Lindows Teil 4: Tails naked

Während sich die beiden vorigen Teilen dieser Artikelserie noch auf Anwendungen konzentrierten, die sich wie BitBox und Whonix problemlos unter Windows einsetzen lassen, richtet sich die Fortsetzung an alle, für die auch ein ‚Sowohl als auch‘ in Frage kommt. In diesem Fall sowohl ein Linux-System als virtuelle Maschine unter Windows nutzen, als auch Windows Windows sein lassen und Linux direkt von DVD oder USB starten.

Warum? Weil es Grenzfälle gibt, in denen ein Höchstmaß an Sicherheit erforderlich wird und man Zweifel an der Integrität seines regulären Systems hat. Bei verdeckten Recherchen beispielsweise, oder weil man aus anderen Gründen nicht einmal minimale verräterische Spuren hinterlassen möchte. Denn, so effektiv virtuelle Maschinen in Sachen Sicherheit auch sein mögen, es verbleiben immer Reste temporärer Dateien auf der Festplatte und einem Staatstrojaner kann man auch kein Paroli bieten. Ist die Virtualisierungssoftware oder das Gastsystem kompromittiert oder muss man befürchten, dass dies sein könnte, bleibt im Zweifelsfall nur das Ausweichen auf ein separates System – was sich mit dem in Sachen Privatsphäre extrem vorkonfigurierten Tails leicht in Angriff nehmen lässt.

Was ist Tails?

Tails (Theamnesicincognitolivesystem) ist als sogenanntes Linux-Live-Betriebssystem konzipiert. Die Distribution basiert auf Debian und kann entweder als virtuelle Maschine unter Windows eingesetzt werden oder komplett physisch losgelöst vom eigentlichen System als Live-DVD, bzw. USB-Stick betrieben werden.

Besondere Merkmale von Tails sind der starke Fokus auf Privatsphäre und Anonymität, realisiert über starke Kryptographie-Tools, die Dateien, E-Mails und Messenger-Daten verschlüsseln und das System bereits vom Start weg vor Angriffen schützen sowie der Rückgriff auf das Tor-Netzwerk für Internetverbindungen. Damit empfiehlt es sich im Prinzip nicht nur als mobile Surf-Umgebung und sichere Umgebung für heikle Recherchen, sondern auch für Homebanking-Anwender, für die zusätzlich eine einblendbare Bildschirmtastatur an Bord ist.

Was ist Tor?

Mit Tor bezeichnet man wahlweise ein Netzwerk, eben das Tor-Netzwerk, oder den Browser, mit dem man dieses Netzwerk nutzen kann, den Tor-Browser. Unter Tails ist der Tor-Browser die Standard-Surfstation, die alle Internetverbindungen zur Verschlüsselung und Anonymisierung über das Tor-Netzwerk leitet. Der Datenverkehr wird hierzu durch eine Reihe von Tor-Rechnern umgeleitet, bevor er über einen Tor-Exit-Server ins Internet entlassen wird. Für jedes andere Ziel werden dabei immer auch andere Zwischenserver verwendet.

Die Nachteile: Das Surfen über Tor kann je nach Auslastung und verwendeten Servern zeitweise quälend langsam sein. Außerdem haben selbst die letzten Internet-Ausdrucker mittlerweile begriffen, dass Tor so schwer nicht anzuwenden ist und selbst Otto Normalverbraucher anonymes Surfen zum Nulltarif ermöglicht. Mit der Folge, dass die polizeilichen und geheimdienstlichen Überwachungsmaßnahmen im Tor-Netz vermutlich stärker ausfallen als gemeinhin sowieso üblich. Bei lohnenden Anlässen, bspw. der Aushebung krimineller Ringe, sollen gar bereits schon mehr als die Hälfte aller Exit-Nodes von Geheimdiensten betrieben worden sein. Warum die Exit-Nodes? Weil hier die Verschlüsselung fällt und neugierige Zeitgenossen den Datenverkehr problemlos abhören können.

Download & Installation auf DVD

Über die offizielle Tails-Website lässt sich die aktuelle Version des Live-Systems als ISO-Image herunterladen.

Hierzu bemüht man entweder ein Browser-Add-on, das es für Firefox gibt, oder klickt rechts daneben auf ‚Download and verify using OpenPGP‘. Bei Letzterem lädt man zunächst das ISO-Image herunter, dann die dazu passende OpenPGP-Signatur sowie den Tails-Signaturschlüssel, und speichert schließlich alles in demselben Ordner.

