Live System für Online Banking und Surfen

[urkle]

Bietet Debian für den Zweck eine geeignete Live-Version?

[uname]

Hatten wir das nicht diskutiert? Aber ja es gibt auch direkte Live-Versionen von Debian.

Damit Treiber korrekt erkannt werden empfehle ich mal:

http://cdimage.debian.org/cdimage/unoff ... e+nonfree/
(Auswahl "iso-hybrid" für DVD- bzw. USB-Images)

Leider sind die Desktop-Versionen aufgrund der task-desktop-Abhängigkeiten sehr groß. Oder brauchst du z.B. Libreoffice?

Es gibt zu jedem Unter-Release (aktuell 8.2 also September 2015) neue Images.

Nachricht zu 8.2.: https://www.debian.org/News/2015/20150905.de.html


Hast du denn kein echtes Debian installiert? Nutzt du sonst nur Windows? Das ist Schade.

[Lord_Carlos]

Wovor will sich urkle denn genau schuetzen?

[urkle]

Vor Schadsoftware und Anderen

[pferdefreund]

Absoluten Schutz gibt es nicht - alles was über ein Netzwerk geht, kann abgegriffen werden. Man kann es nur "schwer" machen - und da ist Linux schon gut aufgestellt. Keiner weiß, was der Router so treibt und was beim Provider und der Bank oder so selbst passiert.
Es gibt ja nicht nur Sicherheitslücken beim Client - auch ein Server auf dem Weg vom Client zur Bank kann dazwischenspucken.

[Lord_Carlos]

Vor Schadsoftware und Anderen

Gibt es Linuxmalware in freier Laufbahn die Bankverbindungen samt Zwei-Faktor-Authentifizierung "abfangen" (Umleiten?) kann?

[urkle]

Das weiß ich natürlich nicht

[Lord_Carlos]

Ich benutzte mein normales Debian System. Wenn ich kurz was ueberweisen will und sowieso schon meine Tan/Pin sachen raussuchen muss habe ich keine lust auch noch eine Live cd zu starten und updaten.

Wenn man jetzt sehr Wohlhabend ist und angst hat gezielt angegriffen zu werden und nur selten Online Bankingbetreibt sieht es wieder anders aus.

VM oder ein Rechner nur fuer online banking mit Certifikat pinning waere was ich benutzten wuerde. CD/DvD ist ein Krebs den ich mir nicht antun will. Dazu bekommst es keine Sicherheitsupdates.

[gnu]

wäre ein schlankes Debian in der Virtualbox, das nur für OnlineBanking eingerichtet und
genutzt wird, eine Alternative?
Worauf müsste da geachtet werden?
Ich spiele nämlich auch mit dem Gedanken, bzw. werde von der Bank dazu mehr oder
weniger genötigt .

Kannst dir auch eine VM ohne Festplatte einrichten und dann immer das Image einer Live-DVD innerhalb der VM booten. Dann hast du keine physikalische Trennung und (theoretisch) die Gefahr von Malware, die aus der VM ausbricht. Halte ich beides aber für eher kleine Risiken.

Ich denke auch, es muss nicht unbedingt ein Live-System sein. Wenn das System wirklich nur für Online-Banking genutzt wird, kannst du es auch so schon ziemlich abhärten (z.B. alle Verbindungen außer die zu deiner Bank verbieten).

Man kann in virtualbox Snapshots erstellen und so sein System jedes mal auf den Originalzustand zurücksetzen. Dann muss man eben nur jedes mal wieder die Updates installieren. Aber bei einer minimalen Installation würde das ja schnell gehen, denke ich.

[ThorstenS]

Ich baue mir mit einem Script aufbauend auf einer netinstall einen minimalen Desktop mit openbox und einer Datei im Autostart.
Dank apt-cacher-ng (oder squid) gelingt das in <3 Minuten.
Das Update einer solchen Maschine ist identisch mit einer Neuinstallation, wenn mein Desktop sonst auch diesen apt-cacher-ng/squid benutzt und damit die Pakete eh schon gesaugt sind.

