"Linux CD geen oplossing voor veilig internetbankieren"
Steeds meer beveiligingsexperts roepen op om geen Windows voor internetbankieren te gebruiken, maar het gebruik van een Linux Live CD is ook geen oplossing, aangezien dit een vals gevoel van veiligheid geeft. Eerder kwam Brian Krebs, IT-journalist van de Washington Post, met de uitspraak dat Windows ongeschikt voor internetbankieren is. Ook het SANS Instituut en een financiële belangengroep raadde het gebruik van Microsoft's besturingssysteem af. Inmiddels waarschuwt ook de Australische politie consumenten om alleen via Linux of Apple iPhone te bankieren.
Volgens Bruce van der Graaf, rechercheur van de Australische Computer Crime onderzoekseenheid, is de eerste regel om niet het slachtoffer van bankfraude te worden het niet klikken op hyperlinks naar de banksite. De tweede regel is het vermijden van Windows. "Als je internet voor een commerciële transactie gebruikt, gebruik dan een Linux boot CD, zoals Ubuntu of een andere smaak. Puppylinux is een mooie kleine distributie die snel opstart." Aangezien het besturingssysteem in het geheugen draait en helemaal schoon is, kan men op een "perfect veilige" wijze internetbankieren.
Ook de iPhone is volgens de rechercheur uitermate geschikt om op "vrij veilige" wijze te internetbankieren. "Een andere oplossing is de Apple iPhone. Het kan slechts één proces per keer draaien, dus is er geen gevaar op infecties", zo legde hij verschillende politici tijdens een hoorzitting over cybercrime uit. Hij noemde de alternatieven, omdat in de toekomst banken de beveiliging van hun klanten gaan controleren voordat ze toegang tot hun bankrekening krijgen. "Als straks de regel is dat internetproviders op firewalls en dat soort dingen controleren, dan zouden mensen met een veiliger systeem niet kunnen internetbankieren."
Schijnveiligheid
Randy Abrams van ESET adviseert online bankiers om zich niet op Linux blind te staren. In de eerste regel van Van der Graaf kan hij zich wel vinden. "De regel is om nooit op hyperlinks naar je banksite te klikken." Volgens de directeur Technical Education moeten banken, als ze echt de veiligheid van hun klanten willen verbeteren, stoppen met het versturen van e-mails met een link erin. Nieuwsbrieven kan men makkelijk op de website onderbrengen. Wat betreft de iPhone, is dat geen aanrader als die gejailbreakt is.
"Het advies om een opstartbare Linux CD te gebruiken zegt niet gebruik Linux. Linux is prima in staat om een keylogger te draaien, dus het gebruik van een boot CD is een stuk slimmer." Toch moeten ook deze gebruikers blijven opletten. "Als je vanaf een Linux CD boot en vervolgens de hyperlink in een phishing e-mail opent, dan word je nog steeds slachtoffer van een phishingaanval. Het booten van een Linux CD beschermt je niet tegen phishing."
Hij raadt dan ook iedereen af om de hyperlinks in e-mailberichten van PayPal, MySpace, FaceBook, LinkedIn en andere websites te openen die verzoeken om in te loggen. "Laat je niet door een vals gevoel van veiligheid misleiden. Het booten vanaf een Linux CD beschermt je tegen software-gebaseerde keyloggers, maar niet tegen phishing of hardware-matige keyloggers. Als je een hardware-matige keylogger op je computer hebt, dan heb je veel grotere problemen."
Reacties (46)
15-10-2009, 11:06 door
spatieman
verwarrend bericht.
DSL Damn Small Linux is ook een leuke distro die werkt.
pullylinux heb ik geen ervaring mee..
maar is wel het proberen waard..
DSL Damn Small Linux is ook een leuke distro die werkt.
pullylinux heb ik geen ervaring mee..
maar is wel het proberen waard..
Als je vanaf een Linux Live CD gaat internetbankieren, lijkt het mij logisch dat je niet vanaf een link naar de website gaat om te internetbankieren. Je hebt al zoveel moeite gedaan, dat je de url intikt.
