==============
== morph.sh ==
==============
Einfach mal was mit Holz machen.

Der perfekte Congresslaptop

de linux sysadmin ccc event 
tl;dr: 
- kaufe oder leihe dir einen günstigen gebrauchten Businesslaptop
- installiere Linux oder lass dir dabei helfen
- sei wählerisch mit der Software, die du installierst
- verschlüssele dein System
- lass deine Daten zuhause

Hin und wieder überzeuge ich Menschen davon, mal die großartigen Veranstaltungen des Chaos Computer Clubs zu besuchen, und diese Menschen fragen mich dann, ob es okay ist, ihren Laptop / ihr iPad / ihren Gamingrechner mitzubringen oder ob sie dann sofort gehackt werden. Um diese Frage nicht jedes mal neu beantworten zu müssen, habe ich das alles hier mal aufgeschrieben.

Dieser Post hat seit ca. Mitte 2020 halbfertig in meinen Entwürfen geschlummert; für 2023 zeichnet sich endlich wieder ein Chaos Communication Congress ab, aber vor allem beginnt in wenigen Wochen das Chaos Communication Camp, für das im großen und ganzen die gleichen Spielregeln gelten. Es wurde also Zeit, das hier mal zu veröffentlichen in der Hoffnung, dass es für die Zukunft nützlich ist und bleibt; ich werde versuchen, den Post aktuell zu halten, und bin auch offen für Verbesserungsvorschläge per Mail.

Die Besonderheiten am Congress-Netzwerk

Das Internet beim Congress bezeichnen wir gerne als “Internet, wie es sein sollte” - es hat eine unglaublich hohe Bandbreite, aber vor allem hängen alle[1] Geräte “direkt” im Internet. Das heißt, Geräte bekommen eine öffentliche IP-Adresse, es gibt kein NAT und auch keine Firewall für eingehende Verbindungen und somit kann das gesamte Internet direkt gegen euren Laptop hämmern. Es ist sehr wichtig, dass eure Geräte sich dagegen behaupten können. Zum Vergleich: zuhause übernimmt diesen Job in der Regel euer Router.

[1] Hinweis dazu: seit einiger Zeit gibt es bei Chaosveranstaltungen auch “geschützte” Netzwerke, auf die diese Hinweise nicht so zutreffen; zuletzt wurden die meines Wissens auch als “IoT”-Netzwerke bezeichnet, um unsichere Internet-of-Things-Geräte mit dem Netz verbinden zu können. Diese könnt ihr auch benutzen - allerdings ist das nicht der default, und schon alleine vor dem Risiko, bei der WLAN-Auswahl mal kurz daneben zu klicken, würde ich immer empfehlen, eure Geräte wie beschrieben abzusichern.

Vom offenen Internet abgesehen ist auch das Congressnetzwerk nicht ganz ohne. Natürlich sind die allermeisten Menschen flauschig und lieb zueinander, aber bei so einer Menge an Menschen bleibt es nicht aus, dass jemand mal etwas weniger schönes im Schilde führt. Auch dagegen müssen wir uns absichern.

Kann ich nicht einfach meinen Windows-Laptop mitnehmen?

Also, hm… eher nicht. Ich würde zwar nicht sagen, dass man ein Windows nicht “Internet-sicher” abschotten kann, schließlich stehen auch Millionen von Windows-Servern im Internet und die werden auch nicht am laufenden Band gehackt (wenn nicht gerade wieder eine furchtbare neue Exchange-Lücke auftaucht). Aber gerade bei Alltagsrechnern mit irgenwelchen Home Editions, nach Hause telefonierender Antivirussoftware, semi-zwielichtigen Gamelaunchern und anderem Unfug, der selbst Firewalleinstellungen setzt, sind die Risiken doch deutlich höher. Vielleicht geht es alles irgendwie gut, aber ich würde das Risiko nicht eingehen und alles, was Windows ist, einfach zuhause lassen. Hint Hint: der Congress ist eine exzellente Möglichkeit, mal Linux auszuprobieren :)

Was ist mit anderen Geräten?

