Ubuntu Privacy Remix

aus Wikipedia, der freien Enzyklopädie
Ubuntu Privacy Remix
Entwickler UPR-Team
Lizenz(en) diverse
Akt. Vorabversion 12.04 r1 (11. August 2013)
Abstammung GNU/Linux
↳ Debian
↳  Ubuntu
↳ UPR
Sprache(n) multilingual
www.privacy-cd.org

Ubuntu Privacy Remix (UPR) ist eine modifizierte Live-CD, die auf der Linux-Distribution Ubuntu basiert. UPR ist nicht für eine dauerhafte Installation auf der Festplatte gedacht. Ubuntu Privacy Remix soll eine abgeschottete Arbeitsumgebung bereitstellen, in der vertrauliche Daten sicher bearbeitet werden können. Das auf der Festplatte des dafür verwendeten Computers installierte System bleibt dabei unangetastet. Die Entwicklung und Aktualisierung wurde 2016 eingestellt, somit gilt UPR heute nicht mehr als sicher. Als Nachfolgerversion wird Discreete Linux betrachtet.[1]

Geschichte

Die erste stabile Version von UPR wurde am 4. Dezember 2008 veröffentlicht, sie basierte auf Ubuntu 8.04. Schon vor der ersten stabilen Version von UPR war TrueCrypt essentieller Bestandteil des Systems.[2] Die Entwicklung und Aktualisierung von TrueCrypt wurde 2014 eingestellt. Als Nachvolgerversion wird VeraCrypt betrachtet. Die letzten stabilen 7er-TrueCrypt-Versionen werden zwar heute noch empfohlen, jedoch finden Sicherheitsforscher immer wieder neue Sicherheitslücken in TrueCrypt.

Ziele

Die UPR-Entwickler vertreten die Ansicht, dass die Gefahr des Diebstahls vertraulicher Daten heute nicht mehr nur von gewöhnlichen Internet-Kriminellen und ihren Trojanischen Pferden, Rootkits und Keyloggern ausgehe. Vielmehr ergreife in vielen Ländern der Welt auch der Staat Maßnahmen, die Computer der Bürger mit solchen Mitteln zu bespitzeln und zu überwachen. Ubuntu Privacy Remix ist konzipiert als ein Werkzeug, das eigene Daten gegen unbefugte Zugriffe schützen soll.

Verschlüsselung

Ubuntu Privacy Remix enthält die beiden bekannten Verschlüsselungsprogramme TrueCrypt und GnuPG. Die Autoren merken jedoch an, dass die Sicherheit von Verschlüsselung nicht isoliert aus dem Verschlüsselungsprogramm heraus abgeleitet werden könne. Betriebssysteme, Anwendungsprogramme, das persönliche Verhalten und natürlich Schadsoftware wie Trojanische Pferde, Rootkits und Keylogger, könnten die Sicherheit eines guten Verschlüsselungsprogramms wieder untergraben oder gar aufheben. Deshalb setzt UPR darauf, eine komplette, unveränderliche und abgeschottete Arbeitsumgebung für die Bearbeitung sowie Ver- und Entschlüsselungen sensibler Dokumente bereitzustellen.

Funktionen

Nur-lesbares Betriebssystem

Mit Datenträgern, Downloads, E-Mails, manipulierten Websites und harmlos aussehenden manipulierten Dokumenten, die Pufferüberlaufslücken in Programmen ausnutzen und anderen Angriffsmethoden bestehen viele Möglichkeiten, sich mit Schadsoftware zu infizieren, die dann die Vertraulichkeit der eigenen Daten gefährdet. Auch extra dafür durchgeführte Wohnungseinbrüche gehören zu den Planungen des Bundesinnenministeriums. UPR bietet einen Schutz davor, indem sich das System bei jedem Start in einem sauberen unveränderten Zustand befindet.

UPR befindet sich auf einer nur-lesbaren CD, d. h., es kann nicht nachträglich verändert werden. Die Verwendung ausschließlich als Live-CD ist Teil des Konzepts und eine Installation von UPR auf der Festplatte ist bewusst nicht vorgesehen. Spionage- und andere Schadsoftware kann so nicht dauerhaft installiert werden. Es muss natürlich sichergestellt sein, dass die UPR-CD aus einer sicheren Quelle stammt und später nicht ausgetauscht wurde.

