Obscurix
Obscurix

Obscurix: Linux Live System für Privatsphäre, Sicherheit und Anonymität

Obscurix ist ein Live-Betriebssystem, welches auf Arch Linux basiert. Privatsphäre, Sicherheit und Anonymität im Netz stehen im Vordergrund.

Obscurix ist ein neues, quelloffenes (Open Source) Live-Betriebssystem, welches auf Arch Linux basiert. Obscurix legt sehr großen Wert auf Eure Privatsphäre, Sicherheit und Anonymität im Netz. Das Live-Betriebssystem leitet euren gesamten Datenverkehr recht sicher durch das Tor-Netzwerk und unterstützt zudem viele andere Netzwerke wie I2P und Freenet.

Privatsphäre, Sicherheit und Anonymität

Um es gleich vorweg zu nehmen: Obscurix will kein Linux Betriebssystem für Pentester sein. Auch wer hauptsächlich Spiele auf seinem Rechner spielen möchte, sollte sich besser etwas anderes suchen. Obscurix ist einfach nur ein sicheres und einfach zu bedienendes Live-Betriebssystem. Zudem haben die Entwickler viel getan, damit es gegen verschiedene Formen von Tracking und Überwachung resistent ist. Dabei muss man als Anwender nicht viel konfigurieren, was den Einstieg erleichtert.

Einer der großen Unterschiede zwischen diesem und anderen Linux Betriebssystemen, ist der spezielle Fokus auf Privatsphäre, Sicherheit und Anonymität. Daher ist Obscurix auch kein Betriebssystem, welches man sich auf der eigenen Festplatte installieren soll. Als reines Live-Betriebssystem läuft es nur im Arbeitsspeicher Eures Rechners. Beim Herunterfahren löscht das OS automatisch alle digitalen „Spuren„, die Dritte sonst später auswerten könnten.

Privatsphäre
Der Songtext von Police einmal anders. Bei Every Breath you take geht es um totale Kontrolle und Verfolgungswahn.

Eure Sicherheit ist das wichtigste Gut

  • Das Betriebssystem haben die Entwickler speziell „gehärtet„, was es resistent gegen mehrere Formen der Verfolgung durch Werbe-Vermarkter und der Überwachung im Internet machen soll.
  • Kernel-Härtung: Hier erfahrt ihr genau, was alles getan wurde, um den Linux-Kernel zu härten. Obscurix verwendet einige benutzerdefinierte Linux Kernel-Einstellungen, um die Sicherheit der Anwender zu optimieren.
  • Das Root-Konto: Das Root-Konto hat Zugriff auf alles, was auf einem System so läuft. Deshalb sperrt Obscurix es so weit wie möglich. Beachten Sie, dass diese Maßnahmen nichts zum Schutz vor „Root-Exploits“ beitragen.
  • Firewall: Obscurix kommt mit einer sehr restriktiven Firewall daher. Die Firewall blockiert alle eingehenden und ausgehenden Verbindungen und lässt nur ausgehenden Tor-, I2P- oder Freenet-Verkehr zu. Die Firewall hat man über die iptables konfiguriert. Dies macht IP-Lecks unmöglich, ohne das ein Root-Exploit die Firewall deaktiviert oder eine „Kontamination“ über Tor, I2P oder Freenet stattgefunden hätte.
  • Anwendungsbeschränkung: Anwendungen in Obscurix hat man mit AppArmor und Bubblewrap so weit wie möglich eingeschränkt.
  • Anwendungskonfiguration: Anwendungen in Obscurix sind standardmäßig für Datenschutz und Sicherheit konfiguriert. Hier erfahrt ihr genau, was alles geändert wurde.

Blacklists und Zeitsynchronisation

  • Reduzierte Angriffsfläche: Obscurix reduziert die Angriffsfläche so weit wie möglich. Es wird daher mit einer auserlesenen Menge von Paketen und einer Blacklist nicht benötigter oder gar potenziell gefährlicher Module ausgeliefert.
  • Gehärtete Malloc-API: hardened_malloc ist eine von Daniel Micay entwickelte Erweiterung für gehärteten Speicher, der vor vielen gängigen Sicherheitslücken in Bezug auf die Speicherbeeinflussung schützt.
  • Core Dumps: Core-Dumps sind deaktiviert, da sie den aufgezeichneten Status des Arbeitsspeichers eines Programms zu einem bestimmten Zeitpunkt enthalten. Dies kann viele wichtige Informationen wie z.B. Schlüssel (für Veracrypt etc.) oder Kennwörter enthalten.
  • Swap: Swap kann verwendet werden, um Teile des Arbeitsspeichers auf die Festplatte zu schreiben. Dies hat man deaktiviert. Ansonsten könnten wichtige Informationen wie Kennwörter, kryptografische Schlüssel usw. auf die Festplatte geschrieben werden.
  • Zeitsynchronisation: Die Zeitsynchronisation ist für Anonymität und Sicherheit von entscheidender Bedeutung.
  • Mikrocode-Updates: Mikrocode-Updates sind sehr wichtig. Sie bieten Schutz vor bestimmten Angriffen auf die CPU wie Meltdown oder Spectre. Diese sind standardmäßig in Obscurix installiert und aktiviert.
  • Mount-Optionen: Es gibt so einige restriktive Mount-Optionen, mit denen die Sicherheit erhöht werden kann.
  • Andere Sicherheitsfunktionen: Weitere Sicherheitsfunktionen, die auf keine der anderen Seiten passen, werden hier dokumentiert.

