Live System für Online Banking und Surfen

Warum Debian und/oder eine seiner Spielarten? Was muss ich vorher wissen? Wo geht es nach der Installation weiter?
thoerb
Beiträge: 1677
Registriert: 01.08.2012 15:34:53
Lizenz eigener Beiträge: MIT Lizenz

Re: Live System für Online Banking und Surfen

Beitrag von thoerb » 13.04.2016 08:15:34


urkle

Re: Live System für Online Banking und Surfen

Beitrag von urkle » 13.04.2016 08:43:53

Dann also keine Live CD für das Online Banking.

Wie schätzt ihr allerdings die Sicherheit einer abgeschlossenen CD oder DVD ein gegenüber Trojanern und anderen Schadprogrammen, die sich so nicht permanent einnisten können?

TomL

Re: AW: Live System für Online Banking und Surfen

Beitrag von TomL » 13.04.2016 10:09:20

urkle hat geschrieben:Dann also keine Live CD für das Online Banking.

Wie schätzt ihr allerdings die Sicherheit einer abgeschlossenen CD oder DVD ein gegenüber Trojanern und anderen Schadprogrammen, die sich so nicht permanent einnisten können?
Mir ist echt nicht klar, warum du das komplette Thema noch mal hervorkramst. Deine Frage, die du mittlerweile mehrfach wiederholt hast, ist ebenfalls mehrfach beantwortet worden. Dabei ist das eigentlich recht einfach mit folgender Erkenntnis zu lösen: Schadprogramme nisten sich nicht wegen des verwendeten Betriebssystems ein, sondern wegen fahrlässigen Userverhalten.

Richte eine 5-GB-Debian-VM ein, die bis auf das Betriebssystem-Nötigste keinerlei Programme enthält. Dazu Palemoon als Browser und UBlock Origin mit genereller Sperre (rigoros für alles) nach der Devise "Es ist grundsätzlich ALLES verboten, was nicht ausdrücklich erlaubt ist! " Damit ist ein normales Surfen fast nicht mehr möglich, weil eben alles blockiert wird. Dann erlaubst du (sofern notwendig) nur die Skripte deiner Bank. Fertig! Diese kleine VM wird für nichts anderes genutzt, außer fürs Online-Banking. Wenn du noch höhere Sicherheit willst, bleibt nur der Besuch am Bankschalter. Die einzige Unsicherheit in diesem Modell bist nur du selber, wenn du in dieser VM mit irgendwelchen grob fahrlässigigen Aktionen die Sicherheit untergräbst.

Ich denke, zu dem Thema wurde dir wirklich schon jede denkbar vernünftige Antwort gegeben.

urkle

Re: Live System für Online Banking und Surfen

Beitrag von urkle » 13.04.2016 20:27:10

Danke ich bin leider nicht sehr erfahren. Wahrscheinlich wird der Bankschalter die beste Wahl sein.

Würdest du zum reinen Browsen auch eine Debian Installation empfehlen, wahlweise mit einer VM in der dann ebenso gebrowst wird?

TomL

Re: Live System für Online Banking und Surfen

Beitrag von TomL » 13.04.2016 20:38:03

urkle hat geschrieben:Würdest du zum reinen Browsen auch eine Debian Installation empfehlen,
Ich empfehle genau das (und keine Variation davon), was ich im Vorposting beschrieben habe....
... wahlweise mit einer VM in der dann ebenso gebrowst wird?
... und wo ich genau das als grob fahrlässiges User-Verhalten bezeichnet habe, wodurch der User selber faktisch die Sicherheit untergräbt.... eben weil der Scriptblocker dazu deutlich kastriert werden muss.

