Kann Windows 10 mein Debian System ausspionieren?

[HeXa]

Guten Abend liebe Debian Gemeinde.
Mich beschäftigt nun schon länger die Frage ob Windows 10 in der Lage ist mein Debian System "auszuspähen".
Ich betreibe auf einer HDD ein Windows 10 System und auf einer SSD läuft mein Debian Jessie. Beide wurden per UEFI installiert
und werden über den GRUB2 Bootmanager ausgewählt.
Dienste von Google und Co. werden von mir ausschliesslich über Windows aufgerufen bzw. ausgeführt.

Ich bin inzwischen vielleicht ein wenig Paranoid geworden, doch ich vermute das Ausmass der Spionage ist noch um einiges Höher als
bisher angenommen. Obwohl ich keinen Kriminellen Tätigkeiten nachgehe, versuche ich mich vor allem aus Prinzip gegen die Überwachung
bestmöglich zu schützen.

Ich würde mich über eure Meinungen / Erfahrungen sehr freuen und eventuell kennt Ihr auch informative Links zum Thema und zum Schutz.


Mit freundlichen Grüssen

[Blackbox]

Wir sind hier das Debianforum, weswegen ich auf Windows höchstens am Rande eingehen werde.
Als erstes wirft sich mir die Frage auf, wenn du Windows nicht vertraust, warum installierst du es dann ?
Außerdem ist es immer eine gute Idee auf Windows zu verzichten, wo es nur geht.
Hast du dir eigentlich bereits einen Aluhut besorgt, denn genau in diese Richtung gehen deine Fragen, ohne dass du dir eigentlich Gedanken gemacht hast.

[HeXa]

Ich benötige das Windows System in erster Linie für eine CAD/CAM Software speziell für unseren Betrieb zugeschnitten.

[TomL]

Ich benötige das Windows System in erster Linie für eine CAD/CAM Software speziell für unseren Betrieb zugeschnitten.

Ich finde Deine Frage durchaus interessant.... und wer sollte sachlich eine bessere Meinungen dazu haben, als einige Spezialisten hier - zu denen ich mich nicht zähle, ich habe nur Ideen. Ganz allgemein sagt man ja, dass Windows keine ext4-Partitionen lesen kann, solange nicht ein passender Treiber oder so ein Tool wie Paragon installiert wurde. Und wenn Du das nicht getan hast, kannst Du vielleicht drauf vertrauen, dass Dein Debian nicht von Windows gelesen werden kann. Und wenn Du dem nicht traust, musst Du halt was ändern. Letztendlich denke ich, Du wirst nicht herausfinden können, ob Windows nicht vielleicht doch ganz still und heimlich ext4 lesen kann. Und nachdem es mit W10 eine Änderung in der Unternehmensausrichtung von Microsoft gegeben hat, habe ich zu Microsoft das gleiche Vertrauen, wie zu Google.... nämlich nullkommanix.

Hätte ich eine solche Situation und müsste das -aus welchen Gründen auch immer- auf einem PC machen, würde ich über ein verschlüsseltes Linux nachdenken. Alternativ würde ich prüfen, ob Windows ohne jegliche Software und ausschliesslich nur mit dem CAD-Programm in einer Linux-VM läuft. Natürlich würde ich testen, ob ich auf W10 verzichten kann und ob das unter Win 7 läuft... und wenn ja, ab in die Tonne mit W10. Alle anderen Aufgaben würde ich versuchen in Debian zu lösen. Und wenn ich den beruflichen Zwang zu Outlook hätte, käme das in eine extra Win7-VM, ebenfalls unter Linux . Aber wirklich alles, was sich bei den Windows-Apps durch Linux ersetzen lässt, würde ich heute kompromisslos durch Linux ersetzen.

[Lord_Carlos]

Willst du wissen ob Win10 das von Haus aus macht, oder ob ein Trojaner / Malware dein Debian von Windows aus befallen kann?

[hikaru]

Alternativ würde ich prüfen, ob Windows ohne jegliche Software und ausschliesslich nur mit dem CAD-Programm in einer Linux-VM läuft.

Als Ergängung:
Diese VM hat dann natürlich im Idealfall keinen eigenen Internetzugang.

