Onlinebanking über Virtualbox

[Dimejo]

Die ganze Sicherheit Deiner Banking-VM geht von der Voraussetzung aus, dass der Host, auf dem die VM läuft, sauber ist. Auch wenn ich es als unwahrscheinlich erachte, so wäre es dennoch möglich, dass der Host beim täglichen Arbeiten infiziert wird, und dann auch die VM manipuliert.

Dazu müsste die Malware erstmal wissen, dass es eine Banking-VM gibt und wenn es mehrere VMs gibt, welche fürs Banking gedacht ist. Darüber hinaus muss sie das vdi-Format öffnen können, alle denkbaren Filesysteme unterstützen oder ggf auf dem Host vorhandene Software oder Treiber nutzen und bedienen. Diesen Aufwand halte ich für kriminelle Interessen für deutlich zu hoch. Wie umfangreich soll denn ein Malware-Programm sein, um alle diese möglichen Fälle abdecken zu können?

Und selbst wenn die VM läuft .... versuch doch einfach mal das in der VM laufende OS oder den Browser vom Host zu erreichen. Das funktioniert ebenfalls nicht ohne zusätzliches Customizing in den VM-Settings.... selbst mit SSH kommst du nicht ohne weiteres an das VM-OS geschweige denn an den Browser ran. Versuchs einfach mal, dann siehst du, was das für Probleme bereitet, bis es geht. Nicht mal die VM-IP kriegste einfach heraus.

Wie bereits geschrieben halte ich dieses Angriffsszenario für eher unwahrscheinlich, aber es ist dennoch möglich. Ich wollte damit nur sagen, dass Du der VM nicht trauen kannst, wenn Du dem Host nicht traust.

Ein Keylogger benötigt übrigens weder Zugriff auf die VM, noch muss er von dieser Wissen, um Benutzernamen und Passwort auslesen zu können.

Ne statische LIVE-CD halte ich jedenfalls für total unpraktisch.

Sicherheit ist selten praktisch.

Genau das war aber immer der Vorteil der bankig-CD: ein sauberes und manipulationssicheres Medium.

Die ganze Sicherheit Deiner bankig-CD geht von der Voraussetzung aus, dass deine Leitung und Bankserver, und deren ISP auf dem sie laueft, sauber ist. Auch wenn ich es als unwahrscheinlich erachte, so wäre es dennoch möglich, dass z.B. dein Router beim täglichen Arbeiten infiziert wird, und dann auch dein Traffik manipuliert.

Danke für Deinen konstuktiven Beitrag.

[TomL]

Wie bereits geschrieben halte ich dieses Angriffsszenario für eher unwahrscheinlich, aber es ist dennoch möglich. Ich wollte damit nur sagen, dass Du der VM nicht trauen kannst, wenn Du dem Host nicht traust.

Ein Keylogger benötigt übrigens weder Zugriff auf die VM, noch muss er von dieser Wissen, um Benutzernamen und Passwort auslesen zu können.

Tja.... trau ich meinem Host ... ?... dem Keylogger, der auf der Hardware lauscht, ist eh alles egal, der schert sich eh um nix... ?... gehackter ISP oder Bankenserver...?... das sind jetzt alles Gedankenwege, die einem fast dazu nötigen, sich lieber persönlich zum Bankschalter zu begeben. Aber das will ich nicht. Ich denke dabei, das Sicherheit nie eine einzelne Maßnahme ist, auch eine einzelne Software (Firewall) ist kein Sicherheitskonzept, ebensowenig nur diese Banking-VM. Und schon mal gar nicht kann man Sicherheit vollständig delegieren und danach das Gehirn ausschalten. Ich traue hingegen sehr wohl einem Konglomerat von einzelnen Maßnahmen, bei denen ich hoffe, dass alle zusammen ein zuverlässiges Sicherheitskonzept ergeben.

