Hallo,
ich überlege gerade, wie ich einen PC für Onlinebanking absichern kann.
Seither habe ich einen alten PC nur für diesen Zweck abgestellt, den ich
mit den neuesten Windows-Updates und Virenscanner immer sauber halten
will. Nun könnte man es vielleicht auch viel einfacher gestalten. Irgend
ein altes Betriebssystem wird von der originalen CD installiert, dann
eine Undo-Software oder (falls es das noch gibt, eine
Undo-Hardware/Steckkarte), die den Rechner nach jedem Betrieb wieder in
den Ursprungszustand versetzt. Alle eventuell eingefangenen Schädlinge
werden wieder beseitigt. Vorteile: Kein neues Windows, keine
Win-Updates, keinen Virenscanner kaufen, keine Browser-Updates.
Welche Nachteile hat der Ansatz? Wer kennt geeignete Software/Hardware?
Onlinebanker schrieb:> die den Rechner nach jedem Betrieb wieder in> den Ursprungszustand versetzt.
Funktioniert nur leider nicht bei Schaedlingen die im MBR, BIOS, dem
Festplattencontroller oder sich in sonstiger Hardware eingenistet haben.
Alternativ waere vielleciht eine VM (zB. unter Oracles VirtualBox, oder
VMWare Sever, etc.) eine Option.
Da kann man dann entweder Snapshots erstellen und diese immer wieder
herstellen, es solte aber auch moeglich sein die VM so zu konfigurieren
dass nach dem Herunterfahren alle Aenderungen verworfen werden.
Linux wuerde dir viel ersparen, zB. Viren-/Trojanerscanner etc. pp.
Ob ein Pferdewagen heute noch das sicherste Fahzeug ist?
> Alle eventuell eingefangenen Schädlinge> werden wieder beseitigt. Vorteile: Kein neues Windows, keine> Win-Updates, keinen Virenscanner
Dann hätte z.B. der Sasser Dein System schon lange unbrauchbar gemacht.
Absolute Sicherheit gibt es nicht. Man muß wie beim Autofahren täglich
mit neuen Risiken rechnen und versuchen diesen Vorzubeugen.
Eigentlich gehe ich davon aus, dass eine Infektion mit Schadsoftware so
unwahrscheinlich ist, dass es ausreicht, den PC nach jeder Anwendung
wieder zu resetten.
Kaj schrieb:> Onlinebanker schrieb:>> die den Rechner nach jedem Betrieb wieder in>> den Ursprungszustand versetzt.> Funktioniert nur leider nicht bei Schaedlingen die im MBR, BIOS, dem> Festplattencontroller oder sich in sonstiger Hardware eingenistet haben.
Virenscanner wäre bei diesem Konzept nicht möglich, da dieser immer
wieder seine aktuelle Virendatei verliert. Wie lassen sich MBR und BIOS
schützen?
Ist Linux komplett frei von Schädlingen und Angriffen? Braucht man da
keine Updates, um bekannte Sicherheitslücken zu beseitigen (kenne mich
mit Linux nicht aus)?
oszi40 schrieb:> Dann hätte z.B. der Sasser Dein System schon lange unbrauchbar gemacht.
nein, denn auch dieser kommt an der Firewall eines XPs nicht vorbei.
(wenn sie denn aktiv ist).
Also bitte nicht so einen Unsinn verbreiten.
Peter II schrieb:> nein, denn auch dieser kommt an der Firewall eines XPs nicht vorbei.
... sofern es aktuell genug ist. Sein Ur-XP ohne jegliches SP wäre tod.
Onlinebanker schrieb:> Ist Linux komplett frei von Schädlingen und Angriffen? Braucht man da> keine Updates, um bekannte Sicherheitslücken zu beseitigen (kenne mich> mit Linux nicht aus)?
Nein, es ist nicht komplett frei von Viren etc., es gibt nur viel viel
weniger fuer Linux.
Sich etwas ueber eine Webseite einzufangen ist auch bei Linux tehcnisch
moeglich (zB. ueber eine uralt Java installation welche Applets
ausfuehrt), aber im Fokus der Virenschreiber stehen eben Windows und
Androidsysteme (zumindest im Moment).
Updates sind wichtig bei Linux um ein System sicher zu halten,
insbesondere wenn man Server betreibt.
Nebenbei, Linux ist kein Betriebssystem, sondern nur der Kernel.
oszi40 schrieb:> ... sofern es aktuell genug ist. Sein Ur-XP ohne jegliches SP wäre tod.
auch dann nicht, die Firewall war schon immer dabei - nur nicht
standardmäßig aktiv.
http://de.wikipedia.org/wiki/Windows-Firewall
Man müsste aber wirklich mal testen ob sasser überhaupt noch unterwegs
ist.
oszi40 schrieb:> Sein Ur-XP ohne jegliches SP wäre tod.
Das wäre es nur, wenn damit ohne NAT-Router ins Internet gegangen würde.
Damals, als Sasser & Co. verbreitet waren, war das ja noch üblich, aber
wer macht das heutzutage noch? Selbst die UMTS-Stick-Nutzer nutzen NAT
(in fast allen Fällen setzen UMTS-ISPs NAT ein).
