Welches Life-Linux für Online Banking?

[AudioholicA]

^^ Das war mir nicht bewusst, ich kann auch nicht sagen seit wann das so ist.
Insofern danke für die Info, ich werde den Link nicht weiter sharen - bis die Jungs das in den Griff bekommen haben.

 

[andy_m4]

Sandbox, VM und was man hier so alles liest.
Leute. Was denkt ihr euch denn, wie das funktionieren soll? Das die Sandbox ein abgeschlossenes System ist auf die das Hostsystem keinerlei Zugriff hat? Der Zweck ist doch eher umgekehrt. Was in der Sandbox/VM ist, soll nicht nach draußen kommen.
Von daher sind die ganzen Vorschläge a-la "Mach doch Onlinebanking in der Sandbox/VM" sicherheitstechnisch für den Popo.

Ein Live-Medium ist da schon die richtige Wahl. Selbst das Aktualisierungsproblem lässt sich umschiffen, in dem man das System auf einen schreibfähigen Flash-Medium (aka USB-Stick) installiert. Für Online-Banking oder was auch immer mountet man das System als read-only und stellt auch durch Lockdown sicher (dank Kernel-Lockdown kann sich nicht mal root darüber hinwegsetzen), das es im Betrieb nicht einfach r/w re-mountet werden kann.
Lediglich zum Zwecke der Aktualisierung startet man dann halt im Singe-User-Modus, aktualisiert und fertig ist die Laube.

 

[puri]

Ja, habe ich seit ca. 2003 auch genutzt: Eigener Rechner fürs Online Banking (+ später Steuer = Elster). Ist aktuell zwar Windows 10, gepatcht, nichts weiter darauf außer einer Banking-Software und feste Favoriten für 2-3 Webseiten die ich brauche (Bank, Elster). Nur leider nutze ich die Kiste seit bestimmt einem dreiviertel Jahr kaum noch für Banking.

Ich mache jetzt alles auf dem iPhone:

• Aktuelles immer gepatches OS
• Banking App + Kennwort + externer TAN-Generator ist mir mehr als sicher genug.
• Super Komfort mit Giro-QR-Code, Überweisung fotografieren,etc.
• Sehe keine Vorteile mehr für Banking am PC, weder komfort- noch sicherheitstechnisch.

Ich mache übrigens seit 1997 Onlinebanking und Dank "BRAIN" hatte ich bisher nicht ein einziges Sicherheitsproblem..

 

[eRacoon]

Ich würde auch klar zu einer VM tendieren, Linux wo du sonst nichts drauf machst und hin und wieder mal ein Update fährst.
Ein veralteter Browser wie es das Live Linux quasi immer hat ist vermutlich 10x potentiell gefährlich als dass irgendein Tool sich auf deiner Festplatte befindet und sich in deine Browsersession hackt.

Ansonsten 2 Wege Auth bei der Bank einrichten und knappes Überweisungslimit pro Tag festlegen und fertig.
Dein Konto ist auch gegen solche Angriffe versichert übrigens.

Bin immer für Sicherheit zu begeistern aber das hier ist einfach noch Aluhut deluxe.

Ich hoffe übrigens dass du niemals eine EC Karte irgendwo nutzt? Denn das ist potentiell 100x gefährlicher als alles was du hier beschreibst.
Achja und Geld natürlich nur am Schalter abholen, am besten bei der Angestellte die du seit 20 Jahren kennst.

 

[kabik]

Kann man eigentlich für ein LIVE Linux per Parameter beim Booten (z.B über eine Konfigurationsdatei) eine deutschen Tastaturbelegung einstellen?
Englische Sprache wäre schon O.K., aber die englische Sonderzeichenbelegung auf meiner deutschen Tastatur finde ich nicht auf Anhieb.

Ergänzung (15. September 2020)

Ich brauche im Übrigen gar keine 100%ige Sicherheit und gehe mal davon aus, dass auch ein Linux von vor einem Jahr als LIVE System schon sicher genug vor Viren und ähnlichem ist.
Wenn man dann auch nur Bank Seiten ansurft kann da kaum was passieren

 

[madmax2010]

Bei Ubuntu kannst du es per Pfeiltaste auswählen.

Bei endavour OS kannst du es nach dem booten wählen

 

[omavoss]

Die Leute, die ich kenne, nehmen für Online-Banking als Live-System Knoppix. Damit kann man auf dem Stick auch eine persistente Partition einrichten, auf der man Daten speichern kann.

