[gelöst] Online Banking unter Linux

Alles rund um sicherheitsrelevante Fragen und Probleme.
uname
Beiträge: 12041
Registriert: 03.06.2008 09:33:02

Re: Online Banking unter Linux

Beitrag von uname » 31.10.2017 21:48:23

immi hat geschrieben:Dazu muss man natürlich Troy Hunt und seiner Expertise vertrauen.
Oder man prüft die E-Mail-Adressen seiner Bekannten.

Ozelot
Beiträge: 1507
Registriert: 18.11.2007 09:52:58

Re: Online Banking unter Linux

Beitrag von Ozelot » 01.11.2017 20:53:34

Ich habe mir als kleines Sicherheitszusatzfeature angewöhnt, für das Onlinebanking einen eigenen Browser zu verwenden, mit dem ich nirgendwo anders hinsurfe. Ist eine Alternative zu einer vollständigen VM, weil der Browser ja doch das größere Einfalltor ist.

geier22

Re: Online Banking unter Linux

Beitrag von geier22 » 01.11.2017 21:52:35

Ozelot hat geschrieben: ↑ zum Beitrag ↑
01.11.2017 20:53:34
ich habe mir als kleines Sicherheitszusatzfeature angewöhnt, für das Onlinebanking einen eigenen Browser zu verwenden, mit dem ich nirgendwo anders hinsurfe. Ist eine Alternative zu einer vollständigen VM, weil der Browser ja doch das größere Einfalltor ist.
Das finde ich schon mal gut. Du solltest dich mal mit Debianfirejail auseinandersetzen. Das wäre dann aus meiner Sicht die nächste Stufe, die die Sicherheit erhöht. Schnell eingerichtet und sehr einfach zu handhaben.
Kurze Anleitung, speziell für Firefox:
https://firejail.wordpress.com/document ... fox-guide/

scientific
Beiträge: 3020
Registriert: 03.11.2009 13:45:23
Lizenz eigener Beiträge: Artistic Lizenz
Kontaktdaten:

Re: Online Banking unter Linux

Beitrag von scientific » 02.11.2017 06:37:58

Seh ich auch so.
Ein Firefox mit Firejail der jedesmal ein neues, jungfräuliches Profil bekommt, sollte da schon einen enormen Sicherheitsgewinn bringen.

Firejail kann den sogar in einem eigenen X-Server starten (Xnest), damit auch keylogger aus anderen Programmen keine Chance haben.

Alles darüber hinaus ist dann für echte Paranoika...

Lg scientific
dann putze ich hier mal nur...

Eine Auswahl meiner Skripte und systemd-units.
https://github.com/xundeenergie

auch als Debian-Repo für Testing einbindbar:
deb http://debian.xundeenergie.at/xundeenergie testing main

Benutzeravatar
Houbey
Beiträge: 727
Registriert: 03.03.2012 05:13:32

Re: Online Banking unter Linux

Beitrag von Houbey » 02.11.2017 07:41:57

Guten Morgen an alle,

ich danke euch nochmals für eure bisherigen Antworten, Vorschläge, Tipps und Informationen. :THX:

Ich habe gestern ein wenig mit meinem Kumpel telefoniert und er hatte sich diesen Beitrag auch bereits selber durchgelesen. Er sagte mir, dass er es auf jedenfall einmal mit Debian als System versuchen möchte. Seinem Bruder wird er die Tage dann einmal davon erzählen und ich gehe davon aus, dass dieser dann auch zu Debian wechseln wird. Mal sehen was draus wird.

Ich würde nun nochmal die Frage an Ozelot und scientific stellen, welche Alternative als Browser zum einen benutzt wird und ob Firejail ein Addon für den Firefox ist?
Zuletzt geändert von Houbey am 10.03.2020 19:57:50, insgesamt 1-mal geändert.
Viele Grüße
Houbey

------------------------------
Debian GNU/Linux 11.8 Bullseye, Xfce 4.16, als 64-Bit und bis jetzt noch glücklich damit. 8)

geier22

Re: Online Banking unter Linux

Beitrag von geier22 » 02.11.2017 09:36:23

firejail ist kein addon sondern ein eigenständiges Programm, das du aus den Repos installierst.
Firejail hat für (hab grad mal nachgesehen) für 359 Programme ein Profil gespeichert in dem erst mal grundlegend geregelt ist, was das Programm noch darf und was nicht.
Diese Profile sind in /etc/firejail gespeichert.
Du rufst nach der Installation

