© Iakov Kalinin, 123RF.com

Um den Rechner vor Spionen und Kriminellen zu schützen, bricht Ubuntu Privacy Remix alle Brücken ins Internet ab und verwandelt den Computer in eine Insel der Sicherheit. Wer zurück in die Zivilisation will, dem dienen ein USB-Stick und etwas Geduld als Floß.

Das Ausmaß der weltweiten Überwachung schockt selbst erfahrenere Paranoiker. Doch was tun, um besonders sensible Daten zu schützen? Den Aufwand für die Geheimdienste so teuer wie möglich machen, empfiehlt Security-Experte Bruce Schneier [1]. Der Tipp hilft natürlich auch gegen Angreifer mit kriminellen Interessen, die ebenso eine Menge Geschick an den Tag legen können, um an die Daten fremder Rechner zu gelangen.

Gegen beide Gruppen stellt sich Ubuntu Privacy Remix (UPR, [2]), dessen Feature-Beschreibungen noch vor einigen Monaten bei breiten Teilen der Computernutzer für viel Heiterkeit gesorgt hätten: kein Zugang zum Internet, keine Installationsmöglichkeit und auch kein Zugriff auf die Festplatte!

Schaut man sich das seit 2008 existierende Projekt heute an, kommt einem vieles gar nicht mehr so absurd vor. Denn was hilft Festplattenverschlüsselung, wenn die Spyware auf diversen Routen, über Downloads, Zero-Day-Exploits oder Router-Backdoors auf dem Rechner landet? Ohne Schreibzugriff auf die Festplatte lässt sich Malware schon mal bedeutend schwerer installieren, der fehlende Internetzugang tut ein Übriges. Um dennoch Dateien zu speichern, bietet Ubuntu Privacy Remix 12.04, das sich aktuell noch im Betastadium befindet, eine USB-Stick-Lösung auf Basis von Truecrypt [3] an.

Die Macher der Distribution behaupten nicht, dass ihr System alle Security-Probleme löst: Zu den Risikoszenarien zählen sie manipulierte Hardware, auf der von UPR unbemerkt ein Hypervisor oder Hardware-Keylogger läuft. Die Installation würde immerhin physischen Zugriff auf den Rechner erfordern. Hat der Angreifer den Speicherstick, könnte er auch schwache Passwörter von Truecrypt-Containern ausnutzen.

Vor allem aber hilft UPR nicht gegen Angriffe, die mit IT eher wenig zu tun haben: versteckte Kameras, das Abhören von Funktastaturen und Auslesen der Ausstrahlung von Monitoren. Auch das passt zu Bruce Schneiers Feststellung [1]: “Was ich beim Lesen der Snowden-Dokumente lernte ist: Wenn die NSA auf eure Rechner will, kommt sie auch drauf. Punkt.”

Feature Count

Ohne Internetzugang und Festplattenzugriff werden einfache Dinge kompliziert: UPR wird standardmäßig auf eine DVD gebrannt und im Live-Betrieb genutzt und lässt sich daher nicht ohne Weiteres erweitern, etwa um neue Software. Wer mit dem Software-Angebot von Ubuntu Privacy Remix nicht zufrieden ist, muss sich seine Version selbst basteln. Das Projekt bietet Hilfestellung, indem es eine entsprechende Vorlage auf der Webseite anbietet [4]. Das Mastern einer eigenen UPR-Version erfordert aber einen nicht geringen zeitlichen Aufwand.

Doch das Basissystem bringt schon eine Menge nützlicher Tools mit. Die aktuelle Beta stützt sich auf Ubuntu 12.04.2 LTS mit Gnome-Classic-Desktop und Kernel 3.5. Abweichend vom Sortiment des regulären Ubuntu 12.04 nimmt UPR 12.04rc1 Libre Office 4.0 ebenso an Bord wie Scribus 1.4.2. Die fertige Version soll dann auf Ubuntu 12.04.3 basieren und den Kernel in Version 3.8, Gimp 2.8 sowie Libre Office 4.1 mitbringen.

Sammeln sich viele Daten im erweiterten Truecrypt-Container, soll zudem ein neues Suchwerkzeug das bislang eingesetzte Beagle ablösen, um dessen Inhalte zu durchforsten. Weitere Passagiere sind die Sammlungsverwaltung Tellico, der Mind-Mapper Vym, die Projektverwaltung Planner, der Videoplayer Totem, die Brennsoftware Brasero, Virtualbox und noch einige nützliche Tools mehr.

