Onlinebanking über Virtualbox

[halo44]

Ich beziehe mich auf diesen Beitrag von TomL

Ich habe hier für uns eine VM mit einem gedebootstrapten Mini-Debian eingerichtet ...

möchte meine Frage aber nicht in diesen ohnehin langen Thread einstellen.

Mein Online-Banking habe ich bisher über die ct-bankix-Anwendung von Mirko Dölle durchgeführt. Leider ist aber dieses Projekt jetzt eingestellt worden, so daß ich nach einer Alternative suche.

Die Lösung von TomL mit einem gedebootstrapten Mini-Debian in einer virtuellen Maschine würde ich gerne versuchen, weiß allerdings nicht, wie ich dies anstellen soll. Zwar ist mir die Installation eines Debootstrap-Systems aus einem laufenden Debian heraus in eine neue Partitition hinein durchaus klar, ich habe ein solches System auch schon einmal erstellt,
allerdings fehlt mir ein Ansatz, wie ich ein solches System z.B. in meine bereits installierte Virtualbox einbringen kann. Hier möchte ich Euch um Unterstützung bitten.

Ein "Mini-Debian" mittels einer mini.iso habe ich schon versucht, allerdings scheint mir die Anwendung etwas sehr langsam zu laufen. Auch verdient m.E. die erstellte vdi-Datei mit immerhin 5 GB Umfang nicht wirklich das Prädikat "mini".

Danke für jede Hilfe.

Gruss H.

[TomL]

Das ist einfach.

Zuerst habe ich mir über das VBox-Manager-GUI eine LXDE-VM (5 GB) mit dem NetInst.iso erstellt. Ohne groß drüber nachzudenken, alles default, keine besonderen Auswahlen, kein Customizing, so wie es der Installer vorsieht, einfach nur eine nackige LXDE. Diese VM ist eigentlich nur als VM-Installer-Gehhilfe gedacht und hat bei mir keine weitere Verwendung.

Dann erstelle ich erneut mit dem VBox-Manager-GUI die richtige und für eine bestimmte Aufgabe gedachte VM... ich nenne sie hier mal "Banking". Dort alles einstellen (CPU, Video,RAM), die VDI im richtigen Zielverzeichnis erzeugen lassen... aber... und jetzt kommts.... diese VM wird NICHT mit einem Installer-ISO-gestartet.... sondern einfach erst mal wieder vergessen.

Nun öffne ich im VBOX-Manager-GUI die Settings für die erste LXDE-VM (diese Installer-Gehhilfe) und füge unter Massenspeicher eine zweite Harddisk hinzu... und zwar die banking.vdi aus der zuvor angelegten "Banking"-VM.

Ab jetzt ist es einfach. Die LXDE-Gehhilfe-VM starten und in dieser gestarteten LXCDE-VM die zweite Harddisk (banking.vdi) (/dev/sdb1) vorbereiten:

Code: Alles auswählen

blkid -o list                                                           // Eindeutige Identifikation!!!
fdisk -l                                                                // Check: Name = /dev/sdb1?

Falls keine Partition besteht, z.B. /dev/sdb1, ggf. mit cfdisk oder gparted eine Partitionstabelle 
und eine Partition erstellen

su
cfdisk /dev/sdb                                                         // Falls unpartioniert und ohne
                                                                        // Partionstabelle    
    ┌ Select label type ─────┐
    │ gpt                    │
    │ dos  <--------         │
    │ sgi                    │
    │ sun                    │
    └────────────────────────┘

Dann New -> Primary -> Write -> Und Fertig!  
Zwischendurch noch ggf. die Größe ändern, wenn mehr als eine Partitions angelegt werden soll.

blkid -o list

df -h                                                                   // Check: Gemountet? umount!
umount /dev/sdb1
mkfs.ext4 /dev/sdb1   

Dann folgenden die nächsten Schritte zur Installation:

Code: Alles auswählen

[ ! -d /media/sdb1 ] && mkdir /media/sdb1                               // Zielverzeichnis für "neues" Debian erstellen
mount /dev/sdb1 /media/sdb1 -t ext4
df -h                                                                   // Check: Gemountet? 
                         
                                                                        // CPU/Bitness auswählen:
cdebootstrap --arch i386 jessie /media/sdb1 http://ftp.de.debian.org/debian
cdebootstrap --arch amd64 jessie /media/sdb1 http://ftp.de.debian.org/debian

ls /media/sdb1 -lah                                                      // Check! Sichtkontrolle
mkdir /media/sdb1/dev && /media/sdb1/proc && mkdir /media/sdb1/sys       // Sofern nach debootstrap nicht vorhanden!

cat /proc/mounts | grep sdb1                                             // Check! Sichtkontrolle
mount --bind /dev /media/sdb1/dev && \
mount --bind /proc /media/sdb1/proc && \
mount --bind /sys /media/sdb1/sys
cat /proc/mounts | grep sdb1                                             // Check! Gemountet?

