TCHunt: TrueCrypt-Container aufspüren
von caschy | 33 Kommentare
Verschlüsselung ist wichtig. Nicht nur, wenn man in der Cloud Daten speichert, sondern auch am PC kann es mal sein, dass man gewissen Daten lieber für sich behält. Schließlich könnte der PC gestohlen werden, oder irgend jemand schnüffelt neugierigerweise. Die Sache ist: mit TrueCrypt kann man wunderbar Container mit Daten erstellen. Total sicher, bis jetzt meines Wissens unknackbar.
Aber: TrueCrypt-Container lassen sich mit TCHunt aufspüren, da diese gewissen Charakteristika aufweisen. Nicht falsch verstehen: die Verschlüsselung bleibt bestehen – trotz alledem kann es in gewissen Situationen sicherlich zu Diskussionen kommen, warum man denn einen TrueCrypt-Container auf dem PC hat. Bislang war man ziemlich sicher und so ein Container unauffindbar… (via)
Wird geladen ...
„Q. Can TCHunt differentiate between encrypted data and random data?
A. No. That’s not possible. (…)“ http://16s.us/TCHunt/faq/
Auffindbar waren sie auch schon vorher, genau so wie es möglichkeiten gibt Hidden-Container zu finden. Solang das Passwort aber stimmt, kann der böse wicht im schlimmsten Fall die Container-Datei löschen.
Ich für meinen Teil hab den Containern eine .tc gegönnt, doppelklick und TC öfnet sich 🙂
Okey…. Auch die „versteckten“ Container?
Und wenn man das z.B. in einem jpeg versteckt?
@CS: wie waren die auffindbar?
@CS: Das würde mich jetzt auch mal interessieren
Genau, wie sieht’s damit aus?
http://keyj.s2000.at/?p=458
Nun das Tool macht nichts anderes als nach Dateien zu suchen, bei denen die Dateigröße ein Vielfaches von 512 ist, ein statistischer Test zeigt dass es Datenmüll ist (und nicht zb. eine korrupte Datei) und welche keinen „richtigen“ Dateiheader haben. Name und Extension sind völlig egal.
Alles Methoden, die Forensiker schon lange verwenden, nur jetzt in einem Tool zusammengefasst. Wenn man den Container aber in ein Videofile einbettet (http://keyj.s2000.at/?p=458) sollte das Tool es IMHO nicht finden.
Also demjenigen, der auf meinem Rechner nach Truecryptcontainern schnüffelt, bin ich wirklich keine Erklärung über die Existenz dieser Container schuldig 😉
@Matthi, wenn das der Zöllner am JFK Flughafen ist, dann fliegst du mit Glück gleich wieder nach Hause, mit Pech nicht.
Na, immerhin kann ich Container auf einem Linux Dateisystem erstellen, womit das Tool nicht umgehen kann 😉
@Volker Hett:
Ist ja auch richtig so: Immerhin könnten da schwerste Verbrechen versteckt werden.
Daher: Keiner hat das Recht, sich nicht selbst zu belasten. Das ist eh schon lange gang und gäbe!!!
Bald wird es auch in Deutschland Beugehaft für diejenigen geben, die der Ansicht sind, sie dürften etwas verbergen!!!
Benutzt doch einfach ein sicheres Passwort…
Wenn der Schnüffler schon sieht das TrueCrypt installiert ist, ist er doch schon alamiert und mit ein bisschen Googlen findet er auch passende Tools.
Verschlüsselt doch einfach auch noch das Betriebssystem und schon wird das Schnüffeln ein wenig auffwändiger.
Oh mann, ich finde dieser ganze hype führt zu nixs und wieder nixs. Erstmal sollte sich jeder klarmachen, das nicht jede datei schützenswert ist.
Zugangsdaten sind zu schützen oder kundendaten. Wenn jemand wirklich an meine daten will dann kommt er auch drann.
Cold boot attac on encryption keys
http://wiki.chaostreff.ch/Festplattenverschl%25C3%25BCsselung#Arbeitsspeicher
http://citp.princeton.edu/memory/
@Volker Hett
Für die sch…. Amis gibt es aber eine einfache Lösung. Truecrypt in die Dropbox und erst im Land syncen (Oder einfach den Truecrypt-Container auf irgendeinen Hoster packen)
@Staatsfreund:
Alles in Ordnung bei dir? Wieder beruhigt?
@ Volker Hett
Der Zöllner hat ja nun mal gar nichts auf meinem Laptop zu suchen. Seit wann sind Daten denn zu verzollen?
Zum Thema auffindbar hab ich mich mal mit einem Forensiker unterhalten: Man kann über einen Whitelist-Abgleich Dateien identifizieren, die möglicherweise einen TC-Container enthalten.
„Unsichtbare“ Container lassen sich über Checks in der Registry aufspüren: Windows merkt sich, welche Partitionen gemountet wurden. Das kann man dann mit den ebenfalls in der Registry gespeicherten USB-Sticks vergleichen und so die „unsichtbaren“ Container identifizieren.
Benutze „BestCrypt –Portable-„ in Verbindung mit „Easy File Locker“ und habe festgestellt, dass mit „Defraggler von Piriform“ sich über Blockansicht der Inhalt (Datei-Name) einzelner Blöcke anzeigen lässt. Also der Containername und natürlich auch die Dateiendung. Große Dateien fallen ja zwangsläufig auf.
Meine Frage: Ist das bei TrueCryt–Containern anders?
Q. Can TCHunt break encryption or brute-force my encrypted password?
A. No.
Keine weiteren Fragen!
Das ist ungefähr genauso als wenn ich weiss da hat jemand einen Autoschlüssel – trotzdem komm ich nicht in sein Auto rein. Oder die Bank da hat einen Safe – toll!