Ja, als je portominaie gerold wordt, helpt daar ook geen linux live cd tegen.
Zo zijn er nog wel meer open deuren in te trappen.
Meneer Randy Abrams van ESET wil natuurlijk gewoon zijn antivirus programmaatje voor
windows blijven verkopen. En zo zijn er nog veel meer mensen die verdienen aan het
gebruik van Windows. Wij van WC eend.........
Linux live cd is natuurlijk een heel stuk stuk veiliger. Een leuke live cd is "PCLinuxOS"
gebaseert op Mandrake. Heel gebruikersvriendelijk en up to date.
Zo zijn er nog wel meer open deuren in te trappen.
Meneer Randy Abrams van ESET wil natuurlijk gewoon zijn antivirus programmaatje voor
windows blijven verkopen. En zo zijn er nog veel meer mensen die verdienen aan het
gebruik van Windows. Wij van WC eend.........
Linux live cd is natuurlijk een heel stuk stuk veiliger. Een leuke live cd is "PCLinuxOS"
gebaseert op Mandrake. Heel gebruikersvriendelijk en up to date.
Internet bankieren vanaf een Boot CD. Dan mag dat toch ook een Boot CD op Windows basis zijn? Het gaat er uiteindelijk om, dat de boel vrij is van virussen en andere zooi. Leuke klus voor de banken: lever een goede 2 factor authenticatie af, geef iedere klant een Boot CD met daarop een sterk beperkte omgeving voor internet bankieren. Kun je zelfs zorgen dat ze alleen naar je eigen URL kunnen (of zelfs specifiek naar je IP-adres). Je kunt zelfs een app bouwen die de data encrypted overstuurt, zodat er geen man-in-the-middle meer kan komen. Hé, dat lijkt bijna op de oude tijd, dat je een progje moest installeren op DOS om te kunnen telebankieren via een telefoon modem........
Mss dat banken zelf eens zouden kunnen kijken naar een linux live-cd die enkel ontwikkeld is om bij hen te kunnen internet-bankieren.
15-10-2009, 11:55 door
SirDice
/me grinnikt wat
"Een andere oplossing is de Apple iPhone. Het kan slechts één proces per keer draaien, dus is er geen gevaar op infecties"
Dat is m.i. niet correct. Dat proces zou best een bug kunnen bevatten. Indien je die kan exploiten kun je wel degelijk een iPhone infecteren. Bovendien kun je wellicht als gebruiker zijnde niet meerdere programma's tegelijk draaien het systeem zelf doet dat wel."Hij raadt dan ook iedereen af om de hyperlinks in e-mailberichten van PayPal, MySpace, FaceBook, LinkedIn en andere websites te openen die verzoeken om in te loggen."
Volgens dit advies moet je dus ook alle legitieme mailtjes van sociale netwerken negeren ?
Volgens dit advies moet je dus ook alle legitieme mailtjes van sociale netwerken negeren ?
Als je een hardware-matige keylogger op je computer hebt ??
Hoe moet ik dat zien ??
Belt er dan iemand bij je aan om ff een keylogger te installeren ??
Hoe moet ik dat zien ??
Belt er dan iemand bij je aan om ff een keylogger te installeren ??
Door Anoniem: Internet bankieren vanaf een Boot CD. Dan mag dat toch ook een Boot CD op Windows basis zijn?
Volgens mij is het in ieder geval verstandig(er) om een boot CD te maken met daarop de banksoftware. Dat geeft echter wel weer problemen in die situaties waar je bij meer banken zit. Welke moet je er nu in doen? En even heen en weer schakelen is er dan ook niet meer bij.
Als je dit oplost door de boot CD de mogelijkheid te bieden om meerdere (vaste?) URL's te bezoeken, krijg je dat mensen niet alleen banksites gaan bezoeken. Men reboot dan niet om weer het eigen OS te gaan gebruiken. Als bovendien de CD hetzelfde OS aanbiedt, wordt de kans groter dat men gewoon na het internet bankieren door blijft werken. Er is dan geen kans dat de opstartomgeving wordt besmet, maar men kan ondertussen wel besmet raken met virussen die zich in het geheugen nestelen.
