Aus Linux-Magazin 03/2017

Security-Distribution

© PARIWAT INTRAWUT, 123RF

Wenn Internetnutzer auf den Bildschirmen von Hackern oder Datensammlern landen, dann gegen ihren Willen und meist ohne ihr Wissen. Discreete Linux soll es ihnen erlauben, unter deren Radar zu fliegen.

Wer heute ungebetene Gäste auf seinem Rechner ausschließen möchte, muss dafür durch einige Reifen springen. Spätestens seit Snowden sind die ausgefeilten technischen Methoden der Geheimdienste bekannt. Doch auch Industriespione und kriminelle Hacker scheuen keine Mühe, Nutzer auszuspionieren. Die Angreifer setzen dabei nicht nur auf Softwarelücken, sondern auch auf präparierte Hardware. Das stellt besonders Berufsgruppen vor Probleme, die Diskretion brauchen – nicht nur Journalisten, Anwälte oder Ärzte.

Discreete Linux [1] will den Ausspähversuchen einen Riegel vorschieben. Das ehemalige Ubuntu Privacy Remix [2] setzt als Basis jetzt Debian 8 ein und liegt in einer Betaversion vor. Das Linux-Magazin wirft einen prüfenden Blick auf die aktualisierte Ausgabe.

Abgeriegelt

Das System gibt es als rund 1,6 GByte großes Hybrid-Image [3]. Die Anwender starten und betreiben es auf USB-Sticks und auf optischen Datenträgern. Ein Persistenz-Modus, der bei USB-Sticks das Ablegen eigener Dateien erlaubt, fehlt Discreete Linux. Das System bootet auf nur lesbaren ISO-9660-Dateisystemen und legt ein temporäres Overlay-FS an, um nicht unbemerkt im Hintergrund Schadsoftware zu laden.

Es verzichtet zudem nicht nur auf Kernelmodule für interne ATA-Festplatten (optische Laufwerke bilden die Ausnahme), sondern unterbindet auch die Kommunikation per Netzwerk mit der Außenwelt. USB-Sticks oder andere externe Datenträger bindet Discreete Linux explizit ohne die Möglichkeit ein, Programme auch auszuführen – Pech für Schad- und Spähprogramme. Nicht zuletzt erhält der Anwender auch keine Möglichkeit, Rootrechte zu erlangen.

Oberflächliches

Discreete Linux präsentiert den Gnome-Desktop in der recht aktuellen Version 3.14.1, der einige kleinere Applikationen an Bord hat. Zusätzlich integriert das Betriebssystem Programme aus dem KDE-Fundus und distributionsunabhängige Anwendungen wie Libre Office, Gimp, Firefox und VLC. Auch für bestimmte Hardware, zum Beispiel für Scanner, installiert es Applikationen vor. Das alles macht das Betriebssystem zu einem soliden Allrounder.

Cryptobox

Um Discreete Linux wie eine herkömmliche Distribution zu nutzen, bietet das Debian-Derivat einen speziellen Assistenten, der sich im Menü »Anwendungen | Sicherheit | CryptoBox Assistent« befindet. Er legt auf Wechseldatenträgern verschlüsselte Container an, nutzt dafür aber auch vorhandenen Platz auf dem Startlaufwerk. Die Container richtet der Anwender denkbar einfach ein: In einem Dialog gibt er an, wo er eine so genannte Cryptobox anlegen möchte und wie groß sie sein soll (Abbildung 1).

Abbildung 1: Den verschlüsselten Container erzeugt der Discreete-Nutzer über einen schlichten Dialog.

Abbildung 1: Den verschlüsselten Container erzeugt der Discreete-Nutzer über einen schlichten Dialog.

Zusätzlich besteht die Möglichkeit, einen Container für die automatische Datensicherung zu erzeugen und das Verschlüsselungsformat zu bestimmen. Im Anschluss gibt er nach einem Klick auf »Weiter« in einem zweiten Dialog die Kennung und ein mindestens 20 Zeichen langes Passwort ein. Im selben Dialogfenster sucht er über zwei Auswahlfelder den Verschlüsselungs- und Hashalgorithmus aus, wobei die Optionen von dem gewählten Verschlüsselungsformat (Luks [4], Veracrypt [5], Truecrypt [6]) abhängen (Abbildung 2).

Abbildung 2: Der Container nutzt wahlfrei verschiedene Verschlüsselungsmethoden.

Abbildung 2: Der Container nutzt wahlfrei verschiedene Verschlüsselungsmethoden.

Um einen möglichst zufälligen Schlüssel zu erzeugen, fordert die Software ihren Nutzer außerdem dazu auf, mindestens eine Minute lang die Maus willkürlich zu bewegen. Dann legt sie den Container an und ist einsatzbereit.

