Paranoide ArchLinux User


Wer seinem Linux System im Allgemeinen und ArchLinux im Besonderen nicht vertraut wird auf die krude Idee kommen, doch einmal nachzuschauen, was genau das Betriebssystem per Default an Daten ins Internet sendet. Womöglich sind darunter ja auch Geolocation Daten? Man kann nie wissen …

Um eine umfassende Übersicht zu erhalten, muss man das Betriebssystem in einer virtuellen Maschine booten und den Datentraffic mitschneiden. Dankenswerterweise ist dieses Feature bereits in Qemu eingebaut, so dass man micht tcpdump bemühen muss:

qemu-system-x86_64 -hda antergos-harddrive.img -m 1024 -enable-kvm -net nic,model=e1000 -net dump,file=/tmp/vm1.pcap -net user

Jetzt bootet man die Virtuelle Maschine und der Traffic wird umgeleitet in die Datei „vm1.pcap“. Irgendwelche Webseiten ruft man nicht auf, sondern man bootet nur und fährt sofort den Rechner wieder herunter. Eine Auswertung des Traffics mit Hilfe des Wireshark Tools ergibt folgendes:

# Hosts information in Wireshark 
#
# Host data gathered from vm1.pcap

144.76.110.228				mirror.gnomus.de
82.192.75.147				mirrors.antergos.com
37.58.58.140				mirror.fra10.de.leaseweb.NET
2a00:c98:2030:a034::21			mirror.fra10.de.leaseweb.NET

Nichts aufregendes darunter, es wird lediglich eine Verbindung zu Update-Servern aufgebaut, was erwünscht sein dürfte um das Betriebssystem zu aktualisieren. Wesentlich spannender ist es, wenn man sich in ArchLinux einloggt und den Dienst „Gnome-maps“ startet. Dort wird dann folgender Traffic generiert:

52.49.88.93	locprod1-elb-eu-west-1.prod.mozaws.NET
209.132.180.168	proxy.gnome.org
52.208.68.1	locprod1-elb-eu-west-1.prod.mozaws.NET
54.72.137.132	locprod1-elb-eu-west-1.prod.mozaws.NET
209.132.180.180	proxy.gnome.org
144.76.70.77	germany.tile.openstreetmap.org
81.7.11.83	germany.tile.openstreetmap.org

Einmal werden Daten zu Openstreetmap und einmal zur Mozilla Foundation gesendet. Vermutlich handelt es sich dabei um die SSIDs aus der Nachbarschaft. Wenn also alle Gnome-Nutzer gleichzeitig ihren Kartendienst starten, weiß Mozilla bis auf den Meter genau wo jeweils das Notebook eines jeden steht. Prima Sache, wenn man als Ziel hat, die User maximal auszuspionieren.

Anders als auf iphone Geräten gibt es bei Linux auch keinen expliziten Schalter um sowas zu unterbinden und es gibt auch keine Nachfrage beim User ob er wirklich seine Daten weitergeben möchte.

Wenn man im Detail wissen möchte, was die HTTP-Pakete inhaltlich enthalten also den Routernamen der gesendet wird, dann wird man feststellen, dass der Traffic mittels SSL verschlüsselt ist. Man kann also nicht einsehen, was geoclue genau sendet.

WLAN Passwörter
Dass der Dienst Geoclue die Positionsdaten des Nutzers ins Internet sendet ist allgemein bekannt. Aber wie ist es eigentlich um noch sensiblere Daten wie WLAN Schlüssel bestellt? Von Android Geräten ist bekannt, dass diese eine Backup-Funktion anbieten, bei der WLAN Schlüssel an Google gesendet werden. Ist so ein Dienst möglicherweise auch bei ArchLinux aktiv?

Um das zu ergründen muss man zuerst einmal herausfinden, wo ArchLinux die WLAN Schlüssel speichert. Und zwar befindet sich in „/etc/NetworkManager/system-connections“ eine Datei wo die Netzwerkverbindungen abgelegt sind. Man benötigt Root Rechte um dort zuzugreifen und im Abschnitt [wifi-security] befindet sich dann das Passwort. Soweit eine übliche Praxis, die man benötigt, wenn man eine Wifi-Verbindung über die Kommandozeile manuell einrichten möchte.

Interessant wird es jedoch wenn man untersucht ob der Geoclue Dienst Zugriff auf diese Datei erhält. Es gibt dazu einen Bugtracker Eintrag http://lists.shmoo.com/pipermail/hostap/2014-April/030028.html wo ein Developer genau diesen Umstand beklagt. Genauer gesagt geht es um die Frage, ob und wie man über d-bus Zugriff erhält auf die WLAN Schlüssel. Hier http://linuxwireless.org/en/developers/GSoC/2009/GeoClue_regulatory/__v12.html gibt es weitere Informationen wonach ganz offiziell angedacht ist, dass Geoclue Zugriff erhält auf wpa_supplicant um wie es heißt:

„The second part of the project will be implemented by extending Network Manager to make use of the information supplied by GeoClue to be able to seed to wpa_supplicant, the country which should be set for the current regulatory domain, which in turn passes the information to the kernel.“

Das ganze ist nicht etwa veröffentlicht worden in einem Underground-Forum sondern stammt von linuxwireless.org, einer Standardisierungsbehörde die sich mit Linux Programmierung beschäftigt.

Mit Sicherheit kann man sagen, dass der Geoclue Dienst ins Internet die Umgebungs-WLAN SSIDs sendet. Mit einer gewissen Wahrscheinlichkeit wird jedoch noch mehr gesendet und zwar das WLAN Passwort. Konkrete Belege für diese These gibt es keine, man müsste dafür den Sourcecode genauer analysieren. Was man jedoch sagen kann ist, dass der Bigbrother Award 2016 für die privacy invasivste Software an Geoclue und die Linux-Foundation geht. Herzlichen Glückwunsch.

AUSWEGE?
Richtig interessant wird es, wenn man einmal nachforscht bei welchen Linux-Distributionen Geoclue im Einsatz ist: komischerweise betrifft das alle. Eine Diskussion darüber ob die Nutzer sowas wollen gibt es keine. Das einzige was in der Öffentlichkeit bisher thematisiert wurde, war die Frage ob Ubuntu die Suchbegriffe zu Amazon senden darf und wie man diesen Dienst abschaltet. Das da aber noch vielmehr gesendet wird und nicht nur von Ubuntu wurde bisher nicht diskutiert.

Der Grund warum das in der OpenSource Welt nicht als Problem angesehen wird, hat etwas mit dem umgekehrten Sicherheitsbegriff zu tun. Unter dem Oberbegriff Data-Leak-Prevention wird Sicherheit so definiert, dass das Unternehmen alles weiß was der einzelne Mitarbeiter mit seinem Rechner anstellt. Auch und vor allem Mitarbeiter die bei sich Linux installiert haben. Die maximale Sicherheit ist dann erreicht, wenn es keine Geheimnisse mehr gibt. Und mit dieser Zielstellung werden auch die Bug-Tracker-Einträge verfasst. Es wird alles als Problem angesehen, wo der User nicht geortet werden kann, wo seine Passworte nicht bekannt sind, wo er erfolgreich etwas verschlüsselt.

GEOCLUE
Sehr interessant ist das Changelog von Geoclue, http://upstream.rosalinux.ru/changelogs/geoclue/2.2.0/changelog.html Dort heißt es, dass in Version 2.1.9 die mögliche Abfrage des Wifi-Passwortes eingebaut wurde:

2.1.9
===== 
- Move from NetworkManager to direct use of wpa_supplicant to retreive WiFI
  data, for greater portability.

Wenn man sich den Sourcecode anschaut was dort genau abgefragt wird, so lässt sich zweifelsfrei erkennen, dass Geoclue zwar die BSSID abfragt, dass jedoch das Datenfeld PSK ausgelesen wird (=WLAN Passwort) lässt sich nicht belegen. Anders gesagt, es ist unklar wie aggressiv Geoclue tatsächlich vorgeht.

Fakt ist jedoch, dass zumindest in der Android Version von dbus eine Unterfunktion enthalten ist, mit der der PSK Schlüssel ausgelesen wird, sonst könnte Android das Passwort wohl kaum zu Google senden.

Advertisements

Ein Gedanke zu “Paranoide ArchLinux User

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s