Ubuntu: Viren, Würmer und Trojaner aufspüren - Systemsicherheit erhöhen

In einem Punkt sind sich alle IT-Experten¹ einig: Die Desktop-Version von Ubuntu ist mindestens so sicher wie Safer Sex. Dieser Zustand ist jedoch weder gottgegeben noch in Stein gemeißelt, sondern hängt mit der geringen Nutzerzahl zusammen. Schließlich setzen lediglich 3,5%² der weltweiten PC- und Laptopbesitzer ein linuxbasiertes Betriebssystem ein. Hinzukommt, dass die Anbeter des virtuellen Pinguins als überdurchschnittlich computeraffin gelten, weshalb sich Malware für Debian-Derivate nur schwer verbreitet. Demzufolge ist es kein Wunder, wenn Cyberkriminelle lieber aussichtsreichere Wege wählen und ihre Schadprogramme für Windows oder macOS³ entwickeln.

Linux ist einfach kein erfolgversprechendes Ziel für Kriminelle.

Lang, Mirco: Virenschutz unter Linux. heise.de (05/2020).

Natürlich geht Canonical auch proaktiv gegen Online-Erpresser vor, indem es das Ubuntu Security Team beschäftigt. Diese Arbeitsgruppe stellt auf ihren Softwaredepots zweimal⁴ wöchentlich die neusten Impfstoffe zur Verfügung, mit denen die Benutzer ihre Linux-Distribution vor Angriffen schützen können.

Dabei schließen die periodischen Aktualisierungen nicht nur Einfallstore in das Kernsystem, sondern sorgen zudem dafür, dass Sicherheitslücken in lokalen Anwendungen⁵ beseitigt werden. Allerdings erhalten nur die Programme regelmäßige Schutzauffrischungen, die aus den Quellen “Main” und “Restricted” stammen. Das sind unter anderem alle Applikationen, die Ubuntu von Haus aus mitbringt.

Ubuntu 20.04 erhält zwar fünf Jahre lang kostenlos Support; der gilt aber nur für Software aus den Repositories “Main” und “Restricted”.

Kißling, Kristian: [Update] Ubuntu 20.04 LTS: Fokus auf Sicherheit. linux-magazin.de (05/2020).

Hingegen Drittanbietersoftware veraltet schnell, da die Entwickler häufig keinen fünfjährigen Update-Support anbieten. Um die Systemsicherheit zu erhöhen, ist es also dienlich die Repository „Universe” zu deaktivieren. Darüber hinaus sollten Ubuntu-Anwender nur renommierten PPAs vertrauen. Schließlich erfordert die Herstellung eines virenresistenten Programms eine enorme Expertise, die Privatquellenbesitzer oftmals nicht vorweisen können.

[Die Ubuntu-Gemeinschaft] betreut aber nur einen Bruchteil der Pakete über fünf Jahre. [...] Bei den meisten ist viel früher Schluss: entweder nach neun Monaten oder schon zum Release, denn viele Pakete betreut niemand so recht.

Leemhuis, Thorsten: Fokussieren. Ubuntu 18.04 LTS: Linux-Distributionen mit bis zu fünf Jahren Support. In: c’t Nr. 11 (2018). S. 121.

Im Systemmenü „Anwendungen & Aktualisierungen” ist es neben der APT-Dienst-Konfiguration möglich, die Installation von Sicherheitsupdates zu automatisieren. Wurde diese Funktion aktiviert, dann dürfen Benutzer von LTS-Versionen vergessen, dass Viren, Würmer und Trojaner in der Computerwelt existieren. Diese pauschale Aussage trifft allerdings nicht auf Administratoren von gemischten Netzwerken zu. Denn Ubuntu ist wie ein Kind in der Coronakrise: Es bleibt unter normalen Umständen gesund, kann jedoch als Zwischenwirt andere Risikogruppen infizieren.

Wahrscheinlich hatte jeder, der seine Linux-Distribution als Bürosystem einsetzt schon einmal mit Malware zu tun. Schließlich ist es eine Tatsache, dass sich Schadprogramme hauptsächlich über E-Mail-Anhänge verbreiten.

848 Milliarden E-Mails haben die Menschen in Deutschland 2018 verschickt - 10 Prozent mehr als 2017. Spam nicht mitgerechnet.

Stocker, Anita: Multimedia in Kürze. In: test Nr. 4 (2019). S. 21.

Lange Zeit waren Viren vorwiegend in verschleierten EXE-Dateien versteckt, die Ubuntu-Nutzer nie ohne Hilfsmittel ausführen konnten. Mittlerweile fungieren jedoch auch systemübergreifende Formate als Dropper. Zum Beispiel lassen sich PDF- oder ZIP-Dateien⁶ so manipulieren, dass diese nach dem Öffnen einen Computerwurm freisetzen. Sobald ein derartiges Skript entfesselt wurde, sucht es selbstständig nach Schwachstellen in Netzwerkprotokollen, um sich im Intranet auszubreiten. Wenn der Sprung⁷ auf einen Windows-PC gelingt, dann lässt sich der befallene Microsoft-Rechner unter anderem für Distributed-Denial-of-Service-Attacken missbrauchen.

Wer also andere Netzwerkteilnehmer schützen möchte, der muss sein Debian-Derivat mit einem zusätzlichen Virenscanner ausstatten. Hierfür ist das kostenlose Kommandozeilenprogramm ClamAV am besten geeignet.

