Die zunehmende Neugier verschiedener Akteure macht Anonymität im Internet immer wichtiger. Whonix bietet eine bequem zu installierende und umfassende Lösung, um Ihre Privatsphäre zu wahren.

Nicht erst seit den Enthüllungen Edward Snowdens stellt sich für viele Anwender die Frage, wie sie ihre Kommunikation gegen Ausspähversuche und Spionagesoftware absichern sollen. Dabei stehen häufig speziell bestimmte Berufsgruppen wie Journalisten oder Anwälte sowie Whistleblower und politische Aktivisten im Fokus von Geheimdiensten und anderen Behörden. Um verschlüsselt und anonym via Internet kommunizieren zu können, benötigen Betroffene besondere technische Schutzmaßnahmen.

Auch Unternehmer und Forscher ziehen oft die Aufmerksamkeit auf sich und werden Ziel von Angriffen. Um unbefugte Lauscher auszusperren, liefert nun das in Dresden beheimatete Whonix-Projekt nicht nur diesen Zielgruppen einen interessanten Ansatz: Innerhalb einer virtuellen Maschine (VM) läuft ein speziell gehärtetes und isoliertes System mit Anschluss an das Internet über das Tor-Netzwerk. Diese Kombination ermöglicht eine verschlüsselte und nur schwer nachzuvollziehende Kommunikation.

Quartett

Whonix erhalten Sie für Linux in insgesamt vier Paketen: Neben einem vorbereiteten Gateway für die Virtualbox mit rund 1,8 GByte Umfang liefern die Entwickler eine vollständige Arbeitsumgebung auf Basis von Debian “Stable” mit einer Größe von rund 2,1 GByte, die ebenfalls in Virtualbox als gesondertes System läuft. Die beiden Pakete liegen komplett vorkonfiguriert im OVA-Format zum Herunterladen bereit [1]. Diese Lösung richtet sich an Einsteiger mit geringen Netzwerkkenntnissen, die Entwickler beschreiben sie aber als noch in der Testphase befindlich.

Whonix läuft komplett in einer Virtualbox-Maschine, das Programm muss daher zwingend auf Ihrem System installiert sein. Die meisten Distributionen führen Virtualbox in ihren Repositories, sodass sich die Installation in der Regel auf wenige Mausklicks beschränkt. Alternativ laden Sie die Software direkt bei Oracle herunter [2]. Dort finden Sie auch entsprechende Anleitungen zur Installation.

Ihr Computer muss über eine CPU verfügen, die die VT-x- oder AMD-V-Erweiterungen zur hardwareseitigen Virtualisierung beherrscht. Außerdem braucht er mindestens 4 GByte RAM, da neben dem Host-Betriebssystem zwei virtuelle Maschinen für Whonix aktiv sind. Listing 1 zeigt, wie Sie kontrollieren, ob der Rechner die entsprechende Technik unterstützt. Liefert das Kommando ein leeres Ergebnis zurück, ist der PC zu alt, oder Sie müssen die Hardware-Virtualisierung im BIOS des Rechners aktivieren.

$ egrep '(vmx|svm)' /proc/cpuinfo
flags           : fpu [...] ds_cpl vmx est [...] dtherm arat
[...]

Whonix legt in den VMs zudem zwei virtuelle Massenspeicher mit jeweils 100 GByte Kapazität an, die anfangs auf dem Datenträger insgesamt etwa 10 GByte Plattenplatz in Anspruch nehmen. Da Virtualbox diese Massenspeicher dynamisch alloziert, die virtuellen Disks also erst mit der Auslastung auf dem Datenträger wachsen, müssen Sie nicht 200 GByte Massenspeicherkapazität für die beiden Komponenten von Whonix vorhalten. Der freie Festplattenspeicher sollte jedoch einen Mindestumfang von mehr als 20 GByte aufweisen.

In zwei weiteren, als stabil gekennzeichneten Paketen nutzt Whonix die im Linux-Kernel verankerte KVM-Technologie, um in einer virtuellen Maschine unter KVM/Qemu zu arbeiten. Auch hierzu stehen ein Gateway sowie eine Workstation von etwa gleichem Umfang wie für die Virtualbox bereit [3]. Diese lassen sich mithilfe grafischer Frontends wie dem Virtual Machine Manager nutzen, der einen ähnlich komfortablen Einsatz gestattet wie Virtualbox.

Zu beiden Lösungen finden Sie außerdem im Download-Bereich die dazugehörigen OpenPGP-Signaturen und Schlüssel, mit deren Hilfe sich die Datenintegrität der heruntergeladenen Pakete prüfen lässt. Für Einsteiger stellen die Entwickler dazu eine Anleitung bereit [4].

