[gelöst] Online Banking unter Linux

[Lord_Carlos]

Was hilft es wenn man beim Online Banking eine andere MAC und intern IP hat als beim "normalen" surfen?

[geier22]

Was hilft es wenn man beim Online Banking eine andere MAC und intern IP hat als beim "normalen" surfen?

von Hier:
https://firejail.wordpress.com/document ... fox-guide/

By default, if a network namespace is requested, Firejail installs a network filter customized for regular Internet browsing. It is a regular iptable filter. This is a setup example, where no access to the local network is allowed
Überstzt:
Wenn ein Netzwerk-Namespace angefordert wird, installiert Firejail standardmäßig einen Netzwerkfilter, der für das normale Surfen im Internet angepasst ist. Es ist ein regulärer iptable Filter. Dies ist ein Setup-Beispiel, bei dem kein Zugriff auf das lokale Netzwerk erlaubt ist:

und:

The two DNS servers above belong to Google, and at least one national security agency has access to logging information. Don’t use them for anything else than banking. We also add -no-remote so we don’t end up by mistake in an already running “entertainment” browser.
Übersetzt:
Die beiden oben genannten DNS-Server gehören zu Google, und mindestens eine nationale Sicherheitsbehörde hat Zugriff auf die Protokollierungsinformationen. Verwenden Sie sie nicht für etwas anderes als Bankgeschäfte. Wir fügen auch -no-remote hinzu, damit wir nicht versehentlich in einem bereits laufenden "Entertainment" -Browser landen.

[schwedenmann]

Hallo


Und was bringt das jetzt, wenn die Bankseite gefakt, bzw. ein MITM-Atack stattfindet ?

Das ist m.M. das eigentliche Risiko, das von den Seiten aktiv dein System, Browser attakeirt wird, ist doch eher sehr unwahrscheinlich.

mfg
schwedenmann

[geier22]

Darum benutze ich dem Browser maximal für eine Abfrage des Kontostandes.
Alles andere (Überweisungen und halt sonstige Bankgeschäfte sind bei mir in einer VM mit Banking Programm / HBCI und Photo -Tan zu erledigen)
Vielleicht paranoid aber dafür sehr komfortabel.

Edit:

Und außerdem müsste der für das Banking gedachte Browser, der ja keinen Zugriff auf das lokale LAN hat und auch nicht an die /etc/hosts kommt und auch noch einen dedizierten DNS - Server benutzen muss sich ganz schön verbiegen
um das zustande zu bringen. Aber ausschließen will ich das nicht.

[TomL]

Und was bringt das jetzt, wenn die Bankseite gefakt, bzw. ein MITM-Atack stattfindet ?

Dazu müsste doch aber entweder die VM oder der Browser gehackt sein.... was bei einer reinen Banking-VM mit einem Browser ausschließlich für die Bank doch gar nicht passieren kann. In meiner VM ist dem Browser darüberhinaus via ublock origin quasi sowieso alles verboten, ausser der Bank für den Flickerkram.
* * 1p-script block
* * 3p block
* * 3p-frame block
* * 3p-script block
* * image block
* * inline-script block
Mit dem Browser irgendwas anzusurfen ist sowas von nervig, weil wirklich außer der Bank gar nix ordentlich funktioniert. MITM könnte also nur noch durch meinen DSL-Provider passieren... aber dagegen ist eh nix mehr zu machen.

[geier22]

Wäre mal interessant zu erfahren ob der "man in the middle" auch bei dem HBCI- Verfahren etabliert werden kann, Gehört oder gelesen hab ich jedenfalls davon noch nichts.

