Ubuntu & die "Wahrscheinlichkeit eines Datenraubs"

[Carlos]

Hallo,

ich betreibe mehr oder minder häufig Online-Banking.
Unter Windows habe ich wild herumkonfiguiert, dass das Betriebssystem einigermaßen [...] sicher ist.


Wie kann ich unter Linux (Distribtion: Ubuntu 5.10) ein Maximum an Sicherheit erreichen?

Ich hatte an folgendes gedacht:

- einen PC mit Linux ausschließlich zum Online-Banking genutzen und nur auf vertrauenswürdigen Seiten surfen...

- oder aber eine LIVE-CD (z.B. von Ubuntu) verwenden.


Das Vorgehen mit der Live-CD scheint ja recht sicher zu sein, da sich dauerhaft nichts festsetzen kann.
Nun ist das große Manko an der LIVE-CD, dass die sehr unkomfortabel ist.

Kann ich auch Vorschlag 1 in Betracht ziehen?
Müsste ich wenn ich Vorschlag 1 wählte, alle 4 Wochen Linux neu installieren?

Sind unter Linux schon Fälle von Datenraub durch Cracker z.B. durch Keylogger bekannt geworden (kein Phising!)?


Vielen Dank für eure Hilfe!

MfG

Carlos

P.S.: Wenn's um's Geld geht, bin ich paranoid. http://www.world-of-smilies.com/html/images/smilies/schockiert/ShiftyEyes_anim.gif http://www.unixboard.de/vb3/images/icons/icon12.gif

 

[Grünling]

P.S.: Wenn's um's Geld geht, bin ich paranoid.

...,

dann mache es wie ich und verzichte einfach auf's Onlinebanking.
Sicherer geht's wirklich nicht.

 

[PBeck]

Die Gefahr einem Rootkit aufzuliegen ist immer gegeben, natürlich. Jedoch ist es speziell unter Linux, sowieso schwer die User unbekannte Kommandos/scripts ausführen zu lassen. Normalerweise passiert sowas nur durch unachtsamkeit und wenn sowieso keine Serverdienste laufen bist du relativ sicher imho.

 

[hex]

Unter Linux bist zu auf jeden Fall um einiges sicherer, wie unter Windows. Egal
welche Maßnahmen du zur Sicherung von Windows ergriffen hast!

Wenn du wirklich so paranoid bist, dann würde ich, wie Grünling schon sagte, auf
Online-Banking verzichten!


mfg hex

 

[hoernchen]

Die Gefahr einem Rootkit aufzuliegen ist immer gegeben, natürlich. Jedoch ist es speziell unter Linux, sowieso schwer die User unbekannte Kommandos/scripts ausführen zu lassen.

es gibt nicht nur rootkits die userinteraktion erfordern ;-)

 

[Carlos]

Ich mache Online-Banking, da es sehr viel praktischer ist, gleich nachdem man etwas bestellt hat die Überweisung rauszuschicken.
Zudem habe ich nicht mein ganzes Geld auf dem Onlinekonto ;-)

es gibt nicht nur rootkits die userinteraktion erfordern ;-)

Heißt das, dass man die Wahrscheinlichkeit von einem rootkit infiziert zu werden, verringern kann, indem man ausschließlich auf die Seite der Bank geht und sofort danach herunterfährt?

Gibt es eine Statistik von Viren und Boots unter Linux (wie das bei Windows der Fall ist)?


MfG

Carlos

 

[PBeck]

@ hoernchen:

Selbstverständlich. Jedes Programm das einen Buffer-Overflow produziert ist ein potenzielles Ziel.

@ Carlos:

Du könntest auch einfach direkt zum Schalter in der Bank gehen. Das ist sicherer Wenn du dies unter Linux so genau prüfst wie war das bei dir dann unter Windows? Ich führe meine Überweisungen auch online durch und habe auch keine erweiterten Sicherheitsmaßnahmen im Einsatz. Nur was ich natürlich nicht mache ist es über Wlan dies durchzuführen, dafür hänge ich mich direkt an den Router.

 

[Carlos]

@PBeck

Danke für deine Antwort! Denn nun weiß ich, dass man unter Linux (welche Distribtion verwendest du?) ohne Sicherheitsmaßnahmen sicher(er) Geld überweisen kann.

Ich prüfe das so genau unter Linux, da ich 1. von Linux überhaupt keine Ahnung habe und herausfinden möchte, ob solche Maßnahmen nötig sind und 2. da ich unter Windows erst sehr viele Schritte, wie das Abstellen der unnötigen Dienste, das Erstellen eines eingeschränkten Benutzerkontos, diverse Einschränkungen (z.B. Verbot des Zugriff auf die registry) und einmal im Monat wegen eines Virenbefalls ein sauberes Backup durchführen musste damit das System sicherer wurde.