Da ist zum einen mein Surfverhalten, das ich rigoros, gewissenhaft und kompromisslos unterteile in Tagesgeschäft, unseriöse Seiten, Downloads, isolierte Hochsicherheit, Google-Domain. Das aktuelle Tagesgeschäft (nur seriöse Seiten), also z.B. meine Geschwätzigkeit hier in diesem Forum, betreibe ich mit einem auf meinem PC und im heimischen Netz unprivilegierten User. Palemoon wird hier über policies berechtigt via pkexec substiuiert aufgerufen - der Zugriff auf mein eigenes User-Konto besteht hierbei nicht. Ein übliches "wildes" oder "freies" Surfen ist hier äusserst unbequem, weil UBlock Origin ziemlich rigide mit Scripten umgeht. Meine regelmäßigen Seiten sind dabei jeweils explizit erlaubt. Die unseriösen Seiten, die Downloads und auch Google sind jeweils in eigenen VMs eingesperrt, auch immer mit unprivilegierten Usern. Ebenso wird das Banking in einer besonders scharf eingestellen VM von allen anderen isoliert. Ich vertraue auf Debian. Ich vertraue darauf, nur seriöse Software aus guten Quellen zu verwenden, auch wenns nicht immer aus dem Debian-Repo kommt. Ich vertraue auf meinen Verstand, Dinge begründet vorsätzlich tun zu können oder sie ebenso begründet vorsätzlich zu unterlassen und dabei die Konsequenzen ein wenig einschätzen zu können.

Dieses MischMasch an Maßnahmen verschafft mir eigentlich ein gutes Gefühl dabei, keine wirklich großen Sicherheitslücken zu haben und ein sicheres Online-Banking betreiben zu können. Die Banking-VM zähle ich jedenfalls unbedingt zu den "guten" Maßnahmen.

J.m.2.

[DeletedUserReAsG]

Bin ich eigentlich seltsam, wenn ich (für mich) sage: so ’nen Aufwand tu’ ich mir für das Banking nicht an? Da läuft ein sauberer Browser mit den üblichen Plugins, um das Laden von Drittseiten sowie JS zu unterbinden unter einem eigenen Account und ich frage mich, auf welche Art Malware nun meine Münzen abziehen, oder auch nur meine Kontenaktivitäten in Erfahrung bringen sollte, ohne dass ich das mitbekomme. Die Transaktionen sehe ich durch diesen externen TAN-Generator mit Display, der einen die Transaktionsdaten vor dem Erzeugen der TAN nochmal anzeigt, ausreichend geschützt, und Logins auf der Seite werden protokolliert, so dass ich einen entsprechenden Zugriff mitbekommen würde. Speziell was Banking angeht, sehe ich die Gefahr für meine Privatsphäre eher auf der Seite der Bank selbst, und nicht so sehr bei Kriminellen (wobei böse Zungen ja behaupten, die Schnittmenge sei erheblich …). Welchen Vorteil sollte da eine extra VM oder gar ein Livesystem, dessen Konfiguration ja wohlbekannt ist und dessen Sicherheitsupdates bestenfalls umständlich vonstatten gehen, bringen?

[TomL]

Bin ich eigentlich seltsam,

Nein, das bist du sicher nicht. Ich sehe mich wohl auch ein wenig als Opfer und Mitläufer bei dieser Medienhysterie, wo das Gefühl anscheinend völlig irrational den Verstand übertrumpft. Ich nutze online-banking seit 25 Jahren .... unter Windows (!) ... und Linux doch erst seit kurzem. Und trotzdem verunsichern mich die Meldungen und ich bin irgendwie gefangen in dieser "Gefahr". Aber man muss ja auch nicht immer alles rational erklären und tut manchmal einfach dummes. Und.... so kleine Macken sind ja nicht unbedingt schädlich.

Btw, die VMs updaten sich alle selber. Umständlich ist das als einziges nicht.

[dirk11]

Bin ich eigentlich seltsam, wenn ich (für mich) sage:

Nein, bist Du nicht. Ich halte das mit der VM (und auch schon das mit der Banking-CD) für vollkommen übertrieben. Ich ziehe mir ja auch keinen Airbag-Mantel an, nur weil mir mal was passieren könnte, wenn ich das Haus verlasse. Die herbeibeschwörte "Gefahr" ist bei einem aktuellen Linux in meinen Augen absolut minimal. Wer paranoid ist, deaktiviert Flash, Java und JavaScript (wenn er dann überhaupt noch banking machen kann), nimmt sich Zeit, beobachtet den Bildschirm und liest sich durch(!), was da passiert, und gut ist. Auch bei den beiden Bildern, welche hier verlinkt sind, erkennt man sehr schnell, daß das keine Bank-Seite sein kann, denn Gottseidank arbeiten in den Banken (im Gegensatz zu Zeitungs-Redaktionen) ganz offensichtlich noch Mitarbeiter, welchen ein korrektes Deutsch am Herzen liegt.

