1. Sicherheit ist immer relativ
»Denn sie wissen nicht, was sie tun« – im Originaltitel heißt der Film aus dem Jahre 1955 »Rebel Without a Cause«. Der deutsche Titel beschreibt für mich exakt die aktuelle Situation der IT-Sicherheit und Datenschutz. Es herrscht absolutes Chaos und so Recht mag eigentlich keiner mehr durchblicken. Die Frage lautet längst nicht mehr, ob wir noch die Kontrolle über unsere IT und Daten haben, sondern wie wir die Kontrolle wieder zurückerlangen können.
Es ist mehr als beunruhigend: Krankenhäuser werden von Ransomware-Viren lahmgelegt, der neue Bundestrojaner ist einsatzbereit und der Erpressungs-Trojaner Locky verschlüsselt Dateien von Windows-Nutzern. Man muss nur ein paar Stunden warten und eine ähnliche Meldung wird wieder durch irgendeinen News-Ticker rauschen. Die allgemeine Reaktion: Schulterzucken, Ohnmacht oder Lösegeld bezahlen – danach weitermachen als wäre nichts passiert.
Die Ursachen hinter solchen Meldungen sind meist auf Schwachstellen in Soft- oder Hardware zurückzuführen. In der neuen Artikelserie »Linux härten« möchte ich euch Maßnahmen vorstellen, mit denen ihr das Risiko von Schwachstellen minimiert und die Kontrolle über euer System behaltet.
- Sicheres Desktop System – Linux härten Teil1
- Linux Systemhärtung Basis – Linux härten Teil2
- AppArmor – Linux härten Teil3
- Firejail – Linux härten Teil4
2. Linux härten – Projekt 2016
Ich hatte bereits einige E-Mail- und Kommentar-Anfragen, welchem Thema ich mich 2016 widmen möchte. Nachdem in den beiden vergangen Jahren der Datenschutz im Fokus stand, habe ich mich diesmal für ein Thema aus der IT-Sicherheit entschieden.
Aus meiner Sicht besteht gerade im Bereich Desktop-Sicherheit dringend Nachholbedarf. Eines wird nämlich oftmals vergessen: Ein »sicheres« und vertrauenswürdiges System ist die Grundlage für alle weiteren Sicherheitsmaßnahmen wie bspw. Verschlüsselung oder spurenarmes Surfen im Netz.
Unterstütze den Blog mit einem Dauerauftrag!
Unabhängig. Kritisch. Informativ. Praxisnah. Verständlich.
Die Arbeit von kuketz-blog.de wird vollständig durch Spenden unserer Leserschaft finanziert. Sei Teil unserer Community und unterstütze unsere Arbeit mit einer Spende.
2.1 Was ist mit Windows und Mac OS?
In der Informationssicherheit stellen Informationen bzw. Daten schützenswerte Güter dar. Der Zugriff auf diese Informationen sollte beschränkt und kontrolliert stattfinden. Zum Erreichen bzw. Einhalten der Informationssicherheit und damit zum Schutz der Daten werden Schutzziele definiert. Zu den drei wichtigsten Schutzzielen zählen die Vertraulichkeit, Verfügbarkeit und Integrität. Daneben existieren noch weitere Schutzziele, die aber zunächst einmal nicht relevant sind. Wird eines dieser Schutzziele verletzt, ist der Schutz der Informationen bzw. Daten bedroht.
Dieser kleine Ausflug in die Grundlagen der IT-Sicherheit soll uns folgendes vor Augen führen: In modernen Betriebssystemen wie Windows 10 oder Mac OS X Yosemite kann insbesondere das Schutzziel Vertraulichkeit nur schwer oder gar nicht erreicht werden. Vertraulichkeit bedeutet per Definition:
Daten dürfen lediglich von autorisierten Benutzern gelesen bzw. modifiziert werden, dies gilt sowohl beim Zugriff auf gespeicherte Daten, wie auch während der Datenübertragung.
Sowohl Microsoft, als auch Apple bedrohen dieses Schutzziel. Wenn Windows 10 nach Aktivierung der Geräteverschlüsselung aus »Komfortgründen« bspw. den Bitlocker-Schlüssel in der Microsoft Cloud abgelegt, dann können Daten theoretisch von nicht-autorisierten Nutzern gelesen werden. Auch weitere Default-Einstellungen von Windows 10 verstoßen streng genommen gegen das Schutzziel der Vertraulichkeit. Ähnliches lässt sich bei Apple beobachten. Weitere Argumente gegen die Verwendung von Windows oder Mac OS als Grundlage für ein »sicheres« System ist die UEFI- bzw. EFI-Schnittstelle und elektronische Fußfesseln wie TPM.
Insgesamt bedrohen diese Praktiken nicht nur die Schutzziele der Informationssicherheit, sondern sind auch hinsichtlich des Datenschutzes problematisch. Nach meiner Ansicht kann weder Windows, noch Mac OS als vertrauenswürdiges Betriebssystem angesehen werden. Die Konsequenz: Ein »sicheres« System lässt sich lediglich mit ausgewählten Linux-Distributionen realisieren.
2.2 Balance-Akt
Generell habe ich den Anspruch, dass sich die dargestellten Informationen praktikabel umsetzen lassen. Ich bin mir noch unsicher, ob der Balance-Akt zwischen Verständlichkeit und technischem Tiefgang auch diesmal gelingt. Einige von euch werden vermutlich überfordert sein, während die Sicherheits-Nerds unter euch gähnend vor dem Rechner eindösen. ;-)
Noch dazu habe ich die Zielgruppe in der Projektserie 2016 drastisch eingeschränkt, indem ich Linux aus den oben genannten Gründen Windows und Mac OS vorziehe. Wer ein »sicheres« System haben möchte, der kann sich dem Wechsel auf Linux allerdings nicht entziehen – vielleicht regt die Artikelserie den ein oder anderen von euch zum Wechsel an.