Als Fazit kann ich also festhalten, dass es mit Linux Ubuntu (immer die neuste Version) sicherer* ist als mit Windows XP (im konfigurierten Zustand, s.o.) Überweisungen zu tätigen, da von Haus aus schon die Angriffsflächen reduziert worden sind (?)


* Ich denke selbst wenn man ein sehr sicheres System zu haben meint, ist dieses immer nur so sicher, wie das Surfverhalten des Benutzers vernünftig ist. Also sollte man Brain 2.0 beim Surfen aktivieren... :-D

 

[Xanti]

Linux ist nicht sicher, nur weil Linux draufsteht. Linux ist nur so sicher, wie man es verwaltet. Auch der Vergleich Windows-Linux hinkt. Ein gut administriertes Windows-System kann ein sicheres System sein, zumindest sicherer als ein schlecht verwaltetes Linux-System.

Gruss, Xanti

 

[ergonomic]

Ich versteh die Diskussion nicht ganz ... was hat Onlinebanking mit der Distri zu tun? Linux - Win ... is doch bums, Fakt ist, dass der Fehler viel häufiger beim Menschen liegt ...

MITM mit gefälschten Certs ... User klickt einfach "ok" etc

 

[theton]

Die groesste Sicherheitsluecke in einem System sitzt meist 30-50cm vor dem Bildschirm.

 

[Rafer]

Ich mache Online-Banking, da es sehr viel praktischer ist, gleich nachdem man etwas bestellt hat die Überweisung rauszuschicken.
Zudem habe ich nicht mein ganzes Geld auf dem Onlinekonto ;-)

Tja, da wären wir wieder beim alten Thema "Sicherheit Versus Komfort".

Wenn du wirklich "sooo Paranoid" wärst, würdest du dich auf Online Banking nicht einlassen, schon garnicht wenn du dich mit dem System was du sicher machen willst nicht auskennst und nochnichtmal Grundbegriffe kensnt die dazugehöhren um ein System Effektiv zu schützen.

 

[Carlos]

@theton & ergonomic

Hehe. Guter Spruch. Das ist und war mir bisher immer schon klar... ;-)
Aber um noch mehr Sicherheit zu erreichen, muss man wohl am System etwas konfiguieren (?)


@Xanti

Einige Leute haben mir bereits gesagt, dass Linux konzeptionell sicherer sei als Winodws (wegen den Diensten, etc.).
Wie kann man deiner Meinung nach Linux gut verwalten?


@Rafer

Das Ausmaß meines Sicherheitsbedürfnisses steht hier nicht zur Debatte...

Ich möchte nur wissen, welche Schritte man durchführen muss, um das System Effektiv zu schützen.


Wenn ihr mir dies sagen würdet, wäre ich euch sehr verbunden.

Denn fragen, ist menschlich (?) gell...


MfG

Carlos

 

[rikola]

Ein paar Punkte, die Dein System schwer(er) verwundbar machen:
1) Wahle gute Passwoerter fuer sowohl root als auch den User: >= 8Zeichen, inkl. Sonderzeichen, Gross-/Kleinbuchstaben, Zahlen. Je laenger, je sicherer, solange es keine Worte sind, die man in Woerterbuechern nachschlagen kann. Es gibt, soweit ich weiss, Programme, die sehr sichere, da zufaellig Passwoerter generieren. Die sind schwer zu merken, doch wenn Du von zuhause arbeitest, kannst Du das Passwort in Deinen Akten ablegen.

2) Lege nur root und einen weitere User fuer Dich an. Arbeite so wenig wie moeglich als root.

3) Lasse keine Dienste laufen. Bei den meisten Distributionen sind anfangs v.a. sshd an. Wenn Du keinen Zugriff von aussen benoetigst, stelle auch das ab. Es gibt es Programm 'nmap'. Wenn Dein Rechner in einem Netz haengt und eine IP hat, so sagt Dir 'nmap IP-Adresse' von einem anderen Rechner aus als root gestartet, welche Ports offen sind. Wenn da keine angezeigt werden, ist das schonmal eine gute Sache.

4) Hole Dir den ssl-Schluessel Deiner Bank schriftlich ab, oder lasse ihn Dir schriftlich zuschicken. Beim ersten mal mit einem Browser sollte dieser Schluessel Dir angezeigt werden. Akzeptierst Du ihn (nach Pruefung), musst Du ihn bei den weiteren Malen nicht nochmals pruefen. Ich weiss nicht, ob es mittlerweile jemandem gelungen ist, auch den ssl-Schluessel eine Seite zu faelschen, halte ich jedoch fuer sehr unwahrscheinlich.

5) Falls Du Daten der Bank auf Deinem Rechner speichern musst/willst, und Du Angst hast, dass der Rechner geklaut werden koennte, verschluessele sie. Oder noch besser, arbeite mit einem verschluesselten Dateisystem.