Dat maakt een boot CD met hetzelfde OS (dat men gewend is) extra gevaarlijk. En dan hebben we het nog niet eens over de laptops die men meestal niet eens reboot, maar in slaap brengt als die niet nodig is.
Peter
15-10-2009, 12:36 door
[Account Verwijderd]
[Verwijderd]
15-10-2009, 12:55 door
Syzygy
Het gebruik van een bootcd met welk OS dan ook (zolang het schoon is) is altijd beter maar we moeten wel oppassen dat we niet TE VEEL vertrouwen op deze veiligheid. Je moet natuurlijk altijd goed blijven nadenken bij hetgeen je doet.
Eerdaags zullen de Banken wel als vorm van Service zo'n CD uit gaan brengen (die je dan weer meerdere keren terugbetaald in de vorm van een verhoging van je service kosten voor je pas o.i.d. maar dat terzijde).
Vevrolgens krijg je dan een E-mail dat je huidige CD niet meer voldoet aan de Normen en je ergens een ISO kan downloaden en deze moet branden om up to date te zijn met de laatste Beveiligings Standaarden
Afijn je voelt de bui al hangen.
Eerdaags zullen de Banken wel als vorm van Service zo'n CD uit gaan brengen (die je dan weer meerdere keren terugbetaald in de vorm van een verhoging van je service kosten voor je pas o.i.d. maar dat terzijde).
Vevrolgens krijg je dan een E-mail dat je huidige CD niet meer voldoet aan de Normen en je ergens een ISO kan downloaden en deze moet branden om up to date te zijn met de laatste Beveiligings Standaarden
Afijn je voelt de bui al hangen.
Bij mij reist dan de vraag: CD's? En als ik nu alleenlijk een Mac bpok air, zonder cd/dvd drive heb. Wat dan?
15-10-2009, 13:01 door
[Account Verwijderd]
[Verwijderd]
"verwarrend bericht."
Wat is er dan verwarrend ?
"DSL Damn Small Linux is ook een leuke distro die werkt."
Klopt, maar wat wil je daarmee duidelijk maken ?
Wat is er dan verwarrend ?
"DSL Damn Small Linux is ook een leuke distro die werkt."
Klopt, maar wat wil je daarmee duidelijk maken ?
15-10-2009, 13:21 door
[Account Verwijderd]
[Verwijderd]
Iedereen is nu beangsitig om tegaan thuis bankieren. Dat ongerust gevoel crear je zelf om hun tegaan geloven. Ik ben geen angsthazen en doe geen domen dingen met mijn pc! Oke ik weet dat mijn pc´malware vrij is en weet er zijn mensen op de wereld die helemaal geen virusscanner noddig hebben! Die mensen kopen niet op MSN messinger, site de beschadig je pc´s, die mensen download geen malware of open geen links of pdf. Waarom maakt de ING bank geen gebruik vande optie veilig bankieren met Windows XP embedded geinstalleerd op een PDA,Windows XP embedded is zo uitgekleed windows XP versie zonder als men het wil "explorer.exe" en "iexplorer.exe". Ik hoef er alleen maar mee te bankieren, verbind met LAN ,modem of wifi. Het appraat bevat een ingebouwde usb fashdisk (versleuteld die direct bij het opstarten (windows kopieerd in RAMDISK.
Voor de veiligheid kan je er niks meer mee doen dan bankieren. Na een herstard zijn alleen gegevens verloren.
Heb je ook al eens in de boot.ini /MiniNT geladen. Dan woorden er geen wijziging meer in het register opgeslagen.
Voor de veiligheid kan je er niks meer mee doen dan bankieren. Na een herstard zijn alleen gegevens verloren.
Heb je ook al eens in de boot.ini /MiniNT geladen. Dan woorden er geen wijziging meer in het register opgeslagen.
15-10-2009, 15:02 door
bernd
Door Syzygy: ....Eerdaags zullen de Banken wel als vorm van Service zo'n CD uit gaan brengen (...)
Afijn je voelt de bui al hangen.
ja... en vervolgens een geïnfecteerde cd opsturen naar slachtoffers waarvan je weet dat ze bij een bepaalde bank zitten....Afijn je voelt de bui al hangen.
