Archiv/Ubuntu Privacy Remix

Archivierte Anleitung

Dieser Artikel wurde archiviert. Das bedeutet, dass er nicht mehr auf Richtigkeit überprüft oder anderweitig gepflegt wird. Der Inhalt wurde für keine aktuell unterstützte Ubuntu-Version getestet. Wenn du Gründe für eine Wiederherstellung siehst, melde dich bitte in der Diskussion zum Artikel. Bis dahin bleibt die Seite für weitere Änderungen gesperrt.

Inhaltsverzeichnis
  1. Installation
  2. Funktionen
    1. Nur-lesbares Betriebssystem
    2. Software
    3. Kein Netzwerk
    4. Keine Festplatten
    5. "noexec" eingehängte Datenträger
    6. Erweiterte TrueCrypt-Volumes
    7. Überschreiben des Arbeitsspeichers
  3. Links

logo.jpg Ubuntu Privacy Remix 🇩🇪 (UPR) ist eine modifizierte Live-CD auf Basis von Ubuntu 12.04, die auf Ubuntu aufsetzt und nicht für eine dauerhafte Installation auf der Festplatte gedacht ist.

Das besondere Ziel dieses speziellen Linux-Systems ist, einen weitgehenden Schutz vor Schadsoftware zu bieten, die von Dritten eingesetzt werden. Dazu verfolgt es die Strategie, die Ver- und Entschlüsselung, sowie Bearbeitung sensibler Daten in eine strikt abgeschottete Arbeitsumgebung zu verlagern. Ubuntu Privacy Remix enthält die beiden bekannten Verschlüsselungsprogramme Archiv/TrueCrypt und GnuPG. Die Sicherheit von Verschlüsselung kann aber nicht isoliert aus dem Verschlüsselungsprogramm heraus abgeleitet werden. Betriebssysteme, Anwendungsprogramme, das persönliche Verhalten und natürlich Schadsoftware wie Trojanische Pferde, Rootkits und Keylogger, könnten die Sicherheit eines guten Verschlüsselungsprogramms wieder untergraben oder gar aufheben. Deshalb setzt UPR darauf, eine komplette, unveränderliche und abgeschottete Arbeitsumgebung für die Bearbeitung sowie Ver- und Entschlüsselungen sensibler Dokumente bereitzustellen.

Installation

Ubuntu Privacy Remix kann man von der Projektseite 🇩🇪 ⮷ herunterladen und wie in Archiv/Ubuntu-CD beschrieben auf eine CD brennen. Eine feste Installation ist nicht vorgesehen, die Nutzung erfolgt als Live-CD.

Funktionen

Nur-lesbares Betriebssystem

Mit Datenträgern, Downloads, E-Mails, manipulierten Websites und harmlos aussehenden manipulierten Dokumenten, die Pufferüberlauf-Lücken in Programmen ausnutzen - und anderen auch Angriffsmethoden - bestehen viele Möglichkeiten, sich mit Schadsoftware zu infizieren, die dann die Vertraulichkeit der eigenen Daten gefährdet. UPR bietet einen Schutz davor, indem sich das System bei jedem Start in einem sauberen unveränderten Zustand befindet.

UPR befindet sich auf einer nur-lesbaren CD, d.h. es kann nicht nachträglich verändert werden. Die Verwendung ausschließlich als Live-CD ist Teil des Konzepts und eine Installation von UPR auf der Festplatte ist bewusst nicht vorgesehen. Schadsoftware jeglicher Art kann so nicht dauerhaft installiert werden.

Software

Archiv/TrueCrypt ist ein Open-Source-Programm zur Verschlüsselung von Festplatten, Teilen davon oder Wechseldatenträgern und ist in UPR installiert. In UPR steht der volle Funktionsumfang der Linux-Version von TrueCrypt zur Verfügung. Als spezielle Anpassung an die Arbeit auf einem flüchtigen Live-System wurde in UPR die Funktionalität der „erweiterten TrueCrypt-Volumes“ entwickelt. Standardmäßig ist Background Task in Truecrypt ausgeschaltet, um Probleme zwischen Truecrypt und dem GNOME-Panel beim Schließen von „erweiterten TrueCrypt-Volumes“ zu umgehen. Die Funktion kann aber bei Bedarf nach jedem Start in der Truecrypt-Konfiguration eingeschaltet werden.

Zur Verschlüsselung einzelner Dateien und insbesondere beim Austausch solcher mit anderen Personen bietet sich dagegen wegen des asymmetrischen Verfahrens eher GnuPG an. GnuPG ist ebenfalls in UPR enthalten.

Zum eigentlichen Bearbeiten sind unter anderem enthalten:

Kein Netzwerk

Der Unterbindung jeglicher Netzwerkverbindungen messen die UPR-Entwickler für die Sicherheit eine doppelte Bedeutung zu:

Viele Schädlinge nutzen Netzwerkverbindungen – vor allem solche ins Internet – um zusätzliche Komponenten nachzuladen. Danach versuchen sie beispielsweise, sich der konkret vorgefundenen Konfiguration des Computers anzupassen oder sich selbst zu verändern, um Virenscannern zu entgehen.

Um das Ziel eines abgeschotteten Inselsystems zu verwirklichen, verhindert Ubuntu Privacy Remix die Aktivierung vorhandener Netzwerk-Hardware. Dazu wurden dem angepassten Linux-Kernel die Unterstützungen für LAN-, WLAN, Bluetooth- und Infrarot-Hardware und vor allem die Datenfernübertragungsprotokolle entfernt.