Um gegen Versuche vorzugehen, den Arbeitsspeicher auszulesen, will das Projekt die Memory-Erasure-Funktion aus dem Tails-Projekt [5] übernehmen. Die löscht beim Herunterfahren mit Hilfe von »sdmem« den größtmöglichen Teil der Daten im Arbeitsspeicher und verhindert so Cold-Boot-Angriffe, in deren Verlauf der Arbeitsspeicher tiefgekühlt und nachträglich ausgelesen wird.

Bootstrap

Zunächst gilt es, über eine HTTPS-Verbindung eine nicht kompromittierte Version des Image [6] sowie eine zugehörige Signaturdatei herunterzuladen. Das Image ist mit dem PGP-Schlüssel von Mark Preetorius, dem Hauptentwickler des Projekts, signiert. Seine Unversehrtheit lässt sich überprüfen mit:

gpg --verify upr-12.04r1beta1.iso.sig upr-12.04r1beta1.iso

Meist genügt ein Brennprogramm wie Brasero oder K3b, um das Image auf eine DVD zu brennen. Wer einen USB-Stick verwenden möchte, büßt einen der Vorteile ein: Ein Stick ist beschreibbar und lässt sich so manipulieren. Einige Sticks bieten zumindest die Möglichkeit, über einen Hardwareschalter einen Schreibschutz zu aktivieren, was der Ersteller nach dem Aufspielen des Image (siehe Kasten “UPR auf USB-Stick”) tun sollte. Vom Einsatz von SD-Karten raten die Entwickler ab, da der Schreibschutz nicht zuverlässig greife.

dd if=upr-12.04r1beta1.iso of=/dev/sdX  bs=512K
sync

Wer sichergehen will, dass die Dateien auf dem USB-Stick nicht manipuliert wurden, kann die im ISO selbst befindlichen MD5- und SHA1-Summen überprüfen. Eine Liste dieser Prüfsummen befindet sich im Wurzelverzeichnis der gebrannten DVD beziehungsweise des USB-Sticks. Das einfach gestrickte Skript aus Listing 1 extrahiert aus der Checksummendatei im Wurzelverzeichnis (»${md5datapath}« ) zunächst die Pfade zu den einzelnen Dateien.

01 #!/bin/bash
02
03 # Pfad zur DVD/USB-Stick
04 datapath=/media/user/UPR_12.04r1
05 # Pfad zur Datei mit den MD5-Summen
06 md5datapath=/media/user/UPR_12.04r1/md5sum.txt
07
08 data=$(grep "./*" ${md5datapath} | cut -d " " -f 3)
09
10 for i in $data; do
11     md5sum ${datapath}/$i >> ./md5sum_new.txt
12 done
13
14 sed -i 's/\/media\/user\/UPR_12\.04r1\///g' ./md5sum_new.txt
15
16 diff -s md5sum_new.txt ${md5datapath}
17 rm ./md5sum_new.txt

Die For-Schleife bildet für alle Dateien in den Pfaden von »${data}« die MD5-Checksumme und schreibt die Ergebnisse in die neue Datei »md5sum_new.txt« . Sed entfernt den »${datapath}« aus allen Pfadangaben der neu erzeugten Datei. Letztere sollte nun der Datei »/media/work/UPR_12.04r1/md5sum.txt« aufs Haar gleichen – es sei denn, die Checksummen stimmen nicht überein. Um das zu prüfen, läuft am Ende des Skripts ein Diff über beide Dateien und gibt im Erfolgsfall die Meldung aus Abbildung 1 aus. Mit ein paar Anpassungen lässt sich das gleiche Spielchen mit der »sha1sum.txt« -Datei wiederholen.

Abbildung 1: Mit Hilfe eines Skripts lassen sich die Checksummen der Dateien von UPR überprüfen.

Das alles hilft wenig, wenn das ganze Image durch eine manipulierte Variante ersetzt wurde. Daher sind auch die Dateien »md5sum.txt« und »sha1sum.txt« , die die Checksummen auflisten, signiert und lassen sich aus dem Wurzelverzeichnis von UPR heraus über den Public Key des Hauptentwicklers verifizieren:

gpg --verify sha1sum.txt.sig sha1sum.txt
gpg --verify md5sum.txt.sig md5sum.txt

Über den Fingerprint und eine Internetrecherche kann der Nutzer den Schlüssel des Entwicklers verifizieren.

Datentresor

Im Bootmenü von Ubuntu Privacy Remix – über [Esc] zu erreichen – gilt es nun, sich per [F3] zunächst für eine Sprache zu entscheiden. Standardmäßig erhält der Nutzer keine Rootrechte, kann sich diese aber zusichern, indem er [F6] drückt und die Kerneloption »godmode« ergänzt (Abbildung 2). Der Befehl »sudo su« beschert dem Nutzer dann Rootrechte ohne eine Passworteingabe.