Ich habe zusätzlich eine VM für "unseriöses" Surfen, eine weitere, speziell (und ausschließlich) um Google-Dienste nutzen zu können. Das normale alltägliche "saubere" Surfen (z.B. dieses Forum) mache ich ausschließlich mit einem quasi rechtelosen User mit eigenem Profil auf meinem Rechner, ohne jeglichen Datenzugriff. Mein echtes eigenes Palemoon-Profil wird fast gar nicht genutzt. Ich habe in allen Instanzen und auf allen Maschinen nur noch Debian Jessie installiert.

urkle

Re: Live System für Online Banking und Surfen

Beitrag von urkle » 14.04.2016 06:56:17

Ich habe wohl fälschlicherweise angenommen mit einer Live CD oder DVD wengier Angriffsfläche zu bieten, dass man so jedoch keine Updates hat bis zum nächsten Release war mir nicht gleich bewusst.

Ich werde also von der Idee abrücken eine Live CD zu verwenden und alles einzeln per VM steuern?

urkle

Re: Live System für Online Banking und Surfen

Beitrag von urkle » 28.04.2016 15:59:57

Könnt ihr einem Linuxneuling die grundlegenden Unterschiede erklären die eine VM sicherer machen als eine Instanz per Live DVD?

Ich habe den Thread jetzt nochmal durchkämmt, es hat aber leider noch nicht Klick gemacht. :(

TomL

Re: AW: Live System für Online Banking und Surfen

Beitrag von TomL » 28.04.2016 16:50:32

urkle hat geschrieben:Könnt ihr einem Linuxneuling die grundlegenden Unterschiede erklären die eine VM sicherer machen als eine Instanz per Live DVD?

Ich habe den Thread jetzt nochmal durchkämmt, es hat aber leider noch nicht Klick gemacht.
Eine VM kann aktuell gehalten werden, die Live-CD (praktikabel) eher nicht. Die Sicherheit ansonsten resultiert bei beiden daraus, dass sie isoliert vom normalen Surfen sind und nicht durch leichtsinnigen täglichen Gebrauch kompromittiert werden können.

urkle

Re: Live System für Online Banking und Surfen

Beitrag von urkle » 28.04.2016 17:18:50

Danke dir vielmals.
Dass die Live DVD nicht praktikabel aktuell gehalten werde kann sehe ich ein. Ist die Sicherheit in beiden Fällen gleich "hoch" oder "niedrig" oder bietet beides keinen praktikablen Angriffspunkt von außen?

TomL

Re: Live System für Online Banking und Surfen

Beitrag von TomL » 28.04.2016 20:03:40

urkle hat geschrieben:Dass die Live DVD nicht praktikabel aktuell gehalten werde kann sehe ich ein. Ist die Sicherheit in beiden Fällen gleich "hoch" oder "niedrig" oder bietet beides keinen praktikablen Angriffspunkt von außen?
Wenn Du das von zuhause aus hinter einem Router machst, ist es meines Erachtens einigermaßen egal, welches Betriebssystem du verwendest .... wenn in deinem Router keine Ports und Weiterleitungen freigegeben sind, kommt von aussen sowieso keiner mal eben auf die Schnelle rein. Aber auch darauf wurde hier schon hingewiesen. Das Risiko sitzt immer "innen", und zwar an der Tastatur. Und wenn Du die VM isoliert für nichts anderes verwendest, denke ich, dass die Risiken tatsächlich nur noch theoretisch sind. Du als Anwender, Dein Surfverhalten und wie Du mit der VM und dem Onlinebanking umgehst, das ist das größte Risiko und nicht eine VM oder Live-CD.... und um das zu minimieren ist der beste Weg, sich Wissen anzueignen.