Keine Festplatten

Auch der Unterbindung des Zugriffs auf lokale (und eventuell schon verseuchte) Festplatten messen die UPR-Entwickler für die Sicherheit eine doppelte Bedeutung zu:

Bei der nächsten Verwendung des lokal installierten Systems für Internet-Verbindungen könnten sie dann beispielsweise von einem lokal installierten Trojaner abtransportiert werden.

Dadurch dass dem Betriebssystem die Möglichkeit genommen wird, die Festplatten überhaupt zu aktivieren, wird auch verhindert, dass unverschlüsselte Swap-Partitionen auf den lokalen Festplatten automatisch eingehängt werden, wie es bei einer normalen Ubuntu-Live-CD passieren würde. Damit bestünde die Gefahr, dass sensible Informationen auf diesem Weg im Klartext auf die Festplatte ausgelagert würden.

Um das Ziel eines abgeschotteten Inselsystems zu verwirklichen, verhindert Ubuntu Privacy Remix die Aktivierung lokaler Festplatten durch die Veränderung der Behandlung von ATA-Geräten im Quelltext des angepassten Linux-Kernels. Dies führt dazu, dass das System die (eventuell kompromittierten) lokalen S-/ATA-Festplatten vollständig ignoriert, ATA/ATAPI-Geräte wie DVD-Laufwerke aber normal erkennt, damit das System von CD überhaupt laufen kann.

"noexec" eingehängte Datenträger

Seit Version 8.04_r2 werden alle Wechseldatenträger standardmäßig mit der mount-Option noexec in das System eingehängt. Das bedeutet, dass Dateien auf diesen Datenträgern gelesen und geschrieben, aber nicht mehr als Code ausgeführt werden können. Dadurch kann Schadsoftware nicht mehr direkt von einem Wechseldatenträger innerhalb des laufenden Systems ausgeführt werden. Dies betrifft Wechseldatenträger mit den Dateisystemen (v)fat, ntfs, ext2/ext3 oder reiserfs.

Erweiterte TrueCrypt-Volumes

Das Arbeiten mit einer Live-CD bringt zwar die genannten Sicherheitsvorteile, aber auch Produktivitätsnachteile, weil bestimmte Konfigurations- und Nutzdaten nicht dauerhaft gespeichert werden können. Das bedeutet zum Beispiel:

Erweiterte Truecrypt-Container sind ein Feature von Ubuntu Privacy Remix, das diese Probleme löst und die Arbeit mit dem System bequemer und effizienter machen soll. Ihre Hauptfunktionen sind:

„Erweiterte TrueCrypt-Volumes“ bedeuten keinerlei Eingriff in die Funktion oder das Containerformat von TrueCrypt. Es werden lediglich beim Öffnen und Schließen ein paar zusätzliche Befehle ausgeführt, wie zum Beispiel das Setzen von symbolischen Verknüpfungen aus dem (flüchtigen) Home-Verzeichnis in das geöffnete TrueCrypt-Volume.

Überschreiben des Arbeitsspeichers

Die sog. Cold-Boot-Attacke bezeichnet einen Angriff, bei dem ein Computer kalt neugestartet wird (Strom aus und wieder an ohne richtiges Herunterfahren) mit einem minimalen Betriebssystem. Weil dieses Mini-System nur wenig Speicher verbraucht, enthält der Rest des Speichers noch genau das, was vor dem Neustart im Speicher war. Das könnten auch die Schlüssel von TrueCrypt-Containern oder GPG-Schlüssel sein. Je nach Computer können solche Reste auch mehreren Sekunden bis Minuten ohne Strom noch aufgefunden werden.

Aus dieser Methode lässt sich ein spezieller Angriff gegen Systeme, auf denen UPR verwendet wird, ableiten. Die Sicherheit von UPR basiert darauf, dass das lokal auf dem verwendeten PC installierte System, alle Festplatten und Netzwerkhardware komplett ignoriert werden, so dass auch darauf evtl. vorhandene Schadsoftware UPR selbst nichts anhaben kann.

Bei dem UPR-spezifischen Angriff muss es einem Trojaner, der den Speicher nach Informationen wie Schlüssel, Passphrasen usw. absucht, gelingen, sich selbst in das lokal installierte System einzunisten. Wenn nun auf diesem System UPR zur Bearbeitung privater Daten eingesetzt wird – was eigentlich auch auf einem sonst unsicheren PC sicher sein sollte – und sofort danach in das lokale System rebootet wird, könnte dieser Trojaner nach dem Neustart noch Reste wie Schlüssel aus dem UPR-System im Speicher finden. Die Sicherheit von UPR könnte damit untergraben werden. Die Chance auf Erfolg ist etwas geringer als bei "richtigen" Cold-Boot-Attacken, weil das lokale System vermutlich einen großen Teil des Speichers bereits überschrieben hat, den vorher UPR benutzt hatte.

Dieser Angriff setzt voraus, dass der Angreifer zumindest vermutet, dass UPR auf diesem Computer eingesetzt wird. Um dem Problem zu begegnen, überschreibt UPR ab Version 8.04_r3 den freien Arbeitsspeicher beim Herunterfahren, direkt vor dem Auswerfen der CD. Die Entwickler weisen ausdrücklich darauf hin, dass dies nicht gegen „echte“ Cold-Boot-Attacken hilft, sondern nur gegen diese UPR-spezifische Variante.