Ubuntu Privacy Remix (UPR) ist eine modifizierte Live-CD auf Basis von Ubuntu 12.04, die auf Ubuntu aufsetzt und nicht für eine dauerhafte Installation auf der Festplatte gedacht ist.
Das besondere Ziel dieses speziellen Linux-Systems ist, einen weitgehenden Schutz vor Schadsoftware zu bieten, die von Dritten eingesetzt werden. Dazu verfolgt es die Strategie, die Ver- und Entschlüsselung, sowie Bearbeitung sensibler Daten in eine strikt abgeschottete Arbeitsumgebung zu verlagern. Ubuntu Privacy Remix enthält die beiden bekannten Verschlüsselungsprogramme TrueCrypt und GnuPG. Die Sicherheit von Verschlüsselung kann aber nicht isoliert aus dem Verschlüsselungsprogramm heraus abgeleitet werden. Betriebssysteme, Anwendungsprogramme, das persönliche Verhalten und natürlich Schadsoftware wie Trojanische Pferde, Rootkits und Keylogger, könnten die Sicherheit eines guten Verschlüsselungsprogramms wieder untergraben oder gar aufheben. Deshalb setzt UPR darauf, eine komplette, unveränderliche und abgeschottete Arbeitsumgebung für die Bearbeitung sowie Ver- und Entschlüsselungen sensibler Dokumente bereitzustellen.
Ubuntu Privacy Remix kann man von der Projektseite herunterladen und wie in Ubuntu-CD beschrieben auf eine CD brennen. Eine feste Installation ist nicht vorgesehen, die Nutzung erfolgt als Live-CD.
Mit Datenträgern, Downloads, E-Mails, manipulierten Websites und harmlos aussehenden manipulierten Dokumenten, die Pufferüberlauf-Lücken in Programmen ausnutzen - und anderen auch Angriffsmethoden - bestehen viele Möglichkeiten, sich mit Schadsoftware zu infizieren, die dann die Vertraulichkeit der eigenen Daten gefährdet. UPR bietet einen Schutz davor, indem sich das System bei jedem Start in einem sauberen unveränderten Zustand befindet.
UPR befindet sich auf einer nur-lesbaren CD, d.h. es kann nicht nachträglich verändert werden. Die Verwendung ausschließlich als Live-CD ist Teil des Konzepts und eine Installation von UPR auf der Festplatte ist bewusst nicht vorgesehen. Schadsoftware jeglicher Art kann so nicht dauerhaft installiert werden.
TrueCrypt ist ein Open-Source-Programm zur Verschlüsselung von Festplatten, Teilen davon oder Wechseldatenträgern und ist in UPR installiert. In UPR steht der volle Funktionsumfang der Linux-Version von TrueCrypt zur Verfügung. Als spezielle Anpassung an die Arbeit auf einem flüchtigen Live-System wurde in UPR die Funktionalität der „erweiterten TrueCrypt-Volumes“ entwickelt. Standardmäßig ist Background Task in Truecrypt ausgeschaltet, um Probleme zwischen Truecrypt und dem GNOME-Panel beim Schließen von „erweiterten TrueCrypt-Volumes“ zu umgehen. Die Funktion kann aber bei Bedarf nach jedem Start in der Truecrypt-Konfiguration eingeschaltet werden.
Zur Verschlüsselung einzelner Dateien und insbesondere beim Austausch solcher mit anderen Personen bietet sich dagegen wegen des asymmetrischen Verfahrens eher GnuPG an. GnuPG ist ebenfalls in UPR enthalten.
Zum eigentlichen Bearbeiten sind unter anderem enthalten:
Planner für Projektplanung
Evolution für Aufgaben-, Kontakt- und Kalenderverwaltung
GIMP für Bildbearbeitung
Scribus für Desktop Publishing
Der Unterbindung jeglicher Netzwerkverbindungen messen die UPR-Entwickler für die Sicherheit eine doppelte Bedeutung zu:
einerseits können Schädlinge über solche Netzwerkverbindungen eindringen,
andererseits können bereits eingedrungene und aktive Schädlinge Netzwerkverbindungen nutzen, um „erbeutete“ Daten abzutransportieren und dem jeweiligen Angreifer zukommen zu lassen.
Viele Schädlinge nutzen Netzwerkverbindungen – vor allem solche ins Internet – um zusätzliche Komponenten nachzuladen. Danach versuchen sie beispielsweise, sich der konkret vorgefundenen Konfiguration des Computers anzupassen oder sich selbst zu verändern, um Virenscannern zu entgehen.
Um das Ziel eines abgeschotteten Inselsystems zu verwirklichen, verhindert Ubuntu Privacy Remix die Aktivierung vorhandener Netzwerk-Hardware. Dazu wurden dem angepassten Linux-Kernel die Unterstützungen für LAN-, WLAN, Bluetooth- und Infrarot-Hardware und vor allem die Datenfernübertragungsprotokolle entfernt.
Auch der Unterbindung des Zugriffs auf lokale (und eventuell schon verseuchte) Festplatten messen die UPR-Entwickler für die Sicherheit eine doppelte Bedeutung zu:
einerseits könnten Schädlinge über solche Festplatten eindringen, zum Beispiel indem diese eingehängt und die Schadsoftware von dort aus gestartet wird,
andererseits können bereits eingedrungene und aktive Schädlinge die Festplatten nutzen, um „erbeutete“ Daten abzuspeichern.
Bei der nächsten Verwendung des lokal installierten Systems für Internet-Verbindungen könnten sie dann beispielsweise von einem lokal installierten Trojaner abtransportiert werden.
Dadurch dass dem Betriebssystem die Möglichkeit genommen wird, die Festplatten überhaupt zu aktivieren, wird auch verhindert, dass unverschlüsselte Swap-Partitionen auf den lokalen Festplatten automatisch eingehängt werden, wie es bei einer normalen Ubuntu-Live-CD passieren würde. Damit bestünde die Gefahr, dass sensible Informationen auf diesem Weg im Klartext auf die Festplatte ausgelagert würden.
Um das Ziel eines abgeschotteten Inselsystems zu verwirklichen, verhindert Ubuntu Privacy Remix die Aktivierung lokaler Festplatten durch die Veränderung der Behandlung von ATA-Geräten im Quelltext des angepassten Linux-Kernels. Dies führt dazu, dass das System die (eventuell kompromittierten) lokalen S-/ATA-Festplatten vollständig ignoriert, ATA/ATAPI-Geräte wie DVD-Laufwerke aber normal erkennt, damit das System von CD überhaupt laufen kann.
Seit Version 8.04_r2 werden alle Wechseldatenträger standardmäßig mit der mount-Option noexec
in das System eingehängt. Das bedeutet, dass Dateien auf diesen Datenträgern gelesen und geschrieben, aber nicht mehr als Code ausgeführt werden können. Dadurch kann Schadsoftware nicht mehr direkt von einem Wechseldatenträger innerhalb des laufenden Systems ausgeführt werden. Dies betrifft Wechseldatenträger mit den Dateisystemen (v)fat, ntfs, ext2/ext3 oder reiserfs.
Das Arbeiten mit einer Live-CD bringt zwar die genannten Sicherheitsvorteile, aber auch Produktivitätsnachteile, weil bestimmte Konfigurations- und Nutzdaten nicht dauerhaft gespeichert werden können. Das bedeutet zum Beispiel:
GnuPG würde weder seine Schlüssel noch seine Konfiguration behalten,
keine lernende Rechtschreibprüfung in OpenOffice.org,
OpenOffice.org-Vorlagen müssten jedes Mal von Hand importiert werden,
Evolution wäre als Termin- und Aufgabenplaner gar nicht zu benutzen.
Erweiterte Truecrypt-Container sind ein Feature von Ubuntu Privacy Remix, das diese Probleme löst und die Arbeit mit dem System bequemer und effizienter machen soll. Ihre Hauptfunktionen sind:
Speichern der Konfigurationen und Datenverzeichnisse von OpenOffice, Evolution und GnuPG innerhalb des Containers. Bei Evolution werden auch die Werte der Gconf-Datenbank im Container gespeichert. So kann ein wesentlicher Nachteil eines unveränderlichen Systems auf CD – die Flüchtigkeit von Programmkonfigurationen – umgangen werden. Bei Evolution betrifft das auch die Nutzdaten (Aufgaben, Termine, Notizen, Kontakte), bei GnuPG auch die Schlüssel selbst.
Auf Wunsch Indizierung des Containers mit trackerd, so dass schnell und einfach nach Dateinamen, -inhalten und Tags gesucht werden kann. Dies ermöglicht unter anderem mit einem Tag-basierten Ablagesystem statt hierarchischen Ordnern zu arbeiten. Konfiguration und Datenbanken von trackerd befinden sich auch innerhalb des Containers, so dass dies – im Gegensatz zu herkömmlichen Desktop-Indexierungsprogrammen – kein Sicherheitsproblem darstellt. Während der Arbeit werden alle Änderungen im Container automatisch indiziert, ohne dass es größere Performance-Einbußen gibt.
Intelligentes Backup-System: Findet das System beim Schließen eines erweiterten Containers auf einem Wechseldatenträger eine Datei backup.tc, ist es möglich, automatisiert in diesen Container ein inkrementelles Backup mit rsync durchzuführen. Da bei unveränderten Daten nur Hardlinks gesetzt werden, wird viel weniger Platz als bei Vollsicherungen benötigt. Es werden immer die letzten vier Sicherungen in jeweils einem eigenen Ordner vorgehalten.
„Erweiterte TrueCrypt-Volumes“ bedeuten keinerlei Eingriff in die Funktion oder das Containerformat von TrueCrypt. Es werden lediglich beim Öffnen und Schließen ein paar zusätzliche Befehle ausgeführt, wie zum Beispiel das Setzen von symbolischen Verknüpfungen aus dem (flüchtigen) Home-Verzeichnis in das geöffnete TrueCrypt-Volume.
Die sog. Cold-Boot-Attacke bezeichnet einen Angriff, bei dem ein Computer kalt neugestartet wird (Strom aus und wieder an ohne richtiges Herunterfahren) mit einem minimalen Betriebssystem. Weil dieses Mini-System nur wenig Speicher verbraucht, enthält der Rest des Speichers noch genau das, was vor dem Neustart im Speicher war. Das könnten auch die Schlüssel von TrueCrypt-Containern oder GPG-Schlüssel sein. Je nach Computer können solche Reste auch mehreren Sekunden bis Minuten ohne Strom noch aufgefunden werden.
Aus dieser Methode lässt sich ein spezieller Angriff gegen Systeme, auf denen UPR verwendet wird, ableiten. Die Sicherheit von UPR basiert darauf, dass das lokal auf dem verwendeten PC installierte System, alle Festplatten und Netzwerkhardware komplett ignoriert werden, so dass auch darauf evtl. vorhandene Schadsoftware UPR selbst nichts anhaben kann.
Bei dem UPR-spezifischen Angriff muss es einem Trojaner, der den Speicher nach Informationen wie Schlüssel, Passphrasen usw. absucht, gelingen, sich selbst in das lokal installierte System einzunisten. Wenn nun auf diesem System UPR zur Bearbeitung privater Daten eingesetzt wird – was eigentlich auch auf einem sonst unsicheren PC sicher sein sollte – und sofort danach in das lokale System rebootet wird, könnte dieser Trojaner nach dem Neustart noch Reste wie Schlüssel aus dem UPR-System im Speicher finden. Die Sicherheit von UPR könnte damit untergraben werden. Die Chance auf Erfolg ist etwas geringer als bei "richtigen" Cold-Boot-Attacken, weil das lokale System vermutlich einen großen Teil des Speichers bereits überschrieben hat, den vorher UPR benutzt hatte.
Dieser Angriff setzt voraus, dass der Angreifer zumindest vermutet, dass UPR auf diesem Computer eingesetzt wird. Um dem Problem zu begegnen, überschreibt UPR ab Version 8.04_r3 den freien Arbeitsspeicher beim Herunterfahren, direkt vor dem Auswerfen der CD. Die Entwickler weisen ausdrücklich darauf hin, dass dies nicht gegen „echte“ Cold-Boot-Attacken hilft, sondern nur gegen diese UPR-spezifische Variante.
Diese Revision wurde am 2. Februar 2015 13:17 von aasche erstellt.