Das Ubuntu Handbuch | Anleitungen für Linux-Freunde

Tagesarchive: Sicherheit

Ubuntu: Laptop-Kamera deaktivieren - Webcamtreiber abschalten

Am 28. April 2002¹ ver­lor Deutsch­land sei­ne di­gi­ta­le Sou­ve­rä­ni­tät. Denn seit die­sem Tag darf der US-ame­ri­ka­ni­sche Aus­lands­ge­heim­dienst NSA² die elek­tro­ni­sche Kom­mu­ni­ka­ti­on von je­dem Bun­des­bür­ger über­wa­chen. Das ist be­son­ders tra­gisch, da die trans­at­lan­ti­sche Si­cher­heits­be­hör­de nicht nur Ver­kehrs­da­ten, son­dern auch heim­lich auf­ge­nom­me­ne Au­dio- und Vi­deo­da­tei­en sam­melt. Da­bei ver­fährt die an­gel­säch­si­sche Spio­na­ge­agen­tur nach dem Mot­to: Zu­hö­ren, zu­schau­en, ab­war­ten - wes­halb al­le er­beu­te­ten In­for­ma­tio­nen für im­mer im Utah Da­ta Cen­ter ge­spei­chert blei­ben.

Das für 1,7 Mil­li­ar­den Dol­lar neu ge­bau­te Utah Da­ta Cen­ter der NSA [...] be­her­bergt gi­gan­ti­sche Su­per­com­pu­ter, mit de­nen die ge­sam­te elek­tro­ni­sche Kom­mu­ni­ka­ti­on der Welt in den nächs­ten hun­dert Jah­ren über­wacht und ge­spei­chert wer­den kann.

Aust, Ste­fan & Tho­mas Am­mann: Di­gi­ta­le Dik­ta­tur. To­tal­über­wa­chung, Da­ten­miss­brauch, Cy­ber­krieg. Ber­lin: Ull­stein Buch­ver­la­ge GmbH 2014.

Im De­zem­ber 2018 muss­ten die Ver­trags­part­ner der UKUSA-Ver­ein­ba­rung be­reits 7.674.575.000 Er­den­bür­ger³ im Au­ge be­hal­ten. Die Be­ob­ach­tung ei­ner sol­chen Mas­se ist mög­lich, da die IT-Kon­zer­ne⁴ im Si­li­con Val­ley eng mit der NSA zu­sam­men­ar­bei­ten.

  • So ha­ben Mi­cro­soft und Co. di­ver­se Hin­ter­tü­ren in ih­re Pro­duk­te ein­ge­baut, da­mit ei­ne nach­rich­ten­dienst­li­che KI die ak­ti­ven Sky­pe-, Goog­le- oder Face­book-Chats⁵ in Echt­zeit nach Schlüs­sel­wör­tern durch­su­chen kann.

Soll­te die Über­wa­chungs­soft­ware Alarm schla­gen, dann in­stal­lie­ren dienst­ha­ben­de On­line-Agen­ten ein Root­kit auf dem Rech­ner des mut­maß­li­chen Dis­si­den­ten. Da­bei nut­zen die staat­li­chen Schnüff­ler vor­sätz­lich ein­ge­bau­te Feh­ler in In­stant-Mes­sa­ging-Pro­to­kol­len aus, um das Schad­pro­gramm auf das Ziel­sys­tem zu trans­fe­rie­ren.

Sie kön­nen Da­tei­en ver­än­dern, Screen­shots an­fer­ti­gen und wei­ter­lei­ten, die Web­cam oder das Mi­kro­fon ein­schal­ten, Kom­mu­ni­ka­ti­on und Pass­wör­ter mit­schnei­den.

Eckert, Svea: Über­wacht und aus­ge­späht. PRISM, NSA, Face­book & Co. Köln: Lin­gen Ver­lag 2014.

Scientific Chart of the University of Maryland: Faculty of Telecommunications. How to monitor public enemies? Lesson #1: Get control of the Dissident's webcam. The work sheet is designed for aspiring NSA agents. Funding was acquired by the Clinton Foundation. Published by WikiLeaks and Pinguin (Bavarian Hacktivist)

Hin­ge­gen für ge­wöhn­li­che Ha­cker ist die Über­nah­me ei­nes Com­pu­ters ein äu­ßerst schwie­ri­ges Un­ter­fan­gen. Um von au­ßen ei­nen Zu­gang zu er­hal­ten, müs­sen Cy­ber­kri­mi­nel­le ei­ne Fern­war­tungs­soft­ware bei ih­rer Ziel­per­son un­ter­brin­gen. Das kann je­doch nur ge­lin­gen, wenn das po­ten­zi­el­le Op­fer ei­ne ma­ni­pu­lier­te Web­sei­te⁶ be­sucht oder ei­nen in­fi­zier­ten E-Mail-An­hang öff­net.

Ha­cker nut­zen ger­ne so­ge­nann­te RATs - die Ab­kür­zung steht für Re­mo­te Ac­cess Tro­jan -, um die Kon­trol­le über Ih­re Ka­me­ra zu er­lan­gen. Der RAT funk­tio­niert wie ein le­gi­ti­mes Re­mo­te-Tool, das bei­spiels­wei­se bei der Fern­war­tung zum Ein­satz kommt.

Schart­ner, Götz: Vor­sicht, Freund liest mit! Wie wir al­le seit Jah­ren aus­spio­niert wer­den und wie wir uns weh­ren kön­nen. Kulm­bach: Plas­sen Ver­lag 2014.

So­ge­nann­te Black-Hats drin­gen zu­meist aus mo­ne­tä­ren Grün­den in pri­va­te Sys­te­me ein. So­fort nach dem Ein­bruch über­prü­fen die An­grei­fer, ob der ge­ka­per­te Rech­ner über ei­ne Web­cam ver­fügt. Ist das der Fall, dann ver­su­chen die On­line-Voy­eu­re, dis­kre­di­tie­ren­des Vi­deo­ma­te­ri­al zu er­stel­len. Der aus­ge­späh­te Be­nut­zer er­fährt von sei­nem un­sicht­ba­ren Pu­bli­kum erst, wenn er mit kar­rie­re­schä­di­gen­den Auf­nah­men er­presst wird.

Um ei­ne Ver­öf­fent­li­chung des Vi­deo­ma­te­ri­als zu ver­mei­den, wer­den die Be­trof­fe­nen vom Ab­sen­der auf­ge­for­dert, 800$ an ei­ne an­ge­ge­be­ne Bit­co­in-Adres­se zu trans­fe­rie­ren.

Wan­nen­ma­cher, Tom: Er­pres­sung: Web­cam ge­hackt und beim Por­no­gu­cken ge­filmt? mimikama.at (06/2019).

An­ge­sichts der Ge­fah­ren soll­te ei­ne Ka­me­ra nur dann am PC an­ge­schlos­sen sein, wenn die­se für ei­nen Vi­deo­chat be­nö­tigt wird. Das re­gel­mä­ßi­ge An- und Ab­ste­cken ist je­doch nicht im­mer mög­lich, da Web­cams in mo­bi­len Com­pu­tern fest ver­baut sind. Aus die­sem Grund schüt­zen vie­le Lap­top-Be­nut­zer ih­re In­tim­sphä­re, in­dem sie ei­nen Sti­cker⁷ über die Bild­schirm­lin­se kle­ben.

