[Only112]

NSA-Whistleblower Edward Snowden hat nach eigenen Angaben das Betriebssystem Tails verwendet, um sich
verschlüsselt und anonym im Netz zu bewegen. Wir haben uns die Linux-Distribution angesehen.

Die Linux-Distribution Tails enthält nicht nur den Tor-Browser, sondern zahlreiche weitere Anonymisierungswerkzeuge. Tails steht für The Amnesic Incognito Live System. Edward Snowden hat nach eigenen Angaben in Tails seine E-Mails verschlüsselt und verschickt und vermutlich mit dem dort enthaltenen Tor-Browser anonym im Internet gesurft. Das Tails-Team setzt nicht nur auf Anonymisierung, sondern auch auf Datensicherheit und damit letztendlich auch auf die Sicherheit seiner Anwender.

Derweil ist das Tor-Netzwerk ebenfalls von dem Heartbleed-Bug betroffen. Sowohl Client-Software als auch Knoten und Relays enthalten laut Tor-Team den Fehler, der nach und nach gepatcht wird. Es seien noch zahlreiche betroffene Relay-Server im Tor-Netzwerk, die noch kein Update erhalten haben. Diese seien mit einem Flag als unsicher markiert worden. Sie werden erst nach einem Update wieder in das Netzwerk aufgenommen. Bis zum 17. April 2014 waren 586 Relay-Server betroffen, also etwa 10 Prozent des Netzwerks. Am 21. April 2014 waren es nur noch 38. Tails selbst ist aber wohl von dem Heartbleed-Bug nicht betroffen, da es eine ältere Version der Openssl-Bibliothek verwendet.


Genügsames Live-System

Die Linux-Distribution lässt sich als Live-System von nahezu jedem Rechner aus starten und hinterlässt nach Gebrauch dort keine Spuren. Auf Wunsch können jedoch persönliche Daten in einem verschlüsselten Container gespeichert werden. Tails basiert auf der Linux-Distribution Debian 6.0.9 und verwendet den Linux-Kernel in Version 3.12.9 und den Gnome-2-Desktop.

Tails benötigt laut Dokumentation mindestens 1 GByte Arbeitsspeicher. In unserem Test erhielten wir damit aber eine Warnung, dass Aktualisierungen nicht angewendet werden könnten. Sonst funktionierte Tails aber problemlos. Darüber hinaus soll Tails "auf fast allen Rechnern laufen, die nach 2005 hergestellt wurden." Tails ist in der Tat genügsam, es reicht ein Zweikernprozessor und dank aktuellem Linux-Kernel eine halbwegs kräftige Grafikkarte, egal welchen Herstellers.


Festgebrannt oder auf Speicherkarte

Tails ist aktuell nur als ISO-Datei von der Webseite des Projekts erhältlich. Die Integrität des Images lässt sich mit einem PGP-Schlüssel überprüfen und nicht wie sonst üblich über eine MD5-Summe. Das ISO-Image ist knapp 900 MByte groß und passt daher eher auf einen DVD-Rohling. Statt auf eine DVD gebrannt zu werden, lässt sich das Tails-Image auch auf einen USB-Stick oder eine SD-Karte übertragen.

Beide Ansätze haben Vor- und Nachteile: Eine auf DVD gebrannte Variante lässt sich naturgemäß nachträglich nicht mehr manipulieren. Allerdings muss mit jeder neuen Version von Tails eine neue DVD gebrannt werden. Auch das Anlegen eines verschlüsselten Containers für persönliche Dateien, die einen Neustart überstehen sollen, etwa auf einem USB-Stick, ist zwar möglich, aber komplizierter.


LUKS-Container für persönliche Daten

Der verschlüsselte Container dürfte der entscheidende Vorteil sein, Tails auf einem USB-Stick oder einer SD-Karte zu installieren und zu nutzen. Die Tails-Entwickler weisen jedoch explizit darauf hin, dass die Linux-Distribution dann angreifbar, weil veränderbar ist. Tatsächlich befindet sich das Dateisystem in einer komprimierten SquashFS-Datei, die mit einigem Aufwand manipuliert werden kann. Der Container wird mit LUKS verschlüsselt.

Sonst überwiegen die Vorteile einer Live-Version auf USB- oder SD-Karte: Tails lässt sich beispielsweise durch aktuelle Versionen ersetzen. Denn es wird regelmäßig aktualisiert und mit Sicherheitspatches oder neuen Versionen der diversen Software versehen. Die aktuelle Version 0.23 von Tails stammt vom 14. März 2014.


