Security beim Online Banking

Ich spiele mit dem Gedanken mir einen Terminal-Server mit gehärtetem Image fürs Online Banking aufzubauen.

Grobe Idee:

1 ) User ist am backend authentifiziert (nehme ich erstmal als gegeben an)

2 ) User fordert sich eine Banking-Instanz an. Button-Klick "Ich will bei <broker> handeln"

3 ) Backend wählt das zum <broker> passende Image und bootet virtuelle Maschine (z.B. AWS - EC2)

4 ) Nach paar Sekunden bekommt der User Link (z.B. Putty Konfiguration)

5 ) Über den Link wird der SSH-Tunnel für die RDP-Session aufgebaut (und der lokale rdp port auf das externe Ziel umgebogen)

6 ) Über "Remotedesktopverbindung" und Adresse "localhost" springt er auf den Terminal Server

..

7 ) Der User ist fertig. Button-Klick "Ich bin fertig bei <broker>.

8 ) Die Ressourcen werden wieder freigegeben.

Hat jemand sowas schon am Laufen bzw besteht allgemein Interesse an dem Thema?

Edit: Für die Leute die nur Bahnhof verstehen könnte man im Anschluß eine Anleitung + Cloud Formation anbieten, damit sie es auch nutzen können In dem Faden hier würde ich gerne mit anderen "geeks rumnerden" und nicht auf den Basics herumkauen

Zitat von nixda

Für dich alleine willst du das machen oder so etwas als Konzept an eine Bank verkaufen?

Nur als kleine Fingerübung für mich selbst und mein Umfeld. Das Beispiel mit der "Banking Sandbox" steht nur exemplarisch für den Zoo an Tools, der mir so vorschwebt. Der Grundgedanke ist es, für spezielle Anwendungen (banking, shopping, social media recherche, steuererklärung,...) mit Wegwerfinstanzen zu arbeiten.

Ich geh heute mal auf die Jagd und schau was für Projekte es da aktuell im open source Umfeld gibt.

Zitat von nixda

Die C't hatte früher mal eine CD von der man booten und dann Online Banking machen konnte. Ist fast das gleiche, nur komplett auf dem eigenen Rechner und ohne ssh Tunnel und irgendwelchen Port Forwardings für RDP

Die kenne ich auch noch

Und ich hatte als Student auch mal was gebaut, um privat zu surfen (es wird jedes mal eine neue VM erstellt, OS mit randomisierten Einstellungen versehen, Browser mit randomisierten Settings und Plugins aufgesetzt, Tor-Anbindung, etc...)

Zitat von nixda

Du könntest auch ein gehärtetes System in einer virtuellen Maschine auf deinem eigenen Rechner booten, und von da dein Onlinebanking machen. Gut, auch virtuelle Maschinen sind nicht todsicher, aber die Angriffe sind schon sehr komplex. Und bei AWS läuft dein gehärtetes System auch auf einem virtuellen Server....

Gegenfrage: In welchem Szenario ist für mich als Privatanwender überhaupt sinnvoll, bei AWS oder wo auch immer Systeme zu hosten, die ich auch zu Hause auf eigener Hardware laufen lassen kann?

Das Downsizing hat nicht nur die Autos erwischt sondern auch die Consumer Hardware. Ich habe schon seit Jahren keinen PC mehr, weder beruflich noch privat. Und wenn man auf dem Notebook paar Sachen offen hat und dann noch Docker oder VMware laufen lässt ist es ganz vorbei....

Außerdem habe ich die IT im Haushalt minimiert. Kein Heimserver und solche Spielereien mehr. Nur noch eine Fritzbox und ein paar Notebooks / Smartphones mit WLAN.

Und die Tendenz geht auch dahin (jetzt mal Corona ausgeklammert) das man immer weniger zu Hause ist und die Diente von unterwegs nutzt. Ich habe mir fürs Banking extra einen separates Gerät angeschafft, aber nutze es nicht, da ich zu faul bin ein 2. Gerät zu starten bzw sogar rumzuschleppen

Zitat von nixda

und nebenher noch ein paar kleinere gedockerte Services ausführt (Pihole, LDAP, CUPS, UPnP, WebDav und so ein Zeug).

WooW, da hast Du ja dann allerhand zu "maintainen".

Multimedia sind wir komplett auf Streaming gewechselt:

- Mediatheken der öffentlich rechtlichen

- Amazon / Netflix

Zitat von nixda

Im ganzen fände ich das hosten zu lassen zu teuer. Alleine die 4TB Platte im Server würde mich gehostet sicher €200 im Jahr kosten.

