Sicher surfen mit Stick
Windows hat zahlreiche Einfallstore für Schadsoftware. Ein hoch gehärtetes Linux schützt vor Angreifern und wahrt die Anonymität.
Boot-DVD: Anonym am PC und im Netz
D rive-by-Downloads, Zero-Day-Exploits, versehentlich geklickte Anhänge. Und in der Folge bestenfalls zerschossene Systeme und schlimmstenfalls Monate lang laufende Keylogger. Auch Anonymität und Privatsphäre ist heute ein leidiges Thema: Wer bei der Einrichtung eines neuen Windows (ebenso bei Android, MacOS und iOS) nicht aufpasst, lädt munter WLAN-Passwörter in die Cloud. Dank Windows haben wir uns an die resultierenden Bedrohungsszenarien längst gewöhnt. Dabei ist sichereres und anonymeres Surfen durchaus möglich.
Mit BSI-Geschichte
Auf der Bonus-DVD der Super-PremiumAusgabe nden Sie ein spezielles Linux, das die LessLinux-Entwickler in den Jahren 2009 bis 2011 unter anderem mit Unterstützung durch das BSI angepasst haben. Grundlage ist ein Live-System, bei dem im Gegensatz zu Ubuntu & Co. kein schreibbares Overlay-Dateisystem zum Einsatz kommt. Des Weiteren macht es von der strikten UGORechtetrennung (User, Group, Others) Nutzen – ein fast 50 Jahre altes Konzept. Etwas neuer ist SimpleMandatory AccessControl Kernel, eine Technologie, die auf dem Subjekt-Objekt-Modell der Geheimhaltungsvorschriften des Kalten Krieges beruht, und bei Geheimnisträgern seit den 1950ern benutzt wird. Sie ist in Form von SMACK immerhin seit acht Jahren Bestandteil des Linux-Kernels. Dieses Mandatory Access Control System wird beispielsweise dazu genutzt, nur bestimmten Prozessen Netzwerkzugriff zu gewähren und im Gegenzug Prozessen mit Netzwerkzugriff den Start bestimmter Kindprozesse zu verbieten. Der interessanteste Aspekt der technischen Basis ist, dass Windows spätestens seit Vista über absolut vergleichbare Mechanismen verfügt. Nur setzt Microsoft diese in seinen Desktopvarianten nicht konsequent ein – aus Angst, Nutzer durch etwas umständlichere Bedienung zu verprellen. Zugegeben: Es ist etwas aufwendiger, eine Of ce-Datei nicht direkt vom Browser starten zu lassen, sondern diese nach dem Herunterladen aus der Of ce-Anwendung heraussuchen und öffnen zu müssen. Ein chinesischer Menschenrechtler, der ein geleaktes Dokument extra mit dem Tor-Browser heruntergeladen hat, pro tiert in diesem Fall aber davon, dass die Of ce-Anwendung keinen Internet-Zugriff hat und so nicht seine mühsam verschleierte IP-Adresse verraten kann.
Start von DVD oder USB
Die DVD ist bootfähig. Probieren Sie bei BIOS-PCs, also Rechnern, die ursprünglich mit Windows 7 oder früher ausgeliefert wurden, ob der PC nach dem Anschalten bei eingelegter DVD automatisch von dieser startet. Ist das nicht der Fall, führt meist das Drücken einer der Tasten Esc,F8, F9,F10 oder F11 in ein temporäres Bootmenü, zudem ist es natürlich möglich, mit Entf ins BIOS-Setup zu gelangen, um die Startreihenfolge dauerhaft zu verändern, so also ein DVDLaufwerk ( bei eingelegter DVD) der Festplatte vorzuziehen. Theoretisch einfacher ist der Start bei UEFI-Rechnern, also PCs, die mit Windows 8 oder höher ausgeliefert werden. Deren Firmware gewährt dem Betriebssystem beispielsweise Zugriff auf eine Liste der
angeschlossenen bootfähigen Geräte und erlaubt ihm auch, für den nächsten Start ein vom Standard abweichendes zu setzen. Theoretisch genügt es hier, bei laufendem Windows die Superpremium-DVD einzulegen, auf den An-aus-Schalter von Windows zu klicken und bei gedrückter Shift-Taste den Eintrag Neu starten anzuklicken. Es erscheint nun ein Menü mit erweiterten Neustart-Optionen, in denen Sie Ein Gerät verwenden auswählen. Hier gehen Sie auf die bootfähige Bonus-DVD (oder den USBStick, falls Sie ihn gemäß Anleitung erstellt haben). Taucht das neue Bootmedium noch nicht auf, ist es in der Praxis oft erforderlich, bei eingelegtem Datenträger noch einmal Windows komplett herunterzufahren und neu zu starten. Von DVD gebootet kopiert sich das System ab vier Gigabyte RAM komplett in den Arbeitsspeicher. Dieser Vorgang dauert zwar meist ein bis zwei Minuten, der Start von Programmen ist danach aber sehr viel schneller. Nachteil der DVD-Variante ist, dass keine Einstellungen und Lesezeichen persistent gespeichert werden.
