Ubuntu für Onlinebanking nutzen

[Crys]

Spoiler: Hintergrund

Meine Eltern sind um die Online Sicherheit besorgt, besonders seit gestern früh mein Bruder was mit seiner Kreditkarte bezahlt hat. Denn wenige Stunden später kam ein Anruf der Bank das seine Daten vermutlich abgefangen wurden, denn eine Transaktion aus Russland ist eingegangen, ob das korrekt sei!? Natürlich nicht, also gleich die Karte gesperrt.
Meine Eltern glaubten auch noch, dass wenn man die Onlinebanking Daten per Bildschirmtastatur eingibt und im Browser im Privatenmodus wechselt, dass man dann ganz sicher sei ... hab ihnen eines Besseren belehrt.

... kurzum: Ich möchte auf eine SD-Karte Ubuntu (12.04 x84) installieren, damit meine Eltern (und vielleicht auch andere) dort sicher Banktransaktionen online tätigen können.

Ich möchte eine SD-Karte nutzten, weil ich erst mal viele 1GB SD-Karten noch hier rum liegen habe. Dann haben die SD-Karten einen "lock" (Schreibschutz) Schalter, dadurch vor unbeabsichtigtes schreiben besser geschützt als ein USB-Stick. Eine HDD-Installation ist viel zu kompliziert, vor allem da es auf mehreren Geräten benötigt wird. Eine Boot-CD finde ich zu unflexible, weil man gar keine Änderungen am OS durchführen kann (dazu später mehr) und nicht alle Geräte haben ein CD-Laufwerk (mehr).

Das Ubuntu möchte ich in soweit modifizieren, dass erst mal alle Geräte unterstützt werden (4 Geräte, mit unterschiedlicher Architektur und unterschiedlichen WLAN-Adaptern). Dann müssen unsere WLAN-Daten auch voreingestellt sein (da sonst nutzlos, meine Eltern bekommen das eh nicht hin).

Wie man Ubuntu auf ne SD-Karte bekommt weiß ich (hat ja ne usb-creator.exe), wie installiere ich es aber so, das es von jedem der vier Geräte gebootet werden kann und auch die Geräte komplett erkannt werden?
Dann möchte ich, dass wenn ich (ohne lock) boote Ubuntu- und FF- Sicherheitsupdates installieren kann. Das es also mit lock als Live-System bootet und ohne alle SD-Karten Schreibrechte hat. Wie mache ich das?

 

[Labtec]

Könnte auch was für dich sein:
Sicheres Online-Banking mit Bankix - von der c't

c't Bankix ist ein Live-Linux-Betriebssystem, das speziell für sicheres Online-Banking konzipiert wurde und von CD oder USB-Stick arbeitet.

 

[b00nz]

Ubuntu auf SD installieren und diese installation soll dan kompatibel zu 4 Rechnern sein?
Das könnte schwierig werden, eine Installation ist ja was individuelles, der Haardware angepasstes. Ich denke Du müsstest da das LiveSystem an sich modifizieren, wodurch eben auch Updates recht kompliziert wären.

Ich sehe da auch keinen Vorteil gegenüber einer VM, eigentlich nur Nachteile.

 

[NullPointer]

Der Nachteil einer VM liegt zum Beispiel darin, dass ein Keylogger, der sich auf dem Wirtssystem eingenistet hat, genauso alle Eingaben, die an die VM gerichtet sind, mitlesen kann.

 

[Crys]

@ Labtec:
Danke, hab ich auch schon getestet. Aber da wurde schon zu viel verstellt.

@ b00nz:
Dann lass ich die OS Updates weg. Denn Stick von allen 4 Geräten zu starten ist auch kein Problem. Updates (zumindest vom FF) sind auch kein Problem. Nur wird die WLAN-Karte vom einen Laptop nicht erkannt und wenn vergisst den lock-Schalter an der Karte zu setzten, dann können auch meine Eltern unbeabsichtigt das OS modifizieren.

Ich sehe da auch keinen Vorteil gegenüber einer VM, eigentlich nur Nachteile.

Wieso das?
Wenn ich Ubuntu in Win als VM laufen lasse kann z.B. ein Keylooger alles aufzeichnen und sonstige Schadsoftware auf Win kann den Datentransfair abfangen. Beides ist bei meiner gebooteten Linux Dis nicht möglich. Ich bin ja kein Experte, aber das ist mein Erkenntnisstand.