 

[eRacoon]

Wenn man dann auch nur Bank Seiten ansurft kann da kaum was passieren

Wie auch bei jedem aktuellem W10 + 2 Wege Auth bei der Bank.
Der Mehraufwand ist halt recht hoch für kaum mehr Sicherheit, gefühlte Sicherheit ist eben keine reale Sicherheit.

Einmal deine EC Karte beim Aldi durchn EC Scanner gejagt und das Risiko ist potentiell so viel höher dass es eben prozentual vollkommen egal ist was du daheim mit dem Online Banking machst.

 

[Tom_Callaghan]

Ich habe eine eigene SSD mit Kubuntu, die ich per Bios Bootmanager starte, also nur fürs Onlinebanking. Dazu 2FA. Das gibt ein gutes Gefühl. (Brain.exe nicht vergessen)

 

[andy_m4]

Ich würde auch klar zu einer VM tendieren, Linux wo du sonst nichts drauf machst und hin und wieder mal ein Update fährst.

Wie schon gesagt: Wenn Du die VM machst um das Gast-System vor dem Hostsystem zu schützen, kannst Du die VM auch gleich weglassen.

Ansonsten 2 Wege Auth bei der Bank einrichten und knappes Überweisungslimit pro Tag festlegen

Ich weiß nicht, wie es Dir geht. Aber bei vielen Menschen wird ein zu knappes Limit dazu führen, das sie "nichts" überweisen können und ein zu großes Limit dazu, das ihnen wehtut wenn es fehlt. Das kann man ja zusätzlich machen. Ist aber nur ein begrenzter Schutz. Zumal die meisten Menschen nicht täglich ihr Konto checken. Es vergehen dann mehrere Tage bevor die überhaupt merken das da was weg geht. Und dann hat sich aber schon ein entsprechender Betrag aufsummiert.

Ich hoffe übrigens dass du niemals eine EC Karte irgendwo nutzt? Denn das ist potentiell 100x gefährlicher als alles was du hier beschreibst.

Die Sicherheit einer EC-Karte beruht ja nicht darauf, das technisch alles bombensicher ist, sondern das es Verantwortlichkeiten bei Missbrauch gibt die dann für den Schaden einstehen müssen.
Beim Online-Banking wird man immer relativ gut einseitig die Schuld auf den Anwender abwälzen können.

 

[burglar225]

Wie schon gesagt: Wenn Du die VM machst um das Gast-System vor dem Hostsystem zu schützen, kannst Du die VM auch gleich weglassen.

Ganz so drastisch würde ich es nicht formulieren, sie bietet ja trotzdem ein deutliches Mehr an Sicherheit. Letztendlich (bezogen auf die "totale" Sicherheit) hast du aber trotzdem Recht, muss ich zugeben.
Ich frage mich aber immer mehr, ob das überhaupt sinnvoll ist. Wenn man einen 100% sicheren Live-Boot-Stick haben will, kommt man auch nicht umher vor JEDEM Gebrauch das Live-System zu updaten. Und selbst dann gibt es bei weitem keine Garantie, dass es keine Sicherheitsprobleme gibt.

 

[andy_m4]

Ja. 100%ige Sicherheit gibt es nicht. Darum gehts aber auch gar nicht.
Es ist auch alles eine Frage des Aufwandes und des sich daraus ergebenden Nutzens. Und so ein Live-System ist halt relativ problemlos zu benutzen im Vergleich zu dem Plus das es an Sicherheit bringt.

kommt man auch nicht umher vor JEDEM Gebrauch das Live-System zu updaten.

Damit könnte man die Sicherheit noch erhöhen. Aber die Hauptsicherheit aus einem Live-System resultiert daraus, das Du beim Betrieb nix im System hast was Du Dir beim normalen Umgang mit dem Computer eingetreten hast.
Und dann gehst Du ja fürs Online-Banking auch nur auf die Webseite Deiner Bank. Theoretisch könntest Du Dir auch in dem Zeitraum irgendwie was einfangen aber die Chance ist sehr viel geringer. Und da Dein Live-System readonly ist, ist spätestens beim nächsten mal auch alles wieder weg.

Die Notwendigkeit ein brandaktuelles System zu haben ist halt nicht so groß. Klar sollte man es hin und wieder aktualisieren. Aber es erhöht jetzt die Sicherheit nicht signifikant es vor jeder Benutzung zu tun.

