pc-Sicherheit? Bin verunsichert. Windows-Ubuntu

[dec.fx]

Ich war jahrelang ausschließlich windowsuser (von Win95 bis Win7 alles mitgemacht).
Irgendwie hab ich unter Windows kein gutes Gefühl, was meine Sicherheit angeht - gerade, wenn ich Tools wie KeePass benutze und dort eine Menge Passwörter verwalte, onlineBanking mache oder mal wieder bei einer Bestellung meine Kreditkartennummer angebe.

Vor ca. 2 Monaten habe ich mir parallel zu Windows Ubuntu installiert. Tagsüber für Officeangelegenheiten, zum surfen und alles andere habe ich Ubuntu benutzt, Windows nur noch zum Gamen. Inzwischen habe ich mir unter Ubuntu aber auch schon mehrfach Software aus unbekannten Quellen installiert (weil ich auf die funktionierende Software angewiesen war) und habe dabei als LinuxNoobie nun garkeinen Überblick, was mit meinem System passiert. Sicher fühle ich mich unter Ubuntu also auch nicht.

Ich weiß nun echt nicht, was ich an geschicktesten machen soll, um mit einem guten Gefühl onlineBanking und Passwortverwaltung sämtlicher Seiten zu bewerkstelligen.

Wieder Windows nutzen und Linux in einer virtuellen Maschine? so dass ich unter Windows meine (vermisste) Software nutzen kann und im Fenster unter Linux meine security-Angelegenheiten kläre? oder irgendeine superFirewall + Virenscanner installieren und mit Windows weiterleben? oder in Linux weiter reinfuchsen??

Auf irgendein Patentrezept kann ich wohl nicht hoffen (ist vermutlich eine zu allgemeine Problemstellung) aber vielleicht kommt ja irgendetwas brauchbares für mich in einer Diskussion rum?

 

[Nachricht von S]

Die Chip und die CT haben ein Linux für die Installation auf einem USB Stick zur Nutzung fürs Onlinebanking online zur Verfügung gestellt. Nimm eines davon.

Das richtest du dir unter ner VMWare ein und konfigurierst einmalig für den Gebrauch fürs Onlinebanking.

Dann stellst du mittels VMWareconsole die Platte für dieses System unter INDEPENDENT MODE auf PERSISTENT. Damit bleibt der "Inhalt" dieser VMWare, wie du ihn konfiguriert und zuletzt "abgespeichert" sprich verlassen, hast. Sollte sich dann während einer Sitzung im iNet ein Virus einschleichen, was ziemlich unwahrscheinlich ist, da dein Router ja auch noch ne Firewall hat (UND, es gibt KEINE Superfirewall....russischer Mathematiker hat schon vor einigen Jahren mittels einer kleinen EXE SEHR eindrucksvoll demonstriert, wie sich JEDE Firewall innerhalb von SEKUNDEN abschalten und deaktivieren lässt....!!!), ist dieser Virus spätestens nach dem reboot der VMWare...weg....;-)......und muss es wieder versuchen, sich zu insten.....unter Linux durch die Firewall......

Für die Kennwortklamotte....ich selbst nutze ebenfalls Keepass.....und habe damit keinerlei schlechtes Gefühl. Wobei ich dafür natürlich auch nicht allzeit einstehe, da ich die Typen, die dahinter stehen, noch nie gesehen habe und nicht weiß, ob die sich den Swimmingpool nicht auch vom NSA sponsoren lassen....:WINK!:.....

Absolute Sicherheit bedeutet: OFFLINE IN SEINEN EIGENEN VIER WÄNDEN OHNE JEGLICHEN DATENVERKEHR, WIE AUCH IMMER GEARTET!

Alles andere: Es wird "natürlich" immer irgendwo ein Prozent oder mehr "Unsicherheit" mitschwimmen....allerdings....wenn das deine einzigsten Sorgen sind....denk mal an Dein Google oder Applehandy.....die IP-TV-Box.....dein DSL-Modem......an all jene, die deine Daten längst vollumfänglich haben wie Banken, Versicherungen, Behörden! Meinst du nicht, das es sich für Hacker, die es auf DEINE Daten speziell abgesehen haben, leichter wäre, dort was zu versuchen?

Oder kurz: Fang nicht drüber an nachzudenken, was mit deinen Daten alles passieren könnte....denn es ist schon längst passiert! <-----SO, und nun lehne dich zurück und genieß die Botenstoffe, lächle und...machs auch so....

 

[dammi]

Du kannst Dich nicht komplett gegen außen abschotten, das geht nur in dem Du den Stecker ziehst, nichts installierst und auch keine externen Geräte anschliesst.

Mit dem "unguten Gefühl" wirst Du wohl oder übel leben müssen.