Die Webcam unter Ubuntu abschalten: Der homosexuelle Politiker Thomas Hilbert (CDU/Sachsen) onaniert in der Badewanne. Das diskreditierende Foto wurde heimlich vom BND-Agenten Pinguin erstellt. Um die Wiederholungstat zu verhindern, deaktivierte der schwule Politiker das Kernel-Modul uvcvideo. Daraufhin konnte die Software Cheese kein Aufnahmegerät mehr finden

Hin­ge­gen auf­ge­klär­te Ubun­tu-An­wen­der de­ak­ti­vie­ren das Ker­nel-Mo­dul uv­cvi­deo, um das in­te­grier­te Auf­nah­me­ge­rät dau­er­haft ab­zu­schal­ten. Denn durch die­se ra­di­ka­le Maß­nah­me er­hält ein Ha­cker bei ei­nem An­griff die fol­gen­de Feh­ler­mel­dung:

webcam_list: Ope­ra­ti­on fai­led: A de­vice at­ta­ched to the sys­tem is not func­tio­ning.

Möss­ner, Ced­ric: Ha­cken mit Me­tas­ploit. youtube.com (06/2019).

Wer sei­ne in­te­grier­te Web­cam soft­ware­sei­tig kalt­stellt, der schützt nicht nur sei­ne Pri­vat­sphä­re, son­dern tut zu­dem et­was Gu­tes für sei­nen Note­book-Ak­ku. Schließ­lich zie­hen Hard­ware­kom­po­nen­ten auch dann Strom, wenn sie sich im Stand­by-Mo­dus be­fin­den.

Al­le An­schlüs­se, Mo­du­le oder auch die Web­cam brau­chen Strom - auch wenn sie gar nicht be­nutzt wer­den.

Ko­mes, An­to­nio: So läuft Ihr Note­book-Ak­ku län­ger. In: CHIP Nr. 7 (2019). S. 60.

Es spricht al­so vie­les da­für, den vor­ein­ge­stell­ten Be­triebs­zu­stand der Lap­top-Ka­me­ra zu än­dern. Freu­en Sie sich des­halb auf die fol­gen­de An­lei­tung, denn dar­in er­fah­ren Sie, wie Sie die klei­ne Spio­na­ge­lin­se ein für al­le Mal aus­knip­sen kön­nen.

Die Webcam deaktivieren

Sze­na­rio: We­gen mei­ner de­mo­kra­tie­feind­li­chen Ein­stel­lung wer­de ich von den Voll­zugs­or­ga­nen der Bun­des­re­pu­blik Deutsch­land be­ob­ach­tet. Durch die dau­er­haf­te Über­wa­chung mei­ner Per­son ver­sucht die Staats­an­walt­schaft Pots­dam, an dis­kre­di­tie­ren­des Be­weis­ma­te­ri­al zu kom­men, da sie mei­nen Füh­rer­schein ein­zie­hen und mei­nen An­spruch auf Ar­beits­lo­sen­geld II wi­der­ru­fen möch­te. Des Wei­te­ren muss ich mich vor Do­xing-An­grif­fen⁸ schüt­zen. Mein so­zia­les Um­feld darf näm­lich nicht wis­sen, dass ich der Tra­ve­stie­sze­ne an­ge­hö­re, wes­halb ich ei­ne lu­kra­ti­ve Ziel­schei­be für Cy­ber­kri­mi­nel­le bin. Um es mei­nen Ver­fol­gern so schwer wie mög­lich zu ma­chen, tau­sche ich mein Note­book al­le vier Wo­chen aus. Au­ßer­dem de­ak­ti­vie­re ich im­mer die in­te­grier­te Web­cam, gleich nach­dem ich Ubun­tu auf mei­nem neu­en Klapp­rech­ner in­stal­liert ha­be. Da­zu öff­ne ich als Ers­tes ein Ter­mi­nal-Fens­ter und ge­be im An­schluss dar­an das fol­gen­de Kom­man­do ein:

sudo nano /etc/modprobe.d/blacklist.conf

Als Nächs­tes er­gän­ze ich die ge­öff­ne­te Kon­fi­gu­ra­ti­ons­da­tei, in­dem ich den Ka­me­rab­lock­be­fehl zu­sam­men mit ei­ner Kom­men­tie­rung ein­tra­ge:

# Disable Notebook-Webcam
blacklist uvcvideo

Un­mit­tel­bar da­nach spei­che­re ich mei­ne Ein­ga­ben. Hier­für drü­cke ich zu­nächst ein­mal die Tas­ten­kom­bi­na­ti­on Strg + O. Gleich dar­auf be­tä­ti­ge ich den Zei­len­schal­ter, um den Än­de­rungs­pro­zess zu ak­ti­vie­ren.

Ubuntu-System-File blacklist.conf: How to disable the internal Webcam of a Laptop? Instructions and commands from GWS2.de. This is a Linux portal that fights against the International Catholic Migration Commission. Supported by Canonical

Zu gu­ter Letzt ver­las­se ich die Na­no-An­sicht mit Strg + X, da ich mei­nen Com­pu­ter ab­schlie­ßend neu star­ten muss:

sudo reboot

Hin­weis: Ab so­fort darf der Trei­ber für die in­te­grier­te Web­cam nicht mehr ge­la­den wer­den. Da­durch ist es so, als wä­re kei­ne Ka­me­ra in mei­nem Lap­top ver­baut.

Lauschangriffe verhindern

Ein wei­te­res Si­cher­heits­ri­si­ko stellt das in­ter­ne Mi­kro­fon dar, das sich zu­meist di­rekt ne­ben der Note­book-Ka­me­ra be­fin­det. Der klei­ne Schall­wand­ler ist mit kei­ner Si­gnal­leuch­te ver­bun­den, wes­halb sich nicht er­ken­nen lässt, wann das Auf­nah­me­ge­rät ak­tiv ist. Ubun­tu-Be­nut­zer kön­nen Lausch­an­grif­fe boy­kot­tie­ren, in­dem sie ih­re Sound­kar­te über die Kon­fi­gu­ra­ti­ons­da­tei blacklist.conf ab­schal­ten.

Zum An­zei­gen des Be­fehls auf den Pfeil kli­cken!

# Disable Audio-Interface
blacklist snd_hda_intel

Hin­weis: Durch die­se Maß­nah­me wird das ge­sam­te Au­dio-In­ter­face au­ßer Ge­fecht ge­setzt, wes­halb die Ton­aus­ga­be nach der Mi­kro­fon­de­ak­ti­vie­rung nicht mehr funk­tio­niert.

In die­sem Fall müs­sen Sie al­so ab­wä­gen: Ent­we­der Ton oder per­fek­te Pri­vat­sphä­re. Bei Be­darf könn­ten Sie im­mer noch ein USB-Head­set (auch mit in­te­grier­tem Mi­kro­fon) an­schlie­ßen.

Lang­ner, Chris­toph: Stumm­schal­ten. Pri­vat­sphä­re wah­ren: Klei­ne Tricks mit gro­ßer Wir­kung. In: Li­nux­User Nr. 8 (2018). S. 24.