Ich persönlich finde es wichtiger und präventiver, vorher anzusetzen, mindestens mit einem Adblocker und z.B. Privacy Badger, mehr noch z.B. mit NoScript. Letzteres kann man aber nicht jedem zumuten, es gibt genug Leute, die überhaupt nicht überblicken, was da passiert. Aber bei denen reicht meist der Adblock, dann kriegen sie schonmal keine "Malware" frei Haus geliefert, denn auf fragwürdigen Seiten treiben diese Menschen sich seltenst herum - jedenfalls in meinem Umfeld.

[Lord_Carlos]

Was TomL und dirk11 hier so schoen formuliert haben wollte ich mit meinem plumpen post auch zum ausdruck bringen.
Man kann da immernoch ein drauf legen, zum schluss kommt hier einer mit UEFI Keylogger an. Das ist doch fuer den allgemeinen Benutzter ein total uebertriebendes Angriffszenario.

Mal als Realitaetsabgleich: Wenn ich mich in meiner Umwelt umsehe, fangen viele jetzt an mit kontaktlosen Kreditkarten (ohne pin) und via Handy zu bezahlen (Mobile Pay).

[uname]

Die Transaktionen sehe ich durch diesen externen TAN-Generator mit Display, der einen die Transaktionsdaten vor dem Erzeugen der TAN nochmal anzeigt, ausreichend geschützt,

Beim Phishing will die Malware den Anwender überreden eine Transaktion zu jemanden den man nicht kennt in einer für einen nicht akzeptablen Höhe zu überweisen. Sinnlose Gründe wie z.B. angebliche Testüberweisungen gibt es genug. Wer dann die TAN trotzdem bestätigt hat natürlich ein ernsthaftes Problem. Aber dafür kann das Banking-Verfahren nichts. Das größte Risiko sitzt immer noch vor der Tastatur.

[TomL]

Das Thema hat mich jetzt im Nachgang schon einigermaßen gedanklich beschäftigt. Deshalb bin ich jetzt mal in mich gegangen und habe dabei noch mal mein eigenes Konzept hinterfragt und darauf beleuchtet, wie sinnvoll das überhaupt ist. Dabei bin ich zu folgenden Schlußfolgerungen gekommen:

• Die Zweiwege-Authentifikation und die Transaktionsrückmeldung der Bank (EC-Karte und Lesegerät und z.B. Flickercode) ist an sich ausreichend sicher, wenn man selber auf gewisse Kontroll- und Prüf-Standards bei den Transaktionen achtet (was eigentlich selbstverständlich ist.... nur leider ist der Mensch halt nicht fehlerfrei... das Sprichwort "Hochmut kommt vor dem Fall" ist keine Phrase ohne Hintergrund)
• Eine VM speziell fürs Banking mag möglicherweise ein Placebo sein, aber sie schadet definitiv auch nicht.
• Eine VM speziell fürs Surfen (für auch) auf unseriösen Seiten ist -davon bin ich überzeugt- sinnvoll, um dieses Surfen quasi einzusperren
• Fängt man sich beim unseriösen Surfen Malware in dieser VM ein, sagen wir im schlimmsten Fall einen Keylogger, so ist der wirkungslos, wenn die VM abgeschaltet ist.
• Beides voneinander deutlich zu trennen kann einen schützenden Effekt haben, da Malware aus der einen VM keinen Zugriff auf die andere VM und auch nicht auf den Host hat.
• Meine Banking-VM bereitet mir keinen zusätzlichen Aufwand. Sie wird via Desktop-Starter gestartet und fährt ohne Anmeldung hoch bis zum Browser und der geöffneten Seite meiner Bank. Lediglich der Start dauert ein paar Sekunden länger, als würde ich den Browser direkt starten. Updaten tut sie sich selber.
• Die Verwendung verschiedener VMs für isolierte Internet-Anwendungen verhindert m.E. zuverlässig, dass mein PC als Host selber kompromittiert wird.

