Hallo,
ich hallse meine Eltern seit geraumer Zeit ihr Online-Banking unter Linux erledigen. Der Rechner ist nur per Router durchs Netz "abgeschirmt". Firewall etc. sind auf dem Rechner nicht installiert. Als Browser nutzen sie Firefox.

Gibt es irgendwelche gravierenden Schwachstellen, die ich kontrollieren sollte oder ist das soweit sicher? Ich mein vorallem Löcher durch Schadsoftware. Menschliches Versagen der Marke Phishing ist natürlich immer ein Risiko.

Sicherheit unter Linux kein Problem? IT-Sicherheit hat mit dem verwendeten Betriebssystem per se erstmal wenig zu tun. Linux ist auch nicht sicherer als Windows, nur weil es Linux ist.

Hallo,
ich hallse meine Eltern seit geraumer Zeit ihr Online-Banking unter Linux erledigen. Der Rechner ist nur per Router durchs Netz "abgeschirmt". Firewall etc. sind auf dem Rechner nicht installiert. Als Browser nutzen sie Firefox. Du meinst also Onlinebanking per Browser? Das ist unter Linux genau so sicher oder unsicher wie unter Windows. Beide Betriebssysteme müssen sicher konfiguriert sein und bedarfen regelmäßiger Pflege durch Sicherheits-Patches. Genau so ist es mit den Web-Browsern. Firefox muss regelmäßig aktualisiert werden.

Gibt es irgendwelche gravierenden Schwachstellen, die ich kontrollieren sollte[...] Ja. Sorge dafür, dass die Wahrscheinlichkeit, dass z. B. www.deutsche-bank.de zu einer falschen IP-Adresse aufgelöst wird gering ist. Deine Eltern wollen sich wahrscheinlich nämlich nicht erst mit Zertifikatsgrundlagen beschäftigen.

Viel wichtiger als an der Technik zu feilen ist meiner Meinung nach aber, deine Eltern zu schulen, wie sie sich am Rechner verhalten müssen, um ihr Geld zu schützen.

IT-Sicherheit hat mit dem verwendeten Betriebssystem per se erstmal wenig zu tun. Linux ist auch nicht sicherer als Windows, nur weil es Linux ist.
In Bezug auf Viren etc. durchaus. Es werden wesentlich mehr Viren/Shadsoftware für Window produziert also für jedes anderes System. Hauptgrund ist sicher der Marktanteil aber dadurch wächst natürlich das Risiko.


Du meinst also Onlinebanking per Browser? Das ist unter Linux genau so sicher oder unsicher wie unter Windows. Beide Betriebssysteme müssen sicher konfiguriert sein und bedarfen regelmäßiger Pflege durch Sicherheits-Patches. Genau so ist es mit den Web-Browsern. Firefox muss regelmäßig aktualisiert werden.
Ja per Browser. Wie gesagt ebend nicht. Die Warscheinlichkeit unter Linux nen funktionierenden Trojaner/Keylogger per E-Mail einzufangen liegt im 0% Bereich. Tausendmal sagen, dass man keine E-Mailanhänge öffnen soll ist mir nicht sicher genug.


Ja. Sorge dafür, dass die Wahrscheinlichkeit, dass z. B. www.deutsche-bank.de (http://www.deutsche-bank.de) zu einer falschen IP-Adresse aufgelöst wird gering ist. Deine Eltern wollen sich wahrscheinlich nämlich nicht erst mit Zertifikatsgrundlagen beschäftigen.

Viel wichtiger als an der Technik zu feilen ist meiner Meinung nach aber, deine Eltern zu schulen, wie sie sich am Rechner verhalten müssen, um ihr Geld zu schützen.
Hmm das hacken einer Netgear Kiste ist sicher im Bereich des möglichen und da könnte man bspw. den DNS Server ändern, dass das jemand direkt im System macht ist aber wohl eher unwarscheinlich, da ssh usw. nicht laufen.

@Nasenbär

Warum machst du hier nen Thread auf wenn du dir die Fragen gleich selbst beantwortest??

@Nasenbär

Warum machst du hier nen Thread auf wenn du dir die Fragen gleich selbst beantwortest??
???
Ich habe mir halt schon einige Gedanken dazu gemacht aber da ich nur ein Mensch bin mache ich Fehler. Und ich bin weiß Gott kein Sicherheitsguru. :)
An die Sache mit den DNS Servern hätte ich bspw. nicht gedacht und bin deshalb dankbar für den Tipp.
Ich wollte ja nur wissen ob ich einige größere Sichheitslücken übersehen habe oder ob meine Gelassenheit gerechtfertigt ist.