Dieses wirklich banale Thema beschäftigt dich nun seit bald 5 Monaten... für mich völlig unbegreiflich, weil Onlinebanking wirklich nur banaler Kram ist.... etwas, was ich seit 25 Jahren als absolut sicher erlebe.... solange man nicht selber vorsätzlich oder aus Dummheit alle Ratschläge missachtet oder grob fahrlässig handelt.

uname
Beiträge: 12036
Registriert: 03.06.2008 09:33:02

Re: Live System für Online Banking und Surfen

Beitrag von uname » 29.04.2016 13:55:39

Wenn Du das von zuhause aus hinter einem Router machst, ist es meines Erachtens einigermaßen egal, welches Betriebssystem du verwendest .... wenn in deinem Router keine Ports und Weiterleitungen freigegeben sind, kommt von aussen sowieso keiner mal eben auf die Schnelle rein.
Das ist leider vollkommen falsch. Fast jeder hat heute einen Router und natürlich wird der PC nicht von außen direkt angegriffen. Es ist vielmehr so, dass sich der (Windows-)-PC aktiv durch irgendwelche Sicherheitslücken Schadcode einfängt und dann der Trojaner selbst die Verbindung zum C&C-Server im Internet aufbaut, der dann rückwärts auf dem PC z.B. als Fernwartungs-Trojaner, Internet-Banking-Trojaner oder sonstwas sein Unwesen treibt. Natürlich ist es besser einen Router inkl. NAT und auch Firewalls zu verwenden. Nur leider hilft das in dem Fall gar nicht, da natürlich die aufbauende Verbindung des PCs (meist HTTPS) erlaubt wird und der Rückkanal per NAT natürlich auch vom Router durchgelassen/zugeordnet wird. Aus Sicht des Routers, Firewall usw. ist es eben ein einfaches "Surfen" bzw. eine Art Upload/Download-HTTPS-Datenstrom.
Das größte Risiko ist wohl, dass der Anwender immer noch glaubt er wäre schlauer als die IT.

TomL

Re: Live System für Online Banking und Surfen

Beitrag von TomL » 29.04.2016 15:03:15

Bitte erkläre doch mal kurz, warum Du einen aus dem Zusammenhang gerissenen Satz zitierst und den sachlich als falsch einschätzt. Wenn ich jetzt unterstellen würde, dass Du meine vorherige Antwort als ganzes gelesen und verstanden hast, müsste ich jetzt eigentlich feststellen "so einen Blödsinn habe ich ja noch nie gehört". Aber ich gehe mal davon aus, dass Du das mangels Zeit nur oberflächlich gelesen und dabei den Inhalt nur teilweise verinnerlicht hast ... deshalb stelle ich das lieber nicht fest....
Es ist vielmehr so, dass sich der (Windows-)-PC aktiv durch irgendwelche Sicherheitslücken Schadcode einfängt und dann der Trojaner selbst die Verbindung zum C&C-Server im Internet aufbaut
Aha, der Windows-PC holt sich also selber aktiv über irgendwelche Sicherheitslücken Schadsoftware runter.... ?... *wow* ... aber wieso sind das denn Sicherheitslücken, wenn MS das so vorgesehen hat...?... denn anders als "so vorgesehen" kann man ja "aktiv" nicht interpretieren. Sorry, aber das ist völliger Unsinn. Der Windows-PC resp. Windows selber als OS mag Sicherheitslücken haben, aber vermutlich deutlich weniger, als durch installierte Software aus zweifelhaften Quellen (Warez-Szene, Key-Tools, Hacker-Patches, etc) vorhanden sind und für die der Anwender selber verantwortlich ist. Das (ordentlich gekaufte) Betriebssystem halte ich jedenfalls erst mal (und zweifellos) für integer. Zumal ein aktueller Windowsstand mit Firewall, UAC und AV-Programmen über ein ziemliches gutes per default aktiviertes Immunsystem verfügt. Windows als OS tut aktiv von sich aus jedenfalls gar nix, um sich selber mit Schadsoftware zu infizieren.Infiziert wird das System immer durch den Anwender, durch sein Verhalten, durch seine Einstellung zu illegalen Programmversionen und dadurch, was er im Web so treibt.

