Computerbeveiliging
- Hoe je bad guys buiten de deur houdt
Bankieren in een VM
Ik had laatst het idee om voortaan mijn bankieren te gaan doen vanuit een VM, het liefst een *nix OS met firefox als browser. Het idee is dan dat de VM op een CDROM of een DVD staat, die gestart wordt met de Player van VMWare. Iedere keer als je gaat bankieren, start je weer hetzelfde image. Mocht die image tijdens het bankeren besmet raken, dan ben je dat dus automatisch bij de volgende start weer kwijt.
Nog meer mensen die aan zoiets denken, of op een andere manier?
Het idee is natuurlijk om een dedicated, iets te maken voor bankieren. Met de hoeveelheid slechte zaken die op het internet te vinden zijn is het best wel lastig om iets totaal dicht te timmeren.. het liefst wil je dan in zo'n omgeving ook niet van die 'enge' dingen doen.
Nog meer mensen die aan zoiets denken, of op een andere manier?
Het idee is natuurlijk om een dedicated, iets te maken voor bankieren. Met de hoeveelheid slechte zaken die op het internet te vinden zijn is het best wel lastig om iets totaal dicht te timmeren.. het liefst wil je dan in zo'n omgeving ook niet van die 'enge' dingen doen.
Reacties (14)
Zodra het een VMPLAYER image betreft is een groot aantal zaken ineens minder belangrijk.
Immers, zolang het ALLEEN voor bankieren gebruikt wordt zal een image ook niet snel besmet worden in de periode van gebruik en zullen ook vulnerabilities minder spannend zijn, daar die over het algemeen niet gexploiteerd kunnen worden vanaf een nette bankier-site.
Echter, een vmplayer is afhankelijk voor een groot aantal zaken van zijn host. En die kan nog net zo hard besmet/aangevallen/gep0wned worden. Een veilige VMPLAYER image die vervolgens een man-in-the-middle attack toestaat omdat de DNS server van de host verwijst naar een site die niet van bank-x is, kan nog steeds problemen opleveren.
Immers, zolang het ALLEEN voor bankieren gebruikt wordt zal een image ook niet snel besmet worden in de periode van gebruik en zullen ook vulnerabilities minder spannend zijn, daar die over het algemeen niet gexploiteerd kunnen worden vanaf een nette bankier-site.
Echter, een vmplayer is afhankelijk voor een groot aantal zaken van zijn host. En die kan nog net zo hard besmet/aangevallen/gep0wned worden. Een veilige VMPLAYER image die vervolgens een man-in-the-middle attack toestaat omdat de DNS server van de host verwijst naar een site die niet van bank-x is, kan nog steeds problemen opleveren.
28-08-2008, 11:06 door
Anonl3m
Waarom niet gewoon een ubuntu bootcd gebruiken? Dan heb je niet zo te maken met updates die je ook in je VM moet aanbrengen en het geheugen wordt steeds gewist als je opnieuw opstart.
Yoggie heeft een security usb stick die ongeveer zoiets doet. Hij draait op de stick een barebones linux met firefox. Als je hem inplugt neemt hij KVM en ethernet over zodat je feitelijk in een sandbox omgeving draait en zo veilig kunt internet banken. Zelfde idee dus ongeveer, maar dan in een stick. www.yoggie.com
Ik had het idee om te gaan bankieren via een PC in een internet cafe.
Wat maakt dat nou uit man? Al zouden ze je inlogcodes hebben, dan nog kunnen ze alleen maar kijken. Lekker interessant om te zien dat ik 300 euro rood sta en 3780 rentepunten heb... geld overmaken lukt toch niet.
Wat maakt dat nou uit man? Al zouden ze je inlogcodes hebben, dan nog kunnen ze alleen maar kijken. Lekker interessant om te zien dat ik 300 euro rood sta en 3780 rentepunten heb... geld overmaken lukt toch niet.
Echter, een vmplayer is afhankelijk voor een groot aantal zaken van zijn host. En die kan nog net zo hard besmet/aangevallen/gep0wned worden. Een veilige VMPLAYER image die vervolgens een man-in-the-middle attack toestaat omdat de DNS server van de host verwijst naar een site die niet van bank-x is, kan nog steeds problemen opleveren.
Gelukkig is een client host voor zijn DNS niet afhankelijk van zijn host en gebruikt deze zijn eigen DNS instellingen.Ook de groot aantal zaken waarvan die afhankelijk zou kunnen zijn op de resources na, mag je nog wel eens duidelijker maken. De applicaties/OS binnen de guest is juist op de (hardware)resources na, niet afhankelijk van de host.
Home-banking vanaf een (vertrouwde, gecheckte) bootable Linux-CD of via een op harddisk gecopieerde image of schijfinhoud daarvan (starten vanuit PC-boot-menu, zoals GRUB) , met een volledige PC-herstart voor en na elke bankieren-sessie beschouw ik al jaren als voorlopig veiligste oplossing (qua PC). VM-ware (en andere emulatoren?) bleken - via gedeelde schijfdirectories, bij voorbeeld - immers in het verleden namelijk soms toch geen volledige scheiding tussen gast- en host-omgeving te kunnen bieden.CD-/DVD heeft dus mijn voorkeur boven de "emulator-oplossing" (al is die voor minder PC-kundigen misschien gemakkelijker werkend te krijgen).
Zo werk ik al jaren. Zo heb ik ook hele infrastructuren draaien.
Daarnaast gebruik ik het voor het testen van software met medeweten van onderstaande beperking.
Nu is het wel zo dat sommige malware in staat is om te controleren of ze binnen een vmware image draaien en dan niet sondernemen.