Das Problem ist, dass Du einen Kompromiss aus Sicherheit und effizientem arbeiten/bedienen finden musst, und das geht definitiv nicht mit einer "superFirewall" + 4 Virenscanner + 2 Internet Security Suites.

Wenn Du kein KeePass benutzen möchtest, merk Dir Deine Passwörter oder schreib Sie auf einen Zettel und verstecke diesen im Safe

Die Lösung, die Dir dein System nicht komplett lahmlegt ist immernoch:
- aktuellste Windowsversion
- ein Virenscanner der Dich und die Leistung des Systems nicht beeinträchtigt (kostenlos und nicht schlecht: Microsoft Security Essentials)
- "brain.exe", also wissen was man anklickt, auf "komische" Links achten (gerade beim OnlineBanking) um stupide Phisingattacken selbst und frühzeitig zu erkennen
- Firewall ? Heutzutage hängt sogut wie jeder hinter einem Router, das ist das Grundgerust an Firewall was man braucht.

Und mit dem Rest musst Du klar kommen, oder eben nicht.
Ein Restrisiko bleibt immer.

Alternativ kannst Du Dich auch mit Sicherheitssuites und was es da noch alles gibt zubomben und regst Dich am End darüber auf, dass es doch ein Wurm auf Dein System geschafft hat :-) (Und davor über das unglaublich langsame Windows!)

 

[Marv82]

Nun, um Deine Paranoia in den Griff zu bekommen, hast mehrere Möglichkeiten:

- keine finanziellen Transaktionen übers Netz
- die Software aus "unbekannten Quellen" selber aus dem Original-Quelltext kompilieren
- Software aus unbekannten Quellen in einer Virtuellen Maschine installieren (mit Host und Client als Linux-System)
- grundsätzlich den Netzwerkstecker ziehen

Ich benutze selber bereits seit über 10 Jahren Linux als Erstsystem. Ich lege niemals wichtige oder sensible Daten auf meinem Windowsrechner ab. In den 10 Jahren ohne Windows bin ich damit hervorragend gefahren. Keine Datenverluste, keine Spyware .... ich genieße seitdem Frieden mit meinen Daten aller Art.

 

[aleister]

Ich nehme für Banking,E-Mail ,Ubuntu in einer VM.Damit mache ich nichts anderes.Sollte eigentlich ziemlich sicher sein.Mit Windows mache ich keine wichtigen Sachen mehr.

 

[l1n00x]

Ist das Host-System (Windows) infiziert, kann einfach die Verbindung, die ja über den Netzwerkadapter geleitet wird, abgehört werden... Daher ist diese Art der "Sicherheit" wirklich fragwürdig.

Welche Pakete hast du denn aus welchen Quellen installiert?

 

[Lokiboy]

Du kannst die Chance auf eine Infektion nur verringern, aber niemals verhindern, außer du surfst offline !

 

[l1n00x]

@Lokiboy:
Offline surfen? wtf?


Ansonsten kannst du auch eine (schlanke) Linux-Distribution auf einen Stick installieren und damit surfen und alle sensiblen Aktionen durchführen. Der Nachteil besteht dann doch leider in der niedrigeren Performance.

 

[Kein Plan]

Man kann:
>Eine Live-CD benutzen, damit hat man immer ein sauberes System.
>Ein zweites Linux installieren, das du ausschließlich für "sicherheitsrelevante Sachen" verwendest. Wenn du auf die Website deiner Bank gehst, ist es nur extrem unwahrscheinlich, dass du ausgerechnet dort ein Virus einfängst und dann auch noch eins für Linux - fast ausgeschlossen. Und wenn du mit diesem Zweiten Linux also nur sichere Websites ansurfst gibts meiner Meinung nach kein Problem.

Ein Windows Gast in einer VM zu starten macht noch Sinn wegen versch. Programme aber eine VM auf einem unsicheren Host ist nicht wirklich hilfreich. Du kannst ein Windows schützen indem du mit einer VM surfst, weil ein Trojaner/Virus nur schwer bzw gar nicht aus der VM ausbrechen wird aber umgekehrt ist es Unsinn.

 

[l1n00x]

Die Schwachstelle ist nicht das Betriebssystem sondern der Browser. Es ist sehr unwahrscheinlich, dass du dir einen Keylogger oder Trojaner für Linux einfängst, da du a) aus gpg-gesicherten Quellen installierst und b) es von dieser Art Software für Linux weitaus weniger als für Windows gibt. Der Browser lässt sich hingegegen deutlich leichter manipulieren. Der Weg ist hier auch ein direkterer.

Die Idee mit der Live-CD ist natürlich die sicherste aber auch mit Abstand langsamste Methode. Ein weiteres Problem ist, dass die Software auf der CD mit der Zeit veraltet und du für maximale Sicherheit dann immer eine neue CD erstellen müsstest.

