TCHunt: TrueCrypt-Container aufspüren

Verschlüsselung ist wichtig. Nicht nur, wenn man in der Cloud Daten speichert, sondern auch am PC kann es mal sein, dass man gewissen Daten lieber für sich behält. Schließlich könnte der PC gestohlen werden, oder irgend jemand schnüffelt neugierigerweise. Die Sache ist: mit TrueCrypt kann man wunderbar Container mit Daten erstellen. Total sicher, bis jetzt meines Wissens unknackbar.

Aber: TrueCrypt-Container lassen sich mit TCHunt aufspüren, da diese gewissen Charakteristika aufweisen. Nicht falsch verstehen: die Verschlüsselung bleibt bestehen – trotz alledem kann es in gewissen Situationen sicherlich zu Diskussionen kommen, warum man denn einen TrueCrypt-Container auf dem PC hat. Bislang war man ziemlich sicher und so ein Container unauffindbar… (via)

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Hallo, ich bin Carsten! Baujahr 1977, Dortmunder im Norden, BVB-Getaufter und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

33 Kommentare

  1. „Q. Can TCHunt differentiate between encrypted data and random data?

    A. No. That’s not possible. (…)“ http://16s.us/TCHunt/faq/

  2. Auffindbar waren sie auch schon vorher, genau so wie es möglichkeiten gibt Hidden-Container zu finden. Solang das Passwort aber stimmt, kann der böse wicht im schlimmsten Fall die Container-Datei löschen.

    Ich für meinen Teil hab den Containern eine .tc gegönnt, doppelklick und TC öfnet sich 🙂

  3. Okey…. Auch die „versteckten“ Container?

  4. Und wenn man das z.B. in einem jpeg versteckt?

  5. @CS: wie waren die auffindbar?

  6. dolbyabsurddesign says:

    @CS: Das würde mich jetzt auch mal interessieren

  7. Nun das Tool macht nichts anderes als nach Dateien zu suchen, bei denen die Dateigröße ein Vielfaches von 512 ist, ein statistischer Test zeigt dass es Datenmüll ist (und nicht zb. eine korrupte Datei) und welche keinen „richtigen“ Dateiheader haben. Name und Extension sind völlig egal.

    Alles Methoden, die Forensiker schon lange verwenden, nur jetzt in einem Tool zusammengefasst. Wenn man den Container aber in ein Videofile einbettet (http://keyj.s2000.at/?p=458) sollte das Tool es IMHO nicht finden.

  8. Also demjenigen, der auf meinem Rechner nach Truecryptcontainern schnüffelt, bin ich wirklich keine Erklärung über die Existenz dieser Container schuldig 😉

  9. @Matthi, wenn das der Zöllner am JFK Flughafen ist, dann fliegst du mit Glück gleich wieder nach Hause, mit Pech nicht.

  10. 3lektrolurch says:

    Na, immerhin kann ich Container auf einem Linux Dateisystem erstellen, womit das Tool nicht umgehen kann 😉

  11. Staatsfreund says:

    @Volker Hett:

    Ist ja auch richtig so: Immerhin könnten da schwerste Verbrechen versteckt werden.

    Daher: Keiner hat das Recht, sich nicht selbst zu belasten. Das ist eh schon lange gang und gäbe!!!

    Bald wird es auch in Deutschland Beugehaft für diejenigen geben, die der Ansicht sind, sie dürften etwas verbergen!!!

  12. Benutzt doch einfach ein sicheres Passwort…
    Wenn der Schnüffler schon sieht das TrueCrypt installiert ist, ist er doch schon alamiert und mit ein bisschen Googlen findet er auch passende Tools.
    Verschlüsselt doch einfach auch noch das Betriebssystem und schon wird das Schnüffeln ein wenig auffwändiger.

  13. Oh mann, ich finde dieser ganze hype führt zu nixs und wieder nixs. Erstmal sollte sich jeder klarmachen, das nicht jede datei schützenswert ist.

