Ich komme mir ja häufiger vor wie Don Quijote. Der Versuch meine Mitmenschen von Dingen wie Datenschutz zu überzeugen ähnelt irgendwie einem Kampf gegen Windmühlen. (Oder der Versuchen den eigenen Schatten zu überholen…)

Das ich mich nie bei Diensten wie StudiVZ angemeldet habe, traf lange Zeit auf Unverständnis. In letzter Zeit fangen aber immer mehr Leute an, ihre Profile wenigstens nicht (komplett) öffentlich zu machen. Wenigstens haben einige erkannt, dass ich wohl doch nicht so einen Blödsinn erzählt habe.  Gäbe es nicht diese ‘I told you so!’-Momente…

Ähnlich sieht es aus, wenn man versucht Leute zum Einsatz von Jabber zu überzeugen. Windmühlen, ich sage nur Windmühlen!

Das tolle an Diensten wie dem MSN-Messenger ist aber, das die Firmen, die hinter diesen Programmen stehen, mittlerweile genau das tun, wovor man (ich) immer gewarnt hat.

Von einem gewissen Standpunkt aus, sind die Maßnahmen von Microsoft ja zu befürworten. So erkennt nämlich auch Otto Normalverbraucher endlich wie der Hase läuft.

Und dann ist er endlich wieder da, mein ‘I told you so!’-Moment. Das Salz in der Suppe des Lebens.

Irgendwie frage ich mich gerade ob die Kommunikation über IM-Messenger unter das Fernmeldegeheimnis fällt…

Juhu, der Frühling ist da. Alle freuen sich. Alle? Nein, ein kleiner Blogger freut sich überhaupt nicht.

Denn Frühling bedeutet vor allem eins, steigende Temperaturen. Das wäre an sich nicht schlimm, gäbe es nicht die deutsche Eigenart ab einer Außentemperatur von knapp 18°C sich sämtlicher überflüssiger (nach der aktuellen Gesetzeslage, an FKK-Stränden kann es auch gerne die gesamte Bekleidung sein) Kleidung zu entledigen. Auch das wäre noch nicht schlimm, schließlich gibt es ja auch den ein oder anderen ansehnlichen Körper. Aber leider ist der Großteil der menschlichen Körper da draußen nicht ansehnlich und jetzt auch nicht mehr verhüllt.

Was wiederum zu nun unverhüllten verhornten Hacken, krampfädrigen Beinen, gelben Zehen, haarigen Achseln und anderen ekligen Sachen führt.

Ist es denn wirklich zuviel verlangt, wenn man schon nicht dazu in der Lage ist seinen Körper zu pflegen ihn wenigstens nicht auch noch so herumzuzeigen, dass allen anwesenden Übel wird?

Manchmal denkt man ja das die Burka gar keine so schlechte Idee ist. (Natürlich für alle. Männer pflegen sich ja noch weniger. ) Oder alternativ einfach eine gesellschaftliche Ächtung von Sandalen und kurzen Hosen.

An dieser Stelle mal eine Anime-Empfehlung:

Bokurano

Kopf->Tisch

Der dämliche (Naja, eigentlich schon irgendwie brauchbare) Exchange 2003 Server aus dem Hause Microsoft unterstützt weder den Reply-To-Tag noch irgendeine einfache Möglichkeit mehreren Nutzern die gleiche Absenderadresse zu geben.

Aber hey, zum Glück hat man ja sowieso noch einen Postfix Server als Proxy laufen, der kann das ja dann mittels Cannonical-Sender-Rewrite mit einer Zeile machen……. ….. ….. …. ….

Besucher des Forums hacksector.cc haben Besuch der Exekutive in Form von Polizei und Staatsanwaltschaft erhalten.

Die Staatsanwaltschaft brüstet sich momentan mit der “Zerschlagung” des 33.000-Nutzer starken Forums einen Schlag gegen die Internetkriminalität gelandet zu haben.

Gut, aus meiner Sicht spricht die gigantische Zahl an Ermittlungen (ganze 11 ) im Kontrast zu den Nutzern eher dafür, dass man einen Treffpunkt der nationalen Script-Kiddie-Szene gefunden hat. Aber, hey, ich habe ja wahrscheinlich auch mehr Ahnung von diesen Dingen als der Durchschnittliche Beamte, der diese Seite beim Surfen im Internet “durch die daran anschließende Überwachung” gefunden hat.

Auch das Alter der Verdächtigen (15-21 Jahre) und das auffinden der Benutzer (Tor, anyone?) lässt meines Erachtens eher auf kleine Fische denn echte Schwerkriminelle schließen.

Gut, ich kenne hacksector.cc nicht. Will ich auch nicht. Aber, echte Hacker oder Leute die sich für das Thema IT-Sicherheit interessieren müssen sich nicht in irgendwelchen dubiosen in schwarz gehaltenen .cc-Foren treffen.  Die können sich auch auf den Seiten rund um IT-Sicherheit informieren, die es zu tausenden im Netz gibt und i.d.r. von Firmen geführt werden (Heise/Slashdot) oder sie chatten gleich in geschützten IRC-Channels.

Aber, was mir viel mehr Sorgen bereitet, als das Schließen einer Script-Kiddie-Seite ist der Verweis auf den neuen §202 c (StGB) der bereits das erstellen von Programmen deren “Zweck es ist” das Ausspähen von Daten.

Dieser Einsatz könnte, je nach Erfolg und dem was die Polizei bei den Durchsuchungen sichergestellt hat, als Musterfall für den neuen Hacker-Paragraphen werden. (Wäre z.B. interessant, ob die “Hacker” z.B. ihre Systeme geschützt/verschlüsselt haben…)

Nach dem neuen Gesetz dürfte auch schon der Besitz der Security-Auditing-Distribution BackTrack oder  der vom BSI herausgegebenen BOSS strafbar sein. Die Frage, ob dies dann auch geahndet wird, dürfte wie so häufig, vom Ermessensspielraum der beteiligten Ermittlern abhängen.

Oder anders ausgedrückt, danach ob der Besitz eines Küchenmessers einem zum potenziellen Mörder macht oder nicht. Hallo, Gedankenverbrechen.

Getestet für Fiesty und Gutsy (Ubuntu 7.04, 7.10, 8.04 LTS)

Festplattenverschlüsselung unter Linux ist in der Regel nicht gerade einfach. Will man es, muss man sich meistens mit langen Kopierorgien abgeben.

Nicht so, mit diesem Howto. Wir werden hier einen Rechner / Notebook so installieren, dass nach der Installation alles verschlüsselt ist und man sofort mit dem System arbeiten kann. Weiterhin wird auch der Ruhezustand so funktionieren, dass der Speicher nicht unverschlüsselt auf die Festplatte geschrieben wird um das Lecken von Informationen zu unterbinden.

Außerdem arbeiten alle mir bekannten Howtos immer nur mit dem (veralteten) aes-cbc-essiv Cipher, hier zeige ich wie man die neuen (sichereren) LRW- und XTS Cipher nutzt.

Der Vorgang hier ist für Ubuntu 8.04 exemplarisch beschrieben, hat aber auch schon mit 7.04 und 7.10 funktioniert (bzw. sollte).

In blau geschriebene Befehle sind in der Konsole auszuführen.

1. Die Ubuntu-Live CD starten. (Ubuntu ausprobieren auswählen)

2. Eine Konsole starten.

3. Die Festplatte wie gewünscht partitionieren.

In der Konsole folgenden Befehl eingeben:

sudo gparted

Man sollte seine Platte wie folgt partitionieren:

Erklärung:

Die 100 MB Partition ist meine boot-Partition. Diese bleibt unverschlüsselt und enthält alles notwendige um Ubuntu später laden zu können. (/dev/sda1)

Die 1,5 Gigabyte Parition ist meine Swap-Partition. (/dev/sd2)

Achtung: Um den Ruhezustand nutzen zu können muss die Swap-Partition mindestens so groß sein, wie der eingebaute Arbeitsspeicher (in meinem Fall 1 Gigabyte). Besser ist, die Partition etwas größer zu machen. (Ich habe in meinem Setup die Größe von 1,5 Gigabyte gewählt.)

Den Rest verwende ich als root-Partition. (/dev/sda3) (Man kann theoretisch auch mehrere Partitionen erstellen. Allerdings verkompliziert dies das Setup, daher lasse ich es. )

Man kann die boot-Partition formatieren, muss es aber nicht. (Ich lasse es.)

Nachdem man mit Bearbeiten->Apply All Operations die Informationen auf die Festplatte geschrieben hat, kann man gparted beenden.

4. Als nächstes muss man das Verschlüsselungsprogramm installieren.

sudo aptitude install cryptsetup

5. Nun muss man die Kernelmodule für die Verschlüsselung laden.

for mod in dm_crypt sha256_generic aes_i586; do sudo modprobe $mod; done

6. Nun geht es ans Erstellen der verschlüsselten Partitionen.

Hinweis:

Wie immer hängt die Sicherheit der Daten vom gewählten Passwort ab.

/dev/sda3 ist bei mir die root-Partition und /dev/sda2 die swap-Partition. Das kann bei Euch abweichen, passt das einfach der Ausgabe von gparted an.

Die root-Partition:

sudo cryptsetup –verify-passphrase –verbose –hash=sha256 –cipher=aes-cbc-essiv:sha256 –key-size=256 luksFormat /dev/sda3

oder

sudo cryptsetup –verify-passphrase –verbose –hash=sha256 –cipher=aes-lrw-benbi –key-size=256 luksFormat /dev/sda3

oder

sudo cryptsetup –verify-passphrase –verbose –hash=sha256 –cipher=aes-xts-plain –key-size=256 luksFormat /dev/sda3

Erkärung:

Die verschiedenen Verschlüsselungsmethoden (Chiffrier-Modie) stehen erst alle in Ubuntu 8.04 (xts-plain ist erst im Kernel 2.6.24 enthalten) zur Verfügung. Ich habe sie der Sicherheit nach geordnet (xts-plain ist das sicherste Modul). Ab Kernel-Version 2.6.20 kann lrw-benbi genutzt werden, davor nur cbc-essiv.
lrw-benbi darf nicht für die Swap-Partition verwendet werden, da es in diesem Fall ein Sicherheitsloch hat!
xts-plain und lrw-benbi ist wohl noch als experimentel eingestuft. (Siehe: http://de.gentoo-wiki.com/DM-Crypt)

Wer auf hohe Sicherheit wert legt und Ubuntu 8.04 einsetzt sollte xts-plain nutzen.

Auf langsamen Computern kann folgende Variante, die etwas unsicherer als die drei oben ist, benutzt werden:

sudo cryptsetup –verify-passphrase –verbose –hash=sha256 –cipher=aes-cbc-essiv:sha256 –key-size=128 luksFormat /dev/sda3

Die swap-Partition:

sudo cryptsetup –verify-passphrase –verbose –hash=sha256 –cipher=aes-cbc-essiv:sha256 –key-size=256 luksFormat /dev/sda2

oder

sudo cryptsetup –verify-passphrase –verbose –hash=sha256 –cipher=aes-xts-plain –key-size=256 luksFormat /dev/sda2

Auf langsamen Computern kann folgende Variante, die etwas unsicherer als die beiden oben ist, benutzt werden:

sudo cryptsetup –verify-passphrase –verbose –hash=sha256 –cipher=aes-cbc-essiv:sha256 –key-size=128 luksFormat /dev/sda2

7. Einbinden der nun verschlüsselten Partitionen

sudo cryptsetup luksOpen /dev/sda2 cryptswap

sudo cryptsetup luksOpen /dev/sda3 cryptroot

sudo mkswap /dev/mapper/cryptswap

8. Minimiere das Terminal, doppelklicke auf Installieren. Wenn Ihr bei der Partitionierung angekommen ist, geht dieses Howto weiter.

9. Partitionieren im Installer

1. Wähle Manuell
   
2. Markiere die boot-Partition, klicke Partition bearbeiten und wähle diese Partition als /boot-Partition:
   
3. Lege auf cryptroot eine neue Partitions-Tabelle an.
4. Markiere die neue cryptroot-Partition, klicke Neue Partition und wähle diese Partition als /-Partition:
   

   Die Swap-Partition sollte vom Installer automatisch erkannt worden sein, wenn nicht erstelle auch dort eine Partition mit diesen Eigenschaften:
   

5. Fahrt mit der Installation wie gewohnt fort, wenn der Installer fragt ob Du neustarten möchtest, klicke auf mit der Live-CD weiterarbeiten.

10. Anpassen des neuen Systems

sudo mount /dev/mapper/cryptroot /mnt

sudo mount /dev/sda1 /mnt/boot

for dir in proc dev sys; do sudo mount –bind /$dir /mnt/$dir; done

cd /dev; sudo MAKEDEV generic

sudo chroot /mnt

aptitude install cryptsetup

Nun muss die Datei /etc/crypttab eingerichtet werden

nano /etc/crypttab

Dort gebt ihr folgendes ein:

# <target name> <source device> <key file> <options>
swap /dev/sda1 none luks

cp /usr/share/initramfs-tools/hooks/cryptroot /etc/initramfs-tools/hooks/cryptroot
cp /usr/share/initramfs-tools/scripts/local-top/cryptroot /etc/initramfs-tools/scripts/local-top/cryptroot

echo -e “\nalias aes aes_i586\n” >> /etc/modprobe.d/aliases

echo -e “CRYPTOPTS=target=cryptroot,source=/dev/sda3\ntarget=cryptswap,source=/dev/sda2\n” > /etc/initramfs-tools/conf.d/cryptroot

Hat man abweichende Cipher (andere als aes-cbc-essiv:sha256) benutzt, muss man noch die entsprechenden Module laden.

Hat man aes-xts-plain benutzt:

echo -e “\nxts\n” >> /etc/initramfs-tools/modules

Hat man aes-lrw-benbin benutzt:

echo -e “\nlrw\n” >> /etc/initramfs-tools/modules

echo -e “RESUME=/dev/mapper/cryptswap\n” > /etc/initramfs-tools/conf.d/resume

Editiere die Datei /boot/grub/menu.lst

nano /boot/grub/menu.lst

Ändere die Zeile

# defoptions=quiet splash

in

# defoptions=quiet

update-grub
update-initramfs -u

Fertig. Wenn ihr nun den Rechner neustartet, könnt ihr euer verschlüsseltes System nutzen.

Basiert auf: https://help.ubuntu.com/community/FeistyEncryptedRootWithInstaller

Mit diesem Howto konnte ich heute endlich über mein E61 ins Internet.

Abstract: Ein Truecrypt Volume wiederherstellen

Version 1.0

In diesem Text werde ich kurz die Möglichkeiten zum wiederherstellen eines Truecrypt-Volumes beschreiben.

Eins vorweg, Festplattenlesefehler sind eine ernste Angelegenheit. Das ahnungslose Versuchen und Herumdoktern kann zu weiterem Datenverlust führen. Für den Fall, dass die Daten tatsächlich von Wert sind (etwa die eigene Diplomarbeit und nicht nur die eigene MP3-Sammlung), sollte man immer zu einem Fachmann gehen.

Weiterhin ist diese Anleitung unter Laborbedingungen entstanden. Ich übernehme keine Garantie, dass sie in eurem Fall hilft oder unter realen Bedingungen funktioniert.

Das reale Wiederherstellen von Daten ist ziemlich knifflig und nicht für Amateure empfohlen.

Unter realen Bedingungen hat man mit sehr viel mehr Problemen zu kämpfen, als mit dem hier Beschriebenen.

Auch setzt dieser Text Erfahrungen im Wiederherstellen von Daten und dem Ungang mit Linux voraus. Er ist nicht für Anfänger gedacht. Diese Leute sollten lieber den Fachhandel aufsuchen.

Truecrypt ist so entworfen worden, dass sich die von ihm erstellen Daten nicht von zufälligen Daten der Festplatte unterscheiden. Daher haben alle Programme (die ich kenne) die zur Datenwiederherstellung programmiert wurden, daher auf Mustererkennung basieren, Probleme damit.

Macht man sich also nun an die Wiederherstellung von kaputten Truecrypt-Volumes, muss man einiges Wissen mitbringen (etwa die Partitionierung der Festplatte, einen gesicherten Volume-Header, das Passwort) ohne das eine Wiederherstellung unmöglich ist.

Dass es generell möglich ist ein Truecrypt-Volume wiederherzustellen (NICHT ZU ENTSCHLÜSSELN) ist also nicht den Programmierern von Truecrypt anzulasten.

Weiterhin werde ich hier nicht den Fall von Hidden-Volumes behandeln.

Die Aufgabe:

Ein Truecrypt-Volume, das durch Lesefehler nicht mehr zu öffnen ist öffnen.

Ich werde nur einen kurzen Überblick über die Wiederherstellungsmöglichkeiten für den Inhalt des Truecrypt-Volumes geben. Es soll nicht Ziel dieses Textes sein, alle Möglichkeiten die man anwenden kann, wenn das Volume wieder lesbar ist, aufzuzeigen.

Einen guten Einstieg findet man hier:

https://help.ubuntu.com/community/DataRecovery

Die Testumgebung:

Diese Anleitung ist unter den folgenden Bedingungen entstanden:

1. Alle Operationen sind innerhalb einer virtuellen Maschine erfolgt (Virtualbox 1.5.6)
2. Als „Festplatte“ dient eine virtuelle 512MB Festplatte. (Die Größe wurde gewählt, damit der Zeitaufwand erträglich bleibt)
3. Als Betriebssystem wird Windows XP Professional SP2 genutzt.
4. Als Rettungssystem kommt Ubuntu 8.04 LTS Desktop zum Einsatz.
5. Als Testdatei wurde ein Worddokument genommen, das den englischen Wikipedia Artikel über Wikipedia enthält.

Vorraussetzungen:

1. Die Festplatte von der gesichert werden soll ist ansprechbar und man kann die Daten hintereinander auslesen. (Evtl. vorgehen bei Fehlern wird hier nicht behandelt)
2. Der Truecrypt-Volume-Header ist gesichert worden und auf die Sicherung hat man Zugriff. (Sonst kann man eine Wiederherstellung komplett vergessen.)
3. Das Passwort ist bekannt. (Sonst kann man eine Wiederherstellung komplett vergessen.)

Hintergrund

Ein wenig technischer Hintergrund, warum das ganze klappt. Es ist etwas ungenau, da ich hier nicht zu spezifisch werden möchte, auch das würde den Rahmen dieses Textes sprengen.

Dateisysteme speichern ihre Daten auf Festplatten in Blöcken.

Truecrypt verschlüsselt die Daten der Festplatte blockorientiert. Der Inhalt einer Datei steht in mehreren Blöcken auf der Festplatte.

Was im Regelfall passiert, wenn eine Datei durch einen Festplattenschaden nicht mehr lesbar ist, ist dass einer dieser Blöcke inkorrekte Daten enthält. Dadurch wird dieser Block ungültig und der Inhalt einer Datei verändert sich.

Im Falle von reinen Textdokumenten (.txt) steht an der Stelle, die aus diesem Block gelesen wurde, Kauderwelsch. Bei Formaten wie Word-Dokumenten wird das Programm, das sie bearbeitet, Fehlermeldungen anzeigen.

Truecrypt verschlüsselt diese Blöcke nun vor dem Schreiben auf die Festplatte. Genauso entschlüsselt Truecrypt die Daten wiederum auch. Truecrypt arbeitet also zwischen dem Dateisystem und der Festplatte.

Bei einem fehlerhaften Block auf der Festplatte entschlüsselt Truecrypt die Daten genauso. Das Dateisystem erhält auch an dieser Stelle einfach nur fehlerhafte Daten.

Truecrypt ist das egal, da es einfach nur mathematische Operationen auf die sich auf der Festplatte befindenden Daten anwendet. Wenn die Daten auf der Festplatte falsch sind, kommt eben auch nach dem entschlüsseln das falsche raus. Da aber falsch, falsch bleibt ist es im Kern egal.

Daher steigt mit dem Einsatz von Truecrypt auch nicht die Gefahr eines Datenverlusts.

Der Plan

In meiner Testumgebung habe ich die Daten auf dem 512MB-Datenträger jetzt einfach pseudozufällig verändert. In einem realen Einsatz ist die Platte ja schon beschädigt.

Was wir jetzt tun werden.

1. Ein 1:1-Image des defekten Datenträgers erstellen. Denn man arbeitet nie auf dem Originaldatenträger, wenn man nicht Ontrack heißt. (So ohne Netz und doppelten Boden ist einfach unpraktisch. So wegen Herz, Notarzt und Krankenhaus und so…)
2. Den Datenträger (meint ab hier das Image) auf eine evtl. vorhandene Partitionstabelle untersuchen.
3. Versuchen entweder das Truecrypt-Volume wiederherzustellen und zu mounten oder das Laufwerk auf dem sich das Volume befindet wiederherzustellen.
4. Versuchen das Truecrypt-Volume zu mounten und dessen Inhalt wiederherzustellen.

Allerdings muss noch beachtet werden, dass es drei Typen von Truecrypt-Volumes gibt.

1. Dateibasierte (File-based) sind die Volumes, die man als Datei im täglichen Betrieb sehen kann bzw. die man mit dem Explorer verschieben / löschen kann.
2. Partitionsbasierte (Partition-based) sind die Volumes, die eine Partition umfassen.
3. Gerätebasierte (Device-based) sind die Volumes die eine gesamte Festplatte einnehmen. Achtung: Gemeint ist wirklich die gesamte Festplatte, die Festplatte erscheint also als nicht nur unparitioniert, Windows möchte die Festplatte initialisieren. Wenn die Festplatte nur eine Partition hat, ist das ein Sonderfall der partionsbasierten Volumes.

Jede diese Varianten ist unterschiedlich schwer wiederherzustellen:

* Unmöglich meint, dass die Daten nur noch eine sehr geringe Wiederhestellungswahrscheinlichkeit mittels der unten beschriebenen ultimativen Methode.

Die Schwierigkeit der Durchführung begründet sich in der unterschiedlichen Komplexität der Volumes:

· Gerätebasierte Volumes sind am einfachsten wiederherzustellen, da sie im Kern wie eine normale Festplatte zu behandeln sind. Das einzige was man tun muss ist den Volume-Header wiederherzustellen. Dann kann man das Volume wieder mounten und die Daten wie bei einer normalen Festplatte wiederherstellen.

· Partitionsbasierte Volumes sind schwer wiederherzustellen. Für den Fall das die Partitionstabelle defekt ist und sich der Nutzer nicht an deren zylindergenauen Aufbau (etwa durch ein Backup) erinnert, gibt es keine Möglichkeit den Anfang der Truecrypt-Partition zu finden und somit den Volume-Header an die richtige Stelle zurückzuspielen. Hat man aber ein Backup der Partitionstabelle oder hat die Gesamte Festplatte als eine Partition erstellt wurde, dann ist es im Prinzip wie beim Gerätebasierten Volume.

· Dateisystembasierte Volumes sind einfacher wiederherzustellen, als Partitionsbasierte, da man hier die normalen forensischen Tools für die sonstige Wiederherstellung zum Einsatz bringen kann. Allerdings sinkt die Wiederherstellungswahrscheinlichkeit gegen null, wenn Das Volume stark defragmentiert ist (Die Datei, nicht das Dateisystem im Volume)

Wie man sieht verhält sich die Wiederherstellungswahrscheinlichkeit umgekehrt zum Komfort der Unterschiedlichen Typen.

Die Durchführung

Man startet Ubuntu.

Nun startet man eine Konsole. (Anwendungen->Zubehört-Terminal)

Befehle werden in diesem Text so gekennzeichnet:

echo bla

Erstmal root werden, man muss eh für den ganzen Durchlauf als root arbeiten…

sudo bash

Image

Nun muss man das Dateisystem wo sich der gesicherte Truecrypt-Volume-Header befindet und auf dem die Sicherung gespeichert werden soll mounten (siehe google…)

mkdir /media/windows

mount.ntfs-3g /dev/sda1 /media/windows

Als nächstes sichert man die kaputte Festplatte

ddrescue –r 3 /dev/sdb /media/windows/sdb.image \ /media/windows/sdb.log

Das Image als Device nutzen

losetup –d /dev/loop1
losetup /dev/loop1 /media/windows/sdb.image

Truecrypt installieren:

wget http://www.truecrypt.org/downloads/truecrypt-5.1a-ubuntu-x86.tar.gz

tar xvzf truecrypt-5.1a-ubuntu-x86.tar.gz

cd truecrypt-5.1a

dpkg –i truecrypt_5.1a-0_i683.deb

Nun trennen sich die Wege für die verschiedenen Partitionstypen.

Ich arbeite mich von einfach nach schwer durch.

Daher zuerst das gerätbasierte Volume:

Truecrypt-Volume retten - Gerätebasiert

Das gerätbasierte Volume ist wie schon gesagt das Pflegeleichteste.

Um das Gerät wieder wie gewohnt als Volume nutzen zu können, muss man nur folgendes machen:

Man startet Truecrypt (ALT+F2 drücken, truecrypt eintippen, ENTER drücken)

Man klickt Select File und wählt das Image aus. (In meinem Fall /media/windows/sdb.image)

Mit Volume Tools->Restore Volume Header->Auswahl des gesicherten Truecrypt-Headers->Restore header of standard Volume stellt man den Header wieder her.

Nun kann man mit Mount das Volume mounten. Sollte Truecrypt meckern, dass es das Dateisystem nicht kennt, muss man unter Options->Do not mount anklicken.

Ist das Volume jetzt gemountet / gemapped kann man mit der Wiederherstellung der Daten beginnen.

Truecrypt-Volume retten – Partitionsbasiert

Der einfache Fall: Die gesamte Festplatte wurde als eine Partition genutzt.

Die Festplatte sah also in etwa so aus:

Dann reicht es folgendes zu machen:

losetup –o 32256 /dev/loop2 /dev/loop1

32256 ist hier das Offset der ersten Partition.

Dann ist die Partition wieder verfügbar und man kann mit der Header-Wiederherstellung beginnen.

Sollte man Truecrypt neben anderen Partitionen gehabt haben, ist es schwerer die Truecrypt-Partition zu finden.

Es gibt im Netz einige Tutorials zum Wiederherstellen der Partitionstabelle.

Hier deshalb nur ein knappes Beispiel:

Angenommen die Festplatte hat vorher so ausgesehen:

Man kann dann raten wo sich die Truecrypt-Partition befunden hat:

Wie man sieht hat das Tool gpart die beiden normalen Partitionen und den Beginn der erweiterten Partition gefunden. Die Truecrypt-Partition kann man so aber nicht finden.

Hat man jetzt nur eine Truecrypt-Partition und kann sich erinnern, wie die Festplatte ungefähr aufgebaut war, kann man die Partitionstabelle per Hand wiederherstellen.

Sollte man allerdings mehrere Truecrypt-Partitionen nebeneinander haben, geht die Wiederherstellungswahrscheinlichkeit gegen null, da diese Programme die Truecrypt-Partitionen nicht finden können. Es bleibt dann nur der sehr mühsame Weg der händischen Datenwiederherstellung. (Siehe ultimative Möglichkeit)

Header-Wiederherstellung

Um die Partition wieder wie gewohnt als Volume nutzen zu können, muss man nur folgendes machen:

Man startet Truecrypt (ALT+F2 drücken, truecrypt eintippen, ENTER drücken)

Man klickt Select File und wählt das entsprechende Gerät aus.

Im Falle der Einpartitionen Festplatte wäre das /dev/loop2.

Mit Volume Tools->Restore Volume Header->Auswahl des gesicherten Truecrypt-Headers->Restore header of standard Volume stellt man den Header wieder her.

Nun kann man mit Mount das Volume mounten. Sollte Truecrypt meckern, dass es das Dateisystem nicht kennt, muss man unter Options->Do not mount anklicken.

Ist das Volume jetzt gemountet /gemapped kann man mit der Wiederherstellung der Daten beginnen.

Truecrypt-Volume retten - Dateibasiert

Angenommen die Festplatte sah ursprünglich so aus:

Und die Truecrypt-Datei befand sich auf dem ersten Volume.

Hat man ein Truecrypt-Volume als Datei erstellt, gibt es eigentlich nur zwei Varianten. Entweder man kann das Dateisystem noch benutzen oder nicht.

Zu erst muss man dazu schauen, ob die Partitionstabelle noch existiert:

mmls /dev/loop1 –b

Sollte jetzt eine Fehlermeldung kommen, muss erst die Partitionstabelle wiederhergestellt werden:

testdisk /dev/loop1

Nun muss nach

mmls /dev/loop1 –b

die korrekte Partitionstabelle angezeigt werden.

Jetzt muss man die Partition mounten in der das Dateisystem ist auf dem das Truecrypt-Volume gespeichert ist:

losetup –o 32256 /dev/loop2 /dev/loop1

Um das korrekte Offset zu erhalten, rechnet man den Startwert der Partition mal 512.

Kann man das Dateisystem mit

mount /dev/loop2 /mnt

kann man die Datei wie gewohnt mit Truecrypt mounten. Im Zweifel muss man noch den Header wieder herstellen.

Für den Fall das man das Dateisystem nicht mounten kann, muss man zuerst die Daten des Systems wiederherstellen. (Siehe dazu andere Anleitungen)

Truecrypt-Volume retten – Die ultimative Möglichkeit

Es gibt den Fall (bei partitions- und dateibasierten Volumes), da kann man einfach das Volume nicht mehr in seiner ursprünglichen Form wiederherstellen.

Etwa durch eine starke Fragmentierung des Volumes oder man ist nicht dazu in der Lage die Partition wiederherzustellen in der sich das Truecrypt-Volume befand.

Dann bleibt nur eins, man stellt alle mit gesicherten Volume-Header lesbaren Daten wieder her.

Um dieses tun zu können, betrachtet man das gesamte Image als Festplatte und stellt den Header direkt in das Image wieder her. (Man stellt den Header genauso wieder her, wie man es bei dem Gerätebasierten Volume gemacht hätte.)

Öffnet man dann das Volume werden alle Daten die man liest durch die Entschlüsselungs-Funktion von Truecrypt gejagt.

Dadurch kann man dann ein Datenwiederherstellungsprogramm nach rettbaren Sachen suchen lassen. Da die Daten transparent (für das Programm unsichtbar) entschlüsselt werden, funktioniert es normal. Die Daten die vorher innerhalb des Volumes waren sind nun im „Klartext“ vorhanden und das Programm kann die Daten extrahieren.

Theoretisch könnte man nun noch ein Image von den entschlüsselten Daten machen und diese z.B.: bei Ontrack einschicken.

Die Wiederherstellungsmöglichkeiten die man bei dieser Methode hat, sind begrenzt. Es entspricht in etwa dem schlimmsten Fall des Datenverlusts. Zwar kann man alle noch lesbaren Daten wiederherstellen, Textdateien sogar mit hoher Wahrscheinlichkeit, aber Daten wie Videos oder Musik sind in der Regel schwer wiederzufinden, da sich ihr Inhalt kaum von dem nun unlesbaren Kauderwelsch der (im Original unverschlüsselten) anderen (im Original verschlüsselten) Daten unterscheidet.

Aber das gleiche Problem hat man, wenn man sich das Dateisystem komplett zerschossen hat.

Die Daten wiederherstellen

Man kann nachdem man ein Volume wieder lesen kann so ziemlich alle normalen Wiederherstellungsprogramme / Möglichkeiten nutzen. Da sich die Programme nicht anders verhalten, wenn man sie auf einem Truecrypt-Volume benutzt. (Es ist dem Programm egal ob es auf einem loop-Device oder direkt auf einer Festplatte arbeitet. Da alle Programme auf dem Level von Bytes arbeiten ist es im Kern sogar egal, auf was die zu untersuchenden Daten gespeichert sind. (CD / USB-Stick / Netzwerk / Große Käseplatte)

Einen Blick Wert ist dieses Howto:

https://help.ubuntu.com/community/DataRecovery

Fazit

Ich hoffe ich konnte zeigen, dass es nicht unmöglich ist Daten von einem Truecrypt-Volume wiederherzustellen und wie der ungefähre weg für die Wiederherstellung aussieht. (Sofern man Header und Passwort hat.)

Um eine Schritt-für-Schritt Anleitung für die Datenrettung zu erstellen, müsste ich allerdings auch noch das gesamte Feld der Computer Forensic erklären, was ich nicht will und kann. (Dieser kurze Text hat schon 10 Seiten….)

Der Schlüssel zum Wiederherstellen liegt im Besitz eines intakten Volumeheaders. Hat man diesen, ist die restliche Wiederherstellung nicht anders als bei „normalen“ Rettungen auch.

Also Leute, immer schön den Volume-Header und im Falle von partitionsbasierten Volumes auch die Partitionstabelle sichern.

Ich habe und behalte an diesem Text alle Urheberrechte.

Ich stelle ihn unter der

„Creative Commons Namensnennung-Keine kommerzielle Nutzung-Weitergabe unter gleichen Bedingungen 2.0 Deutschland Lizenz“ zur allgemeinen Verfügung.

Dieser Werk ist unter einer Creative Commons-Lizenz lizenziert.

Ja, endlich hab ich es hinbekommen / die Treiber gefunden.

Unter http://foo2hiperc.rkkda.com/ kann man einen Treiber für den C5600 laden.

Bei Ubuntu macht man das so:

wget -O foo2zjs.tar.gz http://foo2zjs.rkkda.com/foo2zjs.tar.gz
tar zxf foo2zjs.tar.gz
cd foo2zjs
sudo aptitude install build-essential
make
./getweb c5600
sudo make install
sudo make cups

Danach kann man den Drucker über den normalen Ubuntu-Wizard (System->Systemverwaltung->Drucken) hinzufügen.

Für die Kommunikation mit dem Drucker nutzt man AppSocket (Port 9100)

Ich scheine eine Aura der Hilfsbereitschaft zu verströmen.

Auf jeden Fall, was den Punkt ‘Wissen Sie wie ich zu X komme? / Wo ist denn die Y Straße”. Dazu muss man wissen das ich im Regefall genauso viel Ahnung davon habe wie man da hinkommt wie der Fragesteller. Ich bin in der Regel froh, wenn ich mich daran erinnern kann wo ich bin, wie ich dahin gekommen bin und wie ich zurückfinde.

Wobei ich nicht sagen würde, dass ich einen schlechten Orientierungssinn habe. Ich kann, wenn ich irgendwo hin will und den weg kenne/ihn mir vorher angeguckt habe, eigentlich mein Ziel in der Regel ohne größere Umwege erreichen.

Es ist eher so, dass es mir komplett egal ist was abseits des von mir gewählten Wegs ist. Daher bin ich auch der denkbar schlechteste Ansprechpartner für diese Fragen. Ich habe von meiner unmittelbaren Umgebung in der Regel so viel Ahnung wie jemand der zum ersten mal an diesem Ort ist.

Zum Glück gibt es ja sowas wie Google Maps für’s Handy (http://www.google.de/mobile/gmm/index.html) . … Ich kann also, vorausgesetzt ich will, Leuten tatsächlich helfen.

Bleibt nur noch zu klären, warum ich eine magische Anziehung auf Leute zu haben scheine die sich ausschließlich in Englisch verständigen können. Was wiederum positiv ist, kann man dann doch endlich mal sein in der Schule geübtes Weg beschreiben benutzen. (Gott, was habe ich das auswendig lernen dieser Formulierungen gehasst. )