Sie sind nicht angemeldet.

Lieber Besucher, herzlich willkommen bei: Ubuntu-Forum & Kubuntu-Forum | www.Ubuntu-Forum.de. Falls dies Ihr erster Besuch auf dieser Seite ist, lesen Sie sich bitte die Hilfe durch. Dort wird Ihnen die Bedienung dieser Seite näher erläutert. Darüber hinaus sollten Sie sich registrieren, um alle Funktionen dieser Seite nutzen zu können. Benutzen Sie das Registrierungsformular, um sich zu registrieren oder informieren Sie sich ausführlich über den Registrierungsvorgang. Falls Sie sich bereits zu einem früheren Zeitpunkt registriert haben, können Sie sich hier anmelden.

everd

User

  • »everd« ist der Autor dieses Themas

Beiträge: 3

Registrierungsdatum: 28.08.2011

Derivat: Ubuntu

Architektur: 32-Bit PC

Desktop: GNOME 2.x

  • Nachricht senden

1

28.08.2011, 18:56

Probleme mit verschlüsseltem Dateisystem und Systemzugang

Hallo Forum

Ich habe ein etwas komplizierteres Problem und hoffe, dass mir hier jemand helfen kann.

Ich bin Informatiker, arbeite jedoch meist mit Windows (ausser im Webserver-Bereich).
Vor einigen Wochen hat sich ein sehr guter Arbeitskollege von mir leider umgebracht. Seine Frau hat mich nun gefragt, ob ich versuchen kann auf seinen 2 Laptops und seinem Netbook die Daten wieder zu beschaffen. Er hat die ganze Buchhaltung, Steuern, Vermietung eines Hauses usw. gemacht und sie ist leider nicht im Besitz der benötigten Infos.

Nun zu meinem Problem:
Ich dachte, dass ich mal eben das root Passwort neu setze und gut ist. Leider musste ich feststellen, dass die Festplatten verschlüsselt sind. Hier einige Infos, welche mir bekannt sind:
Das OS ist ein Kubuntu 11.04 und beim Starten velangt das System ein Passwort und auf die Festplatte zuzugreiffen und es steht das etwas von sda6_crypt.
Ich kenne keinen Usernamen und kein Passwort.
Wie gesagt kenn ich mich leider im Linux-Bereich nicht all zu gut aus.

Kann mir hier jemand sagen, wie ich an das System oder zumindest an die Daten auf dem Rechner komme?
Sollten noch mehr Informationen notwendig sein, versuche ich gerne diese zur Verfügung zu stellen!

Vielen Dank bereits im Voraus.
glg
everd

2

28.08.2011, 19:51

Hi,
beim Starten velangt das System ein Passwort und auf die Festplatte zuzugreiffen und es steht das etwas von sda6_crypt
So pietätlos das klingen mag: Dein Arbeitskollege dürfte die Daten mit ins Grab genommen haben.
Denn es gibt zwei Möglichkeiten: Entweder ist alles inklusive Systempartition verschlüsselt. Dann fährt dir ohne Passphrase das ganze System nicht hoch.
Oder er hat nur die /home-Partition verschlüsselt. Dann kannst du zwar (durch 3x falsches oder gar kein PW bzw Abbruch mit Ctrl-C) das System starten, aber an seine Daten kommst du trotzdem nicht heran. Möglicherweise hat er aber auch ein Keyfile auf einem USB-Stick oder einer Speicherkarte gehabt, die die Platte beim Booten entschlüsselt hat. Je nachdem, wie gut er mit Linux unterwegs war, wäre das noch eine Möglichkeit.
Ansonsten: Wenn er die Passphrase nicht irgendwo notiert hat oder man sie erraten kann... siehe 1. Satz.

Meine persönliche Meinung: Vielleicht ist es auch besser so. Die wirklich wichtigen Unterlagen kann man von Ämtern, Notar, etc. auch wieder beschaffen. Und der Rest ist vielleicht so besser aufgehoben.
me is all sausage
but don't call me Ferdl

Skadi

User

Beiträge: 666

Registrierungsdatum: 13.10.2010

Derivat: Ubuntu

Architektur: andere

  • Nachricht senden

3

28.08.2011, 19:53

Hallo,

wenn man das Passwort nicht kennt, sieht es sehr sehr düster aus, dann kommst Du nicht mehr an die Daten ran. Da hilft nur zu versuchen das Passwort zu erraten.
Viel Glück dabei.

everd

User

  • »everd« ist der Autor dieses Themas

Beiträge: 3

Registrierungsdatum: 28.08.2011

Derivat: Ubuntu

Architektur: 32-Bit PC

Desktop: GNOME 2.x

  • Nachricht senden

4

28.08.2011, 22:51

Zum Bootvorgang: die Passwortabfrage kommt nach dem Booten des Kernels, bevor man sich mit dem Benutzer anmelden muss. Daher denke ich, dass nicht nur das Home-Verzeichniss verschlüsselt ist...