Das ist leider nicht ganz einfach grundsätzlich zu beantworten wegen der Spanne an Systemen, die es gibt. Ich versuche es mal:

iPad, iPhone

iOS-Geräte sind grundsätzlich für recht gute Sicherheit bekannt, und an dieser Stelle ist es natürlich von Vorteil, dass eure installierten Apps keine größeren Systemeinstellungen verändern können und ihr selbst euch nicht bspw. bei Firewalleinstellungen verklicken könnt, weil die gar nicht zugänglich sind. Zwingend notwendig ist es hier natürlich, alle aktuellen Updates installiert zu haben. Ein iPhone mit all meinen persönlichen Daten drauf würde ich aus Vorsicht trotzdem nicht ins Congress-WLAN hängen, aber das Risiko ist hier meiner Meinung nach eher klein.

macOS

Hier gilt schon eher das, was ich zu Windows schrub - macOS bietet durchaus die Möglichkeiten, das System signifikant zu zerkonfigurieren und sich so selbst Sicherheitslücken einzubauen; installierte Programme könnnen unter Umständen auch Firewall-Ports öffnen, darauf Dienste starten und weiteres, darauf ist also zu achten. Bei einem macOS, das frisch installiert ist oder das von einer Person mit Fachwissen einmal rundum abgedichtet wurde, würde ich mir keine allzu großen Sorgen machen. Auch hier gilt es natürlich, aktuelle Updates installiert zu haben.

Android

Die Android-Welt ist so vielfältig, dass es hier schwierig ist, eine pauschale Aussage zu treffen. Grundsätzlich habe ich zu den Android-Versionen, die vom Smartphone-Hersteller vorinstalliert werden, keine hohe Meinung; Systemupdates müssen hier von den Geräteherstellern kommen und das passiert oft nur zeitverzögert, und nicht selten bekommen auch relativ neue Geräte schon nach kurzer Zeit keine Updates mehr. Wenn ihr solche Androids benutzt, empfehle ich, die nicht mit dem Congressnetzwerk zu verbinden. Besonders sicherheitsfokussierte Android-Versionen wie CalyxOS und GrapheneOS stehen hier natürlich deutlich besser da - die sind für solche Anwendungszwecke gemacht, da ist da Risiko meiner Meinung nach klein.

Die beste Linux-Distribution™️ auswählen

Tja, der Krieg darüber, welche Distro die beste ist, ist wahrscheinlich so alt wie Linux selbst :) es gibt unfassbar viel Auswahl an Linuxen, die ihr installieren könnt. Eine beliebte Seite zum Vergleichen der Möglichkeiten ist https://distrowatch.com/, wo ihr euch nach Herzenslust umschauen und durchtesten könnt.

Zum Glück bin ich hier zu keinerlei Neutralität verpflichtet und finde Sätze wie “finde selbst raus, was dir gefällt” oft kontraproduktiv - daher hier, was ich für verschiedene Einsatzzwecke für gut befinde und anderen ans Herz lege:

  • du willst ein System, das einfach nur funktioniert, und dein Gerät ist nicht 10+ Jahre alt: Fedora Workstation ist stabil, extrem stressfrei und angenehm zu bedienen.
  • dein Laptop ist schon älter oder einfach nur nicht so schnell: Puppy Linux oder ein Debian mit einer leichten Benutzeroberfläche wie LXDE
  • du willst dein System von Grund auf selbst aufbauen und dabei lernen, wie alles funktioniert: Arch Linux
  • du bist extrem sicherheitsbewusst oder hast ein erhöhtes Risiko, angegriffen zu werden: Qubes OS

Und welchen Laptop nehme ich?

An der perfekten Hardware für ein Congresslaptop scheiden sich die Geister. Spaß, man ist sich hier eigentlich weitgehend einig: ältere Thinkpad-Modelle von IBM oder Lenovo sind tolle Computer, haben exzellenten Linux-Support ohne viel Nacharbeiten, sind ziemlich robust und Ersatzteile lassen sich immer irgendwo auftreiben (sogar auf dem Congress, ich spreche aus Erfahrung…). Gebrauchte Modelle gibt es für wenig Geld auf Ebay und anderen Seiten, Geräte mit um die 5 Jahren auf dem Buckel machen ihren Dienst noch perfekt und sind oft für 250 bis 400€ zu haben. Wenn ihr Hacker*innen im Bekanntenkreis habt, stehen die Chancen oft gut, dass diese noch so einen Laptop zuhause haben und euch den für die Veranstaltung ausleihen.

Vorsicht vor den “Billig-Thinkpads” der Edge-, E- oder Yoga-Serien, die erfüllen nicht die gleichen Qualitätsstandards. Viele nützliche Informationen zu den verschiedenen Modellen gibt es auf https://thinkwiki.de.