Selbst wenn also die Wirkung meiner Banking-VM zweifelhaft ist oder sie einfach wirklungslos bleibt, so ändert sich nichts daran, dass sie auch nicht schadet.... sie verursacht noch nicht mal zusätzlichen Aufwand. Und ganz wirklungslos ist sie meiner Meinung nach speziell bei mir auch nicht, weil die ganze Internet-Krmininalität etwas ist, was ich hinsichtlich dessen was möglich ist, überhaupt nicht mehr durchschaue und ich mich hier als völliger Laie betrachte. Vor diesem Hintergrund macht es mir wenigstens ein etwas besseres Gefühl.

Ich werde einfach also dabei bleiben, auch wenn einige das als Quatsch erachten....

[dirk11]

Nun ja. Es schadet auch nicht, beim Küssen ein Kondom über den Schniepel zu ziehen - ob das sinnvoll ist, muß halt jeder für sich entscheiden...

[urkle]

Würdet ihr hier auch für ein Live System stimmen um noch weniger Angriffsfläche zu bieten als eine VM?

[geier22]

Fängt man sich beim unseriösen Surfen Malware in dieser VM ein, sagen wir im schlimmsten Fall einen Keylogger, so ist der wirkungslos, wenn die VM abgeschaltet ist.

Dagegen sollte ein Passwortmanager helfen. Wenn man die Gemeinsame Zwischenablage nicht deaktiviert sollte es schwer werden vom Host aus irgend etwas auszuspionieren.

Ansonsten bin ich genauso "paranoid" (oder spielfreudig ) wie TomL
Meine Bankgeschäfte laufen in einer Windows VM Über ein Banking Programm mit Zwei-Faktor-Authentifizierung via Flicker Code. Der Browser und andere Programme dürfen nicht in Netz. ---> Das mach ich schon immer so und fühl mich wohl dabei
Ein Banking Programm bietet darüber hinaus auch entschiedene Vorteile (Kontobewegungen alles Banken über Jahre archiviert)

Um den ganzen noch eins Drauf zusetzen hab ich eine Mini VM (Xfce + Chromium + firejail) die nur meine Bankverbindungen an surfen kann.
(2,2 GB gross), allerdings hab ich die auf konventionellen Weg hergestellt :

Wenns interessiert (als weitere Variante);
Minimal-Installation - mit Netinst CD
dann die /etc/apt/apt.conf erstellen oder ändern mit

Code: Alles auswählen

APT::Install-Recommends "0";
APT::Install-Suggests "0";

Code: Alles auswählen

apt-get install xserver-xorg xserver-xorg-core xfonts-base xinit x11-xserver-utils
apt-get install xfwm4 xfce4-panel xfce4-settings xfce4-session xfce4-terminal xfdesktop4/ xfce4-taskmanager tango-icon-theme
apt-get install lightdm lightdm-gtk-greeter

Neustart und dann halt noch ein paar Tools und den Browser

Zum Schluss alles, was überflüssig ist, entfernen (das braucht ein bisschen Handarbeit mit apt-mark manual , damit nicht zu viel deinstalliert wird.

[uname]

Ich habe nicht mal eine Windows VM geschweige denn Windows. Webbasiertes Banking mit Flicker-Code ist kein Problem.

[TRex]

Ich schließe mich mal an der Stelle niemand an und bestätige ein sicheres Gefühl mit TAN-Generator auf dem ganz normalen, sauberen Linux-Rechner - allerdings mit hibiscus statt einem Browser. Das hat ein eigenes Passwort und ist portable - ich könnte es also gegen Manipulation schützen, indem ich es auf einen USB-Stick packe oder in eine verschlüsselte Partition.. aber mir reicht die Eigenverschlüsselung.

[geier22]

Ich habe nicht mal eine Windows VM geschweige denn Windows.

Ich hab Hibiscus ausprobiert und Moneyplex sogar mal gekauft. Doch auf meinem Bildschirm (2560 * 1600) war die Grafik einfach nicht zu ertragen.
Das einzige Programm, was mir optisch und von den Möglichkeiten gefallen hat war kmymoney. jedoch gab es da immer wieder Probleme mit aqbanking.

allerdings mit hibiscus statt einem Browser.