[NAB]

Ja, Windows 10 "kann" dein Debian ausspionieren. Als "Betriebssystem" hat es jederzeit vollen Lese- und Schreibzugriff auf alle angeschlossenen Datenträger.

Ob es das auch tut, das weiß ich nicht. Ich habe davon noch nie gehört. Allerdings kann Windows 10 oder eine Malware auch jederzeit eine entsprechende Funktion nachrüsten. Dazu muss es nicht mal das Linux-Dateisystem verstehen. Kurze Daten wie Mailadressen lassen sich auch auf der rohen Festplatte finden.

"Verschlüsselung" ist als Gegenmittel nicht geeignet - der Linux-Kernel bleibt unverschlüsselt und lässt sich somit leicht manipulieren. Außer du brennst ihn auf CD und bootest von dort.

Die einfachste Methode ist es, die Debian-Platte während des Betriebs von Windows abzuziehen.

Windows in eine virtuelle Maschine einzusperren, wäre eine weitere Lösung.

[DeletedUserReAsG]

Wenn Windows das könnte, hieße das, es könnte endlich die ext-Dateisysteme nativ lesen – ich würde das als Fortschritt betrachten

Entgegen NABs Ansicht bin ich sehr wohl der Meinung, eine Verschlüsselung könnte in diesem Fall die gewünschte Sicherheit bringen: einerseits meine ich gelesen zu haben, dass man ab EFI auch die Bootpartition und damit den Kernel verschlüsseln kann, andererseits kann man den Inhalt der Bootpartition hashen, sowie diesen Hash beim Bootvorgang prüfen und hätte im Fall einer Manipulation sofort Kenntnis darüber.

[gehrke]

kann man den Inhalt der Bootpartition hashen, sowie diesen Hash beim Bootvorgang prüfen und hätte im Fall einer Manipulation sofort Kenntnis darüber.

Für den Fall, dass der Kernel kompromittiert wurde, könnte der Angreifer theoretisch auch das Hashing zur Laufzeit nach Belieben beeinflussen, so dass man davon nichts mitbekommt.

[DeletedUserReAsG]

Theoretisch, ja. Dazu müsste er wissen, wie ich die Prüfung genau realisiert habe, oder gleich sämtliche Hashfunktionen austauschen und sämtliche I/O daraufhin prüfen und/oder manipulieren (ich kann ja auch ein eigenes kurzes Programm für den Zweck geschrieben haben, das nicht auf Kernelfunktionen zur Berechnung zurückgreift, z.B.) – und das ist der Punkt, an dem’s doch sehr unwahrscheinlich wird, dass MS oder sonstwer derlei Sachen versucht, wenn er nicht gerade mich persönlich im Visier hat [das wäre nochmal ‘n anderes Szenario]. Und noch unwahrscheinlicher wär’s, dass es nicht auffallen würde – solche Manipulationen so hinzubekommen, dass sie fehlerfrei und zuverlässig funktionieren und keine Nebenwirkungen haben, halte ich für praktisch ausgeschlossen. Nicht zuletzt könnte man noch von Zeit zu Zeit von einem Livesystem aus testen, oder /boot tatsächlich auf einen Stick o.ä. auslagern (der Geschwindigkeitsverlust ist marginal, anschließend kann man /boot aushängen).

Letztlich ist alles nur eine Frage von Wahrscheinlichkeiten. Und ich halte die Wahrscheinlichkeit für „Stecker/Anschluss verschlissen, weil Linuxplatte bei jedem Start von Win abgesteckt wurde“ für deutlich höher, als dass Win von sich aus mein Kernelimage manipuliert um im Weiteren auf die verschlüsselten Daten zugreifen zu können.

[MSfree]

"Verschlüsselung" ist als Gegenmittel nicht geeignet - der Linux-Kernel bleibt unverschlüsselt und lässt sich somit leicht manipulieren.

Ein Angriff über den unverschlüsselten Linuxkernel mit verschlüsseltem Dateisystem wäre aber ein Spiel über Doppelbande.