Ich würde diesen Weg gehen (und bei Bedarf auch das Script posten).

[urkle]

Ich habe mir nun die Lösungsvorschläge durchgelesen. Ist ein fertiges Live System auf DVD nicht nach wie vor eine der sichereren Möglichkeiten ohne große Vorarbeiten? Also eine PnP Lösung?

[geier22]

Was hier noch gar nicht gefragt wurde - was will man mit dem Online -Banking alles machen ? Nur mal ne Überweisung? Richtige Kontenführung mit vielleicht sogar mehreren Konten?
Ich hab das dafür auf c't Bankix angebotene Programm (Hibiscus) mal ausprobiert. Mal abgesehen von einer miserablen Grafik scheitert das Programm schon an einer einfachen Umbuchung (Gegenbuchung). Für mich absolut unbrauchbar.
Ich hab mir sogar mal Moneyplex gekauft und nach einem Monat sehr frustrierenden Arbeitens damit (die Grafik ist auch bei diesem Programm unter Hobby Programmierung einzuordnen) es auf den Stapel der Fehlinvestitionen geworfen. Der Grund für die Anschaffung von Moneyplex war damals das man den Rainer SCT unter Linux nicht vernünftig zum laufen bekam. Außer Kmymoney das aber sehr kompliziert einzurichten ist (Aqbanking) und letztendlich am Reiner SCT gescheitert war, gibt es für Linux nach meinen Recherchen keine einzige brauchbare Software zur Kontenführung für einen Privatmann.

Ich mache seit ca 1995 online- Banking und habe noch nie ein Problem damit gehabt.
Ich benutze grundsätzlich keinen Browser (absolute Notfälle hat es dabei vielleicht 10 Mal in den ganzen Jahren gegeben) um Online Banking durchzuführen. Der Browser - welcher auch immer - hat mir einfach zu viele Lücken, außerdem bin ich (gefühlt) viel zulange
mit meiner Bank verbunden, und weiß nicht was da noch so an Traffic vor sich geht.

Deshalb hab ich mich für eine VM mit Windows 7 (sehr abgespeckt) entschieden, in der mein Banking Programm läuft.
Über einen Firewall werden sämtliche Programme und Dienste soweit blockiert, das ich gerade noch mit der Bank kommunizieren kann.
Der Browser darf gar nichts. Die VM sieht nur ein Verzeichnis, auf meinem Produktivsystem, auf dem sie die Datensicherung meines Banking- Programms durchführt.

Von irgendwelchen DVDs halte ich auch nichts weil sie einfach zu umständlich zu bedienen sind. Eine VM ist schnell gestartet und komfortabel zu bedienen. Ich glaube, dass Windows unter diesen Bedingungen mindestens genauso sicher - wenn nicht sogar sicherer
zu handhaben ist wie ein Linux System.

Ach ja - für absolute Notfälle hab ich auf meinem Laptop (Debian) noch firejail mit firetools installiert, aus denen heraus ich dann einen Browser mit separatem Profil starten kann. Zusätzlich läuft auf allen Debian Maschinen noch firewalld
mit dem firewall-applet, dass sich sehr schön bedienen und einrichten lässt - und natürlich clamav.

[gnu]

Über einen Firewall werden sämtliche Programme und Dienste soweit blockiert, das ich gerade noch mit der Bank kommunizieren kann.

Steht das auf der Website der Bank, was man in der Firewall erlauben muss, oder wie hast du das herausgefunden?

Ich glaube, dass Windows unter diesen Bedingungen mindestens genauso sicher - wenn nicht sogar sicherer zu handhaben ist wie ein Linux System.

wieso denn das?

[urkle]

Angenehm wäre eine simple Lösung bei der man ein minimales System im Ram bootet, Surft, und dann wieder runterfährt.
Für den normalen Betrieb wäre eine Linuxinstallation dann okay.