???
Ich habe mir halt schon einige Gedanken dazu gemacht aber da ich nur ein Mensch bin mache ich Fehler. Und ich bin weiß Gott kein Sicherheitsguru. :)
An die Sache mit den DNS Servern hätte ich bspw. nicht gedacht und bin deshalb dankbar für den Tipp.
Ich wollte ja nur wissen ob ich einige größere Sichheitslücken übersehen habe oder ob meine Gelassenheit gerechtfertigt ist.

Wie wärs mit Homebanking von Knoppix aus??

auf HBCI >
http://de.wikipedia.org/wiki/HBCI
umsteigen, dürfte noch mal ne Ecke sicherer ein.
Aber ob die Dinger auch unter linux laufen, dürfte ne andere Frage sein ;)

auf HBCI >
http://de.wikipedia.org/wiki/HBCI
umsteigen, dürfte noch mal ne Ecke sicherer ein.
Aber ob die Dinger auch unter linux laufen, dürfte ne andere Frage sein ;)
GnuCash hat ne HBCI Schnittstelle aber GnuCash ist keine Kontoverwaltungssoftware sondern wohl eher für Buchhaltung gedacht.

http://linuxwiki.de/HBCI#head-89edbd5919b12067864f5dd655b44bb65d262d4e

http://www.linux-club.de/faq/Allgemeine_Linkliste_zu_Office_Anwendungen#Homebanking

beides im Linux-Unterforum gefunden >

http://linuxwiki.de/HBCI#head-89edbd5919b12067864f5dd655b44bb65d262d4e

http://www.linux-club.de/faq/Allgemeine_Linkliste_zu_Office_Anwendungen#Homebanking

beides im Linux-Unterforum gefunden >

http://www.onlinebanking-forum.de/

Jojo schön und gut aber geht hier nicht um meinen Banking-Zugang sondern um den meiner Eltern und denen brauche ich mit extra Software nicht kommen. Es hat schon lange genug gedauert ihnen so den Umgang mit dem PC und inet-Banking zu erklären. Für nen Umstieg wäre mein Vater sicher nicht bereit.
Aber ich guck mir das vielleicht mal für meine Banking-Sachen an. :)

IT-Sicherheit hat mit dem verwendeten Betriebssystem per se erstmal wenig zu tun. Linux ist auch nicht sicherer als Windows, nur weil es Linux ist.


Falsch.

Linux ist erstmal sicher bei Default, das muß man erstmal kaputtkonfogurieren
um es unsicher zu machen.
Sprich Dienste installieren, als root Arbeiten.


Windows dagegen ist insecure by Default.
Man kriegt gleich zu Beginn einen Admin Account und ohne ihn zu arbeiten ist so anstregendend, daß es die wenigsten tun.

In Bezug auf Viren etc. durchaus. Es werden wesentlich mehr Viren/Shadsoftware für Window produziert also für jedes anderes System. Hauptgrund ist sicher der Marktanteil aber dadurch wächst natürlich das Risiko.


Auch Falsch.

Linux hat den größten Marktanteil als Server Betriebsystem und die Server hängen rund um die Uhr am Internet, d.h. sie tragen das größte Risiko.


Die paar Windows Desktop Maschinen sind gegen diese Server Rechner gar nichts, da viel unwichtiger.

Auch Falsch.

Linux hat den größten Marktanteil als Server Betriebsystem und die Server hängen rund um die Uhr am Internet, d.h. sie tragen das größte Risiko.


Die paar Windows Desktop Maschinen sind gegen diese Server Rechner gar nichts, da viel unwichtiger.
Aber man greift sie nicht mit Viren an. ;) DoS-Attacker etc. ist wesentlich einfacher als Viren auf ne Linux Kiste zu schleusen. Außerdem haben meine Eltern keinen Server der 24/7 läuft und hochverfügbar sein muss.

Es gibt sicher mehr Enduser-Maschinen, also Workstations, als Server.

Ja. Sorge dafür, dass die Wahrscheinlichkeit, dass z. B. www.deutsche-bank.de zu einer falschen IP-Adresse aufgelöst wird gering ist.Aktuell etwas schwierig ;).
-> http://www.securityfocus.com/bid/25037
http://www.heise-security.co.uk/news/93425

IT-Sicherheit hat mit dem verwendeten Betriebssystem per se erstmal wenig zu tun. Linux ist auch nicht sicherer als Windows, nur weil es Linux ist.

