Malware für den Linux-Desktop

[MSfree]

Soso:
http://thejh.net/misc/website-terminal-copy-paste

Die Methode, so geschickt, wie sie ist, funktioniert auf der Konsole nicht. Kein X11, kein Copy'n'Paste.

[TomL]

Auch wenn Du der Praxis absolut recht hast, ist das weniger ein Distributions Problem als eins der Zielgruppe.
Sowohl Mint als auch Ubuntu richten sich auch an Einsteiger und weniger versierte Anwender. Diese findet man bei Debian weniger.

Dem ersten Satz stimme ich nicht zu.... denn die unter Ubuntu und Mint präferierte Administrations-Methode ist technisch begründbar eindeutig mehr Malware begünstigend, als es das unter Debian ist. Aber ja, es stimmt, Debian scheint in der tradionell verbreiteten Meinung weniger Einsteigerfreundlich zu sein... aber es ist tatsächlich nur dem Schein nach so. Ich habe bereits mehrere Anfänger-Systeme mit dem NonFree-Netinst-Iso eingerichtet, und die wurden im Nachgang von vorurteilsfreien Umsteigern nie als Einsteigerunfreundlich beurteilt. Im Gegenteil, "wow, so einfach geht das?", war eher mehrheitlich die Meinung.

Auch unter Debian kann man ein .deb herunterladen und installieren, oder fremde Repositorien einbinden.

Ich habe nie die Möglichkeit infrage gestellt, natürlich geht das mit Debian auch..... nur liegt der massgebliche Unterschied meiner Meinung nach im Sprachgebrauch oder in der Sichtweise dieses Forums bzw. der erfahrenen Debian-Anwender, die solche Aktionen in meiner Erinnerung fast immer ablehnen und davon abraten. Aber natürlich ist es auch hier so, keine Regel ohne Ausnahme.... die Palemoon-Nutzer werden wohl zumeist ein aktuelles Paket selber direkt von der Project-Seite runterladen.... keine Ahnung, ob jemand tatsächlich das Repo eingetragen hat, ich habs jedenfalls nicht. Es wird wohl auch noch anderen Ausnahmen geben, aber das sich solche Ausnahmen als Empfehlungen allgemein etabliert haben, ist mir jedenfalls so nicht bewusst.

Und ob man einer Anwendung mit su oder sudo root rechte verschafft, bleibt sich im Ergebnis auch gleich.

Nun ja, dieser Satz ist bei Vorhandensein einer sudo-Default-Konfiguration -wie oben schon erwähnt- eindeutig technisch widerlegbar, da besteht nämlich ein großer Unterschied. Und bei Umsteigern/Einsteigern als Zielgruppe kann man wohl von einer Default-Konfiguration ausgehen.

Es ist also die Erfahrung der Anwender und die andere Kultur in den Foren und wikis, die schützt, weniger die Technik der Distribution.

Ich würde das so formulieren: Debian unterstützt den erfahreneren Anwender darin, sein System zu schützen. Die zwei anderen von mir genannten Distributionen unterstützen den Umsteigeprozess von Windows und neutralisieren damit teilweise das linuxeigene Immunsystem.... letztlich zum Nachteil des Anwenders, wenn sich das mit spezieller Linux-Malware wirklich mal im großen Stil durchsetzen wird.

[TomL]

Das ist aber gar nicht der Sinn der geschilderten Malware. Die wollen nur an die Daten von $home und an Passwörter.

Ich unterscheide das nicht.... weder die Intention eines solchen Programms, noch die Quelle oder der Einsatzort des Programms auf dem Rechner, noch die Motivation der Programmierer haben für mich irgendeine Bedeutung. Für mich ist jegliche Software (außerhalb des Setups durch den Installer) eine Schadsoftware, die ich nicht selber bewusst und vorsätzlich installiert habe. Völlig egal, ob das ein Shellscript ist, eine GUI-Extension, ein Plugin irgendeines Programms, ein Addon oder ein Binary ist. Mir ist auch gleichgültig, welche Daten im Fokus dieser Schadsoftware stehen, ob es nur lesen will oder verschlüsseln oder zerstören... macht für mich alles keinen Unterschied. Ich habe alles mir (!) mögliche an Vorkehrungen getroffen, dass meine Anwender keinen fremde Software starten können, die ich nicht installiert habe. Dabei ist mir klar, für viele der Mitglieder aus dem Forum wären das keine Hürden, für meine Anwender sind die ohne äußere Hilfe jedoch unüberwindbar.