Ein Windowsschädling müßte zunächst einen Linuxkernel auf den Partitionen suchen und dort z.B. die initrd mit einem Rootkit infizieren. Beim nächsten Linuxboot könnte dann das Rootkit aktiv werden, und da der Linuxkern ja die Platte bereitwillig entschlüsselt, hätte auch das Rootkit vollen Zugriff. Entweder, das Rootkit telefoniert dann alles, was es findet, nach hause oder es schreibt alles auf die Windowspartition zurück, um dann beim nächsten Windowsboot von der dort laufenden Schadsoftware aufgesammelt zu werden.

Technisch sind also einige Möglichkeiten gegeben. Windows kann jedenfalls von sich aus nicht auf die Linuxpartitionen zugreifen, dazu ist schon Schadsoftware oder die Installation eine extX-Treibers nötig. Verschlüsselung wirkt jedenfalls zuverlässig gegen einen direkten Angriff, nicht jedoch gegen des Bandenspiel, da ich oben beschrieben habe.

[TomL]

Technisch sind also einige Möglichkeiten gegeben. Windows kann jedenfalls von sich aus nicht auf die Linuxpartitionen zugreifen, dazu ist schon Schadsoftware oder die Installation eine extX-Treibers nötig. Verschlüsselung wirkt jedenfalls zuverlässig gegen einen direkten Angriff, nicht jedoch gegen des Bandenspiel, da ich oben beschrieben habe.

Aber mal ehrlich.... wer kann das denn, ausser vielleicht den Profis vom CCC oder irgendwelchen Spezis von den Nachrichten-und Geheimdiensten? Und wer hat überhaupt Interesse daran, soviel Aufwand in private Mini-Relevanz-Daten mit solch spezieller Hardware-Konstellation zu stecken? Ich denke, wer das technische KnowHow dazu hat, macht es sich einfacher und geht (wenn er meinen Daten will) eben (ohne Spuren an der Haustür zu hinterlassen und wenn das Haus leer ist) direkt an meinen PC und "infiziert" ihn an der Tastatur. Und wenn wirklich jemand solches Interesse speziell an meinen Daten hat, dann ist vermutlich irgendwas in meinem Leben verkehrt gelaufen... .... und ich sollte vielleicht erwägen, auszuwanden.... Richtung Mond oder so ...

[NAB]

Theoretisch, ja. Dazu müsste er wissen, wie ich die Prüfung genau realisiert habe, oder gleich sämtliche Hashfunktionen austauschen und sämtliche I/O daraufhin prüfen und/oder manipulieren (ich kann ja auch ein eigenes kurzes Programm für den Zweck geschrieben haben, das nicht auf Kernelfunktionen zur Berechnung zurückgreift, z.B.) –

Es würde völlig reichen, sich den originalen Inhalt der Kernel-Datei irgendwo zu merken, und bei Abfrage dieser geänderten wenigen Kilobyte die originalen Werte zurückzugeben.

Noch schöner wäre es natürlich, dein Passwort direkt nach Eingabe irgendwo auf die Windows-Partition zu schreiben und danach sämtliche Änderungen an /boot wieder rückgängig zu machen. Danach darfste dann prüfen soviel du willst

[DeletedUserReAsG]

Wie gesagt, es ist eine Frage der Wahrscheinlichkeiten. Ich könnte dir selbst für das Szenario mit der abgeklemmten Linuxplatte beim Windowsstart theoretische Möglichkeiten konstruieren, wie man von Win aus mittelbar trotzdem an relevante Daten kommt.

Die Frage ist eher: wie wahrscheinlich ist das? Ich meine, die Ausgangsfrage war, ob Win10 das Debiansystem ausspionieren könnte – nicht „Wenn $Angreifer mein Win10 kompromittiert hat, und es wirklich ernsthaft und entschlossen auf mein Debian abgesehen hat, hätte er da Möglichkeiten, wenn Kosten und sonstiger Aufwand keine Rolle spielten und unbegrenzte fachliche Kompetenz gegeben wäre?“. Und meine Antwort auf die Ausgangsfrage ist: bei ’nem unverschlüsselten Debian wäre es immerhin möglich (dass MS einen ext-Treiber implementieren könnte, wenn es das wollte, traue ich ihm schon noch zu), mit Verschlüsselung und ggf. noch einem zusätzlichen Schutz ist’s praktisch(!) ausgeschlossen.