Wobei Linux tatsächlich schon von Haus aus viel sicherer konfiguriert ist und man sich relativ sicher sein kann, daß keine Anwendung root-Berechtigungen braucht. Das ist unter Windows nicht so und deshalb sind sehr viele Leute mit Admin-Berechtigungen unterwegs.

Das ist mit Vista aber viel besser geworden. Wer sich das durch das Abschalten von UAC aber wieder kaputtkonfiguriert, dem bringt auch Linux nichts. Da ist das entsprechende Äquivalent zu UAC nämlich schon lange Standard und vermutlich auch nicht ganz so leicht abschaltbar wie unter Vista.

Das ist mit Vista aber viel besser geworden. Wer sich das durch das Abschalten von UAC aber wieder kaputtkonfiguriert, dem bringt auch Linux nichts. Da ist das entsprechende Äquivalent zu UAC nämlich schon lange Standard und vermutlich auch nicht ganz so leicht abschaltbar wie unter Vista.
Nein. Der Punkt ist, unter Linux brauchst du die root-Berechtigungen nicht ausser du bastelst am System rum. Unter Windows ist das so, daß sehr viele Programme ohne Admin-Rechte nicht laufen auch wenn sie keine Programme zur Systemadministration sind. Weil die Programmierer Scheisse gebaut haben und schreibend auf Bereiche zugreifen auf die man ohne Adminrechte nur lesend zugreifen darf. Klar kann man jetzt mit Regmon rausfinden welche Schlüssel das sind und sie dann einzeln freischalten. Nur wenn du z.B. MS Office nutzt dann sind's gleich mehrere Hundert Schlüssel. Also lassen viele die Kiste gleich mit Adminrechten laufen weil sie dann keine Probleme mehr haben.

Deshalb bringt Linux schon was weil man mit sowas wie UAC kaum in Berührung kommt. Eben weil die Linuxprogrammierer ihre Sache viel ordentlicher machen.

Von welchen Gefahren ist hier die Rede? Wenn erstmal alle ihre Systeme up to date hätten...

Breaucht man nicht so oder so Adminrechte um etwas zu installieren? Unter Linux nicht? Ok, nur so ein nicht unter Linux installierter Scriptwurm/Trojaner/Virus tut dann nicht wirklich weh und ist leicht zu entdecken und killen? Das wäre schön. Wer hat das schon ausprobiert?

Bin seit 5 Jahren mit XP und eingeschränkten Rechten im Netz und mache sonst alles als Admin - mit paar Ausnahmen die aber unter dem Eingeschränkten auch problemlos laufen - und hatte seitdem nie etwas von Viren gehört. INSTALLATIONEN sind wie gesagt so eine Sache. Man sollte eben schon wissen was man und woher hat...

Ok, nur so ein nicht unter Linux installierter Scriptwurm/Trojaner/Virus tut dann nicht wirklich weh und ist leicht zu entdecken und killen? Das wäre schön. Wer hat das schon ausprobiert?Meinte "auf Linux, nicht mit Rootrechten installierter"

Meinte "auf Linux, nicht mit Rootrechten installierter"

Also ins Homeverzeichnis kannste natürlich quasi alles installieren und musst nicht in den superuser modus wechseln. Willste was systemweit installieren dann brauchst du halt adminrechte.
Also ich könnte mir vorstellen, dass jemand ein vorkompiliertes Programm natürlich sehr woh vie E-Mail verschicken kann und es dann warscheinlich auf dem Zielsystem auch läuft. An die Daten des Homeverzeichnisses kommt er dann natürlich ran und kann die auch vie Inet versenden. Aber bei bspw. ein em Keylogger weiß ich nicht ob man dann global alle Tastenanschläge mitloggen kann oder ob das Prog dazu den fokus braucht. Datem im Homeverzeichnis etc lassen sich natürlich löschen und solche Sachen.

Allerdings bekam ich noch nie ne Mail mit nem Linux Wurm/Virus etc.


