, aber es ging offenbar doch irgendwie laut den Berichten. Und wären die SMART-Daten nicht resetet worden, wäre der Betrug auch schon deutlich früher aufgeflogen. Wenn man eine Neue Festplatte kauft, kann man mal die SMART-Daten checken, um zu schauen, ob man wirklich Neuware bekommen hat, so die Theorie. Und das machen durchaus auch viele Käufer. Ich hab aber noch keinen Bericht darüber gefunden, wie die Betrüger die SMART-Daten ändern/zurücksetzen konnten und ich gehe auch davon aus, dass es nicht einfach ist. Selbst in meinem an der HS-AlbSig absolvierten IT-Forensik-Studium (fachlich sehr anspruchsvoll, man lernt ausgesprochen viel, der Studiengang ist wirklich empfehlenswert) kamen wir nicht darauf zu sprechen, dass SMART-Daten gefälscht sein könnten. Man hat sich bislang auf SMART-Daten verlassen. Ich gehe auch nicht davon, dass jedes Script-Kiddie SMART-Daten fälschen kann. Aber wir müssen der Realität nunmal ins Auge blicken: Wenn die Betriebsdauer (“power on hours”) laut Farm-Daten größer ist als sie laut SMART-Daten sein sollte, dann wurde die Festplatte wohl von Betrügern als Neuware rebrandet. Und genau das ist wohl bei nicht gerade wenigen Festplatten passiert. Also nochmal fürs Protokoll: Wenn man eine als Neuware deklarierte Festplatte kauft, sollte diese sowohl laut SMART-Daten als auch laut Farm-Daten einen power-on-hours-Wert von 0 haben. Aber bei den besagten rebrandeten Festplatten haben sie eben nur laut SMART-Daten einen power-on-hour-Wert von 0 Stunden, nicht aber laut den Seagate-spezifischen Farm-Daten.
Ok, alles schön und gut, aber wie prüfe ich nun, ob meine Seagate-Festplatte von dem betrügerischem Rebranding betroffen ist? Das ist gar nicht so einfach, wie ich anfangs dachte. Ich hab keine Möglichkeit gefunden, mit den eigentlich ganz praktischen SeaTools von Seagate diese FARM-Daten auszulesen.
Einige Händler kommen jetzt in die Bredouille, dass sie unbewusst gebrauchte Festplatten als Neuware weiterverkauft haben, haben aber das Problem erkannt und bieten deshalb Ersatz an. Dann findet man z. B. diesen Artikel von Galaxus, der aber nur grob beschreibt, wie es geht, aber einige mögliche Stolpersteine nicht erklärt. Deshalb gibt es diesen Artikel mit ausführlichen Infos, Screenshots, etc.
Da die meisten Leute und auch sehr viele Power-User Windows benutzen, habe ich mal auf Windows die FARM-Daten ausgelesen um potenzielles Rebranding und damit Betrug zu erkennen und möchte hier erklären, wie das geht. Da man, wenn man IT inkl. Redundanz und Backups ordentlich machen will, öfters mal Festplatten braucht, habe ich auch immer ein paar Reserve-Festplatten auf Vorrat. Laut heise sind ST16000NM000J und auch IronWolf-Festplatten betroffen. Eben die Festplatten, die man so verwendet, wenn man IT professionell macht. Praktisch, dass ich genau diese Festplatten tatsächlich in meinem HDD-Vorrat mit unbenutzten Festplatten habe (gekauft irgendwann letztes Jahr, vor Bekanntwerden dieses Betrugs):
Nun habe ich diese Festplatten dann zum ersten mal angeschlossen. Zwar nicht zur normalen Nutzung, sondern zur Analyse in einer Festplatten Docking-Station, in dem man HDDs direkt reinstecken und dann per USB an den Rechner anschließen kann:
Wer so ein Gerät nicht hat, für den gibt es mehrere weitere Möglichkeiten. Man kann seinen Rechner aufschrauben und die Festplatte einfach direkt per SATA ans Mainboard anschließen. Man kann aber auch einfach ein leeres Festplattengehäuse benutzen, in das man die Festplatte dann einbaut.
