Hi,
durch den Thread Sicheres Löschen von VeraCrypt-Containern dachte ich mir, ich mache mal einen neuen Thread auf mit dem Thema, an welche Informationen man alleine durch das nicht verschlüsselte OS kommen kann, welche Daten in den verschlüsselten Containern liegen.
@kuketzblog Vielleicht mal ein Thema für Deinen Blog? 
Einige Denkanstöße:
Viel Spass beim Diskutieren!
Ich kann mir nicht vorstellen, dass Logs automatisch ich einen verschlüsselten Container verschoben werden? Oder doch?
Das wäre definitiv mal ein gutes Thema für @kuketzblog
Klar kann man Logs auch auf eine verschlüsselte Partition (container) schreiben lassen. Allerdings werden sie so dahin nicht verschoben, sondern dort erstellt.
Primär ging es mir darum, ob von Euch schon eigentlich verschlüsselte Daten, bzw Fragmente davon auf dem eigenen nicht verschlüsselten OS gefunden haben.
Zu den neueren Windows und Mac Versionen kann ich nicht viel beitragen.
Allerdings können auch bei einem Linux System Daten geleaked werden in die üblichen verdächtigen Ordner, Crashdumps, MemoryDump etc. pp…
Die Devs von VeraCrypt schreiben selbst: https://veracrypt.eu/en/Data%20Leaks.html
Von daher sollte man sich keine falsche Sicherheit erhoffen. Es kommt immer darauf an, was man genau verschlüsselt haben will. Nur die Daten? Die MetaDaten? Was kann ein potenzieller Gegner mit Fragmenten der Daten anfangen?
Im Falle von WhistleBlowern, kann vermutlich in einigen Ländern auch schon die Existenz von Dateinamen auf dem System Probleme bereiten, ohne an den kompletten Inhalt der Dateien zu kommen.
EDIT, Da ich nicht 2x hintereinander posten darf:
Um mal einige zu nennen, die in den Home Folder loggen.
Das kommt von einem Parrot OS (Security)
Linux:
hashcat: /home/user/.hashcat
john the ripper: /home/user/.john (john.rec, john.log)
Bilder Cache: /home/user/.cache/thumbnails (fail, large, normal)
torbrowser: /home/user/.cache/torbrowser (standardmäßig die downloads)
electrum: /home/user/.electrum (wallets, caches, …)
smplayer: /home/user/.config/smplayer (caches, komplette viewlist mit Zeitstempeln bis wo geschaut wurde)
virt-manager: /home/user/.cache/virt-manager
nano: /home/user/.local/share/nano (searchlist)
trash: /home/user/.local/share/trash (Mülleimer)
bash_history: home/user/.bash_history
Da liegt auch noch weitaus mehr… Muss nun aber los
Falls sonst noch jemand was beisteuern mag, oder vielleicht mal auf seinem eigenen System schauen möchte ob er dort Informationen von einem Container findet, go for it…
Achso… und was nützliches für Windows: Windows ShellBag Forensics in Depth
Inwieweit das noch bei Windows 7+++ anwendung findet… kA… Testet selbst…