Mensen die een linuxcd gebruiken, zullen over het algemeen zo welbewust omgaan met de risico's van internetbankieren, dat zij ook wel gewoon met windows kunnen werken ;).
Om een goed beeld te geven van de maatregelen die deze meneer voorstelt deze metafoor; het is hetzelfde als het opzetten van een bankgebouw inclusief kluis met bewaking, om er vervolgens een portemonee met een paar duizend euro in deze kluis te bewaren.
De maatregel moet wel in verhouding staan met het risico
Om een goed beeld te geven van de maatregelen die deze meneer voorstelt deze metafoor; het is hetzelfde als het opzetten van een bankgebouw inclusief kluis met bewaking, om er vervolgens een portemonee met een paar duizend euro in deze kluis te bewaren.
De maatregel moet wel in verhouding staan met het risico
15-10-2009, 17:03 door
martijno
Door Anoniem: Iedereen is nu beangsitig om tegaan thuis bankieren. Dat ongerust gevoel crear je zelf om hun tegaan geloven. Ik ben geen angsthazen en doe geen domen dingen met mijn pc! Oke ik weet dat mijn pc´malware vrij is en weet er zijn mensen op de wereld die helemaal geen virusscanner noddig hebben! Die mensen kopen niet op MSN messinger, site de beschadig je pc´s, die mensen download geen malware of open geen links of pdf. Waarom maakt de ING bank geen gebruik vande optie veilig bankieren met Windows XP embedded geinstalleerd op een PDA,Windows XP embedded is zo uitgekleed windows XP versie zonder als men het wil "explorer.exe" en "iexplorer.exe". Ik hoef er alleen maar mee te bankieren, verbind met LAN ,modem of wifi. Het appraat bevat een ingebouwde usb fashdisk (versleuteld die direct bij het opstarten (windows kopieerd in RAMDISK.
Voor de veiligheid kan je er niks meer mee doen dan bankieren. Na een herstard zijn alleen gegevens verloren.
Heb je ook al eens in de boot.ini /MiniNT geladen. Dan woorden er geen wijziging meer in het register opgeslagen.
Wat een typo's... Volgens mij heb je een hardware keylogger tussen je toetsenbord en PC hangen die niet helemaal goed functioneert.Voor de veiligheid kan je er niks meer mee doen dan bankieren. Na een herstard zijn alleen gegevens verloren.
Heb je ook al eens in de boot.ini /MiniNT geladen. Dan woorden er geen wijziging meer in het register opgeslagen.
Haha, zulke typos in zo weinig zinnen heb ik nog nooit gezien!
Probeer het Nederlandse woordenboek van Mozilla FireFox eens!
~St!p
Probeer het Nederlandse woordenboek van Mozilla FireFox eens!
~St!p
15-10-2009, 17:46 door
Ziekheid
Wat een overhyped gelul weer de laatste tijd.
Er is niets mis met internetbankieren zolang de gebruiker geen volslagen idioot is.
Jammer genoeg is een groot deel van de Nederlanders dat blijkbaar nog wel.
Er is niets mis met internetbankieren zolang de gebruiker geen volslagen idioot is.
Jammer genoeg is een groot deel van de Nederlanders dat blijkbaar nog wel.
Wat een gelul allemaal.
Download een live cd van de officiele site van de Distro die je pakt
Check met de md5
brand de distro
boot je systeem met de live cd
ga naar de beveiligde site van je bank (https)
doe je ding en sluit weer af
hoe moeilijk kan het zijn
Download een live cd van de officiele site van de Distro die je pakt
Check met de md5
brand de distro
boot je systeem met de live cd
ga naar de beveiligde site van je bank (https)
doe je ding en sluit weer af
hoe moeilijk kan het zijn
"Internet is niet voor hersenloze figuren bedoeld."
