Re: Live-USB für Whistleblower
wir sind zum schluss gekommen dass qubes das beste ist
Qubes ist ein Betriebsystem mit Fokus auf "Security by Compartmentalization". Ein wichtiger Aspekt davon ist die Trennung verschiedener Sicherheitsbereiche in einzelne VMs. Im Falle eines Breaches verliert man dann vllt nur die "Private" VM, aber nicht "High Value Customer #3", nicht "Vault" und insbesondere nicht "Dom0" (die Domain mit Rechten am Hypervisor). *stark verkürzte Erläuterung*
Es ist ein schönes System, dass ich auch schon im Einsatz hatte. Der Usability <-> Security Tradeof ist allerdings gewöhnungsbedürftig. Aber:
Qubes ist kein sinnvolles Live OS. Live ist mehr zum Ansehen und Anfassen, bevor man es installiert. Und lässt das System viel langsamer aussehen, wie es ist. Qubes frisst RAM, immerhin läuft da XEN + 3 VMs (dom0, net, firewall) ab boot und du startest als erstes mal #4 und #5 (whonix-gw + app) oder noch mehr.
Ein leichtgewichtigeres Live-OS kann diesen RAM nutzen um nicht so oft von dem Medium lesen zu müssen. Ohne aktuelle Hardware (mit iommu) macht Qubes keinen Spaß. Es ist eigentlich dafür gedacht sich eine Festung für den Dauerbetrieb zu schaffen.
Du willst ein Live System um während einer Aktion kaum Spuren
auf dem Rechner zu hinterlassen? Benutze Tails.
Aber deine Frage hat eigentlich einen weiteren Rahmen wie "Live-OS".
Lass uns das ganze in 3 Phasen aufspalten:
1. Exfiltration
2. Cleaning
3. Transport
1. Exfiltration
Das Mitnehmen von Daten kann Spuren hinterlassen, nicht nur auf der eigenen Maschine, insbesondere wenn diese aus einem geschützten Netzwerk kommen. Der verwaltende Server könnte z.B. Aufzeichnen wann er wem diese Daten gesendet hat. D.h. wenn dein Kumpel vom Live-OS aus seine Daten (z.B. Active Directory Account) angeben muss um an die Daten zu kommen, dann nützt ihm das Live-OS vielleicht gar nichts.
Story: Auf einer Konferenz gab es einen interessanten Vortrag zu IT Forensik in dem erzählt wurde, wie jemand über mehrere "remote Desktop" Hops versucht hatte auf eine high-security Maschine zu kommen. Dumm nur, dass Windows mehr auf Usability setzt und den Drucker, der neben dem Dieb stand, auf dem Ziel registriert hat, falls der Dieb etwas drucken will, was er remote offen hat. 5 Minuten mit den Logs des Ziels -> Erwischt. Gleicher Vortrag: "Auf dem Desktop eines Verdächtigen lag ein Ordner mit Betriebsgeheimnissen und einer Präsentation über diese, adressiert an die Konkurrenz."
Tip: Wer kein Shredder-Tool für Dateien hat, sollte eins anfragen. Nehmt den Datenschutzbeauftragten CC, der freut sich, wegen DSGVO und so. Selbes gilt für Backups ;-)
TOR: Selbst wenn TOR als TLS-Web-Traffic getarnt ist, kann das in einem Corp / Gov Network auffallen, denn die Relays und Bridges könnten dem IDS bekannt sein. Das meldet dann eine "possible malware infection: connection to TOR bridge". "Warum läuft TOR über deinen Netzwerkadapter?" ist kein Gespräch, dass dein Freund wenige Tage vor einem Leak mit der Internen Sicherheit führen will.
Ändern der MAC kann interessant sein um zu verschleiern welche Hardware auf die Daten zugegriffen hat / nach Außen kommuniziert hat. Mit einer unbekannten MAC bekommt das Live-OS aber eventuell gar keine Verbindung im geschützten Netzwerk. Mit etwas Pech wird sogar eine 802.1X Authentication benötigt.