    Zugangsdaten sind zu schützen oder kundendaten. Wenn jemand wirklich an meine daten will dann kommt er auch drann.

    Cold boot attac on encryption keys
    http://wiki.chaostreff.ch/Festplattenverschl%25C3%25BCsselung#Arbeitsspeicher
    http://citp.princeton.edu/memory/

  14. leosmutter says:

    @Volker Hett

    Für die sch…. Amis gibt es aber eine einfache Lösung. Truecrypt in die Dropbox und erst im Land syncen (Oder einfach den Truecrypt-Container auf irgendeinen Hoster packen)

  15. @Staatsfreund:

    Alles in Ordnung bei dir? Wieder beruhigt?

  16. @ Volker Hett
    Der Zöllner hat ja nun mal gar nichts auf meinem Laptop zu suchen. Seit wann sind Daten denn zu verzollen?

  17. Zum Thema auffindbar hab ich mich mal mit einem Forensiker unterhalten: Man kann über einen Whitelist-Abgleich Dateien identifizieren, die möglicherweise einen TC-Container enthalten.

    „Unsichtbare“ Container lassen sich über Checks in der Registry aufspüren: Windows merkt sich, welche Partitionen gemountet wurden. Das kann man dann mit den ebenfalls in der Registry gespeicherten USB-Sticks vergleichen und so die „unsichtbaren“ Container identifizieren.

  18. Benutze „BestCrypt –Portable-„ in Verbindung mit „Easy File Locker“ und habe festgestellt, dass mit „Defraggler von Piriform“ sich über Blockansicht der Inhalt (Datei-Name) einzelner Blöcke anzeigen lässt. Also der Containername und natürlich auch die Dateiendung. Große Dateien fallen ja zwangsläufig auf.

    Meine Frage: Ist das bei TrueCryt–Containern anders?

  19. Q. Can TCHunt break encryption or brute-force my encrypted password?
    A. No.

    Keine weiteren Fragen!

    Das ist ungefähr genauso als wenn ich weiss da hat jemand einen Autoschlüssel – trotzdem komm ich nicht in sein Auto rein. Oder die Bank da hat einen Safe – toll!

  20. leosmutter says:

    @Robert

    Du hast meiner Meinung nach die Sache nicht 100% verstanden. Es geht ja nicht darum, das jemand den Schlüssel findet. Das Problem ist, daß jemand jetzt weiss, daß du ein Auto (Truecrypt-File) besitzt. Was dann weiter passiert… Keine Ahnung. Ich bin mir allerdings sehr sicher, das wenn dieses Tool z.B. bei einer Zollkontrolle im Land der unbegrenzten Möglichkeiten anspringt, man kaum um eine Herausgabe des Passwortes herumkommt.

  21. Vorher konnte man mit diversen Tools Dateien Suchen, die größer als normale sind, und die sich genauer anschauen. Kleinst Container sind ja eher uninteressant.
    Aber wie im erste Kommentar erwähnt: Man kann sagen, die datei ist merkwürdig (ich bezweifle das ein normaler Mensch ein paar GB damit verschwendet Zufallsdaten zu lagern…) aber genau sagen mit welchem Programm verschlüsselt wurde und andere Details bleiben verborgen.

    Das ganze ist übrigens schon seit dem TrueCrypt von Tatverdächtigen genutzt wurde bekannt, da vor jahren bereits vor dem Allheilmittel Verschlüsselung gewarnt wurde – und den LKAs traue ich durchaus zu, dass sie sich ein ähnliches Tool wie oben basteln können oder basteln lassen konnten. Und knacken – Brutforce ist nicht gerade effektiv.

  22. Plausible deniability ist das Stichwort: http://de.wikipedia.org/wiki/Glaubhafte_Abstreitbarkeit#Informationstechnik und
    http://de.wikipedia.org/wiki/TrueCrypt#Konzept_der_glaubhaften_Abstreitbarkeit

    Bedeutet im Zweifelsfall kann ich ganz offen damit umgehen encryption zu nutzen, nur hilft es dem Angreiffer/Beobachter nix, selbst wenn er aus mir unter sonst welchen Umständen das Passwort rausquetscht.

