Die Live-Distribution Tails 2.9.1 liefert sicherheitsbewussten Anwendern mit dem aktuellen Tor-Browser die Grundlage zum kompletten Anonymisieren des Surfverhaltens.

Wer keine Maßnahmen zu seinem Schutz ergreift, macht sich heute im Internet gläsern und angreifbar. Dagegen helfen neben der Nutzung eines VPNs auch anonymisierende Distributionen wie etwa Tails, das alle Verbindungen zum Internet automatisch durch das Anonymisierungsnetzwerk Tor leitet. Einen hundertprozentigen Schutz gibt es allerdings nicht: Beim VPN muss man dem Anbieter vertrauen, bei Tor dessen Entwicklern und vor allem den weit über 7000 Tor-Knoten und deren Betreibern.

VPN und per Tor anonymisierende Distributionen unterscheiden sich auch in der Anwendungsweise. Während ein VPN meist durchgehend bei der Computernutzung zum Einsatz kommt, agiert Tails als Live-System und eignet sich wegen der durch das Tor-Netzwerk gegebenen Verlangsamung eher nicht für den Dauerbetrieb. Stattdessen wird es meist punktuell genutzt.

Auch für unterwegs

Das Kürzel Tails [1] steht für The Amnesic Incognito Live System. Das Motto der auf Debian basierenden, für den Live-Betrieb konzipierten Distribution lautet “Privatsphäre für jeden, überall”. Sie lässt sich von DVDs, USB-Sticks oder SD-Karten booten und damit stets leicht mitführen.

Dabei kann man auf Flash-Medien in einer separaten Partition auch einen Persistent Modus anlegen, der es erlaubt, Daten aus der Live-Sitzung passwortgeschützt in einem eigenen verschlüsselten Verzeichnis dauerhaft zu speichern [2]. Auf der anderen Seite ist Tails ohne Persistenz zuverlässig vergesslich und zudem unveränderbar. So lässt sich Tails etwa ohne Internetanschluss als völlig anonyme Schreibmaschine für vertrauliche Texte verwenden.

Die Entwickler haben die Distribution in vielen Bereichen bereits für ihren Einsatzzweck vorkonfiguriert, was dem Anwender viel Zeit erspart und fehlerträchtige Einstellungen in sicherheitsrelevanten Bereichen weitgehend ausschließt. Das Projekt veröffentlicht im Schnitt alle zwei Monate eine neue Version. Mitte Dezember ist Tails 2.9.1 erschienen, gerade noch rechtzeitig vor Drucklegung dieser Ausgabe.

Häufig aktualisiert

Tails 2.9.1 folgt mit nur zwei Wochen Abstand auf den Vorgänger 2.7.1 und widmet sich eher der Fehlerbereinigung und Bestandserhaltung als großen Neuerungen. Letztere bleiben Tails 3.0 vorbehalten, das für Juni 2017 auf dem Plan steht und bereits als Alpha-Version vorliegt. Das finale Release soll auf Debian 9 “Stretch” aufsetzen, das vermutlich in der ersten Jahreshälfte 2017 erscheint. Bis dahin plant das Tails-Team noch drei kleinere Veröffentlichungen, als nächste Tails 2.10 Ende Januar 2017.

Neben der Fehlerbereinigung konzentriert sich Tails 2.9.1 hauptsächlich auf das Aktualisieren der mitgelieferten Pakete. So dient der Debian-Kernel 4.7.8-1~bpo8+1 als Grundlage, die Verwaltung des Systems übernimmt in weiten Teilen Systemd 215-17. Als Dreh- und Angelpunkt kommt der Tor-Browser in Version 6.0.8 zum Einsatz, der auf Firefox ESR 45.6.0 aufsetzt (Abbildung 1). Tor selbst ist in Version 0.2.8.10 vertreten. Der E-Mail-Client Thunderbird, der bei Debian derzeit noch Icedove heißt, trägt die Versionsnummer 45.5.1. Eine weitere Änderung gab es bei der Suchmaschine: Ab Tails 2.9.1 kommt hier DuckDuckGo (Abbildung 2) zum Einsatz, auf das auch schon die bisher genutzte Suchmaschine Disconnect.me intern aufsetzte.

Abbildung 1: Der Tor-Browser ermöglicht beim Surfen die Anonymisierung des Nutzers.

Abbildung 2: DuckDuckGo dient der anonymen Suche im Browser.