Leuk statement, maar verder is het natuurlijk totale onzin. Internet is tegenwoordig een consumentenprodukt waar de gewone burger gebruik van maakt, en je ontkomt er ook eigenlijk niet aan om gebruik te maken van zaken als internet bankieren. Of wil je als informatiebeveiliger ervoor pleiten om een aanzienlijk deel van de bevolking toegang tot internet te gaan ontzeggen op basis van het feit dat jij vindt dat zij niet op internet horen te komen ?
Leuk statement, maar verder is het natuurlijk totale onzin. Internet is tegenwoordig een consumentenprodukt waar de gewone burger gebruik van maakt, en je ontkomt er ook eigenlijk niet aan om gebruik te maken van zaken als internet bankieren. Of wil je als informatiebeveiliger ervoor pleiten om een aanzienlijk deel van de bevolking toegang tot internet te gaan ontzeggen op basis van het feit dat jij vindt dat zij niet op internet horen te komen ?
Door Ziekheid: Wat een overhyped gelul weer de laatste tijd.
Er is niets mis met internetbankieren zolang de gebruiker geen volslagen idioot is.
Jammer genoeg is een groot deel van de Nederlanders dat blijkbaar nog wel.
Overhyped zegt ie dan, al generaliserend....Er is niets mis met internetbankieren zolang de gebruiker geen volslagen idioot is.
Jammer genoeg is een groot deel van de Nederlanders dat blijkbaar nog wel.
Uit onderzoek blijkt toch dat Windows de meest veilige besturingssysteem is? Waarom zou je dan kiezen voor iets onveiligers als Linux? Denk dat de banken geld kwijt willen...
Misschien komt het door de sitecom router die ik heb aansluit op de router van mijn ISP. Maar kan ook wezen fataal hersenbeschadigig wegens mijn geboord.
Door martijno:
Door Anoniem: Iedereen is nu beangsitig om tegaan thuis bankieren. Dat ongerust gevoel crear je zelf om hun tegaan geloven. Ik ben geen angsthazen en doe geen domen dingen met mijn pc! Oke ik weet dat mijn pc´malware vrij is en weet er zijn mensen op de wereld die helemaal geen virusscanner noddig hebben! Die mensen kopen niet op MSN messinger, site de beschadig je pc´s, die mensen download geen malware of open geen links of pdf. Waarom maakt de ING bank geen gebruik vande optie veilig bankieren met Windows XP embedded geinstalleerd op een PDA,Windows XP embedded is zo uitgekleed windows XP versie zonder als men het wil "explorer.exe" en "iexplorer.exe". Ik hoef er alleen maar mee te bankieren, verbind met LAN ,modem of wifi. Het appraat bevat een ingebouwde usb fashdisk (versleuteld die direct bij het opstarten (windows kopieerd in RAMDISK.
Voor de veiligheid kan je er niks meer mee doen dan bankieren. Na een herstard zijn alleen gegevens verloren.
Heb je ook al eens in de boot.ini /MiniNT geladen. Dan woorden er geen wijziging meer in het register opgeslagen.
Wat een typo's... Volgens mij heb je een hardware keylogger tussen je toetsenbord en PC hangen die niet helemaal goed functioneert.Voor de veiligheid kan je er niks meer mee doen dan bankieren. Na een herstard zijn alleen gegevens verloren.
Heb je ook al eens in de boot.ini /MiniNT geladen. Dan woorden er geen wijziging meer in het register opgeslagen.
Volgens mij zijn we nu eindelijk op het punt aanbeland dat men in gaat zien dat het internet nooit bedoeld is voor veilige transacties. We hebben er allerlei kunstmatige lagen op gezet om het voor mekaar te krijgen, maar het protocol an sich is niet veilig.
Het probleem met het OS is dat ze op zich gelijk hebben, maar er is eigenlijk geen alternatief. Je kunt op elk OS wel lopen kloten, keyloggers kunnen tegenwoordig ook al in je keyboard zitten en er kan ook altijd iemand fysiek toegang tot je machine en/of omgeving van je computer krijgen, daar zal ook vast wel het een en ander liggen aan passwords, TAN-lijst enz. Ook de A5/1 crypt van GSM ligt onder vuur, dus zelfs codes via SMS zijn theoretisch af te te tappen.