Code: Alles auswählen

apt install firejail firejail-profiles
deinen Firefox (oder was auch immer für eine Browser) einfach mit dem Befehl

Code: Alles auswählen

firejail firefox
auf. Da ist erst mal alles. Das kannst du entweder mit einem neuen Starter machen
oder den existierenden editieren.
Weitere "turnübungen" mit firejail kannst du dir mal bei den oben verlinkten Adressen anschauen.
Die nächste Stufe wäre dann, den Browser samt Profile in ein eigenes Verzeichnis zu sperren.
Dazu legst du in deinem /home ein Verzeichnis an : ich mache es mal einfach, wie ich es bei mir habe, da ich alle Browser da "eingesperrt" habe:
also z.B. wenn du dich in deinem /home befindest:.

Code: Alles auswählen

~$ mkdir .privat-browser/firefox
Das Verzeichnis kannst du natürlich bennen, wie du willst .Als nächstes rufst du firefox mit folgendem Befehl auf:

Code: Alles auswählen

firejail --private=~/.privat-browser/firefox/   /opt/firefox/firefox -no-remote
Erklärung: das /opt/firefox/firefox ist der Tatsache geschuldet, das ich FF -- direkt von Mozilla beziehe, und der eben bei mir in /opt/firefox zu Hause ist.
Der Rest geht dann quasi automatisch und wird von firejail selbst erledigt, in dem die Programmdateien von FF sowie ein eigenes Profil in dieses Verzeichnis kopiert werden. Firefox sieht von da ab nur dieses Verzeichnis.
Der nächste Schritt wäre dann ihm eine eigene IP sowie einen halbwegs Manipulations- sicheren DNS-Server zu verpassen die Befehlszeile, mit der du dann in Zukunft deinen Firefox aufrufst: dazu wäre dann z.B.

Code: Alles auswählen

firejail --private=~/.privat-browser/firefox/ --net=eth0 --ip=192.168.0.75 --dns=8.8.8.8  /opt/firefox/firefox -no-remote
Der Zusatz no-remote bewirkt, dass du FF - neben dem normalen FF eben 2x parallele starten kannst.
Viel Spass beim probieren :mrgreen:

TomL

Re: Online Banking unter Linux

Beitrag von TomL » 02.11.2017 10:40:57

geier22 hat geschrieben: ↑ zum Beitrag ↑
01.11.2017 21:52:35
Ozelot hat geschrieben: ↑ zum Beitrag ↑
01.11.2017 20:53:34
ich habe mir als kleines Sicherheitszusatzfeature angewöhnt, für das Onlinebanking einen eigenen Browser zu verwenden, mit dem ich nirgendwo anders hinsurfe.
Du solltest dich mal mit Debianfirejail auseinandersetzen.
Aufgrund Deines Ratschlags habe ich auch eine Zeitlang firejail getestet. Ich habs mittlerweile wieder entsorgt, weil ich denke, dass es speziell für dieses Anwendungssbeispiel schlichtweg untauglich ist.

Meiner Meinung nach entfaltet Firejail seine Stärken, wenn ich auf Seiten surfe, wo ich mit Attacken unter Verwendung des Browsers rechnen muss. Da ist das richtig klasse, weil der Browser in einer Sandbox läuft und die Attacken nicht durschlagen. Aber solche Eigenschaften findet man auf Bankseiten wohl eher nicht. Ein dafür reserviertes und deshalb intaktes Browserprofil ist da genau so sicher... und das erreicht man auch mit einem Browser-Profil, welches für nichts anderes außer dem Banking genutzt wird. Firejail verbirgt auch nicht die Topografie oder Telemetriedaten meines Rechners, also ist es auch untauglich gegen Tracking.... es sei denn ich konfiguriere die ganze Platte über Blacklists, dass nix gelesen werden darf. Aber das wäre mir jedenfalls zu aufwendig.

