Live System für Online Banking und Surfen

[urkle]

Hallo,

kann man statt c't Bankix auch ein Debian Live System für Online Banking und Surfen verwenden?

Das Live System soll per DVD in den RAM geladen werden, damit bei jedem Start ein sauberes System zur Verfügung steht. Um Schadsoftware keinen Platz zu bieten soll nur das Image des Live Systems auf der abgeschlossenen DVD vorhanden sein.
Seht ihr grundlegende Denkfehler? Ich bitte um eure Unterstützung.

[uname]

Klar geht das. Die Frage ist nur ob du dir selbst ein Debian-Live-System bauen willst oder einfach ein fertiges Live-System benutzt. Wichtig ist natürlich, dass du dem Hersteller des Live-Systems auch trauen musst. Sehr schön ist http://bunsenlabs.org . Leider hat die aktuelle Version einen Bug für die Ländereinstellung (DE). Umgehungslösung unter [1]. Eigentlich sollte im Januar noch eine neue Version rauskommen. Mal abwarten. Im übrigen halte ich eine Debian-Installation für ähnlich sicher. Oder nutzt du sonst Windows?

[1] https://forums.bunsenlabs.org/viewtopic.php?id=614

[urkle]

Im übrigen halte ich eine Debian-Installation für ähnlich sicher.

Das Live System per DVD einzuspeisen ist also die sicherer Variante? Schadsoftware und Angreifer sollen weitestgehend von persönlichen Informationen ausgeschlossen werden.
Ich möchte ein fertiges Live System nutzen für das es regelmäßige Sicherheitsupdates gibt. Die Vertrauenswürdigkeit steht an erster Stelle, deswegen bin ich hier.

[uname]

Problem bei einem Live-System ist die Tatsache, dass Sicherheitsupdates im Normalfall nicht installiert werden. Du hast aber zwei Möglichkeiten.

a.) doch eine Installation z.B. auf USB-Stick
Du führst eine Installation direkt auf einen USB-Stick durch. Diese kannst du wie eine Festplatte aktuell halten. Es besteht aber die Gefahr, dass du die Festplatte bei der Installation überschreibst bzw. den MBR zerstörst. Das Debian-System kannst du so anpassen, dass es die Festplatte nicht sieht. Sicherheitsupdates werden normal installiert und die alten Dateien werden natürlich überschrieben.

b.) Aktualisierung Live-System
Es gibt Live-Systeme, die eine persistente Dateiablage ermöglichen (Zusatzpartition auf Live-USB-Stick). Da kannst du dann nicht nur /home, sondern auch Programmpakete (z.B. /usr) vom Live-System überschreiben (einfach per Paketverwaltung mit apt-get). Bedenke, dass die Daten dann doppelt existieren. Die veraltete Live-Version (meist Image) und die übergemappten Sicherheits-Updates des persistenten USB-Teils. Irgendwann wirst du aber die Version insgesamt aktualisieren müssen (wahrscheinlich bei Releasewechsel).

Sicherheitsupdates auf Live-Versionen sehe ich als nicht so wichtig an. Wichtig wäre mir nur ein aktueller Browser ohne Sicherheitslücken (lese Sicherheitsankündigungen unter http://security.debian.org) . Auf Flash würde ich ganz verzichten.

Du kannst dir mal das LIve-Linux Tails ( https://tails.boum.org/index.de.html ) anschauen. Sicherheitslücken nehmen mit der Größe der Software zu. Lass somit alles weg was du nicht wirklich brauchst bzw. wähle ein minimales Live-System.

[Ibex]

Problem bei einem Live-System ist die Tatsache, dass Sicherheitsupdates im Normalfall nicht installiert werden.

Der Vorteil eines live Systems von CD ist eben, das das System nicht verändert werden kann, bei jedem Neustart also wieder "jungfreulich" ist. Alle Möglichkeiten, ein live System zu aktualisieren und mit Sichheitsupdates zu versorgen, hebeln diese Vorteil zwangsläufig aus. Immo hat man dann das schlechteste aus zwei welten: Die lahme performence und ggf. schlechte Anpassbarkeit eines live Systems und kein/kaum Sicherheitsvorteil gegenüber einem normalen System.