Entschlüsseln

Das Öffnen eines verschlüsselten Containers klappt reibungslos: Über »Scan for CryptoBox Volumes« im Menü »Anwendungen | Systemwerkzeuge« wählt der Nutzer das gewünschte Laufwerk in einem schlicht gehaltenen Dialogfenster aus und gibt die Passphrase ein. Das Volume lässt sich dann transparent über den Dateimanager verwenden. Über das Kontextmenü, das nach einem Klick auf das Volume-Symbol erscheint, schließt der User zum Schluss ein geöffnetes Container-Volume wieder.

Fensterln gehen

Die Cryptoboxen laufen auch auf Fremdrechnern – sofern hier eine entsprechende Infrastruktur wie Luks oder Veracrypt existiert. Die Systeme binden die Boxen im Nur-Lesen-Modus ein, damit keine ungewollten Daten auf dem Volume landen. Zum Öffnen des Containers braucht der User die auf dem Originalsystem vergebene Passphrase.

Passwörter und Schlüssel

Mit Gnu-PG [7] und Seahorse [8], einem dazugehörigen Gnome-GUI, hütet der Nutzer kryptographische Schlüssel, um die Kommunikation abzusichern. Diese gibt er bei Bedarf auch auf USB-Sticks weiter. Zudem helfen mehrere weitere Tools beim Gnu-PG-Management.

Mit Figaro’s Password Manager 2 [9] verwaltet ein grafisches Tool die Flut von Passwörtern der modernen Applikationsprogramme, damit der User diese nicht vergisst. Die Software steckt im Menü »Anwendungen | Sicherheit«. Dort findet der Anwender auch den Truecrypt-Nachfolger Veracrypt [5] in Version 1.19 und das Programm Mat (Abbildung 3, [10]). Dieses anonymisiert die Metadaten, die einige Dateiformate im Hintergrund speichern und die unter Umständen das Anlegen von Nutzerprofilen erlauben. Das kleine Tool macht solche Daten für unbefugte Dritte unbrauchbar.

Abbildung 3: Discreete Linux bringt mehrere Sicherheitsanwendungen mit, darunter Mat und Veracrypt.

Abbildung 3: Discreete Linux bringt mehrere Sicherheitsanwendungen mit, darunter Mat und Veracrypt.

In der Praxis

Im Praxistest des Linux-Magazins sollte das Debian-Derivat seine Alltagstauglichkeit beweisen. Vor allem die Cryptobox-Container erhöhen naturgemäß den Aufwand beim Speichern und Rekonstruieren von Daten. Hier haben die Entwickler jedoch ganze Arbeit geleistet. Der einfach zu bedienende Assistent und die nahtlose Integration in die Kryptosysteme von Linux erzeugen nur geringen Zusatzaufwand für die User des verschlüsselten Datenträgers: Sie müssen nur ein Passwort eingeben, um transparent mit den Containern zu arbeiten wie mit einem herkömmlichen Massenspeicher.

Überhaupt macht es das gesamte Offline-Konzept Angreifern außerordentlich schwer, überhaupt Zugang zum System zu finden. Dank des Live-Modus mit Read-only-Dateisystem und weil das Mounten stationärer Datenträger unmöglich ist, lässt sich Discreete Linux auch nicht von einem präparierten Host-Computer aus angreifen.

Fazit und Ausblick

Discreete Linux berücksichtigt in der vorliegenden Vorabfassung bereits die meisten Anforderungen, die gefährdete Personenkreise gewöhnlich an eine gehärtete IT-Umgebung stellen. Das Konzept der Insellösung mit einem ausschließlich verschlüsselten Datentransfer nach Außen setzt die Cryptobox sehr anwenderfreundlich um. Nicht zuletzt minimiert die stabile Debian-Basis Probleme aufgrund von Softwarefehlern.

Da sich Angriffsszenarien jedoch ständig neu entwickeln, planen die Macher von Discreete Linux schon weitere Maßnahmen: Kernelmodule wollen sie künftig nur noch signiert anbieten sowie die zunehmend für Angriffe genutzte USB-Schnittstelle absichern. Letzteres soll das Einschleusen von Bad-USB-Trojanern [11] über USB-Komponenten verhindern. Alles in allem präsentiert sich Discreete Linux bereits in der Betaphase als gelungenes Nischenprodukt für Nutzer mit erhöhtem Sicherheitsbedarf.

DIESEN ARTIKEL ALS PDF KAUFEN
EXPRESS-KAUF ALS PDFUmfang: 3 HeftseitenPreis €0,99
(inkl. 19% MwSt.)
LINUX-MAGAZIN KAUFEN
EINZELNE AUSGABE Print-Ausgaben Digitale Ausgaben
ABONNEMENTS Print-Abos Digitales Abo
TABLET & SMARTPHONE APPS Readly Logo
E-Mail Benachrichtigung
Benachrichtige mich zu:
0 Kommentare
Älteste
Neuste Beste Bewertung
Nach oben