Banking-Sicherheit

[schwedeii]

So, liebe community, da habe ich nun gesucht, aber nichts richtiges gefunden.
Ich habe folgendes vor: meine Freundin muß Finanzen managen, ist aber reiner Anwender. Sie kennt den Unterschied zwischen Linux und Windows nicht, benutzt aber Comuter. nun habe ich (sieh einer an) Ressourcen für einen Bank-Rechner. Dieser ist ein Stand-alone, minimalisiert, keine E-Mail oder sonstiges Zeugs, nur Jameica.
Nun hätte ich als Option B noch gern, dass für das Online-Banking der Iceweasel benutzt wird. Da ich mich mal bissel mit dem SSL-Zeugs beschäftigt habe, möchte ich nun eins erreichen: es dürfen nur noch 2 SSL-Seiten geöffnet werden, die von 2 Banken.

Dazu folgende Vorgehensweise: Alle SSL zertifikate löschen!! Danach die Zertifikate der 2 Banken nach Überprüfung importieren und fertig. Sollte nun eine manipulation erfolgen, gibt es gemecker vom Browser.

Nun meine Frage: ich habe unter /usr/share/ca-certifikates/mozilla alles geöscht, dennoch sind die zertifikate noch da. Wie kann ich diese effizient entfernen und den Ordner so zunageln, dass eine Installation auch nach einem Upgrade nicht mehr möglich ist?

[heisenberg]

Du kannst den Ordner per Attribut unveränderbar(immutable) einstellen als root. Dann darf root diese auch nicht mehr verändern, mit Ausnahme, dass root das Attribut wieder entfernen kann.

Code: Alles auswählen

chattr +i /dein/pfad

Näheres siehe Manpage.

Darüberhinaus sind die CAs AFAIR zusätzlich noch in /etc/ssl/certificates. Aber ich weiss nicht ob die Icewease auch benutzt.

[mistersixt]

Vielleicht nicht ganz das was Du suchst, vielleicht aber auch doch: es gibt regelmässig von der c't eine "Banking-Knoppix-c't-CD" ... oder so ähnlich, speziell fürs Online-Banking... weil halt alles schön read-only und generell abgesichert ist. Die entsprechende Ausgabe kann man bestimmt für wenig Geld direkt beim Heise-Verlag bestellen.

Gruss, mistersixt.

[schwedeii]

Okay, /etc/ssl/certificates habe ich auch leer gemacht, leider auch hier ohne Erfolg. Die websites werden immer noch angezeigt. Sicherheit demnach gleich null, da die Freundin sicher nicht so richtig weiß, was sie macht. (habe versucht, Ihr das zu erklären) Ich lasse jetzt eine Suche durchlaufen, um alle Dateien zu finden, und melde mich dann wieder. Die Knoppix-Banking CD ist zwar eine gute Idee, aber ich werde sie erst mal testen. read-only?? wie sieht es denn da mit dem fixen von Bugs aus? Beim Banking sehr wichtig.

[Liffi]

read-only?? wie sieht es denn da mit dem fixen von Bugs aus? Beim Banking sehr wichtig.

Dann muss es eine neue Version der CD geben.

[mistersixt]

Siehe hier, da wird beschrieben, wie das mit den Updates funktioniert:

http://www.heise.de/ct/projekte/Sichere ... 84099.html

Gruss, mistersixt.

[uname]

Dazu folgende Vorgehensweise: Alle SSL zertifikate löschen!! Danach die Zertifikate der 2 Banken nach Überprüfung importieren und fertig. Sollte nun eine manipulation erfolgen, gibt es gemecker vom Browser

Das löst dein Problem nicht. Internet-Banking-Webseiten werden soweit mir bekannt vor allem durch JavaScript-Injection manipuliert. Es wäre somit besser auf JavaScript zu verzichten (falls möglich) und über die Firewall nur die benötigten Webseiten, Jameica und die Paketaktualisierung zu whitelisten.

Etwas offtopic:
Ich finde es interessant, dass man sowohl das bankix-ISO als auch die zugehörigen Prüfsummen auf dem selben Server bereitstellt [1] und vor allem eine Prüfung über diesen Weg empfiehlt [2]. Es ist mir unterklärlich warum man nicht eben auch auf [2] in der Beschreibung den Schlüssel nach ausreichender Kontrolle hinkopiert. Die reine Kontrolle des Fingerprints ohne Signaturschlüssel (was bestimmt oft passiert) erscheint mir vollkommen sinnlos.

[1] ftp://ftp.heise.de/pub/ct/projekte/ctbankix/12.04/
[2] http://www.heise.de/ct/projekte/Sichere ... ml?seite=2

[tomi89]

Mit dem Umatrix Addon könnte man Thirdparty Inhalte am laden hindern.

Dann könte man SSL-Observatory vom HTTPS-Everywhere Addon aktivieren.

Dann könnte man theoretische noch Safe Negotiation aktivieren (falls fremde Leute im LAN sind oder man mit dem Laptop fremdes WLAN benutzt).
security.ssl.require_safe_negotiation true
security.ssl.treat_unsafe_negotiation_as_broken true

Man könnte auch im NoScript Addon im Bereich HTTPS die Nutzung von HTTPS erzwingen (auch für alle Cookies). Und dann könnte man dort noch I-Frames deaktivieren und vor XSS schützt das Addon standardmäßig.

[uname]

Sehr schön. Ich frage mich gerade ob wohl Internet-Banking mit w3m oder lynx / lynx-cur funktioniert. Wenn es funktionieren würde hätte man wohl alle Probleme auf einmal gelöst.

[jkoerner]

[...]ob wohl Internet-Banking mit w3m oder lynx / lynx-cur funktioniert.[...]

Ausprobieren. MMn eher nicht, weil die Bankserver samt hinterlegter Software „moderne“ Browser erwarten und einige dieser Programme mit PopUps arbeiten oder sonstige Brauser-Fähigkeiten wie irgendwelche Skript-Kacke voraussetzen.
Ich bin wieder auf das Bankterminal im Intranet gewechselt. Der Zeitaufwand dort die Bankgeschäfte zu erledigen ist um Einiges geringer als sich mit der Sicherheit der Software auf dem eigenen Rechner zu beschäftigen.
Am sichersten scheint mir immer noch die Barzahlung zu sein

[mullers]

Sehr schön. Ich frage mich gerade ob wohl Internet-Banking mit w3m oder lynx / lynx-cur funktioniert. Wenn es funktionieren würde hätte man wohl alle Probleme auf einmal gelöst.

Habe gerade festgestellt, dass in meinem Fall online banking sowohl mit lynx als auch mit w3m erstaunlich gut funktioniert. Klasse, das sollte ja wirklich einige Probleme lösen.

[dirk11]

Wie wird denn damit der Flicker-code für Transaktionen generiert?

[Faber38]

nur mal so am Rande erwähnt...
wenn du eine Software wie zb. Moneyplex oder ähnliches benutzt denke ich wird es um ein vielfaches leichter..

das soll nur ein Vorschlag sein sich so was mal an zu schauen.

[4A4B]

Wie wird denn damit der Flicker-code für Transaktionen generiert?

Bei meiner Bank gibt es alternativ die Möglichkeit, einen Zahlencode in den Tan-Generator einzugeben.