Da ich ein aktuelles System und insbesondere einen aktuellen Browser aber beim onlinebanking auch als essentiell ansehe, würde ich mir statt eines live Systems lieber ein schlankes Linux als Dualboot auf einer separaten Partition installieren und ausschließlich für Onlinebanking verwenden. Viel mehr als ein Browser muss ja nicht installiert sein, und insbesondere natürlich kein Flash Player oder andere Browser plugins. Die ct banix CD kenne ich nicht, könnte mir aber gut vorstellen, das dort eine sinnvolle Konfiguration gewählt wurde, an der man sich orientieren kann. Am besten wäre natürlich noch separate Hardware, z.b. ein ausgemusterte Laptop, um auch eine physikalische Trennung zum Alltagssystem zu haben, aber auch auf einer seperaten Partition, die natürlich vom Hauptsystem aus nicht les- und schreibbar sein darf, ist das System schon von den meisten Schädlingen abgeschottet, die man sich dort evt. eingefangen hat.

[urkle]

Der Vorteil eines live Systems von CD ist eben, das das System nicht verändert werden kann, bei jedem Neustart also wieder "jungfreulich" ist. Am besten wäre natürlich noch separate Hardware, z.b. ein ausgemusterte Laptop, um auch eine physikalische Trennung zum Alltagssystem zu haben

Geht es denn noch sicherer?

[Ozelot]

Ich bin nicht sicher, daß ich die Frage verstehe. Noch sicherer als was? Ibex' Vorschlag war doch schon noch sicherer als das, was Dir anfangs vorschwebte. Noch sicherer wäre z.B. Offlinebanking.

Ansonsten: Ich würde an Deiner Stelle die zwei Funktionen aufspalten - ein System fürs allgemeine Surfen und fürs Onlinebanking zu haben, beißt sich, da Du Dir beim Surfen ja gerade alles mögliche einfangen kannst - auch im Live-Betrieb (wenngleich das nach einem Reboot freilich wieder weg ist). Wenn Du mit einer Live-DVD aber nix anderes machst als bootest und dann direkt auf die Seite Deiner Bank gehst, und ggf. alle paar Monate dafür eine neue DVD mit einem aktuellen System brennst, bist Du schon sehr sicher unterwegs. Das gleiche kannst Du dann nochmal fürs Surfen machen, aber trenne die Aufgaben.

[urkle]

Wenn Du mit einer Live-DVD aber nix anderes machst als bootest und dann direkt auf die Seite Deiner Bank gehst, und ggf. alle paar Monate dafür eine neue DVD mit einem aktuellen System brennst, bist Du schon sehr sicher unterwegs. Das gleiche kannst Du dann nochmal fürs Surfen machen, aber trenne die Aufgaben.

Zu welcher Distribution würdest du für die beiden Aufgaben raten? Ich möchte dafür ein fertiges Live-System verwenden für das bei Sicherheitsupdates eine neue DVD angefertigt wird.

[Ozelot]

Ich denke, für das Banking bist Du mit einem Debian schon gut dabei. Oder eben Tails (siehe unames Beitrag), wenn es noch sicherer sein soll. Hauptproblem beim Banking sind, soweit ich weiß, Phishing oder anderweitig eingefangene Trojaner, und beides hältst Du Dir mit jedem Livesystem größtenteils vom Hals, solange Du es nur wie beschrieben einsetzt.

Für das Surfen gilt das gleiche: da tut es jedes Livesystem. Ich würde dann eher nach einem suchen, das mir die gewünschten Browser und Desktopprogramme gibt, damit Du es wenigstens ein bißchen komfortabel hast. Alles was Du Dir da etwa einfängst, ist ja beim nächsten Booten wieder weg (es sei denn, Du mountest zusätzlich irgendwelche Festplattenpartitionen). Wenn Du also etwas sensibles machst, wie Einkäufe oder Logins, und ganz ganz sicher gehen willst, mußt Du nur direkt vorher Dein Livesystem rebooten.

[uname]

Ich möchte dafür ein fertiges Live-System verwenden für das bei Sicherheitsupdates eine neue DVD angefertigt wird.

Das ist doch mal eine Aussage und gleichzeitig ein Problem. Du benötigst somit eine Live-CD/USB, die recht regelmäßig aktuelle Images rausbringt. Schau dir somit ein paar Live-Versionen an und kontrolliere wie oft Images herausgebracht werden. Interessant könnte hier SparkyLinux (http://sparkylinux.org) sein. Wobei ist Debian Testing. Vielleicht doch nicht so geeignet.

Als Alternative kannst du dir noch http://linuxbbq.org anschauen (allein der Aufruf der Webseite lohnt sich). Da kannst du dein Image selbst zusammenbauen. Leider waren vor vielleicht einem Jahr die Scripte fehlerhaft so dass ich sie korrigieren musste. Bei Problemen einfach melden dann schau ich mir das mal wieder an. Ok basiert auf Debian Sid. Wohl noch weniger geeignet.