Für Banking halte ich Ozelots Ansatz für deutlich effektiver und ich machs mittlerweile auch so. Zudem habe ich den Browser noch in einer VM gekapselt, in der auf 'ne Anmeldung verzichtet wird. Das geht heute wegen der SSD fast verzögerungsfrei... ich klick das FF-Icon auf dem Desktop an, die VM mit D9 wird gestartet und nach wenigen Sekunden sehe ich die Startseite der Bank. Für mich und meine Surgewohnheiten sehe ich momenten jedenfalls keine sinnvolle Einsatzmöglichkeit für firejail. Ich vergleiche heute die suggerierte Sicherheit in etwa mit der einer üblichen Desktop-Firewall, wenn der typische Anfänger-User nach der Installation glaubt "jetzt ist alles sicher!".... das isses m.M.n aber nicht. Fürs Banking schließt firejail ne Lücke, die gar nicht existiert und schafft eine Sicherheit, die imho nicht in Gefahr war.

geier22

Re: Online Banking unter Linux

Beitrag von geier22 » 02.11.2017 11:06:55

TomL hat geschrieben: ↑ zum Beitrag ↑
02.11.2017 10:40:57
Zudem habe ich den Browser noch in einer VM gekapselt, in der auf 'ne Anmeldung verzichtet wird.
Ich denke mal, das eine VM und

Code: Alles auswählen

firejail --private 
so fast das gleiche bewirken. Lass mich aber gerne vom Gegenteil überzeugen

TomL

Re: Online Banking unter Linux

Beitrag von TomL » 02.11.2017 11:10:47

geier22 hat geschrieben: ↑ zum Beitrag ↑
02.11.2017 11:06:55
Ich denke mal, das eine VM und

Code: Alles auswählen

firejail --private 
so fast das gleiche bewirken.
Ja, richtig, bezogen auf attackierende Seiten. Nur kann man wohl davon ausgehen, dass Bankseiten eher weniger meinen Browser mit Schadensabsicht attackieren. Außerdem hat eine VM zusätzlich noch völlig andere Telemetriedaten. Und das wiederum empfinde ich hinsichtlich dem obligatorischen Tracking über einen System-Fingerprint als deutlichen Vorteil.

geier22

Re: Online Banking unter Linux

Beitrag von geier22 » 02.11.2017 11:38:47

TomL hat geschrieben: ↑ zum Beitrag ↑
02.11.2017 11:10:47
Ja, richtig, bezogen auf attackierende Seiten. Nur kann man wohl davon ausgehen, dass Bankseiten eher weniger meinen Browser mit Schadensabsicht attackieren. Außerdem hat eine VM zusätzlich noch völlig andere Telemetriedaten.
Der Browser läuft mit einer ganz anderen IP im LAN bei mir mit den Daten aus der Fritz!Box:
IPv4-Adresse 192.168.0.75 Geräteinformation B2:92:B4:7E:4F:FF
Wobei sich die MAC-Adresse bei jedem Start des Browsers ändert und:

Code: Alles auswählen

ifconfig -a
eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 192.168.0.40  netmask 255.255.255.0  broadcast 192.168.0.255
        inet6 fd00::270a:23e5:2608:d075  prefixlen 64  scopeid 0x0<global>
        inet6 fe80::5680:2019:2ea0:4954  prefixlen 64  scopeid 0x20<link>
        ether d0:50:99:71:41:8f  txqueuelen 1000  (Ethernet)
        RX packets 57172  bytes 58062502 (55.3 MiB)
        RX errors 0  dropped 280  overruns 0  frame 0
        TX packets 44428  bytes 4693372 (4.4 MiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0
An Daten aus meinem /home kommt der Browser mit IP 192.168.0.75 gar nicht ran, weil für den Browser nicht vorhanden. Er übermittelt - wenn überhaupt - also auch andere Daten an Mozilla.

Benutzeravatar
Lord_Carlos
Beiträge: 5578
Registriert: 30.04.2006 17:58:52
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Dänemark

Re: Online Banking unter Linux

Beitrag von Lord_Carlos » 02.11.2017 11:43:25

Was hilft es wenn man beim Online Banking eine andere MAC und intern IP hat als beim "normalen" surfen?