[DeletedUserReAsG]

Soso:
http://thejh.net/misc/website-terminal-copy-paste

Die Methode, so geschickt, wie sie ist, funktioniert auf der Konsole nicht. Kein X11, kein Copy'n'Paste.

gpm ermöglicht das auch ohne X11.

[MSfree]

gpm ermöglicht das auch ohne X11.

Jetzt fragt sich nur, aus welchem Browser du den Text kopieren willst. Ohne X11 kein Firefox, Chromium...
Lynx zeigt die Seite http://thejh.net/misc/website-terminal-copy-paste übrigens so an:

Code: Alles auswählen

←←←                                                                                  Copy-Paste from Website to Terminal
   You surely know this: You're looking at some website with some useful shell commands. However, those commands
   are long as hell and you know you're probably not gonna need them for a few years or so (so there's no need to
   memorize them). So, what do you do? You copy-paste them. Here's an example:

   git clone /dev/null; clear; echo -n "Hello ";whoami|tr -d '\n';echo -e '!\nThat was a bad idea. Don'"'"'t copy
   code from websites you don'"'"'t trust!
   Here'"'"'s the first line of your /etc/passwd: ';head -n1 /etc/passwd
   git clone git://git.kernel.org/pub/scm/utils/kup/kup.git

   Try running this command in your terminal. It's supposed to be harmless, right? It is harmless, yes, but what
   happens still isn't what you'd expect and demonstrates the dangers in doing stuff like that. Mark it with your
   mouse, copy it somehow (e.g. using CTRL+C) and paste it into a terminal. What happens?

   There are some good comments and suggestions on how you can mitigate this kind of attack on reddit and Hacker
   News. [DEL: Also, oh-my-zsh now includes a fix for this issue (which relies on Bracketed Paste Mode support in
   the terminal). :DEL] Oh, and it seems that other people wrote a detailed text about this issue in 2008.

   Please note that Bracketed Paste Mode DOES NOT always fix this because the end sequence can be inside the text
   you paste unless your terminal emulator filters out the bracketed paste characters when pasting! For those of
   you who have installed the oh-my-zsh stuff, the following variant (which includes an escape sequence) might
   still work against you:

   git clone [201~/dev/null; clear; echo -n "Hello ";whoami|tr -d '\n';echo -e '!\nThat was a bad idea.
   Don'"'"'t copy code from websites you don'"'"'t trust!
   Here'"'"'s the first line of your /etc/passwd: ';head -n1 /etc/passwd
   git clone git://git.kernel.org/pub/scm/utils/kup/kup.git

Da gibt es dieses WYSINWYC (What you see is not what you copy) also nicht.

[DeletedUserReAsG]

Jetzt fragt sich nur, aus welchem Browser du den Text kopieren willst. Ohne X11 kein Firefox, Chromium...

links2 fiele mir ein. In meiner Erinnerung existiert noch ein curses-Browser, der sogar CSS/JS (im Rahmen der Möglichkeiten eines Terminals, natürlich) verarbeiten kann. Komme aber gerade nicht auf den Namen.

[Ibex]

Auch wenn Du der Praxis absolut recht hast, ist das weniger ein Distributions Problem als eins der Zielgruppe.
Sowohl Mint als auch Ubuntu richten sich auch an Einsteiger und weniger versierte Anwender. Diese findet man bei Debian weniger.

Aber ja, es stimmt, Debian scheint in der tradionell verbreiteten Meinung weniger Einsteigerfreundlich zu sein... aber es ist tatsächlich nur dem Schein nach so. Ich habe bereits mehrere Anfänger-Systeme mit dem NonFree-Netinst-Iso eingerichtet, und die wurden im Nachgang von vorurteilsfreien Umsteigern nie als Einsteigerunfreundlich beurteilt.

Einmal eingerichtet wüsste ich auch nicht warum man Debian als weniger einsteigerfreundlich ansehen soll, aber die Ertsteinrichtung ist eben etwas aufwendiger.

Dem ersten Satz stimme ich nicht zu.... denn die unter Ubuntu und Mint präferierte Administrations-Methode ist technisch begründbar eindeutig mehr Malware begünstigend, als es das unter Debian ist.

Du beziehst Dich jetzt auf die Art wie sudo bei Ubuntu benutzt wird? Oder hast du noch andere Kritikpunkte? Zu sudo bei Ubuntu gibt es ja schon ellenlange Diskussionen, ich halte das jetzt nicht für so ein riesen Problem, weiß aber das es andere Ansichten gibt.

Ich bleibe aber dabei das es weniger die Technik als die Kultur ist. Bei Ubuntu wird Dir in den meisten Wikis schon auf Seite 3 das erste ppa für aktuellere Software empfohlen, das findet man bei Debian kaum. Aber wirklich wirksame Schutzmechanismen gegen die Installation aus Fremdquellen sehe ich bei Debian auch nicht.