Jetzt folgt das eigene Setup:

Code: Alles auswählen

chroot /media/sdb1

nano /etc/apt/sources.list                                              // Append:   non-free contrib?
    deb http://ftp.de.debian.org/debian jessie main contrib non-free
    deb-src http://ftp.de.debian.org/debian jessie main contrib non-free
    
    deb http://security.debian.org/ jessie/updates main contrib non-free
    deb-src http://security.debian.org/ jessie/updates main contrib non-free

Fehlende Pakete installieren:

Code: Alles auswählen

dpkg -l locales tzdata keyboard-configuration
apt install keyboard-configuration 
apt install locales tzdata                                              // nur fehlende !!!

dpkg-reconfigure tzdata                                                 // Europe, Berlin
dpkg-reconfigure locales                                                // de.de, utf8
dpkg-reconfigure keyboard-configuration                                 // immer default, Right-Alt = AltGR, No Compose-Key

apt install linux-image-686-pae                                         // 32b mit Physical-Adress-Extension oder
apt install linux-image-amd64                                           // 64b 

apt install grub2                                                       // führt grub-install automatisch aus

Vorbereitendes System-Customizing durchführen (Wird von einigen Installationen benötigt):

Code: Alles auswählen

cat /etc/fstab                                                          // Check! leer = ok     // nano /etc/fstab
echo "proc /proc proc defaults 0 0" >>/etc/fstab && \
echo "sysfs /sys sysfs defaults 0 0" >>/etc/fstab

fdisk -l
blkid                                                                   // Get UUID und replace ????? mit UUID
echo "UUID=?????    /       ext4  errors=remount-ro 0 1" >>/etc/fstab
echo "UUID=?????    swap    swap  defaults          0 0" >>/etc/fstab   // Auswählen: Partition...
echo "/var/swap.swp swap    swap  auto 0 0" >>/etc/fstab                // oder File

Dann /etc/hosts, /etc/network/interfaces, /etc/hostname konfigurieren. Später kann man dann auf systemd-networkd wechseln, aber erstmal einstellen, damit alles so per default und ohne Probleme läuft.

Als nächstes das Grafik-System installieren, sowie benötigte Tools und Pakete

Code: Alles auswählen

apt install build-essential linux-headers-$(uname -r)                   // VBoxLinuxAdditions-Setup, NVidia
apt install xserver-xorg xinit openbox x11-xserver-utils lightdm        // XWindow-API, OpenBox-Setup, Display-Manager       
apt install lxterminal lxpanel pcmanfm xterm                            // LXDE-Komponenten

apt install pciutils usbutils                                           // Mainboard & Devices
apt install cifs-utils --no-install-recommends                          // bei Clients ohne Samba und Winbind
apt install mc htop lsof iotop

Jetzt unbedingt das root-Passwort setzen.... bitte so, dass es keine Konflikte mit USA-Keyboard-Layout gibt... und Dich als User anlegen, damit du dich anmelden kannst.

Code: Alles auswählen

passwd
adduser donaldduck

Danach kannst Du die chroot-Umgebung mit exit verlassen, alles Schließen und die im VBox-Manager-GUI neu angelegte VM starten. Später nicht vergessen, die HardDisk aus der LXDE-VM wieder zu entfernen. Jetzt aber erst mal dort stehen lassen, vielleicht braucht man es noch mal.

Die neue VM startet mit dem LightDM-Login und sobald man sich angemeldet hat mit einem leeren Openbox-Bildschirm. Mit der rechten Mouse-Taste startest Du ein Terminal und kannst nun das abschließende System-Customizing vornehmen. Was Du du unbedingt benötigst sind noch folgende Einträge ... natürlich in Deinem Homedir... Verzeichnis ggf. nach der ersten Anmeldung erstellen, sofern nicht automatisch angelegt:

Code: Alles auswählen

nano /home/thomas/.config/openbox/autostart

Code: Alles auswählen

  xsetroot -solid '#23382F' &                                           # Grün
# xsetroot -solid '#12231C' &                                           # Tiefdunkelgrün
# xsetroot -solid '#2D5297' &                                           # Blau
# xsetroot -solid '#0A1D43' &                                           # Tiefdunkelblau
# xsetroot -solid '#08132A' &                                           # Nachtblau
  /usr/bin/pcmanfm --desktop &
  /usr/bin/lxpanel &