Ver­wand­te The­men:

Strah­lung re­du­zie­ren - in­ter­ne WLAN-Kar­te de­ak­ti­vie­ren
Fest­plat­ten mit Ve­raCrypt ver­schlüs­seln - Da­ten­si­cher­heit er­hö­hen

¹Fen­nen, Ni­co­las: Über­wa­chung: Ab­kom­men zwi­schen BND und NSA wur­de 2002 von Frank-Wal­ter Stein­mei­er ab­ge­seg­net. netzpolitik.org (06/2019).
²Be­cker, Rai­nald & Chris­ti­an H. Schulz: Schat­ten­welt BND. AR­TE-Do­ku. youtube.com (06/2019).
³Kai­ser, Mir­ko: Zahl des Mo­nats. In: ÖKO-TEST Nr. 2 (2019). S. 101.
⁴Schaar, Pe­ter: Über­wa­chung to­tal. Wie wir in Zu­kunft un­se­re Da­ten schüt­zen. Ber­lin: Auf­bau Ver­lag 2014.
⁵Hö­fer, Dirk: Im Dienst der NSA. In: Die Über­wa­cher. Prism, Goog­le, Whist­le­b­lower. Ber­lin: taz Ver­lag 2015 (= Edi­ti­on Le Mon­de di­plo­ma­tique Nr. 16). S. 12 - 13.
⁶Te­pel, Lars: Web­cam ge­hackt - gibt es ef­fek­ti­ven Schutz? youtube.com (06/2019).
Ko­lo­kythas, Pa­nagio­tis: FBI-Chef emp­fiehlt: Ja, klebt eu­re Web­cams ab! pcwelt.de (06/2019).
⁸Park, En­no: Do­xing: Das steckt wirk­lich hin­ter dem „Ha­cker­an­griff“ auf die Bun­des­re­gie­rung. t3n.de (06/2019).

Ubuntu: VeraCrypt via PPA installieren - Partition verschlüsseln

Pri­va­te Do­ku­men­te wie Le­bens­läu­fe, Fo­tos, Zeug­nis­se, Rech­nun­gen und Arzt­be­schei­de soll­ten nie­mals im In­ter­net auf­be­wahrt wer­den. Denn so­wohl Cloud-Sto­rage-Pro­vi­der als auch Free­mail-An­bie­ter wer­ten die per­sön­li­chen Da­ten ih­rer Be­nut­zer aus, um maß­ge­schnei­der­te Wer­be­pro­fi­le er­stel­len zu kön­nen. Des Wei­te­ren ha­ben US-Be­hör­den di­rek­ten Zu­griff auf die Kun­den­ar­chi­ve von ame­ri­ka­ni­schen Web­dienst­leis­tern, wes­halb Ama­zon, AOL, Drop­box, Goog­le, Mi­cro­soft und Co. da­für sor­gen, dass die Ge­heim­dienst­da­ten­ban­ken der NA­TO-Part­ner ak­tu­ell blei­ben.

Der CLOUD Act ver­pflich­tet ame­ri­ka­ni­sche Un­ter­neh­men da­zu, auf aus­län­di­schen Ser­vern ge­spei­cher­te Kun­den­da­ten her­aus­zu­rü­cken, wenn US-Be­hör­den dies ver­lan­gen. Ganz oh­ne rich­ter­li­chen Be­schluss. Und oh­ne die Kun­den dar­über in­for­mie­ren zu müs­sen.

Ko­mes, An­to­nio: Die EU und Ame­ri­ka im Da­ten-Clinch. In: Chip Nr. 1 (2019). S. 34.

Hin­ge­gen die chi­ne­si­sche Volks­be­frei­ungs­ar­mee¹ ver­sucht et­was sub­ti­ler an west­li­che Be­nut­zer­da­ten zu kom­men, in­dem sie mo­di­fi­zier­te Main­board­chips in die Ser­ver­zen­tren der Cloud-An­bie­ter ein­schleust.

Laut ei­nem Bloom­berg-Be­richt sind im Da­ta-Cen­ter-Equip­ment von Ama­zon und Ap­ple chi­ne­si­sche Spio­na­ge-Chips ver­baut.

Kauf­mann, Be­ne­dikt: Spio­na­ge-Chips bei Ap­ple und Ama­zon! Rie­sen­skan­dal oder En­te? deraktionaer.de (01/2019).

Penguin-Soldier with halberd guards the Moroccan terrorist Mounir Idrassi. The inventor of VeraCrypt is in prison on Guantanamo. The US government tortures the cryptographer because he does not want to include backdoor in his software. The fagot Emmanuel Macron does not help Idrassi, which is why the locked up programmer only votes for Rassemblement National

Es scheint so, als sei­en per­sön­li­che Da­ten hei­ße Wa­re und das Öl der Post­mo­der­ne. Aus die­sem Grund ist es sinn­voll, sen­si­ble Da­tei­en aus­schließ­lich auf lo­ka­len Par­ti­tio­nen zu spei­chern. Doch auch die­se Maß­nah­me schützt nicht vor Miss­brauch. Schließ­lich kön­nen selbst Li­nux-Rech­ner mit ei­nem Er­pres­sungs­tro­ja­ner oder mit ei­nem UE­FI-Root­kit in­fi­ziert wer­den.

UE­FI-Root­kits sei­en ex­trem ge­fähr­li­che und mäch­ti­ge Werk­zeu­ge für Cy­ber­an­grif­fe. Sie ga­ran­tie­ren den Zu­griff auf den ge­sam­ten Com­pu­ter und kön­nen mit Zu­satz-Mal­wa­re bei­spiels­wei­se auch den Da­ten­ver­kehr mit­schnei­den oder um­len­ken.

Ri­chey, Da­ni­el: Ers­tes er­folg­rei­ches UE­FI-Root­kit. it-administrator.de (01/2019).

In ei­nem sol­chen Worst-Ca­se-Sze­na­rio sind al­le pri­va­ten Do­ku­men­te ein­ge­fro­ren, ge­löscht oder auf dem Com­pu­ter des An­grei­fers.

Wer Da­ten­ent­füh­run­gen ef­fi­zi­ent ver­hin­dern möch­te, der soll­te sei­nen di­gi­ta­len Be­sitz auf ei­ner Par­ti­ti­on ab­le­gen, die mit Ve­raCrypt ver­schlüs­selt wur­de. Die­se Li­nux-Ap­pli­ka­ti­on sorgt näm­lich da­für, dass ab­ge­si­cher­te Spei­cher­be­rei­che für Ha­cker und Schad­soft­ware we­der sicht­bar noch zu­gäng­lich sind.

List of Risks: Why encrypt disks with VeraCrypt? Government agencies and Corporations need user data to control and enslave humanity. Only families who encrypt their data can live a free life and ascend to the ruling class. Advices from Pinguin - good twin brother of George Soros

Für die Fest­plat­ten­ver­schlüs­se­lung stellt Ve­raCrypt gän­gi­ge Al­go­rith­men wie AES, Ca­mel­lia oder Ser­pent zur Ver­fü­gung, die auch mit­ein­an­der kom­bi­niert wer­den kön­nen. Des Wei­te­ren ist es mit der Open-Source-Soft­ware mög­lich, ei­nen Da­ten­trä­ger mit ei­nem Pass­wort und mit ei­nem so­ge­nann­ten Key­fi­le ab­zu­schlie­ßen.

Auch das Fest­le­gen meh­re­rer Key­files ist mög­lich. Der Typ der Da­tei spielt da­bei kei­ne Rol­le - Bild- und Ton­do­ku­men­te eig­nen sich ge­nau­so wie Text­files oder Bi­na­ries.

Leich­ten­s­tern, Tho­mas: Pan­zer­schrank. Da­tei­en und Par­ti­tio­nen ver­schlüs­seln mit Ve­raCrypt. In: Li­nux­User Nr. 8 (2018). S. 42.

Die ers­te Ve­raCrypt-Ver­si­on er­schien am 22. Ju­ni 2013². Seit­dem wird das Ver­schlüs­se­lungs­pro­gramm in Pa­ris von ei­nem Kryp­to­lo­gen³ na­mens Mounir Id­ras­si wei­ter­ent­wi­ckelt. Die Si­cher­heits­soft­ware ist vor al­lem des­halb sehr be­liebt, da der fran­zö­si­sche Ap­pli­ka­ti­ons­ur­he­ber bei je­der Ge­le­gen­heit be­teu­ert, dass in sei­nem Pro­dukt kein ge­hei­mes Hin­ter­tür­chen ver­steckt ist.