. Da ist halt für mich auch wichtig. Der Browser ist nun mal das schwächste Glied in der Kette, schlichtweg weil - egal auf welchem Betriebssystem - die Sicherheitslücken identisch sind und er eine Massenware ist. Dadurch ist er das ideale Angriffsziel für Ganoven.
Banking über HBCI umgeht zumindest diesen Gefahrenpunkt (Web- Interface der Banken, sowie einen separaten Server) und ist auch keine Massenware, also weniger attraktiv für Ganoven. Ausserdem beschränkt sich der Kontakt mit dem Bankserver auf wenige Sekunden.
Allein schon das Login auf der Webseite der Bank (in der Regel Kontonummer und max 6-Stellige PIN) lässt mich grausen.
Damit hat der Angreifer zwar noch kein Geld von meinem Konto, aber zumindest sämtliche Daten und Kontostände, was häufig der erste Schritt zur Konto Plünderung ist.
Das ist im Grunde alles. Man sollte die kleinstmögliche Angriffsfläche bieten:D .

Hier könnt Ihr eure Bank testen : https://www.ssllabs.com/ssltest/index.html

[mullers]

So aus Neugier: Mich würde mal interessieren, ob jemandem selbst oder ob jemand jemanden kennt, dem mal irgendetwas Böses mit seinem Online Konto passiert ist. Und zwar ohne erstens grob fahrlässig gehandelt zu haben. Und zweitens einfach mit einem durchschnittlich gesichertem System, mit einem durchschnittlich gesicherten Browser.

[guennid]

Mich würde mal interessieren, ob jemandem selbst oder ob jemand jemanden kennt, dem mal irgendetwas Böses mit seinem Online Konto passiert ist.

Wenn die Wirklichkeit der Teorie widerspricht: Um so schlimmer für die Wirklichkeit! (Hegel, er hat's anders gemeint, als es hier passt, aber schön find' ich's trotzdem. )

Grüße, Günther

[thoerb]

Die meisten die ich kenne, hatten schon mal richtig üble Schadsoftware auf ihrem Rechner. Und auch kenne ich welche, die angezeigt wurden für Musik-Downloads. Aber ich kenne keinen dem irgendetwas böses mit seinem Online Konto passiert ist.

[TomL]

Ich kenne niemanden, dem mit Deinen Rahmenbedingungen Schaden zugefügt wurde. Und soweit ich mich erinnere, wurde in 25 Jahren auf unseren Rechnern (Familie) noch nie auch nur ein einziger Virus gefunden. Das ist aber nicht die Grundlage meiner Vorsicht. Ich tue das, was ich tue, allein aus dem Grund, weil ich nicht mehr einschätzen kann, wozu andere (mit krimineller Energie) imstande sind etwas zu tun, was mir schaden kann. Dabei unterstelle ich einfach, dass der aktuelle Stand der Technik in Verbindung mit subversiven Erfindungsreichtum bessere Malware schaffen kann, als es noch vor Jahren möglich war. Meine Vorsicht entspringt allein dem Gedanken und der subjektiven Selbsteinschätzung, dass meine Fähigkeiten nicht mehr reichen, das alles wirklich selbst in der Hand zu haben und auch dauerhaft erfolgreich kontrollieren zu können.

[guennid]

Ich tue das, was ich tue, allein aus dem Grund, weil ich nicht mehr einschätzen kann, wozu andere (mit krimineller Energie) imstande sind etwas zu tun, was mir schaden kann.

Dann mach' halt dein Ding und lass andere weiterquatschen. Wie Dirk schon sagte: Schaden wird's nicht.

Grüße, Günther

[thoerb]

Dann mach' halt dein Ding und lass andere weiterquatschen.

Oder mach halt dein Ding, aber mache nicht alle anderen verrückt damit. Der ein oder andere liest das und ist anschließend total verunsichert.

[TomL]

Oder mach halt dein Ding, aber mache nicht alle anderen verrückt damit. Der ein oder andere liest das und ist anschließend total verunsichert.