ClamAV ist das populärste Open-Source-Programm zur Erkennung von Viren in Dateien oder E-Mails.

Kofler, Michael: Linux. Das umfassende Handbuch. 15. aktualisierte Auflage. Bonn: Rheinwerk Verlag 2017.

Diese mehrkernfähige Applikation befindet sich in den offiziellen Ubuntu-Quellen und wird seit dem Jahre 2013 vom US-amerikanischen Routerhersteller Cisco Systems stetig weiterentwickelt. Bedauerlicherweise haben vor allem Windows-Umsteiger immer große Angst vor Terminal-Fenstern. Aus diesem Grund erfahren Sicherheitsfetischisten in der folgenden Anleitung nicht nur, wie sie den virtuellen Spürhund mit Befehlen steuern. Darüber hinaus erhalten Benutzeroberflächenliebhaber eine Einführung in ClamTk. Denn diese kleine Drittanbietersoftware macht es möglich, den konsolenbasierten Kammerjäger mit der Maus zu bedienen.

Schnelle Virensuche

Szenario: Aufgrund meiner Loverboy-Tätigkeit⁸ besitze ich viele Identitäten. Zu meinen Fantasieexistenzen gehören diverse E-Mail-Konten, die ich alle mit ein und demselben Thunderbird abrufe. Leider verkaufen Partnerbörsen und Freemail-Anbieter fortlaufend meine Benutzerdaten, weshalb täglich Hunderte Spamnachrichten auf meiner Festplatte landen. Natürlich enthalten manche Botschaften auch Dateianhänge, die ich normalerweise nie anklicken würde. Allerdings senden mir potenzielle Opfer manchmal ein Selfie oder eine digitale Grußkarte, sodass ich aus beruflicher Sicht gezwungen bin, einige Anfügungen von unbekannten Adressanten zu öffnen. Mein Ubuntu-System mag vielleicht virenresistent sein aber mein Smartphone, meine Netzwerkkomponenten und meine Wechselmedien könnten sich nur unzureichend gegen überspringenden Schadcode wehren. Also bleibt mir nichts anderes übrig, als meine lokalen Postfächer regelmäßig auf Malware zu überprüfen. Für diese Aufgabe habe ich ClamAV⁹ als Scanwerkzeug installiert:

sudo apt-get update && sudo apt-get install clamav

Mehrmals am Tag leere ich mit meinem Thunderbird die im Programm hinterlegten POP3-Server. Nachdem alle Downloadprozesse abgeschlossen wurden, schließe ich den E-Mail-Klienten wieder, ohne meine Nachrichten zu sondieren. Stattdessen öffne ich ein Terminal-Fenster, damit ich mit meiner Antivirensoftware die Spreu vom Weizen trennen kann. Um heruntergeladene Störenfriede von meiner Home-Partition zu löschen, wende ich lediglich den folgenden Befehl an:

sudo clamscan -ir --remove /home/pinguin/

Wobei der Benutzername Pinguin natürlich eine Variable ist, die jeder Ubuntu-Anwender individuell anpassen muss.

In der Regel dauert es nur wenige Minuten, ehe die Freeware alle Würmer, Trojaner und Phishingmails beseitigt hat. Dabei nutzt ClamAV für die Malware-Identifizierung eine lokale Virendefinitionsdatei, die der Schädlingsbekämpfer selbstständig aktualisiert.

Einsteigerhilfe aktivieren

Szenario: Als Betreiber eines Dual-Boot-Systems möchte ich mit Ubuntu überprüfen, ob sich auf meiner Windows-Partition irgendwelche Parasiten befinden. Für dieses Unterfangen benötige ich eine grafische Unterstützung, da ich nicht weiß, wie ich eine ausgehängte Festplatte mit der Konsole ansteuere. Generell tue ich mich mit Linux-Pfaden schwer, weshalb mir ein übersichtliches Bedienmenü die gezielte Virensuche erleichtern würde. Dementsprechend bin ich gezwungen, mein Debian-Derivat zusätzlich mit ClamTk auszustatten:

sudo apt-get install clamtk

Diese Drittanbietersoftware liegt in der Universe-Quelle und stellt eine inoffizielle Erweiterung des Kommandozeilenprogramms dar. Trotzdem genießt das Add-on einen guten Ruf, was daran liegt, dass das Werkzeug seit etlichen Jahren¹⁰ ehrenamtlich weiterentwickelt wird.

Sofort nachdem ich das Front-End über die Ubuntu Aktivitäten-Suchleiste gestartet habe, navigiere ich in das Einstellungsmenü. Dort aktiviere ich einmalig alle Parameter, da mein Virenscanner lückenlos nach Schadcode suchen soll. Unmittelbar danach kehre ich zur Hauptansicht zurück, damit ich die erste Schädlingsjagd beginnen kann.

Hierfür klicke ich den Punkt „Einen Ordner überprüfen” an. Direkt im Anschluss öffnet sich ein Fenster in diesem ich über den Reiter „Andere Orte” meine Windows-Festplatte anwähle, wodurch der Datenträger eingehängt wird. Gleich darauf habe ich die Möglichkeit, meinen Spürhund auf die linuxfremden Verzeichnisse loszulassen.