So.,.. das wars, mit exit raus, abmelden, neu anmelden und der Desktop ist da... und weitere benötige Software könnte jetzt noch installiert und notwendige Einstellungen vorgenommen werden. Das ganze Setup ist im Grunde genommen kein Hexenwerk. Die Doku steht einfach parallel im echten Produktiv-System bereit, oder in einem zweiten Fenster der LXDE, neben dem install-Terminal-Fenster. Immer nur markieren, kopieren, fenster-wechsel, einfügen, enter und warten, das es fertig wird. *lol* Das kann man prima beim Fernsehgucken machen.
Ganz zum Schluss fehlt noch der Browser. Ich nutze generell Palemoon.
http://www.palemoon.org/
http://linux.palemoon.org/files/AutoIndex/index.php

Ganz wichtig ist nur ..!!!... dokumentiere alles was du tust oder änderst.... damit du später bei einer anderen VM nicht erneut drüber nachdenken musst, sondern einfach Regie-Anweisungen top-down abarbeiten kannst. So... gutes Gelingen... *fg

[halo44]

Danke für die umfangreiche Anleitung. Das ist eine Aufgabe für morgen. Ich melde mich dann.

Gruss H.

[rendegast]

Zuerst habe ich mir über das VBox-Manager-GUI eine LXDE-VM (5 GB) mit dem NetInst.iso erstellt. Ohne groß drüber nachzudenken, alles default, keine besonderen Auswahlen, kein Customizing, so wie es der Installer vorsieht, einfach nur eine nackige LXDE. Diese VM ist eigentlich nur als VM-Installer-Gehhilfe gedacht und hat bei mir keine weitere Verwendung.

Dann erstelle ich erneut mit dem VBox-Manager-GUI die richtige und für eine bestimmte Aufgabe gedachte VM... ich nenne sie hier mal "Banking".

Warum nicht einfach die erste nehmen?
Bei der Installation halt einfach abspecken, paketlos + Window-Manager.

Und warum Tools zur Soundeinstellung (pavucontrol),
wo doch solche Zusatzsoftware (pulseaudio) in der banking-VM eigentlich nichts zu suchen hat.
(Audio wird für die VM ja wohl deaktiviert)

[TomL]

Warum nicht einfach die erste nehmen?
Bei der Installation halt einfach abspecken, paketlos + Window-Manager.

Als Gehhilfe ist die wiederverwendbar.... ich habe mir nämlich mehrere VMs für unterschiedliche Zwecke angelegt. Und beim Abspecken weiss ich nie, ob ich wirklich alles unnötige erwischt habe. Die LXDE hat doch ne Menge mehr, als eine echte schmale Installation benötigt. Und weil ich eben auch nicht alles kenne, ist es mir lieber, nicht lange nach unerwünschten Paketen suchen zu müssen, sondern von vornherein nur das erwünschte zu installieren.

j.m.2.c.

[TomL]

Und warum Tools zur Soundeinstellung (pavucontrol),
wo doch solche Zusatzsoftware (pulseaudio) in der banking-VM eigentlich nichts zu suchen hat.
(Audio wird für die VM ja wohl deaktiviert)

Ja, du hast Recht... aber wie gesagt, ich nutze mehrere VMs. So habe ich eine reservierte nur für Google-Dienste, in der Google eben erlaubt ist, wo hingegen die komplette Google-Domain einschließlich seiner Tracker ansonsten komplett gesperrt ist. Und wenn ich seltenst mal Youtube benötige oder Maps brauche, verwende ich diese VM, die eben diese Audio-Pakete benötigt.

Fürs Banking ist das natürlich ein Nogo....
Das muss man deutlich betonen!

BTW:
Diesen Leitfaden habe ich nicht extra vorhin geschrieben.... sondern fragmentiert reinkopiert. Ich nutze den gleichen auch zur Installation der normalen PC's, ebenso wie für die VMs. Und jeweils das, was ich nicht benötige oder nicht will, wird übersprungen. Aber es muss eben für mich trotzdem auch ein vollständiger Leitfaden sein, der alles enthält und damit auf alle Setups passt.

[halo44]

Ich bin inzwischen schon recht weit gekommen, hänge jetzt aber an dieser Stelle fest:

... Dann /etc/host, /etc/interfaces, /etc/hostname konfigurieren. Später kann man dann auf systemd wechseln, aber erstmal einstellen, damit alles so per default und ohne Probleme läuft ...

Ist hier die /etc/hosts, also mit s gemeint? Und hier die /etc/network/interfaces? Die /etc/hostname ist klar.

Bei der Erstellung der /etc/fstab habe ich keine swap-Partition eingetragen, weil in der /dev/sdb (bisher) keine existiert. Ist aber vermutlich kein Problem, müsste auch ohne swap laufen?

Ich bleibe mal standby.

Gruss H.

[TomL]

... Dann /etc/host, /etc/interfaces, /etc/hostname konfigurieren. Später kann man dann auf systemd wechseln, aber erstmal einstellen, damit alles so per default und ohne Probleme läuft ...

Ist hier die /etc/hosts, also mit s gemeint? Und hier die /etc/network/interfaces? Die /etc/hostname ist klar.

Bei der Erstellung der /etc/fstab habe ich keine swap-Partition eingetragen, weil in der /dev/sdb (bisher) keine existiert. Ist aber vermutlich kein Problem, müsste auch ohne swap laufen?

Sorry... ja, die sind damit gemeint.... ich denke da mittlerweile gar nicht mehr drüber nach und mach das alles blind.... und da passieren solche Tippfehler.... ich korrigiere die Einträge oben.

Und nein, ich habe für meine Banking-VM auch kein SWAP eingerichtet. Bisher hat es da auch keine Konflikte gegeben. Lediglich bei meiner JDownloader-VM (ich bearbeite den an meinem PC und überlasse dann die Jobs einem Raspberry-PI) habe ich ein 512-MB-Swap-File in der Partition eingerichtet. Genau so gut würde es dort auch funktionieren, die VDI zu partitionieren... aber ich halte das bei solchen isolierten Aufgaben beim Banking nicht für notwendig. Lediglich das Java-Runtime-Paket für den JDL ist da etwas zickig und verlangt manchmal mehr Speicher als der VM zugebiligt ist... da wird dann geswapt... und bei mir eben in eine Swap-Datei.

Ich habe den Absatz oben mit dem Swap noch mal korrigiert und auch eine Alternative mit File-Swap eingetragen. Damit kannst Du das für die VM jederzeit einrichten, falls das irgendwann notwendig sein sollte.... sofern die VDI noch ein paar MBs frei hat.

HTH.

[halo44]

Danke für Deine Hilfe. Bin nun soweit fertig, daß ich heute Abend noch palemoon installiere und dann das Banking teste.

Ein Hinweis noch zu

Code: Alles auswählen

nano /home/thomas/.config/openbox/autostart

Das Verzeichnis openbox unter .config mußte ich noch erstellen, weil nicht vorhanden. Dieser Hinweis vielleicht (?) für Deine Doku.

Gruss H.

[TomL]

Kommt das nicht automatisch bei der ersten Anmeldung? Weiss ich grad gar nicht.... ist mir momentan gar nicht so bewusst. *hmmm*
Aber es scheint, dass es grundsätzlich geklappt hat. Darüber freue ich mich.

Danke für Deine Hilfe. Bin nun soweit fertig, daß ich heute Abend noch palemoon installiere und dann das Banking teste.

Ich habe als allererstes im Palemoon "UBlock Origin" installiert, dann die schärfste Einstellung genommen, so das quasi nix mehr geht. Und dann mal schauen, was die Bankenseite braucht, um zu laufen... und genau das habe ich dann explizit freigegeben.... eben wie gesagt nach der Prämisse: "Es ist alles grundsätzlich verboten, was nicht ausdrücklich erlaubt ist". Und bei dieser VM kannst Du nun davon ausgehen, dass Du ein Nicht-Kompromittiertes System hast. Und so klein wie diese VM ist, ist die auch leicht mit Upgrades aktuell zu halten.

Und jetzt das Banking mit lokalem Lesegerät und EC-Karte autorisiert.... ich denke, dass und in Verbindung mit dieser Debian-VM gewährleistet dann schon ein ziemlich sicheres Banking, was mit relativ geringem Aufwand ein richtig gutes Resultat erzielt. Man muss diese VM halt nur vor sich selber schützen, indem man sich selber beim Umgang damit deutlich maßregelt und sie auch wirklich für nix anderes gebraucht.

j.m.2.c

[guennid]

TomL,
deine Antwort auf uname in http://debianforum.de/forum/viewtopic.p ... 4&start=90 steht noch aus. Das Thema interessiert mich brennend und nach meinem bisherigen Kenntnisstand würde ich uname recht geben und die VM-Geschichte für unnötig umständlich halten.

Grüße Günther

[TomL]

@ guennid

Ich kann da nicht mehr drauf antworten.... weil wir es einfach nicht schaffen, über das gleiche zu reden. Er spricht immer von Malware... ja, zweifellos ist Malware gefährlich und wenn Du nicht 100% wach bist, kriegst Du nicht mal mit, dass Du umgeleitet wirst oder Deine Daten abgegraben werden. Aber das bedingt immer, dass der Rechner bereits kompromittiert ist. Wenn der Rechner aber sauber ist, wirst Du erst gar nicht umgeleitet und ein Abgraben der Daten findet gar nicht erst statt. Aber wenn Du vielleicht doch auf ner getürkten Seite landest, weil Dir die Suchmaschine vielleicht ne falsche Seite geliefert hat, scheitern die Transaktionen spätestens an der 2-Wege-Authentifikation.... und zwar bei der lokalen Verwendung des Lesegerätes und Deiner EC-Karte. Aber an dem Punkt hast Du imho schon als sorgfältiger Anwender (wg. Suchmaschine) versagt.

Also, und das ist mein Standpunkt: Die hier in diesem Thread aufgesetzte VM ist zum jetzigen Zeitpunkt NICHT kompromittiert.... das heisst, es befindet sich keine Malware im System. Halo muss jetzt einfach dafür Sorge tragen, dass das auch so bleibt. Das heisst:

• Er darf/sollte in der VM keine weitere Software installieren - was er auch gar nicht benötigt, wenn er diese VM nur fürs Banking verwendet.
• Er darf/sollte diese VM nicht zum Surfen verwenden - was auch gar nicht sein muss, dafür hat er sein normales System oder 'ne andere VM.
• Er muss diese VM vor Veränderungen schützen, nur die Upgrades aus dem Repo sind erlaubt und ggf. alle paar Monate der aktuelle Palemoon.
• Er muss verhindern, dass der Browser lokale Scripte für Web-Seiten ausführt. Diesen wichtigen Schutz im Browser bietet UBlock Origin, der so scharf eingestellt werden kann, dass normales Surfen fast nicht mehr möglich ist und die Ausführung von Java-Scripte vollständig verhindert wird.
• Er sollte beim Online-Banking seine Bank nicht über eine Suchmaschine öffnen, sondern durch Eingabe (oder Copy/Paste) der URL. Und ohne Malware im System kommt er damit immer auf der richtigen Bankseite an.
• Er darf Banking immer nur über eine 2-Wege-Authentifikation durchführen: Anmeldung bei der Bank, Lesegerät und EC-Karte zuhause und verifizierte Transaktionsrückmeldung von der Bank

Ich erkenne bei dieser Verfahrenweise und der gleichzeitigen Verwendung von Debian hier wirklich kein Risiko mehr. Wenn jetzt noch für einen halbwegs wachen und sorgfältigen User Risiken bestehen, bleibt meines Erachtens nur noch eine einzige Alternative: Bankschalter!

Vor dem Hintergrund einer 2-Wege-Authentifikation kann man über die VM geteilter Meinung sein. Bei mir beruhigt sie halt eben auch meine Paranoia und schützt mich davor, ggf. Stress, Unsicherheit und Verwirrung ausgesetzt zu sein, wenn das Banking über mein normales System vielleicht zu irgendeiner Unregelmäßigkeit in der Transaktion geführt hat. Ich will dann nicht tagelang mein Konto beobachten und prüfen müssen, ob ich vielleicht doch nen Bock geschossen habe. Die saubere VM hilft mir dabei, das zu verhinden.

[Dimejo]

Die ganze Sicherheit Deiner Banking-VM geht von der Voraussetzung aus, dass der Host, auf dem die VM läuft, sauber ist. Auch wenn ich es als unwahrscheinlich erachte, so wäre es dennoch möglich, dass der Host beim täglichen Arbeiten infiziert wird, und dann auch die VM manipuliert.

Genau das war aber immer der Vorteil der bankix-CD: ein sauberes und manipulationssicheres Medium.

[TomL]

Die ganze Sicherheit Deiner Banking-VM geht von der Voraussetzung aus, dass der Host, auf dem die VM läuft, sauber ist. Auch wenn ich es als unwahrscheinlich erachte, so wäre es dennoch möglich, dass der Host beim täglichen Arbeiten infiziert wird, und dann auch die VM manipuliert.

Dazu müsste die Malware erstmal wissen, dass es eine Banking-VM gibt und wenn es mehrere VMs gibt, welche fürs Banking gedacht ist. Darüber hinaus muss sie das vdi-Format öffnen können, alle denkbaren Filesysteme unterstützen oder ggf auf dem Host vorhandene Software oder Treiber nutzen und bedienen. Diesen Aufwand halte ich für kriminelle Interessen für deutlich zu hoch. Wie umfangreich soll denn ein Malware-Programm sein, um alle diese möglichen Fälle abdecken zu können?

Und selbst wenn die VM läuft .... versuch doch einfach mal das in der VM laufende OS oder den Browser vom Host zu erreichen. Das funktioniert ebenfalls nicht ohne zusätzliches Customizing in den VM-Settings.... selbst mit SSH kommst du nicht ohne weiteres an das VM-OS geschweige denn an den Browser ran. Versuchs einfach mal, dann siehst du, was das für Probleme bereitet, bis es geht. Nicht mal die VM-IP kriegste einfach heraus.

Ne statische LIVE-CD halte ich jedenfalls für total unpraktisch.

[Lord_Carlos]

Genau das war aber immer der Vorteil der bankig-CD: ein sauberes und manipulationssicheres Medium.

Die ganze Sicherheit Deiner bankig-CD geht von der Voraussetzung aus, dass deine Leitung und Bankserver, und deren ISP auf dem sie laueft, sauber ist. Auch wenn ich es als unwahrscheinlich erachte, so wäre es dennoch möglich, dass z.B. dein Router beim täglichen Arbeiten infiziert wird, und dann auch dein Traffik manipuliert.

[Dimejo]

Die ganze Sicherheit Deiner Banking-VM geht von der Voraussetzung aus, dass der Host, auf dem die VM läuft, sauber ist. Auch wenn ich es als unwahrscheinlich erachte, so wäre es dennoch möglich, dass der Host beim täglichen Arbeiten infiziert wird, und dann auch die VM manipuliert.

Dazu müsste die Malware erstmal wissen, dass es eine Banking-VM gibt und wenn es mehrere VMs gibt, welche fürs Banking gedacht ist. Darüber hinaus muss sie das vdi-Format öffnen können, alle denkbaren Filesysteme unterstützen oder ggf auf dem Host vorhandene Software oder Treiber nutzen und bedienen. Diesen Aufwand halte ich für kriminelle Interessen für deutlich zu hoch. Wie umfangreich soll denn ein Malware-Programm sein, um alle diese möglichen Fälle abdecken zu können?

Und selbst wenn die VM läuft .... versuch doch einfach mal das in der VM laufende OS oder den Browser vom Host zu erreichen. Das funktioniert ebenfalls nicht ohne zusätzliches Customizing in den VM-Settings.... selbst mit SSH kommst du nicht ohne weiteres an das VM-OS geschweige denn an den Browser ran. Versuchs einfach mal, dann siehst du, was das für Probleme bereitet, bis es geht. Nicht mal die VM-IP kriegste einfach heraus.

Wie bereits geschrieben halte ich dieses Angriffsszenario für eher unwahrscheinlich, aber es ist dennoch möglich. Ich wollte damit nur sagen, dass Du der VM nicht trauen kannst, wenn Du dem Host nicht traust.

Ein Keylogger benötigt übrigens weder Zugriff auf die VM, noch muss er von dieser Wissen, um Benutzernamen und Passwort auslesen zu können.

Ne statische LIVE-CD halte ich jedenfalls für total unpraktisch.

Sicherheit ist selten praktisch.

Genau das war aber immer der Vorteil der bankig-CD: ein sauberes und manipulationssicheres Medium.

Die ganze Sicherheit Deiner bankig-CD geht von der Voraussetzung aus, dass deine Leitung und Bankserver, und deren ISP auf dem sie laueft, sauber ist. Auch wenn ich es als unwahrscheinlich erachte, so wäre es dennoch möglich, dass z.B. dein Router beim täglichen Arbeiten infiziert wird, und dann auch dein Traffik manipuliert.

Danke für Deinen konstuktiven Beitrag.

[TomL]

Wie bereits geschrieben halte ich dieses Angriffsszenario für eher unwahrscheinlich, aber es ist dennoch möglich. Ich wollte damit nur sagen, dass Du der VM nicht trauen kannst, wenn Du dem Host nicht traust.

Ein Keylogger benötigt übrigens weder Zugriff auf die VM, noch muss er von dieser Wissen, um Benutzernamen und Passwort auslesen zu können.

Tja.... trau ich meinem Host ... ?... dem Keylogger, der auf der Hardware lauscht, ist eh alles egal, der schert sich eh um nix... ?... gehackter ISP oder Bankenserver...?... das sind jetzt alles Gedankenwege, die einem fast dazu nötigen, sich lieber persönlich zum Bankschalter zu begeben. Aber das will ich nicht. Ich denke dabei, das Sicherheit nie eine einzelne Maßnahme ist, auch eine einzelne Software (Firewall) ist kein Sicherheitskonzept, ebensowenig nur diese Banking-VM. Und schon mal gar nicht kann man Sicherheit vollständig delegieren und danach das Gehirn ausschalten. Ich traue hingegen sehr wohl einem Konglomerat von einzelnen Maßnahmen, bei denen ich hoffe, dass alle zusammen ein zuverlässiges Sicherheitskonzept ergeben.