Also ich fasse mal zusammen: Linux verwenden um die Anzahl an
Schadsostware gering zu halten. Das System in einer VM mit
Undo-Funktion. Werden da auch MBR der virtuellen Festplatte un das Bios
der VM zurückgesetzt? Wie sieht es bei einer Infektion des Wirts
(Betriebssystem, das die VM ausführt) aus? Fängt sich der Wirt einen
Keylogger ein, kann das innerhalb der VM Schaden anrichten?
Onlinebanker schrieb:> Wie lassen sich MBR und BIOS schützen?
Gar nicht.
Onlinebanker schrieb:> Ist Linux komplett frei von Schädlingen und Angriffen?
Nein ist es nicht. Aber die Anzahl von Viren und Angriffen sind
überschaubar.
Wenn aber Werkzeuge wie Blackhole, Zeus, Metasploit und Co. eingesetzt
werden (und das werden sie) ist es völlig egal ob du Windows, Linux oder
Apple hast. Mit den Tools kommst du in Jedes OS rein, da hilft auch die
tollste Firewall nicht.
Weiterhin sugerieren Firewalls eine trügerische Sicherheit. Die
Firewalls die man so bekommst, ob gratis oder bezahl Produkte, lassen
entweder von vornherein alles durch, damit sich der User nicht mit der
Konfiguration rum schlagen muss, oder sie lassen nichts durch.
(Professionelle Firewalls für Firmen mal ausgenommen!)
Außerdem kann eine Firewall leicht ausgetrickst werden, in dem mein
Trojaner zum Beispiel über Port 80 nach Hause telefoniert... und keine
Firewall der Welt wird "freiwillig" Port 80 blocken, was ein "normaler
User" auch nicht will, weil dann wars das nämlich mit Internet.
Ein Virenscanner hilft auch nur bedingt, wenn sich der Schädling nur im
Arbeitsspeicher befindet, oder sich der Schädling an die Mausaktivitäten
hängt.
Es gibt keine Sicherheit. Das "sicherste" wäre eine Live-CD
(vorzugsweise ein Linux-OS), da musst du dich dann auch nicht um das
zurück setzen des Systems oder um Snapshots von VM's kümmern. Und auf
die Festplatte kannste da auch verzichten. Das ist meiner Meinung
Sicherer als eine Wächterkarte, eine VM oder sonst was.
Onlinebanker schrieb:> Eigentlich gehe ich davon aus, dass eine Infektion mit Schadsoftware so> unwahrscheinlich ist, dass es ausreicht, den PC nach jeder Anwendung> wieder zu resetten.
so etwas gibt es: PC-Wächter
(http://www.dr-kaiser.de/pc-waechter.0.html) oder wie schon geschrieben,
eine Linux Live-CD.
Onlinebanker schrieb:> einem Usb-Stick sichern, damit sie erhalten bleiben?
Mit ausreichend Wissen schon (man mount). Eine andere Frage wäre, wie
man dann was beweisen kann WENN beim Onlinebanking was schief geht.
Hallo,
falls du ein Linux (live/virtualisiert) verwendest, dann alle
Zertifikate entfernen bis auf das von deiner Bank, Veraltete
Verschluesselungen blockieren (z.B. RC4) und noscript kann ich auch
waermstens empfehlen.
Gruss Christoph
Onlinebanker schrieb:> Eigentlich gehe ich davon aus, dass eine Infektion mit Schadsoftware so> unwahrscheinlich ist, dass es ausreicht, den PC nach jeder Anwendung> wieder zu resetten.
Richtig daran ist, dass das Resetten verhindert, dass ein Trojaner über
Monate hinweg alles mögliche ausspähen kann. Falsch ist, dass es
überhaupt vor Trojanern schützt: es gibt Untersuchungen, dass ein PC in
Internet nach durchschnittlich 30 Sekunden angegriffen wird. Es ist also
durchaus möglich, dass ein "1-Sitzungs-Trojaner" Schaden anrichtet, aber
die Wahrscheinlichkeit ist erheblich reduziert, z.B. bleiben Angriffe
über EMail oder Phishing wirkungslos, wenn man einfach beim Banking mal
die Mails in Ruhe lässt (und Twitter und Facebook usw., auch wenns
schwerfällt).
Auch und besonders Hacker achten auf das Kosten-Nutzen-Verhältnis und
arbeiten daher mit dem populärsten Betriebssystem, und das ist nicht
Linux. Aber die Tatsache, dass c't mit Bankix ein Linux-Live-System
speziell für Banking propagiert, könnte einen Hacker zu der Überlegung
bringen, einen darauf spezialisierten Trojaner zu schreiben, umso mehr,
je populärer Bankix wird.
Umkehrschluss: am sichersten wäre ein exotisches System, aber da fällt
mir im Moment nur Berkeley Unix oder Solaris ein.
Gruss Reinhard
Die Angabe einer E-Mail-Adresse ist freiwillig. Wenn Sie automatisch per E-Mail über Antworten auf Ihren Beitrag informiert werden möchten, melden Sie sich bitte an.
Wichtige Regeln - erst lesen, dann posten!
Groß- und Kleinschreibung verwenden
Längeren Sourcecode nicht im Text einfügen, sondern als Dateianhang