# TAILS von USB - Gefahr für die nicht gebootete Windows-Installation auf der SSD?



## Tim1974 (10. Februar 2021)

Hallo,

ich habe mir einen TAILS-Stick erstellt, mit dem ich meinen PC auch ganz gut booten kann, läuft alles bisher sehr schön für so ein Live-System.
Allerdings habe ich ein paar Fragen, die ich mit Hilfe von Google bisher nicht zu meiner Zufriedenheit klären konnte:

1. Wenn ich TAILS vom USB-Stick boote ist ja meine eingebaute SSD mit meiner Windows 10 Installation anscheinend nicht eingehängt. Will ich die einhängen, fragt er nach einem Passwort, welches ich aber nicht kenne und ich hab auch keines vergeben.
Wenn ich die englischen Texte zu übersetzen versuche, kommt für mich dabei raus, daß es sicherer ist kein Passwort zu vergeben, weil dann niemand auf die SSD zugreifen kann, wenn ich aber ein Passwort vergebe und es jemand knackt, kann er auf die SSD zugreifen, richtig?

2. Wenn ich jetzt ohne ein Passwort eingerichtet zu haben mit dem vom USB-Stick gebooteten TAILS-System die schrägsten und gefährlichsten Webseiten ansurfen würde, könnte dann trotzdem keinerlei Schadsoftware meine Windows-Partitionen auf der SSD angreifen bzw. befallen?
Ich meine nur z.B. durchs surfen, Videos schauen etc. ich rede nicht von Downloads und Installationen von dubioser Software!

Gruß
Tim


----------



## DJKuhpisse (10. Februar 2021)

Wird da ein Kennwort (z.B. für einen Benutzer wie root oder das sudo-Kennwort) gefragt?
Dann ist das nur ein fehlendes Recht unter dem Benutzer, unter dem du gerade in Tails arbeitest.

Dann kann auch von Tails drauf zugegriffen werden.
Willst du das nicht, würde ich die Win-Platte verschlüsseln. Dann ist der maximal erreichbare Schaden die Zerstörung der Daten, aber Abgreifen geht dann nicht.


----------



## IsoldeMaduschen (10. Februar 2021)

Tim1974 schrieb:


> 1. Wenn ich TAILS vom USB-Stick boote ist ja meine eingebaute SSD mit meiner Windows 10 Installation anscheinend nicht eingehängt.


Standart bei Tails


Tim1974 schrieb:


> wenn ich aber ein Passwort vergebe und es jemand knackt, kann er auf die SSD zugreifen, richtig?...


Ja(in) je nach dem was der Herr XY von seinem PC aus kann.


Tim1974 schrieb:


> 2. Wenn ich jetzt ohne ein Passwort eingerichtet zu haben mit dem vom USB-Stick gebooteten TAILS-System die schrägsten und gefährlichsten Webseiten ansurfen würde, könnte dann trotzdem keinerlei Schadsoftware meine Windows-Partitionen auf der SSD angreifen bzw. befallen?
> Ich meine nur z.B. durchs surfen, Videos schauen etc. ich rede nicht von Downloads und Installationen von dubioser Software!


Hat man dir in einem vorhandenen Thread erklärt: Es ist alles unter einem Live System möglich.


----------



## Tim1974 (10. Februar 2021)

DJKuhpisse schrieb:


> Wird da ein Kennwort (z.B. für einen Benutzer wie root oder das sudo-Kennwort) gefragt?



Ja, ich glaube das ist es.
Es kam mir so vor, als fragt er nach einem Passwort, was es aber noch gar nicht gibt, weil ich ja noch keines festgelegt hatte.



DJKuhpisse schrieb:


> Dann kann auch von Tails drauf zugegriffen werden.
> Willst du das nicht, würde ich die Win-Platte verschlüsseln. Dann ist der maximal erreichbare Schaden die Zerstörung der Daten, aber Abgreifen geht dann nicht.



Das wäre mir auch am liebsten, ist aber bei einer fertigen Installation vermutlich nachträglich nicht mehr möglich?
Außerdem kostet es vermutlich Geschwindigkeit mit einem verschlüsselten System zu arbeiten?

Am liebsten wäre mir ein mechanischer Schalter, mit dem ich die SATA3-Verbindung zur SSD unterbrechen könnte, aber das würde sicherlich einiges an Verschleiß bedeuten, denn die SATA3-Stecker sind sicher nicht dafür ausgelegt ca. einmal am Tag gezogen und danach wieder eingesteckt zu werden.


----------



## DJKuhpisse (10. Februar 2021)

Bitlocker geht auf jeden Fall bei einem bestehenden System. Nimm aber dann die PIN und nicht die TPM-Variante.