 

[StuffedLion]

Was hat die Zahlung deines Bruder per Kreditkarte mit dem online banking deiner Eltern zu tun? Online Banking ist dank verschlüsselter Verbindung und TAN Nummern solange keine Fehler auf der Nuzerseite (Fishing) gemacht werden recht sicher.

Das ganze erscheint mir eine sehr unkomfortable (und dann eh nicht verwendete) Idee zu sein. Eine SD Karte ist i.A. auch nicht als starmedium geeignet, weil die performance bei kleinen Dateien extrem schlecht ist und es dann lange dauert, bis das system startet.

Wie wäre es mit einer Virtuellen Maschine und Linux dort fürs online banking?

Edit: Der Datentransfer ist beim obnlinebanking point to point verschlüsselt, da kann das Host-System mit den Datenpaketen genau gar nichts anfangen. Überhaupt sind die Angriffszenarien auf onlinebanking abseits vom fishing sehr eingeschränkt. Es geht ja nur, wenn ich den Nutzer auf eine andere Seite locke und das irgendwie verschleiere und dort die Zugangsdaten und TAN Nummern abfange ohne dass es der Nutzer merkt. Kreditkarten sind da viel eifnachere Ziele.

 

[TheBeastMaster]

Ubuntu auf SD installieren und diese installation soll dan kompatibel zu 4 Rechnern sein?
Das könnte schwierig werden, eine Installation ist ja was individuelles, der Haardware angepasstes. Ich denke Du müsstest da das LiveSystem an sich modifizieren, wodurch eben auch Updates recht kompliziert wären.

Sorry aber das ist bei Linux totaler quatsch. Linux bringt Treiber für zig verschiedene Hardware mit. Ein installiertes Ubuntu auf SD Karte sollte auf jedem Rechner booten dessen Hardware unterstützt wird ohne das du am Live System irgendwas modifizieren musst.

Ubuntu auf SD Karte installieren, danach von da Booten und Wlan Key eingeben. Anschließend SD Karte halt Kopieren (Partition auf neuen SD KArten mit Bootflag versehen) und verteilen.

Mehr ist das nicht. Die SD Karte wird auf allen Devices laufen, solange Ubuntu dafür Treiber im Kernel hat. (Das ist die Regel).

 

[Tunguska]

@ Labtec:
Danke, hab ich auch schon getestet. Aber da wurde schon zu viel verstellt.

Verstellt? Wie meinst du das genau?

Was hat die Zahlung deines Bruder per Kreditkarte mit dem online banking deiner Eltern zu tun? Online Banking ist dank verschlüsselter Verbindung und TAN Nummern solange keine Fehler auf der Nuzerseite (Fishing) gemacht werden recht sicher.

So siehts aus. Online-Banking ist in Deutschland schon deutlich sicherer geworden (auch wenn es - aus naheliegenden Gründen - keinen absoluten Schutz geben wird). Die Banken versenden die TAN`s online (zB. per SMS) mit einer Gültigkeit von 5 Minuten und nur genau zu der Aktion, die man gerade ausgeführt hat. Das System läßt sich nur aushebeln, wenn man dem "Täter" Zugang zu den relevanten Daten gewährt - aber dann bringt auch dein Live-Linux nichts mehr.

 

[b00nz]

Ich halte das auch für völlig überzogen, aber jedem das Seine.
Ich denke nicht das herkömmliche Schadsoftware das sehen kann, was in einer VM geschieht.
Die Eingaben werden ja abgefangen und isoliert. Solang man nicht explizit die kommunikation zwischen VM und Host erlaubt oder das Netzwerk nur überbrückt, sind die schon relativ sicher.
Natürlich ist ein LiveSystem potentiell sicherer.

@Beta
Wenn er es installiert macht es sowieso keinen sinn etwas am LiveSystem zu modifizieren.
Und nur weil Ubuntu eine breite Palette an HW unterstützt, heißt das noch lange nicht dass es nach einer installation noch auf verschiedener HW bootet. Kann, muss aber nicht.

 

[Crys]

Was hat die Zahlung deines Bruder per Kreditkarte mit dem online banking deiner Eltern zu tun? Online Banking ist dank verschlüsselter Verbindung und TAN Nummern solange keine Fehler auf der Nuzerseite (Fishing) gemacht werden recht sicher.

Man kann auch online banking mit der Kreditkarte machen
Es geht ja nur um die Übermittlung von irgendwelchen Bankdaten ...