Ich würde mir an deiner Stelle allerdings auch nicht allzu viele Gedanken darüber machen. Wie viele Leute nutzen Windows und Internetbanking und wievile davon werden ausgenommen? Mit dem Linux-System hast du es schon sehr sicher. Das Installieren aus unbekannten Quellen solltest du allerdings unterlassen. Informier dich vorher immer über die Vertrauenswürdigkeit.

 

[dec.fx]

wow, da kam ja innerhalb kürzester Zeit einiges zusammen
und in den meisten Beiträgen wurde die Option: Netzstecker ziehen erwähnt nein, das ist ein NoGo für mich und Performance ist mir auch wichtig!

@Nachricht von S:
die Möglichkeit von dir (Linux in der VMWare mit den genannten Optionen) klingt erstmal sehr interessant. Werde ich mir näher anschauen.

@dammi:
brain.exe hab ich schon installiert
ansonsten hab ich unter Windows auch Microsoft Security Essentials am laufen und fand es performance-technisch gut

@Marv82:
ja, selber kompilieren und so... als UbuntuNewbie während der ersten Gehversuche erstmal schwierig. Aber ich denke damit werde ich mich auch noch auseinandersetzen

@l1n00x:
bedeutet das, dass sobald Windows infiziert ist, ist es egal ob ich aus eine VM heruas operiere oder nicht, da alles über den gleichen Netzwerkadaper läuft und abgehört werden kann??
welce Pakete ich aus unbekannten Quellen installiert habe, kann ich heute nicht mehr nachvollziehen; Es sind meine ersten Gehversuche unter Ubuntu und ich habe versucht meinen Touchscreen zum laufen zu bekommen (mit Hilfe von Foren - sicherlich etwas naiv einige Befehle in der Konsole ausgeführt....)

Danke für die vielen Beiträge

 

[l1n00x]

Es läuft ja alles über den in deinem PC verbauten Adapter. Dieser wird im letzten Stück von Windows verwaltet. Technisch ist es also möglich, diesen abzuhören (wie in allen anderen Fällen auch). Über Wahrscheinlichkeiten gebe ich hier mal keine Vermutungen ab

Hast du eine externe Platte, die groß genug ist, deine Linux-Partition(en) aufzunehmen? Dann könntest du mittels einer Live-CD diese sichern (z.B. mittels dd (Abschnitt: "Image einer Partition sichern")). Ansonsten sicher nur die entsprechenden Config-Dateien, sodass du sie nach einer Neuinstallation schnell zur Hand hast. Dann setze Ubuntu einfach noch mal neu auf. Dann hast du ein sauberes System. Oder du probierst dich mal an den oben genannten Alternativen. Der Weg mit der Live-CD ist sicherlich der einfachste und einzige, welcher keine Spuren hinterlässt, sich also einfach wieder "rückgängig" durch Entfernen der Live-CD machen lässt. Empfehlen kann ich dir da z.B. grml: http://grml.org/download/ --> Dort nimmst du einfach den ersten Link (den 2. für 64Bit). Leichter und schneller sollte es jedoch mit der Aptosid-CD gehen: http://aptosid.com/index.php?module=Content&func=view&pid=2.

PS: Hat Ubuntu eine Live-CD, die für sowas geeignet ist? Dann kannst du der Einfachheit halber auch die nehmen.

 

[dec.fx]

also ich baue mir in den nächsten Tagen einen neuen Rechner zusammen.
Dann werde ich es ähnlich machen, wie ich es bislang gemacht habe:

ich installiere mir Windows7 (ausschließlich zum Gamen) und parallel dazu Ubuntu - allerdings werde ich unter Ubuntu nur noch vertrauenswürdige Quellen zur Installation meiner Anwendungen heranziehen (oder alternativ selbst kompilieren) und KeePass weiterverwenden!!!

Für die Uni brauche ich ab und zu Programme, die nur unter Windows laufen. Diese Programme brauchen allerdings nicht so viel Rechenleistung, so dass ich mir unter Ubuntu in einer VirtualBox Windows XP intsalliere um dort die (alten) Uni-Programme (XilinxISE, ModelSIM, PSpice, MicrosoftVisualC) zu nutzen; alles andere für die Uni läuft auch unter Ubuntu. (ich bekomme alle möglichen Windows-Lizenzen über die Uni kostenlos)

Bislang hatte ich sämtliche Daten (Dokumente, Bilder, Musik etc) auf der Windows NTFS-Partition und habe unter Ubuntu darauf zugegriffen. Ich denke das sollte ich in Zukunft dann auch nicht mehr so tun, sondern die Daten nur noch unter Ubutnu zur Verfügung haben!??!? -und Windows7 wirklich NUR zum Spielen benutzen (also gar keine "Daten" mehr unter Windows als Host zur Verfügung habe).