Funktionsweise

Whonix leitet den gesamten Datenverkehr mithilfe voreingestellter Firewall-Regeln über die im Gateway konfigurierte Tor-Verbindung, während die Whonix-Workstation als dem Gateway nachgeschaltetes Bedieninterface für den Anwender dient. Die Workstation verbindet sich dabei über ein vom Host-System isoliertes Netz mit dem Internet.

Das Gateway verfügt dazu über zwei virtuelle Netzwerkschnittstellen. Damit möchte das Projekt größtmögliche Sicherheit für den Anwender erreichen: Dieser Aufbau verhindert unter anderem, dass Unbefugte IP-Adressen oder besuchte Webseiten abgreifen. Zudem wendet die vom Host-System abgekoppelte VM, sollte ein Angreifer sie denn wirklich unbemerkt mit Malware kompromittieren, Schaden vom Host-System ab.

So verhindert das System DNS- und IP-Protokoll-Leaks und unterbindet mittels Stream Isolation eine sogenannte Identity Correlation. Diese Technik ermöglicht beim Verwenden identischer Übertragungswege im Tor-Netzwerk für verschiedene Applikationen einem Angreifer Rückschlüsse auf die Identität des Anwenders.

Um das hohe Sicherheitsniveau beizubehalten, sollten Sie jedoch auch mit dem Host sorgfältig umgehen, auf dem die virtuellen Maschinen arbeiten. Wird er durch Schadsoftware kompromittiert, zieht das unter Umständen auch die VMs in Mitleidenschaft. Es empfiehlt sich daher, Whonix auf einem frischen Host-System zu installieren.

Installation

Um die beiden Whonix-Maschinen einzurichten, starten Sie Virtualbox und integrieren nacheinander sowohl Gateway als auch Workstation über den Eintrag Appliance importieren… im Menü Datei. Im folgenden Dialog wählen Sie die entsprechende OVA-Datei im Dateimanager aus und klicken unten rechts auf Weiter. Sobald danach die Appliance-Einstellungen erscheinen, klicken Sie unten rechts im Fenster auf Importieren. Virtualbox bindet nun das entsprechende Paket ein und macht die VM einsatzbereit (Abbildung 1).

Abbildung 1: Die Installation der beiden Whonix-Module ist in der Virtualbox schnell erledigt.

Beachten Sie bitte, dass Virtualbox einige Sicherheitsmerkmale von Linux nicht unterstützt, wie etwa die unter Debian möglichen Grsecurity-Erweiterungen des Kernels. Das macht generell eine auf KVM/Qemu aufbauende VM mit vorhandener Grsecurity-Erweiterung unter Debian sicherer als ein Standardsystem mit Virtualbox. KVM/Qemu benötigt jedoch zur Installation und Konfiguration detaillierte Linux-Systemkenntnisse. Eine ausführliche Anleitung zur Aktivierung von KVM und der Installation der Whonix-Komponenten finden Sie im Wiki der Projektseite [5].

In der Virtualbox

Nach Anlegen des Gateways und der Whonix-Maschine starten Sie in Virtualbox zunächst das Gateway. Die Software aktiviert nach entsprechender Auswahl im Bootmanager innerhalb kurzer Zeit einen frisch wirkenden KDE-4.14.2-Desktop, wobei Debian 8 in der 32-Bit-Variante als Grundlage dient. Daher halten sich die Hardware-Anforderungen der VM in Grenzen, sie arbeitet auch auf einem System mit nur 4 GByte Arbeitsspeicher problemlos.

Zunächst öffnet sich ein Fenster mit einigen allgemeinen Informationen, die Sie bestätigen müssen. Danach erscheint ein Setup-Assistent, in dem Sie festlegen, wie Sie das Gateway einrichten wollen. Zur Auswahl stehen eine Verbindung über Tor, eine Anbindung ohne Tor oder ein Netzzugang über einen Proxy-Server mit laufender Firewall (Abbildung 2).

Abbildung 2: Mithilfe eines Assistenten bauen Sie in Whonix die Tor-Verbindung auf.

Nach dem Herstellen des Netzzugangs sucht der Assistent in den Whonix-Repositories “Stable”, “Updates”, “Testers” und “Developers” nach Aktualisierungen. Gleichzeitig blendet die Software Hinweise zum Anpassen der Lokalisierung ein und warnt davor, die Gateway-Maschine als Arbeitsplatz zu nutzen: Sie dient ausschließlich der Konfiguration von Tor und Whonix. Nach entsprechender Bestätigung spielt das System vorhandene Aktualisierungen ein. Danach schließt sich der Assistent, die Grundkonfiguration des Systems steht (Abbildung 3).

Abbildung 3: Der Standard-Desktop von KDE 4.14.2 bildet die Grundlage von Whonix.