[gehrke]

Wie gesagt, es ist eine Frage der Wahrscheinlichkeiten. Ich könnte dir selbst für das Szenario mit der abgeklemmten Linuxplatte beim Windowsstart theoretische Möglichkeiten konstruieren, wie man von Win aus mittelbar trotzdem an relevante Daten kommt.

Am effizientesten direkt im EFI, dann hat man gleich alles im Griff. Und das ist wohl leider nicht nur blanke Theorie.

Und meine Antwort auf die Ausgangsfrage ist: bei ’nem unverschlüsselten Debian wäre es immerhin denkbar (dass MS einen ext-Treiber implementieren könnte, wenn es das wollte, traue ich ihm schon noch zu), mit Verschlüsselung und ggf. noch einem zusätzlichen Schutz ist’s praktisch(!) ausgeschlossen.

Nicht nur MS, sondern auch im Windows laufende Malware anderer Quelle. Und da bringt eine sogenannte 'Vollverschlüsselung' IMHO schon einen gewaltigen Sicherheitsgewinn. Jedenfalls wird die Latte damit viel höher gehängt.

[NAB]

Ja, da stimme ich zu ... die Chance, dass Microsoft einen Angriff auf ein verschlüsseltes Linux-System startet, halte ich auch für ausgesprochen gering. Der Vertrauensverlust wäre immens wenn das auffliegt, und der Gewinn fraglich.

Aber "Malware" traue ich sowas durchaus zu ... und halte den Aufwand für nicht allzu groß.

Dass das Thema sich ausschließlich auf Software von Microsoft beschränkt, ist für mich so nicht erkennbar. Immerhin wurde offensichtlich Zusatzsoftware installiert und vermutlich findet auch ein Dateiaustausch mit anderen Parteien statt. Darum hielt ich es für wichtig, auf den Punkt "Ist dein Windows erst mal infiziert, ist dein Linux auf der Platte nebenan auch nicht mehr sicher" hinzuweisen.

[DeletedUserReAsG]

Naja, dass es um Windows selbst gehen würde, habe ich dem Threadtitel und dem Eingangsbeitrag entnommen.

Aber um den Bogen zurück zur Realität zu spannen: ist denn derzeit Windows-Malware bekannt, die überhaupt erstmal auf evt. vorhandene unixoide Systeme zuzugreifen versucht? Wenn ja: was versucht sie denn, dort zu machen? Wobei ich hier generische Malware meine – extra auf einen „Kunden“ zurechgeklöppelte Sachen möchte ich hier mal außen vor lassen, sowas könnte ich mir tatsächlich auch vorstellen.

[HeXa]

Erst einmal möchte ich euch für die Umfangreichen Antworten danken. Ich muss zugeben, dass einige Antworten für meinen Stand noch etwas Tief in die Materie greifen,
dennoch sehr interessant. Mir ist bewusst, dass ich mein System nicht mit absoluter Sicherheit schützen kann und das ein zusätzliches Windows-System auf dem Rechner
ein erhebliches Sicherheitsrisiko darstellen kann. Da ich nicht im Besitz bin von hoch sensiblen oder illegalen Daten, ist ein solch tiefgreifendes absichern den
Zeitaufwand noch nicht Wert für mich. Ich mache mir mehr Sorgen um Massenüberwachungsmassnahmen, wie wenn in Windows 10 eine extra eingebaute
Hintertür für das ausspähen von anderen OS auf dem Rechner eingebaut wurde. Da ich mich selbst erst seit ca. 2 Jahren mit Linux (Debian) beschäftige,
kann ich die Risiken noch nicht wirklich abschätzen und frage mich ob ich vielleicht grundlegende Fehler gemacht habe oder ich grundsätzliche
Massnahmen nicht kenne.