Virenscanner unter Ubuntu überflüssig?

Wird das dann so ganz gut passen mit möglichst geringen Perfomanceeinbußen?

 

[l1n00x]

Sieht nach einem guten Plan aus. Die Daten kannst du ruhig weiterhin über die NTFS-Partition sharen. Windowsviren sind unter Linux unwirksam. Virenscanner für Linux brauchst du nicht.

 

[dec.fx]

okay. hast du noch einen Tipp, wie ich meine (zukünftige) 1TB-Festplatte dann sinnvoll partitioniere?
Also dann habe ich auf der Windows7-Host-NTFS-Partition alle Daten (Filme, Bilder, Dokumente etc) und unter Ubuntu-Host lediglich die alltäglichen Anwendungen + XP in der VM (inklusive der paar Programme) und greife aus XP und Ubuntu auf die NTFS-Partition zu.

 

[l1n00x]

Ganz simpel kannst du es machen, indem du einfach eine Windows- und eine Ubuntu-Partition (+ Swap) erstellst. Ich habs bei mir allerdings so gemacht:
sda1: root
sda2: home
sda3: swap
sda4: Windows 7

Nimm am besten so 12 .. 14 GiB für die root-Partition. Da du kaum was in dein home legst, sollten da wohl 10GiB dafür locker reichen. Wenn du nur eine Partion+Swap für Ubuntu nimmst, dann sollten 20 GiB sicher reichen. Der meiste Speicherplatz wird für die Programme draufgehen. So sparst du dir Speicherplatz (Platzbedarf für das Dateisystem für Linux besteht nur bei einer Partition (root) und nicht für 2 (root+home)) und hast es ein wenig dynamischer, solltest du für home oder root doch ein wenig mehr brauchen als eine der Partitionen hergibt.

PS:
Deine Daten verden beim Online-Banking immer verschlüsselt. Selbst wenn jemand deine Verbindung anzapft, muss er immer noch die Verschlüsselung knacken.

 

[Lokiboy]

@Lokiboy:
Offline surfen? wtf?

:-) war ironisch gemeint

 

[dec.fx]

werde die Ubuntu-Partition etwas größer machen, da ja noch XP in der VM integriert ist. Genaue Größen kann ich mir dann selber noch überlegen (war gestern schon spät und ich konnte nicht mehr ganz klar denken...)

btw: gibt es inzwischen eigentlich eine Möglichkeit unter Ubuntu in der VM das gleiche Windows zu benutzen, von dem ich auch als Host booten kann? Also mit dem selben Dateisystem etc.
hatte bislang einfach nur die Ordner des Host-Windows in dem virtuellen Windows zugänglich gemacht - schien mir aber nicht so optimal, gerade weil manche Programme gemeckert haben, wenn sie direkt in diese gemeinsamen Ordner speichern/lesen sollten.

 

[Masamune2]

Online Banking bekommst du sicher indem du ein Tan Verfahren nutzt bei dem dir auf einem externen Lesegerät die Kontonummer und der Betrag angezeigt werden und dann erst die TAN. Das System gilt bisher als sicher.

Ähnliches gilt wenn bald mehr Shops auf den neuen Perso setzen und du einen solchen besitzt. Aber bitte auch hier NUR mit besserem Lesegerät bei dem die PIN über ein externes Tastenfeld eingegeben wird. Die Basis Leser die unsere Regierung verschenkt bieten nicht dieses Maß an Sicherheit.

 

[enteon]

was Masamune2 sagt gilt nur für lesegeräte der klasse 3 mit tastatur, display UND jemandem der auch draufschaut wohin die überweisung geht.

aber linux ansich verhindert schon 99,9% der wahrscheinlichen angriffsvektoren auf dein erspartes und sonstiges. allerdings nur wenn es nativ läuft. online-banking unter windows in einer linux-vm ist reichlich schwachsinnig. selbst andersrum ist es noch eine gefahr, da viren aus der vm ausbrechen können. ein konkreter fall ist mir aber nicht bekannt.
es ist zwar schon vorgekommen dass verseuchte pakete in offizielle repositories gelandet sind, aber die wahrscheinlichkeit ist doch sehr sehr viel geringer als bei windows auf einen falschen link zu klicken. also ist linux aus rein offiziellen (und "großen", also viel benutzen und bekannten) repositoreis praktisch so sicher wie software nur sein kann, also nur so sicher soviel der keylogger in der tastatur noch speicher hat

trotzdem funktionieren viele lauschangriffe auf browser weiterhin, da die auch bloß die selben techniken benutzen wie unter windows.