Wegen einer Sicherheitslücke zogen die Entwickler Debians Paketmanagement-Frontend Apt auf Version 1.0.9.8.4 hoch, weitere Sicherheitslücken wurden in letzter Minute in Firefox ESR und Icedove geschlossen. Die Aktualisierung der Guest Additions auf Version 5.1.8 behob einen Fehler, der verhinderte, dass Tails 2.7.x in Virtualbox startete. Zudem enthält die Dokumentation nun den Hinweis, dass man in VirtualBox in den Einstellungen auf dem Reiter System ein Häkchen bei I/O APIC setzen muss.

Daneben finden sich unter den vorinstallierten Anwendungen unter anderem der Passwortmanager KeePassX, das für die barrierefreie Steuerung von Rechnern konzipierte prognostische Texteingabesystem Dasher, ein Bitcoin-Wallet sowie Gobby als kollaborativer Texteditor.

Zwei in eins

Lassen Sie sich bei der Suche nach einem Tails-Image zum Herunterladen nicht davon verwirren, dass das einzige ISO, das Sie finden, die Kennung i368 für den 32-Bit-Modus trägt. Es handelt sich um ein Hybrid-Image, das je nach Architektur entweder einen 32- oder 64-Bit-Kernel bootet.

Nach dem Start von Tails als Live-System erscheint zunächst ein Bildschirm mit Welcome to Tails (Abbildung 3), der am unteren Rand etwas unscheinbar das Umstellen von Englisch auf Deutsch erlaubt. Die Frage nach weiteren Optionen sollten Sie bejahen, da Sie so am einfachsten an ein standardmäßig deaktiviertes Root-Passwort gelangen. Hier können Sie auch gleich die MAC-Adressen manipulieren, um den Standort zu verschleiern. Zudem lassen sich alle Netzwerkfunktionen deaktivieren.

Abbildung 3: Schon im Begrüßungsdialog von Tails finden sich einige wichtige Einstellungen.

Nach einem Klick auf Anwenden landen Sie auf einem Gnome-Desktop in der relativ aktuellen Version 3.14. Die Entwickler setzen allerdings auf den Gnome-Classic-Modus, der die Gnome Shell so anpasst, das sie in etwa dem Design von Gnome 2 entspricht. Das spart Ressourcen – sinnvoll für ein System, das unter Umständen ständig auf wechselnder Hardware zum Einsatz kommt. Im Hintergrund erstellt das System den Zugang zum Tor-Netzwerk und teilt nach rund einer Minute am unteren Bildschirmrand mit, dass Tor nun bereitsteht.

Starten Sie daraufhin den Tor-Browser, so werden Sie bemerken, dass der Start etwas zäher erfolgt als gewohnt. Das liegt am Tunneln der Verbindung durch das Tor-Netzwerk und betrifft auch das Surfen im Browser. Ob Sie wirklich über Tor surfen, sehen Sie an der kleinen Zwiebel oben rechts im Benachrichtigungsbereich. Ein X auf der Zwiebel bedeutet, dass Tor deaktiviert ist – dann blockiert Tails automatisch alle Verbindungen zum Internet.

Abgesicherte Kommunikation

Ein Klick auf das Zwiebel-Icon und das daraufhin erscheinende Open Onion Circuits öffnet die Liste der derzeit verwendeten Knoten im Tor-Netzwerk (Abbildung 4). Dabei sehen Sie pro Zeile drei Rechnernamen, bei denen es sich um den Eingangs-, Mittel- und Ausgangsknoten des Tor-Netzwerks handelt. Ein Klick auf einen Eintrag lässt Sie rechts die zugehörigen Eigenschaften einsehen, wie den Fingerabdruck, die IP-Adresse, den Standort und die Bandbreite des Knotens.

Abbildung 4: Tails leitet den Datenverkehr über mehrere Tor-Knoten.

Auch den E-Mail-Client Icedove haben die Entwickler für Tails angepasst. Hierbei kommt Torbirdy [3] zum Einsatz, dessen Konfiguration Sie durch einen Klick am unteren rechten Rand des Icedove-Fensters einsehen und editieren. Hier lässt sich das Profil noch verschärfen, indem Sie zwangsweise alle ausgehenden E-Mails mit der Erweiterung Enigma verschlüsseln.

Messenger bieten einen weiteren Weg, über das Internet zu kommunizieren. Tails setzt hier den Pidgin Instant Messenger ein, der per OTR für Verschlüsselung und das sichere Authentifizieren des Gegenübers sorgt. Allerdings ist OTR in Tails standardmäßig deaktiviert, da Sie dafür einen privaten Schlüssel erzeugen müssen [4]. Zur entsprechenden Konfiguration gelangen Sie in Pidgin über Extras | Plugins | Off-the-Record Messaging.