Verschlüsselte Ablage

Außerdem kann der eben erwähnte verschlüsselte Container über die Tails beiliegenden Werkzeuge erstellt werden. Dann wird der Container automatisch beim Systemstart nach einer Passwortabfrage eingebunden. Das dürfte vor allem unerfahrenen Linux-Anwendern zugutekommen, die sich mit verschlüsselten LUKS-Containern oder dem Mount-Befehl nicht auskennen. Der Container wird mit den Standardwerten verschlüsselt, die LUKS vor Version 1.6.0 vom 14. Januar 2013 verwendete, nämlich mit AES-256, CBC (Cipher-block chaining) und ESSIV (Encrypted salt-sector initialization vector) mit SHA256 sowie einer Schlüssellänge von 256 Bit. Diese Kombination gilt als sicher und lässt sich bislang nur durch Brute-Force-Angriffe auf zu schwache Passwörter aushebeln.

Die direkte Übertragung auf eine Speicherkarte ist indes unter Linux nicht besonders einfach und schon gar nicht unter Mac OS X. Unter Windows gibt es ein grafisches Werkzeug, das die ISO-Datei überträgt. Da wir Tails zunächst in einer virtuellen Maschine ausprobiert haben, starteten wir dort direkt von der ISO-Datei, also von der virtuellen DVD. In der Tails-Oberfläche fanden wir dann einen Installer, der die Übertragung auf ein entsprechendes Speichermedium übernimmt.


Ins Internet mit Tor

Von der Verwendung in einer virtuellen Umgebung raten die Tails-Entwickler jedoch explizit ab. Denn die Host-Maschine kann unsicher sein und der Netzwerkverkehr muss ihn zunächst passieren. Wer seinem Wirtssystem vertraut, kann Tails aber durchaus auch dort verwenden oder zumindest ausprobieren.

Zunächst erhielten wir einen Startbildschirm, in dem unten die Sprache beispielsweise auf Deutsch umgestellt werden kann. Die Liste der möglichen Sprachen ist indes ziemlich umfangreich. Tails lässt sich ohne weitere Konfiguration direkt starten und ist dann in wenigen Sekunden betriebsbereit. Auf dem Bildschirm erscheint eine Meldung, dass der Anonymisierungsdienst Tor aktiv ist.


Als Windows XP getarnt

Wir haben uns die erweiterten Optionen angesehen. Dort lässt sich ein Administrator-Passwort setzen, das für die jeweilige Sitzung gültig ist. Die Option, die Mac-Adresse des Host-Rechners zu verschleiern, ist bereits aktiviert. In seltenen Fällen kann das aber zu Problemen im Netzwerk führen und deshalb dort wahlweise ausgeschaltet werden. Darunter lassen sich weitere Netzwerkeinstellungen für die Tor-Verbindung vornehmen, etwa um eingeschränkte Firewall-Einstellungen im Netz zu umgehen sowie ein Proxy oder einen Tor-Knoten zu konfigurieren.

Neugierig gemacht hat uns die Option "Windows-Tarnmodus", die wir umgehend aktiviert haben. Wir wurden von einer Windows-XP-Oberfläche begrüßt.


Debian-Unterbau

Tatsächlich startete ein Debian-System in der Version 6.0.9, allerdings haben die Tails-Entwickler das Theme XPLuna integriert, das dem Linux-System das Aussehen von Windows XP verleiht. Zumindest aus der Ferne sieht es so aus wie die Windows-Variante, die inzwischen nicht mehr gepflegt wird. Tatsächlich fallen aber bei näherem Hinsehen einige Unterschiede auf, etwa der Startknopf, der ein wenig anders aussieht als das Original.

Spätestens als wir den Browser öffnen und uns der Startbildschirm des Firefox-Klons Iceweasel begrüßt, ist klar, dass es sich um ein Linux handelt und nicht um Windows XP. In der Titelleiste wird Iceweasel als "Tor Browser" bezeichnet und das Tails-Projekt ist als Startseite eingerichtet. Der Browser liegt in Version 24.4.0 vor. Standardmäßig wird beispielsweise das Plugin HTTPS Everywhere mitgeliefert, das eine verschlüsselte Verbindung zu Webseiten erzwingt, die dies unterstützen. Zudem liegt der E-Mail-Client Claws bei. Für sicheres Chatten liegt Pidgin bei, das OTR (Off-The-Record) unterstützt.