Da ist zum einen mein Surfverhalten, das ich rigoros, gewissenhaft und kompromisslos unterteile in Tagesgeschäft, unseriöse Seiten, Downloads, isolierte Hochsicherheit, Google-Domain. Das aktuelle Tagesgeschäft (nur seriöse Seiten), also z.B. meine Geschwätzigkeit hier in diesem Forum, betreibe ich mit einem auf meinem PC und im heimischen Netz unprivilegierten User. Palemoon wird hier über policies berechtigt via pkexec substiuiert aufgerufen - der Zugriff auf mein eigenes User-Konto besteht hierbei nicht. Ein übliches "wildes" oder "freies" Surfen ist hier äusserst unbequem, weil UBlock Origin ziemlich rigide mit Scripten umgeht. Meine regelmäßigen Seiten sind dabei jeweils explizit erlaubt. Die unseriösen Seiten, die Downloads und auch Google sind jeweils in eigenen VMs eingesperrt, auch immer mit unprivilegierten Usern. Ebenso wird das Banking in einer besonders scharf eingestellen VM von allen anderen isoliert. Ich vertraue auf Debian. Ich vertraue darauf, nur seriöse Software aus guten Quellen zu verwenden, auch wenns nicht immer aus dem Debian-Repo kommt. Ich vertraue auf meinen Verstand, Dinge begründet vorsätzlich tun zu können oder sie ebenso begründet vorsätzlich zu unterlassen und dabei die Konsequenzen ein wenig einschätzen zu können.

Dieses MischMasch an Maßnahmen verschafft mir eigentlich ein gutes Gefühl dabei, keine wirklich großen Sicherheitslücken zu haben und ein sicheres Online-Banking betreiben zu können. Die Banking-VM zähle ich jedenfalls unbedingt zu den "guten" Maßnahmen.

J.m.2.

[DeletedUserReAsG]

Bin ich eigentlich seltsam, wenn ich (für mich) sage: so ’nen Aufwand tu’ ich mir für das Banking nicht an? Da läuft ein sauberer Browser mit den üblichen Plugins, um das Laden von Drittseiten sowie JS zu unterbinden unter einem eigenen Account und ich frage mich, auf welche Art Malware nun meine Münzen abziehen, oder auch nur meine Kontenaktivitäten in Erfahrung bringen sollte, ohne dass ich das mitbekomme. Die Transaktionen sehe ich durch diesen externen TAN-Generator mit Display, der einen die Transaktionsdaten vor dem Erzeugen der TAN nochmal anzeigt, ausreichend geschützt, und Logins auf der Seite werden protokolliert, so dass ich einen entsprechenden Zugriff mitbekommen würde. Speziell was Banking angeht, sehe ich die Gefahr für meine Privatsphäre eher auf der Seite der Bank selbst, und nicht so sehr bei Kriminellen (wobei böse Zungen ja behaupten, die Schnittmenge sei erheblich …). Welchen Vorteil sollte da eine extra VM oder gar ein Livesystem, dessen Konfiguration ja wohlbekannt ist und dessen Sicherheitsupdates bestenfalls umständlich vonstatten gehen, bringen?

[TomL]

Bin ich eigentlich seltsam,

Nein, das bist du sicher nicht. Ich sehe mich wohl auch ein wenig als Opfer und Mitläufer bei dieser Medienhysterie, wo das Gefühl anscheinend völlig irrational den Verstand übertrumpft. Ich nutze online-banking seit 25 Jahren .... unter Windows (!) ... und Linux doch erst seit kurzem. Und trotzdem verunsichern mich die Meldungen und ich bin irgendwie gefangen in dieser "Gefahr". Aber man muss ja auch nicht immer alles rational erklären und tut manchmal einfach dummes. Und.... so kleine Macken sind ja nicht unbedingt schädlich.

Btw, die VMs updaten sich alle selber. Umständlich ist das als einziges nicht.

[dirk11]

Bin ich eigentlich seltsam, wenn ich (für mich) sage:

Nein, bist Du nicht. Ich halte das mit der VM (und auch schon das mit der Banking-CD) für vollkommen übertrieben. Ich ziehe mir ja auch keinen Airbag-Mantel an, nur weil mir mal was passieren könnte, wenn ich das Haus verlasse. Die herbeibeschwörte "Gefahr" ist bei einem aktuellen Linux in meinen Augen absolut minimal. Wer paranoid ist, deaktiviert Flash, Java und JavaScript (wenn er dann überhaupt noch banking machen kann), nimmt sich Zeit, beobachtet den Bildschirm und liest sich durch(!), was da passiert, und gut ist. Auch bei den beiden Bildern, welche hier verlinkt sind, erkennt man sehr schnell, daß das keine Bank-Seite sein kann, denn Gottseidank arbeiten in den Banken (im Gegensatz zu Zeitungs-Redaktionen) ganz offensichtlich noch Mitarbeiter, welchen ein korrektes Deutsch am Herzen liegt.