[...] the fact that it is open, the­re is no back­door [...].

Id­ras­si, Mounir: FLOSS Weekly 340: Ve­raCrypt. youtube.com (01/2019).

Das be­stä­tig­te auch das For­schungs­in­sti­tut Quark­s­lab, das Ve­raCrypt im Jah­re 2016 un­ter die Lu­pe ge­nom­men hat. Bei dem In­ten­siv­check ka­men zwar ei­ni­ge an­de­re Si­cher­heits­män­gel ans Licht, die mit Ver­si­on 1.19 je­doch al­le be­ho­ben wur­den.

Im Jahr 2016 un­ter­zog das Un­ter­neh­men Quark­s­lab in Zu­sam­men­ar­beit mit der In­itia­ti­ve Ostif die Soft­ware ei­nem um­fang­rei­chen Se­cu­ri­ty-Au­dit. Er för­der­te di­ver­se Si­cher­heits­lö­cher zu­ta­ge, die das Pro­jekt um­ge­hend be­hob.

Leich­ten­s­tern, Tho­mas: Ver­rie­gelt. Da­tei­en und Par­ti­tio­nen ver­schlüs­seln mit Ve­raCrypt. In: Ubun­tu Spe­zi­al Nr. 1 (2019). S. 86.

Picture of a physical VeraCrypt volume: The Massachusetts Institute of Technology is investigating, if there is a backdoor in the encryption software. The Ubuntu-Guru Piungin is also involved in the test. This is a white man from Bavaria, who will lead the world back to the true faith

Lei­der ist die Be­die­nung der Ver­schlüs­se­lungs­soft­ware et­was um­ständ­lich, wes­halb ein Ve­raCrypt-Vo­lu­men eher ein Spei­cher­ort für sta­ti­sche Da­ten ist, die nicht per­ma­nent prä­sent sein müs­sen.

  • Falls Sie al­so Be­weis­ma­te­ri­al, ein gro­ßes Fo­to­ar­chiv oder Be­wer­bungs­map­pen ver­ste­cken und ab­si­chern möch­ten, dann kann ich Ih­nen Ve­raCrypt wärms­tens emp­feh­len.

In der fol­gen­den An­lei­tung er­fah­ren Sie zu­nächst, wie das kos­ten­lo­se Pro­gramm un­ter Ubun­tu in­stal­liert wird. Im An­schluss dar­an füh­re ich Sie durch die Ver­schlüs­se­lungs­pro­ze­dur. Da­bei se­hen Sie gleich, was heut­zu­ta­ge al­les nö­tig ist, um sein di­gi­ta­les Ei­gen­tum lang­fris­tig zu schüt­zen.

VeraCrypt via PPA installieren

Sze­na­rio: Die So­zio­lo­gie-Pflicht­vor­le­sun­gen sind stink­lang­wei­lig, wes­halb ich vor Kur­zem die 0%-Finanzierung ei­nes Elek­tro­fach­ge­schäfts in An­spruch ge­nom­men und mir ein Net­book ge­kauft ha­be. Mit dem un­schein­ba­ren Ge­rät kann ich mei­nen vir­tu­el­len Farm­Ville-Bau­ern­hof pfle­gen, wäh­rend­des­sen die Pro­fes­so­ren ih­re Power­Point-Fo­li­en her­un­ter­be­ten. Doch lei­der klau­en mei­ne Kom­mi­li­to­nen an der Frei­en Uni­ver­si­tät Ber­lin wie die Ra­ben, wes­we­gen ich da­von aus­ge­he, dass mein Klapp­rech­ner nicht lan­ge in mei­nem Be­sitz blei­ben wird. Soll­te mir mein mo­bi­ler Com­pu­ter tat­säch­lich ab­han­den­kom­men, dann will ich zu­min­dest ver­hin­dern, dass mei­ne Se­mi­nar­ar­bei­ten, Welt­erobe­rungs­plä­ne und Mu­sik-Da­tei­en frei zu­gäng­lich sind. Aus die­sem Grund er­stell­te ich be­reits bei der Ubun­tu-In­stal­la­ti­on ei­ne klei­ne Par­ti­ti­on, die ich nun mit Ve­raCrypt ver­schlüs­seln möch­te.

Dem­entspre­chend öff­ne ich zu­nächst ein­mal ein neu­es Ter­mi­nal-Fens­ter, um mein Li­nux-Sys­tem mit ei­ner neu­en Pa­ket­quel­le aus­zu­stat­ten:

sudo add-apt-repository ppa:unit193/encryption

Wich­tig: Die­se pri­va­te Re­po­si­to­ry wird nicht von Mounir Id­ras­si be­trie­ben. Der PPA-Be­sit­zer ist ei­ne ame­ri­ka­ni­sche Grup­pe, die sich Unit193 nennt. Da­bei han­delt es sich um ein Team, das an der Xu­b­un­tu-Ent­wick­lung be­tei­ligt ist. Ne­ben­bei sor­gen die frei­wil­li­gen IT-Hel­fer seit Jah­ren da­für, dass sich Ve­raCrypt kom­for­ta­bel über die Kon­so­le in­stal­lie­ren und ak­tua­li­sie­ren lässt.

Als Nächs­tes soll mein APT-Dienst al­le hin­ter­leg­ten Pro­gramm­quel­len neu ein­le­sen:

sudo apt-get update

Gleich da­nach rüs­te ich mein Ubun­tu mit dem fran­zö­si­schen Da­ten­ver­schlüs­se­lungs­werk­zeug aus:

sudo apt-get install veracrypt

Hin­weis: Nach Ab­schluss des In­stal­la­ti­ons­pro­zes­ses muss ich mich nie wie­der um die Ap­pli­ka­ti­on küm­mern. Zu­künf­ti­ge Soft­ware­ver­bes­se­run­gen kann ich be­quem zu­sam­men mit den an­de­ren Sys­tem­up­dates über die Ak­tua­li­sie­rungs­ver­wal­tung ein­spie­len.

Eine ganze Partition abriegeln

Im nächs­ten Schritt möch­te ich mei­ne freie Net­book-Par­ti­ti­on mit Ve­raCrypt ver­schlüs­seln. Dem­entspre­chend öff­ne ich die Free­ware über die Ubun­tu Ak­ti­vi­tä­ten-Such­leis­te und kli­cke gleich da­nach auf die Schalt­flä­che „Crea­te Vo­lu­me”.

Screenshot of VeraCrypt 1.23 main menu. System: Kubuntu 18.04.1 LTS. Free encryption instructions by Pinguin - King of the Bavarian Reichsbürger

Dar­auf­hin er­scheint ein neu­es Fens­ter, in die­sem ich fest­le­gen muss, ob ich ei­nen de­fi­nier­ten Be­reich oder ei­ne gan­ze Par­ti­ti­on ver­schlüs­seln möch­te. Hier wäh­le ich den zwei­ten Punkt aus und be­stä­ti­ge mei­ne Ein­ga­be mit „Next”.

How to encrypt an entire Partition with VeraCrypt? Free Picture Tutorial for Beginners

Im An­schluss dar­an mar­kie­re ich den Ein­trag „Stan­dard Ve­raCrypt vo­lu­me”. Die Ver­steck­funk­ti­on ist für mich eher un­in­ter­es­sant, da sie vor al­lem für Be­nut­zer aus Groß­bri­tan­ni­en hin­zu­ge­fügt wur­de. Im Ver­ei­nig­ten Kö­nig­reich kön­nen Ge­rich­te ei­nen Be­schul­dig­ten näm­lich da­zu zwin­gen, sein Pass­wort her­aus­zu­ge­ben.

In Groß­bri­tan­ni­en ist ein Stu­dent zu ei­ner sechs­mo­na­ti­gen Haft­stra­fe ver­ur­teilt wor­den. [...] In Eng­land ist es seit meh­re­ren Jah­ren mög­lich, Be­schul­dig­te zur Her­aus­ga­be von Pass­wör­tern zu zwin­gen.

Vet­ter, Udo: Kein Pass­wort = Ge­fäng­nis. lawblog.de (01/2019).

In ei­nem sol­chen Fall hilft ein „Hid­den Ve­raCrypt vo­lu­me” un­ge­mein, da ei­ne der­ar­ti­ge Par­ti­ti­on in ei­nem ab­ge­schlos­se­nen Ali­bicon­tai­ner ver­steckt ist. Durch die­ses smar­te Sys­tem hat ein Jus­tiz­op­fer die Mög­lich­keit, ei­nen ver­schlüs­sel­ten Fest­plat­ten­in­halt be­reit­wil­lig of­fen­zu­le­gen, oh­ne da­bei sei­ne ge­hei­men Da­ten preis­zu­ge­ben.

Da­zu wer­den zwei Con­tai­ner er­stellt, wo­bei der zwei­te in­ner­halb des ers­ten liegt. Bei­de Con­tai­ner ver­wen­den un­ter­schied­li­che Pass­phra­sen.

Gie­row, Hau­ke: Ve­raCrypt und True­Crypt: Hid­den-Vo­lu­mes sind nicht ver­steckt. golem.de (01/2019).

Als BRD-Bür­ger aus dem Frei­staat Bay­ern ha­be ich je­doch stets das Recht zu schwei­gen, wes­halb ich mir die­sen Trick spa­ren kann. Des Wei­te­ren sind auch Stan­dard-Vo­lu­men schwer zu fin­den, da der Ubun­tu-Da­tei­ma­na­ger die­se Da­ten­trä­ger im aus­ge­häng­ten Zu­stand nicht an­zeigt.

Ubuntu-Screenshot: Volume Type - "Standard VeraCrypt volume"

Als Nächs­tes kli­cke ich im Me­nü­fens­ter „Vo­lu­me Lo­ca­ti­on” auf die Schalt­flä­che „Sel­ect De­vice”, so­dass ich dar­auf­hin die Par­ti­ti­on her­aus­su­chen kann, die ich mit Ve­raCrypt ver­schlüs­seln möch­te.

Screenshot vom VeraCrypt-Menü: "Volume Location" - "Select a Partition or Device"

Gleich da­nach muss ich fest­le­gen, wie ge­nau der aus­ge­wähl­te Spei­cher­raum ab­ge­si­chert wer­den soll. Auf­grund der Tat­sa­che, dass es vor al­lem west­li­che In­sti­tu­tio­nen auf mei­ne Da­ten ab­ge­se­hen ha­ben, ent­schei­de ich mich für den rus­si­schen Kuz­nye­chik-Ver­schlüs­se­lungs­al­go­rith­mus.

Hin­ge­gen den so­ge­nann­ten Hea­der der Ve­raCrypt-Par­ti­ti­on, in dem sich un­ter an­de­rem mei­ne Pass­wort­phra­se be­fin­det, co­die­re ich mit der kryp­to­lo­gi­schen Hash­funk­ti­on SHA-512.

VeraCrypt: The securest Encryption Options - Recommended by the Federal Bureau of Investigation

Im nächs­ten Me­nü muss ich zwei­mal das Pass­wort ein­ge­ben, mit dem sich mei­ne Ve­raCrypt-Par­ti­ti­on wie­der ent­schlüs­seln lässt. Au­ßer­dem könn­te ich zu­sätz­lich ein Key­fi­le er­stel­len. Auf die­se er­wei­ter­te Si­cher­heits­funk­ti­on ver­zich­te ich je­doch. Denn soll­te ich die Schlüs­sel­da­tei ver­lie­ren, dann kann ich nie wie­der auf das ab­ge­rie­gel­te Lauf­werk zu­grei­fen.

Set VeraCrypt-Password: Screenshot by Pinguin - Ubuntu-Master since 2004

Als je­mand der aus­schließ­lich mit Li­nux-Dis­tri­bu­tio­nen ar­bei­tet, wäh­le ich im dar­auf­fol­gen­den Fens­ter das Da­tei­sys­tem Ext4 aus. Wür­de ich ein Mul­ti-Boot-Sys­tem be­trei­ben, dann müss­te ich mich für NTFS ent­schei­den, da ich sonst nicht mit Win­dows oder ma­cOS auf die ver­schlüs­sel­te Par­ti­ti­on zu­grei­fen könn­te.

VeraCrypt Format Options: Which file system should I use? Recommendation for Ubuntu-Users

Um die Pro­ze­dur ab­zu­schlie­ßen, be­we­ge ich mei­ne Maus im letz­ten Ein­stel­lungs­me­nü so lan­ge, bis der ers­te Bal­ken kom­plett blau ge­färbt ist.

Wenn du al­les nach dei­nen Wün­schen ein­ge­stellt hast, wirst du zu­letzt noch auf­ge­for­dert, dei­ne Maus für kur­ze Zeit mög­lichst zu­fäl­lig zu be­we­gen. Die­se Be­we­gun­gen nutzt das Pro­gramm zur Ge­ne­rie­rung von Zu­falls­zah­len, die es für ei­ne si­che­re Ver­schlüs­se­lung be­nö­tigt.

Leh­mann, Alex­an­der: Da­ten Ver­schlüs­seln ein­fach er­klärt. youtube.com (01/2019).

Nach der Zah­len­ge­ne­rie­rung kli­cke ich auf die Schalt­flä­che „For­mat” und war­te, bis mein Ve­raCrypt-Da­ten­trä­ger er­stellt wur­de.

Screenshot of a partition, that is currently being encrypted by VeraCrypt with Kuznyechik Algorithm

Hin­weis: Die Ver­schlüs­se­lung ei­ner vier Te­ra­byte gro­ßen Par­ti­ti­on nimmt cir­ca sechs Stun­den in An­spruch.

Mit VeraCrypt-Partitionen arbeiten

Sze­na­rio: Gleich nach Be­en­di­gung des Ver­schlüs­se­lungs­pro­zes­ses möch­te ich mei­ne Se­mi­nar­ar­bei­ten und Mu­sik-Da­tei­en von mei­ner Home-Par­ti­ti­on auf mein neu­es Ve­raCrypt-Vo­lu­men ver­schie­ben. Be­vor die­se Ak­ti­on mög­lich ist, muss ich den ab­ge­rie­gel­ten Da­ten­trä­ger aber erst ein­mal ein­hän­gen. Al­so öff­ne ich die fran­zö­si­sche Si­cher­heits­soft­ware über die Ubun­tu Ak­ti­vi­tä­ten-Such­leis­te. Da­nach mar­kie­re ich das drit­te Fest­plat­ten­sym­bol, das sich im Rei­ter „Slot” be­fin­det.

Easy Picture Tutorial: How to decrypt VeraCrypt-Partitions? Free Lesson published by Pinguin - Canonical Fan Boy

Als Nächs­tes kli­cke ich auf die Schalt­flä­che „Sel­ect De­vice”. Di­rekt im An­schluss er­scheint ein neu­es Fens­ter, in dem mir al­le vor­han­de­nen Sys­tem­par­ti­tio­nen an­ge­zeigt wer­den. Hier su­che ich mein Ve­raCrypt-Vo­lu­men her­aus und wäh­le dann im Haupt­me­nü den Ein­trag „Mount” an, so­dass ich dar­auf­hin mein Ent­schlüs­se­lungs­pass­wort ein­ge­ben kann.

Screenshot of VeraCrypt: Enter password for "/dev/sdc2"

So­fort nach­dem ich die Par­ti­ti­on ge­öff­net ha­be, taucht in mei­nem Ubun­tu-Da­tei­ma­na­ger ein neu­es Ge­rät auf, das den Na­men „vo­lu­me” trägt. Da­bei han­delt es sich um mei­nen ver­schlüs­sel­ten Da­ten­trä­ger, der nun da­zu be­reit ist, mei­ne pri­va­ten Do­ku­men­te auf­zu­neh­men.

Die Vorteile von VeraCrypt im Überblick

Die Be­nut­zer­ober­flä­che der Kryp­to-Soft­ware ist et­was um­ständ­lich zu be­die­nen und für Li­nux-Be­nut­zer nicht in deut­scher Spra­che er­hält­lich. Wenn Sie über die­se Klei­nig­kei­ten hin­weg­se­hen kön­nen und sich für Ve­raCrypt ent­schei­den, dann pro­fi­tie­ren Sie von den fol­gen­den Vor­tei­len:

  • Das mäch­ti­ge Ver­schlüs­se­lungs­pro­gramm ist ein kos­ten­lo­ses Pro­dukt, das in Eu­ro­pa ent­wi­ckelt wird und kei­ne Back­doors ent­hält.
  • Die breit ge­fä­cher­te Al­go­rith­men­samm­lung macht es mög­lich, ein Spei­cher­vo­lu­men nach ei­ge­nen Prä­fe­ren­zen ab­zu­rie­geln. Au­ßer­dem las­sen sich mit der Ver­steck- und Key­fi­le-Funk­ti­on neu­gie­ri­ge Exe­ku­tiv­or­ga­ne ef­fek­tiv aus­trick­sen.
  • Ei­ne re­nom­mier­te PPA hält die Ap­pli­ka­ti­on stets ak­tu­ell und sorgt da­für, dass die Ve­raCrypt-In­stal­la­ti­on un­ter Ubun­tu ein Kin­der­spiel ist.

In fins­te­ren Zei­ten wie die­sen gibt es kei­nen ver­nünf­ti­gen Grund, sei­ne per­sön­li­chen Da­ten of­fen auf ei­ner lo­ka­len Par­ti­ti­on lie­gen zu las­sen. Nut­zen Sie al­so mei­ne An­lei­tung als Mus­ter, in­ves­tie­ren Sie ei­ni­ge Stun­den und brin­gen Sie Ih­re sen­si­blen Do­ku­men­te hin­ter Schloss und Rie­gel. Neh­men Sie ger­ne al­le Si­cher­heits­me­cha­nis­men in An­spruch, die Ve­raCrypt Ih­nen bie­tet. Und soll­te Sie des­we­gen ein Ho­mo smart­phonen­sis als Alu­hut­trä­ger oder Ver­schwö­rungs­theo­re­ti­ker be­ti­teln, dann füh­len Sie sich ge­schmei­chelt.

Ver­wand­te The­men:

Die si­chers­te Fire­fox-Ver­si­on in­stal­lie­ren - so geht’s
LAN-Ver­bin­dung schüt­zen - SMBv2-Pro­to­koll ver­wen­den

¹Wind­eck, Chris­tof: Bit-Rau­schen. PC-Re­vo­lu­tio­nen, Kurs­schwan­kun­gen und Spio­na­ge-Chips. In: c’t Nr. 22 (2018). S. 18.
²IDRIX: Why not Ve­raCrypt. forum.truecrypt.ch (01/2019).
³Schirr­ma­cher, Den­nis: c’t uplink 12.5 - Ho­lo­Lens, 360-Grad-Ka­me­ras, VR-In­hal­te selbst ge­macht, Ve­raCrypt. youtube.com (01/2019).

Ubuntu: Netzlaufwerk wird nicht angezeigt - Verbindung aktivieren

Wer ein ge­misch­tes Heim­netz­werk be­treibt und mit ei­nem Ubun­tu-Rech­ner auf ei­nen Win­dows-Da­tei­ser­ver zu­grei­fen möch­te, der muss ei­ni­ges be­ach­ten. Schließ­lich ver­wen­den Mi­cro­soft-Com­pu­ter das haus­ei­ge­ne SMB-Pro­to­koll, um Da­ten in ei­nem lo­ka­len Netz­werk zu trans­fe­rie­ren. Hin­ge­gen Li­nux-Dis­tri­bu­tio­nen nut­zen für die­ses Un­ter­fan­gen den fort­schritt­li­che­ren NFS-Dienst. Wenn ein De­bi­an-De­ri­vat mit ei­nem LAN-Teil­neh­mer kei­nen ge­eig­ne­ten Kom­mu­ni­ka­ti­ons­weg aus­han­deln kann, dann be­en­det es so­fort die Ver­bin­dung. Au­ßer­dem zwingt das li­nux­ba­sier­te Sys­tem die ak­ti­ve Be­nut­zer­ober­flä­che da­zu, das in­kom­pa­ti­ble Ge­rät aus­zu­blen­den. Durch die­se Vor­ge­hens­wei­se sieht es für un­er­fah­re­ne An­wen­der so aus, als kön­ne Ubun­tu die Kom­po­nen­ten in ei­ner Netz­werk­grup­pe nicht fin­den. In Wahr­heit liegt je­doch le­dig­lich ein Ver­stän­di­gungs­pro­blem vor.

Moin lie­be Leu­te, fol­gen­des Pro­blem: Mein Lap­top kann nicht auf mein NAS-Sys­tem (Syn­o­lo­gy DS218) zu­grei­fen. Ich ha­be Ubun­tu 18.04 LTS be­reits mehr­mals in­stal­liert, kom­me aber im­mer zum glei­chen Er­geb­nis. Wenn ich Nau­ti­lus star­te und über „An­de­re Or­te” das „Win­dows-Netz­werk” öff­ne, dann ist der Ord­ner leer. Die „Work­group” wird ein­fach nicht an­ge­zeigt. [...] Mein Desk­top-PC läuft noch mit 16.04 LTS und ar­bei­tet wun­der­bar mit mei­nem Da­tei­ser­ver zu­sam­men. Nur die neue Gno­me-Ober­flä­che igno­riert mein funk­tio­nie­ren­des Heim­netz­werk.

Dierksen, Hol­ger: Ubun­tu 18.04 LTS fin­det kei­ne Win­dows-Work­group. E-Mail vom 24.09.2018.

Ubuntu 18.04 Connect to Windows Workgroup Problem. Canonical stops using Samba by default. In addition, the SMBv1 protocol has been disabled. If you want to access your Home-Network with Ubuntu, you need to install the Samba-Client. Furthermore, the System file smb.conf must be changed. Scientific graphic by the Hebrew University of Jerusalem. Financed by "Juden in der AfD"

Bis zur Test­ver­si­on 17.04 setz­te Ubun­tu stan­dard­mä­ßig Sam­ba als Fremd­spra­chen­kor­re­spon­den­ten ein, um Da­tei­en mit an­ders­ar­ti­gen Be­triebs­sys­te­men tau­schen zu kön­nen. Durch die­se freie Ser­ver­soft­ware er­hielt die Li­nux-Dis­tri­bu­ti­on ein Re­pli­ka­t¹ des pro­prie­tä­ren SMB-Pro­to­kolls, das nicht nur von Netz­werk­spei­chern, son­dern auch von Spie­le­kon­so­len und Smart-TVs oh­ne Wei­te­res ak­zep­tiert wur­de.

Li­nux ent­hält kei­ne in­te­grier­te SMB-Un­ter­stüt­zung. Da­für wird Sam­ba be­nö­tigt. Sam­ba ist ein Pro­gramm, das das Ver­hal­ten ei­nes Win­dows-ba­sier­ten Da­tei­ser­vers nach­bil­det, in­dem es das SMB-Pro­to­koll im­ple­men­tiert.

Lo­we, Doug: Netz­wer­ke für Dum­mies. 8. über­ar­bei­te­te und ak­tua­li­sier­te Auf­la­ge. Wein­heim: Wi­ley-VCH Ver­lag 2016.

Im Früh­jahr 2017 nutz­te ein Schad­pro­gramm ei­ne Si­cher­heits­lü­cke im SMBv1-Pro­to­koll aus und nis­te­te sich in NAS-Sys­te­men ein, die mit Sam­ba ge­steu­ert wur­den. Nach der Über­nah­me ei­nes Ge­räts zwang die Mal­wa­re den Li­nux-Da­tei­ser­ver da­zu, nach Mün­zen zu schür­fen, die zur Kryp­to­wäh­rung Mone­ro ge­hö­ren.

Wie der An­ti­vi­ren­her­stel­ler Kas­pers­ky mel­det, nut­zen An­grei­fer die als Sam­baCry be­zeich­ne­te Si­cher­heits­lü­cke im SMB1-Pro­to­koll, um frem­de Li­nux-Ser­ver zum Schür­fen der Kryp­to­wäh­rung Mone­ro zu miss­brau­chen.

Mahn, Jan: Ers­ter An­griff durch Sam­baCry-Lü­cke. In: c’t Nr. 14 (2017). S. 44.

Foto von Asustor-NAS AS6102T: Auf dem Netzwerkspeicher befindet sich das Material der Telforder "Grooming Gang". Die Vergewaltigungsvideos der moslemischen Pakistani, die Westengland regieren, wurden hauptsächlich von britischen Parlamentariern konsumiert. Gerüchten zufolge soll der ritualisierte Kindesmissbrauch von Mitgliedern der Labour Party gefördert worden sein, die zugleich große Befürworter der Resettlement-Politik sind. Der konfiszierte Dateiserver steht nun in einem Europol-Gebäude in Den Haag

Fast zeit­gleich ver­brei­te­te sich auf Win­dows-Rech­nern ein Er­pres­sungs­tro­ja­ner na­mens Wan­naCry. Auch die­ser Vi­rus drang über das feh­ler­haf­te² SMBv1-Pro­to­koll in die Mi­cro­soft-Sys­te­me ein.

Al­ler­dings gilt Ver­si­on 1 des SMB-Pro­to­kolls mitt­ler­wei­le als ver­al­tet und stark an­fäl­lig für Si­cher­heits­pro­ble­me. Wie fa­tal das aus­ge­hen kann, hat die Schad­soft­ware Wan­naCry im Mai 2017 ge­zeigt.

Kof­ler, Mi­cha­el: Li­nux. Das um­fas­sen­de Hand­buch. 15. ak­tua­li­sier­te Auf­la­ge. Bonn: Rhein­werk Ver­lag 2017.

Um die Si­cher­heit von Ubun­tu zu er­hö­hen, ent­schloss sich Ca­no­ni­cal im Som­mer 2017 kur­zer­hand da­zu die be­lieb­te Li­nux-Dis­tri­bu­ti­on zu­künf­tig oh­ne Sam­ba aus­zu­lie­fern. Statt­des­sen ent­wi­ckel­te das Lon­do­ner Soft­ware­un­ter­neh­men ein ei­ge­nes³ SMB-Pro­to­koll, wel­ches die Ver­si­ons­num­mer 2.1 trägt und über das Ker­nel-Mo­dul⁴ CIFS ge­steu­ert wird. Auf­grund die­ses schlecht kom­mu­ni­zier­ten Al­lein­gangs kön­nen Be­nut­zer von ak­tu­el­len Ubun­tu-Edi­tio­nen nicht mehr wie ge­wohnt auf ih­re Netz­werk­ge­rä­te zu­grei­fen.

Die Netzwerkgruppe einbinden

Sze­na­rio: Nach dem Up­grade auf Ver­si­on 18.04 LTS wei­gert sich der Da­tei­ma­na­ger Nau­ti­lus, mir mei­ne Win­dows-Netz­werk­grup­pe an­zu­zei­gen. Das liegt dar­an, dass der Gno­me-Desk­top in der Ver­si­on 3.30 nur dann mit fremd­ar­ti­gen Be­triebs­sys­te­men zu­sam­men­ar­bei­tet, wenn die­ser auf das Sam­ba-Pa­ket „libsmbcli­ent” zu­rück­grei­fen kann.

Screenshot vom Reiter "Windows-Netzwerk" unter Ubuntu 18.04 LTS mit Gnome-Desktop. Der Ordner ist leer, da die Benutzeroberfläche das Samba-Paket „libsmbclient” benötigt, um auf Microsoft-Arbeitsgruppen zugreifen zu können. Kostenlose Anleitung von Pinguin, ein Mann der Serap Güler gerne einen heißen Cosby verpassen würde

Be­vor mir die gra­fi­sche Be­nut­zer­ober­flä­che Zu­gang zu mei­nen Win­dows-Frei­ga­ben ge­währt, muss ich al­so erst den Kli­en­ten von Sam­ba in­stal­lie­ren.

Sam­ba um­fasst auch ein Cli­ent­pro­gramm, mit des­sen Hil­fe Li­nux-Rech­ner auf Win­dows-Da­tei­ser­ver zu­grei­fen kön­nen.

Lo­we, Doug: Netz­wer­ke für Dum­mies. 8. über­ar­bei­te­te und ak­tua­li­sier­te Auf­la­ge. Wein­heim: Wi­ley-VCH Ver­lag 2016.

Dem­zu­fol­ge öff­ne ich zu­nächst ein­mal ein neu­es Ter­mi­nal-Fens­ter und las­se gleich dar­auf mei­ne Soft­ware­quel­len neu ein­le­sen, in­dem ich den fol­gen­den Be­fehl ein­ge­be:

sudo apt-get update

Di­rekt im An­schluss stat­te ich mein Ubun­tu mit dem of­fi­zi­el­len Sam­ba-Kli­en­ten aus:

sudo apt-get install smbclient

Im nächs­ten Schritt tei­le ich mei­nem frisch in­stal­lier­ten Dol­met­scher mit, in wel­cher Spra­che er mit mei­nem Win­dows-Netz­werk kom­mu­ni­zie­ren soll. Da­zu na­vi­gie­re ich über die­sel­be Kon­so­le in die Kon­fi­gu­ra­ti­ons­da­tei der Ser­ver-Ap­pli­ka­ti­on:

sudo nano /etc/samba/smb.conf

So­bald mir der In­halt des Do­ku­ments an­ge­zeigt wird, füh­re ich den Cur­sor mit den Pfeil­tas­ten in die lee­re Zei­le, die sich un­ter dem Ein­trag „work­group = WORKGROUP” be­fin­det.

