Spionage bei Linux Systemen

Wer sich als Windows 10 Nutzer schon etwas näher mit den Datenschutzbestimmungen auseinandergesetzt hat wird bemerken, dass der Computer sehr viele Daten zu Microsoft sendet. Angefangen von WLAN-Daten, Passwörtern, Geolocation-Daten und die installierten Programme. Es gibt zwar einige Anleitungen im Netz wo man das Abstellen kann, doch realistisch betrachtet sind diese Schalter wirkungslos. Es handelt sich um Spielschalter die egal in welcher Position sie sind, dennoch die selben Daten versenden.

Aber wie sieht die Lage eigentlich bei Linux aus? Auf den ersten Blick ist dort noch alles gut. Der Sourcecode ist offen, Datenschutzprobleme gibt es keine und bei der Installation muss man sich auch nicht irgendwo registrieren. Wir haben also den Fall dass Windows 10 Anwender Megabyteweise Daten zu Microsoft schaufeln, mit Name, Anschrift und Marke des Toilettenpapiers, während die Linux-User anonym an ihrer Maschine arbeiten.

Wer jedoch etwas tiefer vordringt in die Untiefen von ArchLinux wird erkennen, dass es sich dabei um einen Trugschluss handelt. Linux besitzt mindestens ebenso mächtige Spionage-Tools die jedoch weit weniger öffentlich bekannt sind. Machen wir es mal etwas konkreter, damit hier keine BadBios ähnlichen Verschwörungen entstehen die ohne Beweise daherkommen:

Um die Geolocation des eigenen Rechners abzufragen kann man den Befehl

qdbus --literal org.freedesktop.Geoclue.Providers.UbuntuGeoIP /org/freedesktop/Geoclue/Providers/UbuntuGeoIP org.freedesktop.Geoclue.Position.GetPosition

eintippen. Als Rückgabe erhält man einen gerundeten Wert bezüglich Longitute und Latitde des eigenen Rechners. Diesen gibt man bei Google Maps ins Suchfeld ein in der Syntax “41.40338, 2.17403”. Wenn man wissen möchte, welche WLAN Stationen empfangbar sind kann man die Anleitung auf https://liquidat.wordpress.com/2014/03/18/howto-using-dbus-to-query-status-information-from-networkmanager-or-others/ befolgen. Dort kommt ebenfalls das DBUS Framework zum Einsatz, dessen Fähigkeiten man grob mit

qdbus --system

einsehen kann. Jetzt müssen diese Daten nur noch vom lokalen Rechner ins Internet gelangen, möglichst verschlüsselt natürlich. Auch das ist kein Problem, weil Webbrowser wie Firefox per Default Zugriff auf DBUS erhalten. Eine Überprüfung, was genau Firefox da versendet gibt es bei Linux keine. Ja mehr noch, bei Windows 10 weiß der Anwender wenigstens, dass seine Geodaten bei Microsoft landen, bei Linux lässt man den User komplett im Dunkeln.

Eine Anleitung wie man dbus über die BASH abfragt gibt es auf http://cheesehead-techblog.blogspot.de/2012/09/dbus-tutorial-fun-with-network-manager.html

WARHEIT UND FIKTION
Die übliche Berichterstattung über Linux-Betriebssysteme geht ungefähr so: Microsft Windows ist schlecht, weil dort sich der Nutzer registrieren muss und weil Viren sich einnisten können, desweiteren versucht der Konzern Geld zu verdienen mit dem Verkauf von Software. Bei Linux hingegen ist die Welt gut und der Nutzer hat die volle Kontrolle über seinen PC.

