promo

Sicherheitslücken in APT

Zwei kürzlich bekannt gewordene Sicherheitslücken in APT ermöglichen es, trotz Signaturüberprüfung manipulierte Pakete einzuschleußen. Wir haben aus diesem Grund unseren Mirror, aus dem die herunterladbaren ISOs erstellt werden, manuell überprüft und keine manipulierten Pakete feststellen können. Selbst mit dem build-Skript erstellte ISOs sollten erneut mit einem System mit aktualisiertem APT gebaut werden.

TrueCrypt unsicher?

Nach einer Meldung auf der TrueCrypt-Webseite vom 28.5.2014 sei TrueCrypt "unsicher", ohne nähere Erläuterung von Gründen. Es wird eine neue Version 7.2 zum Download angeboten. Wir sind auf der Grundlage unserer Analyse, die hier nachgelesen werden kann, sowie der Analyse des Open Crypto Audit Project, zu dem Schluß gekommen, dass die in UPR eingesetzten Versionen von TrueCrypt nach wie vor sicher sind. Nichtsdestotrotz arbeiten wir an der Umstellung des Konzeptes der "erweiterten Container" auf LUKS-basierte Datenträger und planen, TrueCrypt in zukünftigen Versionen nicht mehr zu verwenden.

UPR 12.04r1 veröffentlicht

7.5.14: Das "Ubuntu Privacy Remix"-Team hat die neue Version Ubuntu Privacy Remix 12.04r1 (Codename Protected Pangolin) veröffentlicht. UPR ist ein Live-System zum Schutz vor Bespitzelung und Datendiebstahl. Das neue Release wird auf dem LinuxTag 2014 in Berlin vorgestellt (Vortrag am Do., 8. Mai, 21:30 Uhr). UPR 12.04r1 ist so konzipiert, dass es auf neueren Rechnern mit UEFI + SecureBoot starten kann und viele neue Hardware unterstützt; während es durch die Verwendung der traditionellen und schlanken GNOME Classic Oberfläche weiterhin auch auf älteren Geräten verwendet werden kann. Das hybride DVD/USB-ISO kann im Download-Bereich heruntergeladen werden.

Der Weg zur UPR-CD

Ubuntu Privacy Remix ist ein freies Projekt. Jeder der es nützlich findet, kann UPR kostenlos benutzen und ist aufgerufen, Verbesserungsvorschläge, Fehlermeldungen und Kritiken an uns zu richten.

Das CD-Image kann hier heruntergeladen werden. Die UPR-Entwickler können weder dafür garantieren, dass die Download-Server niemals von Angreifern gehackt werden, noch viel weniger dass via DNS-Spoofing oder anderen Attacken Benutzer unbemerkt auf manipulierte Server umgeleitet werden. Die Echtheit des Images sollte also unbedingt mittels unserer PGP-Signatur überprüft werden.

Wer für mehr Kontrolle seine CD lieber von Grund auf selbst bauen will, findet die Anleitung hier.


Was ist Ubuntu Privacy Remix? PDF Drucken E-Mail

Das Ziel von Ubuntu Privacy Remix ist, eine abgeschottete Arbeitsumgebung bereitzustellen, in der vertrauliche Daten sicher bearbeitet werden können. Das auf dem dafür verwendeten Computer bisher installierte System bleibt dabei völlig unverändert, UPR ist nicht für eine dauerhafte Installation auf der Festplatte gedacht. Statt dessen befindet sich UPR auf einer Live-CD, die auf Ubuntu Linux basiert. Mit dieser wird der Rechner gestartet. Alle Benutzerdaten befinden sich ausschließlich auf verschlüsselten Wechseldatenträgern.
Ubuntu Privacy Remix ist ein Werkzeug, um seine Daten gegen unbefugte Zugriffe zu schützen. Die Gefahr des Diebstahls solcher Daten geht heute nicht mehr nur von gewöhnlichen Internet-Kriminellen und ihren Trojanischen Pferden, Rootkits und Keyloggern aus. Vielmehr ist spätestens seit Edward Snowden auch einer breiten Öffentlichkeit bekannt, wie auch Regierungen und Geheimdienste Maßnahmen ergreifen, die Computer der Bürger mit solchen Mitteln zu bespitzeln und zu überwachen.

Aber ich verschlüssele meine Daten bereits...
Eine gute Verschlüsselung ist natürlich der wichtigste Grundschutz für vertrauliche Daten. Deshalb enthält Ubuntu Privacy Remix auch die beiden bekannten Verschlüsselungsprogramme Truecrypt und GnuPG.
Doch die Sicherheit der Verschlüsseung kann man nicht isoliert aus dem Verschlüsselungsprogramm ableiten. Betriebssysteme, Anwendungsprograme, das persönliche Verhalten und natürlich Schadsoftware wie Trojanische Pferde, Rootkits und Keylogger, können die Sicherheit eines guten Verschlüsselungsprogramms wieder untergraben oder gar aufheben."Der Grundgedanke ist, die Bearbeitung wirklich sensibler Daten in eine spezielle Arbeitsumgebung zu verlagern und strikt von allem anderen zu trennen, was man sonst mit dem Computer macht (surfen, mailen, spielen usw.)"

So z.B. Programme wie Microsoft Office oder Google Desktop, die beim Öffnen von Dateien im verschlüsselten Truecrypt-Volume eine Klartext-Kopie der Daten auf der Festplatte ablegen können.
Oder ein Trojanisches Pferd wartet, bis der Benutzer sein Truecrypt-Volume öffnet, um dann bei nächster Gelegenheit Kopien der darin enthaltenen vertraulichen Daten über das Internet zu verschicken.
Oder eine Schadsoftware liest per Keylogger die Eingabe des Passwortes für den privaten GnuPG-Schlüssel mit und schickt dieses dann samt des Schlüssels an den Angreifer. Damit kann dieser alle bisherigen und zukünftigen Emails entschlüsseln, die er in die Hände bekommt.

Sicherheit ist ein System
Diese wenigen Beispiele zeigen bereits, dass Sicherheit auf der Sicherheit der gesamten Arbeitsumgebung fußen muss und niemals mit der Sicherheit eines einzigen Programms gewährleistet werden kann.
Die Bearbeitung, Ver- und Entschlüsselung von Daten mit hoher Vertraulichkeit sollte deshalb in einem System erfolgen, das

  • niemals Kontakt zu nicht-vertrauenswürdigen Netzwerken, wie z.B. dem Internet, hat
  • keine Daten unverschlüsselt auf Festplatten speichern kann, auch nicht unbemerkt oder versehentlich
  • Spionagesoftware keine Möglichkeit bietet, sich dauerhaft im System einzunisten

Ubuntu Privacy Remix stellt mit folgenden Maßnahmen auf einem beliebigen PC eine solche Arbeitsumgebung bereit:

Weiterlesen...
 


Was kann UPR?

Mehr Infos über die Sicherheits- Features von UPR gibt es hier.

mehr...

Wie benutzen?

Anleitungen und Videos zur Anwendung von UPR gibt es hier.

mehr ... 

Wie helfen?

Es gibt viele Formen, an UPR mitzuarbeiten

mehr...

.