Software

TrueCrypt ist ein freies Open-Source-Programm zur Verschlüsselung von Festplatten, Teilen davon oder Wechseldatenträgern und ist in UPR installiert. In UPR steht der volle Funktionsumfang der Linux-Version von TrueCrypt zur Verfügung. Als spezielle Anpassung an die Arbeit auf einem flüchtigen Live-System wurde in UPR die Funktionalität der „erweiterten TrueCrypt-Volumes“ entwickelt.

Zur Verschlüsselung einzelner Dateien und insbesondere beim Austausch solcher mit anderen Personen bietet sich dagegen wegen des asymmetrischen Verfahrens eher GnuPG an. GnuPG ist ebenfalls in UPR enthalten.

Zum eigentlichen Bearbeiten sind unter anderem enthalten:

Kein Netzwerk

Der Unterbindung jeglicher Netzwerkverbindungen messen die UPR-Entwickler für die Sicherheit eine doppelte Bedeutung zu:

  • einerseits können Schädlinge über solche Netzwerkverbindungen eindringen,
  • andererseits können bereits eingedrungene und aktive Schädlinge Netzwerkverbindungen nutzen, um „erbeutete“ Daten abzutransportieren und dem jeweiligen Angreifer zukommen zu lassen.

Viele Schädlinge nutzen Netzwerkverbindungen – vor allem solche ins Internet – um zusätzliche Komponenten nachzuladen. Danach versuchen sie beispielsweise sich der konkret vorgefundenen Konfiguration des Computers anzupassen oder sich selbst zu verändern, um Virenscannern zu entgehen.

Um das Ziel eines abgeschotteten Inselsystems zu verwirklichen, verhindert Ubuntu Privacy Remix die Aktivierung vorhandener Netzwerk-Hardware. Dazu wurden dem angepassten Linux-Kernel die Unterstützungen für LAN-, WLAN, Bluetooth- und Infrarot-Hardware und vor allem die Datenfernübertragungsprotokolle entfernt.

Keine Festplatten

Auch der Unterbindung des Zugriffs auf lokale (und eventuell schon verseuchte) Festplatten messen die UPR-Entwickler für die Sicherheit eine doppelte Bedeutung zu:

  • einerseits könnten Schädlinge über solche Festplatten eindringen, zum Beispiel indem diese gemountet und die Schadsoftware von dort aus gestartet wird,
  • andererseits können bereits eingedrungene und aktive Schädlinge die Festplatten nutzen, um „erbeutete“ Daten abzuspeichern.

Bei der nächsten Verwendung des lokal installierten Systems für Internet-Verbindungen könnten sie dann beispielsweise von einem lokal installierten Trojaner abtransportiert werden.

Dadurch dass dem Betriebssystem die Möglichkeit genommen wird, die Festplatten überhaupt zu aktivieren, wird auch verhindert, dass unverschlüsselte Swap-Partitionen auf den lokalen Festplatten automatisch gemountet werden, wie es bei einer normalen Ubuntu Live-CD passieren würde. Damit bestünde die Gefahr, dass sensible Informationen auf diesem Weg im Klartext auf die Festplatte ausgelagert würden.

Um das Ziel eines abgeschotteten Inselsystems zu verwirklichen, verhindert Ubuntu Privacy Remix die Aktivierung lokaler Festplatten durch die Veränderung der Behandlung von ATA-Geräten im Quelltext des angepassten Linux-Kernels. Dies führt dazu, dass das System die (eventuell kompromittierten) lokalen S-/ATA-Festplatten vollständig ignoriert, ATA/ATAPI-Geräte wie DVD-Laufwerke aber normal erkennt, damit das System von CD überhaupt laufen kann.

„noexec“ gemountete Datenträger

Seit Release 8.04_r2 werden alle Wechseldatenträger standardmäßig mit der mount-Option „noexec“ in das System eingehängt. Das bedeutet, dass Dateien auf diesen Datenträgern gelesen und geschrieben, aber nicht mehr als Code ausgeführt werden können. Dadurch kann Schadsoftware nicht mehr direkt von einem Wechseldatenträger innerhalb des laufenden Systems ausgeführt werden. Dies betrifft Wechseldatenträger mit den Dateisystemen (v)fat, ntfs, ext2/ext3 oder reiserfs.