[uname]

ob der "man in the middle" auch

Selbst beim webbasierten Internet-Banking gibt es keinen "man in the middle" mehr. Liegt weniger an TLS/SSL als an den heutigen Banking-Verfahren, die diesen gar nicht mehr ermöglichen.

https://de.wikipedia.org/wiki/Man-in-the-Browser

[geier22]

Auch von:
https://de.wikipedia.org/wiki/Man-in-the-Browser

Der Man-in-the-Browser-Angriff ist eine Sonderform des Man-in-the-middle-Angriffs.[1]

Warum soll es z.B. in öffentlichen WLAN Netzen keinen MitM-Angriff mehr geben können? Ist doch das, was heute die Smartphone Jünger ausgiebig nutzen. O.k. hat mit dem hier Besprochenen weniger zu tun
und von hier:
https://de.wikipedia.org/wiki/Man-in-th ... 3.9Fnahmen

Sonst kann z. B. ein Angreifer bei einer verschlüsselten Verbindung beiden Opfern falsche Schlüssel vortäuschen und somit auch den Datenverkehr mitlesen. Dem Grundsatz dieser Form der Geheimhaltung entspricht in jedem Fall dem HBCI-Standard.

Wenn ich das richtig verstehe, schützt nur HBCI vor solchen Angriffen. HBCI ist aber im Browser nicht vorhanden?
Bzw. nur über die Kombination Browser Plugin + Secoder

[uname]

Beim Internet-Banking sind MitM-Angriffe z.B. im WLAN unmöglich. Erst mal ist die Verbindung TLS/SSL verschlüsselt. Und selbst wenn mitgelesen oder manipuliert hast nur du als Anwender das Werkzeug um eine gültige TAN zu ermitteln. Es ist nur wichtig das Banking-Verfahren zu verstehen und korrekt anzuwenden. Windows oder Linux, Verschlüsselung, Internetcafe usw. ist egal.

[Lord_Carlos]

Was hilft es wenn man beim Online Banking eine andere MAC und intern IP hat als beim "normalen" surfen?

von Hier:
https://firejail.wordpress.com/document ... fox-guide/

Dein erstes Zitat erklaert was --netfilter macht.
Dein zweites Zitat erklaert wem 8.8.8.8 gehoert.

Ich wollte eigentlich wissen inwieweit es einem hilft wenn man nun eine andere MAC oder interne IP hat. Wie oder wer das implementiert ist mir erstmal egal.

[MSfree]

Ich wollte eigentlich wissen inwieweit es einem hilft wenn man nun eine andere MAC oder interne IP hat.

Wozu soll das gut sein? Mehr als ein bißchen Anonymisierung bringt das nicht. Schadsoftware hält das jedenfalls nicht davon ab, ihr Werk zu tun. Und wer Schadsoftware auf dem Bankingrechner bzw. der BankingVM hat, hat ganz andere Probleme als Anonymisierung.

Beim Onlinebanking muß man sich gegenüber der Bank namentlich anmelden, man ist also alles andere als anonym. MAC und IP zu anonymisieren, ist also sinnlos.

[Lord_Carlos]

Ich glaube ich habe mich bei Geiers Beitrag verlesen. Also meine Frage einfach ignorieren bitte.
Danke

[uname]

Ob sich eine Firefox-Sandbox lohnt? Internet-Banking-Trojaner werden doch sowieso nur für Windows geschrieben

[guennid]

Ich mache zugegebenermaßen wenig online-banking - eigentlich nichts als Überweisungen tätigen. Nach allem, was mir bisher bekannt geworden ist, ist es bisher nicht möglich, das TAN-Verfahren via separatem TAN-Generator zu knacken. Vorausgesetzt, der Nutzer prüft seine Beträge und die Empfänger-IBAN bevor er "Geld ausgibt". Sollte ich da gut informiert sein: Warum wird das hier nicht erwähnt?