3. Grundlagen
Zwischen Sicherheit und Komfort besteht oftmals ein Widerspruch – beides zusammen geht nicht oder endet in einem faulen Kompromiss. Dies sollten wir stets im Hinterkopf behalten, denn das Ziel der Artikelserie ist die Minimierung von Risiken, die durch Schwachstellen in Software entsteht. Komfort steht demnach nicht im Fokus. Insgesamt halten sich die Komfort-Einschränkungen allerdings in Grenzen, auch wenn sich Abläufe in der Bedienung ändern oder zunächst als umständlich empfunden werden.
3.1 Schwachstellen
Im Fußball werden defensive Schwachstellen meist schnell von den Gegenspielern erkannt und ausgenutzt. Ein Fehler im »System« genügt oftmals, um ein Spiel zu verlieren.
In der Informatik ist es ähnlich. Die Definition einer Schwachstelle ist wie folgt:
Schwäche eines Systems, an dem es verwundbar sein
kann (umgangen, geändert oder getäuscht)
Eine Schwachstelle stellt also eine potenzielle Bedrohung für die Sicherheit eines Computersystems dar. Aktuelle Beispiele für Schwachstellen aus der Linux-Welt:
- CVE MITRE: Auflistung von allgemeinen Linux-Sicherheitslücken
- CVE Details für Debian GNU/Linux (2018)
- [ … ]
Schwachstellen entstehen meist im Entwicklungsprozess neuer Software, wobei die Gründe vielfältig sind:
- Komplexität der Software
- Unzureichende Kenntnisse in der sicheren Programmierung
- Kein oder unzureichendes Qualitätsmanagement
- Vernachlässigung aus Kompatibilitätsgründen
- Pure Ignoranz bzw. Inkompetenz der Verantwortlichen
- Zur Wahrung finanzieller Interessen von Investoren werden
»halbfertige« Produkte veröffentlicht - [ … ]
Aufgrund der Komplexität sind Schwachstellen in Software unvermeidbar. Grob geschätzt produziert ein Entwickler auf 1000 Codezeilen einen Programmierfehler. Viele der Fehler werden nie entdeckt oder wirken sich nicht negativ auf die Sicherheit bzw. Funktion aus. Manche Fehler erzeugen jedoch schwerwiegende Sicherheitslücken, ohne direkt die Funktion zu beeinträchtigen.
Doch es wäre zu kurzsichtig, die Schwachstellen allein auf Fehler in der Software zu reduzieren. Es existieren noch weitere Gründe:
- Nicht nur im Entwicklungsprozess, sondern auch bei der
Behebung von Fehlern oder der Integration neuer Funktionen
können neue Schwachstellen entstehen - Ungeschultes Personal bzw. fehlendes Bewusstsein für den
sicheren Umgang mit IT - Schlampige oder laxe Konfiguration von Soft- bzw. Hardware
- Veraltete, nicht aktualisierte Software (bspw. werden Sicherheitspatches nicht eingespielt)
- Bewusste Abschwächung bzw. Einbau von Hintertüren durch Staat und Geheimdienste
- [ … ]
Schwachstellen sind unvermeidbar. Entscheidend ist vielmehr, wie wir das Risiko von Schwachstellen für die IT und unsere Systeme minimieren können.
3.2 Linux – Jetzt bin ich aber sicher, oder?
Schwachstellen in Systemen werden über Exploits ausgenutzt. Insbesondere Zero-Day-Exploits sind problematisch, da für diese noch kein Patch verfügbar ist, der die Schwachstelle in der betroffenen Software schließt. Von Kriminellen und auch Geheimdiensten werden Zero-Day-Exploits gerne geheim gehalten, in der Hoffnung darüber möglichst lange eine Schwachstelle ausnutzen zu können.
Allein der Wechsel auf ein Linux System genügt nicht, um sich vor Exploits ausreichend zu schützen. Ein Wechsel auf Linux reduziert zunächst nur die Wahrscheinlichkeit Opfer eines Angriffs zu werden, da Windows-Systeme und die darunter laufende Software aufgrund ihrer hohen Verbreitung noch immer ein beliebtes Angriffsziel sind. Grundsätzlich sind Software und Dienste, die unter Linux laufen, genauso anfällig wie ihre Pendants unter Windows und Mac OS. Man kann auch sagen: Die meisten Linux-Distributionen sind nicht für eine »sichere« Umgebung optimiert, sondern auf ein ausgewogenes Verhältnis aus Sicherheit, Bedienungsfreundlichkeit und Performance.
Auch für Linux-Systeme und Software existieren zahlreiche Exploits. Zu den prominentesten zählen Heartbleed oder Shellshock. Oftmals genügt nur eine einzige Schwachstelle, um ein ganzes System zu kompromittieren. Welche Auswirkungen und Konsequenzen solch ein Exploit auf das System und die darauf gelagerten Daten hat, hängt entscheidend vom »Härtegrad« ab.
3.3 Hardening – Härten
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bezeichnet als Härten in der IT-Sicherheit:
[…] die Entfernung aller Softwarebestandteile und Funktionen, die zur Erfüllung der vorgesehenen Aufgabe durch das Programm nicht zwingend notwendig sind.
Oder anders formuliert: Ein System für eine bestimmte Aufgabe maßzuschneidern und abzusichern, bedeutet »Härten«.
Insbesondere bei Desktop-Systemen ist eine Härtung zeitaufwändiger, verglichen mit einem Server-System. Auf Desktop-Systemen müssen eine Vielzahl von Programmen und Diensten berücksichtigt werden, die für den alltäglichen Gebrauch benötigt werden. Server-Systeme hingegen erfüllen meist einen bestimmten Zweck, bspw. den eines Webservers, was die Härtung insgesamt erleichtern kann. Allerdings sollte nicht vergessen werden, dass viele Server-Systeme ständig erreichbar sind. Das macht eine sorgfältige Härtung der wenigen Dienste und Programme umso wichtiger.