Mir soll heute keiner mehr was über Sicherheitslücken im Unterschied von Windows zu Linux erzählen. Da bin ich mir heute ziemlich sicher, wer mehr Sicherheitslücken hat und wo man Auswirkungen nur zufällig bemerkt oder erst, wenn Schaden eingetreten ist. Da hat Windows sogar eindeutig Vorteile. Der Vorteil von Debian (im besonderen) ist einzig mangelnde Relevanz bezogen auf kriminelle Energien wegen der eher geringen Anzahl Installationen, sowie mit dem vorhandenen Repository das Fehlen oder die Nicht-Notwendigkeit suversiver Quellen. Aber Sicherheitslücken im Betriebssystem ... ich mag gar nicht drüber nachdenken....

Also ... ein regulär gekauftes Windows hinter einem Router, das ständig aktualisiert ist/wurde, weiterhin die Verwendung von regulär gekaufter Software aus ausschließlich seriösen Quellen, sowie ein "hygienisches" Surfverhalten macht aus einem Windows-PC einen ebenso sicheren PC, wie es ein Debian-PC ist. Und verhalte ich mich "unsauber", beim Surfen oder hinsichtlich Softwarequellen, dann ist der Linux-PC möglicherweise genau so schnell kompromittiert, wie ein Windwos-PC

Ganz nebenbei bemerkt, der wichtige Satz, denn du als Zitat fahrlässig ausser Acht gelassen hast, war:
Das Risiko sitzt immer "innen", und zwar an der Tastatur
Windows selber enthält technisch betrachtet definitiv kein größeres Risiko als Linux. Sich selber aktiv komromittieren tut es jedenfalls nicht. Und hinter einem Router kann es auch nicht ohne Zutun des Anwenders kompromittiert werden. Ein legal gekauftes Windows ist jedenfalls nicht gleichzusetzen mit einem gepatchten illegalen Windows und der gleichzeitigen Verwendung von gecrackter Anwendungs-Software, sogenannten Raubkopien.

uname
Beiträge: 12036
Registriert: 03.06.2008 09:33:02

Re: Live System für Online Banking und Surfen

Beitrag von uname » 29.04.2016 21:20:19

Das war wirklich aus dem Zusammenhang gerissen. Dafür möchte ich mich entschuldigen.

Aber insgesamt interessiert mindestens beim Thema Online Banking weniger wie viele Sicherheitslücken es gibt, sondern für welche Betriebssyssteme Internet-Banking-Schadcode programmiert wird. Und da ist nach meinen Recherchen nur Windows betroffen (Emotet, Zeus, ...). Somit kann dein Linux noch so unsicher sein wie es will. Da es meiner Meinung nach keine Linux-Banking-Trojaner gibt ist das Internet-Banking bei Linux vollkommen sicher. Da kannst du im Prinzip sogar als root surfen und alle Updates weglassen. Sollte mir hier im Forum auch nur einen Linux-Trojaner im Banking-Umfeld benennen können, behaupte ich gerne das Gegenteil. Aber das wird wohl nicht passieren. Auch Verbrecher wissen was ein Business Case ist. Debian ist nicht interessant genug. Aber es ist im Normalfall auch sicherer. Es hat z.B. mit der Paketverwaltung einen anständigen "App-Store".

Wichtiger als die Sicherheit der Betriebssysteme als unfehlbar einzuschätzen wäre es eher angebracht die Banking-Verfahren zu verstehen und korrekt anzuwenden.
https://blog.botfrei.de/2015/04/neue-version-des-banking-trojaner-emotet-erreichen-unsere-rechner/ hat geschrieben: Allerdings kann der Bot die Zwei-Faktoren-Authentifizierungssysteme (Chip TAN oder SMS TAN) nicht eigenständig umgehen, er benötigt hier die „Hilfe“ des Anwenders.
Weiter steht dort in den Kommentaren (Quelle wie oben):
Weiterhin ist “Emotet” in der Lage, Webseiten von Finanz und Kreditinstituten zu manipulieren, selber Transaktionen zu tätigen, sowie Zwei-Faktor-Authentifizierung über Chip-TAN oder SMS-TAN zu umgehen.
Manipulation der Webseiten per JavaScript direkt im Browser ist klar. Aber alleine eine Transaktion tätigen, die einen zweiten, unabhängigen Kommunikationsweg benötigt halte ich für ausgeschlossen. Denn genau darauf beruht die Sicherheit dieser Banking-Verfahren.