Durch meine manuelle Konfiguration findet das grafische Antivirenprogramm auch potenziell unerwünschte Anwendungen. Dabei handelt es sich um relativ harmlose Spyware, die oftmals in kostenlosen Windows-Tools versteckt ist. Über diese Schnittstellen versuchen manche Entwicklerstudios, das Verhalten ihrer Produktnutzer auszulesen. Normalerweise lassen sich die kleinen Spione problemlos mit ClamTk löschen, ohne dass dabei die dazugehörigen Applikationen beschädigt werden.

Ist weiterer Schutz nötig?

In jedem Ubuntu-Forum gibt es Mitglieder, die vor Rootkits warnen. Zumeist kennen diese sicherheitsbewussten Menschen einen Schwippschwager, auf dessen Linux-System ein derartiger Baukasten versteckt war. Die selbst ernannten Experten raten dann dazu, den Rechner regelmäßig mit rkhunter¹¹ zu überprüfen. Allerdings ist dieses konsolenbasierte Werkzeug nicht für gewöhnliche Desktop-Benutzer geeignet.

rkhunter warnt vor den „File properties” also Eigenschaften und Rechten. Da du die nicht zeigst, kann man wohl keine Aussage treffen. Warum benutzt du ein Programm, dessen Ausgabe du nicht interpretieren kannst?

redknight: rkhunter zeigt mir diese Warnungen. forum.ubuntuusers.de (05/2020).

Mithilfe von Brute-Force-Attacken versuchen Geheimdienste oder kriminelle Organisationen, diverse Rootkits auf Internetservern zu platzieren. Wenn das Kapern eines Zielgeräts gelingt, dann können die Angreifer unbemerkt Einfluss auf die umliegende Infrastruktur nehmen. Hingegen bei Personal Computern müssen die Einbruchinstrumente James-Bond-mäßig lokal installiert werden. Wer also nicht gerade ein Milliardär oder Staatsfeind ist, der kann seinen Fokus auf primitive Wald-und-Wiesenviren richten, die sich alle mit ClamAV bekämpfen lassen.

Verwandte Themen:

Ubuntu: Systemfestplatte aufräumen - so geht’s
Der BND schaut zu: Laptop-Webcam dauerhaft deaktivieren

¹Hoffmann, Christoph & Hermann Apfelböck: Portable virtuelle Linux-Systeme. In: Linux Welt Nr. 5 (2019). S. 44.
²mex. das marktmagazin vom 11.03.2020.
³Stocker, Anita: Die besten Türsteher. In: test Nr. 3 (2018). S. 25.
⁴Canonical Ltd.: Update Notifications. wiki.ubuntu.com (05/2020).
⁵Eikenberg, Ronald: Schutz vor Schädlingen. In: c’t Security Nr. 1 (2018). S. 25.
⁶filippg: Kann ein ZIP-Archiv selbst ein Virus sein? administrator.de (05/2020).
⁷Wolski, David: Braucht Linux einen Virenscanner? In: Linux Welt Nr. 3 (2020). S. 25.
⁸Rohde, Fiona: Loverboy: Das sollte jeder über die gefährliche Masche wissen. gofeminin.de (05/2020).
⁹Lamprecht, Stephan: Viren finden und beseitigen. In: Linux Welt Nr. 6 (2019). S. 40.
¹⁰M., Dave: ClamTk. gitlab.com (05/2020).
¹¹Horne, John: Rootkit Hunter. sourceforge.net (05/2020).

Ubuntu: Laptop-Kamera deaktivieren - Webcamtreiber abschalten

Am 28. April 2002¹ verlor Deutschland seine digitale Souveränität. Denn seit diesem Tag darf der US-amerikanische Auslandsgeheimdienst NSA² die elektronische Kommunikation von jedem Bundesbürger überwachen. Das ist besonders tragisch, da die transatlantische Sicherheitsbehörde nicht nur Verkehrsdaten, sondern auch heimlich aufgenommene Audio- und Videodateien sammelt. Dabei verfährt die angelsächsische Spionageagentur nach dem Motto: Zuhören, zuschauen, abwarten - weshalb alle erbeuteten Informationen für immer im Utah Data Center gespeichert bleiben.

Das für 1,7 Milliarden Dollar neu gebaute Utah Data Center der NSA [...] beherbergt gigantische Supercomputer, mit denen die gesamte elektronische Kommunikation der Welt in den nächsten hundert Jahren überwacht und gespeichert werden kann.

Aust, Stefan & Thomas Ammann: Digitale Diktatur. Totalüberwachung, Datenmissbrauch, Cyberkrieg. Berlin: Ullstein Buchverlage GmbH 2014.

Im Dezember 2018 mussten die Vertragspartner der UKUSA-Vereinbarung bereits 7.674.575.000 Erdenbürger³ im Auge behalten. Die Beobachtung einer solchen Masse ist möglich, da die IT-Konzerne⁴ im Silicon Valley eng mit der NSA zusammenarbeiten.

So haben Microsoft und Co. diverse Hintertüren in ihre Produkte eingebaut, damit eine nachrichtendienstliche KI die aktiven Skype-, Google- oder Facebook-Chats⁵ in Echtzeit nach Schlüsselwörtern durchsuchen kann.