@Windows Vista mit UAC
Ist natürlich ein Schritt in die richtige Richtung aber es wird lange dauern bis es ausgereift ist, da die ganzen Programmierer erstmal umdenken müssen. Statt jeden Konfig-Kram in die Registry zu schreiben wäre es auch sicher leichter sowas in Dateien im Installationsverzeichnis oder besser noch in nem speziellen Ordner im Homeverzeichnis zu speichern. Dinge wie Dateiendungen etc. gehören dagegen natürlich in die Reg und will man sowas systemweit setzen müssen dazu auch Adminrechte notwendig sein.

Allerdings bekam ich noch nie ne Mail mit nem Linux Wurm/Virus etc.Ich auch nicht. Es ging aber darum, ob Linux PRINZIPIELL durch seine Architektur sicherer ist bzw. sicher genug im Vergleich zu NT. Wenn man das objektiv betrachtet, könnte mna unter Linux auch so seine Probleme bekommen ;)

Ich auch nicht. Es ging aber darum, ob Linux PRINZIPIELL durch seine Architektur sicherer ist bzw. sicher genug im Vergleich zu NT. Wenn man das objektiv betrachtet, könnte mna unter Linux auch so seine Probleme bekommen ;)
Richtig. Das hab ich ja am Anfang auch geschrieben, dass nicht unbedingt an Linux liegt sondern an der wesentlich größeren Basis von Windows, dass dieses OS so viel interessanter für Angriffe ist.

@Windows Vista mit UAC
Ist natürlich ein Schritt in die richtige Richtung aber es wird lange dauern bis es ausgereift ist, da die ganzen Programmierer erstmal umdenken müssen. Statt jeden Konfig-Kram in die Registry zu schreiben wäre es auch sicher leichter sowas in Dateien im Installationsverzeichnis oder besser noch in nem speziellen Ordner im Homeverzeichnis zu speichern. Dinge wie Dateiendungen etc. gehören dagegen natürlich in die Reg und will man sowas systemweit setzen müssen dazu auch Adminrechte notwendig sein.
Umdenken müssen die Windows-Programmierer nicht. Nur ihre Faulheit abstellen und sauber programmieren. Es gibt nämlich einen Registry-Baum, der für den normalen User reserviert ist. Da könnten sie ihre Einstellungen userspezifisch abspeichern, ohne daß man irgendwelche Rechte verbiegen muss. Also quasi wie Dateien im Home-Verzeichnis. Nur blicken sie wahrscheinlich selber nicht mehr in ihren Code durch weil man Code von 1993 benutzt wo es noch keine Usertrennung gab. Und jetzt gibt's den Schlamassel.

Lustig ist z.B. wenn man Office 97 und Office 2000 SP1 parallel nutzen will und beide Office-Versionen um die Registrierung der Dateiendungen (und viele andere Dinge) kämpfen. Wenn man mit Administratorrechten arbeitet ist das kein Problem. Arbeitet man hingegen mit Benutzer-Rechten dann ist das Verhalten abhängig davon welches Office die Registrierung für die Endungen (und die anderen Werte) hat. Hat Office 97 gerade die Registrierung dann will Office 2000 immer die Office 2000-CD haben. :D Klappt aber am Ende nicht und es startet trotzdem. :D Hat Office 2000 die Registrierung dann kann man z.B. Access 97 nicht mehr starten weil es sich mit einer Fehlermeldung verabschiedet.

Ich entdecke neurdings immer mehr Programme die mich bei der Installation fragen, ob dies oder jenes global eingestellt werden soll oder nur für den installierenden. Ihre Konfigs übernehmen sie dann für jeden User extra.

Aktuell macht das Lightroom so. Es geht also alles ohne Probleme. Im Thread geht es aber auch nicht darum wer wie schlecht programmieren kann ;)

Aktuell etwas schwierig ;).
-> http://www.securityfocus.com/bid/25037
http://www.heise-security.co.uk/news/93425 Unter anderem deshalb setze ich nicht auf BIND, sondern auf djbdns (http://cr.yp.to/djbdns.html). :D

Aber man greift sie nicht mit Viren an. ;) DoS-Attacker etc. ist wesentlich einfacher als Viren auf ne Linux Kiste zu schleusen.


Was bringt dir ein Virus unter Linux wenn der Virus keine root Rechte hat weil der Nutzer ohne root Rechte surft?


Was lernen wir daraus:

Unter Linux hat der Virus keine Macht.
Unter Windows schon, da dort sowieso als Admin gearbeitet wird.