Theoretisch ja, want ik vraag me af hoeveel mensen hier echt daadwerkelijk last van hebben. De kosten van de fraude liggen iig onder de kosten van het reeds afgevloeide personeel bij de banken, anders hadden zij het hele internetbankieren wel terug gedraaid.
Om het slachtoffer te worden van al het bovenstaande moet je m.i. toch wel een echte 'high-value' target zijn en geen doorsnee Jan Modaal.
Het probleem met het OS is dat ze op zich gelijk hebben, maar er is eigenlijk geen alternatief. Je kunt op elk OS wel lopen kloten, keyloggers kunnen tegenwoordig ook al in je keyboard zitten en er kan ook altijd iemand fysiek toegang tot je machine en/of omgeving van je computer krijgen, daar zal ook vast wel het een en ander liggen aan passwords, TAN-lijst enz. Ook de A5/1 crypt van GSM ligt onder vuur, dus zelfs codes via SMS zijn theoretisch af te te tappen.
Theoretisch ja, want ik vraag me af hoeveel mensen hier echt daadwerkelijk last van hebben. De kosten van de fraude liggen iig onder de kosten van het reeds afgevloeide personeel bij de banken, anders hadden zij het hele internetbankieren wel terug gedraaid.
Om het slachtoffer te worden van al het bovenstaande moet je m.i. toch wel een echte 'high-value' target zijn en geen doorsnee Jan Modaal.
Door martijno:
Dat zal vast de PBKAC keylogger zijn dan :-)Door Anoniem: Iedereen is nu beangsitig om tegaan thuis bankieren. Dat ongerust gevoel crear je zelf om hun tegaan geloven. Ik ben geen angsthazen en doe geen domen dingen met mijn pc! Oke ik weet dat mijn pc´malware vrij is en weet er zijn mensen op de wereld die helemaal geen virusscanner noddig hebben! Die mensen kopen niet op MSN messinger, site de beschadig je pc´s, die mensen download geen malware of open geen links of pdf. Waarom maakt de ING bank geen gebruik vande optie veilig bankieren met Windows XP embedded geinstalleerd op een PDA,Windows XP embedded is zo uitgekleed windows XP versie zonder als men het wil "explorer.exe" en "iexplorer.exe". Ik hoef er alleen maar mee te bankieren, verbind met LAN ,modem of wifi. Het appraat bevat een ingebouwde usb fashdisk (versleuteld die direct bij het opstarten (windows kopieerd in RAMDISK.
Voor de veiligheid kan je er niks meer mee doen dan bankieren. Na een herstard zijn alleen gegevens verloren.
Heb je ook al eens in de boot.ini /MiniNT geladen. Dan woorden er geen wijziging meer in het register opgeslagen.
Wat een typo's... Volgens mij heb je een hardware keylogger tussen je toetsenbord en PC hangen die niet helemaal goed functioneert.Voor de veiligheid kan je er niks meer mee doen dan bankieren. Na een herstard zijn alleen gegevens verloren.
Heb je ook al eens in de boot.ini /MiniNT geladen. Dan woorden er geen wijziging meer in het register opgeslagen.
Door Ziekheid: Wat een overhyped gelul weer de laatste tijd.
Er is niets mis met internetbankieren zolang de gebruiker geen volslagen idioot is.
Jammer genoeg is een groot deel van de Nederlanders dat blijkbaar nog wel.
Je spreekt jezelf lekker tegen...Er is niets mis met internetbankieren zolang de gebruiker geen volslagen idioot is.
Jammer genoeg is een groot deel van de Nederlanders dat blijkbaar nog wel.
Er is niets mis als de gebruiker niet idioot is... maar het merendeel van NL is dat wel...
Dus is er wel degelijk wat mis.
16-10-2009, 10:33 door
Thasaidon
Door Anoniem: Om het slachtoffer te worden van al het bovenstaande moet je m.i. toch wel een echte 'high-value' target zijn en geen doorsnee Jan Modaal.
Ja en dat is dus wat iedereen denkt... "Ach, het zal mij wel niet gebeuren, wat valt er bij mij nou te halen?"Het is die lakse instelling waardoor mensen het niet zo nauw nemen met veiligheid en dus uiteindelijk de klos zijn.