Dateiverifizierung

Um die heruntergeladene ISO-Datei mittels OpenPGP zu verifizieren, geht man folgendermaßen vor:

  1. Falls noch nicht vorhanden, lade Gpg4win (https://www.gpg4win.org/) herunter und installiere die Software.
  2. Starte die Anwendung ‚Kleopatra‘ (zu finden im Startmenü unter ‚GPG4WIN‘) und klicke auf ‚Zertifikate importieren‘. Aktiviere in der Suchmaske ‚Alle Dateien‘, binde die Datei ‚tails-signing.key‘ ein und klicke auf ‚Öffnen‘.
  3. Wechsele in den Ordner mit den heruntergeladenen Dateien, führe einen Rechtsklick auf die Datei ‚tails-amd64-3.2.iso.sig‘ aus und aktiviere im Kontextmenü den Eintrag ‚Entschlüsseln und prüfen‘.
  4. Im nächsten Fenster ist die signierte Datei (‚tails-amd64-3.2.iso‘) bereits eingefügt und man braucht nur auf die Schaltfläche ‚Entschlüsseln/überprüfen‘ klicken.
  5. Gibt die Prüfung grünes Licht, ist die Datei unverändert, andernfalls wurde einem eine kompromittierte untergeschoben.

ISO brennen

Um mit den Bordmitteln von Windows 10 eine Live-DVD zu erstellen, führt man einen Rechtsklick auf die ISO-Datei aus, wählt den Eintrag ‚Senden an‘, wählt den CD/DVD-Recorder, legt einen Rohling ein und lässt Windows die Scheibe brennen.

Tails starten

Lege die erstellte Live-DVD jetzt in das DVD-Laufwerk, fahre Windows herunter und starte deinen Rechner neu. Die Boot-Reihenfolge des Rechners sollte das DVD-Laufwerk priorisieren. Ist dies nicht der Fall, muss das Rechner-BIOS aufgerufen und die Reihenfolge geändert werden, so dass der Rechner von DVD statt Festplatte startet. Alternativ ist es bei vielen Mainboards möglich, durch Drücken der F8-Taste während des Startvorgangs ein Menü aller angeschlossenen Laufwerke aufzurufen, aus dem man bequem das Startlaufwerk auswählen kann.

Im Tails-Startfenster legst du die gewünschte Sprache fest und klickst anschließend auf ‚Tails starten‘.

Um über Tor zu surfen, klickst du auf ‚Anwendungen -> Tor-Browser‘.

Hinweis: Alle Daten werden mit Beendigung der Tails-Sitzung gelöscht, also auch Dateien, die heruntergeladen oder Einstellungen, die verändert wurden. Möchtest du Dateien behalten, binde entweder einen USB-Stick ein und kopiere die Dateien dorthin oder sende dir selbst eine Mail mit Anhang.

Permanentes Tails auf USB

Um ein permanenteres Tails auf einem USB-Stick zu installieren, muss etwas weiter ausgeholt werden. Hierfür benötigt man zwei USB-Sticks mit jeweils mindestens 8 Gigabyte (alle vorhandenen Daten werden gelöscht) sowie etwas Zeit.

Auf dem ersten Stick wird ein temporäres Tails installiert, von dem aus man den PC mit Tails startet, um dann in einem zweiten Schritt das reguläre Tails auf dem zweiten Stick einzurichten. Der Vorteil: Sicherheitsaktualisierungen können im eigentlichen Tails (dem auf dem zweiten Stick) automatisch eingespielt werden und man hat die Möglichkeit, einen permanenten Speicherbereich für Dokumente, Konfigurationen und Dateien einzurichten.

  1. Lade die ISO-Datei herunter wie oben beschrieben.
  2. Lade den ‚Universal USB Installer‘ herunter und starte das Programm.
  3. Unter ‚Step 1: Select a distribution …’ wählst du ‘Tails’ aus.
  4. Unter ‚Step 2‘klickst du auf ‘Browse’, um die heruntergeladene ISO-Datei einzubinden.
  5. Unter ‚Step 3‘ gibt’s du den USB-Stick an, auf den Tails installiert werden soll.
  6. Aktiviere die Option ‚FAT32 Format‘.
  7. Klicke auf ‚Create‘, dann auf ‚Yes‘ und nach Beendigung (dauert ein wenig) auf ‚Close‘.
  8. Fahre Windows herunter, stelle sicher, dass die Boot-Reihenfolge das USB-Laufwerk an erster Stelle hat, und starte den Rechner neu. Unter Umständen musst du das Rechner-BIOS aufrufen und die Reihenfolge abändern, so dass der Rechner vom USB-Stick bootet. Viele PCs bieten auch die Möglichkeit, durch Drücken einer Taste während des Startvorgangs (in der Regel F8) ein Bootmenü aufzurufen und das Startlaufwerk auszuwählen.
  9. Starte Tails, lege die gewünschte Sprache fest und klicke auf ‚Tails starten‘.
  10. Unter Tails öffne das Menü ‚Anwendungen‘ und klicke auf ‚Tails -> Tails Installer‘.
  11. Stecke den zweiten USB-Stick ein.
  12. Wähle im ‚Tails Installer‘ die Option ‚Upgrade from ISO‘, wähle das ISO-Image aus (lade es bei Bedarf vorher neu herunter) und klicke auf ‚Install‘.
  13. Fahre den Rechner herunter, entferne USB-Stick 1 und starte von USB-Stick 2 neu.