Die Sache mit der Masse: wenn die Exfiltration über Nacht laufen muss, weil es so viel ist, dann ist es keine gute Idee: ungewöhnlich hoher Upload kann dazu führen, dass jemand Fragen stellt, wie z.B. "Machst du da Filesharing über unser Netzwerk?"
Story: Manning ist angeblich mit einer gebrannten CD mit Aufschrift "Lady Gaga" aus der Secure Area gelaufen.
2. Cleaning
Metadaten aus allen Dateien entfernen. Finger weg von Druckern: diese hinterlassen kleine Signaturen im Druck. Wenn Drucken notwendig ist, dann den Ausdruck wieder abfotografieren und verlustbehaftet komprimieren (jpg). Auch die Auswahl der Dokumente kann einen verraten oder zumindest den Kreis der Verdächtigen auf wenige Personen reduzieren. Dokumente könnten so aussehen, als ob sie vielen Subunternehmen ausgehändigt wurden, aber in Wahrheit hat jedes eine leicht unterschiedliche Version erhalten. DOC zu PDF wurde erwähnt. Wie wäre es mit DOC -> HTML -> Säubern + Bilder verlustbehaftet komprimieren. Keine eigenen Kopien behalten oder nur als gut verstecktes verschlüsseltes Archiv.
3. Transport
Verschlüsselung ist Key: werden die Daten abgefangen, können sie nicht eingesehen werden. Bei asymetrischen Verfahren auf jeden Fall einen neuen Key erzeugen und nicht mit der eigenen Identität signieren xD
Auch Steganographie ist praktisch: Oberflächlich wird eine harmlose Datei versendet, nur eine genauere Analyse würde zeigen, dass diese weitere, verschlüsselte Daten enthält.
Story: die VPNFilter Malware hat Bilder von Photobucket geladen und aus den EXIF Daten dann die Adressen ihrer Command and Control Server bezogen. Keine krypto-stego aber trotzdem ein schönes Beispiel.
TOR kann nützlich sein, um zu verschleiern, dass Sender und Empfänger Kontakt zueinander hatten. Auch ein Dead-Drop erhöht die Distanz zwischen den Beiden.
Tails kann nützlich sein um abzustreiten, dass ein Sender oder Empfänger an der Kommunikation teilgenommen hat, denn das installierte OS war im fraglichen Zeitraum ausgeschaltet und hat nichts geloggt.
Das erwähnte Internetcafe ein guter Ort fürs Senden, dann dann sieht auch der eigene ISP nicht, dass man über TOR kommuniziert. Da schrillt dann kein IDS, aber die Ermittler denken sich ihren Teil, wenn es nur bei einem der Verdächtigen im Vorratsdatenspeicher steht. Für deinen Bekannten kann es daher interessant sein daheim nie TOR einzusetzen. Auf ISP + VDS + Forensik Ebene kann davon ausgegangen werden, dass viele TOR Bridges bekannt sind. Das Cloud Bridge Project arbeitete dagegen, indem es jedem ermöglicht eine Bridge in die Cloud zu schießen, wurde aber wegen mangelnder Maintenance eingestellt.
Die Mac zu ändern macht die Logs des Cafes unbrauchbar. Wichtig ist auch keine unvergesslichen Momente mit dem Inhaber zu teilen ("Boah du nutzt Tails? Ich warte ja schon seit ich den Laden aufgemacht habe, dass mal einer wie du hier auftaucht, ....") und sich so hinzusetzen, dass keine Kamera was interessantes filmen kann.
Neben den brisanten Daten an sich wird es auch Kanäle geben, über die Protokolle, Dead-Drop Locations und Schlüssel ausgetauscht werden. Diese Informationen sind beim Sender und Empfänger vorhanden.
Story: Manning wurde verpetzt, die Chatlogs gingen vom Empfänger ans FBI und enthielten zu viele Details über den Sender.
Hier wird "Security by Compartmentalization" wieder interessant, wenn auch nicht auf technischer Ebene, sondern im klassischem Sinn.