Criminelen zijn niet uit op "high profile targets", want ook "vele kleinen maken een grote".
Waarom denk je dat er zo veel gescimmed word? Al die beetjes leveren ook heel wat op.
Dat zelfde geldt ook voor beveiliging van bv wireless netwerken.
Daar denkt men ook heel vaak, "Bij mij valt toch niets te halen, dus waarom zou ik..."
Maar dat is een andere discussie.
Kortom,
het gebruik van een Linux Live CD voor uitsluitend bankzaken bied iig een betere bescherming, dan je reguliere OS waarin van alles kan gebeuren.
[q]Ja en dat is dus wat iedereen denkt... "Ach, het zal mij wel niet gebeuren, wat valt er bij mij nou te halen?"[/q]
Ik zit bij de ING, noem mij één manier hoe ze mijn rekening kunnen plunderen (client-side). Geen skimming, want dat is een fysieke aanval.
- Keylogger? Nope, TAN codes zijn bij iedere overboeking anders, al kunnen ze wel mijn account in komen (en niks wijzigen, want daar is vaak een bevestigings sms nodig en dan hebben ze zich al verraden. Ook staat de timestamp van de laatste login bij elke login in beeld, dus dat is controleerbaar)
- Phissing? Nope, hosts file wordt continue gecontroleerd, en ik typ de URL altijd handmatig in. En al hebben ze alle overboekingsgegevens, dan nog matcht de TAN code niet bij 'de echte' site. Tel daar een EV cert bij op en je hebt al heel wat zekerheid.
- SIM kaart klonen? Nog nooit in praktijk gebracht
Conclusie: je niet onnodig bang laten maken en weten hoe de processen bij je bank werken. Vervolgens inschatten waar de zwakheden clientside zitten en dat zo goed mogelijk afvangen. En dat kan op elk OS (net als dat een slechte gebruiker elk OS onveilig kan krijgen).
PS: Zoals ik al eerder schreef is het internetprotocol in feite niet geschikt voor secure overdrachten. Ook kan er serverside vanalles onveilig zijn (kans is klein, maar het is mogelijk). Als hackers hier een opening kunnen vinden, dan is het pas echt raak.
Ik zit bij de ING, noem mij één manier hoe ze mijn rekening kunnen plunderen (client-side). Geen skimming, want dat is een fysieke aanval.
- Keylogger? Nope, TAN codes zijn bij iedere overboeking anders, al kunnen ze wel mijn account in komen (en niks wijzigen, want daar is vaak een bevestigings sms nodig en dan hebben ze zich al verraden. Ook staat de timestamp van de laatste login bij elke login in beeld, dus dat is controleerbaar)
- Phissing? Nope, hosts file wordt continue gecontroleerd, en ik typ de URL altijd handmatig in. En al hebben ze alle overboekingsgegevens, dan nog matcht de TAN code niet bij 'de echte' site. Tel daar een EV cert bij op en je hebt al heel wat zekerheid.
- SIM kaart klonen? Nog nooit in praktijk gebracht
Conclusie: je niet onnodig bang laten maken en weten hoe de processen bij je bank werken. Vervolgens inschatten waar de zwakheden clientside zitten en dat zo goed mogelijk afvangen. En dat kan op elk OS (net als dat een slechte gebruiker elk OS onveilig kan krijgen).
PS: Zoals ik al eerder schreef is het internetprotocol in feite niet geschikt voor secure overdrachten. Ook kan er serverside vanalles onveilig zijn (kans is klein, maar het is mogelijk). Als hackers hier een opening kunnen vinden, dan is het pas echt raak.
16-10-2009, 12:05 door
Night
Tja het zoveelste WC eend bericht.
Het zou pas nieuws zijn als een windows virusbestrijder zou vinden dat je geen windows moet blijven gebruiken.
Het zou pas nieuws zijn als een windows virusbestrijder zou vinden dat je geen windows moet blijven gebruiken.
"Uit onderzoek blijkt toch dat Windows de meest veilige besturingssysteem is? Waarom zou je dan kiezen voor iets onveiligers als Linux? Denk dat de banken geld kwijt willen..."