TomL

Re: Live System für Online Banking und Surfen

Beitrag von TomL » 30.04.2016 10:57:04

Ich habe hier für uns eine VM mit einem gedebootstrapten Mini-Debian eingerichtet, die ausser Palemoon quasi keine andere Anwendungssoftware enthält. Als Palemoon-AddOn ist UBlock Origin mit einer Vollsperre installiert. Das bedeutet, mit dieser Einstellung ist ein normales Surfen so gut wie unmöglich, es wird kaum eine Seite fehlerfrei dargestellt. Alles, wirklich alles wird geblockt. Lediglich explizit das, was meine Bank verlangt, z.B. für den Flicker-Code, ist freigegeben - Palemoon ist nach der Prämisse eingestellt "Es ist grundsätzlich ALLES verboten, was nicht ausdrücklich erlaubt ist". Diese VM kann deshalb eigentlich für nichts anderes verwendet werden, außer eben für's Banking.

Ich bin absolut davon überzeugt, dass eine (mit von meinen im Fachhandel (keine OEM-Variante) gekauften DVD's) in dieser Manier installierte und genutzte VM mit Win XP oder Win 7 in keinster Weise ein höheres Sicherheitsrisiko beinhaltet, als meine Version mit Debian.... einfach aus dem Grund, weil von Windows selber kein höheres autoaggressives Risiko ausgeht, als von Debian. Das Risiko sich Schadsoftware einzufangen ist dabei m.E. nicht gegeben, da keine Möglichkeit besteht, irgendwas zu "importieren" und zur Ausführung zu bringen. Die einzige Möglichkeit das System zu kompromittieren besteht meiner Meinung nach durch "innere" Sabotage.

J.m.2.c.

uname
Beiträge: 12036
Registriert: 03.06.2008 09:33:02

Re: Live System für Online Banking und Surfen

Beitrag von uname » 30.04.2016 14:25:24

Beschäftige dich mit dem Flicker-Code und der Tatsache, dass nur du mit deiner EC-Karte eine gültige TAN berechnen kannst. Du schiebst sie nicht ohne Grund in den Leser. Du darfst nur TANs für deine gewünschten Transaktionen übermitteln. Hört sich logisch an. Aber genau hier besteht das Problem. Anwender lassen sich durch Malware auffordern z.B. eine Testtransaktion durchzuführen. Aber es ist kein Test. Eine TAN ist immer real.

TomL

Re: Live System für Online Banking und Surfen

Beitrag von TomL » 30.04.2016 14:54:06

uname hat geschrieben:Anwender lassen sich durch Malware auffordern z.B. eine Testtransaktion durchzuführen.
Das setzt voraus, dass Du entweder schon von vornherein durch eine lokal installierte Malware auf eine getürkte Seite umgeleitet worden bist oder dass Dein Rechner/Browser anderweitig bereits kompromittiert ist. Das bedeutet: Dein Rechner war schon VOR dem Onlinebanking kompromittiert.

Ich habe aber gesagt (jetzt hier in Kurzform und aus dem Zusammenhang gerissen):
Das Risiko sich Schadsoftware einzufangen ist dabei m.E. nicht gegeben, da keine Möglichkeit besteht, irgendwas zu "importieren" und zur Ausführung zu bringen. Die einzige Möglichkeit das System zu kompromittieren besteht meiner Meinung nach durch "innere" Sabotage.
Das bedeutet: Das System ist VOR dem Onlinebanking erst mal sauber, der Rechner ist NICHT kompromittiert! Und auf Grund der durch Einstellung vorhandenen Restriktionen ist -das behaupte ich- eine Kompromittierung ohne Sabotage gar nicht möglich.