Um es euch noch etwas leichter zu machen: zurzeit (Dezember 2023) würde ich persönlich nach einem Lenovo Thinkpad T470 (14 Zoll, mittelgroß) oder Thinkpad X270 (12 Zoll, eher klein) Ausschau halten. Diese Geräte gibt’s für unter 200€ zu kaufen und sie sind leistungstechnisch absolut in Ordnung. Gute Bezugsquellen sind Ebay und auf Gebrauchthardware spezialisierte Shops wie Itsco, GreenPanda und AFB.

Solche “Businesslaptops” kommen oft aus Firmen, in denen sie teilweise echt wenig benutzt wurden und die Qualität solcher Geräte ist auf einem ganz anderen Level als “Mediamarkt-Laptops”, da sie meistens mit Supportverträgen verkauft werden und Hardwaredefekte somit wieder am Hersteller hängen bleiben, was dieser tunlichst vermeiden möchte. Konkurrenzmodelle wie die Latitude-Serie von Dell oder Elitebooks von HP spielen im großen und ganzen in der gleichen Liga und können mit Thinkpads mithalten, nur findet man für sie nicht so leicht ein neues Touchpad, Netzteil oder sonstwas, da sie nicht so verbreitet sind. Trotzdem könnt ihr sie eigentlich bedenkenlos als Congresslaptop kaufen.

Das “new kid on the block” ist seit einiger Zeit das Framework Laptop, das sich durch exzellente Reparierbarkeit und guten Linux-Support auszeichnet und in Chaos-Kreisen immer öfter zu sehen ist. Wenn ihr euch einen ganz neuen Laptop kaufen wollt, wäre das sicher einen Blick wert - liegt preislich aber etwas höher und ich finde es nicht unbedingt sinnvoll, so teure Hardware mit auf den Congress zu nehmen.

Lass deine Daten zuhause

Einfache Sache: Daten, die nicht auf deinem Gerät sind, können auch nicht in den Händen irgendwelcher H4xx0rs landen. Urlaubsfotos, Mails und deine Passwort-Datenbank verbringen den Congress am sichersten zuhause in der Schublade.

Bei Geräten, bei denen es möglich ist, schraube ich gerne die Festplatte / SSD raus und setze eine andere, leere ein, dort kommt ein frisches Betriebssystem drauf - fertig ist der “Congresslaptop”. Wieder zuhause schraubt ihr die eigentliche Festplatte wieder rein und habt euren alten Stand zurück. Wer noch einen unbenutzten Laptop zuhause rumfliegen hat und diesen für den Congress neu aufsetzt, muss nicht mal einen Schraubenzieher in die Hand nehmen. Alternativ könnt ihr auch die Daten eures Laptops auf eine externe Festplatte übertragen, die eingebaute Disk sicher löschen und ein neues Betriebssystem aufspielen und nach dem Congress die Daten wieder zurückspielen; das kann ich aber nur Menschen mit etwas Erfahrung empfehlen, weil man sich hier leicht etwas zerschießen kann.

Physische Sicherheit

Neben den Gefahren aus dem Netzwerk muss auch die “physische” Seite betrachtet werden. Laptops können geklaut werden, oder irgendwelche Spaßvögel können in einem unbeobachteten Moment “lustige” Dinge tun wie Festplatten löschen, BIOS/UEFI-Passwörter setzen oder die dein Gerät sonstwie unbrauchbar machen. Gegen Diebstahl etc. kann man sich eigentlich nur absichern, indem man das Gerät immer bei sich trägt, aber zwei andere Dinge sind leicht umzusetzen und bieten einen guten Schutz:

Festplattenverschlüsselung

Die meisten Betriebssysteme bieten heutzutage ein Feature an, um die Festplatte zu verschlüsseln. Das ist (auch im Alltag außerhalb des Congresses!) extrem wichtig, weil ohne FDE (Full Disk Encryption) alle Daten komplett “nackt” auf der Platte liegen und von jedem gelesen werden können, der diese in die Finger bekommt. Auch im Fall von einem in der S-Bahn vergessenen Rucksack bedeutet das, dass jede*r mit minimalem Aufwand all euer Zeug von der Festplatte lesen kann.