Code: Alles auswählen

╔═╗┬ ┬┌─┐┌┬┐┌─┐┌┬┐╔╦╗
╚═╗└┬┘└─┐ │ ├┤ │││ ║║
╚═╝ ┴ └─┘ ┴ └─┘┴ ┴═╩╝ rockt das Forum!

geier22

Re: Online Banking unter Linux

Beitrag von geier22 » 02.11.2017 11:51:25

Lord_Carlos hat geschrieben: ↑ zum Beitrag ↑
02.11.2017 11:43:25
Was hilft es wenn man beim Online Banking eine andere MAC und intern IP hat als beim "normalen" surfen?
von Hier:
https://firejail.wordpress.com/document ... fox-guide/
By default, if a network namespace is requested, Firejail installs a network filter customized for regular Internet browsing. It is a regular iptable filter. This is a setup example, where no access to the local network is allowed
Überstzt:
Wenn ein Netzwerk-Namespace angefordert wird, installiert Firejail standardmäßig einen Netzwerkfilter, der für das normale Surfen im Internet angepasst ist. Es ist ein regulärer iptable Filter. Dies ist ein Setup-Beispiel, bei dem kein Zugriff auf das lokale Netzwerk erlaubt ist:
und:
The two DNS servers above belong to Google, and at least one national security agency has access to logging information. Don’t use them for anything else than banking. We also add -no-remote so we don’t end up by mistake in an already running “entertainment” browser.
Übersetzt:
Die beiden oben genannten DNS-Server gehören zu Google, und mindestens eine nationale Sicherheitsbehörde hat Zugriff auf die Protokollierungsinformationen. Verwenden Sie sie nicht für etwas anderes als Bankgeschäfte. Wir fügen auch -no-remote hinzu, damit wir nicht versehentlich in einem bereits laufenden "Entertainment" -Browser landen.

schwedenmann
Beiträge: 5524
Registriert: 30.12.2004 15:31:07
Wohnort: Wegberg

Re: Online Banking unter Linux

Beitrag von schwedenmann » 02.11.2017 12:08:39

Hallo


Und was bringt das jetzt, wenn die Bankseite gefakt, bzw. ein MITM-Atack stattfindet ?

Das ist m.M. das eigentliche Risiko, das von den Seiten aktiv dein System, Browser attakeirt wird, ist doch eher sehr unwahrscheinlich.

mfg
schwedenmann

geier22

Re: Online Banking unter Linux

Beitrag von geier22 » 02.11.2017 12:15:55

Darum benutze ich dem Browser maximal für eine Abfrage des Kontostandes.
Alles andere (Überweisungen und halt sonstige Bankgeschäfte sind bei mir in einer VM mit Banking Programm / HBCI und Photo -Tan zu erledigen)
Vielleicht paranoid aber dafür sehr komfortabel. :mrgreen:

Edit:

Und außerdem müsste der für das Banking gedachte Browser, der ja keinen Zugriff auf das lokale LAN hat und auch nicht an die /etc/hosts kommt und auch noch einen dedizierten DNS - Server benutzen muss sich ganz schön verbiegen
um das zustande zu bringen. Aber ausschließen will ich das nicht. :roll:

TomL

Re: Online Banking unter Linux

Beitrag von TomL » 02.11.2017 12:25:39

schwedenmann hat geschrieben: ↑ zum Beitrag ↑
02.11.2017 12:08:39
Und was bringt das jetzt, wenn die Bankseite gefakt, bzw. ein MITM-Atack stattfindet ?
Dazu müsste doch aber entweder die VM oder der Browser gehackt sein.... was bei einer reinen Banking-VM mit einem Browser ausschließlich für die Bank doch gar nicht passieren kann. In meiner VM ist dem Browser darüberhinaus via ublock origin quasi sowieso alles verboten, ausser der Bank für den Flickerkram.
* * 1p-script block
* * 3p block
* * 3p-frame block
* * 3p-script block
* * image block
* * inline-script block
Mit dem Browser irgendwas anzusurfen ist sowas von nervig, weil wirklich außer der Bank gar nix ordentlich funktioniert. MITM könnte also nur noch durch meinen DSL-Provider passieren... aber dagegen ist eh nix mehr zu machen.