In der Artikelserie möchte ich mich auf die Härtung eines Linux-Desktops fokussieren. Insgesamt ist dies keine leichte Aufgabe und erfordert ein hohes Maß an Bereitschaft sich mit den Vorschlägen zu beschäftigen – denn dies wird keine »one-klick-and-forget« Lösung. Ihr solltet bedenken, dass ein gehärtetes Linux keine dauerhafte Installation darstellt, die nie mehr angefasst werden muss.
Die Maßnahmen für die Härtung eines Systems möchte ich im Folgenden nur kurz anschneiden, da diese in weiteren Teilen der Serie nochmal ausführlich angesprochen werden:
- Überflüssige Dienste deaktivieren
- Überflüssige Softwarepakete deinstallieren
- Alle verfügbaren Updates einspielen
- Überflüssige Benutzerkonten deaktivieren / löschen
- Anpassung von Dateisystemrechten und ihrer Vererbung
- Verwendung von Mandatory Access Control
- Anpassung des Linux-Kernels
- [ … ]
3.4 Ein Problem bleibt: Die Hardware
Die Sicherheit eines Systems definiert sich bereits auf Hardware-Ebene. Allerdings ist es heute bspw. extrem schwierig WLAN-Chipsätze zu finden, für die Open-Source Treiber bereit stehen. Ausnahmen, wie den AR9170 Chipsatz gibt es zwar, aber diese müssen zunächst ausfindig gemacht werden. Gleiches gilt für das BIOS. Idealerweise könnt ihr euer aktuelles BIOS durch Coreboot ersetzen – ein quell-offene, freies BIOS. Ansonsten besteht immer das Risiko für eine versteckte Backdoor, die bspw. von Geheimdiensten ausgenutzt werden kann.
Wirklich »sicher« können wir also in der Tat erst dann sein, wenn wir durchgehend Open-Source Hard- und Software einsetzen. Die Realität sieht leider anders aus und es gibt nur wenig Bestrebungen Open-Source Hardware auf dem Markt zu etablieren. Eventuell helfen können Projekte wie Novena.
Daher bin ich gezwungen für das Projekt »Linux härten« eine Ausnahme zu machen und möchte dies aber nochmal formulieren: Das Projekt schützt nicht vor der gezielten Überwachung durch Geheimdienste.
3.5 Sicherheitsschichten
Die beste Verschlüsselung nutzt euch nichts, wenn bspw. ein Kernel-Rootkit alle Daten abfangen kann. Daher ist es wichtig sich nochmal vor Augen zu führen, das die Sicherheit eines Systems aus verschiedenen Schichten besteht. Wird eine Schicht kompromittiert, so sind alle höher liegenden Schichten ebenso davon betroffen. Eine vereinfachte Darstellung soll das verdeutlichen:
4. Ausblick
Aktuell plane ich folgende Themen in der Artikelserie »Linux härten«:
- Basisabsicherung bzw. Härtung
- Mandatory Access Control: Firejail, AppArmor, grsecurity (RBAC)
- Kernel-Modifikation: grsecurity / PaX
Es gibt natürlich noch weitere MAC’s, wie SELinux oder Tomoyo. Meine Erfahrungen damit waren allerdings nicht besonders positiv, weshalb ich mich auf die oben genannten fokussiere. Insbesondere das in grsecurity integrierte RBAC stellt ein mächtiges Werkzeug dar, um rollenbasierte Zugriffskontrollen zu etablieren. Insgesamt sollte ein MAC für Desktop-Systeme einfach zu bedienen sein und dennoch in der Lage sein die möglichen Folgen einer Schwachstelle zu minimieren.
5. Fazit
Schwachstellen sind überall. Sie lassen sich nicht vermeiden. Entscheidend ist wie wir das Risiko für unsere Daten minimieren können. Das erfordert ein Umdenken bei der Arbeit mit PC’s und die Gewöhnung an erweiterte Sicherheitsmaßnahmen wie bspw. MAC’s. Neben Maßnahmen wie der System-Härtung sollte allerdings auch der Anwender selbst nicht vergessen werden: Immerhin ist er sich oftmals nicht bewusst, dass er Anhänge nicht einfach öffnen und ausführen soll und beim täglichen Arbeiten auf die Benutzung des Adminstrator-Accounts zu verzichten hat. Schon kleine Verhaltensänderungen könnte Großes bewirken.
Im kommenden Teil der Serie »Linux härten« befassen wir uns mit der Basisabsicherung eines Linux-Desktop Rechners. Ich versuche die Beschreibungen möglichst generisch / allgemein zu halten, damit sie auf verschiedene Linux-Distributionen anwendbar sind.
Bildquellen:
Linux: ClkerFreeVectorImages, Creative Commons CC0
Über den Autor | Kuketz
In meiner freiberuflichen Tätigkeit als Pentester / Sicherheitsforscher (Kuketz IT-Security) schlüpfe ich in die Rolle eines »Hackers« und suche nach Schwachstellen in IT-Systemen, Webanwendungen und Apps (Android, iOS). Des Weiteren bin ich Lehrbeauftragter für IT-Sicherheit an der Dualen Hochschule Karlsruhe, sensibilisiere Menschen in Workshops und Schulungen für Sicherheit und Datenschutz und bin unter anderem auch als Autor für die Computerzeitschrift c’t tätig.
Der Kuketz-Blog bzw. meine Person ist regelmäßig in den Medien (heise online, Spiegel Online, Süddeutsche Zeitung etc.) präsent.
Unterstützen
Die Arbeit von kuketz-blog.de wird zu 100% durch Spenden unserer Leserinnen und Leser finanziert. Werde Teil dieser Community und unterstütze auch du unsere Arbeit mit deiner Spende.
Wenn du über aktuelle Beiträge informiert werden möchtest, hast du verschiedene Möglichkeiten, dem Blog zu folgen:
Linux Systemhärtung Basis – Linux härten Teil2
AppArmor – Linux härten Teil3
Firejail – Linux härten Teil4
Alternativen zu Anti-Viren-Software – Snakeoil Teil3
Windows 10: Dem Kontrollverlust entgegenwirken
50 Ergänzungen zu “Sicheres Desktop System – Linux härten Teil1”
Wenn du konkrete Fragen hast oder Hilfe benötigst, sind das offizielle Forum oder der Chat geeignete Anlaufstellen, um dein Anliegen zu diskutieren. Per E-Mail beantworte ich grundsätzlich keine (Support-)Anfragen – dazu fehlt mir einfach die Zeit. Kuketz-ForumAbschließender Hinweis
Blog-Beiträge erheben nicht den Anspruch auf ständige Aktualität und Richtigkeit wie Lexikoneinträge (z.B. Wikipedia), sondern beziehen sich wie Zeitungsartikel auf den Informationsstand zum Zeitpunkt des Redaktionsschlusses.Kritik, Anregungen oder Korrekturvorschläge zu den Beiträgen nehme ich gerne per E-Mail entgegen.
Hallo,
Ich lese ihren Blog schon eine längere Zeit, und ich freue mich sehr auf die kommenden Themen!
Man merkt das sie Ahnung haben von dem was sie sagen, und sie bringen Informationen auch Fachlich rüber, trozdem schaffen sie es alles einfach verständlich zu machen.
Mich wundert es das Windows noch mit so riesegen Marktanteilen Dominiert, besonders wo in letzter Zeit ja fast wöchentlich neue Ransomware-Viren bekanntwerden. Was ich aber leider nicht nachvollziehen kann ist das auch Psychiater, Anwälte und andere Unternehmen die höchst sensible Informationen über Kunden haben noch auf Windows setzen.
Ein großes Lob an ihre Arbeit hier, und immer weiter so!
LG
Das Problem liegt darin, dass viele Ärzte, Anwälte usw weder die Zeit noch das Fachwissen haben, um ein sicheres Betriebssystem zu installieren und abzuhärten.
Für viele ist das verhältnismäßig geringe Software-angebot für Linux Systeme ein ausschlaggebender Grund bei Windows zu bleiben.
Die Marktdominanz von Microsoft ist nicht wirklich verwunderlich: Fast alle Desktoprechner und Laptops werden mit vorinstalliertem Windows ausgeliefert, und der normale Konsument nutzt nun mal einen Gebrauchsgegenstand so, wie er ihn gekauft hat. Dazu kommt, dass der Rechner im Büro ja auch unter Windows läuft. Und, ganz wichtig für viele, ein Windows-Rechner als Spiele-Maschine am besten geeignet ist.
Wenn man den letzten Punkt mal außen vor lässt, bleibt die Frage, warum die Hersteller keine Geräte mit vorinstalliertem Linux anbieten („Maßschneider“ wie Tuxedo-Computers oder sehr wenige Dell-Modelle gehören zu den spärlichen Ausnahmen). Zum einen wird da ein gewisser Momentum-Effekt eine Rolle spielen – „Alle kaufen Windows-Rechner, also produzieren wir Windows-Rechner“. Zum anderen dürfte der Druck von Microsoft den Ausschlag geben, und die Herrschaften in Redmond sind nicht zimperlich, wenn es um ihre Vormachtstellung geht. Auf dem Offenen IT-Gipfel 2014 hat beispielsweise Jutta Kreyss, IT-Architektin der Stadt München, darüber geplaudert, wie der für die Linux-Umstellung der öffentlichen Verwaltung verantwortliche Bürgermeister Ude unter Druck gesetzt wurde, wieder zu Windows zurückzukehren. Dafür hatte damals nicht nur Bill Gates persönlich bei Ude lobbyiert, sondern auch Obama hat sich im Sinne Microsofts eingeschaltet.
Nicht vergessen werde ich das Ende des Gesprächs zwischen Gates und Ude, wie Jutta Kreyss es geschildert hat.
Gates: „Well, what do you want?“
Ude: „Freedom.“
Gates: „What kind of freedom?“
Ude: „Freedom from you.“
Überflüssig zu sagen, dass es solche Politiker kaum gibt, wenigstens nicht in Entscheidungspositionen.
Guten Tag Herr Kuketz,
es ist toll, dass sie diese wichtige Artikelserie verfassen wollen. Ich habe da noch einige Fragen.
Nicht jeder wird so ein open-source PC kaufen wollen. Daher frage ich wie man beim Kauf eines (Linux) PCs oder Laptops vorgehen kann.
1.Frage: Sollte man alte Windows-Hardware kaufen und darauf Linux und falls möglich coreboot installieren oder neue Hardware ohne Betriebssystem (oder mit Linux vorinstalliert) kaufen?
2.Frage: Ist es möglich ein Gerät ausschließlich mit open source Software (auch Treiber) zu betreiben?
Die Hardwarefrage ist nicht leicht pauschal zu beantworten. Wer beispielsweise professionelle Video- oder Bildbearbeitung machen möchte, ist auf aktuelle Geräte geradezu angewiesen (und arbeitet in aller Regel sowieso nicht unter Linux, sondern mit proprietären Programmen wie Final Cut Pro und Photoshop auf einem Apple-Rechner).
Falls Sie solches nicht im Sinn haben, und auch nicht die globalen Folgen des Klimawandels berechnen wollen, sind Sie mit einem älteren Modell sehr gut bedient (Geräte mit der neuesten Intel-Prozessor-Generation Skylake zeigen sich noch oft sehr zickig bei Linux-Installationen).
Beispielsweise habe ich schon einigen Bekannten empfohlen, sich ein älteres Model der Thinkpad-T-Serie zuzulegen und ihnen eine Linux-Distribution darauf installiert. Allesamt sind sie sehr zufrieden – und quälen mich nicht mehr dauernd mit ihren Supportanfragen wie zu Windows-Zeiten. (Gebrauchte Thinkpads mit Garantie gibt es u.a. bei https://www.notebookswieneu.de/, oder https://www.notebooksbilliger.de/notebooks/lenovo+notebooks/gebrauchtware.)