Grüße, Günther

[geier22]

Soweit ich deine Frage verstehe: Es bring meiner Ansicht nach mehr Sicherheit:

Zur IP:

Dies ist ein Setup-Beispiel, bei dem kein Zugriff auf das lokale Netzwerk erlaubt ist:

DNS Server:
Der Google DNS-Server gilt als relativ Manipulations - sicher:
Aus: https://www.golem.de/news/dns-ueber-tls ... 30827.html

DNS-über-TLS ist bereits von der IETF in einem RFC (7858) beschrieben und versieht entsprechende Anfragen mit einer TLS-Transportverschlüsselung. Das bringt Nutzern den Vorteil, dass auch der Internetserviceprovider (ISP) keine Detailinformationen zu der Anfrage mehr bekommt, sondern lediglich sieht, dass ein Nutzer etwa Googles DNS-Server 8.8.8.8 anfragt. Eine vollständige Anonymisierung ist damit natürlich nicht verbunden.
Anfragen werden über Port 853 verschlüsselt abgewickelt

Im RFC wird beschrieben, dass DNS-Anfragen in einem solchen Fall über TCP-Port 853 gesichert übertragen werden. Bislang existieren wenige funktionierende Implementierungen des Standards. Ausnahmen sind der DNS-Privacy-Daemon Stubby und Googles eigene DNS-Resolver.

Die Abwicklung von DNS-Anfragen über TLS hat nicht nur Auswirkungen auf den Datenschutz. So kann auch eine Manipulation der Anfragen über einen Man-In-The-Middle-Angriff ausgeschlossen oder zumindest erschwert werden. Vorherige Versuche, DNS-Abfragen gegen Manipulationen abzusichern, wie etwa DNSSEC, werden seit Jahren kritisiert. Systemd-Entwickler Lennart Poettering hatte das Protokoll als "Scheiße" bezeichnet.

[uname]

Vorausgesetzt, der Nutzer prüft seine Beträge und die Empfänger-IBAN bevor er "Geld ausgibt". Sollte ich da gut informiert sein: Warum wird das hier nicht erwähnt?

Weil der Anwender lieber versucht sein System abzusichern als das Banking-Verfahren zu verstehen. Wäre doch viel zu einfach. Auch könnte man dann ja gefahrlos Windows inkl. Trojaner verwenden, Das Verstehen der Anwendung entspräche einer Trojaner-Erkennung durch den Anwender.

Soweit ich deine Frage verstehe: Es bring meiner Ansicht nach mehr Sicherheit:

Mehr Sicherheit als sowieso schon vollkommen sicher? Wie soll das gehen?

[geier22]

Ich mache zugegebenermaßen wenig online-banking - eigentlich nichts als Überweisungen tätigen. Nach allem, was mir bisher bekannt geworden ist, ist es bisher nicht möglich, das TAN-Verfahren via separatem TAN-Generator zu knacken. Vorausgesetzt, der Nutzer prüft seine Beträge und die Empfänger-IBAN bevor er "Geld ausgibt". Sollte ich da gut informiert sein: Warum wird das hier nicht erwähnt?

Doch hab ich gemacht:

Darum benutze ich dem Browser maximal für eine Abfrage des Kontostandes.
Alles andere (Überweisungen und halt sonstige Bankgeschäfte sind bei mir in einer VM mit Banking Programm / HBCI und Photo -Tan zu erledigen)
Vielleicht paranoid aber dafür sehr komfortabel.

und:

Wenn ich das richtig verstehe, schützt nur HBCI vor solchen Angriffen. HBCI ist aber im Browser nicht vorhanden?
Bzw. nur über die Kombination Browser Plugin + Secoder

Mehr Sicherheit als sowieso schon vollkommen sicher?

Na eben Paranoid
Aber es kostet doch nichts zusätzlich außer ein paar Zeilen schreiben und wird zu Verfügung gestellt. Warum soll man es also nicht nutzen ???

[guennid]

Alles andere (Überweisungen und halt sonstige Bankgeschäfte sind bei mir in einer VM mit Banking Programm / HBCI und Photo -Tan zu erledigen)

Ich nehme nal an, dass deine Photo - Tan das ist, was ich mit "separatem TAN-Generator" bezeichne. Insofern erwähnst du es im Zusammenhang mit ein paar anderen Dingen, deren Relevanz ich in dem Zusammenhang nicht nachvollziehen kann. Aber wie gesagt, außer Überweisungen läuft da bei mir eh nix.

