GLF

[TorKung]

Hallo, ich habe einiges gelesen zu TrueCrypt, den verschiedenen Verschlüsselungsmethoden, Hin- und Herspiegelungen usw. Da ich an meine Kontodaten täglich muß frage ich mich, ob bzw. warum es nicht reicht, sensible Daten auf einer mit TC vollverschlüsselten externen Platte zu haben? Anschließen, Passwort eingeben, Kontostand abrufen, Platte schließen, Platte (weit) weglegen - reicht das nicht? Inwiefern nicht?

Danke!

TorKung

[dex]

Ja, für Kontodaten reicht das. Wenn Du allerdings ein Bankkonto in der Schweiz führst, das steuerrechtlich, ähm, interessant ist, oder bei dem Du nicht 100% ausschliessen kannst, dass es steuerrechtlich interessant sein könnte, dann würde ich Dir unbedingt Folgendes anraten:

- Truecrypt-Komplettverschlüsselung der Systempartition.

- Hidden-Container Option von Truecrypt nutzen, um plausbile Abstreitbarkeit zu ermöglichen.

- Container auf ner externen Platte ansiedeln. Auf dieser nur portable Apps installieren. Also, wenn Du z.B. Deinen Kontostand von der externen Platte aus einsehen willst, dies von dort aus mit (zb. openoffice portable) machen.

- Passwort mindestens 20-25 Zeichen, Gross- und Kleinbuchstaben, Zahlen, Sonderzeichen.


Zum einfachsten Verständnis empfehle ich Semper Videos Youtube-Kanal.

http://www.youtube.com/watch?v=5uvKrFy-Gx4

Ps. Steuerhinterziehung ist kein Kavalliersdelikt. Das soll hier keine Aufforderung / Anleitung / Vereinfachung / Anstiftung zur Begehung einer Straftat oder zur Kaschierung einer solchen sein, sondern lediglich der Versuch, die Frage von TorKung in einem hypothetischen Sinn zu beantworten. Ich empfehle diese Einrichtung dringendst[ auch dann, wenn man lediglich im Sinn hat, den portablen Browser, mit dem man das GLF und themenspezifische Seiten aufruft, auf einer externen Platte abzustellen.

[TorKung]

Dex, vielen Dank.

Ich kenne nur den Unterschied zwischen "Container erstellen"->Create an Encrypted File Container", also eine große Datei auf der Festplatte oder eben "Encrypt a non-system partition/drive".

Was alsoo meinst Du mit "Truecrypt-Komplettverschlüsselung der Systempartition." - das wäre idR. ja "C:/"

Danke nochmal!

[dex]

Keine Ursache. Ja, das wäre dann C:/

http://www.fixmbr.de/truecrypt-anleitun ... partition/
oder
http://www.netzwelt.de/news/77155-tutor ... sseln.html

Hab's nicht durchgelesen, sollte aber reichen, denke ich.

[Gelöscht_10]

Ich habe das im VOA-Forum schonmal (sinngemäß) geschrieben und halte folgende Vorgensweise für sicherer:

- USB-Stick mit ausreichend Größe und Geschwindigkeit
-> USB-Stick komplett verschlüsseln mit TC
-> auf dem Stick ein virtuelles Betriebssystem einrichten (mit VMware Player z.B. - das scheint mir die beste Lösung bzgl. Sicherheit und Performance)
-> alles, was sicher sein soll, nur in diesem virtuellen Betriebssystem machen

Falls man auf diesen Stick zu sprechen kommt: Der ist neu und wurde nie benutzt, oder von mir aus auch frisch formatiert oder z.B. mit CCleaner überspielt, weil darauf ein paar persönliche sensible Daten waren. Wichtig zu wissen: Dass der Stick verschlüsselt ist, lässt sich nur - und wirklich nur - mit Kenntnis des Passwortes nachweisen! Unter Druck setzen lassen sollte man sich also auf keinem Fall.

Falls Jemand wegen der installierten VMware und der Datei mit dem Gastbetriebssystem fragt (den Verweis dazu cached VMware), dafür ist es gut, einen zweiten, unverschlüsselten Stick zu haben, auf dem wiederum nur ein Dummy-Betriebssystem ist, um z.B. sagen zu können: "Ich wollte das mit dem Windows im Windows mal ausprobieren", oder anders: "Ich wollte mal Linux testen, ohne das auf meiner Platte installieren zu müssen".