Warum unterstützt Obscurix keine VPNs?

VPNsVPNs (Virtual Private Networks) werden in Obscurix grundsätzlich nicht unterstützt. Unabhängig davon, ob es sich um Tor über VPN, VPN über Tor oder nur um VPNs selbst handelt. Dies liegt daran, weil VPNs sehr wahrscheinlich nicht helfen werden, Eure Privatsphäre, Sicherheit oder Anonymität im Netz zu erhöhen. Wenn überhaupt, werden sie nur die Anonymität verschlechtern.

VPNs können sich auch negativ auf die Einrichtung von Tor und iptables auswirken, was zu unerwarteten und äußerst schädlichen Ergebnissen führen kann. Da es bezüglich VPNs immer wieder zu Missverständnissen kommt, möchte ich an dieser Stelle die Gelegenheit wahrnehmen und etwas genauer darauf eingehen.

Einige (gute) Gründe, warum ein VPN nicht immer hilfreich ist:

Tor vs. VPN

  • VPNs sind kein Tool für Anonymität: VPNs machen User nicht anonym. Der VPN-Anbieter weiß genau, wer seine Nutzer sind und was Sie tun. Sie können anhand ihrer IP-Adresse, Zahlungsinformationen, E-Mails, Benutzernamen, des Browserverlaufs usw. herausfinden, wer Sie sind. Der jeweilige VPN-Anbieter ist in der besten Position, um ihren gesamten Datenverkehr zu protokollieren oder einen Angriff gegen Sie zu starten.
  • Traffic-Analyse-Angriffe: VPNs sind extrem anfällig für Traffic-Analyse-Angriffe. Ein Angreifer kann Ihre Verbindung zum VPN-Server und die vom VPN-Server ausgehenden Verbindungen sehen, vergleichen und wenn sie gleich aussehen, gut feststellen, dass Sie es sind. Tor ist zwar auch anfällig für Angriffe durch Traffic-Analyse, jedoch nicht in gleichem Maße.
  • Netzwerklayout: Wenn Sie ein VPN mit Tor verwenden, heben Sie sich aus Sicht eines Gegners auf Netzwerkebene von anderen Tor-Benutzern ab. Wenn Sie sich zum Beispiel über ein VPN mit Tor verbinden (Tor über VPN), sieht ein Gegner auf Netzwerkebene Sie → VPN → Tor, während die meisten anderen Tor-Benutzer Sie → Tor sehen. Dies hebt Sie besser hervor und verringert ihre Anonymität.

torVPNs verbergen die Tor-Nutzung nicht zuverlässig

Einige Leute verwenden VPNs, um die Tor-Nutzung zu verbergen, aber VPNs können das nicht wirklich zuverlässig. VPNs verbergen nur, dass Sie eine Verbindung zu einer Tor-IP-Adresse herstellen. Es ändert jedoch nichts am eigentlichen Datenverkehr. Ein Gegner kann weiterhin die Paketgröße, Paketzeiten usw. überwachen, um die Tor-Nutzung zu bestimmen. Die Nutzung von Tor kann auch über eine Traffic-Analyse (siehe oben) ermittelt werden. Wenn Sie die Verwendung von Tor verbergen müssen, verwenden Sie besser eine Tor-Brücke.

Viele User benutzen VPNs als „zusätzliche Schutzschicht„, falls Tor irgendwie kaputt ist, oder ausfällt. Aber wenn ein Gegner mächtig genug ist, um Tor außer Gefecht zu setzen, sind sie in der Regel auch mächtig genug, um VPNs anzugreifen. Die NSA wäre dabei nur ein Beispiel von vielen möglichen Gegenspielern…

Einige weitere Informationen rund um Tor und VPNs

Jetzt aber schnell wieder zurück zu Obscurix:

Natürlich gibt es auch bei diesem Live-System, ein paar System-Anforderungen. Obscurix benötigt einen 64-Bit-x86-64-Prozessor und mindestens 2 GB RAM.

Obscurix versucht so transparent wie möglich zu sein. Aus diesem Grund steht jedem User der Quellcode zur Prüfung zur Verfügung. In der Dokumentation wird alles so gut es geht erklärt. Wer das Live-Betriebssystem selber einmal ausprobieren möchte, findet hier die Download-Links und viele weitere nützliche Informationen.

Wer Hilfe bei der Installation braucht oder Fragen an den Entwickler hat, kann sich natürlich gerne bei uns im Forum melden. Habt ihr den Telegram-Messenger installiert, kann man seine Fragen natürlich gerne auch in der (neuen) ObscurixOS Gruppe stellen.

Nachtrag:

Obscurix ist momentan immer noch im frühen Entwicklungsstadium. Verlassen Sie sich noch nicht zu 100 % auf die Anonymität oder Stabilität. Ein Update von Obscurix ist für die nächsten Tage geplant.

Quelle Beitragsbild, thx!

Tarnkappe.info

Über

Sunny schreibt seit 2019 für die Tarnkappe. Er verfasst die wöchentlichen Lesetipps und berichtet am liebsten über Themen wie Datenschutz, Hacking und Netzpolitik. Aber auch in unserer monatlichen Glosse, in Interviews und in „Unter dem Radar“ - dem Podcast von Tarnkappe.info - ist er regelmäßig zu hören.