Speicherbereich konfigurieren

Ist Tails neu gestartet, ändere die Sprache erneut und richte dann einen verschlüsselten permanenten Speicherbereich ein.

Hierzu klickst du auf ‚Anwendungen -> Tails -> Configure persistent volume‘ und trägst zunächst ein starkes Passwort ein, mit dem deine Daten geschützt werden sollen. Nach der Erstellung wird dir eine Liste der möglichen speicherbaren Daten angezeigt. Aktiviere die Bereiche, die du benötigst, und schließe den Vorgang mit ‚Speichern‘ ab.

Starte Tails neu. Im bekannten Sprachauswahlfenster gibst du jetzt neben der Sprache auch dein Passwort für den verschlüsselten Bereich ein. Deine persönlichen Dateien speicherst du im Ordner ‚Persistent‘, zu finden im Menü ‚Orte‘.

Was kann man erwarten?

Da der Datenaustausch mit dem Internet über das Tor-Netzwerk erfolgt und dasTails- System selbst autark und separat vom restlichen Rechner arbeitet, ist die Sicherheit hoch. Nichtsdestotrotz sollte man ein Auge auf verschiedene Dinge haben:

  • Schließe den Stick nach der endgültigen Installation nie mehr an ein potenziell unsicheres System an, um zu vermeiden, dass deine Tails-Installation korrumpiert wird.
  • Spiel Upgrades immer sofort ein.
  • Einer kompromittierten Rechner-Firmware kann nichts entgegengesetzt werden. Befindet sich Schadsoftware im BIOS kann kein Betriebssystem der Welt daran vorbei operieren.
  • Jeder Tor-Exit-Server ist ein potenzielles Sicherheitsrisiko.

Was kann man besser machen?

Die große Schwachstelle des Tor-Netzwerks ist die generelle Unsicherheit darüber, wer der Betreiber eines Exit-Servers ist. Dies sind oft Aktivisten, NGOs oder vertrauenswürdige Privatpersonen, vermehrt leider aber auch Geheimdienste und andere Ermittlungsbehörden. Verlassen deine Daten das Tor-Netzwerk unverschlüsselt über solch einen kompromittierten Exit-Server, liegen sie offen zu Tage. Abhilfe schafft hier nur eine Ende-zu-Ende-Verschlüsselung durch HTTPS-Verbindungen. Besser wäre es, einen VPN zu verwenden, dies ist mit Tails derzeit aber nicht möglich.

Tails mit CyberGhost

Möchte man Tails mit CyberGhost verwenden, geht dies nur, wenn Tails über eine virtuelle Maschine genutzt wird. Dann sichert man auf diese Weise den Traffic des Exit-Knotens, da der Datenverkehr durch den VPN zusätzlich verschlüsselt wird.

Hierzu empfiehlt sich, VirtualBox in den CyberGhost-Programmschutz einzubinden, indem man im CyberGhost-Client im oberen Menü auf ‚Optionen‘ klickt, im Einstellungsfenster den ‚Programmschutz‘ aktiviert und anschließend VirtualBox in die Liste der zu schützenden Programme aufnimmt.

Allerdings, und das soll nicht verschwiegen werden, man erkauft sich das Plus an Sicherheit mit einem Einbruch an anderer Seite, denn sind Virtualisierungssoftware oder Betriebssystem durch Trojaner oder Keylogger kompromittiert, können Daten noch vor der Übertragung abgefangen werden.

Mehr zu virtuellen Maschinen, abgekapselten Betriebssystemen und CyberGhost erfährst du im letzten Teil dieser Artikelserie.

About the author

CyberGhost VPN - Uli
CyberGhost VPN - Uli

2 Comments

Leave a comment
    • Ohne jetzt die Details genau zu kennen, sieht es wohl so aus, dass PureVPN nicht aus Lust und Laune Logs angelegt hat, sondern einen Nutzer, der bereits von den Behörden überwacht wurde und von dem die Anmeldedaten bekannt waren, identifizierte – was völlig legitim wäre, da sich ein Unternehmen nicht mal so eben über den Rechtsstaat stellen kann. Wichtig zu erwähnen ist, dass das Anlegen von Logs und Zusammenarbeit mit Strafermittlern zwei verschiedene Dinge sind. Bekennt sich ein Unternehmen zu Letzterem (was eigentlich selbstverständlich sein sollte, da es bei einem VPN ja nicht darum geht, Kriminellen Freibriefe zu erteilen), bedeutet dies nicht, dass automatisch auch Logs angelegt werden, sozusagen im vorauseilendem Gehorsam. Was CyberGhost betrifft, werden keine Logs angelegt, weil dies laut rumänischem Recht nicht zwingend erforderlich ist. Dies bedeutet aber nicht, dass das Unternehmen sich richterlichen Verfügungen verweigern kann – was in den vergangenen Jahren seit Dienstaufnahme bislang allerdings nicht ein einziges Mal erfolgte.

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

© 2017 CyberGhost