Wenn ein Anwender allerdings irgendeiner subversiven Aufforderung nachkommt oder sich nicht vergewissert, dass er auf der richtigen URL ist und somit selbst die Sicherheit ausser Kraft setzt, dann ist nicht Windows schuld, sondern der Anwender.... und dagegen hilft imho gar nichts. Deshalb wechsel ich zur Bank-Seite auch nie über eine Suchmaschine, sondern immer über eine hier hinterlegte URL.

uname
Beiträge: 12036
Registriert: 03.06.2008 09:33:02

Re: Live System für Online Banking und Surfen

Beitrag von uname » 01.05.2016 09:30:58

TomL hat geschrieben:Das setzt voraus, dass Du entweder schon von vornherein durch eine lokal installierte Malware auf eine getürkte Seite umgeleitet worden bist oder dass Dein Rechner/Browser anderweitig bereits kompromittiert ist. Das bedeutet: Dein Rechner war schon VOR dem Onlinebanking kompromittiert.
Das ist mindestens beim Online Banking immer so. Also full ACK.


Ich habe aber gesagt (jetzt hier in Kurzform und aus dem Zusammenhang gerissen):

Das Risiko sich Schadsoftware einzufangen ist dabei m.E. nicht gegeben, da keine Möglichkeit besteht, irgendwas zu "importieren" und zur Ausführung zu bringen. Die einzige Möglichkeit das System zu kompromittieren besteht meiner Meinung nach durch "innere" Sabotage.


Das bedeutet: Das System ist VOR dem Onlinebanking erst mal sauber, der Rechner ist NICHT kompromittiert! Und auf Grund der durch Einstellung vorhandenen Restriktionen ist -das behaupte ich- eine Kompromittierung ohne Sabotage gar nicht möglich.
TomL hat geschrieben:Wenn ein Anwender allerdings irgendeiner subversiven Aufforderung nachkommt oder sich nicht vergewissert, dass er auf der richtigen URL ist und somit selbst die Sicherheit ausser Kraft setzt, dann ist nicht Windows schuld, sondern der Anwender.... und dagegen hilft imho gar nichts.
Beim Online-Banking-Betrug ist er immer auf der richtigen Seite. Ist keine billige Phishing-Seite wo man sein E-Mail-Zugangsdaten eintippt. Der Trojaner benötigt die Mithilfe des Anwendes und natürlich muss der Anwender selbst mit seiner Bank über die echte SSL-Verschlüsselung kommunzieren. Was bringen dem Angreifer deine Online-Banking-Zugangsdaten wenn er deine EC-Karte zur Erzeugung einer gültigen TAN nicht hat.
TomL hat geschrieben:Deshalb wechsel ich zur Bank-Seite auch nie über eine Suchmaschine, sondern immer über eine hier hinterlegte URL.
Wie gesagt das hilft dir nichts oder sagen wir mal dem Windows-Anwender mit Malware. Schau dir mal das Bild unter [1] an. Schau dir vor allem die oben aufgeführte URL an. Sie ist vollkommen korrekt. Die Malware ändert den Inhalt der Internetseite. Da hilft dir die Eingabe der korrekten URL oder auch eine Prüfung des SSL-Zertifikats herzlich wenig. Das Malware-verseute System kann alles behaupten. Die Frage ist nur ob der Anwender es glaubt. Und wie gesagt immer nur eine TAN für eine Transaktion generieren, die man tatsächlich durchführen will [2]. Hier sollte man spätestens den Betrug bemerken und die TAN nicht generieren oder mindestens nicht an die Bank übermitteln. Wenn doch gehören die im Beispiel aufgeführten 6500,35 Euro nun jemand anderen. Vollkommen korrekt, da du ja mit de Eingabe der TAN dieses bestätigt hast.

[1] https://vorsicht-email.de/wp-content/up ... demo01.jpg
[2] https://vorsicht-email.de/wp-content/up ... demo05.jpg

urkle

Re: Live System für Online Banking und Surfen

Beitrag von urkle » 04.05.2016 21:09:21

Wenn wir mal annehmen würden, dass es eine Distribution gibt die als Live System läuft und sehr sehr häufig mit Updates versorgt wird.

Solange nur die jeweils aktuelle Version verwendet wird, schützt diese Vorgehensweise gegen Angriffe die aktiv gegen das Gerät gefahren werden wie zum Beispiel Keylogger?

Das Szenario ist ein gefährderter Rechner der mit Angriffen rechnen muss. Schützt man diesen PC für eine einzelne Internetsession effektiv schon durch eine VM, oder sollten Paranoide doch zu einem nicht beschreibbaren Live System tendieren?

uname
Beiträge: 12036
Registriert: 03.06.2008 09:33:02

Re: Live System für Online Banking und Surfen

Beitrag von uname » 04.05.2016 21:19:40

Wie ich schon mal geschrieben habe: Nicht das perfekte System, sondern die richtige Anwendung des Online Bankings löst das Problem.

urkle

Re: Live System für Online Banking und Surfen

Beitrag von urkle » 04.05.2016 21:41:49

Gilt das dann auch für das normale Surfen dass ein Live System auf einer CD oder DVD nicht sicherer ist als eine Debian Installation und VM für den jeweiligen Zweck?

Die VM lässt sich von außen nicht angreifen oder kompromittieren?

uname
Beiträge: 12036
Registriert: 03.06.2008 09:33:02

Re: Live System für Online Banking und Surfen

Beitrag von uname » 04.05.2016 21:45:55

Natürlich ist Debian sicherer als Windows und Debian Live sicherer als Debian. Das Live-System vergisst jeden Schadcode beim Beenden. Nur beim Online Banking ist eingeplant, dass der Anwender mit einem verseuchten System arbeitet. Wenn es nur um einfache Passwörter und nicht wie beim Online Banking um Zwei-Faktor-Authentisierungen geht, ist natürlich ein nicht verseuchtes System von Vorteil. Ein-Faktor-Authentisierungen wie E-Mail-Account-Passwörter lassen sich auf verseuchten Systemen leicht auslesen. Wo zwei Faktoren benötigt werden muss noch die "Dummheit" des Anwenders hinzukommen, da das System bzw. der Schadcode auf den zweiten Faktor keinen Zugriff hat. Für das normale Surfen nutze ich jedoch mein normales Debian Jessie, recht minimal installiert (Debianopenbox) mit sehr restriktiven Iceweweasel-Konfigurationen (z.B. ~/.mozilla in der Ramdisk). Das muss dann reichen. Gegen Schadcode im Betriebssystem hilft es jedoch nicht. Wobei mein normaler Benutzer kann es dort auch nicht platzieren.
Die VM lässt sich von außen nicht angreifen oder kompromittieren?
Von außen ist auch Windows nicht angreifbar, da der DSL-Router eingehende Verbindungen gar nicht zuordnen kann. Der Angriff erfolgt von innen durch den Anwender selbst. Das geht natürlich auch in einer VM und die Gefahr hängt eher vom Gast-Betriebssystem als vom Host-Betriebssystem ab. Windows in einer VM ist unsicher. Ok nur im Windows in der VM.

urkle

Re: Live System für Online Banking und Surfen

Beitrag von urkle » 04.05.2016 21:56:19

Wenn man sich dazu entscheiden würde Debian Live verwenden zu wollen, reicht es die jeweils aktuellste Version auf CD oder DVD zu verwenden?
Wie würde man Debian Live auf einem optischem Medium aktuell halten wollen zwischen den Versionsupdates?