Ich persönlich finde es wichtiger und präventiver, vorher anzusetzen, mindestens mit einem Adblocker und z.B. Privacy Badger, mehr noch z.B. mit NoScript. Letzteres kann man aber nicht jedem zumuten, es gibt genug Leute, die überhaupt nicht überblicken, was da passiert. Aber bei denen reicht meist der Adblock, dann kriegen sie schonmal keine "Malware" frei Haus geliefert, denn auf fragwürdigen Seiten treiben diese Menschen sich seltenst herum - jedenfalls in meinem Umfeld.

[Lord_Carlos]

Was TomL und dirk11 hier so schoen formuliert haben wollte ich mit meinem plumpen post auch zum ausdruck bringen.
Man kann da immernoch ein drauf legen, zum schluss kommt hier einer mit UEFI Keylogger an. Das ist doch fuer den allgemeinen Benutzter ein total uebertriebendes Angriffszenario.

Mal als Realitaetsabgleich: Wenn ich mich in meiner Umwelt umsehe, fangen viele jetzt an mit kontaktlosen Kreditkarten (ohne pin) und via Handy zu bezahlen (Mobile Pay).

[uname]

Die Transaktionen sehe ich durch diesen externen TAN-Generator mit Display, der einen die Transaktionsdaten vor dem Erzeugen der TAN nochmal anzeigt, ausreichend geschützt,

Beim Phishing will die Malware den Anwender überreden eine Transaktion zu jemanden den man nicht kennt in einer für einen nicht akzeptablen Höhe zu überweisen. Sinnlose Gründe wie z.B. angebliche Testüberweisungen gibt es genug. Wer dann die TAN trotzdem bestätigt hat natürlich ein ernsthaftes Problem. Aber dafür kann das Banking-Verfahren nichts. Das größte Risiko sitzt immer noch vor der Tastatur.

[TomL]

Das Thema hat mich jetzt im Nachgang schon einigermaßen gedanklich beschäftigt. Deshalb bin ich jetzt mal in mich gegangen und habe dabei noch mal mein eigenes Konzept hinterfragt und darauf beleuchtet, wie sinnvoll das überhaupt ist. Dabei bin ich zu folgenden Schlußfolgerungen gekommen:

• Die Zweiwege-Authentifikation und die Transaktionsrückmeldung der Bank (EC-Karte und Lesegerät und z.B. Flickercode) ist an sich ausreichend sicher, wenn man selber auf gewisse Kontroll- und Prüf-Standards bei den Transaktionen achtet (was eigentlich selbstverständlich ist.... nur leider ist der Mensch halt nicht fehlerfrei... das Sprichwort "Hochmut kommt vor dem Fall" ist keine Phrase ohne Hintergrund)
• Eine VM speziell fürs Banking mag möglicherweise ein Placebo sein, aber sie schadet definitiv auch nicht.
• Eine VM speziell fürs Surfen (für auch) auf unseriösen Seiten ist -davon bin ich überzeugt- sinnvoll, um dieses Surfen quasi einzusperren
• Fängt man sich beim unseriösen Surfen Malware in dieser VM ein, sagen wir im schlimmsten Fall einen Keylogger, so ist der wirkungslos, wenn die VM abgeschaltet ist.
• Beides voneinander deutlich zu trennen kann einen schützenden Effekt haben, da Malware aus der einen VM keinen Zugriff auf die andere VM und auch nicht auf den Host hat.
• Meine Banking-VM bereitet mir keinen zusätzlichen Aufwand. Sie wird via Desktop-Starter gestartet und fährt ohne Anmeldung hoch bis zum Browser und der geöffneten Seite meiner Bank. Lediglich der Start dauert ein paar Sekunden länger, als würde ich den Browser direkt starten. Updaten tut sie sich selber.
• Die Verwendung verschiedener VMs für isolierte Internet-Anwendungen verhindert m.E. zuverlässig, dass mein PC als Host selber kompromittiert wird.

Selbst wenn also die Wirkung meiner Banking-VM zweifelhaft ist oder sie einfach wirklungslos bleibt, so ändert sich nichts daran, dass sie auch nicht schadet.... sie verursacht noch nicht mal zusätzlichen Aufwand. Und ganz wirklungslos ist sie meiner Meinung nach speziell bei mir auch nicht, weil die ganze Internet-Krmininalität etwas ist, was ich hinsichtlich dessen was möglich ist, überhaupt nicht mehr durchschaue und ich mich hier als völliger Laie betrachte. Vor diesem Hintergrund macht es mir wenigstens ein etwas besseres Gefühl.

Ich werde einfach also dabei bleiben, auch wenn einige das als Quatsch erachten....

[dirk11]

Nun ja. Es schadet auch nicht, beim Küssen ein Kondom über den Schniepel zu ziehen - ob das sinnvoll ist, muß halt jeder für sich entscheiden...

[urkle]

Würdet ihr hier auch für ein Live System stimmen um noch weniger Angriffsfläche zu bieten als eine VM?