TCHunt: TrueCrypt-Container aufspüren

Verschlüsselung ist wichtig. Nicht nur, wenn man in der Cloud Daten speichert, sondern auch am PC kann es mal sein, dass man gewissen Daten lieber für sich behält. Schließlich könnte der PC gestohlen werden, oder irgend jemand schnüffelt neugierigerweise. Die Sache ist: mit TrueCrypt kann man wunderbar Container mit Daten erstellen. Total sicher, bis jetzt meines Wissens unknackbar.

Aber: TrueCrypt-Container lassen sich mit TCHunt aufspüren, da diese gewissen Charakteristika aufweisen. Nicht falsch verstehen: die Verschlüsselung bleibt bestehen – trotz alledem kann es in gewissen Situationen sicherlich zu Diskussionen kommen, warum man denn einen TrueCrypt-Container auf dem PC hat. Bislang war man ziemlich sicher und so ein Container unauffindbar… (via)

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

caschy

Hallo, ich bin Carsten! Ich bin gelernter IT-Systemelektroniker und habe das Blog 2005 gegründet. Seit 2008 ist es Beruf(ung). Baujahr 1977, Dortmunder im Norden, BVB-Fan und Vater eines Sohnes. Auch zu finden bei LinkedIn, Twitter, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

33 Kommentare

  1. „Q. Can TCHunt differentiate between encrypted data and random data?

    A. No. That’s not possible. (…)“ http://16s.us/TCHunt/faq/

  2. Auffindbar waren sie auch schon vorher, genau so wie es möglichkeiten gibt Hidden-Container zu finden. Solang das Passwort aber stimmt, kann der böse wicht im schlimmsten Fall die Container-Datei löschen.

    Ich für meinen Teil hab den Containern eine .tc gegönnt, doppelklick und TC öfnet sich 🙂

  3. Okey…. Auch die „versteckten“ Container?

  4. Und wenn man das z.B. in einem jpeg versteckt?

  5. @CS: wie waren die auffindbar?

  6. dolbyabsurddesign says:

    @CS: Das würde mich jetzt auch mal interessieren

  7. Nun das Tool macht nichts anderes als nach Dateien zu suchen, bei denen die Dateigröße ein Vielfaches von 512 ist, ein statistischer Test zeigt dass es Datenmüll ist (und nicht zb. eine korrupte Datei) und welche keinen „richtigen“ Dateiheader haben. Name und Extension sind völlig egal.

    Alles Methoden, die Forensiker schon lange verwenden, nur jetzt in einem Tool zusammengefasst. Wenn man den Container aber in ein Videofile einbettet (http://keyj.s2000.at/?p=458) sollte das Tool es IMHO nicht finden.

  8. Also demjenigen, der auf meinem Rechner nach Truecryptcontainern schnüffelt, bin ich wirklich keine Erklärung über die Existenz dieser Container schuldig 😉

  9. @Matthi, wenn das der Zöllner am JFK Flughafen ist, dann fliegst du mit Glück gleich wieder nach Hause, mit Pech nicht.

  10. 3lektrolurch says:

    Na, immerhin kann ich Container auf einem Linux Dateisystem erstellen, womit das Tool nicht umgehen kann 😉

  11. Staatsfreund says:

    @Volker Hett:

    Ist ja auch richtig so: Immerhin könnten da schwerste Verbrechen versteckt werden.

    Daher: Keiner hat das Recht, sich nicht selbst zu belasten. Das ist eh schon lange gang und gäbe!!!

    Bald wird es auch in Deutschland Beugehaft für diejenigen geben, die der Ansicht sind, sie dürften etwas verbergen!!!

  12. Benutzt doch einfach ein sicheres Passwort…
    Wenn der Schnüffler schon sieht das TrueCrypt installiert ist, ist er doch schon alamiert und mit ein bisschen Googlen findet er auch passende Tools.
    Verschlüsselt doch einfach auch noch das Betriebssystem und schon wird das Schnüffeln ein wenig auffwändiger.

  13. Oh mann, ich finde dieser ganze hype führt zu nixs und wieder nixs. Erstmal sollte sich jeder klarmachen, das nicht jede datei schützenswert ist.

    Zugangsdaten sind zu schützen oder kundendaten. Wenn jemand wirklich an meine daten will dann kommt er auch drann.

    Cold boot attac on encryption keys
    http://wiki.chaostreff.ch/Festplattenverschl%25C3%25BCsselung#Arbeitsspeicher
    http://citp.princeton.edu/memory/

  14. leosmutter says:

    @Volker Hett

    Für die sch…. Amis gibt es aber eine einfache Lösung. Truecrypt in die Dropbox und erst im Land syncen (Oder einfach den Truecrypt-Container auf irgendeinen Hoster packen)

  15. @Staatsfreund:

    Alles in Ordnung bei dir? Wieder beruhigt?

  16. @ Volker Hett
    Der Zöllner hat ja nun mal gar nichts auf meinem Laptop zu suchen. Seit wann sind Daten denn zu verzollen?

  17. Zum Thema auffindbar hab ich mich mal mit einem Forensiker unterhalten: Man kann über einen Whitelist-Abgleich Dateien identifizieren, die möglicherweise einen TC-Container enthalten.

    „Unsichtbare“ Container lassen sich über Checks in der Registry aufspüren: Windows merkt sich, welche Partitionen gemountet wurden. Das kann man dann mit den ebenfalls in der Registry gespeicherten USB-Sticks vergleichen und so die „unsichtbaren“ Container identifizieren.

  18. Benutze „BestCrypt –Portable-„ in Verbindung mit „Easy File Locker“ und habe festgestellt, dass mit „Defraggler von Piriform“ sich über Blockansicht der Inhalt (Datei-Name) einzelner Blöcke anzeigen lässt. Also der Containername und natürlich auch die Dateiendung. Große Dateien fallen ja zwangsläufig auf.

    Meine Frage: Ist das bei TrueCryt–Containern anders?

  19. Q. Can TCHunt break encryption or brute-force my encrypted password?
    A. No.

    Keine weiteren Fragen!

    Das ist ungefähr genauso als wenn ich weiss da hat jemand einen Autoschlüssel – trotzdem komm ich nicht in sein Auto rein. Oder die Bank da hat einen Safe – toll!

Bevor du deinen Kommentar abschickst:
Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor.

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.