Für mich rechnet es sich, da ich es nicht mehr als Hobby ansehe und somit alle Kosten gegenrechne:

xxx€ Cloud & Streaming-Kosten / Jahr

- Stromkosten

- Abschreibung der (redundant ausgelegten) Hardware

- Platz wo die Hardware steht und brummt

- xx Stunden meiner Arbeitszeit a xx€ netto für Wartung, Reinigung, Backups, ....

IT allgemein ist ein Wegwerfartikel geworden (wir werfen nicht in die Tonne, sondern spenden). Smartphone alle 2 Jahre (privat 4), Notebook alle 3 Jahre (privat 5-8). Es ist finanziell günstiger mir ein neues Gerät frisch aufgesetzt zusenden zu lassen, als mein altes Gerät sauber neu zu installieren. Deswegen denke ich nichtmehr an eigene Hardware / eigene Speicher sondern sehe es nur als Übertragungsmedium an.

Aber zurück zum Thema. Kapselst Du deinen Banking-Zugang um Dich vor Phishing, Trojanern, etc zu schützen?

Und wie schützt Du deine Privatsphäre?
Ich fühle mich immer mehr von der Werbung belästigt. Ich habe meiner Freundin gerade von meinem privaten Notebook eine Überraschung bestellt. Und sie bekommt das Produkt nun überall angezeigt. Auf dem Firmennotebook, dem privaten Smartphone,....

---> Für solche Zwecke würde sich soein Wegwerf-Service anbieten. Jedes mal eine neue IP, keine Cookies, neuer Fingerprint,...

Zitat von nixda

4k kannst du nicht sinnvoll über RDP bedienen.

Ich habe bei 4k zumeist 4 Fenster offen.

Von daher reicht mir FullHD mir völlig für die Sandbox.

Zitat von Winter

Wozu soll denn das dienen? Die Sicherheit ist doch gegeben durch Freischaltung von Anmeldung/Transaktionen über den Medienbruch mit Smartphone oder TAN-Generator.

Das ist korrekt, wenn es sauber umgesetzt ist.

Beim Captrader ist es aus meiner Sicht jedoch nicht so gut gemacht captrader link :

1) Du gibst Username/Password auf der Anmeldeseite ein

---> Wenn Dein Rechner infiziert ist, kann in Wirklichkeit ein ganz anderes Ziel aufgerufen werden und die Daten an den Angreifer übermittelt werden

2) Dann bekommst Du eine SMS mit einer Kontroll-Nummer, die Du dann in die (Angreifer-) Maske eingibst

---> Der Angreifer hat nun alles um sich voll zu authentifizieren

Zitat von nixda

Banking: Keine besonderen Schutz, außer das ich für meine Girokonten fast ausschließlich mit einem Bankingprogramm (Subsembly) arbeite. Eher zufällig ist das so, dass das praktisch das einzige Programm ist, für das ich mein virtualisiertes Windows noch starte. Also ist dieses Windows "relativ" sicher.

Zitat von dev

Ich nutze die FritzBox und habe dort eine Blacklist mit diversen Trackern, das hilft auch den Smartphones.

Ich nutze zusätzlich ein Addon "Third-party Request Blocker", da wird nur der Inhalt der jeweiligen Domain nachgeladen, alles andere muß freigeschaltet werden.

So habe ich das damals auch gemacht. No-Script, better-privacy,...

Aber das habe ich eingestellt, weil es zu aufwänd war und wie Du auch sagtest, einige Seiten praktisch unbenutztbar sind.

Außerdem verhindert es das "browser fingerprinting" nicht.

Zitat von Al Sting

Also:

Herausforderung 1. Er muss Kontrolle über den PC erlangen, um den Nutzer auf seine "Piratenadresse" umzuleiten.
Herausforderung 2. Er muss auf der Piratenadresse eine glaubwürdige, funktionsfähige Kopie des Captrader aufsetzen, die den Nutzer nicht ins Zweifeln bringt.
Herausforderung 3. Er muss so lange warten und genau dann reagieren, wenn sich der Benutzer des PC von sich aus sich bei Captrader einloggen will, die SMS abruft und die aktuelle Geheimnummer einträgt. Denn diese verfällt nach einiger Zeit. Klingt für mich nach einer Herausforderung.
Herausforderung 4: Geld direkt abfischen ist schwer, da man von Captrader nur auf sein eigenes, frühzeitig festgelegtes Konto Geld überweisen kann. Also muss der privat mit fremdem (also deinem) Geld seine eigenen, überteuerten Aktien/Derrivate... irgendeiner Schrottbude aufkaufen, um an dein Geld heranzukommen - und hinterlässt damit eine deutliche Spur, die es aufwändig zu verwischen gilt.