Abbildung 2: Im Bootmenü lässt sich die Sprache von UPR ändern, die »godmode«-Option verschafft dem Nutzer Rootrechte.

Wer Daten speichern will, braucht jedoch keine Rootrechte, er muss vielmehr als Nächstes einen erweiterten Truecrypt-Container auf einem zweiten USB-Stick anlegen. Dazu ruft der Nutzer den Menüpunkt »Anwendungen | Sicherheit | Truecrypt-Container Assistent« auf, setzt ein Häkchen bei »Einen erweiterten Container erzeugen« und wählt dann »Eine Container-Datei erzeugen« .

Im nächsten Fenster klickt der Truecrypt-Nutzer in der Zeile »Container-Datei« auf »Suchen« und wählt den USB-Stick aus, der den Container aufnehmen soll. Dessen Größe hängt vom Platz auf dem Stick ab, der Benutzer sollte sie großzügig wählen, weil hier alle Dateien landen, die er von UPR speichern möchte.

Nach der Auswahl eines Namens sowie einer Passwortfestlegung (20 Zeichen) muss der Nutzer noch eine Minute lang mit Mausbewegungen Zufallszahlen erzeugen, um dann auf »Generieren« zu klicken und die Erfolgsmeldung abzuwarten. Das Passwort sollte sehr sicher sein, da Ubuntu Privacy Remix es verschlüsselt auf dem USB-Stick ablegt.

Um den erweiterten Container zu nutzen, ruft der Anwender den Dateimanager auf, klickt den Container mit der rechten Maustaste an und wählt »TrueCrypt-Container | Öffnen« . Nach Eingabe des Passworts erscheint der Container einsatzbereit auf dem Desktop.

Doch nicht nur das: Automatisch legt UPR auch die Konfigurationen diverser Programme über Links aus dem Homeverzeichnis in dem Container ab. So lassen sich Libre Office & Co. einrichten, ohne die User-Einstellungen ständig wieder zu verlieren. Voraussetzung ist, dass der Anwender den Container vor dem Start der Programme öffnet. Um den Container vor dem Herunterfahren auszuhängen, genügt ein Rechtsklick auf das Desktop-Icon mit der Auswahl »Truecrypt-Container | Aushängen« .

Einsame Insel

Ubuntu Privacy Remix ist die einsame Insel unter den Distributionen. Isoliert von der Außenwelt ist sie vor Angriffen gut geschützt, aber im Privatbereich auf Dauer nur für Robinsons geeignet. Ist die fehlende Festplatte aufgrund der verschlüsselten USB-Lösung noch zu verschmerzen, erschwert der fehlende Internetzugang eine normale Kommunikation mit der Außenwelt doch stark.

Eine Lösung besteht darin, einen weiteren USB-Stick zu nutzen, auf dem ein Live-System mit Internetzugang läuft, oder gleich einen zweiten Rechner. Für die Vorgängerversion 10.04r3 von UPR gibt es eine Dualboot-DVD, die zum anonymen Surfen die Tor-Distribution Tails anbietet, was eine Teillösung ist.

Die eher kleine Gruppe von Menschen, die sensible Daten verwaltet, ohne dafür eine besondere Software oder das Internet zu benötigen, dürfte mit UPR hingegen gut bedient sein. Etwa der anfangs erwähnte Security-Forscher Bruce Schneier, der eine ähnliche Lösung verwendet [1]: “Wenn ich eine Datei transferieren möchte, verschlüssele ich sie auf dem sicheren Rechner und bringe sie auf meinem USB-Stick auf meinen Rechner mit Internetzugang.” Bewaffnet mit zwei USB-Sticks macht es keinen Unterschied, auf welchem Rechner der Nutzer arbeitet. Verseuchte Dokumente lassen sich gelassen betrachten, weil die Malware nicht auf die Festplatte kommt.

Auch für kleinere Firmen könnte sich der Einsatz von UPR lohnen, wenn sie keine spezielle Software benötigen und die Programme keine Datensätze aus einem CRM oder einer Groupware ziehen, wie es in Firmen häufig geschieht. Kundendatensätze inklusive Kreditkarteninformationen werden heute zwar über das Internet eingesammelt, ließen sich dann aber splitten: Die sensiblen Daten müsste ein Rechner ohne Internetanschluss sicher verwalten, während die Daten zur Kommunikation auf Rechnern und Servern mit Netzwerkzugriff blieben. Auch Abrechnungen, betriebliche Kostenrechnungen oder Strategieplanungen ließen sich auf so einem Rechner verwalten.