Dataleaks TrueCrypt que podrían traicionar la opción "Sistema de archivos denegable"

3

Al leer " Operación Satyagraha ", uno tendría que creer que debe proporcionar todos los recursos utilizados que los investigadores tenían Algunas razones para creer que había datos para descifrar, aunque en teoría y en la práctica, los volúmenes TrueCrypt deberían ofrecer un " deniable sistema de archivos ".

¿Cuáles son las posibles fuentes de fugas de datos de TrueCrypt que podrían traicionar la opción "Sistema de archivos denegable", y cuáles son las contramedidas para vencerlas?

    
pregunta blunders 16.02.2012 - 00:11
fuente

5 respuestas

5

El artículo no menciona cómo los investigadores encontraron la presencia de un volumen de truecrypt (que podría ser fácilmente su respuesta :))

Una de las dos formas en que puedes usar Truecrypt es haciendo contenedores que básicamente es un volumen cifrado , guardado como un archivo de tamaño fijo en su disco. Si bien hay formas de tratar de detectar un volumen truecrypt (análisis de entropía, etc.), no he oído hablar de uno que puede detectar el volumen con autoridad.

Puede haber otras indicaciones en la unidad que podrían apuntar hacia la presencia de un volumen cifrado. Ejemplos triviales podrían ser:

  • Presencia de un archivo (con una extensión .mpg?) que realmente no pertenece a ningún formato de datos conocido
  • El archivo mencionado anteriormente es de exactamente 1 GB !! (o de un tamaño fijo igual a un número entero de MB, KB)
  • Entradas abiertas recientemente en varios softwares / registros que indican rutas como P: \ video.mpg (o /mnt/t/video.mpg en * nix) donde no existe dicho recurso compartido de archivos / montaje en el momento de la investigación. O los registros del navegador / caché de páginas abiertas desde Truecrypt mount.
  • Programas que realizan guardados automáticos: guarda sus datos en una caché de disco no cifrada mientras visualiza / edita un archivo desde un volumen cifrado que está montado actualmente.

Ninguno de los anteriores dice de manera concluyente la presencia de una unidad cifrada (ni siquiera cuando se considera colectivamente), pero puede consolidar su creencia si tiene razones para creer que hay algún volumen cifrado.

    
respondido por el CodeExpress 16.02.2012 - 01:54
fuente
4

Para volúmenes externos, la negabilidad plausible es bastante débil. Después de todo, ¿qué otra cosa podría ser una partición o un archivo lleno de datos aleatorios?

Para volúmenes internos es un poco mejor: el espacio libre de las particiones TrueCrypt está lleno de datos aleatorios, por lo que el volumen oculto no es especial.

Cuando no esté utilizando el cifrado del sistema, es probable que el sistema operativo contenga rastros de truecrypt y de uso de archivos en unidades que no estén presentes.

Un sistema operativo raramente utilizado en un volumen externo también es un poco sospechoso.

    
respondido por el CodesInChaos 16.02.2012 - 00:37
fuente
3

Los datos cifrados (ya sea truecrypt o cualquier otro software) siempre se verán raros: los documentos de texto, etc., tendrán un aspecto regular o normal . Los archivos que contienen imágenes, música, datos comprimidos, etc., tendrán un encabezado que será útil para identificarlos. Incluso los programas (archivos .exe) tendrán una estructura específica.

Los datos cifrados se verán como datos aleatorios que no se parecen a ningún otro formato de datos. Si está buscando algo dentro de una computadora sospechosa y encuentra un archivo grande (o una partición o un volumen completo) que parece totalmente aleatorio, bueno ... no es un archivo normal y lo analizará, y Apuesto a que está encriptado.

Entonces, ¿cómo ocultar un archivo grande que se ve diferente a un archivo normal?

Para ocultar un contenedor truecrypt (o cualquier otro programa), simular que es un archivo regular: sería un tipo de esteganografía que necesita un archivo mucho más grande que los datos que se ocultan. Así que, para fines prácticos, impráctico.

Otra forma de ocultar datos aleatorios es hacer que todo lo demás (o casi) también sea aleatorio. Entonces, uno "guardaría" datos aleatorios en todo el espacio vacío en el disco duro, incluso si ese no es el contenido de otra cosa. Pero dejaría claro que estás tratando de ocultar algo.

La única alternativa real: no permita que nadie obtenga su HDD, por lo que no pueden saber si tiene algún archivo sospechoso dentro.

    
respondido por el woliveirajr 16.02.2012 - 16:22
fuente
1
  

¿Cuáles son las posibles fuentes de fugas de datos de TrueCrypt que podrían traicionar la opción "Sistema de archivos denegable", y cuáles son las contramedidas para vencerlas?

TrueCrypt en sí mismo es bastante bueno para NO recordar nada de lo que haces. Así que las fugas son principalmente el resultado de sus propias acciones.

Sin embargo, hay un problema que TrueCrypt no puede resolver.

Suponiendo que tienes una partición encriptada. Está lleno de datos aleatorios. Ahora piense en esta situación en la que tiene una imagen previa y una imagen posterior del trabajo (como editar un archivo) que ha realizado en la misma partición. El análisis diferencial podría decirle a los investigadores que sí tienen algo en dicha partición. Peor aún, incluso señala a los investigadores a algunos segmentos específicos en el disco. Ahí va la negación.

Este defecto está totalmente relacionado con TrueCrypt, pero es costoso solucionarlo.

    
respondido por el Nam Nguyen 16.02.2012 - 18:35
fuente
1

Si TrueCrypt está instalado y se usa en un disco volátil (CD que no es de arranque directo), evidentemente es trivial hacer más que solo detectar el volumen, Encontré esto hoy .

Si se instala en un HD, TrueCrypt evidentemente filtra información sobre el volumen, el último acceso, la ubicación y (a través de una serie de scripts) es posible extraer claves y métodos de cifrado.

Además, dependiendo de su sistema operativo, es posible extraer texto sin formato de la memoria caché del sistema ...

    
respondido por el Mike 15.05.2014 - 17:40
fuente

Lea otras preguntas en las etiquetas