Gefährliche Aktionen? Mit Passwort!
Nach dem Start fordert das Surf-Linux die Vergabe eines Passwortes. Dieses wird für potenziell gefährliche Aktionen wie den Datenträgerzugriff benötigt. Anschließend nden Sie sich in einem Desktop wieder, der mit seinem schlichten Startmenü, dem blauen Hintergrund und der Taskleiste ein wenig an Windows 2000 erinnern mag. In diesem Fall geht das komplett in Ordnung, denn der sehr fokussierte Anwendungsumfang erfordert keine aufwendigeren Menüs. Im Desktop stehen die Web- und Mail-Anwendungen Firefox und Thunderbird sowie der auf Firefox basierende TOR-Browser zur Verfügung. Daneben erwartet Sie eine kleine, aber feine Auswahl an Of ceApps (Gnumeric beispielsweise zur Verarbeitung heruntergeladener Kontoauszüge), Medienplayern (Audacious für MP3s, VLC für Videos) und einigen kleinen Spielen.
Misstrauen Sie TOR
Wir integrieren ein Tool, bei dessen Verwendung wir Vorsicht gemahnen? Ja, wir empfehlen auch Motorsägen zum Fällen von Bäumen, raten aber auch zum Tragen adäquater Schutzkleidung. Den TOR-Browser haben wir aus guten Gründen integriert, denn mit Verstand eingesetzt kann TOR viel Sicherheit, Anonymität oder Schutz vor Verfolgung bieten. Allerdings ist im praktischen Einsatz sehr viel Vorsicht angebracht. Diese bezieht sich weniger auf Geheimdienste, die versuchen, Exit-Nodes zu kontrollieren, als auf eine Kombination von Unbedarftheit der Nutzer und Dreistigkeit von Plattform-Anbietern. Wer sich in einer TORSession mit Facebook oder seinem GoogleKonto anmeldet, macht sich angesichts der Vielzahl in reguläre Webseiten eingebetteter Scripte leicht verfolgbar. Dieses Problem ist jedoch kein technisches, sondern ein rechtliches (Datenschutzbestimmungen) und ein gesellschaftliches (Datenweitergabe wird oft als nicht negativ empfunden). Eine gute Zusammenfassung unserer inhaltlichen Kritik am Prinzip des Onion Routings fasste Mike Kuketz be- reits 2013 in seinem Blog zusammen: bit. ly/2AU8zUp. Dennoch: Gerade, wer sich der Probleme des Prinzips TOR bewusst ist, wird das Netzwerk besser für seine Zwecke einsetzen können und sich nicht blind irgendwelchen Versprechungen hingeben, die mehr schaden als nutzen.
Tipp: Nicht immer ist ein Hin-und-herBooten zwischen zwei Betriebssystemen praktikabel, um mal schnell anonym zu surfen oder Homebanking zu erledigen. Eine bequemere Möglichkeit sind virtuelle Maschinen. Auf unserer DVD nden Sie ein fertiges vmdk-Image für VMWare oder Virtual Box. whs