 

[sedot]

Jup, Tails oder iOS. Ich nehm letzteres, dann bin ich aus der Haftung raus – Banken (und Gerichte) haben ja durchaus ihre eigenen Vorstellungen wenns zu Problemen kommt.

 

[nullPtr]

Ganz so drastisch würde ich es nicht formulieren, sie [Anm: die VM] bietet ja trotzdem ein deutliches Mehr an Sicherheit.

Und das "deutliche Mehr an Sicherheit" wäre? Mit dem billigsten aller billigen Keylogger auf dem Host-System fange ich dir alles ab.

Ergänzung (15. September 2020)

Die Notwendigkeit ein brandaktuelles System zu haben ist halt nicht so groß. Klar sollte man es hin und wieder aktualisieren. Aber es erhöht jetzt die Sicherheit nicht signifikant es vor jeder Benutzung zu tun.

Dem würde ich Widersprechen. Ein aktuelles System ist das Wichtigste. Im Zweifelfall muss man nämlich "nur kurz" noch die Kontonummer des Freundes aus dem Postfach des eigenen Freemail-Anbieters holen und zack, hat man Skripte von 20 ominösen Werbepfuschern ausgeführt.

 

[puri]

Ich weiß nicht, wie es Dir geht. Aber bei vielen Menschen wird ein zu knappes Limit dazu führen, das sie "nichts" überweisen können und ein zu großes Limit dazu, das ihnen wehtut wenn es fehlt. Das kann man ja zusätzlich machen. Ist aber nur ein begrenzter Schutz. Zumal die meisten Menschen nicht täglich ihr Konto checken. Es vergehen dann mehrere Tage bevor die überhaupt merken das da was weg geht. Und dann hat sich aber schon ein entsprechender Betrag aufsummiert.

Es gibt einige Banken, bei denen kriegst Du kostenlos eine Nachricht für jede Buchung (DiBA, Targo). Wenn ich mit meinem iPhone zahle (Diba-Karte hinterlegt), kriege ich sogar 2sec nach dem Zahlen "Betrag XY bei Händler Z vorgemerkt" und einen Tag später dann "Betrag XY bei Händler Z gebucht) - das ist auch wieder ein Plus an Sicherheit..

 

[andy_m4]

Dem würde ich Widersprechen. Ein aktuelles System ist das Wichtigste.

Lässt sich das jetzt irgendwie belegen oder ist das nur ein Gefühl von Dir?

Also Linux ist ja jetzt generell kein System welches besonders häufig angegriffen wird (also zumindest nicht, was die üblichen Desktop-Szenarien angeht). Allein dadurch das Du Linux statt Windows einsetzt hast Du schon mal ein Sicherheitsgewinn von mehreren Größenordnungen.
Das Sicherheitslücken auftreten kommt natürlich auch bei Linux vor. In unserem Szenario ist ja vor allem der Browser interessant. Da gibts also hin und wieder exploitable Zeugs. In der Praxis ist davon aber sehr sehr wenig im Umlauf. Also in der realen Welt irgendwo Schadcode zu finden der nicht nur eine Browserlücke ausnutzt, sondern die auch unter Linux noch funktioniert ist doch ziemlich selten.

Ist auch total logisch. Wenn ich Schadsoftware verbreiten will, dann stürze ich mich auf das System was am meisten im Internet unterwegs ist. Ich werde eher nicht auf die Idee kommen exotische Konstellationen anzugreifen, weil die Chance das ich ein System erwische relativ gering ist. Gleichzeitig wird aber mein Code größer, wenn ich solche Systeme berücksichtigen will. Umso größer mein Code, umso größer ist auch die Chance das er entdeckt wird. Ich werde also tunlichst vermeiden irgendwelche exotischen Systeme wie Linux-Desktop-Systeme anzugreifen, wo lediglich die Chance besteht das ich eine handvoll erwische während ein frühes entdecken dazu führt, das mir zig-tausende Windows-Systeme durch die Lappen gehen.
Es macht also aus Angreifersicht gar keinen Sinn.

Das macht übrigens auch die Sicherheit von Linux aus. Weniger das es generell das sicherere System ist, sondern das es nicht wirklich lohnt das anzugreifen. Bei Servern ist das noch mal eine andere Geschichte. Bei Desktop-Systemen eher nicht und da brauchst Du halt auch andere Exploits und kannst üblicherweise das was bei Servern gut funktioniert nicht einfach nehmen.