Das ganze erscheint mir eine sehr unkomfortable (und dann eh nicht verwendete) Idee zu sein. Eine SD Karte ist i.A. auch nicht als starmedium geeignet, weil die performance bei kleinen Dateien extrem schlecht ist und es dann lange dauert, bis das system startet.

Die SD-Kartet bootet bei mir am PC in 30-40s. Das ist um weiten schneller als mein Win. Völlig akzeptabel.

Und nur weil Ubuntu eine breite Palette an HW unterstützt, heißt das noch lange nicht dass es nach einer installation noch auf verschiedener HW bootet. Kann, muss aber nicht.

Tut es aber ... hätte nicht gedacht das ihr euch darauf aufhängt. Es bootet von allen 4 Geräten ohne Probleme. Nur bei der einen WLAN-Karte macht der halt mätzchen.


Ich möchte einen Benutzer einrichten, der standardmäßig mit Ubuntu gestartet wird. Von dort soll man auf den Admin wechseln können der PW geschützt ist. Nur der Admin soll Mmodizikationsrechte an der SD-Karte haben.


Zum VM System:
So mache ich das auch schon seit Jahren. VirtualBox mit Ubuntu. Könnte ich natürlich auch auf den anderen Geräten einrichten. Ich bin halt selbst von der Sicherheit der VM nicht ganz überzeugt.

 

[Radde]

Was verschiedene Systeme betrifft ist Ubuntu wirklich extrem robust. Ich hab hier schon von einer einzigen Festplatte unter einem Desktop Athlon XP, einem mobilen C2D, einem Desktop i5, einem Desktop Athlon X3 und einem mobilen AMD C60 gebootet. Funktioniert völlig ohne Probleme.

Wegen dem Benutzer.
Setze einfach ein root-Passwort mit ausreichender Länge, aber gleichzeitig kein Nutzerpasswort. Damit bootet Ubuntu immer direkt auf den Desktop, Änderungen am System müssen aber immer mit dem rootPW genehmigt werden.

Die SD-Karte solltest du dir natürlich dann nicht klauen lassen.

 

[Crys]

Wegen dem Benutzer.
Setze einfach ein root-Passwort mit ausreichender Länge, aber gleichzeitig kein Nutzerpasswort. Damit bootet Ubuntu immer direkt auf den Desktop, Änderungen am System müssen aber immer mit dem rootPW genehmigt werden.

Ok, danke.
Der "Standard"-Benutzer hat aber trotzdem noch Rechte z.B. im FF Addons zu installieren. So was möchte ich auch verhindern.
Der Benutzer soll nur zugriff auf den FF haben, im Internet surfen, den FF nicht modifizieren (keine Chronik) und darf auch Dateien als pdf drucken.

Die SD-Karte solltest du dir natürlich dann nicht klauen lassen.

Klar, aber selbst wenn ist das nicht so tragisch. Es sollten ja nur die WLAN-Daten gespeichert sein. Sonst dürfte ja nichts relevantes auf den Stick sein.

 

[TheBeastMaster]

Das Eine System mit der nicht funktionierenden Wlan Karte einfach mit Ndiswrapper konfigurieren. Booten wird die Karte dennoch in allen 4 Systemen.

 

[Daaron]

Ubuntu auf SD installieren und diese installation soll dan kompatibel zu 4 Rechnern sein?
Das könnte schwierig werden, eine Installation ist ja was individuelles, der Haardware angepasstes.

Ach quark. Wir reden hier von Linux, nicht von Windows. Während Windows eine echt mickrige Treiber-Bibliothek selbst mitbringt, hat Linux alle relevanten Treiber (wirklich RIESIGE Massen, uralte bis brandneue Hardware) direkt im Kernel hardcoded. Windows kriegt ja schon ne Krise, wenn man die USB-Maus von Port 1 auf Port 2 umsteckt. Dann kannste erstmal 5 Minuten warten, bis es die Treiber initialisiert hat. Der Linux-Kernel hingegen bootet hochgradig robust von x-beliebiger Hardware. Ich hab letztens mein halbes System umgeackert: Magnet-Festplatte-Reihenfolge geändert, Board gewechselt, dabei von NForce3 auf AMD 970 - Chip gewechselt, Soundkarte weggelassen und dafür Onboard genutzt,... Mein Ubuntu brauchte halt beim ersten Bootvorgang ne Minute länger, um sich auf den geänderten Netzwerkchip einzustellen, das wars. Ein parallel installiertes Windows hat kaum gebootet, das wollte erst mal 200MB Treiber-Installation, damit es überhaupt was gesagt hat.