geier22

Re: Online Banking unter Linux

Beitrag von geier22 » 02.11.2017 12:35:46

Wäre mal interessant zu erfahren ob der "man in the middle" auch bei dem HBCI- Verfahren etabliert werden kann, Gehört oder gelesen hab ich jedenfalls davon noch nichts.

uname
Beiträge: 12041
Registriert: 03.06.2008 09:33:02

Re: Online Banking unter Linux

Beitrag von uname » 02.11.2017 12:37:52

geier22 hat geschrieben:ob der "man in the middle" auch
Selbst beim webbasierten Internet-Banking gibt es keinen "man in the middle" mehr. Liegt weniger an TLS/SSL als an den heutigen Banking-Verfahren, die diesen gar nicht mehr ermöglichen.

https://de.wikipedia.org/wiki/Man-in-the-Browser

geier22

Re: Online Banking unter Linux

Beitrag von geier22 » 02.11.2017 12:48:10

Auch von:
https://de.wikipedia.org/wiki/Man-in-the-Browser
Der Man-in-the-Browser-Angriff ist eine Sonderform des Man-in-the-middle-Angriffs.[1]
Warum soll es z.B. in öffentlichen WLAN Netzen keinen MitM-Angriff mehr geben können? Ist doch das, was heute die Smartphone Jünger ausgiebig nutzen. O.k. hat mit dem hier Besprochenen weniger zu tun
und von hier:
https://de.wikipedia.org/wiki/Man-in-th ... 3.9Fnahmen
Sonst kann z. B. ein Angreifer bei einer verschlüsselten Verbindung beiden Opfern falsche Schlüssel vortäuschen und somit auch den Datenverkehr mitlesen. Dem Grundsatz dieser Form der Geheimhaltung entspricht in jedem Fall dem HBCI-Standard.
Wenn ich das richtig verstehe, schützt nur HBCI vor solchen Angriffen. HBCI ist aber im Browser nicht vorhanden?
Bzw. nur über die Kombination Browser Plugin + Secoder

uname
Beiträge: 12041
Registriert: 03.06.2008 09:33:02

Re: Online Banking unter Linux

Beitrag von uname » 02.11.2017 13:47:58

Beim Internet-Banking sind MitM-Angriffe z.B. im WLAN unmöglich. Erst mal ist die Verbindung TLS/SSL verschlüsselt. Und selbst wenn mitgelesen oder manipuliert hast nur du als Anwender das Werkzeug um eine gültige TAN zu ermitteln. Es ist nur wichtig das Banking-Verfahren zu verstehen und korrekt anzuwenden. Windows oder Linux, Verschlüsselung, Internetcafe usw. ist egal.

Benutzeravatar
Lord_Carlos
Beiträge: 5578
Registriert: 30.04.2006 17:58:52
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Dänemark

Re: Online Banking unter Linux

Beitrag von Lord_Carlos » 02.11.2017 14:01:49

geier22 hat geschrieben: ↑ zum Beitrag ↑
02.11.2017 11:51:25
Lord_Carlos hat geschrieben: ↑ zum Beitrag ↑
02.11.2017 11:43:25
Was hilft es wenn man beim Online Banking eine andere MAC und intern IP hat als beim "normalen" surfen?
von Hier:
https://firejail.wordpress.com/document ... fox-guide/
Dein erstes Zitat erklaert was --netfilter macht.
Dein zweites Zitat erklaert wem 8.8.8.8 gehoert.

Ich wollte eigentlich wissen inwieweit es einem hilft wenn man nun eine andere MAC oder interne IP hat. Wie oder wer das implementiert ist mir erstmal egal.

Code: Alles auswählen

╔═╗┬ ┬┌─┐┌┬┐┌─┐┌┬┐╔╦╗
╚═╗└┬┘└─┐ │ ├┤ │││ ║║
╚═╝ ┴ └─┘ ┴ └─┘┴ ┴═╩╝ rockt das Forum!

