Tauchfahrt mit Linux – Colocation Anti-Forensik › Ikhaya

Tauchfahrt mit Linux – Colocation Anti-Forensik

Das Projekt „Tauchfahrt mit Linux“ hat Werkzeuge und Anleitungen veröffentlicht, um einen angemieteten Server so abzusichern und vollständig zu verschlüsseln, dass er gegen physikalische Angriffe geschützt ist.

Logo des Blogs zur
„Tauchfahrt mit Linux“

Server im Internet bei einem Internet Service Provider (kurz: ISP) zu mieten oder einen gekauften Server an einem weit entfernten Ort aufzustellen ist günstig, gegebenenfalls näher am Kunden und bietet den Vorteil von vertragliche Garantien, die im heimischen Keller nicht ökonomisch sinnvoll zu realisieren sind. Aber es ist nicht alles Gold, was glänzt. So hat der Provider im wahrsten Sinne des Wortes die Macht. Dass diese Macht nicht nur positive Seiten haben kann, zeigen Einbrüche und Logindaten-Diebstahl im aktuellen Jahr wie zum Beispiel bei Hetzner und OVH.

Dem Provider muss man vertrauen. Aber was, wenn nicht?

Wie weit ist die Kontrolle über den eigenen Server ausübbar und wo liegen die Grenzen, wenn man den Provider nicht länger als Partner, sondern als potenzielle Bedrohung sieht?

Die Möglichkeiten, den eigenen Server physikalisch anzugreifen, sind schier unendlich. Das Ausbauen der Festplatten, Verändern von Daten oder Anschluss mittels Maus und Tastatur sind nur Einige von sehr vielen Möglichkeiten, wie der Provider auf den gemieteten Server einwirken kann.

Um sich möglichst gut (auch hier gibt es keine absolute Sicherheit) gegen die wahrscheinlichsten forensischen Maßnahmen zu verteidigen, bietet sich Verschlüsselung an. Doch auch Verschlüsselung ist kein Allheilmittel und muss eingebettet ins Umfeld betrachtet werden.

Wie wird der Schlüssel sicher über das Internet übertragen?
Wie können die physikalischen Bedrohungen abgewendet werden?
Wie kann der Server dabei weiterhin unauffällig aussehen?

Mit Hilfe von Verschlüsselung und Anti-Forensik Maßnahmen bietet das Projekt „Tauchfahrt mit Linux“ einen möglichen Ansatz, um einige sehr wahrscheinliche Angriffe auf physikalischer Ebene zu vereiteln. Dazu gehört der Einsatz eines alternativen gettys und ein sicherer Weg in die Initrd-Umgebung des Servers, bevor die Systempartition eingebunden wird (SSH Remote Unlock). Am Ende steht ein Server zur Verfügung, der vollständig verschlüsselt und gegen wahrscheinliche physikalische Angriffe geschützt ist.

Vortragsfolien, die einen groben Einblick in die Bedrohungen und getroffenen Maßnahmen bieten, sowie eine Zusammenstellung von Anleitungen und Informationsmaterial sind auf der Projektseite zu finden. Eine Anleitung für die Installation von Debian GNU/Linux nach diesem Verfahren steht ebenfalls zur Verfügung.

Vielen Dank an Falk für die Einsendung dieses Artikels!

Veröffentlicht von toddy | 18. Oktober 2013 08:30 | Kategorie: Projektvorstellung | # Fehler im Artikel melden

nougad

1 18. Oktober 2013 11:48

Schöne Anleitung, wie man eine luks partition über dropbox im initramfs unlocked. Ich wusste bisher nicht, dass ubuntu diese Option bietet.

Leider verspielt das der Author gleich wieder. Wenn der Provider Hardwarezugriff hat, kann er alles tun. ALLES. Inclusive Keylogger oder Kernel austauschen. Das stellt auch der Author fest nur leider ist seine Lösung dafür sehr fragwürdig. Checksummen über alle Dateien im initramfs bei jedem start zu machen hört sich erst einmal sinnvoll an, aber wenn der Provider auch den Kernel austauschen kann, ist es nutzlos. Der Kernel könnte zum Beispiel einfach falsche Checksummen zurück geben. Somit wären die Dateien zwar verändert aber die Checksumme dennoch korrekt.

Ansonsten schönes Howto mit nur ein paar kleinen Fehlern (wget --no-check-certificate - für den GPG key ohne Hinweis diesen noch einmal manuell zu prüfen?)