Tails installeren: Veilig OS met Tor als basis
Tails is bedoeld als live besturingssysteem waarbij alles is gericht op anonimiteit en de bescherming van je online privacy. Het zal je weinig verbazen dat het Tor-project achter deze ontwikkeling zit. We leggen uit hoe je Tails installeren kunt.
Linux kan als een van de veiligere besturingssystemen worden beschouwd. Het is dan ook geen toeval dat Tails is gebaseerd op Debian GNU/Linux met een GNOME-desktopomgeving. Tails staat voor The Amnesic Incognito Live System en die naam vat perfect samen wat het project beoogt: anonimiteit en privacy.
Tails is slechts een van de tools en diensten van het Tor-project. Je vindt een overzicht op www.kwikr.nl/torproj.
Centraal staat de Tor Browser, een aangepaste versie van Mozilla Firefox. Niet alleen worden standaard alle cookies na elke browsersessie verwijderd, Tails laat evenmin andere sporen op je pc na, omdat alles in het RAM-geheugen wordt opgeslagen, met uitzondering van wat je zelf bewaart in een versleutelde persistente opslagruimte.
Dankzij enkele extensies wordt je privacy bovendien op andere manieren gewaarborgd: HTTPS Everwhere dwingt waar mogelijk https-versleutelde connecties af, NoScript schakelt scripts en plug-ins uit en uBlock verwijdert advertenties. In de Tails-toolbox bevinden zich verder nog een gemodificeerde versie van Thunderbird voor het sturen van versleutelde e-mails, KeePassXC voor het bewaren van je wachtwoorden en OnionShare om bestanden veilig via Tor te delen.
Tails op usb-stick zetten
Hoewel je Tails ook als virtuele machine kunt installeren (zie www.kwikr.nl/tailsvm voor het iso-schijfkopiebestand), laten we je hier zien hoe je het op een live usb-stick plaatst. Dat kun je vanuit meerdere besturingssystemen doen, maar wij gaan uit van Windows. We gebruiken hiervoor balenaEtcher (voor macOS en Windows).
Start de tool op en selecteer Flash from file. Verwijs naar het img-schijfkopiebestand van Tails, dat je kunt ophalen via www.kwikr.nl/tailsdl. Klik op Select target, verwijs naar je (lege) usb-stick en bevestig met Flash. Na afloop is je Tails-stick klaar.
Opstarten
Plug je stick bij voorkeur alleen in een uitgeschakelde pc in, dit verkleint het risico dat een actief en geïnfecteerd systeem iets naar de stick kan schrijven. In het welkomstscherm stel je de taal en de toetsenbordindeling in. Bij Additional Settings is het even opletten. Deze bevat enkele extra (beveiligings)instellingen die je via de plus-knop kunt configureren.
Zo stel je het Administration Password alleen in wanneer je extra software wilt installeren (zie verderop de paragraaf ‘Persistente opslag’), interne harde schijven wilt kunnen benaderen of sudo-commando’s wilt kunnen uitvoeren (via Toepassingen / Systeemgereedschap / Root terminal).
Unsafe Browser schakel je uitsluitend in om je bij een netwerk met een ‘captive portal’ aan te kunnen melden. MAC Address Anonymization laat je ingeschakeld, tenzij je verbindingsproblemen ondervindt met je netwerkinterface(s). Offline Mode is handig als je geen internetconnectie nodig hebt. Met Start Tails start je de desktopomgeving op.
Tor-connectie
Normaliter verschijnt er nu een dialoogvenster van Tor Connection waarin je kunt kiezen tussen Connect to Tor automatically en Hide my local network that I’m connecting to Tor. Deze tweede optie is vooral bedoeld wanneer je vermoedt dat je netwerkverbindingen worden gemonitord, bijvoorbeeld in een bedrijfsomgeving. In het eerste geval verbindt Tails zich automatisch met het Tor-netwerk via een publiek relay. Lukt dat niet, dan gebruikt Tails hiervoor een standaard Tor-bridge, zoiets als een geheim relay.
Pas als dit ook niet lukt, vraagt Tails je naar een custom bridge. De vraag naar een custom bridge krijg je sowieso als je ervoor kiest om je verbinding met Tor te verbergen. Op www.kwikr.nl/bridges kun je bridges aanvragen. Om die te kunnen bewaren, moet je wel persistente opslag inschakelen.
Bevestig je keuze met Connect to Tor. Even later kun je dan de Tor Browser opstarten of ook andere applicaties openen. Klik op Tor Check om te verifiëren of je daadwerkelijk met het Tor-netwerk bent verbonden. Lukt het niet meteen, klik dan rechtsboven op het netwerkpictogram en controleer of de juiste, eventueel draadloze netwerkinterface is ingesteld.
Persistente opslag
Zoals gezegd houdt Tails standaard geen data bij. Vind je dit toch handig, dan kun je versleutelde persistente opslag inschakelen. Klik hiervoor linksboven op Toepassingen / Tails / Configure Persistent Volume. Vul een sterk wachtwoord in (2x) en bevestig met Create. Vanuit de configuratiewizard geef je vervolgens aan wat je hierin wilt bewaren, bijvoorbeeld Personal Data, Welcome Screen (de taal en regionale instellingen), Tor Bridge, OpenPGP-keys of Extra software. Je kunt deze opslagruimte ook bereiken via Toepassingen / Accessoires / Bestanden / Persistent.
Nog even wat over de optie Extra software. Je kunt dus extra applicaties installeren binnen Tails, zoals applicaties of taalpakketten. Ga hiervoor opnieuw naar Toepassingen / Tails en kies Extra software. Klik (bijvoorbeeld) op Synaptic Package Manager, tik je (eerder ingevulde) administrator-wachtwoord in en nadat de pakketinformatie is opgehaald, kun je de software installeren vanuit het Synaptic pakketbeheer. Op het einde van de installatie kies je dan zelf of de software eenmalig of permanent geïnstalleerd moet worden in je persistente opslagruimte.
Aandachtspunten
Tails mag dan over aardig wat veiligheidsfuncties en -tools beschikken, helemaal waterdicht is een systeem nooit. Zeker niet wanneer de gebruiker zelf nonchalant te werk gaat en bijvoorbeeld een zwak wachtwoord gebruikt, zich bij sociale media aanmeldt met informatie die aan zijn echte identiteit is gekoppeld of bestanden met privacygevoelige metadata deelt. Je moet er ook zeker van zijn dat je Tails installeert op een schone pc en dat je Tails gebruikt op een computer waarvan het BIOS of de firmware niet is aangetast.
Houd er tevens rekening mee dat de bezochte sites kunnen weten dat je via Tor surft, aangezien de exit nodes van dat netwerk publiek zijn. Het valt ook niet helemaal uit te sluiten dat je exit node bij een MITM-aanval is betrokken. Geeft de Tor Browser je een waarschuwing over een mogelijk veiligheidsrisico, vraag dan meteen een nieuwe identiteit aan (via Ctrl+Shift+U), zodat je ook een nieuwe exit node krijgt toegewezen.