Erweiterte TrueCrypt-Volumes

Das Arbeiten mit einer Live-CD bringt zwar die genannten Sicherheitsvorteile, aber auch Produktivitätsnachteile, weil bestimmte Konfigurations- und Nutzdaten nicht dauerhaft gespeichert werden können. Das bedeutet zum Beispiel:

  • keine lernende Rechtschreibprüfung in OpenOffice.org,
  • OpenOffice.org-Vorlagen müssten jedes Mal von Hand importiert werden,
  • GnuPG würde weder seine Schlüssel noch seine Konfiguration behalten,
  • Evolution wäre als Termin- und Aufgabenplaner gar nicht zu benutzen.

Erweiterte Truecrypt-Container sind ein Feature von Ubuntu Privacy Remix, das diese Probleme löst und die Arbeit mit dem System bequemer und effizienter machen soll. Ihre Hauptfunktionen sind:

  • Speichern der Konfigurationen und Datenverzeichnisse von OpenOffice, Evolution und GnuPG innerhalb des Containers. Bei Evolution werden auch die Werte der Gconf-Datenbank im Container gespeichert. So kann ein wesentlicher Nachteil eines unveränderlichen Systems auf CD – die Flüchtigkeit von Programmkonfigurationen – umgangen werden. Bei Evolution betrifft das auch die Nutzdaten (Aufgaben, Termine, Notizen, Kontakte), bei GnuPG auch die Schlüssel selbst.
  • Auf Wunsch Indizierung des Containers mit beagle, so dass schnell und einfach nach Dateinamen, -inhalten und Tags gesucht werden kann. Dies ermöglicht unter anderem mit einem Tag-basierten Ablagesystem statt hierarchischen Ordnern zu arbeiten. Konfiguration und Datenbanken von trackerd befinden sich auch innerhalb des Containers, so dass dies – im Gegensatz zu herkömmlichen Desktop-Indexierungsprogrammen – kein Sicherheitsproblem darstellt. Während der Arbeit werden alle Änderungen im Container automatisch indiziert, ohne dass es größere Performance-Einbußen gibt.
  • Intelligentes Backup-System: Findet das System beim Schließen eines erweiterten Containers auf einem Wechseldatenträger eine Datei backup.tc, ist es möglich, automatisiert in diesen Container ein inkrementelles Backup mit rsync durchzuführen. Da bei unveränderten Daten nur Hardlinks gesetzt werden, wird viel weniger Platz als bei Vollsicherungen benötigt. Es werden immer die letzten 4 Sicherungen in jeweils einem eigenen Ordner vorgehalten.

„Erweiterte TrueCrypt-Volumes“ bedeuten keinerlei Eingriff in die Funktion oder das Containerformat von TrueCrypt. Es werden lediglich beim Öffnen und Schließen ein paar zusätzliche Befehle ausgeführt, wie zum Beispiel das Setzen von symbolischen Verknüpfungen aus dem (flüchtigen) Home-Verzeichnis in das geöffnete TrueCrypt-Volume.

Eingeschränkte Benutzerrechte

Ab der Version 9.04r1 sind die Rechte des Benutzers, unter dem die Live-CD läuft, anders als in anderen Live-CD-Systemen stark eingeschränkt. Es soll damit weiter erschwert werden, Schadsoftware in das laufende System einzuschleusen oder z. B. Kernelmodule nachzuladen. Das richtet sich nicht in erster Linie gegen absichtliche Maßnahmen des Anwenders, sondern gegen automatisierte Angriffe.

Einschränkungen

Die UPR-Entwickler weisen auf der Website ausdrücklich darauf hin, dass es eine absolute Sicherheit nicht gibt, und das System vor einer Reihe – in der Regel für den Angreifer allerdings sehr aufwändiger – Angriffe nicht schützen kann.