----------



## Tim1974 (10. Februar 2021)

IsoldeMaduschen schrieb:


> Hat man dir in einem vorhandenen Thread erklärt: Es ist alles unter einem Live System möglich.



Welchen Sinn macht dann das Live-System, wenn es die vorhandene Installation nicht vor Schadsoftware schützen kann?
Wenn es nur um Annonymität geht, kann ich ja unter Windows 10 den Tor-Browser nutzen, es geht mir aber zum einen um Annonymisierung und zum anderen um einen sicheren Schutz der Windows-Partitionen und meiner Daten da drauf.


DJKuhpisse schrieb:


> Bitlocker geht auf jeden Fall bei einem bestehenden System. Nimm aber dann die PIN und nicht die TPM-Variante.



Was ist denn das?
Ist Bitlocker ein anderes Live-System?
Was ist der Unterschied zwischen PIN und TPM?


----------



## DJKuhpisse (10. Februar 2021)

Damit z.B. Microsoft bzw. Software auf Windows dir nicht reinfunkt.
Das Live-System ist, sofern auf CD/DVD, auch nicht veränderbar, nach einem Neustart alles wieder beim Alten.


----------



## IsoldeMaduschen (10. Februar 2021)

Tim1974 schrieb:


> Welchen Sinn macht dann das Live-System, wenn es die vorhandene Installation nicht vor Schadsoftware schützen kann?


Frag die Menschen, die einem nur das gute Anbieten 


Tim1974 schrieb:


> Wenn es nur um Annonymität geht, kann ich ja unter Windows 10 den Tor-Browser nutzen, es geht mir aber zum einen um Annonymisierung und zum anderen um einen sicheren Schutz der Windows-Partitionen und meiner Daten da drauf.


Annonymisierung Windows 10 und Tor ähm nein


----------



## DJKuhpisse (10. Februar 2021)

Tim1974 schrieb:


> Was ist denn das?
> Ist Bitlocker ein anderes Live-System?
> Was ist der Unterschied zwischen PIN und TPM?


Bitlocker ist eine Laufwerksverschlüsselung unter Windows, benötigt aber meines Wissens min. Win 10 Pro, unter Home geht das nicht. Da könnte man aber VeraCrypt nutzen. 
TPM steht für Trusted Platform Module, aber diesem geraffel würde ich nicht trauen, sowas wie ein Kennwort gehört in den Kopf.
Die PIN wäre so eine Option.


----------



## Tim1974 (10. Februar 2021)

Danke für die Erklärungen, ich merke aber, daß ich einfach etwas wenig Ahnung von der Thematik habe, weniger als ich erst dachte.

Ich versteh einfach nicht, warum es möglich sein soll, von einem gebooteten Live-Linux aus eine Schadsoftware auf einer Windows-Partition zu installieren, denn Windows-Codes laufen doch unter dem Live-Linux nicht, oder doch?
Und Linux-Schadsoftware gibt ja so gut wie keine in freier Wildbahn und wenn würde sie ja eigentlich beim Reboot beseitigt werden, weil TAILS wenn ich das richtig verstehe ja nur in den RAM schreiben darf?
Wenn es nur in den RAM schreiben darf oder kann, wie kann dann eine Gefahr für eine Windows-Partition entstehen?


----------



## IsoldeMaduschen (10. Februar 2021)

Tim1974 schrieb:


> Ich versteh einfach nicht, warum es möglich sein soll, von einem gebooteten Live-Linux aus eine Schadsoftware auf einer Windows-Partition zu installieren, denn Windows-Codes laufen doch unter dem Live-Linux nicht, oder doch? Wenn es nur in den RAM schreiben darf oder kann, wie kann dann eine Gefahr für eine Windows-Partition entstehen?


 Malware/Virus mount /dev/sdX


Tim1974 schrieb:


> Und Linux-Schadsoftware gibt ja so gut wie keine in freier Wildbahn


Oh man ... Linux ist nicht Viren- bzw. von Malware befreit https://www.zdnet.de/88389584/linux-version-der-erpressersoftware-ransomexx-entdeckt








						A New Linux Malware Targeting High-Performance Computing Clusters
					

A New Linux Malware Targeting High-Performance Computing Clusters




					thehackernews.com


----------



## rabe08 (11. Februar 2021)

Btw, https://tails.boum.org/doc/first_steps/welcome_screen/administration_password/index.de.html

Generell ist Sicherheit/Privacy in der IT ein Thema, das ganz stark davon abhängt, dass der User weiß, was er tut. Es ist nicht, eine bestimmte Software einzusetzen und alles ist gut. Das ist ein rabbit hole, je mehr du weißt, um so mehr fragen tauchen auf. Und um so mehr graue Haare kriegst du.
Das heißt jetzt nicht "lass es", aber du musst eine Menge lernen und wissen.