Schlüsselverwaltung und Metadaten-Reiniger

Für die Verwaltung von Schlüsseln bringt Tails die entsprechende Anwendung GnPG mit, die auch in die Benutzeroberfläche integriert ist. Außerdem liegt Keepassx für die Verwaltung von Passwörtern bei. Zu den dort gespeicherten Passwörtern lassen sich Notizen erstellen. Wem kein eigenes sicheres Passwort einfällt, der kann eines von Keepassx erstellen lassen.

Eine weitere interessante Anwendung löscht Metadaten in Dateien, die ein Benutzer womöglich übersehen hat. In den meisten Textverarbeitungsprogrammen werden unter anderem der Name des Erstellers und sein Kürzel in die einzelnen Dokumente eingebettet, jene Daten also, die der Anwender beim ersten Start der Anwendungen eingegeben hat. Metadata Anonymisation Toolkit löschte diese Einträge und viele weiteren Informationen, etwa die Bearbeitungsdauer. Wir haben die Anwendung erfolgreich mit ODT- und DOCX- sowie PDF-Dateien getestet. Außerdem löscht Metadata Anonymisation Toolkit die Exif-Daten aus Fotos im JPEG- oder PNG-Format samt dem Standorteintrag. Die Reinigung von Bilddateien funktioniert allerdings nicht uneingeschränkt. DOC-Dateien lassen sich gar nicht reinigen. Weitere Informationen lassen sich in der Hilfe unter "Supported Formats" abrufen.


Unsichtbar im Netz

Als Alternative zu Tor bietet Tails auch einen Zugang zum Invisible Internet Project - kurz I2P - an. Die Kommunikation im autarken I2P-Netzwerk ist mehrfach verschlüsselt und läuft vollständig über Peer-to-Peer ab. Zahlreiche Clients, die I2P unterstützen, lassen sich in Tails installieren und nutzen.

Ärgerlich ist nur, wenn persönliche Daten nach einem Neustart wieder verschwunden sind. Deshalb lässt sich auf einem USB-Stick mit Tails eine verschlüsselte Containerdatei anlegen, in der persönliche Daten abgelegt werden können. Wie bereits erwähnt, richtet Tails diese automatisch ein, wenn die Linux-Distribution von einer gestarteten ISO-Version aus auf ein Speichermedium installiert wird.


Permanenter Speicher

Der mit LUKS verschlüsselte Container wird bei einem Neustart von Tails nach einer Passwortabfrage in das Dateisystem im Ordner persistent im Home-Verzeichnis eingebunden. Dateien müssen dort aber explizit hineinkopiert werden. Der Container lässt sich auch unter anderen Linux-Distributionen öffnen, ohne dass Tails gestartet werden muss.

Tails bietet aber auch an, weitere Daten automatisch in dem Container abzuspeichern, die einen Neustart von Tails überstehen sollen, etwa eigene Schlüssel, E-Mails, Profile für das Chat-Programm oder über Synaptic installierte zusätzliche Anwendungen. Die müssen dann nach einem Neustart zwar nochmals installiert, aber nicht erneut heruntergeladen werden.


Fazit

Die Tails-Entwickler liefern ausreichend oft Updates für ihre Linux-Distribution nach. Wir mussten jedoch in der Mitte März 2014 veröffentlichten Version bereits 18 teils sicherheitskritische Updates nachinstallieren, etwa den Openssh-Client sowie Curl und einige dazugehörige Bibliotheken. Aber selbst das Melden von Fehlern an das Tails-Team läuft über eine verschlüsselte Verbindung.

Erstmalige Linux-Anwender dürften mit Tails gut zurechtkommen. Die hervorragende Dokumentation auf der Webseite hilft dabei, auch wenn einige Punkte nur in englischer Sprache verfügbar sind.

Die Entwickler wie auch das Tor-Team warnen jedoch davor, sich vollkommen auf Tails und seine Anonymisierungswerkzeuge zu verlassen. Der Tarnmodus mit Windows XP dürfte beispielsweise seit dem Auslaufen des Supports für das zwölf Jahre alte Betriebssystem eher Aufsehen erregen. Es gibt auch bei Tor genügend Angriffspunkte, die versierte Angreifer ausnutzen können. Edward Snowden hat sich auf Tails offenbar verlassen, aber er ist auch ein erfahrener Computerexperte. Vor allem ist dann Vorsicht geboten, wenn andere Menschen dabei in Gefahr geraten können.

Nichtsdestotrotz gefällt uns Tails gut. Die Linux-Distribution ist mit den wichtigsten Hilfsmitteln für die sichere und anonyme Kommunikation im Internet gut ausgestattet, ohne überfrachtet zu sein.

Quelle: [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]