Edit:

Mit die VM von außen angreifen war ein Angriff innerhalb des Systems gemeint, von einer möglichen Schadsoftware auf dem laufenden Gerät die in die VM eindringen könnte.

uname
Beiträge: 12036
Registriert: 03.06.2008 09:33:02

Re: Live System für Online Banking und Surfen

Beitrag von uname » 04.05.2016 22:07:20

Ich halte normale Angriffe wie bei Windows (Bots usw.) bei Debian für sehr unwahrscheinlich. Es gibt Live-Versionen (dann auf USB-Sticks), die mit Hilfe von persistenten Teilbereichen auch aktualisiert werden können. Da Daten nicht gelöst werden vom komprimierten ISO nimmt die Datenmenge dann natürlich zu. Persönlich halte ich es für unnötig ein Live-System zu aktualisieren. Was soll denn passieren? Ok man kann ja http://security.debian.org lesen und wenn dort doch mal der Iceweasel eine Sicherheitslücke hatte kann man nachlesen was es war und überlegen ob es irgendwie von Interesse sein könnte.
Sinnvoller ist es den normalen Rechner und das normale Betriebssystem zu sichern. Auswahl Betriebssystem? Muss es wirklich so viel Software sein? Software aus Fremdquellen? Konfiguration der Dienste? Evtl. Zusatzbenutzer für Surfen? Ramdisk damit der Rechner unwichtige Daten vergisst? Backupstrategie? ...
Und am wichtigsten: Verstehen wo überhaupt die Risiken im Internet liegen. Man muss z.B. leider einsehen, dass man mit Linux gar nicht zur Zielgruppe der Angreifer gehört. Schade eigentlich wenn man folgendes liest.

http://www.heise.de/newsticker/meldung/ ... 97135.html

Hätte mich gerne mal ernsthaft mit dem Thema Verschlüsselungstrojaner beschäftigt. Nun ist mir weiter langweilig und ich schreibe sinnlose Texte in diesem Forum. Und ja ich habe trotzdem ein aktuelles Backup, welches natürlich nicht online erreichbar ist.

urkle

Re: Live System für Online Banking und Surfen

Beitrag von urkle » 04.05.2016 22:45:05

Unwahrscheinlich aber denkbar ist heute leider vieles :(
Ein USB der in Teilen aktualisiert werden kann ist wieder ein Einfallstor für mögliche Manipulationen, man bedenkt das Gerät ist eine potentielle Gefahrenquelle. (Den physischen Diebstahl muss man sicherlich auch bedenken) daher würde eine vergessliche Live Distributionen selbst in diesem Fall keine Daten erheben können.
Sicherheitslücken die von Zeit zu Zeit auftreten würden je nach Schwere eine ungefixte Live Version unbrauchbar machen, man könnte jedoch bis zu einem effektiven Fix ausweichen falls nötig wie du sagtest.
Ein Live Debian scheint mir vom Ansatz noch effektiver zu wirken als eine rechtelose und isolierte VM.

Dass Linux weiterhin nicht "die" Zielgruppe für Angreife sein wird denke ich ändert sich auch in der Zukunft immer mehr wenn gerade immer mehr User von Windows los kommen wollen.
Wenn man nicht gleich schon in die Linux Mint Falle getappt ist. :S


Das aktuelle Backup liegt dann natürlich offline und unvercloudet. Danke für deine Antworten!

uname
Beiträge: 12036
Registriert: 03.06.2008 09:33:02

Re: Live System für Online Banking und Surfen

Beitrag von uname » 05.05.2016 06:27:03

Wenn man nicht gleich schon in die Linux Mint Falle getappt ist. :S
Die Linux Mint-Falle mit den falschen ISOs wäre bei Debian undenkbar, da die ISOs nicht nur wie jede Malware eine Prüfsumme haben, sondern die Prüfsumme über höhere Ebenen signiert ist. Die Prüfsumme hilft nur wenn sie irgendwo auch vertrauenswürdig verwaltet (signiert) wurde und vom Angreifer nicht gleich mit geändert wurde (unerkannt werden konnte). Wer einfach ein Debian-ISO downloadet und die Prüfsumme nicht oder falsch kontrolliert kann auch bei Debian ein Problem bekommen. Aber auch das ist kein Designfehler, sondern ein Anwenderfehler. Es ist aber richtig, dass das korrekte Überprüfen der ISOs kaum bekannt ist.

https://linuxconfig.org/how-to-verify-a ... iso-images

Antworten