Virtuelles Linux auf Win: genauso sicher?

[boehmi]

Hallo,

also es geht mir um folgendes:
Ich hab mir jetzt Onlinebanking zugelegt. Ich hab allerdings bissl Bedenken wegen Rootkit-Spyware, da ich meist Windows (XP) einsetze.

Da ich nich dauernd rebooten will wenn ich mal ne Überweisung schreibe hab ich mir gedacht ich könnte auch das Linux auf vmware dazu verwenden, da es ja kaum Trojaner & co für Linux gibt und die Onlinesicherheit von Linux im allgemeinen höher ist.

Die Frage ist jetzt: ist ein Linux, dass als virtuelle Maschine unter Windows ausgeführt wird unsicherer als es >echtes< ?

Theoretisch sollte das ja (mal von Keyloggern abgesehen) nicht der Fall sein, aber vielleicht gibt es ja irgendwelche Szenarien die ich nicht in betracht gezogen habe.

Gruß

 

[Grafix]

Theoretisch könnte der Schädling afaik alles mitloggen, was die Netzwerkkarte verlässt, bzw das virtuelle Adapter der VM.
Nur ein Szenario, ist wohl eher ungewöhnlich, dass solche Software in freier Wildbahn vorkommt.

 

[Oi!Alex]

da das linux per vm ausgeführt wird sollte es keinen unterschied geben zur normalen installation...

ehrlichgesagt wäre das mir zu unbequem jedes mal die vm zu öffnen - ich tätige mein online überweisungen auch unter windows (nicht nur)
und das einzigste szenario wäre dort der key logger der sich meine id und pin merkt incl. meiner verbrauchten tan - tja was hat der angreifer jetzt für ein vorteil? okay er sieht meine konto auszüge (was an und für sich unangenehm ist) - aber nützen wird ihn das nicht da ohne tan keine überweisung...

*edit*

Theoretisch könnte der Schädling afaik alles mitloggen, was die Netzwerkkarte verlässt, bzw das virtuelle Adapter der VM.

das sollte nicht (ohne großen aufwand) funktionieren da die daten per ssl hin und her gehen

 

[bitmuncher]

Klar ist es theoretisch möglich alle Daten auszulesen, die über das virtuelle Netzwerk-Interface laufen, aber das bringt recht wenig, da sie dann schon verschlüsselt sind.
Man sollte sich aber als Neueinsteiger nicht die Illusion machen, dass Linux automatisch sicher ist. Auch Linux ist nur dann sicher, wenn es entsprechend sauber eingerichtet und abgesichert wurde. Sicherlich hat Linux einige Sicherheitsmängel weniger als Windows, aber eine 100%ige Sicherheit gibt es beim Online-Banking mit keinem System und wenn man mit einem System nicht vertraut ist, ist die Wahrscheinlichkeit wesentlich höher, dass man Konfigurationsfehler macht, die zu einem Sicherheitsproblem werden können. Daher solltest du dir gut überlegen, ob es nicht vielleicht sinnvoller wäre dein Windows anständig zu sichern, als sich jetzt in ein komplett neues System nur wegen Online-Banking einzuarbeiten. Die Gefahr, dass dein Linux-System Sicherheitsmängel aufweisen wird, wenn du es allein einrichtest, ist ziemlich hoch, denke ich, da du ja selbst sagst, dass du Windows gewohnt bist und Linux nur für's Banking nutzen willst, also wahrscheinlich weniger Erfahrung mit Linux hast.

 

[Oi!Alex]

zu dem thema fällt mir gerade ein - glaube was auf jedenfall sicher wäre ist eine Live cd (egal ob linux oder windows) so können trojaner etc. einen nichts annhaben ausser sie sind bereits auf der live cd mit installiert oder man installiert nach dem start der live cd einen

 

[Elderan]

Hallo,
also gegen Keylogger würde dir das virtuelle Linux nichts bringen. Denn der Keylogger würde unter XP laufen und würde auch alles aufzeichen, was im Programm von VMWare (in Linux) geschrieben wird).

Da aber die meisten Diebstahl-Programme einen Keylogger verwenden, um an deine Daten wie PIN etc. zu gelangen, hättest du keine erhöhte Sicherheit.


