TAILS von USB - Gefahr für die nicht gebootete Windows-Installation auf der SSD?

[Tim1974]

Hallo,

ich habe mir einen TAILS-Stick erstellt, mit dem ich meinen PC auch ganz gut booten kann, läuft alles bisher sehr schön für so ein Live-System.
Allerdings habe ich ein paar Fragen, die ich mit Hilfe von Google bisher nicht zu meiner Zufriedenheit klären konnte:

1. Wenn ich TAILS vom USB-Stick boote ist ja meine eingebaute SSD mit meiner Windows 10 Installation anscheinend nicht eingehängt. Will ich die einhängen, fragt er nach einem Passwort, welches ich aber nicht kenne und ich hab auch keines vergeben.
Wenn ich die englischen Texte zu übersetzen versuche, kommt für mich dabei raus, daß es sicherer ist kein Passwort zu vergeben, weil dann niemand auf die SSD zugreifen kann, wenn ich aber ein Passwort vergebe und es jemand knackt, kann er auf die SSD zugreifen, richtig?

2. Wenn ich jetzt ohne ein Passwort eingerichtet zu haben mit dem vom USB-Stick gebooteten TAILS-System die schrägsten und gefährlichsten Webseiten ansurfen würde, könnte dann trotzdem keinerlei Schadsoftware meine Windows-Partitionen auf der SSD angreifen bzw. befallen?
Ich meine nur z.B. durchs surfen, Videos schauen etc. ich rede nicht von Downloads und Installationen von dubioser Software!

Gruß
Tim

 

[DJKuhpisse]

Wird da ein Kennwort (z.B. für einen Benutzer wie root oder das sudo-Kennwort) gefragt?
Dann ist das nur ein fehlendes Recht unter dem Benutzer, unter dem du gerade in Tails arbeitest.

Dann kann auch von Tails drauf zugegriffen werden.
Willst du das nicht, würde ich die Win-Platte verschlüsseln. Dann ist der maximal erreichbare Schaden die Zerstörung der Daten, aber Abgreifen geht dann nicht.

 

[IsoldeMaduschen]

1. Wenn ich TAILS vom USB-Stick boote ist ja meine eingebaute SSD mit meiner Windows 10 Installation anscheinend nicht eingehängt.

Standart bei Tails

wenn ich aber ein Passwort vergebe und es jemand knackt, kann er auf die SSD zugreifen, richtig?...

Ja(in) je nach dem was der Herr XY von seinem PC aus kann.

2. Wenn ich jetzt ohne ein Passwort eingerichtet zu haben mit dem vom USB-Stick gebooteten TAILS-System die schrägsten und gefährlichsten Webseiten ansurfen würde, könnte dann trotzdem keinerlei Schadsoftware meine Windows-Partitionen auf der SSD angreifen bzw. befallen?
Ich meine nur z.B. durchs surfen, Videos schauen etc. ich rede nicht von Downloads und Installationen von dubioser Software!

Hat man dir in einem vorhandenen Thread erklärt: Es ist alles unter einem Live System möglich.

 

[Tim1974]

Wird da ein Kennwort (z.B. für einen Benutzer wie root oder das sudo-Kennwort) gefragt?

Ja, ich glaube das ist es.
Es kam mir so vor, als fragt er nach einem Passwort, was es aber noch gar nicht gibt, weil ich ja noch keines festgelegt hatte.

Dann kann auch von Tails drauf zugegriffen werden.
Willst du das nicht, würde ich die Win-Platte verschlüsseln. Dann ist der maximal erreichbare Schaden die Zerstörung der Daten, aber Abgreifen geht dann nicht.

Das wäre mir auch am liebsten, ist aber bei einer fertigen Installation vermutlich nachträglich nicht mehr möglich?
Außerdem kostet es vermutlich Geschwindigkeit mit einem verschlüsselten System zu arbeiten?

Am liebsten wäre mir ein mechanischer Schalter, mit dem ich die SATA3-Verbindung zur SSD unterbrechen könnte, aber das würde sicherlich einiges an Verschleiß bedeuten, denn die SATA3-Stecker sind sicher nicht dafür ausgelegt ca. einmal am Tag gezogen und danach wieder eingesteckt zu werden.

 

[DJKuhpisse]

Bitlocker geht auf jeden Fall bei einem bestehenden System. Nimm aber dann die PIN und nicht die TPM-Variante.

 

[Tim1974]

Hat man dir in einem vorhandenen Thread erklärt: Es ist alles unter einem Live System möglich.

Welchen Sinn macht dann das Live-System, wenn es die vorhandene Installation nicht vor Schadsoftware schützen kann?
Wenn es nur um Annonymität geht, kann ich ja unter Windows 10 den Tor-Browser nutzen, es geht mir aber zum einen um Annonymisierung und zum anderen um einen sicheren Schutz der Windows-Partitionen und meiner Daten da drauf.

Bitlocker geht auf jeden Fall bei einem bestehenden System. Nimm aber dann die PIN und nicht die TPM-Variante.

Was ist denn das?
Ist Bitlocker ein anderes Live-System?
Was ist der Unterschied zwischen PIN und TPM?

 

[DJKuhpisse]

Damit z.B. Microsoft bzw. Software auf Windows dir nicht reinfunkt.
Das Live-System ist, sofern auf CD/DVD, auch nicht veränderbar, nach einem Neustart alles wieder beim Alten.

 

[IsoldeMaduschen]

Welchen Sinn macht dann das Live-System, wenn es die vorhandene Installation nicht vor Schadsoftware schützen kann?

Frag die Menschen, die einem nur das gute Anbieten

Wenn es nur um Annonymität geht, kann ich ja unter Windows 10 den Tor-Browser nutzen, es geht mir aber zum einen um Annonymisierung und zum anderen um einen sicheren Schutz der Windows-Partitionen und meiner Daten da drauf.

Annonymisierung Windows 10 und Tor ähm nein

 

[DJKuhpisse]

Was ist denn das?
Ist Bitlocker ein anderes Live-System?
Was ist der Unterschied zwischen PIN und TPM?

Bitlocker ist eine Laufwerksverschlüsselung unter Windows, benötigt aber meines Wissens min. Win 10 Pro, unter Home geht das nicht. Da könnte man aber VeraCrypt nutzen.
TPM steht für Trusted Platform Module, aber diesem geraffel würde ich nicht trauen, sowas wie ein Kennwort gehört in den Kopf.
Die PIN wäre so eine Option.

 

[Tim1974]

Danke für die Erklärungen, ich merke aber, daß ich einfach etwas wenig Ahnung von der Thematik habe, weniger als ich erst dachte.

Ich versteh einfach nicht, warum es möglich sein soll, von einem gebooteten Live-Linux aus eine Schadsoftware auf einer Windows-Partition zu installieren, denn Windows-Codes laufen doch unter dem Live-Linux nicht, oder doch?
Und Linux-Schadsoftware gibt ja so gut wie keine in freier Wildbahn und wenn würde sie ja eigentlich beim Reboot beseitigt werden, weil TAILS wenn ich das richtig verstehe ja nur in den RAM schreiben darf?
Wenn es nur in den RAM schreiben darf oder kann, wie kann dann eine Gefahr für eine Windows-Partition entstehen?

 

[IsoldeMaduschen]

Ich versteh einfach nicht, warum es möglich sein soll, von einem gebooteten Live-Linux aus eine Schadsoftware auf einer Windows-Partition zu installieren, denn Windows-Codes laufen doch unter dem Live-Linux nicht, oder doch? Wenn es nur in den RAM schreiben darf oder kann, wie kann dann eine Gefahr für eine Windows-Partition entstehen?

Malware/Virus mount /dev/sdX

Und Linux-Schadsoftware gibt ja so gut wie keine in freier Wildbahn

Oh man ... Linux ist nicht Viren- bzw. von Malware befreit https://www.zdnet.de/88389584/linux-version-der-erpressersoftware-ransomexx-entdeckt

A New Linux Malware Targeting High-Performance Computing Clusters

A New Linux Malware Targeting High-Performance Computing Clusters

thehackernews.com

 

[rabe08]

Btw, https://tails.boum.org/doc/first_steps/welcome_screen/administration_password/index.de.html

Generell ist Sicherheit/Privacy in der IT ein Thema, das ganz stark davon abhängt, dass der User weiß, was er tut. Es ist nicht, eine bestimmte Software einzusetzen und alles ist gut. Das ist ein rabbit hole, je mehr du weißt, um so mehr fragen tauchen auf. Und um so mehr graue Haare kriegst du.
Das heißt jetzt nicht "lass es", aber du musst eine Menge lernen und wissen.

 

[Tim1974]

Btw, https://tails.boum.org/doc/first_steps/welcome_screen/administration_password/index.de.html

Also wenn ich da richtig übersetze, ist es sicherer, wenn ich kein Admin/root-Passwort festlege?
Wenn ich keines festlege, dürfte dann doch auch keines meiner fest verbauten Laufwerke eingehängt werden können?

 

[rabe08]

Nein. Bei Frage nach PW nichts eingeben und enter. Also leeres PW.

 

[IsoldeMaduschen]

Also wenn ich da richtig übersetze, ist es sicherer, wenn ich kein Admin/root-Passwort festlege?
Wenn ich keines festlege, dürfte dann doch auch keines meiner fest verbauten Laufwerke eingehängt werden können?

Ob man ein PW setzt oder nicht, spielt bei Malware/Virus keine Rolle.

 

[Tim1974]

Nur wie soll Maleware ein Linux-Live-System befallen, wenn es keine gibt bzw. man keine Software aus dubiosen Paketquellen nachinstalliert und natürlich auch das Iso-File für das Livesystem aus vertrauenswürdigen Quellen runtergeladen und die sha256-Summe korrekt überprüft hat?

 

[IsoldeMaduschen]

Man muss nicht mal was Installieren um die Platte/Disk/USB zu infizieren ...

 

[DJKuhpisse]

Nur wie soll Maleware ein Linux-Live-System befallen, wenn es keine gibt bzw. man keine Software aus dubiosen Paketquellen nachinstalliert und natürlich auch das Iso-File für das Livesystem aus vertrauenswürdigen Quellen runtergeladen und die sha256-Summe korrekt überprüft hat?

Skripte im Browser, die ausbrechen, wäre eine Option.

 

[Tim1974]

Skripte im Browser, die ausbrechen, wäre eine Option.

Warum gibt es dagegen keinen Schutz?
Wäre doch sicher machbar, den Tor-Browser in einer Sandbox unter Linux laufen zu lassen, so daß es unmöglich wäre, das Grundsystem mit irgendwas zu infizieren?

 

[DJKuhpisse]

Weil auch der Schutz eine Lücke haben kann und dann ein Ausbruch möglich ist.