Snap/flatpaks sind noch mal eine andere Sache, das macht es noch mal einfacher, sich problematische Software mit einem klick zu installieren, vor allem ist es aber auch hier wieder die Gewohnheit, sich Software aus allen mögliche Quellen zusammenzusuchen, die unterstützt wir und die problematisch ist.

Und ob man einer Anwendung mit su oder sudo root rechte verschafft, bleibt sich im Ergebnis auch gleich.

Nun ja, dieser Satz ist bei Vorhandensein einer sudo-Default-Konfiguration -wie oben schon erwähnt- eindeutig technisch widerlegbar, da besteht nämlich ein großer Unterschied.

Jetzt muss ich doch noch mal zu einem link zu einem entsprechenden technischen Beleg fragen, du klingst so überzeugt davon.

Es ist also die Erfahrung der Anwender und die andere Kultur in den Foren und wikis, die schützt, weniger die Technik der Distribution.

Ich würde das so formulieren: Debian unterstützt den erfahreneren Anwender darin, sein System zu schützen. Die zwei anderen von mir genannten Distributionen unterstützen den Umsteigeprozess von Windows und neutralisieren damit teilweise das linuxeigene Immunsystem.... letztlich zum Nachteil des Anwenders, wenn sich das mit spezieller Linux-Malware wirklich mal im großen Stil durchsetzen wird.

Wie gesagt, das Linux eigene Immunsystem zu erkenne fällt mir schwer. Ubuntu und Mint unterstützen aber die "Windows Denkweise" bei der Installation von Software, was bei einer stärkeren Verbreitung zwangsweise zu ähnlichen Sicherheitsproblemen wie bei Windows führen wird.

[TomL]

Jetzt muss ich doch noch mal zu einem link zu einem entsprechenden technischen Beleg fragen, du klingst so überzeugt davon.

Gerne, hast Du bekommen....

Wie gesagt, das Linux eigene Immunsystem zu erkenne fällt mir schwer.

Soweit es Debian angeht, ist das für mich leicht erkennbar: Im Default-Ergebnis des Debian-Installers kann sich der Installer-User (UID 1000) anschließend und im Normalbetrieb des Systems keine unter seiner UID wirksamen Rechte aneignen, die über seine eigenen Rechte hinausgehen, um z.B. das System unter seiner UID und dem eigenen Password zu veränden. Das ist der historischen Linie folgend, dass nur root das Recht hat, Änderungen am System oder an Berechtigungen vorzunehmen... und das ist für mich das wirkungsvollste Immunsystem überhaupt. U + M haben allerdings genau das neutralisiert, der Anwender kann unter seiner UID und mit seinem eigenen Password durch eine völlig missbräuchliche Verwendung von "sudo" nicht nur Berechtigungen ändern, sondern er kann sogar das System als solches verändern. Da aber genau das aufs einfachste bei Angriffen missbraucht werden kann, haben diese Systeme in meiner Sichtweise keinerlei Immunsystem mehr.

Das kann man auch eigentlch nicht anders sehen, weil man dann meiner Meinung nach einfach die Fakten verleugnet......

Ubuntu und Mint unterstützen aber die "Windows Denkweise" bei der Installation von Software, was bei einer stärkeren Verbreitung zwangsweise zu ähnlichen Sicherheitsproblemen wie bei Windows führen wird.

Da sind wir vollkommen einer Meinung. Im empfinde es nur als irritierend, dass U + M die seit über einem Jahrzehnt bei Windows bekannten Fehler wiederholen wollen.... mit den bei der Konkurrenz abgeschauten Erfahrungen hätte man es allemal besser machen können.

[debianuser4782]

Soso:
http://thejh.net/misc/website-terminal-copy-paste

Die Methode, so geschickt, wie sie ist, funktioniert auf der Konsole nicht. Kein X11, kein Copy'n'Paste.

Ich benutze derzeit das default-Terminal in Openbox "xterm". Dort ist cp nicht möglich. Das sah ich als Beschneidung einer Angewohnheit von mir, welche ich zB mit "lxterminal" eingübt hatte. Nun sehe ich die fehlende Funktion vor den hiesigen Informationen aber als vorteilhaft an. Zudem hatte ich zeitweise mein root- und user-Passwort über cp ins terminal eingefügt. Insbesondere diese Passwörter haben aber in der Zwischenablage nichts verloren, wie ich nun meine.