Womit wir beim nächsten Thema wären: den freien Treibern. Wie Mike schon erwähnt hat, sind da die WLAN-Chipsätze ganz allgemein ein Problem, und so ist es auch bei den Thinkpads. Fassen wir uns also in Geduld und warten, was er im Weiteren dazu noch zu sagen hat …
Wie sieht es denn mit vorinstallierten Linux Hardware aus?
z.B.https://www.ixsoft.de/
Zudem: Ja, ich möchte auch für die Zukunft gewappnet sein.
Wenn du neue Hardware verwenden möchtest, solltest du vielleicht eine Rolling Release Distro verwenden: Arch Linux, openSuSe Tumbleweed, Gentoo etc
Jedoch solltest du für Rolling Release Distros etwas Linux Erfahrung haben
Gegen ein vorinstalliertes OS ist grundsätzlich nichts zu sagen. Bei einem flüchtigen Blick auf die Website von ixsoft sehe ich nur, dass Linux Mint die Default-Distribution ist – falls man die auswählt, sollte man sich darüber im Klaren sein, dass eine ganze Anzahl unfreier Codecs zum Paket gehören.
Danke für den Hinweis über Mint woodchuck.
Nicht alle Linux-Distributionen sind aufgrund der proprietären Inhalten zu empfehlen.
Daher gebe ich nun FÜR ALLE HIER eine Liste über empfehlenswerten Distributionen an, die ausschließlich quelloffene Software enthält:
-Arch
-Debian
-OpenSUSE
-Fedora
-Gentoo
-gNewSense
-Parabola
-Qubes
-Whonix
(Quelle: Prism-Break)
Beliebte Distributionen wie Ubuntu und Mint sind leider nicht zu empfehlen.
Es wäre toll, wenn Herr Kuketz diese Liste in seinen Artikel aufnimmt.
Übrigens: Bei ixsoft kann man die Distribution aussuchen, die man will. Es stehen ein Dutzen davon zur Verfügung. Problematisch ist die Ungewissheit, ob man bei diesen Geräten coreboot installieren kann.
Moin,
Mich interissiert die neue Themenreihe ebenfalls sehr.
Ich hätte zu dem Thema noch eine frage, was halten sie von Qubes OS https://www.pro-linux.de/news/1/22813/qubes-os-30-freigegeben.html) ?
Ist dieses Maß an Sicherheit schon zu extrem, und wie sieht es dort mit der Sicherheit aus?
Könnte dies vlt das „Nachrichtendienst-Sichere“ Betriebsystem sein?
mfg
Es gibt keine nachrichtendienst-sicheres Betriebssystem. Das ist auch nicht das Titel der Artikelserie.
Ein Zuviel an Sicherheit gibt es ja eigentlich nicht, und Qubes geht sicher an die Grenzen des bisher Machbaren. Was auch nicht heißt, dass es „sicher“ ist. Joanna Rutkowska, die Frontfrau von Qubes, hat einen bemerkenswerten Vortrag auf dem letzten Chaos Computer Congress gehalten, in dem sie sogar resigniert gesagt, dass sie die letzten fünf Jahre ihres Lebens mit der Entwicklung von Qubes verschwendet hat. (Der Grund ist Intels Management Engine, die kryptographisch abgesichert auf einem eigen Chip sitzt und sozusagen eine nicht einsehbare und kontrollierbare Parallelwelt neben dem Betriebssystem auf jedem x86-Rechner darstellt.) Also nein, unter keinem Betriebssystem ist man vor gezielten Angriffen von Geheimdiensten sicher, das ist angesichts der uns zur Verfügung stehenden Hardware unmöglich.
Aber mal ganz pragmatisch: Fangen wir doch erst mal mit Mikes Konzept für Linux an, bevor wir uns in den Mikropromillbereich möglicher Anwender von Qubes vorwagen.
Wie ist es um die AMD CPUs bestellt? Ist dort ein Equivalent der Management Engine vorhanden? Falls ja gibt es einen Vergleich der Management Engine zum AMD Pendant (falls vorhanden)?
Leider bietet AMD keine Alternative: Bei denen ist das Äquivalent zur Intel Management Enginge der „Platform Security Processor“ (ach, wie sie sich alle um unsere Sicherheit sorgen!). Ein wirklicher Vergleich ist leider nicht möglich, weil beide Chips ein geheimes, abgekapseltes Leben in unseren Rechnern führen. Ein paar Hintergründe hier:
https://libreboot.org/faq.html#intelme
Vor ein paar Monaten hat Annie Machon, Ex-Mitarbeiterin des britischen Geheimdienstes MI5, mal erwähnt, dass keiner Maschine, die nach 199x gebaut wurde (an die genaue Jahreszahl erinner ich mich gerade leider nicht), zu trauen sei. Ich weiß nicht, ob sie dabei ME oder PSP im Sinn hatte, aber plausibel wär’s.
Na das sind ja mal tolle Aussichten in punkto Hardware.
Wie seht ihr das ganze in Bereich Microcode Updates und non-free Firmware Updates?
Durchführen oder nicht?
Einerseits könnten die Updates ja Sicherheitslücken schließen, jedoch auch neue Backdoors introducen.
Laut dem Libreboot FAQs die du gepostet hast scheinen ja AMD CPUs bis zur 15Gen noch safe zu sein – also wäre scheinbar ein AMD FX-83xx mit einem coreboot fähigen Motherboard vielleicht noch eine Option. Das ganze proprietäre zeug scheint nur in den neueren FM2+ CPUs vorhanden zu sein und die Enthusiast-Plattform schein noch safe zu sein.