Und fällt dir/jmd. ein Szenario ein, wo ein virtuelles Linux auf einem Windows System mehr Sicherheit bringen würde beim Online Banking?

 

[lightsaver]

Original von Elderan
Und fällt dir/jmd. ein Szenario ein, wo ein virtuelles Linux auf einem Windows System mehr Sicherheit bringen würde beim Online Banking?

mir ;-)

der keylogger alleine wäre kein problem wie weiter oben schon erwähnt wurde. die tan wäre ja verbraucht. wenn der trojaner aber verbindungen zu ner bank so umleitet, dass er die daten abfangen kann (also im prinzip phishing), möglich auch über die hosts-datei..., dann wäre das ein szenario, wo die vm mehr sicherheit bringen würde. letztendlich wäre aber hbci wohl der sicherere weg ;-)

 

[Grafix]

Original von lightsaver

Original von Elderan
Und fällt dir/jmd. ein Szenario ein, wo ein virtuelles Linux auf einem Windows System mehr Sicherheit bringen würde beim Online Banking?

mir ;-)

der keylogger alleine wäre kein problem wie weiter oben schon erwähnt wurde. die tan wäre ja verbraucht. wenn der trojaner aber verbindungen zu ner bank so umleitet, dass er die daten abfangen kann (also im prinzip phishing), möglich auch über die hosts-datei..., dann wäre das ein szenario, wo die vm mehr sicherheit bringen würde. letztendlich wäre aber hbci wohl der sicherere weg ;-)

Stimmt, der Angreifer könnte somit das senden der TAN unterbinden, um sie selbst noch nutzen zu können und dem Opfer eine falsche Bestätigung schicken.
Oder direkt on-the-fly die Ziel-Kontonummer inkl. Betrag rausfiltern und ändern.

 

[Cyberm@ster]

Werden Eingaben auf einem On-Screen Keyboard (z.B. das das mit XP mitgeliefert wird) auch von Keyloggern aufgezeichnet? Falls ja, könnte man sich ja eine GUI mit Keyboard und Textfeld zusammenklicken wo man dann das PW eingibt und per copy/paste kopiert, oder?

 

[Grafix]

Original von Cyberm@ster
Werden Eingaben auf einem On-Screen Keyboard (z.B. das das mit XP mitgeliefert wird) auch von Keyloggern aufgezeichnet? Falls ja, könnte man sich ja eine GUI mit Keyboard und Textfeld zusammenklicken wo man dann das PW eingibt und per copy/paste kopiert, oder?

Afaik kommt das drauf an, wie das On-Screen Keyboard arbeitet.
Wenn es einen virtuellen Tastendruck auslöst (z.B. keyb_event) könnte ich mir vorstellen, dass das ein Keyboard Hook ebenfalls aufzeichnet.
Ist es auf jeden Fall wert mal auszutesten.
Aber wer hat schon die Disziplin, sich jedes Passwort immer zurechtzuklicken?

Und dann gibt es auch noch Schädlinge, die nach Textfeldern mit Platzhaltern (Sternchen etc) suchen und direkt den Inhalt, das Passwort, auslesen.
Da wäre es dann egal, auf welche Weise das Passwort ins Textfeld gekommen ist.

 

[Elderan]

Hallo,

also im prinzip phishing

Also der beste Schutz gegen Phishing ist die Verifikation & Validierung des Zertifikates. Ist man ein "ängstlicher" (bzw. kein leichtsinnger ) Online-Banker, sollte man das Zertifikat jedes mal überprüfen, egal ob mit oder ohne sicherem System.

Und zur Not kann man die hosts Datei auch auf Readonly unter XP stellen.


Aber persönlich wäre mir der ganze Aufwand zu groß. Evt. kannst du ja mal bei der Bank nachfragen, ob diese ein besseres System zur Verfügung stellen, was mit einem Token oder mit einer SmartCard arbeitet, z.B. das HBCI-Verfahren.


Sonst einfach überlegen, ob man doch in Zukunft wie gewohnt zur Bank um die Ecke geht

 

[Cyberm@ster]

Sonst einfach überlegen, ob man doch in Zukunft wie gewohnt zur Bank um die Ecke geht

[OT]

Iiiih, dann müsste man aber vor die Tür an die frische Luft und sich dem Sonnenlicht aussetzen *schauder*

[/OT]