Daarnaast gebruik ik het voor het testen van software met medeweten van onderstaande beperking.
Nu is het wel zo dat sommige malware in staat is om te controleren of ze binnen een vmware image draaien en dan niet sondernemen.
Als er een keylogger op de onderliggende host staat ben je nog steeds het haasje...
Ik zeg gewoon boot'en van een cd als je zeker wilt zijn van een CD
Ik zeg gewoon boot'en van een cd als je zeker wilt zijn van een CD
EN een linux boot dvd in VM-ware, zo dat je dus niet hoeft te rebooten?
Waarom een VMPlayer als Java dit al _jaren_ kan en er een bank in Nederland ook gedeeltelijk doet.
28-08-2008, 22:50 door
Sokolum
Goh, een copie van mijn reactie op 24-06-2008:
Jou idee nadat je het artikel hebt door gelezen :D
Maar dit is waar de banken niet aan willen, er valt hieraan voor niemand geen geld aan te verdienen en banken houden niet van opensource / freeware. Het is vooral het geld wat de adviserende partijen niet aan kunnen verdienen!!!!
http://www.security.nl/artikel/18945/1/Internetbankieren_voortaan_via_spraakherkenning.html
Quote:
Ik weet dat er een aanvullende oplossing bestaat. De basis
van mijn oplossing is VM. Wat dacht je van een hardened DAMN
gebakken op een CD ISO met TrueCrypt encrypted wat je in een
VM laat mounten. De encryptie zorgt ervoor dat de ISO
buitenaf niet gemodificeerd kan worden. Vanuit DAMN zorg je
ervoor dat de gebruiker alleen een browser wordt opgestart
met de site van de bank. De combinatie van DAMN en CD ISO
zorg ervoor dat er niets naar de ISO weg geschreven kan
worden. En natuurlijk kan je nog meer security opties inbouwen.
Jou idee nadat je het artikel hebt door gelezen :D
Maar dit is waar de banken niet aan willen, er valt hieraan voor niemand geen geld aan te verdienen en banken houden niet van opensource / freeware. Het is vooral het geld wat de adviserende partijen niet aan kunnen verdienen!!!!
http://www.security.nl/artikel/18945/1/Internetbankieren_voortaan_via_spraakherkenning.html
Quote:
Ik weet dat er een aanvullende oplossing bestaat. De basis
van mijn oplossing is VM. Wat dacht je van een hardened DAMN
gebakken op een CD ISO met TrueCrypt encrypted wat je in een
VM laat mounten. De encryptie zorgt ervoor dat de ISO
buitenaf niet gemodificeerd kan worden. Vanuit DAMN zorg je
ervoor dat de gebruiker alleen een browser wordt opgestart
met de site van de bank. De combinatie van DAMN en CD ISO
zorg ervoor dat er niets naar de ISO weg geschreven kan
worden. En natuurlijk kan je nog meer security opties inbouwen.
29-08-2008, 01:02 door
[Account Verwijderd]
[Verwijderd]
29-08-2008, 01:27 door
Sokolum
Door michiel3
Als jouw non-virtual OS-installatie geinfecteerd raakt met een stuk phisingsoftware dat de DNS-instellingen van je router wijzigt, dan speel je met de bovengenoemde oplossing nog steeds niet safe. Sowieso een verstandige zet om UPnP alvast uit te zetten in je router.
Door Sokolum
Ik weet dat er een aanvullende oplossing bestaat. De basis
van mijn oplossing is VM. Wat dacht je van een hardened DAMN
gebakken op een CD ISO met TrueCrypt encrypted wat je in een
VM laat mounten. De encryptie zorgt ervoor dat de ISO
buitenaf niet gemodificeerd kan worden. Vanuit DAMN zorg je
ervoor dat de gebruiker alleen een browser wordt opgestart
met de site van de bank. De combinatie van DAMN en CD ISO
zorg ervoor dat er niets naar de ISO weg geschreven kan
worden. En natuurlijk kan je nog meer security opties inbouwen.
Ik weet dat er een aanvullende oplossing bestaat. De basis
van mijn oplossing is VM. Wat dacht je van een hardened DAMN
gebakken op een CD ISO met TrueCrypt encrypted wat je in een
VM laat mounten. De encryptie zorgt ervoor dat de ISO
buitenaf niet gemodificeerd kan worden. Vanuit DAMN zorg je
ervoor dat de gebruiker alleen een browser wordt opgestart
met de site van de bank. De combinatie van DAMN en CD ISO
zorg ervoor dat er niets naar de ISO weg geschreven kan
worden. En natuurlijk kan je nog meer security opties inbouwen.
Als jouw non-virtual OS-installatie geinfecteerd raakt met een stuk phisingsoftware dat de DNS-instellingen van je router wijzigt, dan speel je met de bovengenoemde oplossing nog steeds niet safe. Sowieso een verstandige zet om UPnP alvast uit te zetten in je router.
Met deze oplossing maakt het niets uit of je Guest OS besmet is geraakt, sterker nog prima zo! Want daar schuilt de kracht van mijn oplossing. Van mijn part mag je PNP aanstaan, alle BIND server over de wereld mogen op versie 8 blijven draaien :) Een man in the middle, ook goed! Als je een van mijn laatste zinnen van mijn verhaal hebt gelezen, dan heb ik het nog niet over security features gehad.
Tja, wat zullen die zijn, dat hang ik hier niet aan de grote klok :D. Laat maar een email achter en wij doen zaken, althans het bedrijf waar ik voor werk. Succes.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