Aber, diese Aussage ist keineswegs der Ist-Zustand aus technischer Seite sondern stellt eher eine Mischung aus Unkenntnis und pädagogischer Indoktrination da. Es geht nicht darum, über Linux sachlich aufzuklären sondern die Realität zu verzerren. Es ist eine sehr einseitige Darstellung die die tatsächlichen Gefahren von OpenSource ausblendet. OpenSource ist organisierte Verantwortungslosigkeit bei dem Datenschutzprobleme auf den Sourcecode reduziert werden. Um den Machern der Software nachzuweisen, dass sie bewusst etwas falsch gemacht haben, muss man schon direkt auf die Stelle des Codes hinweisen und auch dort hört man noch Ausreden, dass Geoclue ja eigentlich etwas anderes macht, als Nutzerdaten zu Microsoft zu senden. Doch die Beweise sind erdrückend: ein Wireshark-Scan ergibt, dass bei einer normalen Nutzung massenhaft verschlüsselte Daten an entfernte Server gesendet werden ohne Zustimmung ds betroffenen und die Funktionalität von Geoclue ist explizit darauf ausgerichtet, Standortdaten abzugreifen. Wo also soll Linux sicher sein? Wo wird da Privatssphäre geschützt?

Irgendwer hat mal gesagt, dass es auf der Welt nichts umsonst gibt. Linux ist auch nicht umsonst, bei Linux bezahlt der User mit seinen Daten. Machen wir uns nichts vor: Softwareerstellung war noch nie etwas seriöses. In den Anfangstagen von Microsoft hat Bill Gates eine Zeitlang in einem heruntergekommenen Motel genächtigt und Linux ist sogar noch weiter dran am Computerunderground. Warum also sollte ausgerechnet dieses Betriebssystem sicher sein?

Wie kann man als User damit umgehen? Die Antwort lautet, dass der normale Anwender nicht im Stande ist, einfach seinen eigenen Webbrowser zu programmieren der einseits Videos anzeigen kann aber gleichzeitig besser Daten schützt. Auch wird es dem Normaluser schwer gelingen mal eben so, Gnome und Freedesktop nachzuprogrammieren. Sondern er hat nur die Wahl entweder Linux oder Windows einzusetzen was beides problematisch ist. Alternativ kann er sich noch Apple anvertrauen wo ebenfalls alle Daten ausgespäht werden. Selbst wer mit dem ultrasicheren Tails Betriebssystem unterwegs ist, dürfte für Google und Co ähnlich wie eine Leuchtboje von sehr weit zu sehen sein.

SICHERHEITSLÜCKEN
Aber nicht nur dass Linux fleißig spioniert, darüberhinaus ist es auch genauso verwundbar wie es Windows Systeme sind. Auf https://people.canonical.com/~ubuntu-security/cve/universe.html wird detailiert aufgelistet, welche Ubuntu Version welche Sicherheitslücke enthält. Wenn das Zielsystem eines der Programme mitbringt ist der Rest für regelmäßige Hak5 Zuschauer welche der bezaubernden Shannon Morse zugehört haben, eine Fingerübung. Mag sein, dass es da draußen Betriebssysteme gibt, die nichts über ihre Nutzer verraten und auf denen man sicheres Online-Banking betreiben kann, Linux gehört jedenfalls nicht dazu.

Schaut man sich einmal die Berichte darüber an, welche Firmen gehackt wurden und bei welcher Forensoftware die Nutzerdaten abhanden gekommen sind so spielt Linux da eine wichtige Rolle. Fast könnte man denken, dass Linux explizit dafür entwickelt wurde, es leicht umgehen zu können. Oder wie soll man die CVE Liste die oben verlinkt wurde sonst werten? Glaubt ernsthaft jemand bei Canonical ein Server wird dadurch sicherer, wenn man den potentiellen Angreifern auf dem Silbertablett präsentiert welche ungepatchten Sicherheitslücken die Software besitzt?

ANDROID
Das Linux-Desktop Systeme ihre Nutzer einem Risiko aussetzen ausgespäht zu werden ist bekannt. Noch dramatischer sieht die Lage bei Android aus. Hier kann man nur unterstellen, dass das Ökosystem grob fahrlässig errichtet wurde um 1 Milliarde Nutzer ganz bewusst angreifbar zu machen.