Benutzeravatar
MSfree
Beiträge: 10683
Registriert: 25.09.2007 19:59:30

Re: Online Banking unter Linux

Beitrag von MSfree » 02.11.2017 14:13:17

Lord_Carlos hat geschrieben: ↑ zum Beitrag ↑
02.11.2017 14:01:49
Ich wollte eigentlich wissen inwieweit es einem hilft wenn man nun eine andere MAC oder interne IP hat.
Wozu soll das gut sein? Mehr als ein bißchen Anonymisierung bringt das nicht. Schadsoftware hält das jedenfalls nicht davon ab, ihr Werk zu tun. Und wer Schadsoftware auf dem Bankingrechner bzw. der BankingVM hat, hat ganz andere Probleme als Anonymisierung.

Beim Onlinebanking muß man sich gegenüber der Bank namentlich anmelden, man ist also alles andere als anonym. MAC und IP zu anonymisieren, ist also sinnlos.

Benutzeravatar
Lord_Carlos
Beiträge: 5578
Registriert: 30.04.2006 17:58:52
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Dänemark

Re: Online Banking unter Linux

Beitrag von Lord_Carlos » 02.11.2017 14:17:54

Ich glaube ich habe mich bei Geiers Beitrag verlesen. Also meine Frage einfach ignorieren bitte.
Danke

Code: Alles auswählen

╔═╗┬ ┬┌─┐┌┬┐┌─┐┌┬┐╔╦╗
╚═╗└┬┘└─┐ │ ├┤ │││ ║║
╚═╝ ┴ └─┘ ┴ └─┘┴ ┴═╩╝ rockt das Forum!

uname
Beiträge: 12041
Registriert: 03.06.2008 09:33:02

Re: Online Banking unter Linux

Beitrag von uname » 02.11.2017 14:22:22

Ob sich eine Firefox-Sandbox lohnt? Internet-Banking-Trojaner werden doch sowieso nur für Windows geschrieben ;-)

guennid

Re: Online Banking unter Linux

Beitrag von guennid » 02.11.2017 14:24:34

Ich mache zugegebenermaßen wenig online-banking - eigentlich nichts als Überweisungen tätigen. Nach allem, was mir bisher bekannt geworden ist, ist es bisher nicht möglich, das TAN-Verfahren via separatem TAN-Generator zu knacken. Vorausgesetzt, der Nutzer prüft seine Beträge und die Empfänger-IBAN bevor er "Geld ausgibt". Sollte ich da gut informiert sein: Warum wird das hier nicht erwähnt?

Grüße, Günther

geier22

Re: Online Banking unter Linux

Beitrag von geier22 » 02.11.2017 14:26:39

Soweit ich deine Frage verstehe: Es bring meiner Ansicht nach mehr Sicherheit:

Zur IP:
Dies ist ein Setup-Beispiel, bei dem kein Zugriff auf das lokale Netzwerk erlaubt ist:

DNS Server:

Der Google DNS-Server gilt als relativ Manipulations - sicher:
Aus: https://www.golem.de/news/dns-ueber-tls ... 30827.html
DNS-über-TLS ist bereits von der IETF in einem RFC (7858) beschrieben und versieht entsprechende Anfragen mit einer TLS-Transportverschlüsselung. Das bringt Nutzern den Vorteil, dass auch der Internetserviceprovider (ISP) keine Detailinformationen zu der Anfrage mehr bekommt, sondern lediglich sieht, dass ein Nutzer etwa Googles DNS-Server 8.8.8.8 anfragt. Eine vollständige Anonymisierung ist damit natürlich nicht verbunden.
Anfragen werden über Port 853 verschlüsselt abgewickelt

Im RFC wird beschrieben, dass DNS-Anfragen in einem solchen Fall über TCP-Port 853 gesichert übertragen werden. Bislang existieren wenige funktionierende Implementierungen des Standards. Ausnahmen sind der DNS-Privacy-Daemon Stubby und Googles eigene DNS-Resolver.

Die Abwicklung von DNS-Anfragen über TLS hat nicht nur Auswirkungen auf den Datenschutz. So kann auch eine Manipulation der Anfragen über einen Man-In-The-Middle-Angriff ausgeschlossen oder zumindest erschwert werden. Vorherige Versuche, DNS-Abfragen gegen Manipulationen abzusichern, wie etwa DNSSEC, werden seit Jahren kritisiert. Systemd-Entwickler Lennart Poettering hatte das Protokoll als "Scheiße" bezeichnet.

Antworten