Sollte die Überwachungssoftware Alarm schlagen, dann installieren diensthabende Online-Agenten ein Rootkit auf dem Rechner des mutmaßlichen Dissidenten. Dabei nutzen die staatlichen Schnüffler vorsätzlich eingebaute Fehler in Instant-Messaging-Protokollen aus, um das Schadprogramm auf das Zielsystem zu transferieren.

Sie können Dateien verändern, Screenshots anfertigen und weiterleiten, die Webcam oder das Mikrofon einschalten, Kommunikation und Passwörter mitschneiden.

Eckert, Svea: Überwacht und ausgespäht. PRISM, NSA, Facebook & Co. Köln: Lingen Verlag 2014.

Hingegen für gewöhnliche Hacker ist die Übernahme eines Computers ein äußerst schwieriges Unterfangen. Um von außen einen Zugang zu erhalten, müssen Cyberkriminelle eine Fernwartungssoftware bei ihrer Zielperson unterbringen. Das kann jedoch nur gelingen, wenn das potenzielle Opfer eine manipulierte Webseite⁶ besucht oder einen infizierten E-Mail-Anhang öffnet.

Hacker nutzen gerne sogenannte RATs - die Abkürzung steht für Remote Access Trojan -, um die Kontrolle über Ihre Kamera zu erlangen. Der RAT funktioniert wie ein legitimes Remote-Tool, das beispielsweise bei der Fernwartung zum Einsatz kommt.

Schartner, Götz: Vorsicht, Freund liest mit! Wie wir alle seit Jahren ausspioniert werden und wie wir uns wehren können. Kulmbach: Plassen Verlag 2014.

Sogenannte Black-Hats dringen zumeist aus monetären Gründen in private Systeme ein. Sofort nach dem Einbruch überprüfen die Angreifer, ob der gekaperte Rechner über eine Webcam verfügt. Ist das der Fall, dann versuchen die Online-Voyeure, diskreditierendes Videomaterial zu erstellen. Der ausgespähte Benutzer erfährt von seinem unsichtbaren Publikum erst, wenn er mit karriereschädigenden Aufnahmen erpresst wird.

Um eine Veröffentlichung des Videomaterials zu vermeiden, werden die Betroffenen vom Absender aufgefordert, 800$ an eine angegebene Bitcoin-Adresse zu transferieren.

Wannenmacher, Tom: Erpressung: Webcam gehackt und beim Pornogucken gefilmt? mimikama.at (06/2019).

Angesichts der Gefahren sollte eine Kamera nur dann am PC angeschlossen sein, wenn diese für einen Videochat benötigt wird. Das regelmäßige An- und Abstecken ist jedoch nicht immer möglich, da Webcams in mobilen Computern fest verbaut sind. Aus diesem Grund schützen viele Laptop-Benutzer ihre Intimsphäre, indem sie einen Sticker⁷ über die Bildschirmlinse kleben.

Hingegen aufgeklärte Ubuntu-Anwender deaktivieren das Kernel-Modul uvcvideo, um das integrierte Aufnahmegerät dauerhaft abzuschalten. Denn durch diese radikale Maßnahme erhält ein Hacker bei einem Angriff die folgende Fehlermeldung:

webcam_list: Operation failed: A device attached to the system is not functioning.

Mössner, Cedric: Hacken mit Metasploit. youtube.com (06/2019).

Wer seine integrierte Webcam softwareseitig kaltstellt, der schützt nicht nur seine Privatsphäre, sondern tut zudem etwas Gutes für seinen Notebook-Akku. Schließlich ziehen Hardwarekomponenten auch dann Strom, wenn sie sich im Standby-Modus befinden.

Alle Anschlüsse, Module oder auch die Webcam brauchen Strom - auch wenn sie gar nicht benutzt werden.

Komes, Antonio: So läuft Ihr Notebook-Akku länger. In: CHIP Nr. 7 (2019). S. 60.

Es spricht also vieles dafür, den voreingestellten Betriebszustand der Laptop-Kamera zu ändern. Freuen Sie sich deshalb auf die folgende Anleitung, denn darin erfahren Sie, wie Sie die kleine Spionagelinse ein für alle Mal ausknipsen können.

Die Webcam deaktivieren

Szenario: Wegen meiner demokratiefeindlichen Einstellung werde ich von den Vollzugsorganen der Bundesrepublik Deutschland beobachtet. Durch die dauerhafte Überwachung meiner Person versucht die Staatsanwaltschaft Potsdam, an diskreditierendes Beweismaterial zu kommen, da sie meinen Führerschein einziehen und meinen Anspruch auf Arbeitslosengeld II widerrufen möchte. Des Weiteren muss ich mich vor Doxing-Angriffen⁸ schützen. Mein soziales Umfeld darf nämlich nicht wissen, dass ich der Travestieszene angehöre, weshalb ich eine lukrative Zielscheibe für Cyberkriminelle bin. Um es meinen Verfolgern so schwer wie möglich zu machen, tausche ich mein Notebook alle vier Wochen aus. Außerdem deaktiviere ich immer die integrierte Webcam, gleich nachdem ich Ubuntu auf meinem neuen Klapprechner installiert habe. Dazu öffne ich als Erstes ein Terminal-Fenster und gebe im Anschluss daran das folgende Kommando ein:

sudo nano /etc/modprobe.d/blacklist.conf

Als Nächstes ergänze ich die geöffnete Konfigurationsdatei, indem ich den Kamerablockbefehl zusammen mit einer Kommentierung eintrage:

# Disable Notebook-Webcam
blacklist uvcvideo

Unmittelbar danach speichere ich meine Eingaben. Hierfür drücke ich zunächst einmal die Tastenkombination Strg + O. Gleich darauf betätige ich den Zeilenschalter, um den Änderungsprozess zu aktivieren.

