TCHunt: TrueCrypt-Container aufspüren

Verschlüsselung ist wichtig. Nicht nur, wenn man in der Cloud Daten speichert, sondern auch am PC kann es mal sein, dass man gewissen Daten lieber für sich behält. Schließlich könnte der PC gestohlen werden, oder irgend jemand schnüffelt neugierigerweise. Die Sache ist: mit TrueCrypt kann man wunderbar Container mit Daten erstellen. Total sicher, bis jetzt meines Wissens unknackbar.

Aber: TrueCrypt-Container lassen sich mit TCHunt aufspüren, da diese gewissen Charakteristika aufweisen. Nicht falsch verstehen: die Verschlüsselung bleibt bestehen – trotz alledem kann es in gewissen Situationen sicherlich zu Diskussionen kommen, warum man denn einen TrueCrypt-Container auf dem PC hat. Bislang war man ziemlich sicher und so ein Container unauffindbar… (via)

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Hallo, ich bin Carsten! Ich bin gelernter IT-Systemelektroniker und habe das Blog 2005 gegründet. Seit 2008 ist es Beruf(ung). Baujahr 1977, Dortmunder im Norden, BVB-Fan und Vater eines Sohnes. Auch zu finden bei Twitter, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

33 Kommentare

  1. leosmutter says:

    @Robert

    Du hast meiner Meinung nach die Sache nicht 100% verstanden. Es geht ja nicht darum, das jemand den Schlüssel findet. Das Problem ist, daß jemand jetzt weiss, daß du ein Auto (Truecrypt-File) besitzt. Was dann weiter passiert… Keine Ahnung. Ich bin mir allerdings sehr sicher, das wenn dieses Tool z.B. bei einer Zollkontrolle im Land der unbegrenzten Möglichkeiten anspringt, man kaum um eine Herausgabe des Passwortes herumkommt.

  2. Vorher konnte man mit diversen Tools Dateien Suchen, die größer als normale sind, und die sich genauer anschauen. Kleinst Container sind ja eher uninteressant.
    Aber wie im erste Kommentar erwähnt: Man kann sagen, die datei ist merkwürdig (ich bezweifle das ein normaler Mensch ein paar GB damit verschwendet Zufallsdaten zu lagern…) aber genau sagen mit welchem Programm verschlüsselt wurde und andere Details bleiben verborgen.

    Das ganze ist übrigens schon seit dem TrueCrypt von Tatverdächtigen genutzt wurde bekannt, da vor jahren bereits vor dem Allheilmittel Verschlüsselung gewarnt wurde – und den LKAs traue ich durchaus zu, dass sie sich ein ähnliches Tool wie oben basteln können oder basteln lassen konnten. Und knacken – Brutforce ist nicht gerade effektiv.

  3. Plausible deniability ist das Stichwort: http://de.wikipedia.org/wiki/Glaubhafte_Abstreitbarkeit#Informationstechnik und
    http://de.wikipedia.org/wiki/TrueCrypt#Konzept_der_glaubhaften_Abstreitbarkeit

    Bedeutet im Zweifelsfall kann ich ganz offen damit umgehen encryption zu nutzen, nur hilft es dem Angreiffer/Beobachter nix, selbst wenn er aus mir unter sonst welchen Umständen das Passwort rausquetscht.

  4. Staatsfreund says:

    Wenn der Zoll euren Laptop kontrollieren will, dann macht er das auch. Ihr könnt und dürft euch gar nicht dagegen wehren!

    Also nicht hier blöde Sprüche loslassen!

  5. @TC unknackbar
    Stimmt für geklaute TC-Container, aber nicht ganz:
    http://www.h-online.com/security/news/item/Bootkit-bypasses-hard-disk-encryption-742721.html

  6. leosmutter says:

    @Thalon

    Jo, hast recht. Truecrypt ist geknackt. Hast du deine Quelle mal durchgelesen? Wenn ich eine Kamera über deine Tastatur montiere und dann die Passworteingabe mitschneide, ist Truecrypt dann geknackt?

  7. Na, ich weiss nicht. Bei mir verwechselt TCHunt ein Firmware-Image mit einem TC-Container, erkennt dafür aber mein TC-Containerfile (mit *.tc-Endung!) nicht, obwohl deren Grösse das Modulo-512-Kriterium erfüllt.
    Das File ist 10 GB gross, dh. die Bytezahl kann mit 32-Bit-Integers nicht dargestellt werden – ob da wohl jemand versäumt hat, mit doppelt breiten Integers zu programmieren?

  8. Jeder, der hier nen verschlüsselten Container in der Dropbox hat, wird wohl kaum so sicherheitssensible Daten da drin haben, dass er im Falle einer Zollkontrolle nicht sofort das Passwort preisgeben würde bzw. damit ein Problem hätte…

  9. SacklZement says:

    nicht nur TC Container, sondern auch
    mit TrueImage erstellte .tib dateien

  10. @Staatsfreund: Es mag ja sein, dass der Zoll mich kontrollieren darf, ob er allerdings schrankenlosen Zugriff auf alle meine persönlichen Daten unter Verletzung von Persönlichkeitsrechten, Bankgeheimnis, informationeller Selbstbestimmung und anderen Rechten darf würde ich bezweifeln. Richtig mag vielleicht auch sein, dass man sich gegen bestimmte Maßnahmen des Zolls nicht wehren darf, ob man es nicht kann, gerade was Verschlüsselung von Kommunikation und Daten angeht, würde ich bezweifeln. Wenn der Zoll den Inhalt meines TrueCrypt Containers auf meinem Rechner sehen möchte und ich das Passwort nicht heraus gebe, was wird wohl passieren: die werden das Gerät einkassieren. Ob sie dann erreichen was sie wollen – nämlich meine verschlüsselten Daten abzugreifen – ich würde es bezweifeln.

  11. Hiho,

    bin zufällig auf diese Seite gestoßen und muss sagen, dass sie mir sehr gefällt.

    zu diesem thema hier muss ich sagen, dass das tool mein tc-container nicht findet. dieser hat auch keine datei-endung und die größe ist wohl auch nicht standard, zudem ist die datei versteckt (wobei das wohl das kleinste prob sein sollte). funzt somit wohl nicht immer.

  12. Ich hab mal meinen Ordner durchgescannt – alle findet er, nur die die mit http://keyj.emphy.de/real-steganography-with-truecrypt/ dem KeJ Script in nem Video versteckt wurden eben nicht 😀 – sollte ich wohl mehr mit dem Script verschlüsseln 😀

  13. Ach, das Verstecken im Vidoe dürfte auch nur mäßigen Nutzen haben. Das ist mittlerweile schon so bekannt, das wohl jeder Forensiker mit Bedarf an sowas, der sein Geld Wert ist, auch schon ein tool zum Scannen von Videos hat… Es ist etwas schwieriger als TChunt, aber die Auffälligkeiten innerhalb dieser Videos sind halt… auffällig, wenn man die Datei analysiert.

Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor.

Du willst nichts verpassen?

Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.