Das hat einige Vorteile. Denn wenn man eine TC-Volume im normalen Windows mountet, dann hinterlässt das in Registry, temporären Dateien, History, gecachte [RAM-] Fragmente (Auszüge von E-Mails, oder PIN's für's Konto z.B.) etc. auf der Festplatte - also so viele Spuren, dass sich ggf. nachweisen lässt, dass eine verschlüsselte TC-Volume existiert oder überhaupt illegale Aktivitäten ließen sich alleine dadurch schon nachweisen. Alle Spuren zu löschen ist schier aussichtslos - wenn diese dagegen in einem virtuellem Gastsystem wie z.B. in VMware, aber eben mit diesem auf einer verschlüsselten Platte liegen, dann kann man kaum bis gar nichts mehr nachweisen. Denn alles andere bleibt sauber.

ggf. müsste man noch eine ideale Config der VMware durchgehen, damit auch sich z.B. auch keine Fragmente ausgelagerten Speichers auf der Hostsystemplatte wiederfinden. Grundsätzlich aber scheint mir das derzeit als sicherste Lösung übrhaupt.

lg kim

[gelöscht_20]

dummyfrage

aber lässt sich das nicht auch ohne vmware machen als bootbarer stick der verschlüsselt ist?

sollte es machbar sein, was spricht dagegen?

[Gelöscht_10]

sollte es machbar sein, was spricht dagegen?

Ein bootbarer Stick ist als solcher erkennbar (er hat eine Bootpartition, die sogar noch eindeutig TrueCrypt zugeordnet werden kann) - zumal das nicht weniger bequem ist, als die Variante mit dem virtuellen Betriebssystem.

Wie rechtfertigst Du denn den bootbaren USB-Stick und dass dieser verschlüsselt ist?

lg kim

[dex]

und halte folgende Vorgensweise für sicherer(...)

*zustimm*.

[Perma]

Wie rechtfertigst Du denn den bootbaren USB-Stick und dass dieser verschlüsselt ist?

Muß man in Deutschland irgendetwas rechtfertigen?

[Ovid]

@kimblery:
Bei der VMPlayer-Methode muss man aber zusätzlich dem Host-Betriebssystem vertrauen.

Während bei dem Live-OS (bootbarer Stick) man nur der Hardware+Firmware vertrauen muss. (Es sei denn man bootet mit einem Software-Bootloader und nicht mit dem vom BIOS)

[Annika]

Theoretisch wären noch sog. fehlerhafte Sektoren auf Festplatte oder SSD eine Sicherheitslücke (hab ich mal gehört). Diese werden nämlich von der Firmware gesperrt und können nicht mehr mit üblichen Tools gelöscht werden.

D.h. es sollte eine neue Festplatte benutzt werden.
(allerdings hatte ich auch schon auf neu gekauften Festplatten Dateien wiederherstellen können - war eine vom Fachhändler)

Vertrauen ist gut Kontrolle ist besser. Alles was Dateien und Registry betrifft kann mit RegShot überprüft werden.

Zum BIOS. Wäre mal interessant zu überprüfen was im BIOS Flash so passiert. Gibt es dafür irgendwelche Tools?

[Ovid]

Theoretisch wären noch sog. fehlerhafte Sektoren auf Festplatte oder SSD eine Sicherheitslücke (hab ich mal gehört). Diese werden nämlich von der Firmware gesperrt und können nicht mehr mit üblichen Tools gelöscht werden.

Dazu einige Anmerkungen:

- Wenn man eh verschlüsselt speichert, dann dürften unlöschbare fehlerhafte Sektoren nicht problematisch sein. Problematisch wird es erst dann, wenn man versucht Klardaten von der Festplatte zu löschen.

- Wenn die Sektoren eh fehlerhaft sind, ist es ohnehin unwahrscheinlich noch verwertbare Daten auszulesen. Aber es ist nicht ganz auszuschließen. Das stimmt.

