TCHunt: TrueCrypt-Container aufspüren
von caschy | 33 Kommentare
Verschlüsselung ist wichtig. Nicht nur, wenn man in der Cloud Daten speichert, sondern auch am PC kann es mal sein, dass man gewissen Daten lieber für sich behält. Schließlich könnte der PC gestohlen werden, oder irgend jemand schnüffelt neugierigerweise. Die Sache ist: mit TrueCrypt kann man wunderbar Container mit Daten erstellen. Total sicher, bis jetzt meines Wissens unknackbar.
Aber: TrueCrypt-Container lassen sich mit TCHunt aufspüren, da diese gewissen Charakteristika aufweisen. Nicht falsch verstehen: die Verschlüsselung bleibt bestehen – trotz alledem kann es in gewissen Situationen sicherlich zu Diskussionen kommen, warum man denn einen TrueCrypt-Container auf dem PC hat. Bislang war man ziemlich sicher und so ein Container unauffindbar… (via)
Wird geladen ...
@Robert
Du hast meiner Meinung nach die Sache nicht 100% verstanden. Es geht ja nicht darum, das jemand den Schlüssel findet. Das Problem ist, daß jemand jetzt weiss, daß du ein Auto (Truecrypt-File) besitzt. Was dann weiter passiert… Keine Ahnung. Ich bin mir allerdings sehr sicher, das wenn dieses Tool z.B. bei einer Zollkontrolle im Land der unbegrenzten Möglichkeiten anspringt, man kaum um eine Herausgabe des Passwortes herumkommt.
Vorher konnte man mit diversen Tools Dateien Suchen, die größer als normale sind, und die sich genauer anschauen. Kleinst Container sind ja eher uninteressant.
Aber wie im erste Kommentar erwähnt: Man kann sagen, die datei ist merkwürdig (ich bezweifle das ein normaler Mensch ein paar GB damit verschwendet Zufallsdaten zu lagern…) aber genau sagen mit welchem Programm verschlüsselt wurde und andere Details bleiben verborgen.
Das ganze ist übrigens schon seit dem TrueCrypt von Tatverdächtigen genutzt wurde bekannt, da vor jahren bereits vor dem Allheilmittel Verschlüsselung gewarnt wurde – und den LKAs traue ich durchaus zu, dass sie sich ein ähnliches Tool wie oben basteln können oder basteln lassen konnten. Und knacken – Brutforce ist nicht gerade effektiv.
Plausible deniability ist das Stichwort: http://de.wikipedia.org/wiki/Glaubhafte_Abstreitbarkeit#Informationstechnik und
http://de.wikipedia.org/wiki/TrueCrypt#Konzept_der_glaubhaften_Abstreitbarkeit
Bedeutet im Zweifelsfall kann ich ganz offen damit umgehen encryption zu nutzen, nur hilft es dem Angreiffer/Beobachter nix, selbst wenn er aus mir unter sonst welchen Umständen das Passwort rausquetscht.
Wenn der Zoll euren Laptop kontrollieren will, dann macht er das auch. Ihr könnt und dürft euch gar nicht dagegen wehren!
Also nicht hier blöde Sprüche loslassen!
@TC unknackbar
Stimmt für geklaute TC-Container, aber nicht ganz:
http://www.h-online.com/security/news/item/Bootkit-bypasses-hard-disk-encryption-742721.html
@Thalon
Jo, hast recht. Truecrypt ist geknackt. Hast du deine Quelle mal durchgelesen? Wenn ich eine Kamera über deine Tastatur montiere und dann die Passworteingabe mitschneide, ist Truecrypt dann geknackt?
Na, ich weiss nicht. Bei mir verwechselt TCHunt ein Firmware-Image mit einem TC-Container, erkennt dafür aber mein TC-Containerfile (mit *.tc-Endung!) nicht, obwohl deren Grösse das Modulo-512-Kriterium erfüllt.
Das File ist 10 GB gross, dh. die Bytezahl kann mit 32-Bit-Integers nicht dargestellt werden – ob da wohl jemand versäumt hat, mit doppelt breiten Integers zu programmieren?
Jeder, der hier nen verschlüsselten Container in der Dropbox hat, wird wohl kaum so sicherheitssensible Daten da drin haben, dass er im Falle einer Zollkontrolle nicht sofort das Passwort preisgeben würde bzw. damit ein Problem hätte…
nicht nur TC Container, sondern auch
mit TrueImage erstellte .tib dateien
@Staatsfreund: Es mag ja sein, dass der Zoll mich kontrollieren darf, ob er allerdings schrankenlosen Zugriff auf alle meine persönlichen Daten unter Verletzung von Persönlichkeitsrechten, Bankgeheimnis, informationeller Selbstbestimmung und anderen Rechten darf würde ich bezweifeln. Richtig mag vielleicht auch sein, dass man sich gegen bestimmte Maßnahmen des Zolls nicht wehren darf, ob man es nicht kann, gerade was Verschlüsselung von Kommunikation und Daten angeht, würde ich bezweifeln. Wenn der Zoll den Inhalt meines TrueCrypt Containers auf meinem Rechner sehen möchte und ich das Passwort nicht heraus gebe, was wird wohl passieren: die werden das Gerät einkassieren. Ob sie dann erreichen was sie wollen – nämlich meine verschlüsselten Daten abzugreifen – ich würde es bezweifeln.
Hiho,
bin zufällig auf diese Seite gestoßen und muss sagen, dass sie mir sehr gefällt.
zu diesem thema hier muss ich sagen, dass das tool mein tc-container nicht findet. dieser hat auch keine datei-endung und die größe ist wohl auch nicht standard, zudem ist die datei versteckt (wobei das wohl das kleinste prob sein sollte). funzt somit wohl nicht immer.
Ich hab mal meinen Ordner durchgescannt – alle findet er, nur die die mit http://keyj.emphy.de/real-steganography-with-truecrypt/ dem KeJ Script in nem Video versteckt wurden eben nicht 😀 – sollte ich wohl mehr mit dem Script verschlüsseln 😀
Ach, das Verstecken im Vidoe dürfte auch nur mäßigen Nutzen haben. Das ist mittlerweile schon so bekannt, das wohl jeder Forensiker mit Bedarf an sowas, der sein Geld Wert ist, auch schon ein tool zum Scannen von Videos hat… Es ist etwas schwieriger als TChunt, aber die Auffälligkeiten innerhalb dieser Videos sind halt… auffällig, wenn man die Datei analysiert.