Die meisten Linux-Distributionen bieten das verschlüsseln der Festplatte direkt im Installer an, so dass ihr nichts tun müsst, außer euch eine Passphrase auszudenken. Die müsst ihr dann bei jedem Start eingeben. Wichtig: vergesst ihr die Passphrase, könnt ihr nie wieder auf eure Daten zugreifen! Falls eure Distro keine Verschlüsselung direkt anbietet, ist LUKS das Keyword, mit dem ihr die richtigen Tools und Einstellungen findet, um es manuell zu machen - das empfehle ich aber nur fortgeschrittenen User*innen.

Unter macOS heißt das Verschlüsselungsfeature FileVault - ihr könnt in den Einstellungen nachschauen, ob es eingeschaltet ist, und das nötigenfalls tun. Bei neueren Modellen ist es aber per default an.

Windows liefert scheinbar seit neuerem ein Tool namens Device Encryption bzw. Geräteverschlüsselung mit, das eine rudimentäre Festplattenverschlüsselung ermöglicht - vor dem Wald-und-Wiesen-Hacker wird das sicher schützen, allzu viel würde ich dieser Lösung aber nicht anvertrauen. Der bessere Weg ist es, das bewährte VeraCrypt zu nutzen. Hierzu findet ihr zahlreiche Anleitungen im Internet.

BIOS/UEFI-Passwort

Bei den meisten Laptops könnt ihr ein Passwort im BIOS (älter) oder UEFI (neuer) setzen, welches verhindert, dass jemand dort Einstellungen verändert. Bei den meisten Geräten läuft das unter dem Namen “Administrator Password”. Wie ihr dieses setzt, verrät im Zweifel auch eine Suchmaschinensuche mit dem Modellnamen. Dieser Schritt ist wichtig, da es so nicht mehr möglich ist, bspw. von einem USB-Stick zu booten und das Betriebssystem mit einem anderen zu überschreiben.

Firewalleinstellungen

Nicht fehlen darf eine Firewall auf eurem System, deren Job es ist, aus dem Internet eingehende Verbindungen zu prüfen und zu entscheiden, ob sie passieren dürfen oder nicht. Für einen normalen Congresslaptop gibt es aber eigentlich kaum Gründe, irgendwelche Verbindungen zuzulassen - ihr könnt die Firewall also getrost so einstellen, dass keinerlei Verbindungen erlaubt sind.

Die meisten Distributionen bringen dafür grafische Tools mit, die Firewalleinstellungen setzen können. Nehmt euch am besten etwas Zeit, für euer konkretes Betriebssystem zu recherchieren, wie ihr die Firewall einstellen könnt. Manche sind leichter zu bedienen (bspw. gufw, das Ubuntu mitbringt), andere etwas komplexer (wie firewall-config) von Red Hat. Manche von ihnen bringen Voreinstellungen mit Namen wie public oder untrusted mit, die genau das tun sollten (keine eingehenden Verbindungen zulassen). Überprüft trotzdem selbst, wie es am Ende eingestellt ist, und probiert vielleicht sogar selbst aus, ob ihr von einem anderen Rechner über das Netzwerk eine Verbindung zu eurem Congresslaptop aufbauen könnt - das sollte nicht möglich sein.

Zubehör

Eine kleine Sache am Rande: es ist sehr sinnvoll, Kopfhörer dabei zu haben, wenn ihr mit eurem Laptop einen Talk livestreamen oder auch einfach nur in Ruhe hacken wollt (in einigen Ecken kann es sehr laut sein). Ein ausreichend großer Akku hilft, beim hacken nicht ständig eine Steckdose suchen zu müssen; für die meisten Laptops gibt es Austauschakkus, die ihr z.B. auf Ebay findet.

Zusammenfassung / Checkliste

Hier nochmal die Dinge, die du auf jeden Fall bedacht haben solltest:

  • einen Laptop besorgt / geliehen / geklaut (oder den eigenen fit gemacht)
  • Daten gesichert
    • entweder ein Backup gemacht
    • oder sie gleich ganz zuhause gelassen :)
  • Festplattenverschlüsselung eingerichtet
  • UEFI/BIOS-Passwort gesetzt
  • Firewall richtig eingestellt und überprüft

Abschließend gelten natürlich die gleichen Grundregeln für IT-Sicherheit wie sonst auch: klicke keine seltsamen Links an, denen du nicht vertraust, stecke keine unbekannten USB-Sticks oder andere Geräte an deinen Rechner, und wenn dir irgendwas komisch vorkommt, lass lieber die Finger davon.

Happy hacking! :)