6) Wenn Du die Platte jemals verkaufst, ueberschreibe sie min 1x mit Nullen. Formatieren reicht nicht, dabei werden die Daten selber nicht ueberschrieben, zumindest nicht vollstaendig.

So, dass sind schon recht paranoide Massnahmen, mit denen Du meiner Meinung nach halbwegs sicher online-banking ausfuehren kannst.

Korrigiere mich jemand, falls ich was Falsches geschrieben oder vergessen habe.

 

[Xanti]

...
6) Wenn Du die Platte jemals verkaufst, ueberschreibe sie min 1x mit Nullen. Formatieren reicht nicht, dabei werden die Daten selber nicht ueberschrieben, zumindest nicht vollstaendig.
...

Laut Peter Gutmann muss man die Platte 22mal überschreiben.

Gruss, Xanti

 

[theton]

Den Tipps von rikola stimme ich voll zu. Weitere Massnahmen duerften fuer einen Desktop-Rechner uebertrieben sein. Wenn erstmal alle Ports dicht sind, kann vom Netz niemand mehr auf den Rechner zugreifen. Und wo nichts ist, kann auch nichts angegriffen werden. Dann liegt das groesste Problem sicherlich nur noch bei Leuten, die physischen Zugriff auf den Rechner haben, womit wir wieder bei der groessten Sicherheitsluecke eines Systems angelangt waeren. Linux ist an sich recht sicher, aber gegen die Dummheit der Benutzer, die irgendwelchen Phishing-Mails folgen, ihre Bank-Logindaten im Browser speichern u.ae., kann selbst der beste Admin nichts machen. Daher noch eine kleine Ergaenzung: Niemals Programme wie kdewallet oder den Passwort-Manager des Browsers nutzen. Niemand kann garantieren, dass die Passwoerter da drin wirklich sicher sind.
Achja, wenn Systemmails benoetigt werden, dann auf jeden Fall auf einem Desktop-Rechner dafuer sorgen, dass der Mailserver nur auf localhost/127.0.0.1 lauscht.

 

[Carlos]

Vielen Dank für eure Hilfe, v.a. an Rikola.

Ich werde diese Maßnahmen versuchen morgen nach einer erneuten Installation von Linux Ubuntu umzusetzen. Falls ich Problem haben werde, schaue ich hier nach und poste nötigenfalls die Fragen.

@rikola & Xanti

Wenn es um's Löschen von Dateien geht, habe ich bisher immer den Peter Gutmann (35 mal überschrieben) mit dem Progamm Eraser genutzt. Leider funktioniert das Programm nicht unter Linux.

Die sensilblen Daten (wie Steuererklärungen) verschlüssel ich immer mit TrueCrypt oder AxCrypt (jeweils mit Keyfiles). Ich denke, dass diese Methode sicher genug ist (Passwort mit Sonderzeichen 43 Zeichen und laut dieser Seite stark).


@theton

Phising ist für mich kein Thema. An mir die Forderung von Lessing & Co. nicht wirkungslos geblieben...


@all

Was genau ist ein ssl-Schlüssel?
(Die Homepage meiner Bank ist nur über eine ssl-Verbinung zu erreichen)

Vielen Dank für eure Hilfe!

MfG

Carlos

 

[theton]

Wenn es um's Löschen von Dateien geht, habe ich bisher immer den Peter Gutmann (35 mal überschrieben) mit dem Progamm Eraser genutzt. Leider funktioniert das Programm nicht unter Linux.

Unter Linux gibt es 'shred'.

NAME
       shred - overwrite a file to hide its contents, and optionally delete it

SYNOPSIS
       shred [OPTIONS] FILE [...]

 

[Xanti]

Unter Linux gibt es 'shred'.

NAME
       shred - overwrite a file to hide its contents, and optionally delete it

SYNOPSIS
       shred [OPTIONS] FILE [...]

...oder wipe.

 

[oyster-manu]

ich würde auch noch alle nicht benötigten programme deinstallieren (je mehr installierte programme, desto höher die angriffsfläche).
prinzipiell brauchst du nur
- minimalen windowmanager (kde halte ich für zu vollgestopft = viele programme)
- browser
- natürlich alle nötigen netzwerkprogramme um überhaupt ins inet zu kommen.

wie schon oben genannt wurde, würde ich auch alle ein- und ausgehenden verbindungen erbieten, außer die zwischen dir und der bankseite. (du kannst auch einen netzwerkscan von heise.de aus machen lassen, falls du keinen rechner zur verfügung hast.)
dann kann man noch dem user alle möglichen rechte nehmen indem man ihm z.b. nur in die gruppe dialout eingliedert, aus allen weiteren aber ausschließt.

für extraparanoide kann man noch jedesmal nachdem der browser geschlossen wird, den kompletten cache leeren lassen.

am wikrungsvollsten ist aber immer noch AUGEN AUF IM SURFVERKEHR