[uname]

@guennid

Den Photo -Tan - Generator musst du nicht in irgendwelchen sicheren VMs oder unter Linux verwenden. Du musst ihn nur richtig verwenden. Siehe dein Zitat oben:

Vorausgesetzt, der Nutzer prüft seine Beträge und die Empfänger-IBAN bevor er "Geld ausgibt".

Wird gerne falsch geschrieben bzw. erklärt. Erster Treffer:

Im Display erscheinen nun die Überweisungsdaten, die nochmals überprüft werden können, sowie eine TAN, mit der nach Eingabe in den PC die Transaktion abgeschlossen werden kann.

Auch hier steht fehlerhaft können und nicht müssen. Wer hier echte (manipulierte) Daten fälschlicherweise bestätigt, überweist echtes Geld falsch. Dieses müssen ist wichtiger als ein sicheres Betriebssystem oder eine SSL-Verschlüsselung, da die Betrugsfälle darauf basieren müssen und nur so überhaupt möglich sind.

[justme2h]

Nach allem, was mir bisher bekannt geworden ist, ist es bisher nicht möglich, das TAN-Verfahren via separatem TAN-Generator zu knacken.

TAN-Generatoren gelten aktuell als sicher, das ist richtig. Trotzdem sollte man seinen Rechner/Client/Browser/whatever absichern und Online-Banking allgemein nur in einer vertrauenswürdigen Umgebung betreiben. Ein Internetcafe gehört definitiv nicht dazu! Warum? Aus mindestens zwei Gründen.

Beim Online Banking gibt es bewusst zwei Hürden, die ein Angreifer überwinden muss: deine persönlichen Zugangsdaten und ein TAN Verfahren. Die eine Hürde aufzugeben und sich komplett auf die andere zu verlassen, ist nicht Sinn der Sache! Genau das machst du aber, wenn du z.B. fahrlässig deine Zugangsdaten an einem fremden Rechner (Internetcafe) eingibst. TAN-Generatoren gelten heute als sicher, aber wie lange noch? mTANs (auch SMS-TAN genannt) galten auch jahrelang als sicher und mittlerweile ist das Verfahren geknackt. Oder zumindest gab es schon Fälle, bei denen Kriminelle ihren Opfern trotz mTAN-Verfahren Geld stehlen konnten. Mache es Angreifern daher so schwer wie möglich und verlasse dich nicht alleine auf ein Sicherheitsmechanismus. Halte deine Zugansdaten geheim und nutze ein als sicher geltendes TAN-Verfahren. Zu ersterem gehört nunmal eine sichere Umgebung (Betriebssystem/Browser usw).

TAN-Verfahren schützen "nur" Transaktionen. Das ist natürlich sehr wichtig. Ich persönlich hätte aber bereits ein Problem damit, wenn jemand Zugang zu meinem Online Bereich hat, auch ohne mir Geld zu klauen. Um meine Kontoverbindungen, mein Gehalt, meine finanziellen Angelegenheiten im Allgemeinen auszukundschaften muss ein Angreifer keine TAN-Verfahren brechen. Meine Zugansdaten reichen aus. Ein weiterer Grund, warum man diese schützen sollte.

[guennid]

Tja, da bin ich jetzt etwas sprachlos.

[geier22]

Ich möchte das noch erweitern:
Auch das Photo TAN Verfahren ist nur halbwegs sicher am Heimischen PC mit separaten TAN - Generator.
Smartphones sollten absolut tabu sein, auch wenn es von vielen Banken beworben wird:
https://www.heise.de/security/meldung/P ... 53401.html
Für mich gilt: Ich benutze alle für mich anwendbaren Möglichkeiten, auch wenn das manchem paranoid erscheint.
Die Anwendung von firejail kostet nix und ist in der Handhabung leicht und beim Anwenden nicht merkbar.
warum soll ich es also nicht für Sicherheitskritische Anwendungen benutzen ?
Nur weil man meint Linux ist aufgrund seiner Verbreitung kein lohnendes Ziel für Kriminelle und Hacker ???
Dei Anwendung eines Banking Programms in einer VM unter Linux erhöht für mich den Komfort ungemein. Ich habe
über Jahre Überblick über meine Konten, kann Auswertungen machen, und vieles mehr und benutze das z.Z sicherste Verfahren mit der Bank zu kommunizieren. Kostet was - aber das ist es mir wert.
Ich benutze ALF-BanCo, das kostet zuerst ganze 24 Euronien update dann nur noch ca 12 Euro.
Ist es das wert ? Mir ja. Wenn kmymoney in Verbindung mitaqbanking-tools irgendwann auch mit meiner Bank vernünftig arbeitet werde ich eventuell umsteigen aber auch in einer VM.
Eine täglich aktuelle Übersicht von (gefundenen) Sicherheitslücken gibt es hier:
https://www.cert-bund.de/overview/AdvisoryShort
https://www.cert-bund.de/wid-vendors

[Houbey]

Hallo Debianer,

ich möchte mich nun noch einmal für alle Antworten von euch bedanken. Ich habe nicht damit gerechnet, dass es so viele Antworten in meinem Beitrag geben wird und das freut mich doch sehr. Ich werde auf jedenfall die von geier22 beschriebene Methode mit dem firejail notieren und wenn es soweit ist, bei dem Bruder meines Kumpels einrichten. Ich denke mal, das ich dieses Verfahren bei mir vorab am Rechner einrichten und testen werde. Es sind ja einige Vorschläge von euch gekommen und dafür nochmals vielen Dank.

Ich möchte auch nicht, dass es hier Streit und sowas gibt, aber so viele Antworten mit Meinungen und Ansichten freut es mich zu wissen, was es überhaupt für Möglichkeiten gibt und wie andere Debianer es bei sich handhaben.

Ein schönes Wochenende euch allen.

[KP97]

Wenn kmymoney in Verbindung mitaqbanking-tools irgendwann auch mit meiner Bank vernünftig arbeitet werde ich eventuell umsteigen aber auch in einer VM.

Ich hatte vor kurzem mal spaßeshalber Kmymoney mit aqbanking ausprobiert und war sehr überrascht, daß ich meine Bankverbindung mit Kartenleser und Chipkarte problemlos einrichten konnte.
Das hatte noch nie vorher funktioniert.
Ich nutze Debian Sid mit Hibiscus, das mir allerdings lieber ist. Kmymoney war mir dermaßen mit Menüs überladen, hat mir nicht gefallen, aber das ist ja eine Geschmacksfrage.
Bank ist die 1822, Kartenleser ein Cyberjack und die Karte ist eine DDV.

[geier22]

Hibiscus und Moneyplex habe ich auch schon getestet. Für Moneyplex habe ich ärgerlicher Weise auch noch was bezahlt.
Bei beiden ist die Grafik dermaßen miserabel ( 30 Zoll Bildschirm mit 2.560 x 1.600) das die Ausgabe praktisch nicht lesbar bzw. zu bearbeiten war. Bei Hibiscus war auch noch das Fremdwährungs- und Umbuchungsproblem nicht gelöst, oder sollte gar nicht gelöst werden.
Besonders bei Moneyplex grenzt das schon an eine Unverschämtheit, für eine nicht skalierbare Grafik- Ausgabe auch noch Geld zu nehmen.
Bei der Comdirect Bank gibt es das Secoder - Verfahren leider nicht. und ich bin auf das PhotoTan - Verfahren angewiesen, Zumindest vor einem Jahr funktionierte das mit Aqbanking / Kmymoney nicht.
So liegt mein schon in die Jahre gekommener Cyberjack jetzt tatenlos rum. Es war damals aber auch ein Akt von Hochleistungsartistik das Ding unter Linux überhaupt zu laufen zu bekommen.
Alles zusammen genommen habe ich mich dann entschieden, doch noch eine VM mit Windows dafür aufzusetzen. Irgendwie ärgerlich, so habe ich für zwei lausige Windows- Programme zwei VM's am laufen. Denn das sind die einzigen Programme, die ich halt wirklich nicht vermissen möchte, und wo ich z.Z keine gleichwertige Alternative sehe.
Fall 2 ist newsleecher