Ok... entschuldige bitte.... mir war nicht klar, dass es unerwünscht ist, wenn man erklärt, warum man sich für einen bestimmten Weg entschieden hat. Ich habe auch nicht gewusst, dass sich andere Leser aus verschiedenen konträren Standpunkten keine eigene Meinung bilden können sollen, wenn (möglicherweise) gewisse Standpunkte nur zum Teil relevant sind. Ausserdem war mir nicht bewusst, dass Meinungen unerwünscht, wenn sie nicht auf Fakten verweisen können .... weil ich annahm, dass eine Meinung nur eine Meinung ist, auf die man natürlich verzichten kann, wenn man auf Fakten verweisen könnte.... aber ich habe hier leider nur ne Meinung.

Also ...bitte entschuldige meine Unachtsamkeit.

[thoerb]

Ausserdem war mir nicht bewusst, dass Meinungen unerwünscht, wenn sie nicht auf Fakten verweisen können .... weil ich annahm, dass eine Meinung nur eine Meinung ist, auf die man natürlich verzichten kann, wenn man auf Fakten verweisen könnte.... aber ich habe hier leider nur ne Meinung.
Also ...bitte entschuldige meine Unachtsamkeit.

Dafür musst du dich nicht entschuldigen, meine Meinung ist auch nur eine Meinung von vielen Meinungen. Aber was Sicherheit betrifft, die gibt es nicht. Nicht im Internet und auch nicht im realen Leben. Dir kann immer irgend was zustoßen. Und ein Leben im Bunker ist kein Leben. Augen auf im Straßenverkehr! Vorausschauend denken, reale Gefahren sehen und sich darauf einstellen, aufmerksam sein und alles wird gut. Alles andere ist überflüssig. Wenn ich auf der Autobahn auf einen Stau zu fahre und der LKW-Fahrer hinter mir eingeschlafen ist, rettet mich wahrscheinlich auch der Airbag nicht mehr. Aber wenn ich weiß, dass dort ein Stau ist, kann ich eine andere Route fahren und komme erst gar nicht in diese Situation.

Vor ca. 15 Jahren habe ich in einer Firma unachtsam einen E-Mail-Virus aktiviert. Ich will hier gar nicht näher auf die Folgen eingehen, aber danach war ich geimpft.

Und ich glaube auch nicht, dass es möglich ist über einen Browser in ein System einzudringen und von dort aus irgendwas zu manipulieren. Cracker sind immer auf die Unachtsamkeit und Leichtgläubigkeit (Dummheit) von Usern angewiesen um richtigen Schaden anzurichten. Ansonsten gibt es da garantiert so gut wie keine Möglichkeiten.

[dirk11]

Wenn ich auf der Autobahn auf einen Stau zu fahre und der LKW-Fahrer hinter mir eingeschlafen ist, rettet mich wahrscheinlich auch der Airbag nicht mehr.

Quizfrage: welcher Autofahrer weiß noch, wofür die sog. "Rückspiegel" sind!?

[thoerb]

Wenn ich auf der Autobahn auf einen Stau zu fahre und der LKW-Fahrer hinter mir eingeschlafen ist, rettet mich wahrscheinlich auch der Airbag nicht mehr.

Quizfrage: welcher Autofahrer weiß noch, wofür die sog. "Rückspiegel" sind!?

Ich verstehe die Frage nicht so ganz. Wenn vor dir alles steht nutzt dir der Blick in den Rückspiegel auch nichts mehr. Dann siehst du, wie bei dem hinter dir der weiße Rauch aus den Radkästen kommt und dann kannst du nur noch hoffen dass er es noch rechtzeitig schafft zum stehen zu kommen. Und richtig geil ist es, wenn es sich dabei um einen LKW handelt.

[halo44]

Als Starter dieses Threads fühle ich mich inzwischen gewissermaßen "mitschuldig", wenn TomL hier teilweise heftig angegangen wird, was m.E. unangemessen ist.

Ich fragte damals

... Die Lösung von TomL mit einem gedebootstrapten Mini-Debian in einer virtuellen Maschine würde ich gerne versuchen, weiß allerdings nicht, wie ich dies anstellen soll ...

Diese Frage hat TomL beantwortet und ich habe seine Lösung inzwischen erfolgreich im Einsatz. Für und Wider der Anwendung werden ja hier diskutiert, wobei viele Beiträge auch sehr hilfreich sind. Dies sollte auch so bleiben.

Gruss H.