Ich habe bisher noch keine Zeit gefunden mich mit dem Thema der Festplattenverschlüsselung auseinanderzusetzen und habe auf der SSD für Debian 5 Partitionen erstellt.

sdb1 = UEFI Reservation
sdb2 = /boot
sdb3 = /
sdb4 = /home
sdb5 = swap

Ich habe vor der Installation von Debian die Dokumentation von Debian durchgelesen und war ehrlich gesagt schon sehr stolz auf mich eine Manuelle Installation und Partitionierung vorzunehmen
Jetzt wo alles Einwandfrei funktioniert, suche ich auch vor allem aus Bastellaune nach Verbesserungsmöglichkeiten und neuen Herausforderungen.

Mit freundlichen Grüssen


//Edit;
Nach 2 Jahren mit Linux Erfahrung mag sich mein Verständnis für die meisten hier sehr wahrscheinlich nach sehr wenig anhören,
dennoch möchte ich noch kurz anmerken, dass ich leider nicht immer die notwendige Zeit finde mich in neue, zum Teil auch noch
befremdliche Themen einzuarbeiten. Ich habe nun immerhin den Schritt zur Anmeldung im Debian Forum gewagt =)

[gehrke]

Vielleicht ist noch ein kurzer Hinweis zum Grundsätzlich-Möglichen getattet: Beispielsweise der als Freeware vertriebene 'Linux Reader for Windows' von Diskinternals bietet zumindestens Lese-Zugriff auf diese Dateisysteme: Ext2, Ext3, Ext4, ReiserFS

EDIT:
Schreibenden Zugriff gibt es mit 'Paragon ExtFS', scheinbar ebenfalls Freeware.

Damit ist man dann wohl auch endgültig im Themenbereich 'Ransomware' angekommen.

[DeletedUserReAsG]

Ich habe bisher noch keine Zeit gefunden mich mit dem Thema der Festplattenverschlüsselung auseinanderzusetzen

Ich denke, in dem Punkt gab es keine größeren Uneinigkeiten im Thread: es ist technisch gesehen kein nennenswertes Problem, von Windows aus auf die Dateisysteme anderer installierter Systeme zuzugreifen, sofern diese nicht verschlüsselt sind.

Ob das tatsächlich gemacht wird, ist eine andere Frage – Hinweise darauf gibt es bislang nicht und es spricht aus marketingtechnischer Sicht einiges dagegen, dass MS es machen sollte – aber nur, weil man davon nix weiß und weil es eine doofe Idee wäre, kann man heutzutage halt nicht davon ausgehen, dass es nicht gemacht würde.

[wanne]

Aber um den Bogen zurück zur Realität zu spannen: ist denn derzeit Windows-Malware bekannt, die überhaupt erstmal auf evt. vorhandene unixoide Systeme zuzugreifen versucht? Wenn ja: was versucht sie denn, dort zu machen?

Auf heise hatten sie glaube ich mal einen Artikel über Malware die versucht hat ssh keys von ext2/3 zu kopieren. ext4 schützte damals.

So Prinzipiell zusammengefasst:

• Windows kann kein ext oder btrfs lesen. Entsprechend wird es da auch erstmal nicht schnüffeln. (Denke ich)
• Andere Malware könnte das, wenn sie Admin rechte hat, indem sie Treierb nachinstalliert.
• Prinzipeill kann sich auch Passwörter mitlesen und so auch verschlüsselte Dateisysteme lesen. Durch die diversität von Linux dürfte das aber gar nicht so einfach sein. (Vor allem weil jede Distro das mit dem Entschlüsseln etwas anders regelt.) Nichts außer der "gute Ruf" von Microsoft hindert MS daran das auch zu tun. Halte ich aber beides für sehr unwahrscheinlich.
• Secureboot könnte so etwas verhindern. Hadhat bietet glaube ich eine voll Secureboot fähige Distro. MS selbst könnte Secureboot aber natürlich wieder umgehen, weil sie ja selbst ein legitimer Betriebssystem Hersteller ist.

[NAB]

ist denn derzeit Windows-Malware bekannt, die überhaupt erstmal auf evt. vorhandene unixoide Systeme zuzugreifen versucht?

Wie eingangs schon erwähnt - davon habe ich noch nie gehört. Wobei die Infektionswege von z.B. "Linux.Encode.1" meineswissens bisher aber auch ungeklärt sind:
http://www.zdnet.com/article/crypto-ran ... ivate-key/