Nutzen Sie Pidgin für IRC via Tor, sollten Sie im Hinterkopf behalten, dass einige Kanäle (wie etwa die von Debian) Besucher über Tor blockieren, da Spammer diesen Weg oft nutzen. Eine Liste mit für Tor geblockten und offenen IRC-Netzwerken finden Sie auf den Webseiten von Tor [5]. Weitere Informationen zur abgesicherten Kommunikation mit Pidgin liefert die Tails-Dokumentation [6].

Installationsoptionen

Das Anwendungsmenü bietet unter dem Punkt Tails neben der Dokumentation auch Zugriff auf die Installationsoptionen. Hier finden Sie den Tails-Installer (Abbildung 5), mit dem Sie das Image auf eine DVD, einen USB-Stick oder eine SD-Karte mit mindestens 3,5 GByte Kapazität befördern. Außerdem haben Sie hier die Möglichkeit, auf dem Installationsmedium einen Bereich für persistente Datenhaltung anzulegen (dazu benötigen Sie zusätzliche Speicherkapazität) oder einen solchen wieder sicher zu überschreiben. Diesen Bereich müssen Sie beim Start in eine Sitzung aktivieren und über ein Passwort freigeben. Der Zugriff erfolgt über das Menü Orte | Persistent.

Abbildung 5: Der Installer bietet mehrere Optionen.

Statt den Installer des Images können Sie unter Debian und dessen Derivaten der Einfachheit halber auch den Tails-Installer über das Paketmanagement herunterladen. Damit benötigen Sie zum Einrichten nur ein Installationsmedium – der Weg aus dem Image heraus erfordert ein zweites Medium, von dem aus Tails startet. Sowohl die Methode über Debian [7] als auch von anderen Distributionen [8] oder von Windows [9] aus beschreibt die Dokumentation minutiös. Darüber hinaus gibt es auch die Option, eine bestehende Tails-Installation, der man vertraut, einfach zu kopieren [10].

Eine Installation aus Debian oder einem seiner Derivate heraus gelingt denkbar einfach. Sie benötigen zum einen ein aktuelles Tails-ISO-Image, zum anderen eine beschreibbare DVD, einen USB-Stick oder eine SD-Karte mit mindestens 3,5 GByte Kapazität und zu guter Letzt den Tails-Installer, den Sie per Apt oder über einen grafischen Paketmanager installieren. Bei Debian 8 “Jessie” müssen Sie dazu die Backports [11] freischalten.

Der Tails-Installer erkennt nach dem Start einen angesteckten USB-Stick automatisch. Betreiben Sie mehrere externe Medien am Rechner, dann achten Sie beim Bestätigen des Ziels penibel darauf, das korrekte Gerät zu wählen, denn der Installer löscht alle Daten darauf unwiederbringlich. Schließlich wählen Sie das Image von Tails an und beginnen die Installation (Abbildung 6).

Abbildung 6: In rund 10 Minuten landet das Abbild auf dem Medium.

Der Vorgang dauert rund zehn Minuten und endet mit einem Neustart des Computers. Anschließend bootet dann Tails vom USB-Stick oder dem entsprechenden Medium. Hierzu müssen Sie gegebenenfalls im BIOS entsprechende Einstellungen vornehmen.

Fazit

Die Live-Distribution Tails nutzt – neben anderen Maßnahmen – das Tor-Netzwerk, um relativ gute Anonymität zu erzeugen. Relativ deshalb, weil sich mit entsprechendem Aufwand auch das Tor-Netz deanonymisieren lässt. Über entsprechende Mittel verfügen allerdings nur Geheimdienste oder Regierungen.

Tails ist nicht für die Installation auf Festplatten in Rechnern gedacht. Das System arbeitet stabil auf der Basis von Debian und erhält häufige Aktualisierungen, um Firefox und den Tor-Browser auf einem aktuellen und damit sicheren Stand zu halten. Es schützt nicht nur das Surfen im Internet, sondern auch den E-Mail-Client und den Messenger.

Möchten Sie tiefer in die Materie einsteigen, dann sollten Sie neben der Tails-Dokumentation auch auf die Arbeit der Aktivistengruppe Capulcu [12] zurückgreifen. Sie bietet im Rahmen ihrer “Hefte zur Förderung des Widerstands gegen den digitalen Zugriff” ein sehr ausführliches Handbuch zur Wirkungsweise und zum Einsatz von Tails.