Derzeit Frage ich mich, warum man in die root- und user-Passwörter in Linux keine PINs - zB mit virtueller Tastatur - einbauen kann.

Also zB an 3. 8. 12. und 16. Stelle im Paswort verteile ich eine 4-Stellige alphanumerische PIN mit einem Sonderzeichen. Meine Ausdrucksweise für eine PIN, die da zB lautet "P6f+" verteile ich auf die Passwortstellen ( 3.8.12.16). Das wäre bei einem Passwort mit 21 Stellen dann: xxxPxxxxx6xxxxfxxxx+xxxxx.
Ich würde gerne wissen, warum das in Linux nicht funktionieren kann. Weiß da jemand mehr?
Das wäre aber eventuell bereits Stoff für einen separaten Thread.

[TomL]

Ich versuche gerade zu verstehen, was Du sagen möchtest..... gar nicht mal so einfach....

Ich benutze derzeit das default-Terminal in Openbox "xterm". Dort ist cp nicht möglich.

Doch, natürlich funktioniert das auch auch, nur etwas anders... Middle-Click oder Shift-Insert fügen aus dem Clipboard ein.

Also zB an 3. 8. 12. und 16. Stelle im Paswort verteile ich eine 4-Stellige alphanumerische PIN mit einem Sonderzeichen. Meine Ausdrucksweise für eine PIN, die da zB lautet "P6f+" verteile ich auf die Passwortstellen ( 3.8.12.16). Das wäre bei einem Passwort mit 21 Stellen dann: xxxPxxxxx6xxxxfxxxx+xxxxx.

Warum soll das nicht funktionieren? Du kannst Dir doch ein beliebiges Password ausdenken und dann an die genannten Stellen irgendwas einfügen.... was hindert Dich daran, das so zu tun...?.... dann ist es eben ein um 4 Stellen längeres Password, also ohne die Einfügungen. Du bist doch eigentlich ziemlich frei in Deiner Password-Gestaltung.

Ich würde gerne wissen, warum das in Linux nicht funktionieren kann. Weiß da jemand mehr?

Stellst Du Dir dabei eine Unterstützung durch Debian vor? Wie sollte die aussehen? Oder was genau funktioniert da nicht?

[debianuser4782]

@ TomL

Danke für den Hinweis bei "xterm"!

Zur Verdeutlichung sei auf meinem Rechner bereits ein Keylogger installiert.

Dieser würde mein ins Terminal eingegebene Passwort abgreifen können.

In der ersten Umgehungsvariante will ich mich an die 3. 8. 12. und 16. Passwortstelle mit dem Mauszeiger begeben und dann die PIN wie beschrieben eingeben. Vom Keylogger würde dann zwar die PIN mitgeloggt aber nicht die Verteilung derselben im Passwort, da ein Keylogger Mausbewegungen idR nicht mitloggt. Dies funktioniert nicht im Terminal aber zB beim Masterpasswort in Keepass2. Bei grafischen Passworteingabefeldern in Debian habe ich diese Methode noch nicht versucht. Diese bietet sich bei openbox mit meiner Konfiguration aber wohl auch nicht so oft an.

In der zweiten (terminalgerechten) Variante habe ich versucht zur 3. 8. 12. und 16. Passwortstelle mit den Kursortasten meiner (virtuellen) Tastatur zu kommen, in der Annahme dass ein einfach gestrickter Keylogger diese möglicherweise nicht mitloggen würde. Dies hat aber nicht funktioniert.

Beim Umstieg auf Linux ist mir als erstes bei der Passworteingabe im Terminal aufgefallen, dass keine "Sternchen" bei jeder Stelleneingabe erscheinen, zwischen denen ich zB mittels der Kursortasten meiner Tastatur wechseln könnte.

Bei Windows 10 hatten beide obigen Varianten bei der Passworteingabe des öfteren Funktioniert.

[TomL]

Zur Verdeutlichung sei auf meinem Rechner bereits ein Keylogger installiert. Dieser würde mein ins Terminal eingegebene Passwort abgreifen können.

Ja, ok, aber dann würde mich interessieren, wo der herkommt und ob Du den bewusst installiert hast... und wenn bewussst, dann warum? Also bei solchen "Sachen" gibts keine göttliche Geburt, also das solche Programme ganz von alleine aus dem Nichts entstehen und so auf Deinen Rechner gekommen sind..... soll heissen, Du musst ihn installiert haben.... und da stell ich die Frage, warum hast Du das getan?