----------



## Tim1974 (11. Februar 2021)

rabe08 schrieb:


> Btw, https://tails.boum.org/doc/first_steps/welcome_screen/administration_password/index.de.html



Also wenn ich da richtig übersetze, ist es sicherer, wenn ich kein Admin/root-Passwort festlege?
Wenn ich keines festlege, dürfte dann doch auch keines meiner fest verbauten Laufwerke eingehängt werden können?


----------



## rabe08 (11. Februar 2021)

Nein. Bei Frage nach PW nichts eingeben und enter. Also leeres PW.


----------



## IsoldeMaduschen (11. Februar 2021)

Tim1974 schrieb:


> Also wenn ich da richtig übersetze, ist es sicherer, wenn ich kein Admin/root-Passwort festlege?
> Wenn ich keines festlege, dürfte dann doch auch keines meiner fest verbauten Laufwerke eingehängt werden können?


Ob man ein PW setzt oder nicht, spielt bei Malware/Virus keine Rolle.


----------



## Tim1974 (11. Februar 2021)

Nur wie soll Maleware ein Linux-Live-System befallen, wenn es keine gibt bzw. man keine Software aus dubiosen Paketquellen nachinstalliert und natürlich auch das Iso-File für das Livesystem aus vertrauenswürdigen Quellen runtergeladen und die sha256-Summe korrekt überprüft hat?


----------



## IsoldeMaduschen (11. Februar 2021)

Man muss nicht mal was Installieren um die Platte/Disk/USB zu infizieren ...


----------



## DJKuhpisse (11. Februar 2021)

Tim1974 schrieb:


> Nur wie soll Maleware ein Linux-Live-System befallen, wenn es keine gibt bzw. man keine Software aus dubiosen Paketquellen nachinstalliert und natürlich auch das Iso-File für das Livesystem aus vertrauenswürdigen Quellen runtergeladen und die sha256-Summe korrekt überprüft hat?


Skripte im Browser, die ausbrechen, wäre eine Option.


----------



## Tim1974 (11. Februar 2021)

DJKuhpisse schrieb:


> Skripte im Browser, die ausbrechen, wäre eine Option.



Warum gibt es dagegen keinen Schutz?
Wäre doch sicher machbar, den Tor-Browser in einer Sandbox unter Linux laufen zu lassen, so daß es unmöglich wäre, das Grundsystem mit irgendwas zu infizieren?


----------



## DJKuhpisse (11. Februar 2021)

Weil auch der Schutz eine Lücke haben kann und dann ein Ausbruch möglich ist.


----------



## Tim1974 (11. Februar 2021)

Bugs in der Software?
Ja, die kann und wird es immer geben, darum gibt es ja auch nie 100%igen Schutz, aber nahezu 100% sollten schon zumindest vom Grundkonzept her möglich sein, wenn man mal mit keinen großen Bugs rechnet, oder?


----------



## IsoldeMaduschen (11. Februar 2021)

Tim1974 schrieb:


> Bugs in der Software?
> Ja, die kann und wird es immer geben, darum gibt es ja auch nie 100%igen Schutz


Richtig


Tim1974 schrieb:


> , aber nahezu 100% sollten schon zumindest vom Grundkonzept her möglich sein


Never
Egal welches System oder Software man nutzt, 100% Schutz gibt es nie.
Faustregel: Brain.exe macht 99% der Sicherheit aus.


----------



## XT1024 (11. Februar 2021)

Tim1974 schrieb:


> aber nahezu 100% sollten schon zumindest vom Grundkonzept her möglich sein


Reichen auch 97%? Das ist sehr wahrscheinlich auch einfach so möglich, mit Nachdenken und so.
Würde jemand dieses Internet tatsächlich nutzen, wenn, wie von dir angenommen, hinter jedem driten Link das Verderben lauert?


Du hast doch 10 verschiedene Rechner. Dann stell doch einfach einen nur für deine Schweinereien ab.


----------



## DOcean (11. Februar 2021)

wenn man "ganz sicher" gehen will nimmt man für sowas WriteFilter/WriteBlocker, wenn aktiv kann der PC einfach nicht mehr auf die Platte schreiben egal was er macht, siehe dazu auch:





__





						Write-Blocker
					

Live-Systeme mit SD–Karten Speicher mit Hardwareschreibschutz  Jumper zur Absicherung gegen Malware, Staatstrojaner



					vkldata.com
				



oder




__





						Write Blocker – IT-Forensik Wiki
					






					it-forensik.fiw.hs-wismar.de


----------