[geier22]

Steht das auf der Website der Bank, was man in der Firewall erlauben muss, oder wie hast du das herausgefunden?

Mit TCPView und dem Taskmanager (Pid anzeigen lassen) Dann kannst über den Firewall einstellen welches Programm was darf. Wenn man sich mit Windows ein bisschen auskennt, kann man zudem noch einen Haufen Dienste abschalten die da meinen irgendwo senden oder hören zu müssen.

wieso denn das?

Damit meine ich eine Standard - Linux - Installation von der sehr viele behaupten sie sei sicher. Da habe ich so meine Zweifel. Sicher kann man als Profi Linux wirklich sicher machen aber dafür muss man die entsprechenden Tools auf der Konsole eben perfekt beherrschen. Zu diesen Usern zähle ich mich aber nicht (vielleicht werde ich das mal ).

[gnu]

Damit meine ich eine Standard - Linux - Installation von der sehr viele behaupten sie sei sicher. Da habe ich so meine Zweifel. Sicher kann man als Profi Linux wirklich sicher machen aber dafür muss man die entsprechenden Tools auf der Konsole eben perfekt beherrschen. Zu diesen Usern zähle ich mich aber nicht (vielleicht werde ich das mal ).

Habe die letzten Tage etwas dazu gelesen, man muss tatsächlich ganz schön viel Aufwand betreiben:
https://www.debian.org/doc/manuals/secu ... ex.de.html

[urkle]

Wenn man per Live-DVD in den RAM bootet, ist es dann von dort aus möglich jeweils die Updates in den Ram zu laden falls es welche gibt?

[TomL]

Wenn man per Live-DVD in den RAM bootet, ist es dann von dort aus möglich jeweils die Updates in den Ram zu laden falls es welche gibt?

Jedes mal? Bei jedem Start von der CD erneut?

Ganz ehrlich ...ich denke, du hast dich da in eine Idee verrannt, die schon ein wenig abseits der Vernunft steht. Mit solchen Sorgen halte ich nur einen Weg für den richtigen.... den zum Schalter in der Bank.

[urkle]

Sorry falls ich das nicht ganz richtig überblickt habe, aber funktioniert Tails nicht auch so? Oder werden hier keine Updates geladen?

[urkle]

Hoffe noch auf weitere Antworten

[geier22]

Ich weiss nicht, was du mit Tails anfangen willst.
Einen besseren Schutz beim Homebanking bietet es jedenfalls nicht. Das Tor- Netzwerk anonymisiert dich, schützt aber nicht deine Daten. Das musst du schon selbst machen.

Ich bin der Meinung, das ein Browser grundsätzlich nicht sicher ist. Das belegen letztendlich die Sicherheitsupdates die in kurzen Zeitabständen kommen. Es ist einfach irre, solch ein Programm ausgerechnet für das Online Banking zu benutzen. Wer meint, dass er schlauer ist
als spezialisierte Hacker Banden soll es ruhig tun. Selbst Schuld, wenn es dann in die Hose (bzw. ans Konto) geht.

Man sollte dabei auch bedenken, das die Finanzindustrie und auch der Staat riesige Anstrengungen unternehmen, um das Volk zum bargeldlosen Zahlungsverkehr zu erziehen. Teils um bessere Kontrolle zu haben teils um zu rationalisieren. Da aber die meisten nicht bereit sind
auch nur einen Pfennig für ihren Schutz zu bezahlen wird einem vorgegaukelt den Browser oder gar das Smartphone für seine Geldgeschäfte zu nutzen weil es ja "sicher" ist. Ein bisschen Googelei hilft da weiter, die Illusion zu zerstören.