Ich habe zur weiteren Analyse dann smartmontools verwendet. Wie installiert man das? Nein, leider nicht per chocolatey. Weil da gibt es – stand heute – nur smartmontools v7.3. Um Farm-Daten auszulesen brauchen wir aber smartmontools v7.4 oder höher. Ich habe von hier die smartmontools-7.4-1.win32-setup.exe benutzt. Das muss man installieren und ist dann als “smartctl” per Kommandozeile verfügbar.
Dann kann die Analyse losgehen.
Alle im Folgenden beschriebenen Befehle erfordern eine als Administrator gestartete Konsole.
Zunächst scannt man erstmal die Namen der Festplatten mit “smartctl –scan”:
Ich habe für diesen Test mein Notebook mit NVME-SSD verwendet und oben beschriebene Festplatten angeschlossen. /dev/sdb und /dev/sdc sind also eindeutig die beiden externen Seagate-Festplatten. Und ja, auch wenn man das unter Windows ausführt, wird das mit /dev/sdX benannt, nicht wundern. Die Festplatte /dev/sdb kann ich aufgrund der Kapazität (16TB) mit dem Befehl “smartctl -a /dev/sdb” als die Exos-Festplatte in Bay 1 von der HDD-Docking-station identifizieren:
/dev/sdc ist folglich die 8TB-Iron-Wolf-HDD in Bay 2.
Spoiler: Ich zeige das jetzt hier alles nur für /dev/sdb, weil die Schritte und in meinem Fall auch die Resultate sind für /dev/sdb und /dev/sdc die Gleichen.
Zunächst liest man mittels “smartctl -A /dev/sdb” die SMART-Daten aus:
Hier sieht man wie bei einer bislang quasi unbenutzten Festplatte erwartet einen power-on-hours-Wert von 1. Dann vergleicht man das mit “smartctl -l farm /dev/sdb” mit den Farm-Daten:
Auch hier sieht man ebenfalls einen power-on-hours-Wert von 1. Hurra, diese HDD ist offenbar tatsächlich Neuware.🎉
Was heißt das nun? Wenn der power-on-hours bei SMART-Daten und FARM-Daten gleich ist, ist es unwahrscheinlich, dass die Festplatte von Betrügern rebrandet wurde. Ansonsten sollte man sich beim Händler melden und wenn man nicht gerade in China bestellt hat sondern bei einem seriösen deutschen Händler, dann kann man erwarten, dass der Händler einem eine gleichwertige tatsächlich neue Festplatte liefert. Ob man das macht, ist aufgrund des Aufwand-Nutzen-Verhältnisses jedem selbst überlassen. Man muss sich ins Gedächtnis rufen, dass die Seagate-Festplatten nicht deshalb als Gebrauchtware entlarvt worden sind, weil sie früher als erwartet ausgefallen sind, weil sie in Wirklichkeit schon älter waren, sondern nur, weil jemand sich mal die Mühe gemacht hat, die FARM-Daten auslesen. Die Festplatten funktionierten ja trotzdem offenbar sehr lange. Ich selbst habe seit 2015 ausschließlich Seagate-HDDs gekauft (insgesamt mehrere Dutzend) und habe viele davon auch seit Jahren im 24/7-Einsatz. Bislang sind nur die ältesten Festplatten vereinzelt kaputt gegangen. Also entweder ist diese Betrugsmasche sehr neu, oder die Festplatten halten heutzutage so lange, dass es einfach nicht auffällt, wenn man Festplatten mit 10k Betriebsstunden als Neuware verkauft. Aber sie werden natürlich trotzdem nicht so lange wie tatsächlich neue Festplatten halten.
Update 2025-02-26:
Nachdem ich gestern Abend diesen Artikel veröffentlicht habe, gibts just in time einen neuen heise-Artikel zu dem Thema. Long story short: Seagate versucht diese Händler bzw. Betrüger zu identifizieren, aber so richtig wissen, wer die Festplatten mit mal mehr mal weniger Aufwand rebrandet, tut man wohl immer noch nicht.
Update 2025-03-10:
Auch die Farm-Werte scheinen mittlerweile von den Betrügern manipuliert werden können.