Was bringt dir ein Virus unter Linux wenn der Virus keine root Rechte hat weil der Nutzer ohne root Rechte surft?Keylogger, Spammails verschicken oder an DoS-Attacken teilnehmen geht auch ohne root Rechte. Er wäre aber relativ leicht zu entdecken und zu entfernen.

Nein. Der Punkt ist, unter Linux brauchst du die root-Berechtigungen nicht ausser du bastelst am System rum. Unter Windows ist das so, daß sehr viele Programme ohne Admin-Rechte nicht laufen auch wenn sie keine Programme zur Systemadministration sind. Weil die Programmierer Scheisse gebaut haben und schreibend auf Bereiche zugreifen auf die man ohne Adminrechte nur lesend zugreifen darf. Klar kann man jetzt mit Regmon rausfinden welche Schlüssel das sind und sie dann einzeln freischalten. Nur wenn du z.B. MS Office nutzt dann sind's gleich mehrere Hundert Schlüssel. Also lassen viele die Kiste gleich mit Adminrechten laufen weil sie dann keine Probleme mehr haben.

Deshalb bringt Linux schon was weil man mit sowas wie UAC kaum in Berührung kommt. Eben weil die Linuxprogrammierer ihre Sache viel ordentlicher machen.

hmm doch hping nmap nessus scapy brauchen bei mir meistens root Rechte wenn ich richtig scannen will :D ( oh shit fällt ja unter den Häkker Paragraphen),
aber meine selbst geschriebenen perl python Skripte nicht.

Ach nebenbei
Debian Etch Server rocks
Debian Lenny Testing Notebook rocks
Debian Sid Workstation rocks

Debian Sid kill mir seit ein paar Monaten nur noch selten Confogs und Programme beim aptitude full-upgrade ;). Aber das ist Offtopic

Keylogger, Spammails verschicken oder an DoS-Attacken teilnehmen geht auch ohne root Rechte. Er wäre aber relativ leicht zu entdecken und zu entfernen.

Wenn das Homeverzeichnis für Programme nicht ausführbar ist, dann geht erstmal gar nichts.

Wenn das Homeverzeichnis für Programme nicht ausführbar ist, dann geht erstmal gar nichts.
Was heißt das? Das Programme innerhalb des Homeverzeichnisses nicht ausgeführt werden können? Wie stell ich das ein?

Was heißt das? Das Programme innerhalb des Homeverzeichnisses nicht ausgeführt werden können? Wie stell ich das ein?
Über die Dateiattribute.

Über die Dateiattribute.
??? Ich kann doch als user ne datei in meinem homeverzeichnis anlegen und dann "chmod u+x bla" und dann hat das prog die Rechte. Wie soll ich sowas generell verbieten können? versteh ich grad nicht

??? Ich kann doch als user ne datei in meinem homeverzeichnis anlegen und dann "chmod u+x bla" und dann hat das prog die Rechte. Wie soll ich sowas generell verbieten können? versteh ich grad nicht

Du kannst das Homeverzeichnis auf eine eigene Partition legen und dann in /etc/fdisk festlegen, daß vom dieser Partition keine Programme gestartet werden können und dann funktioniert auch das "chmod u+x bla" nicht mehr.

Außerdem, wie schon gesagt, ein Virus könnte ja auch "chmod u+x bla" nicht selber ausführen, da er ja selbst schon ohne ein "chmod u+x bla" des Benuzters nicht laufen kann.

Im obigen Fall mit der festlegen in fdisk braucht man natürlich root Rechte.

Du kannst das Homeverzeichnis auf eine eigene Partition legen und dann in /etc/fdisk festlegen, daß vom dieser Partition keine Programme gestartet werden können und dann funktioniert auch das "chmod u+x bla" nicht mehr.

Außerdem, wie schon gesagt, ein Virus könnte ja auch "chmod u+x bla" nicht selber ausführen, da er ja selbst schon ohne ein "chmod u+x bla" des Benuzters nicht laufen kann.

Im obigen Fall mit der festlegen in fdisk braucht man natürlich root Rechte.
Achso naklar so geht das natürlich. :)

Wobei du das auch unter Windows machen kannst.
Entweder über Dateisystemrechte und/oder über die Softwareeinschränkung. Ich hab das bei meinen Eltern eingerichtet und da kannst du jetzt auch aus dem Mailprogramm dickeDinger.exe klicken ohne das was passiert.

Ups kleiner Fehler, ich meinte natürlich /etc/fstab, nicht /etc/fdisk. :ugly: