2357082

Sichere Surfsysteme: Wir zeigen Ihnen wie Sie die Websicherheit noch optimieren

10.07.2018 | 08:10 Uhr |

Geringe Verbreitung, technische Varianten, kompetente Nutzer: Linux ist kein beliebtes Angriffsziel für digitale Schädlinge. Dieser Artikel zeigt, wie sicheres Surfen mit Linux auch Windows-Nutzern hilft und wie Sie die Websicherheit noch optimieren.

Beim Thema „Sicher surfen“ vermischen sich oft Aspekte, die nichts miteinander zu tun haben, nämlich der Systemschutz vor digitalen Schädlingen und der Datenschutz vor den Nachstellungen von Datensammlern aller Couleur (Google, Oracle, Amazon, Polizei, Geheimdienste). In diesem Beitrag geht es ausschließlich um den Systemschutz, also um größtmögliche Sicherheit gegenüber Würmern, Viren und Trojanern aus dem Web. Der Schutz durch Livesysteme und virtuelle Systeme ist nachhaltig: Er garantiert sicheres Surfen, sicheres Onlinebanking, sichere Webeinkäufe und erlaubt sogar gezielte Ausflüge auf Trojaner- und Phishing-Sites.

Sicherheit für Linux- und Windows

Internetschädlingen geht es immer darum, ausführbaren Code auf dem System zu starten und sich dann dauerhaft einzunisten. Die entscheidende Hürde für den Schädling ist die initiale Zündung auf dem System. Gelingt diese, mag das umfangreichere Folgeprogramm (Autostart-Mechanismus, Reproduktion, Schadfunktion) mehr oder weniger anspruchsvoll ausfallen, aber im Prinzip hat der Schädling bereits gewonnen. Wie kommt es zur Initialzündung des Schadcodes?

Lesetipp: So surfen Sie absolut anonym im Internet

In der Regel lädt der Systembenutzer den Schadcode aktiv und freiwillig. Das geschieht durch die Installation verseuchter Downloads, durch den Doppelklick auf ausführbare Mailanhänge oder den Klick auf Web-URLs in Mails, die Javacripts auslösen, welche wiederum über Browser-Sicherheitslücken Code auf dem lokalen System ausführen. Im Vergleich zu den Zuständen vor zehn und 20 Jahren sind viele Gefahren inzwischen durch technische Filter entschärft: Viele Mailprovider verweigern ausführbare Anhänge, Makrocode in Office-Dokumenten wird nicht mehr ohne Warnung gestartet, Downloads müssen den Check von Smartscreen-Filtern oder AV-Scans bestehen. Trotzdem werden findige Hacker neue Wege auf das lokale System finden. Die beste Lösung ist daher ein System, das den Schädling ignoriert oder zumindest wieder entsorgt. Solche Lösungen gibt es in verschiedenen Abstufungen:

1. Linux-Nutzer sind per se zu 99 Prozent im sicheren Hafen: Die Masse der Schädlinge ist für Windows-Systeme programmiert und nur dort lauffähig.

2. Noch höhere Sicherheit bietet ein Linux in einer virtuellen Maschine (VM), das vom eigentlichen Betriebssystem isoliert ist. Ein Malwarebefall betrifft dann nicht das Hauptsystem. Außerdem kann man frühzeitig einen Klon des Originalzustands anlegen, der stets die Rückkehr zur garantiert unkompromittierten VM gestattet.

3. Es sind noch weitere Steigerungen möglich: Eine Option ist ein Linux-Livesystem als virtuelle Maschine. Dieses verwirft Änderungen am System automatisch. Eine weitere Option ist ein speziell gehärtetes Linux (Apparmor, Selinux) innerhalb einer virtuellen Maschine, wie es etwa das Projekt „Bitbox“ anbietet.

4. Hohe Sicherheit bietet jedes Linux-Livesystem, das unabhängig vom installierten Betriebssystem gestartet wird. Hier geschehen alle Programmaktionen im Arbeitsspeicher, so dass jeder Neustart alle Änderungen und eventuelle Schädlinge entsorgt. Zu den Punkten 2, 3 und 4 lesen Sie nachfolgend praktische Anleitungen. Aus der Tatsache, dass Linux per se sicheres Surfen gewährleistet (Punkt 1), ist der wichtigste Adressat dieser Anleitungen der Windows-Anwender. Durch Linux-Unterstützung kann der Windows-Nutzer sicherheitstechnisch mit Linux gleichziehen, und dies je nach Lösung mit geringem Komfortverlust. Selbstverständlich eignen sich diese Lösungen aber auch, um die Sicherheit unter Linux zusätzlich zu erhöhen.

Lesetipp: Die Grundlagen der Virtualisierung unter Linux

Surfen in virtuellen Maschinen

Als Virtualisierungssoftware benötigen Sie entweder Oracle Virtualbox oder Vmware Player. Das kostenlose Virtualbox erhalten Sie für Windows und für alle namhaften Linux-Distributionen. Den ebenfalls kostenlosen Vmware Player gibt es hier . Unter Windows starten Sie zur Installation einfach den EXE-Installer per Doppelklick, unter Linux müssen Sie den Download erst mit chmod +x […] oder mit dem Dateimanager über „Eigenschaften –› Zugriffsrechte“ ausführbar schalten.

Netzwerk und Laufwerke aus der Sicht der VM.
Vergrößern Netzwerk und Laufwerke aus der Sicht der VM.

Der Vmware Player ist mit Rücksicht auf die kostenpflichtige Vmware Workstation funktional eingeschränkt. Beim privaten Einsatz betrifft das zwar nur einige Komfortfunktionen wie etwa Snapshot-Sicherungen, dennoch ist Oracle Virtualbox die komplettere Virtualisierungssoftware für Heimanwender. Die nachfolgenden Anleitungen beziehen sich daher vorrangig auf Virtualbox.

Ein Linux-System in einer virtuellen Maschine verbindet hohen Bedienkomfort mit sehr hoher Sicherheit. Dass Schadprogramme aus dem virtuellen Linux-Gastsystem ausbrechen und das Hostsystem befallen, ist extrem unwahrscheinlich. Es ist nicht nur technisch so gut wie auszuschließen, sondern setzt auch voraus, dass der Schädling auf diese komplexe Situation vorbereitet ist. Das einzige nennenswerte theoretische Risiko ist eine VM für Virtualbox oder Vmware, die bereits vorab gezielt infiziert wurde. Netzwerktechnisch sind die Voreinstellungen so, dass die VM eine virtuelle IP-Adresse erhält, die nicht im Adressraum des lokalen Netzwerks liegt. Weder sieht die VM die anderen Netzrechner noch umgekehrt. Diese Voreinstellung (NAT) lässt sich zwar im Virtualisierer auch umschalten („Netzwerkbrücke“), ist aber die sicherste Option: Die VM kommt ins Internet, sieht aber nicht das lokale Netz.

Als weitere Absicherung gibt es in Virtualbox die Sicherungspunkte. Ein Sicherungspunkt lässt sich zu jedem Zeitpunkt über „Maschine –› Sicherungspunkt erstellen“ anlegen. Die Rückkehr zu einem früheren Zustand erfolgt bei ausgeschalteter VM im Verwaltungsfenster über „Sicherungspunkte“ und die Option „Wiederherstellen“. Der Bedienkomfort einer VM ist deutlich höher als bei selbst bootenden Surfsystemen, weil der Benutzer kein Bootmedium suchen, sein Standardsystem nicht verlassen muss und somit neben seinem sicheren Browser in der VM gewohnt im Hauptsystem weiterarbeiten kann. Wenn der Rechner vier, besser acht GB RAM mitbringt und einen aktuellen Prozessor, läuft das Linux mit Browser in der VM praktisch genauso flüssig wie in einem nativen System.

Virtuelle Livesysteme: Eine virtuelle Festplatte ist hier nicht nötig.
Vergrößern Virtuelle Livesysteme: Eine virtuelle Festplatte ist hier nicht nötig.

Livesysteme – Appliances – Installationen: Je nachdem, wieviel individuelle Anpassung Sie von Ihrem Surfsystem in der virtuellen Maschine erwarten, gibt es mehrere Varianten mit unterschiedlichem Einrichtungsaufwand. Ein Linux-Livesystem ist unter Virtualbox nach wenigen Handgriffen startklar, bringt größtmögliche Sicherheit, aber nur einen Browser von der Stange ohne Anpassungsmöglichkeiten. Eine vorkonfigurierte VM (Appliance) ist ebenfalls im Handumdrehen eingerichtet und bietet alle Optionen individueller Anpassung. Aber erstens müssen Sie der heruntergeladenen VM vertrauen, zweitens gibt es nicht alles als fertige virtuelle Appliance. Händische Installationen verursachen den größten Einrichtungsaufwand, basieren aber auf den Installationsmedien der Distributionen und erzeugen eine absolut saubere, neue virtuelle Festplatte.

Einrichten virtueller Maschinen

Das Anlegen neuer VMs ist in Virtualbox wie Vmware eine Angelegenheit von wenigen Mausklicks.

A. Livesystem: Dazu brauchen Sie zunächst das heruntergeladene ISO-Image der gewünschten Distribution. Da es hier in erster Linie um einen ordentlichen Browser und eventuell einen Mailclient geht, genügt im Hinblick auf den Speicherbedarf ein schlankes Exemplar wie etwa Lubuntu (32 Bit). In Virtualbox klicken Sie dann auf „Neu“, geben einen Namen an (etwa „Lubuntu 18.04“), als Typ „Linux“ und als Version in diesem Beispiel „Ubuntu (32 Bit)“. Nach „Weiter“ genügen unter „Speichergröße“ je nach System 1024, 1536 oder 2048 MB. Nach „Weiter“ benötigen Sie bei einem Livesystem unter „Platte“ keine virtuelle Festplatte. Sie wählen also „Keine Festplatte“ und klicken auf „Erzeugen“. Virtualbox warnt Sie, dass Sie keine Festplatte verwenden, was Sie mit „Fortfahren“ ignorieren. Der erstellten VM müssen Sie jetzt mit „Ändern“ unter „Massenspeicher“ das ISO-Abbild mitteilen. Dies geschieht unter „Controller: IDE“ auf dem CD-Symbol, das aktuell noch als „leer“ angezeigt wird. Aktivieren Sie links das Kästchen „Live-CD/DVD“ und klicken Sie dann auf das CD-Symbol ganz links oben. Hier können Sie die „Datei für optisches Medium auswählen“ – sprich: Sie navigieren zum ISO-Image des gewünschten Livesystems. Damit ist das Livesystem startklar.

Fertige VDI oder VMDK-Images: Angebote wie Osboxes ersparen die Installation virtueller Systeme.
Vergrößern Fertige VDI oder VMDK-Images: Angebote wie Osboxes ersparen die Installation virtueller Systeme.

B. Appliance (fertige virtuelle Festplatte): Für Virtualbox wie Vmware gibt es zahlreiche, sofort lauffähige Linux-Systeme zum Download. Es handelt sich – im Unterschied zu Livesystemen – um vollwertige Installationen, die Sie anschließend etwa im Browser mit Lesezeichen oder mit persönlichen Konten im Mailclient beliebig anpassen können. Andererseits entfällt aber der Aufwand der Ersteinrichtung. Eine prominente und vertrauenswürdige Anlaufstelle für solche virtuellen Festplatten ist https://www.osboxes.org . Klicken Sie dort auf „VM Images“ und wählen Sie das benötigte Format – VDI für das hier bevorzugte Virtualbox, VMDK für Vmware. Die zahlreichen virtuellen Festplatten (von „Android x86“ bis „Zorin OS“) sind hier standardmäßig 7zgepackt. Unter Windows muss daher der kostenlose Packer 7-Zip vorliegen ( http://www.7-zip.de ), unter Linux ist 7z-Unterstützung in der Regel Standard und im Bedarfsfall mit

sudo apt-get install p7zip p7zip-full

auch schnell nachgerüstet. Nach dem Auspacken des Archivs erhalten Sie das Festplattenimage mit der Erweiterung VDI. Verschieben Sie dieses an einen Ort, wo es dauerhaft bleiben kann.

Danach starten Sie Virtualbox. Die ersten Schritte nach Klick auf „Neu“ entsprechen dem Vorgehen wie oben unter „ Livesystem in Virtualbox“. Beim Schritt „Platte“ wählen Sie hier hingegen „Vorhandene Festplatte verwenden“ und navigieren zur heruntergeladenen VDI-Datei. Nach Klick auf „Erzeugen“ ist das virtuelle System bereits eingerichtet, erscheint in der Systemübersicht in der linken Spalte und kann mit „Starten“ oder Doppelklick sofort loslegen. Am Anmeldebildschirm erscheint das Standardkonto „osboxes.org“ (oder „osboxes“), und mit dem Standardpasswort „osboxes.org“ können Sie sich anmelden. Diese Standardeinstellung können Sie später in der Benutzerverwaltung des Linux-Systems natürlich ändern.

Ein Tipp zum Vmware Player: Der Einrichtungsassistent des abgespeckten Players sieht den Einbau fertiger VDMK-Appliances nicht vor. Es geht aber trotzdem: Sie müssen erst eine leere virtuelle Festplatte erzeugen, wie es der Player vorgibt. Ist der Assistent durchlaufen und die VM eingerichtet, gehen Sie nach Rechtsklick darauf auf „Settings“ und löschen die „Hard Disk“ mit „Remove“. Wenn Sie danach mit „Add“ manuell eine „Hard Disk“ einrichten, erscheint die maßgebliche Option „Use an existing virtual disk“. Damit können Sie die VDMK einbinden.

Aus dem Web geladene virtuelle VDI-Images kann Virtualbox direkt einbinden.
Vergrößern Aus dem Web geladene virtuelle VDI-Images kann Virtualbox direkt einbinden.

C. Manuelle Installation: Hier durchlaufen Sie den Virtualbox-Assistenten wie oben beschrieben und wählen dann im Dialog „Platte“ die Option „Festplatte erzeugen“, anschließend den Dateityp VDI. Als Größe genügen etwa acht GB, wenn es beim Surfsystem bleiben soll. Genau wie bei Variante A müssen Sie der eingerichteten VM anschließend mit „Ändern“ unter „Massenspeicher“ das ISO-Abbild des Installationsmediums mitteilen. Wenn Sie das virtuelle System danach „Starten“, lädt das ISO-Livesystem, mit dem Sie die Distribution danach in die virtuelle Festplatte installieren. Diese anschließende Einrichtung unterscheidet sich nicht von einer normalen Installation.

Spezialdistribution Bitbox: Browser in the Box

Die soeben beschriebenen Virtualisierungsvarianten genügen nach unserer Ansicht sehr hohen Sicherheitsansprüchen, sofern dann auch wirklich diszipliniert der virtuelle Browser genutzt wird. Dennoch gibt es immer wieder komplette Lösungen, die das technische Prinzip noch ein Stück weiterdrehen. Aktuell hochgelobt ist die Virtualbox-Appliance „Browser in the Box“ oder kurz Bitbox von Rohde & Schwarz, das im Auftrag des BSI (Bundesamt für Sicherheit in der Informationstechnik) konzipiert wurde (siehe https://cybersecurity.rohde-schwarz.com/de ). Als Basis dient ein virtualisiertes Debian Linux, das durch Apparmor-Härtung auch die root-Rechte beschränkt. Der Netzverkehr läuft verschlüsselt durch eine zweite Virtualbox-Instanz. Zudem kehrt das virtuelle System bei jedem Browserneustart auf den zertifizierten Ausgangszustand zurück. Aus Anwendersicht besteht das komplexe System nur aus einem Browserfenster – wahlweise Firefox oder Chromium. Der Nutzer hat weder mit Linux noch mit Virtualbox zu schaffen, da ein Installer die Einrichtung vollautomatisch übernimmt. Kostenlose Downloads von Bitbox (circa 700 MB) gibt es bei https://cybersecurity.rohde-schwarz.com nur unter Angabe ausführlicher Nutzerdaten, aber auch bei Onlineportalen wie www.heise.de .