  23. Staatsfreund says:

    Wenn der Zoll euren Laptop kontrollieren will, dann macht er das auch. Ihr könnt und dürft euch gar nicht dagegen wehren!

    Also nicht hier blöde Sprüche loslassen!

  24. @TC unknackbar
    Stimmt für geklaute TC-Container, aber nicht ganz:
    http://www.h-online.com/security/news/item/Bootkit-bypasses-hard-disk-encryption-742721.html

  25. leosmutter says:

    @Thalon

    Jo, hast recht. Truecrypt ist geknackt. Hast du deine Quelle mal durchgelesen? Wenn ich eine Kamera über deine Tastatur montiere und dann die Passworteingabe mitschneide, ist Truecrypt dann geknackt?

  26. Na, ich weiss nicht. Bei mir verwechselt TCHunt ein Firmware-Image mit einem TC-Container, erkennt dafür aber mein TC-Containerfile (mit *.tc-Endung!) nicht, obwohl deren Grösse das Modulo-512-Kriterium erfüllt.
    Das File ist 10 GB gross, dh. die Bytezahl kann mit 32-Bit-Integers nicht dargestellt werden – ob da wohl jemand versäumt hat, mit doppelt breiten Integers zu programmieren?

  27. Jeder, der hier nen verschlüsselten Container in der Dropbox hat, wird wohl kaum so sicherheitssensible Daten da drin haben, dass er im Falle einer Zollkontrolle nicht sofort das Passwort preisgeben würde bzw. damit ein Problem hätte…

  28. SacklZement says:

    nicht nur TC Container, sondern auch
    mit TrueImage erstellte .tib dateien

  29. @Staatsfreund: Es mag ja sein, dass der Zoll mich kontrollieren darf, ob er allerdings schrankenlosen Zugriff auf alle meine persönlichen Daten unter Verletzung von Persönlichkeitsrechten, Bankgeheimnis, informationeller Selbstbestimmung und anderen Rechten darf würde ich bezweifeln. Richtig mag vielleicht auch sein, dass man sich gegen bestimmte Maßnahmen des Zolls nicht wehren darf, ob man es nicht kann, gerade was Verschlüsselung von Kommunikation und Daten angeht, würde ich bezweifeln. Wenn der Zoll den Inhalt meines TrueCrypt Containers auf meinem Rechner sehen möchte und ich das Passwort nicht heraus gebe, was wird wohl passieren: die werden das Gerät einkassieren. Ob sie dann erreichen was sie wollen – nämlich meine verschlüsselten Daten abzugreifen – ich würde es bezweifeln.

  30. Hiho,

    bin zufällig auf diese Seite gestoßen und muss sagen, dass sie mir sehr gefällt.

    zu diesem thema hier muss ich sagen, dass das tool mein tc-container nicht findet. dieser hat auch keine datei-endung und die größe ist wohl auch nicht standard, zudem ist die datei versteckt (wobei das wohl das kleinste prob sein sollte). funzt somit wohl nicht immer.

  31. Ich hab mal meinen Ordner durchgescannt – alle findet er, nur die die mit http://keyj.emphy.de/real-steganography-with-truecrypt/ dem KeJ Script in nem Video versteckt wurden eben nicht 😀 – sollte ich wohl mehr mit dem Script verschlüsseln 😀

  32. Ach, das Verstecken im Vidoe dürfte auch nur mäßigen Nutzen haben. Das ist mittlerweile schon so bekannt, das wohl jeder Forensiker mit Bedarf an sowas, der sein Geld Wert ist, auch schon ein tool zum Scannen von Videos hat… Es ist etwas schwieriger als TChunt, aber die Auffälligkeiten innerhalb dieser Videos sind halt… auffällig, wenn man die Datei analysiert.