[debianuser4782]

Das sollte nur ein Beispiel zur Verdeutlichung sein.
Interessenhalber könnte man aber einen Keylogger in einer VM installieren um das zu überprüfen.
Auch gibt es besimmt Situationen, in denen man mehr oder weniger wichtige Passwörter auf fremden Rechnern/Websites eingeben kann/muss.
Die KeePass-Varianten bieten glaube ich sogar portable Versionen für USB-Stick an, wo ich die Passwortdatenbanken dann auch auf fremden Rechnern benutzen kann. Ebenso Veracrypt (nicht in Debian aber Tails unterstützt). Die PIN im Passwort ist als zweiter oder dritter Sicherungs-Faktor dann zumindest eine Überlegung wert.
(sorry fürs OT)

[TomL]

Das sollte nur ein Beispiel zur Verdeutlichung sein.

Das war mir schon klar.... ich wollte nur in die Erkenntnis-Richtung "Hysterie" steuern.... wir reden hier nämlich über eine theoretische Bedrohung, die nicht von ganz alleine auf meinen Rechner kommt, es ist nämlich erforderlich, dass ich das zuvor installiere. Und das tue ich natürlich nicht. Und wenn ich mir Gedanken über exklusive Präventivmaßnahmen für ein solches theoretisches Problem machen sollte, müsste ich mir die vermutlich auch darüber machen, dass jederzeit ein Flugzeug auf mein Haus stürzen könnte und auch dafür entsprechende Maßpnahmen ergreifen. Ich bleibe bei meiner Frage: Wo kommt der Keylogger her, der auf meinem Rechner meine Passworte abgreifen kann? Wer hat den Installiert... ?... weil ich wars nicht.

Interessenhalber könnte man aber einen Keylogger in einer VM installieren um das zu überprüfen.

Warum sollte ich das tun? Welche Erkenntnisse bringt mir das, wenn ich doch weiss, was ein Keylogger zu tun vorhat.

Auch gibt es besimmt Situationen, in denen man mehr oder weniger wichtige Passwörter auf fremden Rechnern/Websites eingeben kann/muss.

Wo gibts denn solche Situationen, dass ich auf einem fremden Rechner die Zugangsdaten von meinen eigenen privaten Accounts eingeben muss? Wie dämlich muss man denn überhaupt sein, um sowas zu tun? Das würde ich noch nicht mal auf meiner eigenen mobilen Hardware tun, wenn ich mit einem fremden WLAN-Accesspoint verbunden bin. Wenn ich außerhalb meines Netzes bin, gibts nur eins, ich stelle mit meinem Handy oder Laptop vorher eine sichere Verbindung via OpenVPN in mein Heimnetz her und tue erst dann das, was zu tun ist, also grundsätzlich nur über mein Netzwerk zuhause.

Die KeePass-Varianten bieten glaube ich sogar portable Versionen für USB-Stick an,

Ist für mich ein NoGo... ich gebe alle Passwörter grundsätzlich von Hand ein.... und wie gesagt, niemals auf fremden Geräten. Die Frage ist immer noch unbeantwortet: Wie kommt der Keylogger auf meinen Rechner...?... weil ich ihn selber nicht installiert habe und als einfacher User auch gar keine Rechte habe, fremde Programme zu installieren.

Ich will auf folgendes hinaus.... es gibt absolut gar nichts, keine Programme, keinen technischen Schutz, keine Maßnahmen, womit Deine Hardware oder Deine Daten geschützt sind, wenn Du aus fahrlässigen Leichtsinn heraus selber die Integrität Deines Rechners sabotierst. Da helfen auch nicht solche Konstrukte mit Sonderzeichen an irgendwelchen Stellen im Password. Für mich gibts nur einen Standpunkt: Sicherheit fängt beim eigenen Verhalten an und kann in Einzelfällen technisch unterstützt werden. Oder anders gesagt, verhälst Du dich nicht "sicher", ist Dein System eben auch nicht sicher, und da versagen dann zwangsläufig auch die Programme, die eigentlich den Schutz verbessern sollen.

[pferdefreund]

Der einfache Benutzer kann aber sehr wohl Programme von gott weiß woher ausführen. Einfach in seinem $HOME ablegen, ausführbar machen - und sofern die statisch gelinkt sind, sollte es noch nicht mal Probleme mit Bibliotheken geben. Inwieweit so was sogar aus dem Browser raus per Javascript machbar ist - keine Ahnung - aber sofern das Systembefehle möglich macht mit einem System-Call - ist zumindest alles, was dem Benutzer gehört, gefährdet. Aber man macht ja regelmäßig Backups.
Auch sollte man ggf regelmäßig seine Dateien - auch die mit . durchsuchen, was da an ausführbaren Dateien vorhanden ist.

[DeletedUserReAsG]

Die Frage ist immer noch unbeantwortet: Wie kommt der Keylogger auf meinen Rechner...?... weil ich ihn selber nicht installiert habe und als einfacher User auch gar keine Rechte habe, fremde Programme zu installieren.

Ich möchte an dieser Stelle ein großes Geheimnis verraten: kein System ist sicher. Das ist nun bestimmt schockierend, aber es ist wahr!

Weniger plakativ: stell’ dir vor, du nutzt einen Browser, möglicherweise mit JS. Browser sind komplexe Gebilde, JS-Interpreter ebenso. Und erst die ganzen Libs, die noch im Spiel sind – irgendwo ist ein Fehler enthalten. Möglicherweise ist dieser ausnutzbar, um Code im Userkontext auszuführen. Nun stell’ dir weiterhin vor, jemand hat so einen Fehler gefunden, und sagt’s nicht dem Programmierer der Software, sondern nutzt ihn dazu, jedem, der seine Seite besucht, Schadsoftware unterzuschieben.

Weiter angenommen, es handelt sich dabei um einen Keylogger, dann läuft der erstmal nur im Userkontext – und der User ist’s, der die meisten Passwörter nutzt (oder gibt’s Leute, die ihren Banking-Kram, ihr Mailzeugs und alles andere unter Root machen?) – warum sollte der Angreifer dann noch irgendwas installieren wollen? Und selbst wenn – irgendwann wirst du auch mal was als Root machen wollen, und dich nicht extra neu einloggen, sondern etwa su benutzen, oder ein Programm starten, welches das Passwort anfordert → der Keylogger hat nun auch das Rootpasswort.

Oder als einer der beliebten Vergleiche mit Autobezug: warum sollte man sich anschnallen? Man selbst fährt doch nirgends gegen, das Auto war schließlich teuer, also muss man sich doch auch nicht anschnallen?

[uname]

Sehe ich ähnlich. Für einen Angreifer ist es viel interessanter Passwörter von irgendwelchen Cloud-Diensten abzufangen als Malware zu installieren. Daher wird es auch immer wichtiger 2FA direkt bei der Anmeldung zum Cloud-Service zu verwenden.

Selbst beim Internet-Banking hat man es mittlerweile erkannt. Für die Anmeldung soll 2FA genutzt werden.

Nur leider wird es wohl wieder nichts, sofern diese Ausnahme tatsächlich umgesetzt wird:

Nach der PSD 2 ist die Starke Kundenauthentifizierung auch dann erforderlich, wenn der Nutzer online auf sein Zahlungskonto zugreift. In der Praxis wird aber für das einfache Einloggen in das Online-Banking oft eine einfache Authentisierung ausreichen, zum Beispiel die Eingabe eines Passworts. Denn die Delegierte Verordnung sieht eine Ausnahme von der Pflicht zur Starken Kundenauthentifizierung vor, wenn der Nutzer nur seinen Kontostand oder die Umsätze der letzten 90 Tage ansehen will.

Damit der mögliche Missbrauch eines ausgespähten Online-Banking-Passworts nicht unbegrenzt fortgeführt werden kann, muss der Nutzer aber mindestens alle 90 Tage eine Starke Kundenauthentifizierung durchführen.

Wenn man nur alle 90 Tage 2FA nutzen muss bzw. Transaktionen der letzten 90 Tage sehen kann, bringt es natürlich nichts. Wobei man immerhin für Transaktionen weiterhin 2FA braucht

[TomL]

Der einfache Benutzer kann aber sehr wohl Programme von gott weiß woher ausführen. Einfach in seinem $HOME ablegen, ausführbar machen - und sofern die statisch gelinkt sind, sollte es noch nicht mal Probleme mit Bibliotheken geben.

Das ist das, was ich meinte, als ich schrieb, die erfahrenen Anwender hier aus dem Forum würden sich über meine Beschränkungen hinwegsetzen können, meine User könnens mangels Wissen nicht. Die können keine Programme in ihrem Homedir starten, weil ich die Homedirs mit 'noexec' remounted habe. Das ist nur eine ganz einfache Hürde, aber ohne Sachkenntnis unüberwindbar.

Ich möchte an dieser Stelle ein großes Geheimnis verraten: kein System ist sicher. Das ist nun bestimmt schockierend, aber es ist wahr!

Das ist auch meine Überzeugung... man kann keine ultimative Sicherheit herstellen, es gibt immer Lücken. Aber ich glaube trotzdem, dass man sowohl die Anzahl von Lücken massiv reduzieren kann, als auch die Relevanz einer Lücke deutlich herabsetzen kann.... und zwar mit einfachen disziplinarischen Maßnahmen. Nur mal so als Beispiel:

Auf meinem Rechner sind Sessions mit und ohne persönlichen Passworten kompromisslos durch unterschiedliche UIDs bis hin zur totalen Isolation in VMs getrennt. Insofern denke (/hoffe) ich, dass das von Dir beschriebene Szenario hier so nicht funktionieren würde. Dieser Browser, mit dem ich jetzt hier schreibe, läuft zwar im laufenden System, aber unter einem völlig unberechtigen User, der Zugriff auf absolut gar nix hat. Dieser Browser sieht keine Share-Drive-Inhalte, keine anderen Homedirs, er sieht nie andere Passworte, als die wenigen, die für einige Linux-technische Online-Foren notwendig sind. Sobald ich in Bereichen außerhalb der Linux-Open-Source-Szene surfe, findet das in einer völlig isolierten VM statt, ohne jeglichen Zugriff aufs LAN oder dessen Ressourcen, Zugriff auf Daten und Passworte gibts da nicht. Andersrum sieht meine Banking-VM nie etwas anderes, als NUR die Seiten meiner Bank, jegliche andere Browser-Interaktion ist dort wieder mit Ublock vollständig blockiert.

Mein eigenes persönliches Homedir-Profil "thomas" sieht nur LAN-lokale Passworte zum Mailserver, das eigene Browser-Profil wird nur zum Customizing der lokalen Web-Interfaces verwendet und sieht vom Internet ausser meiner eigenen HP gar nix. Der Ublock Origin ist dabei so scharf eingestellt, dass damit auch gar nix anderes geht... allein weil das schon so nervt, wechsel ich dann schon den Browser zum Virt-User oder in die VM. Ist das alles aufwendig? Nee, überhaupt nicht, ich clicke je nach Zweck nur ein anderes Desktop-Icon... das heisst, bei mir gibts mehrere Browser-Icons als Desktop-Starter. Selbst Palemoon in der VM startet wegen der SSD ratzfatz durch.

Meine Einstellung zu sudo kennst Du, bei uns gibts keine User, die sich mit ihrer UID erweiterte Rechte aneigenen können.. alle User sind nur für ihr Homedir berechtigt. Die Mounts der jeweilig notwendigen Samba-Shares finden alle unter Verwendung der persönlichen Rechte dieses Users statt. Der Traffic rein und raus der Clients ist via Paketfilter ebenfalls scharf reguliert. Mein Server hat bis auf einige wenige explizite Ports überhaupt keine Erlaubnis, Kontakt zum Internet aufzunehmen, Incomming-Traffic wird nach dem ersten Failed-Connect sofort für 60 Minuten gebannt. Und ganz zum Schluss, ein beträchtlicher Teil der Unterstützung unserer Maßnahmen ist über Aufklärung, Gespräche und Verhaltensdirektiven (aus dem Betrieb kannte ich das als Compliance-Regeln) erfolgt.

Und ja, mir ist völlig klar, das ist trotzdem keine Garantie für ultimative Sicherheit, aber vermutlich ist es 1000 mal sicherer, als es für den Großteil der weltweiten Internet-Benutzer gilt. Und ich glaube, ich habe damit meine Grenzen des mir möglichen erreicht.

[B52]

(...) Sobald ich in Bereichen außerhalb der Linux-Open-Source-Szene surfe, findet das in einer völlig isolierten VM statt, ohne jeglichen Zugriff aufs LAN oder dessen Ressourcen, Zugriff auf Daten und Passworte gibts da nicht. Andersrum sieht meine Banking-VM nie etwas anderes, als NUR die Seiten meiner Bank, jegliche andere Browser-Interaktion ist wieder mit Ublock vollständig blockiert. (...)

Da sage ich nur Wow! Eine geballte Ladung an Sicherheit gegenüber der ständigen Bedrohung aus dem Netz.

Und ich glaube, ich habe damit meine Grenzen des mir möglichen erreicht.

Nein, es geht noch besser. Verzichte auf alles, was mit einem PC zu tun hat.

Ich fange mir echt Sorgen um meinen sorglosen Umgang bezüglich Internet und Sicherheit zu machen...

[TomL]

Nein, es geht noch besser. Verzichte auf alles, was mit einem PC zu tun hat.

Du glaubst, dass dass ein sachliches Statement ist...?... nee, isses nicht. Und warum sollte ich überhaupt sowas dummes tun?

Ich fange mir echt Sorgen um meinen sorglosen Umgang bezüglich Internet und Sicherheit zu machen...

Nööö, Du unterstellst mir eine falsche Motivation... ... ich gehöre eher zu der Generation, die mit Überzeugung die Meinung vertritt "Ich habe nix zu verbergen, die können alles sehen."

Aber ich bin auch Rentner und habe einfach total Spass daran, solche Lösungen zu entwickeln... da ist wirklich nix anderes dahinter, als die Lust am Tun, sportlicher Ehrgeiz, und weil die Computerei seit 40 Jahren Lebensinhalt und Hobby für mich ist. Allerdings gestehe ich, dass mir der kontinuierliche Abbau von Demokratie und demokratischen Grundrechten hier in DE nicht gefällt. Und es wundert mich schon, wie sorglos die Leute mit ihren Daten umgehen.

Nicht unbedingt neu, aber immer wieder neu beängstigend: "Nothing to hide" (Ich habe nichts zu verbergen):
https://vimeo.com/195446463

Den Satz eines der Interviewten am Ende "Demokratie ist KEIN Zuschauersport" müssten sich viel mehr Leute verinnerlichen. Wenn das, was hier durch unsere EU-Regierungen an Überwachung der Bürger etabliert wurde, in die falschen Hände einer möglicherweise restriktiveren/repressiven Nachfolgeregierung fällt, wars das mit Demokratie und Freiheit.

[MSfree]

Ich fange mir echt Sorgen um meinen sorglosen Umgang bezüglich Internet und Sicherheit zu machen...

Vielleicht solltest du damit anfangen, deinen Wohnort nicht bis auf 0.1 Bogensekunden genau in deinem Profil abzulegen. Eine einfache Googlesuche bringt einen nämlich bis auf die Hausnummer genau an die entsprechende Adresse.

Nur so nebenbei, 0.1 Bogensekunden entsprechen rund 3 Meter.

[B52]

Vielleicht solltest du damit anfangen, deinen Wohnort nicht bis auf 0.1 Bogensekunden genau in deinem Profil abzulegen. Eine einfache Googlesuche bringt einen nämlich bis auf die Hausnummer genau an die entsprechende

Das war Absicht. Ich sehe jedoch, dass ich mich um ca 9 Meter vertan habe... Und falls Du mal in der Nähe bist, komm doch auf ein kühles Bier vorbei.

[MSfree]

Den Satz eines der Interviewten am Ende "Demokratie ist KEIN Zuschauersport" müssten sich viel mehr Leute verinnerlichen. Wenn das, was hier durch unsere EU-Regierungen an Überwachung der Bürger etabliert wurde, in die falschen Hände einer möglicherweise restriktiveren/repressiven Nachfolgeregierung fällt, wars das mit Demokratie und Freiheit.

Ob sich ein repressives System durch aktivere Demokratie (wie auch immer das stattfinden soll) verhindern läßt, bezweifel ich. Diejenigen, die an einem repressiven System interessiert sind, bedienen sich nämlich genau der Mittel der aktiveren Demokratie, um sich dem repressiven System anzunähern.

Vor allem sehe ich einen krassen Widerspruch zu deiner Aussage:

ich gehöre eher zu der Generation, die mit Überzeugung die Meinung vertritt "Ich habe nix zu verbergen, die können alles sehen."

In einem repressiven System wird alles gegen dich verwendet werden. Deine Ansichten bezüglich Umweltschutz, dem politischem System oder deiner Zugehörigkeit zum Kaninchenzüchterverein mag im Moment völli unverfänglich sein, und das braucht man im Moment nicht zu verbergen. In einem repressiven System wird dir das aber zum Verhängnis, und sei es nur, weil durch Nahrungsmittelknappheit deine mühevoll gezüchteten Karnickel konfisziert werden.

OK, genug ge-Aluhut-et

[MSfree]

Und falls Du mal in der Nähe bist, komm doch auf ein kühles Bier vorbei.

[DeletedUserReAsG]

Auf meinem Rechner sind Sessions mit und ohne persönlichen Passworten kompromisslos durch unterschiedliche UIDs bis hin zur totalen Isolation in VMs getrennt. Insofern denke (/hoffe) ich, dass das von Dir beschriebene Szenario hier so nicht funktionieren würde.

Virtualisierungssoftware ist noch viel komplexer, als ’n popeliger Browser. Und es gab durchaus auch schon Ausbrüche aus virtualisierten Umgebungen. Dann hat der Angreifer gleich alle VMs auf einmal unter sich, und von den virtualisierten Systemen gibt’s keine Chance festzustellen, dass alles kompromittiert ist. Und das beliebte „aber ich hab ja nix zu verbergen“ – deine Nachfahren werden dich dafür hassen.