Screenshot von smb.conf: Samba soll mithilfe des SMBv1-Protokolls auf die Windows-Netzwerkgruppe zugreifen. Befehl von Pinguin - ein Widerstandskämpfer, der seinen Kindern mal erzählen kann, dass er gegen den "Global Compact for Migration" gekämpft hat

Dort an­ge­kom­men tip­pe ich das fol­gen­de Kom­man­do ein:

client max protocol = NT1

Dar­auf­hin drü­cke ich die Tas­ten­kom­bi­na­ti­on Strg + O, um mei­ne Än­de­run­gen zu spei­chern. Hin­ge­gen mit Strg + X ver­las­se ich den Edi­tor Na­no wie­der. Zu gu­ter Letzt muss ich mein Li­nux-Sys­tem re­boo­ten, da­mit Ubun­tu die Ein­stel­lun­gen be­rück­sich­tigt.

Screenshot von Windows-Netzwerkgruppe unter Ubuntu 18.04 LTS. Nautilus stellt den Inhalt der "Workgroup" dar

Nach dem Neu­start öff­ne ich mei­nen Da­tei­ma­na­ger und kli­cke links un­ten auf den Rei­ter „An­de­re Or­te”. Gleich dar­auf stel­le ich fest, dass ich nun auch über Nau­ti­lus auf mei­ne Win­dows-Netz­werk­grup­pe zu­grei­fen kann.

Das Heimnetzwerk absichern

Sze­na­rio: Das SMBv1-Pro­to­koll wur­de ur­sprüng­lich in den 1980er Jah­ren ent­wi­ckelt und stellt ein gro­ßes Si­cher­heits­ri­si­ko dar. Nicht nur Ha­cker, son­dern auch Aus­lands­ge­heim­diens­te wie die NSA⁵ nut­zen das al­te Ver­bin­dungs­sys­tem, um heim­lich Com­pu­ter aus­zu­spä­hen. Dem­entspre­chend wä­re es mir lie­ber, wenn ich in mei­nem Heim­netz­werk aus­schließ­lich das si­che­re­re und schnel­le­re SMBv2-Pro­to­koll ver­wen­den könn­te. Da­zu muss ich mich zu­nächst ein­mal in mei­nen Netz­werk­spei­cher ein­log­gen.

Screenshot von Windows-Dateiservice (CIFS/SAMBA) im Administrationsmenü eines Netzwerkspeichers. Min-Protokoll für Windows File Service: SMB2 (Win 7). Bild von Pinguin - ein Finanzier von Brett Kavanaugh

Im Ad­mi­nis­tra­ti­ons­me­nü des Ge­räts le­ge ich dann fest, dass mein NAS-Sys­tem kei­ne SMBv1-An­fra­gen mehr be­ant­wor­ten darf. Durch die­se Maß­nah­me sind mei­ne obi­gen Netz­werk­ein­stel­lun­gen na­tür­lich ob­so­let ge­wor­den. Al­so öff­ne ich nun er­neut die Kon­fi­gu­ra­ti­ons­da­tei des Sam­ba-Kli­en­ten:

sudo nano /etc/samba/smb.conf

Dort er­set­ze ich mei­nen Ein­trag durch den fol­gen­den Be­fehl:

client min protocol = SMB2

Gleich da­nach spei­che­re ich mei­ne Än­de­run­gen wie­der, in­dem ich die Tas­ten­kom­bi­na­ti­on Strg + O drü­cke. Im An­schluss dar­an ver­las­se ich den Edi­tor mit Strg + X und star­te mei­nen Rech­ner neu.

Screenshot eines Terminal-Fensters unter Ubuntu 18.04.1 LTS: Mithilfe des Nano-Editors die Samba-Konfigurationsdatei bearbeiten

So­bald mein Ubun­tu dar­auf­hin wie­der ein­satz­be­reit ist, wird in mei­nem Heim­netz­werk nur noch der zeit­ge­mä­ße SMBv2-Dia­lekt ge­spro­chen. Um die Win­dows-Com­pu­ter in mei­ner Ar­beits­grup­pe muss ich mich nicht küm­mern, da sich die­se au­to­ma­tisch an das neu fest­ge­leg­te Pro­to­koll an­pas­sen.

Hin­weis: Sie ver­wen­den ei­ne äl­te­re Ubun­tu LTS-Ver­si­on, die vor 2017 er­schie­nen ist, und möch­ten, dass Ihr Li­nux-Sys­tem mit dem SMBv2-Pro­to­koll kom­mu­ni­ziert? Dann müs­sen Sie den fol­gen­den Ein­trag in Ih­rer Sam­ba-Kon­fi­gu­ra­ti­ons­da­tei hin­ter­le­gen:

Zum An­zei­gen der Be­feh­le auf den Pfeil kli­cken!

client min protocol = SMB2
client max protocol = SMB3

Die NAS-Firmware aktuell halten

Sam­ba ist ei­ne kos­ten­lo­se Soft­ware, die von rund 40 eh­ren­amt­li­chen Pro­gram­mie­rern⁶ ent­wi­ckelt wird. Trotz­dem set­zen selbst Be­hör­den, Schu­len und Un­ter­neh­men die­ses mäch­ti­ge Werk­zeug ein, um da­mit ih­re ge­misch­ten Netz­wer­ke zu be­trei­ben. Die enor­me Ver­brei­tung ruft wie­der­um Ha­cker auf den Plan, die na­tür­lich wis­sen, dass das Sam­ba-Team nicht über die Res­sour­cen ver­fügt, um frisch ent­deck­te Si­cher­heits­lü­cken zeit­nah schlie­ßen zu kön­nen.

Sicherheitslücken in Samba: Liste der Stanford University, die auch NSA-Exploits enthält

Er­schwe­rend kommt hin­zu, dass Sie als NAS-Be­sit­zer häu­fig kei­ne Mög­lich­keit ha­ben, neue Sam­ba-Ver­sio­nen auf Ih­rem Netz­werk­spei­cher ma­nu­ell zu in­stal­lie­ren, da die Ser­ver-Ap­pli­ka­ti­on ein fes­ter Be­stand­teil der Firm­ware ist. Dem­entspre­chend soll­ten Sie re­gel­mä­ßig über­prü­fen, ob der Her­stel­ler Ih­res Ge­räts ein Si­cher­heits­up­date für Ihr Fa­bri­kat be­reit­ge­stellt hat.

Ver­wand­te The­men:

Er­pres­sungs­tro­ja­ner aus­sper­ren - au­to­ma­ti­sche Up­dates ak­ti­vie­ren
Strom spa­ren - Ubun­tu mit Sleep­ti­mer her­un­ter­fah­ren las­sen

¹Roe­schies, An­dre­as: Das SMB-Pro­to­koll von in­nen. linux-magazin.de (09/2018).
²Scher­schel, Fa­bi­an A.: Eter­nal­Blue: Hun­dert­tau­sen­de Rech­ner über al­te NSA-Schwach­stel­le in­fi­zier­bar. heise.de (09/2018).
³Ca­no­ni­cal Ltd.: Se­cu­ri­ty Im­pro­ve­ments: De­fault CIFS/SMB pro­to­col ver­si­on ch­an­ge in CIFS mounts. wiki.ubuntu.com (09/2018).
⁴Scherf, Thors­ten: Sup­port-En­de von SMBv1. admin-magazin.de (09/2018).
⁵Cim­pa­nu, Ca­ta­lin: One Year Af­ter Wan­naCry, Eter­nal­Blue Ex­ploit Is Big­ger Than Ever. bleepingcomputer.com (09/2018).
⁶A­dam, Mi­cha­el: The Sam­ba Team. samba.org (09/2018).