Trivial ist anders, denke ich.

Wer alle vier Hürden bewältigt, kann etwas in der IT: Ob der so eine kriminelle Masche mit Gefängnisrisiko noch nötig hat?

Lohnt es sich da nicht viel mehr, die eigenen Fähigkeiten ganz legal und ohne Knastrisiko zu monetarisieren? Sei es durch die Arbeit in einer renommierten Softwarebuide oder durch die Gründung einer ganz eigenen Software-/Beratungsbude?

Alles anzeigen

1) jedes Skript kiddy kann sich exploids kaufen die das ermöglichen. Davor schützen kann man sich nicht

2) lässt man sich für ein Taschengeld in Indien basteln

3) da lässt man einen Server lauern, das ist weder aufwändig noch teuer

4) das ist der interessanteste Teil (hab ich ad hoc auch keine Lösung parat)

Aber Du hast recht, es gibt einfachere "victims". ist vielleicht auch eine Phase die ich persönlich gerade durchmachen. Zum einen habe ich trotz immer mehr Erfahrungen und Fähigkeiten immer weniger Kontrolle über meine Endgeräte, zum anderen sind die Beträge die sich angesammelt haben kein Spielgeld mehr und ich denke über Familie, Altersversorge, etc... nach.

Zitat von yps

Hm, in dem Zusammenhang müsste ich mir eigentlich mal wieder die AGB‘s meiner Bank ansehen...ich finde Eure Idee interessant, aber hilft mir/uns der Weg auch, wenn die Bank ihre komplette Infrastruktur an Dritte auslagert?

https://www.google.de/amp/s/am…fuer-banken/24860660.html

Das sind meiner Ansicht nach 2 verschiedene Paar Schuhe :

1) du bist verantwortlich für die client Seite / Geheimhaltung deiner Zugangsdaten (PIN, Tan, etc nicht weitergeben. Unkompromitiertes System für den Zugriff auf den Service der Bank)

2) die Bank ist für die backend Seite / Kundendaten verantwortlich (Redundanz, Backups,.... sichere Infrastruktur)

Der Artikel schreibt über 2) und ich mache mir Gedanken wie ich 1) so sicher wie möglich mache

Zitat von Winter

Die Sicherheit ist doch gegeben durch Freischaltung von Anmeldung/Transaktionen über den Medienbruch mit Smartphone oder TAN-Generator.

Bin am Wochenende über dieses Video gestolpert:

Zitat von woodpecker

Außer vielleicht damit der Hacker irgendwelche Orders für obsukre Aktien einstellt die er sich selber überteuert abkauft.

Aber selbst das würde ich wegen der Notificaiton doch mitbekommen? Bzw. das scheint ja praktisch eher seltener vorzukommen?

Ja, soweit würde ich auch nicht gehen wollen.

Das Argument hat mir ja auch etwas den Wind aus den Segeln genommen.

Zitat von woodpecker

WIe sieht es denn mit der Haftung aus?

Wenn das tatsächlich einer aushebelt, und ich als User habe nix fahrlässig falsch gemacht, ist dann nicht die Bank in Haftung?

Dafür muss auf jeden Fall die Bank haften.

Interessanter ist, wer die Beweislast trägt?

Zitat von woodpecker

Gibt es Statistiken wie oft durch Hacken Geld geklaut wird?

Mir ist nämlich tatsächlich wirklich noch nie ein konkreter Fall zu Ohren gekommen.

Mich würde interessieren, wie Banken sowas bilanzieren. Kann man sowas als externer separieren oder geht das in irgendeinem "allgemeinen" Kostensegment unter.

Ich kenne nur Fälle die klassisch / sozial / direkt "gehackt" wurden. Karte / Zugänge entwendet bei Einbruch oder Skimming. Alle Kosten mussten vom Karteninhaber getragen werden. Der hat dann auch den Spaß sich um die versaute Bonität zu kümmern und z.B. bei der Schufa hinterher zu pampern. Soll angeblich heute besser geworden sein, da es immer mehr Fälle gibt, aber ausprobieren möcht ichs nicht.

Habe es immernoch auf dem Stack mir endlich eine Cyber-Versicherung abzuschließen

Ist da jemand schon einen Schritt weiter und kann was empfehlen?