- Es müssten schon eine beachtliche Menge fehlerhafter Sektoren hintereinander ausfallen, damit überhaupt ein identifizierbarer Cluster an Datenworten ausgelesen werden kann. Bevor das der Fall ist, ist die Festplatte ohnehin hinüber, weil die Anzahl an Ersatzsektoren begrenzt ist.

- Man kann bevor man eine Festplatte mit Klardaten verschlüsseln will, mit Tools SMART-Daten der Platte auslesen um festzustellen ob sich darauf fehlerhafte Sektoren befinden

Vertrauen ist gut Kontrolle ist besser. Alles was Dateien und Registry betrifft kann mit RegShot überprüft werden.

Mit Regshot lassen sich "Schnappschüsse" von Zuständen der Registry machen um sie mit späteren "Schnappschüssen" von Zuständen zu vergleichen.
Damit lässt sich nachvollziehen, was Software oder das OS selbst vor und nach einer Operation an der Registry ändert.
Es gibt allerdings Rootkits, die Änderungen der Registry während der Laufzeit erfolgreich verstecken.
Ein Start-Eintrag ist dann also nur zum Startzeitpunkt des Betriebssystems sichtbar und alle weiteren Zugriffe (auch im RAW Modus auf die Datei) entdecken die Änderung nicht.

Zum BIOS. Wäre mal interessant zu überprüfen was im BIOS Flash so passiert. Gibt es dafür irgendwelche Tools?

Die Hersteller der Chipsätze bieten meist Tools zum Flashen des BIOS an, vor allem für Updates und Bugfixes.

[Gelöscht_10]

Während bei dem Live-OS (bootbarer Stick) man nur der Hardware+Firmware vertrauen muss.

Wie meinst Du das? Wenn Du nur einen Stick nutzt, der verschlüsselt ist und auf dem das Live-OS ist, dann bräuchtest Du definitiv ausführbaren Code, der wiederum auf die Verschlüsselung des Sticks hinwiesen ließe.

Zudem mir das zu kompliziert wäre und ich mal nicht nebenher etwas ganz normales - zum Beispiel spielen - machen könnte. Sonst bräuchte ich ja überhaupt kein Haupt- oder Hostsystem .

Zum Vertrauen des Host-Systems dürfte es am wichtigsten sein, die Auslagerungsdatei für den Arbeitsspeicher ganz abzuschalten und die Übernahme der Zwischenablage zwischen beiden Betriebssystemen ebenfalls zu deaktivieren. Ein Trojander (oder ähnliche Schadsoftware) auf dem Host-System dürfte dann noch die größte Gefahr darstellen.

lg kim

[Ovid]

Wie meinst Du das? Wenn Du nur einen Stick nutzt, der verschlüsselt ist und auf dem das Live-OS ist, dann bräuchtest Du definitiv ausführbaren Code, der wiederum auf die Verschlüsselung des Sticks hinwiesen ließe.

Beispiel:
Hardware-Keylogger. Dann hat man dein Passwort im Klartext.

Weiteres Beispiel:
Firmware rootkits in PCI Controllern, im BIOS oder der Firmware von Netzwerkkarten.
Ziel: Die Schlüssel aus dem RAM auslesen und irgendwo zu speichern.

Wenn man von einem Software-Bootloader das LiveSystem bootet, dann muss man zusätzlich diesem vertrauen, weil dieser beispielsweise einen Thread nebenher laufen lassen oder Interrupts hooken könnte, die eben eingetippte Passwörter oder die Schlüssel aus dem RAM während der Laufzeit abfängt/ausliest.

Ein Trojaner (oder ähnliche Schadsoftware) auf dem Host-System dürfte dann noch die größte Gefahr darstellen.

Jupp.

Bei VMPlayer: Man muss sowohl Hardware+Firmware als auch Software Bootloader + OS vertrauen.

[Gelöscht_10]

Deine Beispiele sind genauso auf Deine Variante anwendbar. Hardware-Angriffe halte ich aber für wesentlich unwahrscheinlicher, als Software-Angriffe.

Wir müssen festhalten, dass nichts zu 100% schützt. Aber man sollte deshalb auch nicht aufgeben und gar nichts tun.

lg kim