Anonymisierungs-Linux Tails 3.1
Durchgeschaut
Das bekannteste amnestische Linux – spätestens seit Edward Snowden – ist wohl Tails, das im Sommer in der dritten Major Release erschien.
Gleich mehrere Linux-Distributionen versuchen, die Anonymität und Privatsphäre ihrer Benutzer zu wahren. The Amnesic Incognito Live System oder kurz Tails gehört dazu und darf sich bereits als alten Hasen bezeichnen, hat es doch schon gut acht Jahre auf dem Buckel. Im Juni 2017 erschien die neue Major Release 3.0, basierend auf Debian 9 „Stretch“ – vier Tage vor der offiziellen Stretch-Release. Dass das Debian-Team bereits im Juli die Version 9.1 folgen ließ, die einige Sicherheitslücken schloss, war für die Tails-Entwickler Grund genug, Anfang August ihre Version 3.1 nachzuschieben. Bei dieser Gelegenheit hoben sie den Tor-Browser auf 7.0.4 und den Linux-Kernel auf 4.9.30-2+deb9u3.
Anders als etwa Qubes OS ist Tails nicht zur dauerhaften Installation gedacht, sondern als pures Live-System konzipiert, das von einer DVD, einem USB-Stick oder einer SD-Karte startet. Auf beschreibbaren Medien kann man einen persistenten verschlüsselten Bereich einrichten, den Tails wenn gewünscht beim Booten einbindet. Für USB-Sticks, die der Hersteller als festes Medium und nicht als entfernbares konfiguriert hat, kann man den Boot-Parameter live-media=removable auskommentieren.
Grundsätzlich läuft Tails auf einer breiten Palette unterschiedlicher Hardware. Etwaige Schwierigkeiten mit Rechnern und USB-Sticks skizziert das Entwicklerteam auf seiner Projektseite, die auch über die iX-Links am Ende des Artikels zu finden ist.
Seit der Version 3.0 läuft Tails allerdings nur noch auf 64-bittigen x86-kompatiblen Prozessoren. Dazu empfiehlt das Entwicklerteam 2 GByte RAM. Es begründet die bewusste Entscheidung gegen 32-Bit-Systeme damit, dass das die Sicherheit und Zuverlässigkeit erhöhe. Beispielsweise sei zum Schutz vor bestimmten Exploit-Typen die Nutzung des NX-Bits (No eXecute) nunmehr verpflichtend. Außerdem seien die meisten Binärdateien per PIE (Position-independent Executable) gehärtet, was wiederum ASLR (Address Space Layout Randomization) erlaube.
Tails soll keine digitalen Spuren auf der Hardware hinterlassen, auf der es läuft – außer man wünscht es. Die interne Festplatte fasst Tails von sich aus nicht an. Das Entwicklerteam rät den Anwendern dringend davon ab, selbst darauf zuzugreifen, denn es könnten Spuren zurückbleiben. Oder ein kompromittiertes Tails könnte die interne Festplatte infizieren. Möchte man sie dennoch einbinden, kann man beim Start von Tails ein Passwort setzen und danach im Dateimanager GNOME Files auf die Festplatten lesend wie schreibend darauf zugreifen. Das Kontextmenü bietet darüber hinaus Funktionen wie sicheres Löschen oder Verschlüsseln. Neu ist außerdem die Option des Umbenennens multipler Dateien.
Beim Herunterfahren füllt Tails zudem einen Großteil des Arbeitsspeichers mit Zufallswerten, um sich gegen sogenannte Cold-Boot-Angriffe zu schützen. Die Projektseite liefert eine detaillierte Beschreibung der Prozedur.
Die Wahl des Browsers
Bei der Wahl der Arbeitsumgebung hat sich das Team für GNOME entschieden. Das Anonymisierungsnetzwerk Tor ist fester Bestandteil von Tails. Das System versucht, sämtliche Verbindungen ins Internet über Tor zu lenken. Gelingt das nicht, blockiert es sie.
Der standardmäßig verwendete Tor-Browser 7.0.4 basiert auf Firefox 52.3.0. Als Erweiterungen sind NoScript zur Kontrolle über JavaScript, der Werbeblocker uBlock Origin sowie HTTPS Everywhere installiert, das zahlreiche Nicht-SSL-Anfragen transparent auf SSL umleitet. Die Applikationsisolation übernimmt AppArmor. Derzeit setzt Tails nur auf dateisystembezogene Isolation, sodass ein Programm etwa nicht den GnuPG-Schlüsselbund lesen kann. Setzt man beim Tails-Start ein Passwort, kann man sich mit den Befehlen sudo –i und aa-status einen Überblick über die Tails-internen AppArmor-Profile verschaffen.
Ohne Tor ins Web kommt man mit dem Unsafe Browser. Er ist etwa bei zahlreichen Login-Portalen von öffentlichen WLANs unumgänglich, will man die initiale Zugangsberechtigung erhalten. Deshalb läuft der Unsafe Browser mit den Rechten eines separaten Clearnet-Benutzers, der externe TCP-Verbindungen über beliebige Ports herstellen sowie jegliche UDP-DNS-Abfragen durchführen kann. Gleichzeitig sind lokale Dienste wie Tor für diesen Benutzer blockiert.
Startet man den Unsafe Browser, lädt Tails ihn in einer chroot-Umgebung und einem eigenen Wegwerf-Dateisystem. Beides zerstört es beim Beenden des Browsers wieder. Die Entwickler weisen explizit darauf hin, dass es ein Leichtes sei, aus einer chroot-Umgebung auszubrechen und man dieses Konstrukt nicht aus Gründen der sicheren Dateiisolation benutze. Vielmehr solle das unsichere Konfigurationen, etwa einen DNS Resolver, eingrenzen.