Wie müsste denn die Passphrase aussehen? Ist das ein normales Passwort in Form eines Strings oder hat die ein bestimmtes Muster? Dann wüsste ich, nach was ich suchen muss.
Da er immer ein 3G USB-Modem in Form eines Sticks verwendet hat, könnte ich mir vorstellen, dass er da ein Keyfile drauf hatte. Wie würde das aussehen?

Leider war er sehr bewandert mit Linux.... ein 47-jähriger Informatiker der 15 Jahre ausschliesslich mit Linux gearbeitet hat -.-"


Ps: dum Tipp "Passwort erraten": hat man eine beschränkte Anzahl versuche oder kann man es mit einem Bruteforce-Tool oder was ähnlichem Versuchen?

Danke schon mal für die ersten Tipps...

fremdkoerperfalle

Gesperrter Benutzer

  • »fremdkoerperfalle« wurde gesperrt

Beiträge: 535

Registrierungsdatum: 15.10.2014

Derivat: unbekannt

Architektur: unbekannt

Desktop: unbekannt

Andere Betriebssysteme: Debian Jessie, Android-x86 Vbox

  • Nachricht senden

5

28.08.2011, 23:36


Leider war er sehr bewandert mit Linux.... ein 47-jähriger Informatiker der 15 Jahre ausschliesslich mit Linux gearbeitet hat -.-"


Nicht leider, sondern zum Glück kann man hier sagen. So bleibt die Privatsphäre des Verstorbenen auch nach seinem Tod noch privat. :thumbup:

Mal ehrlich:

Es geht hier um 3 Systeme des Verstorbenen und da werden u.a. auch sehr viele private/persönliche Dateien vorhanden sein. Die gehen den besten Arbeitskollegen nichts an und die Frau auch nicht.
Stell Dir nur mal vor, seine Frau findet auf seinem Netbook eine Datei zu der er sich nicht mehr äussern kann und so ein Gerücht entsteht. Man sollte das Projekt imho ruhen lassen.

Zitat


oder kann man es mit einem Bruteforce-Tool oder was ähnlichem Versuchen?


Solche Fragen dürfen hier grundsätzlich nicht beantwortet werden. Threads in denen illegale Vorgehensweisen besprochen werden, schließt der nächste Mod der vorbeikommt.

6

29.08.2011, 01:25

die Passwortabfrage kommt nach dem Booten des Kernels
Ist klar. Woher sollte sie davor auch kommen.
Daher denke ich, dass nicht nur das Home-Verzeichniss verschlüsselt ist
Wie gesagt - es ist egal. Der Unterschied liegt nur darin, ob das System selbst hochfahren kann oder eben nicht. Seine Daten sind in beiden Fällen unerreichbar.
Dann wüsste ich, nach was ich suchen muss.
Die Frage ist, wo du suchen willst? Du wirst ja hoffentlich nicht annehmen, daß so eine Passphrase irgendwo als Klartext in den Rohdaten der Platte zu finden ist. Ansonsten: So eine Passphrase kann aussehen wie man will. Wenn sie von einem Keyfile kommt, können es sogar (fast) beliebig viele Zufallszeichen sein. Bei einer einzugebenden Passphrase ist man natürlich auf die Zeichen der Tastatur eingeschränkt.
dass er da ein Keyfile drauf hatte. Wie würde das aussehen
Also, wenn er tatsächlich im Read-Only-Bereich eines UMTS-Sticks ein keyfile untergebracht hatte, dann würde es so aussehen, daß man es mit Sicherheit nicht als solches erkennt. Allerdings frage ich mich, wozu du es "erkennen" willst. Entweder es existiert und wird eingelesen, dann macht es seine Arbeit. Oder eben nicht.
Leider war er sehr bewandert mit Linux
Wenn du als Informatiker seine Begabung schon so einschätzt, solltest du die Größe haben, zuzugeben, daß selbst du hier wenig Chancen hast. Er hatte nicht umsonst seine Platten verschlüsselt. Und wenn man das macht, dann so, daß sie auch wirklich für Unbefugte unzugänglich sind. Gerade auf einem Laptop macht man das schon für den Fall, daß er abhanden kommt. Dann wird man sich nicht darauf verlassen, daß ein Klartextpasswort auf der Platte unentdeckt bleibt.
Ich selbst habe meine Backup-Platten verschlüsselt, damit ich sie getrost verkaufen kann, wenn sie zu alt werden. Ich brauche nicht einmal die Daten zu löschen, weil die ganze Platte ohne den Schlüssel einfach nur Datenmüll enthält. Jetzt kannst du dir ungefähr vorstellen, womit du es hier zu tun hast.

hat man eine beschränkte Anzahl versuche
Ich habe dir oben geschrieben, wie viele Versuche man hat. Per default drei, das lässt sich aber auch ändern. Danach brennt die Platte aber nicht ab, sondern wird nur nicht entschlüsselt. Mit entsprechendem know-how kann man den Vorgang wiederholen, nur "finden" wirst du den Schlüssel nirgends.
Wenn der Verstorbene allerdings besonderen Wert auf den Schutz seiner Daten gelegt hat, könnte er natürlich alle möglichen Ideen zur Selbstzerstörung der Daten oder des Schlüssels selbst gehabt haben, für den Fall einer Brute-Force-Attacke. Da gäbe es genügend Möglichkeiten.