Zu guter Letzt verlasse ich die Nano-Ansicht mit Strg + X, da ich meinen Computer abschließend neu starten muss:

sudo reboot

Hinweis: Ab sofort darf der Treiber für die integrierte Webcam nicht mehr geladen werden. Dadurch ist es so, als wäre keine Kamera in meinem Laptop verbaut.

Lauschangriffe verhindern

Ein weiteres Sicherheitsrisiko stellt das interne Mikrofon dar, das sich zumeist direkt neben der Notebook-Kamera befindet. Der kleine Schallwandler ist mit keiner Signalleuchte verbunden, weshalb sich nicht erkennen lässt, wann das Aufnahmegerät aktiv ist. Ubuntu-Benutzer können Lauschangriffe boykottieren, indem sie ihre Soundkarte über die Konfigurationsdatei blacklist.conf abschalten.

Zum Anzeigen des Befehls auf den Pfeil klicken!

# Disable Audio-Interface
blacklist snd_hda_intel

Hinweis: Durch diese Maßnahme wird das gesamte Audio-Interface außer Gefecht gesetzt, weshalb die Tonausgabe nach der Mikrofondeaktivierung nicht mehr funktioniert.

In diesem Fall müssen Sie also abwägen: Entweder Ton oder perfekte Privatsphäre. Bei Bedarf könnten Sie immer noch ein USB-Headset (auch mit integriertem Mikrofon) anschließen.

Langner, Christoph: Stummschalten. Privatsphäre wahren: Kleine Tricks mit großer Wirkung. In: LinuxUser Nr. 8 (2018). S. 24.

Verwandte Themen:

Strahlung reduzieren - interne WLAN-Karte deaktivieren
Festplatten mit VeraCrypt verschlüsseln - Datensicherheit erhöhen

¹Fennen, Nicolas: Überwachung: Abkommen zwischen BND und NSA wurde 2002 von Frank-Walter Steinmeier abgesegnet. netzpolitik.org (06/2019).
²Becker, Rainald & Christian H. Schulz: Schattenwelt BND. ARTE-Doku. youtube.com (06/2019).
³Kaiser, Mirko: Zahl des Monats. In: ÖKO-TEST Nr. 2 (2019). S. 101.
⁴Schaar, Peter: Überwachung total. Wie wir in Zukunft unsere Daten schützen. Berlin: Aufbau Verlag 2014.
⁵Höfer, Dirk: Im Dienst der NSA. In: Die Überwacher. Prism, Google, Whistleblower. Berlin: taz Verlag 2015 (= Edition Le Monde diplomatique Nr. 16). S. 12 - 13.
⁶Tepel, Lars: Webcam gehackt - gibt es effektiven Schutz? youtube.com (06/2019).
⁷Kolokythas, Panagiotis: FBI-Chef empfiehlt: Ja, klebt eure Webcams ab! pcwelt.de (06/2019).
⁸Park, Enno: Doxing: Das steckt wirklich hinter dem „Hackerangriff“ auf die Bundesregierung. t3n.de (06/2019).

Ubuntu: VeraCrypt via PPA installieren - Partition verschlüsseln

Private Dokumente wie Lebensläufe, Fotos, Zeugnisse, Rechnungen und Arztbescheide sollten niemals im Internet aufbewahrt werden. Denn sowohl Cloud-Storage-Provider als auch Freemail-Anbieter werten die persönlichen Daten ihrer Benutzer aus, um maßgeschneiderte Werbeprofile erstellen zu können. Des Weiteren haben US-Behörden direkten Zugriff auf die Kundenarchive von amerikanischen Webdienstleistern, weshalb Amazon, AOL, Dropbox, Google, Microsoft und Co. dafür sorgen, dass die Geheimdienstdatenbanken der NATO-Partner aktuell bleiben.

Der CLOUD Act verpflichtet amerikanische Unternehmen dazu, auf ausländischen Servern gespeicherte Kundendaten herauszurücken, wenn US-Behörden dies verlangen. Ganz ohne richterlichen Beschluss. Und ohne die Kunden darüber informieren zu müssen.

Komes, Antonio: Die EU und Amerika im Daten-Clinch. In: Chip Nr. 1 (2019). S. 34.

Hingegen die chinesische Volksbefreiungsarmee¹ versucht etwas subtiler an westliche Benutzerdaten zu kommen, indem sie modifizierte Mainboardchips in die Serverzentren der Cloud-Anbieter einschleust.

Laut einem Bloomberg-Bericht sind im Data-Center-Equipment von Amazon und Apple chinesische Spionage-Chips verbaut.

Kaufmann, Benedikt: Spionage-Chips bei Apple und Amazon! Riesenskandal oder Ente? deraktionaer.de (01/2019).

Es scheint so, als seien persönliche Daten heiße Ware und das Öl der Postmoderne. Aus diesem Grund ist es sinnvoll, sensible Dateien ausschließlich auf lokalen Partitionen zu speichern. Doch auch diese Maßnahme schützt nicht vor Missbrauch. Schließlich können selbst Linux-Rechner mit einem Erpressungstrojaner oder mit einem UEFI-Rootkit infiziert werden.