Angriffe unterhalb der Betriebssystem-Ebene

Hierzu zählt zum Beispiel das Einziehen einer Virtualisierungsschicht zwischen Hardware und dem UPR-Betriebssystem. Das wäre durch den Einbau speziell dafür manipulierter Hardware in den Computer zu realisieren. Genauso müssen zu dieser Klasse spezielle Geräte wie Hardware-Keylogger gerechnet werden. Angriffe dieser Art erfordern in der Regel mehrfachen physischen Zugriff auf den Computer. Eine Ausnahme könnten unter bestimmten Bedingungen auf Hardware-Virtualisierung basierte Angriffe bilden (Virtual Machine Based Rootkit).

Auslesen des Arbeitsspeichers

Die sog. Cold-Boot-Attacke bezeichnet einen Angriff, bei dem ein Computer kalt neugestartet wird (Strom aus und wieder an ohne richtiges Herunterfahren) mit einem minimalen Betriebssystem. Weil dieses Mini-System nur wenig Speicher verbraucht, enthält der Rest des Speichers noch genau das, was vor dem Neustart im Speicher war. Das könnten auch die Schlüssel von TrueCrypt Containern oder GPG-Schlüssel sein. Je nach Computer können solche Reste auch noch nach mehreren Sekunden bis Minuten ohne Strom aufgefunden werden.

Aus dieser Methode lässt sich ein spezieller Angriff gegen Systeme, auf denen UPR verwendet wird, ableiten. Die Sicherheit von UPR basiert darauf, dass das lokal auf dem verwendeten PC installierte System, alle Festplatten und Netzwerkhardware komplett ignoriert werden, so dass auch darauf evtl. vorhandene Schadsoftware UPR selbst nichts anhaben kann.

Bei dem UPR-spezifischen Angriff muss es einem Trojaner, der den Speicher nach Informationen wie Schlüssel, Passphrasen usw. absucht, gelingen, sich selbst in das lokal installierte System einzunisten. Wenn nun auf diesem System UPR zur Bearbeitung privater Daten eingesetzt wird – was eigentlich auch auf einem sonst unsicheren PC sicher sein sollte – und sofort danach in das lokale System rebootet wird, könnte dieser Trojaner nach dem Neustart noch Reste wie Schlüssel aus dem UPR-System im Speicher finden. Die Sicherheit von UPR könnte damit untergraben werden. Die Chance auf Erfolg ist etwas geringer als bei „richtigen“ Cold-Boot-Attacken, weil das lokale System vermutlich einen großen Teil des Speichers bereits überschrieben hat, den vorher UPR benutzt hatte.

Dieser Angriff setzt voraus, dass der Angreifer zumindest vermutet, dass UPR auf diesem Computer eingesetzt wird. Eine dagegen gerichtete Funktion in UPR 8.04r3 wurde in der aktuellen Version wieder entfernt, weil sie sich als nicht stabil erwiesen hat.

Non-IT-Angriffe

Dazu gehören zum Beispiel eine heimlich in der Wohnung installierte Kamera, die auf Tastatur und Bildschirm gerichtet ist und alle Inhalte mitfilmt. Oder ein schlechtes Passwort für die Verschlüsselung, das durch Social Engineering herausgefunden werden kann. Auch hier muss sich der Angreifer in vielen Fällen physischen Zugriff zu den Räumlichkeiten verschaffen können.

Auslesen bloßstellender Abstrahlung

Alle elektrischen Geräte, insbesondere Computerbildschirme, senden elektromagnetische Wellen aus. Diese sogenannte kompromittierende Abstrahlung kann mit geeigneten Empfangseinrichtungen auch über größere Entfernungen (bis über 100 Meter) hinweg aufgefangen werden, um den Datenverkehr abzuhören. Insbesondere kann ein Angreifer das Videosignal rekonstruieren und auf einem zweiten Bildschirm darstellen. Für die schnelle Visualisierung ist das Videosignal gut geeignet, jedoch können auch andere Komponenten und Signalleitungen abstrahlen und dadurch die verarbeiteten Informationen ungewollt senden. In einer Studie wiesen vor kurzem Vuagnoux/Pasini von der École polytechnique fédérale de Lausanne sogar die begrenzte „Abhörbarkeit“ von kabelgebundenen Tastaturen nach. Leicht abhörbare Funktastaturen mit primitiven XOR-Verschlüsselungsmechanismen sind für die Bearbeitung sensibler Daten ohnehin ungeeignet.

Weblinks

Einzelnachweise