TrueCrypt dataleaks che potrebbero tradire l'opzione "File system inaffidabile"

3

Leggendo in " Operazione Satyagraha ", si dovrebbe credere di dare tutte le risorse utilizzate che gli investigatori avevano alcuni motivi per credere che esistessero dati da decifrare, anche se in teoria e in pratica i volumi TrueCrypt dovrebbero offrire un " deniable" file system ".

Quali sono le possibili fonti di fuga di dati TrueCrypt che potrebbero tradire l'opzione "File system inaffidabile" e quali sono le contromisure per sconfiggerle?

    
posta blunders 16.02.2012 - 00:11
fonte

5 risposte

5

L'articolo non menziona come hanno fatto gli investigatori a trovare la presenza di TrueCrypt Volume (che potrebbe essere facilmente la tua risposta allora :))

Uno dei due modi in cui puoi utilizzare TrueCrypt consiste nel rendere contenitori che fondamentalmente è un volume crittografato , salvato come un file di dimensioni fisse sul disco. Mentre ci sono modi per provare a rilevare un volume di TrueCrypt (analisi di entropia, ecc.), Non ho sentito parlare di uno che può autorevolmente rilevare il volume.

Ci possono essere altre indicazioni sul disco che potrebbe puntare alla presenza del volume crittografato. Esempi banali potrebbero essere:

  • Presenza di un file (con estensione .mpg?) che in realtà non appartiene a nessun formato di dati conosciuto
  • Il file di cui sopra è di esattamente 1GB !! (o di una dimensione fissa uguale a un numero intero di MB, KB)
  • Voci aperte di recente in vari software / log che indicano percorsi come P: \ video.mpg (o /mnt/t/video.mpg in * nix) dove non esiste alcuna condivisione di file / mount al momento dell'indagine. Oppure i registri del browser / cache di pagine aperte formano TrueCrypt.
  • Programmi che eseguono salvataggi automatici: il salvataggio dei dati nella cache del disco non crittografato durante la visualizzazione / modifica di un file dal volume crittografato attualmente montato.

Nessuno dei precedenti afferma in modo definitivo la presenza di un'unità crittografata (nemmeno se considerata collettivamente), ma può consolidare la tua convinzione se hai motivi per ritenere che esista un volume crittografato.

    
risposta data 16.02.2012 - 01:54
fonte
4

Per i volumi esterni la negabilità plausibile è piuttosto debole. Dopotutto cos'altro potrebbe essere una partizione o un file pieno di dati casuali.

Per i volumi interni è un po 'meglio: lo spazio libero delle partizioni TrueCrypt è pieno di dati casuali, quindi il volume nascosto non è speciale.

Quando non si utilizza la crittografia di sistema, il sistema operativo conterrà probabilmente tracce di TrueCrypt e di utilizzo di file su unità che non sono presenti.

Anche un sistema operativo usato raramente in un volume esterno è un po 'sospetto.

    
risposta data 16.02.2012 - 00:37
fonte
3

I dati crittografati (sia TrueCrypt o qualsiasi altro software) avranno sempre un aspetto strano: i documenti di testo, ecc. avranno un aspetto regolare o normale . I file che contengono immagini, musica, dati compressi, ecc, avranno un'intestazione che sarà utile per identificarlo. Anche i programmi (file .exe) avranno una struttura specifica.

I dati crittografati appariranno come dati casuali che non assomigliano a nessun altro formato di dati. Se stai cercando qualcosa in un computer sospetto e trovi un file di grandi dimensioni (o partizione, o un intero volume) che sembra totalmente casuale, beh ... non è un file normale e lo analizzerai, e tu scommetto che è crittografato.

Quindi, come nascondere un grande file che sembra diverso da un file normale?

Per nascondere un contenitore di TrueCrypt (o qualsiasi altro programma), fingendo che sia un normale archivio: sarebbe una sorta di steganografia che ha bisogno di un file molto più grande dei dati che sono nascosti. Quindi, per scopi pratici, poco pratico.

Un altro modo per nascondere i dati casuali è quello di rendere tutto (o quasi) anche casuale. Quindi, si "salvare" dati casuali in tutto lo spazio vuoto nel disco rigido, anche se questo non è il contenuto di qualsiasi altra cosa. Ma chiarirebbe che stai cercando di nascondere qualcosa.

L'unica vera alternativa: non permettere a nessuno di prendere il tuo HDD, quindi non possono sapere se hai qualche file sospetto al suo interno.

    
risposta data 16.02.2012 - 16:22
fonte
1

What are possible sources of TrueCrypt data leaks that might betray the "Deniable File System" option, and what are counter-measures to defeat them?

TrueCrypt stesso è piuttosto bravo a non ricordare nulla di ciò che fai. Quindi le perdite sono principalmente il risultato delle tue azioni.

Tuttavia c'è un problema che TrueCrypt non può risolvere.

Supponendo di avere una partizione crittografata. È pieno di dati casuali. Ora pensa a questa situazione in cui hai una pre-immagine e post-immagine del lavoro (come la modifica di un file) che hai fatto alla stessa partizione. L'analisi differenziale potrebbe dire agli investigatori che effettivamente avete qualcosa in questa partizione. Peggio ancora, individua persino gli investigatori su determinati segmenti sul disco. Ci va rifiuto.

Questo difetto è totalmente con TrueCrypt, ma è costoso da risolvere.

    
risposta data 16.02.2012 - 18:35
fonte
1

Se TrueCrypt è installato e utilizzato su un disco volatile (CD non live-boot), è evidentemente banale fare molto più che rilevare il volume, L'ho trovato oggi .

Se installato su un HD, TrueCrypt trapelare evidentemente informazioni sul volume, l'ultimo accesso, posizione e (tramite una serie di script) è possibile estrarre chiavi e metodi di crittografia.

Inoltre, a seconda del tuo sistema operativo, potrebbe essere possibile estrarre testo normale dalla cache di sistema ...

    
risposta data 15.05.2014 - 17:40
fonte

Leggi altre domande sui tag