UEFI-Rootkits seien extrem gefährliche und mächtige Werkzeuge für Cyberangriffe. Sie garantieren den Zugriff auf den gesamten Computer und können mit Zusatz-Malware beispielsweise auch den Datenverkehr mitschneiden oder umlenken.

Richey, Daniel: Erstes erfolgreiches UEFI-Rootkit. it-administrator.de (01/2019).

In einem solchen Worst-Case-Szenario sind alle privaten Dokumente eingefroren, gelöscht oder auf dem Computer des Angreifers.

Wer Datenentführungen effizient verhindern möchte, der sollte seinen digitalen Besitz auf einer Partition ablegen, die mit VeraCrypt verschlüsselt wurde. Diese Linux-Applikation sorgt nämlich dafür, dass abgesicherte Speicherbereiche für Hacker und Schadsoftware weder sichtbar noch zugänglich sind.

Für die Festplattenverschlüsselung stellt VeraCrypt gängige Algorithmen wie AES, Camellia oder Serpent zur Verfügung, die auch miteinander kombiniert werden können. Des Weiteren ist es mit der Open-Source-Software möglich, einen Datenträger mit einem Passwort und mit einem sogenannten Keyfile abzuschließen.

Auch das Festlegen mehrerer Keyfiles ist möglich. Der Typ der Datei spielt dabei keine Rolle - Bild- und Tondokumente eignen sich genauso wie Textfiles oder Binaries.

Leichtenstern, Thomas: Panzerschrank. Dateien und Partitionen verschlüsseln mit VeraCrypt. In: LinuxUser Nr. 8 (2018). S. 42.

Die erste VeraCrypt-Version erschien am 22. Juni 2013². Seitdem wird das Verschlüsselungsprogramm in Paris von einem Kryptologen³ namens Mounir Idrassi weiterentwickelt. Die Sicherheitssoftware ist vor allem deshalb sehr beliebt, da der französische Applikationsurheber bei jeder Gelegenheit beteuert, dass in seinem Produkt kein geheimes Hintertürchen versteckt ist.

[...] the fact that it is open, there is no backdoor [...].

Idrassi, Mounir: FLOSS Weekly 340: VeraCrypt. youtube.com (01/2019).

Das bestätigte auch das Forschungsinstitut Quarkslab, das VeraCrypt im Jahre 2016 unter die Lupe genommen hat. Bei dem Intensivcheck kamen zwar einige andere Sicherheitsmängel ans Licht, die mit Version 1.19 jedoch alle behoben wurden.

Im Jahr 2016 unterzog das Unternehmen Quarkslab in Zusammenarbeit mit der Initiative Ostif die Software einem umfangreichen Security-Audit. Er förderte diverse Sicherheitslöcher zutage, die das Projekt umgehend behob.

Leichtenstern, Thomas: Verriegelt. Dateien und Partitionen verschlüsseln mit VeraCrypt. In: Ubuntu Spezial Nr. 1 (2019). S. 86.

Leider ist die Bedienung der Verschlüsselungssoftware etwas umständlich, weshalb ein VeraCrypt-Volumen eher ein Speicherort für statische Daten ist, die nicht permanent präsent sein müssen.

Falls Sie also Beweismaterial, ein großes Fotoarchiv oder Bewerbungsmappen verstecken und absichern möchten, dann kann ich Ihnen VeraCrypt wärmstens empfehlen.

In der folgenden Anleitung erfahren Sie zunächst, wie das kostenlose Programm unter Ubuntu installiert wird. Im Anschluss daran führe ich Sie durch die Verschlüsselungsprozedur. Dabei sehen Sie gleich, was heutzutage alles nötig ist, um sein digitales Eigentum langfristig zu schützen.

VeraCrypt via PPA installieren

Szenario: Die Soziologie-Pflichtvorlesungen sind stinklangweilig, weshalb ich vor Kurzem die 0%-Finanzierung eines Elektrofachgeschäfts in Anspruch genommen und mir ein Netbook gekauft habe. Mit dem unscheinbaren Gerät kann ich meinen virtuellen FarmVille-Bauernhof pflegen, währenddessen die Professoren ihre PowerPoint-Folien herunterbeten. Doch leider klauen meine Kommilitonen an der Freien Universität Berlin wie die Raben, weswegen ich davon ausgehe, dass mein Klapprechner nicht lange in meinem Besitz bleiben wird. Sollte mir mein mobiler Computer tatsächlich abhandenkommen, dann will ich zumindest verhindern, dass meine Seminararbeiten, Welteroberungspläne und Musik-Dateien frei zugänglich sind. Aus diesem Grund erstellte ich bereits bei der Ubuntu-Installation eine kleine Partition, die ich nun mit VeraCrypt verschlüsseln möchte.

Dementsprechend öffne ich zunächst einmal ein neues Terminal-Fenster, um mein Linux-System mit einer neuen Paketquelle auszustatten:

sudo add-apt-repository ppa:unit193/encryption

Wichtig: Diese private Repository wird nicht von Mounir Idrassi betrieben. Der PPA-Besitzer ist eine amerikanische Gruppe, die sich Unit193 nennt. Dabei handelt es sich um ein Team, das an der Xubuntu-Entwicklung beteiligt ist. Nebenbei sorgen die freiwilligen IT-Helfer seit Jahren dafür, dass sich VeraCrypt komfortabel über die Konsole installieren und aktualisieren lässt.

Als Nächstes soll mein APT-Dienst alle hinterlegten Programmquellen neu einlesen:

sudo apt-get update

Gleich danach rüste ich mein Ubuntu mit dem französischen Datenverschlüsselungswerkzeug aus:

sudo apt-get install veracrypt

Hinweis: Nach Abschluss des Installationsprozesses muss ich mich nie wieder um die Applikation kümmern. Zukünftige Softwareverbesserungen kann ich bequem zusammen mit den anderen Systemupdates über die Aktualisierungsverwaltung einspielen.

Eine ganze Partition abriegeln

Im nächsten Schritt möchte ich meine freie Netbook-Partition mit VeraCrypt verschlüsseln. Dementsprechend öffne ich die Freeware über die Ubuntu Aktivitäten-Suchleiste und klicke gleich danach auf die Schaltfläche „Create Volume”.

Screenshot of VeraCrypt 1.23 main menu. System: Kubuntu 18.04.1 LTS. Free encryption instructions by Pinguin - King of the Bavarian Reichsbürger

Daraufhin erscheint ein neues Fenster, in diesem ich festlegen muss, ob ich einen definierten Bereich oder eine ganze Partition verschlüsseln möchte. Hier wähle ich den zweiten Punkt aus und bestätige meine Eingabe mit „Next”.

How to encrypt an entire Partition with VeraCrypt? Free Picture Tutorial for Beginners

Im Anschluss daran markiere ich den Eintrag „Standard VeraCrypt volume”. Die Versteckfunktion ist für mich eher uninteressant, da sie vor allem für Benutzer aus Großbritannien hinzugefügt wurde. Im Vereinigten Königreich können Gerichte einen Beschuldigten nämlich dazu zwingen, sein Passwort herauszugeben.

In Großbritannien ist ein Student zu einer sechsmonatigen Haftstrafe verurteilt worden. [...] In England ist es seit mehreren Jahren möglich, Beschuldigte zur Herausgabe von Passwörtern zu zwingen.

Vetter, Udo: Kein Passwort = Gefängnis. lawblog.de (01/2019).

In einem solchen Fall hilft ein „Hidden VeraCrypt volume” ungemein, da eine derartige Partition in einem abgeschlossenen Alibicontainer versteckt ist. Durch dieses smarte System hat ein Justizopfer die Möglichkeit, einen verschlüsselten Festplatteninhalt bereitwillig offenzulegen, ohne dabei seine geheimen Daten preiszugeben.

Dazu werden zwei Container erstellt, wobei der zweite innerhalb des ersten liegt. Beide Container verwenden unterschiedliche Passphrasen.

Gierow, Hauke: VeraCrypt und TrueCrypt: Hidden-Volumes sind nicht versteckt. golem.de (01/2019).

Als BRD-Bürger aus dem Freistaat Bayern habe ich jedoch stets das Recht zu schweigen, weshalb ich mir diesen Trick sparen kann. Des Weiteren sind auch Standard-Volumen schwer zu finden, da der Ubuntu-Dateimanager diese Datenträger im ausgehängten Zustand nicht anzeigt.

Ubuntu-Screenshot: Volume Type - "Standard VeraCrypt volume"

Als Nächstes klicke ich im Menüfenster „Volume Location” auf die Schaltfläche „Select Device”, sodass ich daraufhin die Partition heraussuchen kann, die ich mit VeraCrypt verschlüsseln möchte.

Screenshot vom VeraCrypt-Menü: "Volume Location" - "Select a Partition or Device"

Gleich danach muss ich festlegen, wie genau der ausgewählte Speicherraum abgesichert werden soll. Aufgrund der Tatsache, dass es vor allem westliche Institutionen auf meine Daten abgesehen haben, entscheide ich mich für den russischen Kuznyechik-Verschlüsselungsalgorithmus.

Hingegen den sogenannten Header der VeraCrypt-Partition, in dem sich unter anderem meine Passwortphrase befindet, codiere ich mit der kryptologischen Hashfunktion SHA-512.

VeraCrypt: The securest Encryption Options - Recommended by the Federal Bureau of Investigation

Im nächsten Menü muss ich zweimal das Passwort eingeben, mit dem sich meine VeraCrypt-Partition wieder entschlüsseln lässt. Außerdem könnte ich zusätzlich ein Keyfile erstellen. Auf diese erweiterte Sicherheitsfunktion verzichte ich jedoch. Denn sollte ich die Schlüsseldatei verlieren, dann kann ich nie wieder auf das abgeriegelte Laufwerk zugreifen.

Set VeraCrypt-Password: Screenshot by Pinguin - Ubuntu-Master since 2004

Als jemand der ausschließlich mit Linux-Distributionen arbeitet, wähle ich im darauffolgenden Fenster das Dateisystem Ext4 aus. Würde ich ein Multi-Boot-System betreiben, dann müsste ich mich für NTFS entscheiden, da ich sonst nicht mit Windows oder macOS auf die verschlüsselte Partition zugreifen könnte.

VeraCrypt Format Options: Which file system should I use? Recommendation for Ubuntu-Users

Um die Prozedur abzuschließen, bewege ich meine Maus im letzten Einstellungsmenü so lange, bis der erste Balken komplett blau gefärbt ist.

Wenn du alles nach deinen Wünschen eingestellt hast, wirst du zuletzt noch aufgefordert, deine Maus für kurze Zeit möglichst zufällig zu bewegen. Diese Bewegungen nutzt das Programm zur Generierung von Zufallszahlen, die es für eine sichere Verschlüsselung benötigt.

Lehmann, Alexander: Daten Verschlüsseln einfach erklärt. youtube.com (01/2019).

Nach der Zahlengenerierung klicke ich auf die Schaltfläche „Format” und warte, bis mein VeraCrypt-Datenträger erstellt wurde.

Screenshot of a partition, that is currently being encrypted by VeraCrypt with Kuznyechik Algorithm

Hinweis: Die Verschlüsselung einer vier Terabyte großen Partition nimmt circa sechs Stunden in Anspruch.

Mit VeraCrypt-Partitionen arbeiten

Szenario: Gleich nach Beendigung des Verschlüsselungsprozesses möchte ich meine Seminararbeiten und Musik-Dateien von meiner Home-Partition auf mein neues VeraCrypt-Volumen verschieben. Bevor diese Aktion möglich ist, muss ich den abgeriegelten Datenträger aber erst einmal einhängen. Also öffne ich die französische Sicherheitssoftware über die Ubuntu Aktivitäten-Suchleiste. Danach markiere ich das dritte Festplattensymbol, das sich im Reiter „Slot” befindet.

Easy Picture Tutorial: How to decrypt VeraCrypt-Partitions? Free Lesson published by Pinguin - Canonical Fan Boy

Als Nächstes klicke ich auf die Schaltfläche „Select Device”. Direkt im Anschluss erscheint ein neues Fenster, in dem mir alle vorhandenen Systempartitionen angezeigt werden. Hier suche ich mein VeraCrypt-Volumen heraus und wähle dann im Hauptmenü den Eintrag „Mount” an, sodass ich daraufhin mein Entschlüsselungspasswort eingeben kann.

Screenshot of VeraCrypt: Enter password for "/dev/sdc2"

Sofort nachdem ich die Partition geöffnet habe, taucht in meinem Ubuntu-Dateimanager ein neues Gerät auf, das den Namen „volume” trägt. Dabei handelt es sich um meinen verschlüsselten Datenträger, der nun dazu bereit ist, meine privaten Dokumente aufzunehmen.

Die Vorteile von VeraCrypt im Überblick

Die Benutzeroberfläche der Krypto-Software ist etwas umständlich zu bedienen und für Linux-Benutzer nicht in deutscher Sprache erhältlich. Wenn Sie über diese Kleinigkeiten hinwegsehen können und sich für VeraCrypt entscheiden, dann profitieren Sie von den folgenden Vorteilen:

Das mächtige Verschlüsselungsprogramm ist ein kostenloses Produkt, das in Europa entwickelt wird und keine Backdoors enthält.
Die breit gefächerte Algorithmensammlung macht es möglich, ein Speichervolumen nach eigenen Präferenzen abzuriegeln. Außerdem lassen sich mit der Versteck- und Keyfile-Funktion neugierige Exekutivorgane effektiv austricksen.
Eine renommierte PPA hält die Applikation stets aktuell und sorgt dafür, dass die VeraCrypt-Installation unter Ubuntu ein Kinderspiel ist.

In finsteren Zeiten wie diesen gibt es keinen vernünftigen Grund, seine persönlichen Daten offen auf einer lokalen Partition liegen zu lassen. Nutzen Sie also meine Anleitung als Muster, investieren Sie einige Stunden und bringen Sie Ihre sensiblen Dokumente hinter Schloss und Riegel. Nehmen Sie gerne alle Sicherheitsmechanismen in Anspruch, die VeraCrypt Ihnen bietet. Und sollte Sie deswegen ein Homo smartphonensis als Aluhutträger oder Verschwörungstheoretiker betiteln, dann fühlen Sie sich geschmeichelt.

Verwandte Themen:

Die sicherste Firefox-Version installieren - so geht’s
LAN-Verbindung schützen - SMBv2-Protokoll verwenden

¹Windeck, Christof: Bit-Rauschen. PC-Revolutionen, Kursschwankungen und Spionage-Chips. In: c’t Nr. 22 (2018). S. 18.
²IDRIX: Why not VeraCrypt. forum.truecrypt.ch (01/2019).
³Schirrmacher, Dennis: c’t uplink 12.5 - HoloLens, 360-Grad-Kameras, VR-Inhalte selbst gemacht, VeraCrypt. youtube.com (01/2019).

Das Ubuntu Handbuch | Anleitungen für Linux-Freunde

Tagesarchive: Sicherheit

Ubuntu: Viren, Würmer und Trojaner aufspüren - Systemsicherheit erhöhen

Schnelle Virensuche

Einsteigerhilfe aktivieren

Ist weiterer Schutz nötig?

Ubuntu: Laptop-Kamera deaktivieren - Webcamtreiber abschalten

Die Webcam deaktivieren

Lauschangriffe verhindern

Ubuntu: VeraCrypt via PPA installieren - Partition verschlüsseln

VeraCrypt via PPA installieren

Eine ganze Partition abriegeln

Mit VeraCrypt-Partitionen arbeiten

Die Vorteile von VeraCrypt im Überblick