Qubes OS von Joanna und Co. ist toll – ich werde es in der Artikelserie ansprechen. Wer freie Hardware zur Verfügung hat, der sollte es mal testen. Von der Installation in virtuellen Maschinen wird abgeraten – aber zum Testen ist das durchaus in Ordnung, falls man es zum Laufen bekommt. ;-)
Wie siehts bei Qubes mit der Kompatibilität aus? Ich könnte mir vorstellen, dass diverse Hardwareangelegenheiten aufgrund der Virtualisierung Probleme machen könnten.
auch von mir herzlichen Dank für den Beginn dieser Serie, ich kann die nächsten Beiträge kaum erwarten :-)
Als Umsteiger von Windows (ich hatte die Nase voll), habe ich nie den Umstieg nach Linux bereut und war nun gerade dran mich damit zu beschäftigen, wie man Linux sicherer macht. Der Artikel kommt also gerade zur rechten Zeit.
Ich denke dass das bloße dummheit ist und Apples Widerstand gegen das FBI kann ich nicht wirklich ernst nehmen.
AMD plante ja auch für seine kommende ZEN Architektur Coreboot zu übernehmen und ich dachte „cool“, später hieß es dass sie es wohl doch nicht machen. Vielleicht auch aus politischem Druck?
Was ich mich schon oft gefragt habe ob Mike wohl auch Druck von Unternehmen und Politik widerfährt.
Entschuldigt da habe ich wohl das „nicht“ vergessen.
Also ich denke nichts dass es bloße Dummheit ist…
Ich nutze auch jetzt seit längerem OpenSuse Linux (mit WindoofOberfläche). Bin sehr zufrieden damit. Bin auch ganz gespannt auf diese Artikelserie, die auch für mich sehr nützlich sein wird.
„Wer nach der Positionierung von Bill Gates […] noch nicht ernsthaft plant auf Linux umzusteigen, ist schlichtweg nur eines: DUMM.“
Es ist ja nicht so, dass ich immer mal wieder wie du vor mich hin fluche angesichts der allgemeinen Ignoranz. Auf der anderen Seite sind wir eine winzige Splittergruppe von Datenschutzbewegten und Technikaffinen und leben deswegen auch in unserer ganz eigenen Filter Bubble. Um bei deinem Beispiel zu bleiben: Von der Positionierung von Bill Gates im konkreten Fall wissen überhaupt nur ein oder meinetwegen drei Prozent der Bevölkerung.
Oder um ganz willkürlich ein anderes Beispiel zu nehmen: Mikes wunderbares Manual fürs Abdichten von Android-Geräten könnten mangels Technikverständnis die allerwenigsten überhaupt umsetzen. Mein Freundes- und Bekanntenkreis besteht aus ziemlich intelligenten Leuten, darunter auch welche, die intelligenter sind als ich. Trotzdem bin ich mir sicher, dass so ziemlich alle (außer denen, die aus der Freien-Software-Bewegung kommen oder Hacker sind), ihr Smartphone bei dem Versuch, ein Custom ROM zu flashen, in einen Briefbeschwerer verwandeln würden.
Ich glaube nicht, dass Leute, die sich halbwegs mit Technik auskennen, heutzutage noch Probleme mit flashen, rooten, etc haben, auch wenn sie nicht aus der IT oder Hackerbranche stammen.
Da scheitert es eher am nicht vorhandenen Willen, gewissen Komfort zu opfern. Den Umstieg auf CM oder eine Einsteiger Linux Distro sehe ich für den normalen Nutzer nicht so problematisch, jedoch könnte zB diese Artikelserie, vor allem im Bereich Kernel Hardening schon für den einen oder anderen zu viel werden – hängt jetz aber davon ab wie weit Mike beim dem Thema gehen wird.
Ich hoffe auf einen guten Mix, sodass auch Nutzer die sich mit Hardening auskennen, auch noch den einen oder anderen Trick abgucken können.
„Ich glaube nicht, dass Leute, die sich halbwegs mit Technik auskennen, heutzutage noch Probleme mit flashen, rooten, etc haben…“
Du und ich bewegen uns im selben Koordinatensystem – und das Problem dabei ist, dass es das Koordinatensystem einer rührend kleinen Minderheit ist. Ich würde mich selbst zum Beispiel als jemand bezeichnen, der sich gerade mal so halbwegs mit Digitaltechnik auskennt. In meinem Freundes- und Bekanntenkreis gelte ich allerdings als Technikgott. Und nicht, weil ich so toll blenden kann und ein begnadeter Hochstapler bin, sondern weil ihre Ahnungslosigkeit so groß ist. Da ist schon die Eingabe eines Shell-Befehls reine Magie.
Anderes Beispiel: Ich hab in einem Artikel (http://www.carta.info/71237/kryptographie-freie-software-dezentralisierung-vorhut-oder-letztes-aufgebot/) GnuPG als „sperrige Anwendung“ bezeichnet und mir prompt den energischen Protest einer Leserin eingehandelt: „Und ich werde weiterhin nicht verstehen, warum immer noch herumgenörgelt wird, GnuPG sei so schwer zu benutzen.“ Auch das was ein Fall von Unfähigkeit, über das eigene Koordinatensystem hinauszusehen. Die Frau, habe ich später herausgefunden, war immerhin in der Lage, ihre eigene Website auf ihrem eigenen Server unter selbst aufgesetztem Debian laufen zu lassen. Sorry, das bringen vielleicht ein oder zwei Prozent der Bevölkerung zustande.
Und auch Mike produziert mit seinem (sehr wichtigen) Blog ein Minderheitenprogramm. Und mir wäre es tausendmal lieber, wenn er es nicht tun müsste – weil Endgeräte mit offener Hardware und Freier Software, mit bis zu einem gewissen Grad gehärteter Sicherheit und „eingebautem“ Datenschutz die Regel sind. Wenn irgendjemand sich ein Auto kauft, wird von ihm ja auch nicht verlangt, als erstes die Bremsen funktionsfähig zu machen und den Bug im prozessorgesteuerten Lenksystem zu patchen.
Ja du hast schon recht. Wenn man wirklich vom Durchschnittsanwender ausgeht, ist das alles vielleicht ein bisschen viel. Da ich doch recht viel von teckies umgeben bin, neige ich dazu zu vergessen, wo der eigentliche Durchschnitt eigentlich liegt.