Sie finden nun auf dem KDE-Desktop eine stattliche Anzahl verschiedener Icons, die allesamt zu Konfigurationstools verzweigen. Sie dienen der grafischen Verwaltung von Firewall, Tor und Whonix selbst. Als zentrale Elemente fallen hier der Arm-Tor Controller und die Firewall Settings auf, wobei diese zusätzlich zwischen globalen und anwenderbezogenen Firewall-Einstellungen unterscheiden.

Der Arm-Tor Controller (“Anonymizing Relay Monitor-Tor Controller”) fungiert dabei als Monitor für das Tor-Gateway und zeigt nicht nur diverse statistische Werte an, sondern auch Datendurchsatzraten und spezielle Meldungen zur Verbindung. Die Firewall funktioniert vollkommen unabhängig von der Firewall des Host-Systems und ist bereits – in den globalen Einstellungen – gehärtet.

Anpassungen

Als Erstes nehmen Sie einige grundlegende Anpassungen im Gateway vor, um das System gegen physischen Zugriff durch Unbefugte abzusichern. Als Standardbenutzer dienen im Whonix-Gateway die Anwender user und root, jeweils mit dem Passwort changeme. Mit den im Terminal eingegebenen Befehlen sudo passwd user und sudo passwd root lassen beide Kennwörter schnell ändern. In einem weiteren Schritt empfiehlt es sich, die in der Vorgabe US-amerikanische Tastaturbelegung zu ändern. Über das Menü Settings | System Settings | Input Devices wechseln Sie auf das deutsche Layout.

Die Entwickler haben zudem eine Routine in das System implementiert, mit der sich jederzeit die korrekte Konfiguration des Systems überprüfen lässt. Dazu klicken Sie einfach auf das Symbol WhonixCheck auf der Arbeitsoberfläche. Die Applikation führt nun verschiedene Tests durch und kontrolliert, ob eine korrekte Verbindung zum Tor-Dienst besteht und ob für das Betriebssystem Updates anstehen. Diese Prüfungen beanspruchen einige Minuten. Danach teilt Ihnen das Programm die Ergebnisse in einem Informationsfenster mit (Abbildung 4).

Abbildung 4: Mithilfe einer automatisierten Routine überprüfen Sie die Funktion von Whonix.

Weiter stellen Sie ein, wie das System auf anstehende Updates reagieren soll. Voreingestellt spielt es Aktualisierungen automatisch ein, sobald Sie im Terminal mittels sudo apt-get dist-upgrade ein allgemeines Update anstoßen. In diesem Fall installiert die Routine sämtliche Updates der Debian- wie auch der Whonix-Entwickler. Da die Paketverwaltung die Daten ebenfalls durch das Tor-Netzwerk lädt, benötigt dieser Vorgang im Vergleich zu einem herkömmlichen Debian-System mehr Zeit.

Die Whonix-Entwickler bieten daher eine Option, die Updates zu konfigurieren. Sie öffnen diese durch Anklicken des Symbols Whonix Repository auf der Arbeitsoberfläche. In einem einfachen Dialog definieren Sie nun, ob Sie die neuen Dateien lieber manuell oder automatisiert aus einem bestimmten Whonix-Repository einspielen möchten.

Bemerken Sie Probleme beim Internet-Zugang, können Sie den Tor-Dienst neu konfigurieren und starten. Whonix stellt dazu mit Whonix Setup — Whonix connection wizard auf dem Desktop ein einfach zu bedienendes grafisches Tool zur Verfügung. Über die Icons Stop Tor, Reload Tor und Restart Tor lässt sich der Dienst zusätzlich aus der laufenden Sitzung heraus steuern.

Firewall

Auch die Firewall-Einstellungen lassen sich mithilfe der vorhandenen Werkzeuge einfach modifizieren. Die voreingestellten Regeln erreichen Sie über das Symbol Global Firewall Settings auf der Arbeitsoberfläche. Nach anschließender Authentifizierung öffnet sich Kwrite mit den Firewall-Optionen, die für das gesamte System gelten.

In der Textdatei reihen sich die Regeln unter entsprechenden Überschriften ein, wobei der aktiv geschalteten Regel ein kommentierter Absatz mit einer Erklärung vorausgeht. So lässt sich schnell nachvollziehen, welche Regel welchem Zweck dient (Abbildung 5).

Abbildung 5: Die Firewall des Systems konfigurieren Sie über eine einfache Textdatei im Editor.

Nach Änderungen an der Konfiguration speichern Sie die Datei und aktivieren die neuen Regeln durch einen Mausklick auf das Desktop-Symbol Reload Firewall. Eigene Firewall-Regeln definieren Sie über User Firewall Settings auf dem KDE-Desktop, der ein leeres Kwrite-Fenster präsentiert. Hier tragen Sie eigene Regeln frei ein. Diese aktiviert das System ebenfalls nach dem Speichern und Neuladen der Firewall.

Workstation

Für das anonyme Surfen im Internet verwenden Sie die Whonix-Workstation. Nach dem Hochfahren startet das System wie schon beim Gateway das Programm Whonixcheck, das die Systemparameter überprüft. Zum erfolgreichen Abschluss von Whonixcheck muss das Whonix-Gateway aktiv sein, da die Workstation dessen isoliertes Netz zum Internet-Zugang nutzt. Ohne ein korrekt arbeitendes Gateway beendet Whonixcheck sich mit einer Fehlermeldung.

Wie das Gateway stellt auch die Workstation einen KDE-Desktop in Version 4.14.2 zur Verfügung, samt US-Tastaturlayout. Es folgen die bereits bekannten Schritte: Unter System Settings | Input Devices aktivieren Sie die deutsche Tastaturbelegung, über sudo apt-get dist-upgrade spielen Sie anschließend alle anstehenden Updates ein.

Danach klicken Sie auf der Arbeitsoberfläche auf das Symbol Tor Browser (AnonDist). Whonix öffnet nun einen Dialog zur kryptografisch verifizierten Installation des Tor-Browsers: Er fehlt aufgrund schneller Update-Zyklen in der virtuellen Maschine. Sie erhalten über das Skript stets die aktuellste Variante des Browsers, wobei die Routine mehrere Versionen zur Auswahl stellt. Das Herunterladen des Tor-Browsers erfolgt bereits über das Tor-Netzwerk und geht daher deutlich langsamer vonstatten als über eine direkte Verbindung (Abbildung 6).

Abbildung 6: Das System der Whonix-Workstation lädt den Tor-Browser beim ersten Start aus dem Netz und installiert ihn automatisch.

Während der Sitzung lässt sich der gesamte Datentransfer sehr bequem im Whonix-Gateway verfolgen. Das Monitoring rufen Sie über den Eintrag Arm — Tor Controller auf. In einem übersichtlich gehaltenen Ncurses-Bildschirm zeigt Ihnen das System die Transferraten sowie verschiedene statistische Daten zum aktiven Internetzugang und den Systemressourcen an (Abbildung 7).

Abbildung 7: Der Monitor in Whonix-Gateway zeigt übersichtlich, was sich gerade auf der durch Tor getunnelten Leitung tut.

Test

Nach erfolgreicher Installation des Tor-Browsers steht dieser über das Symbol Tor Browser (AnonDist) auf dem Desktop zum Einsatz bereit. Ansonsten finden sich auf dem Desktop lediglich noch zwei Programmstarter für Chat-Anwendungen. Auch die Untermenüs lassen die üblichen Anwendungen vermissen und präsentieren ausschließlich Software, die Online-Anwendungsbereiche abdeckt, wie Video- und Audio-Player oder PDF-Viewer.

Um die Sicherheit des Internetzugangs zu überprüfen, geben Sie im Tor-Browser die URL http://www.ip-check.info ein. Nach einer eingehenden Prüfung der Verbindungsparameter erhalten Sie eine Auflistung der sicherheitsrelevanten Komponenten (Abbildung 8). Um auf Webseiten gern genutzte unsichere Technologien zu vermeiden, nutzt der Tor-Browser von Haus aus die Erweiterungen NoScript und HTTPS Everywhere, die Skripte und unverschlüsselte Verbindungen unterbinden.

Abbildung 8: Nahezu alles im grünen Bereich: Whonix verhindert erfolgreich, dass das System zu viel über den Benutzer verrät.

Fazit

Mithilfe von Whonix erzielen Sie auch auf herkömmlichen Linux-Systemen ein hohes Maß an Anonymität im Internet. Im Gegensatz zu externen Speziallösungen wie gehärteten Distributionen auf USB-Sticks, die im Nur-Lese-Modus arbeiten, eignet sich Whonix auch für stationäre Rechner. Dem Anwender bleibt dabei erspart, zum Wechsel auf das sichere System neu Booten zu müssen. Dabei isoliert sich Whonix völlig vom Wirtsrechner, sodass sich zwischen der Whonix-VM und dem Host keine Daten austauschen lassen – sei es gewollt oder ungewollt.

Zudem halten die Entwickler aus Dresden das Debian-Derivat stets auf dem aktuellen Stand. Das einzige Manko stellen die durch Virtualbox und die zwei darin laufenden virtuellen Maschinen bedingten hohen Hardware-Anforderungen dar: Für flüssiges Arbeiten sollte der Computer über einen halbwegs aktuellen Prozessor, reichlich RAM und viel Speicherplatz verfügen. Sind diese Voraussetzungen erfüllt, stellt Whonix eine der besten Möglichkeiten dar, jederzeit einen anonymen Internetzugang aufzubauen.