LMDE also die Debian-Stable basierte Mint-Version (http://www.linuxmint.com/download_lmde.php) ist auch sehr schön gemacht. Aber Updates gibt dort bei der Live-Version wohl auch selten. Dafür wird dort wohl alles Out-of-the-Box laufen. Cinnamon und Mate gibt es dort als Desktop zur Auswahl.

[urkle]

Ist Tails dafür genauso geeignet? Regelmäßige Sicherheitsupdates wären wohl mit das Hauptkriterium für die Distributionswahl.

[Ozelot]

Regelmäßige Sicherheitsupdates bekommst Du bei allen vernünftigen Distributionen. Tails basiert auf Debian, und die Sicherheitsupdates der meisten Pakete werden daher bei beiden Systemen gleich schnell sein. Die Frage ist natürlich, wie regelmäßig die Updates auch im Livesystem landen - siehe unames Beitrag. Aber es spricht wohl auch wenig dagegen, nach dem Start ein dist-upgrade zu machen. Ist nur mehr Hickhack.

Tails ist, lies Dich einfach ein, zusätzlich noch auf maximale Anonymität getrimmt. Das ist sein Hauptzweck, der aber für Dich nicht wichtig ist. Nebeneffekt ist allerdings ein schmaleres Softwareprofil und somit geringere Angriffsfläche. Die Konfigurationen werden im Einzelfall auch rigider auf Sicherheit gestellt sein, aber ich weiß nicht, wieviel davon für Deine Zwecke relevant ist, da Du ja ohnehin nur den Browser nutzt.

Ich weiß jetzt nicht, woher Dein Sicherheitsbedürfnis im Einzelnen kommt, aber wenn Du eigentlich Surf- und Banktechnisch ein Normalverbraucher bist, bist Du mit irgendeinem Livesystem Deiner Wahl schon gut aufgehoben.

[MarkusF]

Passt jetzt evtl. nur noch halb zum Thema...

Betreffend Onlinebanking ist es entscheidend, die Bankingsoftware/Browser hardwareseitig von der TAN-Verwaltung zu trennen.
s. https://de.wikipedia.org/wiki/Homebanki ... _Interface

Zur Sauberkeit des Systems s. http://debiananwenderhandbuch.de/securh ... owtofsintr

ein evtl. erfolgreicher Angriff kann also maximal den Kontostand auslesen, aber nichts 'abheben', und den Stress mit Livesystem booten kann man sich m.e. sparen. In Verbindung mit einem aktuellen Debian nebst Browser ohne flash ist man da m.e. auf der sicheren Seite, solange keiner mit der Knarre hinter einem steht...

Grüße, Markus

Nachtrag:
den Link zur Bankingseite immer direkt im Browser oder per Lesezeichen ansteuern, niemals 'googeln'. (Selbst erlebt im Bekanntenkreis)

[uname]

Ein paar Informationen für sicheres Online-Banking.

https://www.sparkasse.de/content/dam/sp ... anking.pdf

Alternative Auszüge (Tipps Online-Banking der Sparkassen):

TANs (Trans-Aktions-Nummern) gelten nur für Ihre persönlichen Aufträge. Ihre Sparkasse wird Sie niemals auffordern eine TAN für Gewinnspiele, Sicherheits-Updates oder vermeintliche Rücküberweisungen einzugeben. Seien Sie daher immer misstrauisch, wenn Sie, ohne eine Transaktion in Auftrag geben zu wollen, nach Ihren Bankdaten oder einer TAN gefragt werden.

Nach dem Generieren einer TAN werden Ihnen auf dem Display Ihres chipTAN-Generators oder Ihres Mobiltelefons neben der gültigen TAN die wichtigsten Auftragsdaten angezeigt. Falls die Daten nicht mit Ihren Eingaben übereinstimmen, brechen Sie die Aktion ab und setzen Sie sich umgehend mit Ihrer Sparkasse in Verbindung.

[urkle]

Ich möchte mich bei euch bedanken. Ich werde mich auf die Suche nach einer geeigneten Live-Distribution von DVD machen.

[urkle]

Tails ist, lies Dich einfach ein, zusätzlich noch auf maximale Anonymität getrimmt. Das ist sein Hauptzweck, der aber für Dich nicht wichtig ist. Nebeneffekt ist allerdings ein schmaleres Softwareprofil und somit geringere Angriffsfläche.

Du sagst dass das schmalere Softwareprofil vorteilhaft ist wegen der geringeren Angriffsfläche, das wäre ein toller Vorteil mit dieser Distribution. Muss man sich aufgrund den aktuellen Ereignissen aber Sorgen machen für einen Terroristen gehalten zu werden, wenn man damit nur sein Onlinebanking erledigen möchte?