Dennoch sehe ich das Problem auch in der Bequemlichkeit und in der Angst was zu bricken bzw. der fehlenden Motivation sich damit außeinanderzusetzen.
Der Installer von Ubuntu und co. oder das flashen eines Custom ROM sind nun wirklich auch nicht übermäßig kompliziert.
Ich benutze seit Jahren LinuxMint und kann es nur weiterempfehlen,
das System hab ich mit meinem Wissen schon Gehärtet…
Bin gespannt was Herr Kuketz neues haben wird ;)
@Mike Kuketz
Mach weiter so!
Ich verderbe ihre Freude ungern, aber Linux Mint bzw Distributionen, die auf Ubuntu basieren sind NICHT zu empfehlen, weil sie proprietäre Software beinhalten und manchmal ,, kommunikationsfreudig“ sind.
(Siehe mein vorheriges Kommentar)
Mint ist keinesfalls gehärtet, somit ist der Guide auch was für dich
Auf der Website von coreboot https://coreboot.org/status/board-status.html ist eine Liste von unterstützen Hardware zu sehen, wobei nur sehr wenige alte Laptops unterstützt werden. Das sind Geräte, bei der die Installationen ,,geglückt“ sind. Das ist anscheinend nicht so wie bei Cyanogenmod, wo die ROMs für jedes Gerät individuell angepasst wird.
Besteht daher die Möglichkeit, dass theoretisch mehr Geräte coreboot unterstützen?
Mike könntest du eventuell darauf eingehen wie man sich vor Offset2lib attacks schützt? Mit der Attack könnte man ja NX, stack canaries und ALSR zugleich bypassen.
Wäre cool wenn du konkret drauf eingehst wie man sich zB mit PaX dagegen schützen kann. Meine derzeitigen Linux Hardening Kenntnisse reichen dafür nicht ganz aus ;-)
Wer Offset2lib nicht kennt, der kann sich mal hier informieren. Das ist aber schon harter Tobak.
Kannte den Artikel bereits ;-) ist schon recht harte Kost und schon deutlich schwerer durchzuführen als die üblichen return2libC attacks. Auf jedenfall viel eleganter und trickier als die üblichen nop-sledge und heap-spray Angelenheiten :-)
Funktioniert der Kernel-Patch unter Debian 8.3 mit dem Stock 3.16.7 Kernel und ist das Ganze vertrauenswürdig?
Hallo Mike,
zu 2.2 Balance-Akt:
Deine Zielgruppe ist nicht viel kleiner geworden, sondern genau so klein bei der Artikelserie ,,Your phone, your data „. Denn nur wenige Nutzer werden den Garantieverlust und das Risiko eines sogenannten Bricks in Kauf nehmen wollen um sich auf ihren Gerät ein Custom-Rom zu installieren.
Wie sieht es eigentlich mit der Garantie und den Risiken mit der Linux-Installation auf PCs aus?
Garantie bei PCs wird nicht beeinträchtigt. Wenn du den PC selbst baust macht es sowieso nichts und bei Komplett PCs und Notebooks einfach vor dem Einschicken das Recovery installieren, wenn der Rechner ohne OS kommt kannst du ihn auch mit Linux einschicken.
Wie sieht es mit den Risiken aus?
Risiko beim PC extrem gering. Eigentlich kann nichts passieren. Ein wirkliches Bricken wie beim Smartphone gibt es nicht solange du nicht das BIOS flash und dabei der Strom ausfällt. Rein durch die Installation eines Betriebssystems kannst du den Rechner nicht wirklich kaputt machen.
Hallo Mike,
gelobt wurde hier ja bereits wieder sehr oft und ich kann mich nur anschließen. Deine Artikel bauen ein sehr gute Brücke zwischen den IT Cracks und den technisch interessierten „besorgten Bürgern“ im Bezug auf diese Themen. Es auch als „Otto Normal“-kompatibel zu bezeichnen geht vielleicht etwas weit, aber definitiv hilfreich und es geht auch meiner Meinung nach alles in die richtige Gedankenrichtung. Also auch von mir ein: Weiter so!
Ich selbst bin bei diesem Artikel eigentlich erst beim Ausblick „überfordert“ gewesen. Da musste ich mich dann erstmal wieder bei über die Links informieren, wovon du da sprichst :-), aber ich bin mir sicher, dass sich die Folgeartikel dazu auch wieder super runter lesen lassen werden.
Du hast den Rahmen der Artikelserie bezüglich OpenSource Hardware ja schon soweit abgegrenzt bzw. beschrieben, wo du Ausnahmen machst. Vielleicht kann man ja trotzdem mal einen kleinen Exkurs Artikel einschieben, der beschreibt, worum es beim Thema OpenSource Hardware geht. Ein paar „berühmte“/bereits öfentlich gewordene Backdoors in Firmenware von Geräten ansprechen und beschreiben, was das bedeutet. Wenn man davon ausgeht, dass überall Backdoors drin sein könnten, müsste man eigentlich darauf achten, keine ClosedSource Geräte im Haus zu haben.
Die Kontrolle, was mit den Daten, die an den Gerätschaften gesammelt, verarbeitet und weiter geleitet werden passiert, hört ja letztendlich beim eigenen Router auf. Somit müsste jeder switch, jeder Fernseher, jeder AV Receiver, jede Spielekonsole und alle stationären und mobilen Gerärte (PCs, Laptops, Tablets und Handys) im Haus mit freier Software bis hin zur Firmenware / Bios / etc. mit freier Software ausgestattet sein. Und selbst dann müsste man noch darauf vertrauen, dass sich den offen Code auch mal jemand mit Verstand anschaut und für vertrauenswürdig befindet.
Eine für den Durchschnittsbürger, der auch andere Interessen als IT technische Themen hat, eine nicht zu überschauende bzw. bewältigende Aufgabe. Aber ich mach an der Stelle mal einen Cut mit meinen Gedanken zum Thema: eventueller kleiner Exkurs in der Artikelserie zum Thema OpenSource Hardware.
Du hast Projekte wie Novena angesprochen, aber nicht jeder sicherheitsbewusste Leser deiner Artikel ist in der Lage bzw. hat das Wissen und die Zeit große Aufwände dann auch noch bei der Hardware aufzubringen, bzw. da so tief einsteigen sondern am Ende des Tages auch auf Lösungen vertrauen und sie im Alltag nutzen. Da will ich den Jungs auch nicht zu nahe treten, denn es geht ja auch definitiv in die richtige Richtung, aber für den reinen Konsumenten fühlt sich das ganze dann auf den ersten Blick doch eher nach einem Laptop Baukasten an. Auf jeden Fall soll es auch keine never ending Bastel-, Installations- und Konfigurations-Story werden. Ich weiß, komplett ohne in das Thema einzusteigen, ganz ohne Eigenaufwände und die Bereitschaft sich ein wenig umzustellen geht es nicht, aber ich hoffe, du verstehst ein wenig was ich meine. Nur so (mit geschaffenem Vertrauen und „einfachen“/nutzbaren Lösungen) kann man auch einen größerene Teil der Menschen für das Thema begeistern.
Was sagst du oder auch andere hier z.B. zu solchen Ideen: https://puri.sm/
Ich weiß, das Bios ist nicht frei und das ist eine beachtliche Stange Geld, die man dafür aufbringen muss, aber die Geräte werden mittlerweile z.B. auch mit Qubes OS ausgeliefert.
Ansonsten warte ich wie viele andere gespannt auf die nächten Artikel. ;-)
LG
Tja, Purism … Mit dem dem Titel zum ersten Beitrag seiner neuen Serie hat Mike etwas ganz Wichtiges gemacht: Grenzen aufgezeigt. Sicherheit ist immer relativ, und wer etwas anderes behauptet, will Schlangenöl verkaufen.
Ein bisschen ist es so auch, wenn es um Freie Software und offene Hardware geht. Und mich beschleicht der Verdacht, dass bei Purism ein falsches Gefühl von Freiheit erweckt werden soll. Ja, sie sagen: „Purism provides the source code to ALL the software from the bootloader, kernel, operating system, and software, and does not include any binary blobs in any of them. People can safely verify every single line of code.“ Was sie nicht erwähnen, sind allerdings proprietäre Blobs wie die Intel Management Engine oder das Firmware Support Package. An diesen unfreien und undurchsichtigen „Verschmutzungen“ können sie auch definitiv nichts ändern, weil Intel den Quellcode nicht zur Verfügung stellt.
Also ist meine Einstellung zu Purism zwiegespalten. Ich finde gut, was sie machen, bin sogar begeistert, dass sie Maschinen mit vorinstalliertem Qubes anbieten. Es wäre mir allerdings lieber, wenn sie irgendwo klar sagen würden, dass auch sie nur eine eingeschränkte Freiheit bieten können.
Hmmm…ich weiß nicht warum dies noch niemand erwähnt hat, aber es gibt die Alternative, die zu 100% open source ist, gerade auch hardwareseitig. Libreboot!
https://minifree.org/
Ja es ist alt und gebraucht, aber diese Zeilen dienen als Beweis, dass es einwandfrei funktioniert. Und das schon länger als ein Jahr. Ich habe mir einen Dock dazu bestellt und es ist jetzt mein Desktop PC für Internetkonsum (FullHD) und Musikgenuss (mit separaten DAC, treiberlos!) inklusive SSD und somit für das vorgesehene mehr als ausreichend.
Und ich freue mich schon auf die Artikelreihe bzw. wenn es richtig los geht mit den kommenden Artikeln. Wobei ich ein wenig skeptisch bin in Bezug auf grsecurity. Das für Laien erklären zu wollen ist wirklich sehr ambitioniert und schwierig, aber wenn das einer schafft, dann du Mike :o)
Peace!
Sehr sauber dein Rechner. Aber man muss eben mit sieben Jahre alter Hardware leben können und wollen – und nächstes Jahr ist sie acht Jahre alt und übernächstes … Irgendwie habe ich das dumpfe Gefühl, dass wir dann bald wieder bei Gerätschaften angekommen sind, die vollkommen transparent in der Anwendung waren und die wir zu 100% unter Kontrolle hatten: Bleistift und Papier.
Klingt jetzt polemischer, als es gemeint ist: In den Monaten nach den ersten Snowden-Enthüllungen sind sowohl Olympia als auch Triumph-Adler von der plötzlich einsetzenden Nachfrage nach mechanischen Schreibmaschinen überrannt worden.
Aktuelle und freie Hardware ist zurzeit wirklich ein riesiges Problem. Die Libreboot sind zwar frei aber alt und für das Alter relativ teuer -> da kann man sich gleich einen gebrauchten T400 kaufen und die Management Engine selbst boykottieren.
Die Purism Dinger, beinhalten noch immer die Management Engine die quasi die ganze Integrität der Hardware untergraben kann und sind zudem ebenfalls sehr teuer -> wenn sie 100% frei wären, wären sie vielleicht trotz des Preises eine Option, zurzeit vermitteln sie jedoch eher eine falsche Sicherheit.
Gibt es alternativen zu coreboot ?
Bis auf libreboot kenne ich keine weitere.
Übrigens sind die neuen Kommentarfelder cool.
Mike was hälst du von SubgraphOS?
Ein Vergleich zwischen Debian und Qubes wäre auch super.
Zu SubgraphOS wollte ich in den kommenden Tagen ein paar Zeilen schreiben.
Guten Tag allerseits,
ich habe herausgefunden, dass sogar in corebootfähigen Thinkpads TPM integriert ist. Dies bedeutet ein Verlust der Kontrolle über die Hardware. Kann man diese deaktivieren oder muss man sie eigenhändig entfernen?
@Anonymous:
Es ist möglich das TPM zu deaktivieren.
@Mike:
Wird die Hardwareproblematik in einen seperaten Artikel näher beleuchtet oder beschränkst du dich nur auf die Software?
Top Artikel! Fachlich und Sachlich!