Späterer Browserkomfort durch sorgfältige Auswahl der angebotenen Optionen.
Vergrößern Späterer Browserkomfort durch sorgfältige Auswahl der angebotenen Optionen.

Nachteile: Bitbox-Sicherheit bezahlen Sie mit mehreren Einschränkungen. Das Appliance gibt es nur für Windows-Systeme. Dort darf Virtualbox nicht installiert sein und kann daher nicht anderweitig genutzt werden. Obwohl das Bitbox-Projekt nur den Browser pur bietet, verbraucht es verglichen mit selbst eingerichteten virtuellen Systemen sehr viel Speicher und startet zäh. Auch das Schließen benötigt immer einige Zeit für Aufräumarbeiten. Der einmal geladene Browser selbst läuft hingegen jederzeit flüssig. Die Option, den Browser zumindest mit eigenen Lesezeichen und Einstellungen personalisieren zu dürfen, müssen Sie bereits bei der Einrichtung aktivieren.

PC-WELT Download: Bitbox

Bootfähige Linux-Livesysteme

Einen Rechner mit einem Livesystem auf USB oder DVD neu zu booten, um ins Internet zu gehen, ist sicher nicht komfortabel. Wer sich aber bewusst auf riskante Seiten begeben will, wird diesen Weg in Rücksicht auf sein System nicht scheuen. Immerhin haben Livesysteme gegenüber virtualisierten Systemen einen wesentlichen Vorteil: Sie arbeiten voraussetzungslos und können mobil auf jedem Rechner gestartet werden. Ob Sie zum Surfen ein typisches Livesystem wie Porteus ( http://porteus.org/ ) und Puppy Linux ( http://puppylinux.org ) oder das Live- und Installationsmedium einer Desktopdistribution wie Ubuntu verwenden, ist nur eine Komfortfrage. Sicherheitstechnisch spielt die Wahl keine wesentliche Rolle, denn spezielle „Kiosk“-Systeme wie Porteus haben einen anderes Motiv: Sie sollen das System vor dem Benutzer schützen, nicht vor Internetmalware.

Der einfachste Weg, Ubuntu-basiertes Linux in ein Livesystem umzuwandeln, ist das Tool Systemback.
Vergrößern Der einfachste Weg, Ubuntu-basiertes Linux in ein Livesystem umzuwandeln, ist das Tool Systemback.

Linux-ISO-Abbilder lassen sich mit einschlägigen Werkzeugen wie z.B. Etcher, Imgburn, Unetbootin, dd, oder Win 32 Disk Imager problemlos auf USB oder DVD schreiben.

Wie immer lässt sich die Sicherheitsschraube aber auch hier eine ganze Stufe härter drehen: Livesysteme erhalten eine normale IP-Adresse im realen Adressraum und „sehen“ somit die Rechner und auch den Router im lokalen Netzwerk. Außerdem sehen sie die Massenspeicher, die im lokalen Rechner stecken. Theoretisch könnte also auch ein Schädling diese Objekte „sehen“. Wir stellen daher eine Versuchsanordnung zur Diskussion, die innerhalb eines Livesystems ein virtuelles Linux enthält, das ins Internet geht. Dies ist sicher keine Konstruktion, die der private Nutzer für sicheres Surfen benötigt, aber eine, mit der man dann auch mal gezielt schädliche Webseiten aufsuchen kann. Die Zutaten sind

  • ein normal installiertes, schlankes Linux (Lubuntu)

  • ein darin installiertes Virtualbox

  • ein darin installiertes Tool Systemback

  • ein unter Virtualbox angelegtes schlankes Linux (erneut Lubuntu als VDI-Appliance).

Das komplette und als tauglich getestete System konvertieren wir mit dem Tool Systemback zu einem Livesystem und schreiben es damit bootfähig auf USB-Stick. Das Ergebnis ist dann ein unveränderliches Livesystem, das bei Bedarf ein virtuelles Linux starten kann, Dieses erkennt keine physischen Medien des Rechners und arbeitet mit virtueller IP außerhalb des lokalen Adressraums. Das ist insgesamt gewiss kein warmes Biotop für handelsübliche (Windows-)Malware!

PC-WELT Marktplatz

0 Kommentare zu diesem Artikel
2357082