Ich für meinen Teil halte es mit dem Zitat aus Wiki:

https://de.wikipedia.org/wiki/Homebanki ... _Interface
Homebanking mit HBCI-Chipkarte und einem Chipkartenleser, der die PIN-Eingabe (Sicherheitsklasse 2 oder höher) unterstützt, bietet ein höheres Maß an Sicherheit. HBCI mit Chipkarte und Kartenleser nach Secoder-Standard gelten derzeit als das Nonplusultra an Sicherheit, wobei die jeweilige Bank sowie die Homebanking-Software die Secoder-Erweiterung für HBCI unterstützen müssen.[3] Erfolgreiche Angriffe auf diese Konfiguration sind unbekannt. Die nachfolgend genannten theoretischen Angriffsszenarien gelten nur für Kartenleser, die nicht dem Secoder-Standard entsprechen:

Ich wünsche weiterhin ein sorgloses Homebanking mit dem Browser

[Ozelot]

Das Tor- Netzwerk anonymisiert dich, schützt aber nicht deine Daten.

Hä?

Aber soviel stimmt: Tails ist primär für Anonymisierung ausgelegt, was für Dich egal ist. Ein Nebeneffekt wäre nur, daß es ein dadurch auch eine etwas kleiner Angriffsfläche hat. Wurde auch schon gesagt.

Aber ich glaube, daß wir Dir momentan nur weiterhelfen könnten, wenn Du uns Dein Szenario genauer beschreibst, urkle. Lösungen hast Du jetzt einige gehört und wie Du zwischen Aufwand und Sicherheit abwägen willst, mußt Du selbst wissen.

Wenn Du, wie ich vermute, nur ein normaler Anwender mit einem durchschnittlich gefüllten Bankkonto und einigen wenigen Überweisungen pro Monat bist, der ein bißchen Angst vor Onlinebanking hat, dann reichen einfache Lösungen. Du willst dann nur die typischen Phishing-Versuche und Trojaner vermeiden.
1. Die meisten vermeidest Du bereits durch die Verwendung von Linux.
2. Die allerallerallermeisten vermeidest Du durch die Verwendung eines Systems, das nicht Dein normales Surf- und Arbeitssystem ist, z.b. von einer LiveDVD, auf einer anderen Partition oder Platte, oder in einer VM. Das wäre allesamt schon relativ sicher, denke ich, selbst falls nicht mehr ganz auf dem Stand ist - solange Du es nur dafür hochfährst und damit nur die Seite Deiner Bank ansurfst.

Klar gibt es Szenarien, wo das nicht reicht, und es gibt unglaubliches Pech, z.B. Ziel einer maßgeschneiderten Attacke zu werden, oder in der kurzen Onlinezeit Ziel einer besonders guten gerasterten Attacke auf Deinem Browser oder OS zu werden. Aber da Du nicht zu viel Aufwand treiben willst (VM schreckt Dich anscheinend schon ab), scheinen diese theoretischen Risiken bei Dir nicht ins Gewicht zu fallen.

Ich übrigens sichere mich dadurch teilweise ab, daß ich Online Banking nur von einem Konto mache, auf dem nie allzu viel drauf ist, und das auch relativ niedrige Limits für die Überweisung hat.

[urkle]

Dann werde ich einfach zur Bank gehen.
Die Frage war jedoch auf die Funktionsweise bezogen, also ob die Live-DVD beim Boot aktuelle Updates lädt.

[Lord_Carlos]

Wenn ich nochmal drueber nachdenke glaube ich das man mit einer Live CD relativ sicher ist.* Solange man mit der Live CD nur auf die Bankseite geht (Oder jedenfalls immer als erstes auf die Bank Seite geht).

Darf ich fragen warum du lieber zu Bank geht als es einfach ueber dein bereits installiertes Debian zu machen?





* Ja ja, fiese hacker koennen das SSL Certifikat bekommen haben und MITM machen. So unwahscheinlich das es am Thema vorbei geht.

[urkle]

Die Frage war wie ich den Weg zur Bank am Besten umgehen kann? Die Idee dafür war die Live DVD in aktueller Version einer Distribution.
Mehrheitlich wird davon abgeraten und zu einer VM oder ähnlich geraten. Wirklich "sicher" geht nur offline, aber wie sicher geht es online ohne Spezialistenkenntnisse?