ein 47-jähriger Informatiker der 15 Jahre ausschliesslich mit Linux gearbeitet hat
Gerade läuft es mir kalt über den Rücken ;(

Threads in denen illegale Vorgehensweisen besprochen werden, schließt der nächste Mod der vorbeikommt.
Also in dem Fall sehe ich noch keine Veranlassung. Denn jeder Versuch in diese Richtung ist zum Scheitern verurteilt.
Ansonsten gehe ich konform mit dir. Hätte er bestimmten Personen einen Teil seiner Daten anvertrauen wollen, hätte er für diese sogar eigene Schlüssel anlegen können.
me is all sausage
but don't call me Ferdl

everd

User

  • »everd« ist der Autor dieses Themas

Beiträge: 3

Registrierungsdatum: 28.08.2011

Derivat: Ubuntu

Architektur: 32-Bit PC

Desktop: GNOME 2.x

  • Nachricht senden

7

30.08.2011, 12:22

Ok, danke für die konstruktive (wenn auch leider nicht zum Ziel führende) Hilfe ;)

Werd das Projekt wohl begraben müssen.
Nur noch kurz als Info: es war nie die Idee, in seinem Privatleben zu schnüffeln oder ähnliches. Wir wollten lediglich die wichtigsten Unterlagen über Buchaltung, Steuern, Immobillien, usw. retten. Ich habe beruflich täglich mit sensitiven Daten zu tun (Krankenkassen-Informatik) und weiss sehr wohl, dass dies ein heikles Thema ist.

Trotzdem vielen Dank, werde mich nun wohl öfters hier aufhalten, da ich seit ein paar Wochen nun ebenfalls meinen privaten Rechner mit Ubuntu am laufen habe... Schnauze voll von Windows 7 und seinen BlueScreens :)

Ps: wäre die Frage nach Bruteforce-Methoden o.ä. hier wirklich so fehl am Platz (auch wenn es funktionieren würde), obwohl ich rechtlich dazu befugt bin, die Daten notfalls auch "gewaltsam" zu entschlüsseln (und dies auch belegen kann)?

8

30.08.2011, 17:39

Werd das Projekt wohl begraben müssen.
Jetzt macht sich aber Englischer Humor breit ;)
es war nie die Idee, in seinem Privatleben zu schnüffeln
Sagt auch niemand. Aber es ist allem Anschein nach wirklich einfacher, die benötigten Dokumente über offizielle Stellen zu besorgen, als auf diesem Weg. Klingt vielleicht unglaublich, ist aber so.
wäre die Frage nach Bruteforce-Methoden o.ä. hier wirklich so fehl am Platz
Es ist in diesem Forum so. Steht auch irgendwo in den Regeln. Nicht nur aus rechtlichen Gründen, und um damit unsere kleine Plauderecke vor übereifrigen Gesetzeshütern zu verschonen.
Es laufen auch genügend Script-Kiddies herum, die gerne die große Tat vollbringen möchten. Für die gibt es aber im Internet genügend andere Informationsquellen. Weiters auch als Schutz für die unbedarften Leser vor sich selbst, weil solche Methoden in unerfahrenen Händen nicht selten zur Schäden an den eigenen Systemen und Datenbeständen führen können. Und wir dann auch noch bei der Restaurierung helfen müssten. Deshalb: Lieber nicht ;)

P.S.: Wenn das Problem damit erledigt ist, markiere bitte noch den Thread entsprechend: Deinen ersten Beitrag "bearbeiten" -> "Präfix setzen". Danke!
me is all sausage
but don't call me Ferdl

Beiträge: 6 680

Registrierungsdatum: 04.06.2005

Derivat: Kein Ubuntu-Derivat

Version: gar kein Ubuntu

Architektur: 64-Bit PC

Desktop: anderer Desktop

Andere Betriebssysteme: Arch Linux

  • Nachricht senden

9

30.08.2011, 17:58

Hallo,

wenn er seit 15 Jahren mit Linux gearbeitet hat schätze ich mal das eine BruteForce nichts bringen wird.

Aber für andere sollte es jedenfalls eine Lehre sein, sowas kann jedem plötzlich passieren.

Deshalb verschlüsselte Daten nur wo es sein muss.

Familiäre Daten wie Bilder etc. und wichtige Dateien habe ich auf dem NAS und darauf kann meine Frau zugreifen.

Im Erstfall kann sowas, wenn keiner weiss wo sich welche Daten, Bilder und Dokumente etc. befinden, das ganz schön ins Auge gehen.

An sowas sollte jeder Denken, denn manchmal kommt es schneller als man denkt.

m.f.g.
Carl-Heinz
###--- Gott sei Dank, ich bin weg vom Fenster ---###


Hilfen:
- Mir eine Nachricht senden - - Meine Homepage - - Linux-Beginnerforum -

Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von »Linuxtal« (30.08.2011, 17:59)