Im Zweifelfall muss man nämlich "nur kurz" noch die Kontonummer des Freundes aus dem Postfach des eigenen Freemail-Anbieters holen und zack, hat man Skripte von 20 ominösen Werbepfuschern ausgeführt.

Ja. Selbst das steigert die Wahrscheinlichkeit nur minimal. Wenn man will, kann man natürlich noch Adblocker und andere Sicherheitsmaßnahmen benutzen wie man es evtl. bei seinem Hauptsystem auch tut. Also wie Du Dein Live-System ausschmückst bleibt ja Dir überlassen. Da ist ja nix gottgegeben.

 

[nullPtr]

Der Browser ist die kritische Komponente, da der alles mögliche, das von außen kommt, parsen muss.
Ein Blick auf https://www.mozilla.org/en-US/security/advisories/ und man findet in den Advisories immer
wieder: "[...] could have been exploited to run arbitrary code".

Die Aussage:
"Allein dadurch das Du Linux statt Windows einsetzt hast Du schon mal ein Sicherheitsgewinn von mehreren Größenordnungen."
würde ich so nicht unterstützen. Heute werden doch Frameworks genutzt, die zig Tausende oder gar Millionen Exploits kennen und dir dafür dann Code generieren. Wieso sollten die das nicht auch für Linux und andere Systeme können? Dann ist das für die Kriminellen nämlich null Aufwand. Allerdings hab ich davon zu wenig Ahnung und lehne ich mich da aus dem Fenster und lasse mich gerne eines Besseren belehren.

 

[andy_m4]

Der Browser ist die kritische Komponente, da der alles mögliche, das von außen kommt, parsen muss.

Ja. Hab ich doch gesagt.

und man findet in den Advisories immer
wieder: "[...] could have been exploited to run arbitrary code".

Hat auch niemand etwas Gegenteiliges behauptet. Dennoch sind konkrete Exploits dann meist systemabhängig. Es gibt auch Exploits die funktionieren systemunabhängig. Ist aber nicht so einfach. Dementsprechend selten sind die.

Und es müssen ja gleich 3 Sachen zusammen kommen.
Es muss ein Exploit geben
der dann auch noch für Dein Betriebssystem funktioniert
und dann ausgerechnet von den Seiten ausgeliefert wird, die Du im Zuge Deiner Online-Banking-Session besuchst.

Jetzt überlege einfach mal, wie oft Du beim normalen "Internet surfen" Opfer eines Angriffs auf dem Browser geworden bist. Und dann überlege einfach mal, wie groß die Chance ist, das es in dem begrenzten Rahmen des Online-Bankings wohl passiert.

Und ich sag ja noch nicht mal, das Du bedenkenlos eine 10 Jahre alte Version Deines Browsers einsetzen kannst. Ich sag ja nur, das vor jeder Benutzung zu aktualisieren kaum zusätzlichen Sicherheitsgewinn bringt. Wenn man das einigermaßen regelmäßig macht reicht das völlig.
Es ist ja jetzt auch nicht so, das täglich Browser-Updates rauskommen. Du wirst schon deshalb nicht bei jeder Benutzung aktualisieren müssen, weil schlicht gar keine neuen Patches da sind.

Heute werden doch Frameworks genutzt, die zig Tausende oder gar Millionen Exploits kennen und dir dafür dann Code generieren. Wieso sollten die das nicht auch für Linux und andere Systeme können? Dann ist das für die Kriminellen nämlich null Aufwand.

Ein Grund warum die das nicht machen wollen habe ich ja genannt. Wenn Du den wegignorierst und auf der Basis dann Deine Antwort formulierst können wir uns die Diskussion aber auch ganz sparen.

 

[nullPtr]

[...] können wir uns die Diskussion aber auch ganz sparen.

Machen wir das. Hilft dem OP nämlich nicht und mir auch nicht

 

[HITCHER_I]

Von div. Distributionen gibt es tägliche, oder wöchentliche aktualisierte Installationsimages.
Da könnte man dann monatlich sich einen neuen aktuellen USB- Live Stick erstellen.
zB. https://grml.org

https://daily.grml.org/grml64-full_testing/

Einen solchen USB- Live Stick kann man gut mit rufus unter Windows erstellen:

Man kann dann den freien Speicherplatz von dem Stick, in dem Fall ca. 5GB, unter grml als root ansprechen,
wenn man ihn re-mountet, da er standardmäßig nur readonly eingebunden ist.
Ist ein einfacher Befehl, als root:
mount -o remount rw /lib/live/mount/medium