Wie wäre es mit einer Virtuellen Maschine und Linux dort fürs online banking?

VMs sind KEINE SICHERHEITSLÖSUNG!
Infiziere das Host-System, und du hast volle Kontrolle über Ein- und Ausgabe der VMs. Denkt doch mal von 12 bis Mittag, bevor ihr laufend VMs als Sicherheitsfeature anpreist.

Ok, danke.
Der "Standard"-Benutzer hat aber trotzdem noch Rechte z.B. im FF Addons zu installieren. So was möchte ich auch verhindern.

Ich glaube, das klappt nicht. Addons liegen nicht im Root sondern im User Space, und was Leute mit ihrem User Space anfangen geht nur die Leute was an. Du kannst bestenfalls über ne Quota die Datenmenge eines Users einschränken oder als einzigen Browser einen anbieten, der keine Addons hat. Du könntest ja mal gucken, was für Features Epiphany hat (oder nicht hat)

 

[Crys]

Gibt es eig. ne Möglichkeit wie ich Ubuntu wirklich auf nen USB-Stick bzw. eine SD-Karte installieren kann?
Weil mit mit Unetbootin und Co. erstellt man nur ne LiveCD Kopie auf nen Stick. Diese Kopie ist auf englisch, enthält haufenweise Programme die man nicht braucht usw.
Ich würde gerne auf den Stick direkt installieren, also auch auswählen was ich installieren möchte. Wie geht das?
Der verweigert glaub ich das installieren, weil die Sticks kleiner als 4,4GB sind. Aber die LiveCD passt ja auch auf nen 1GB-Stick und funktioniert überall ...

 

[TheBeastMaster]

SD-Karte einlegen, LiveCD von USBstick/CD/DVD starten, und als Ziel die SD Karte angeben.

 

[b00nz]

Ich dachte es ist schon auf SD installiert und bootet überall?
Bei einer LiveCD wird ja alles on the fly beim Booten entpackt und eingerichtet, das SWAP file entfällt etc. Bei einer installation liegt alles entpackt auf einem Datenträger. Unter 4-5GB wird da nix gehen, daher hat sich das dann ja wohl...

Das mit der Sprache liegt wahrscheinlich an der Konfiguration des Bootloaders den Unetbootin installiert hat. Vermutlich sys oder isolinux. Wenn Du der kernel-zeile der entsprechenden cfg "debian-installer/language=de console-setup/layoutcode?=de" anfügst, sollte es deutsch sein. Wobei ich da lieber grub4dos auf die SD packen würde, dann kannst direkt die ISO booten und musst sie nicht erst entpacken.

Mit dem Modifzieren ist's so natürlich etwas anspruchsvoller.
Da wirst Du das "filesystem" entpacken müssen, manuell alles einbinden/entfernen, und dann wieder packen und zurück in die ISO. Mit etwas glück ist noch irgendwo ein CRC check mit drin, der dann das Booten verweigert, welcher dann auch angepasst werden muss.

Und das alles für vermeitlich sichereres Online-banking?

 

[andy_0]

Es wurde ja bereits mehrfach gesagt. Virtual Machines nützen gar nichts. Ist das Host System infiziert, kann man darüber z.B. sämtliche Tastaturzugriffe aufzeichnen.

Auf der anderen Seite halte ich ein OS nur für Banking für eher nutzlos. Kannst du einen Rechner deiner Eltern nicht komplett mit Linux betreiben? Das wird dann auch wirklich benutzt und Windows als Betriebssystem braucht im Heimbereich meistens nur die PC-Spieler.

 

[cb-leser]

@b00nz:

Da wirst Du das "filesystem" entpacken müssen, manuell alles einbinden/entfernen, und dann wieder packen und zurück in die ISO. Mit etwas glück ist noch irgendwo ein CRC check mit drin, der dann das Booten verweigert, welcher dann auch angepasst werden muss.

Wie gut, dass es dafür das "uck" gibt...
Das funktioniert(e) bei mir wunderbar, habe um die 9.xx-Versionen herum damit gearbeitet.

Grüße,
cb-leser

 

[b00nz]

Gut zu wissen.
Wobei ich mit Ubuntu eigentlich nichts am Hut habe.
Abgesehen davon, würde ich für so einen kleinen Einsatzzweck sowieso nicht so etwas monströses wie Ubuntu nehmen.