[Ozelot]

Stimmt, ich meine, das mal gelesen zu haben, daß man auf einer Liste landet, wenn man sich Tails nur anschaut. Aber so richtig bestätigt ist das Gerücht jetzt auch nicht. Und selbst Geheimdienste sind ja nicht doof und haben kein Interesse an der Generierung von vielen false Positives. Ich habe Tails auch schon heruntergeladen und hatte an der US-Grenze noch nie irgenwelche Probleme.

[uname]

Stimmt, ich meine, das mal gelesen zu haben, daß man auf einer Liste landet, wenn man sich Tails nur anschaut.

Ich könnte mir vorstellen dass man unter Beobachtung gerät wenn man Tor einsetzt. Internet-Provider könnten das bestimmt ermitteln.

[ottonormal]

Hallo,

wäre ein schlankes Debian in der Virtualbox, das nur für OnlineBanking eingerichtet und
genutzt wird, eine Alternative?
Worauf müsste da geachtet werden?
Ich spiele nämlich auch mit dem Gedanken, bzw. werde von der Bank dazu mehr oder
weniger genötigt .

[TomL]

wäre ein schlankes Debian in der Virtualbox, das nur für OnlineBanking eingerichtet und genutzt wird, eine Alternative?

Ich halte das für eine alternative.... oder anders gesagt, ich kann die Sinnhaftigkeit mit ner DVD gar nicht so recht nachvollziehen. Würde ich in diese Richtung denken müssen, gäbs für mich nur eine Alternative, und zwar offline-Banking.
Ein Mini-Debian mit weniger als 2 GB gedebootstrapt in eine VM exklusiv reserviert fürs Online -Banking würde meinen Anforderungen absolut genügen. Und für Unterwegs im Caravan packe ich die VDI in einen passend grossen Luks-Container, der nur bei Bedarf geöffnet wird. Ne regelmäßig upzudatende DVD wäre mir zuviel HeckMeck.

Jm2c

[thoerb]

Ist es nicht ausreichend für Onlinebanking einen extra User mit entsprechend angepassten Rechten anzulegen, den man nur dafür nutzt?

[justme2h]

Kannst dir auch eine VM ohne Festplatte einrichten und dann immer das Image einer Live-DVD innerhalb der VM booten. Dann hast du keine physikalische Trennung und (theoretisch) die Gefahr von Malware, die aus der VM ausbricht. Halte ich beides aber für eher kleine Risiken.

Ich denke auch, es muss nicht unbedingt ein Live-System sein. Wenn das System wirklich nur für Online-Banking genutzt wird, kannst du es auch so schon ziemlich abhärten (z.B. alle Verbindungen außer die zu deiner Bank verbieten).

Aber jeder wie er mag!

[TomL]

Ist es nicht ausreichend für Onlinebanking einen extra User mit entsprechend angepassten Rechten anzulegen, den man nur dafür nutzt?

Solange man für den Hauptuser auf sudo und den Eintrag Nopasswd:all in der sudoers verzichtet, wird das vielleicht funktionieren. Aber sudo gepaart mit Unkenntnis und Leichtsinnigkeit beim Surfen und Software aus fremden Web-Quellen...?... da kann man sich eigentlich weitere Überlegungen sparen, hinsichtlich kompromittierten System ... und sudo als App und User in der Gruppe sudo ist ja in anderen Distris fast obligatorisch .

Jm2c

[thoerb]

Solange man für den Hauptuser auf sudo und den Eintrag Nopasswd:all in der sudoers verzichtet, wird das vielleicht funktionieren. Aber sudo gepaart mit Unkenntnis und Leichtsinnigkeit beim Surfen und Software aus fremden Web-Quellen...?... da kann man sich eigentlich weitere Überlegungen sparen, hinsichtlich kompromittierten System ... und sudo als App und User in der Gruppe sudo ist ja in anderen Distris fast obligatorisch .

Ich habe kein sudo installiert.

[uname]

Allein Debian oder ein anderes Linux zu nutzen sollte die Gefahr minimieren. Angemessene Browerkonfigurationen sollte man generell vorsehen. Der Browser eines Zweitbenutzers könnte auch auf über den Desktop des ersten Benutzers aufgerufen werden. Das HOME-Verzeichnis würde ich auf die Ramdisk auslagern. Um ganz sicher zu sein sollte man vielleicht seine Bank fragen ob die Installation eines Virenscanners vorgeschrieben ist. Nicht dass man am Ende grob fahrlässig gehandelt hat. Helfen wird der Virenscanner aber nicht.