Onderzoek door Microsoft zelf uitgevoerd..
Onderzoek door Microsoft zelf uitgevoerd..
Internetbankieren met een gedateerde live-CD is niet slim. De SSL libraries zijn de laatste tijd vaak gepatched. De live-CD van Ubuntu 7.04 die je destijds hebt gebrand/gekregen bevat dus een kwetsbare versie van SSL waardoor Internetbankieren erg onveilig wordt.
17-10-2009, 08:33 door
Moszaad
Door Anoniem: [q] knip
Het komt voor dat je ge-target wordt, puur willekeurig.
men vist de post uit je brievenbus, en regelt een "verhuizing", de post wordt afgevangen, en omdat je geen bevestiging op het oude adres krijgt, word je post en afschriften naar het nieuwe adres gestuurd
juist omdat je zo weinig afschriften krijgt valt het niet zo snel op, en voor je het door hebt ben je 2 of meer maanden verder.
tegen die tijd kan er veel weg zijn ....
17-10-2009, 19:51 door
prikkebeen
En toch lees ik hier weer dat iemand zegt dat zijn pc niet besmet is. Zucht.
De virusscanners detecteren maar ongeveer 45% van alle malware die in omloop is.
In een ander artikel hier gelezen staat dat 45% van alle pc's besmet is met malware.
Theoretisch is alles te hacken en te injecteren met allerhande troep waar ook Eset geen oplossing voor heeft.
Eset blijft heus zijn software wel verkopen want het advies is aan Windows gebruikers gericht en niet aan de groep die toch al een ander OS gebruikt dan wel met een cd opstart.
Een phishing mail openen of een phishing site gebruiken is een duidelijk gevalletje pebcac. Een hardware keylogger lijkt me gemiddeld gezien meer iets voor bedrijfsspionage e.d. en gaat niet op voor de gemiddelde thuisgebruiker.
De bank zou een cd kunnen uitbrengen die voordat je de gelegenheid krijgt om in te loggen eerst alle updates voor de betreffende software ophaalt. Ik weet dat het niet ideaal is maar het is beter dan vanaf een pc die mogelijk al besmet is.
Een echt veilige oplossing zal er misschien wel nooit komen.
De virusscanners detecteren maar ongeveer 45% van alle malware die in omloop is.
In een ander artikel hier gelezen staat dat 45% van alle pc's besmet is met malware.
Theoretisch is alles te hacken en te injecteren met allerhande troep waar ook Eset geen oplossing voor heeft.
Eset blijft heus zijn software wel verkopen want het advies is aan Windows gebruikers gericht en niet aan de groep die toch al een ander OS gebruikt dan wel met een cd opstart.
Een phishing mail openen of een phishing site gebruiken is een duidelijk gevalletje pebcac. Een hardware keylogger lijkt me gemiddeld gezien meer iets voor bedrijfsspionage e.d. en gaat niet op voor de gemiddelde thuisgebruiker.
De bank zou een cd kunnen uitbrengen die voordat je de gelegenheid krijgt om in te loggen eerst alle updates voor de betreffende software ophaalt. Ik weet dat het niet ideaal is maar het is beter dan vanaf een pc die mogelijk al besmet is.
Een echt veilige oplossing zal er misschien wel nooit komen.
18-10-2009, 06:34 door
Skizmo
Door Anoniem: "verwarrend bericht."
Wat is er dan verwarrend ?
"DSL Damn Small Linux is ook een leuke distro die werkt."
Klopt, maar wat wil je daarmee duidelijk maken ?
Het is gewoon zeik bericht. Past dus goed op deze site de laatste tijd.Wat is er dan verwarrend ?
"DSL Damn Small Linux is ook een leuke distro die werkt."
Klopt, maar wat wil je daarmee duidelijk maken ?
Door Anoniem:
- Phissing? Nope, hosts file wordt continue gecontroleerd, en ik typ de URL altijd handmatig in. En al hebben ze alle overboekingsgegevens, dan nog matcht de TAN code niet bij 'de echte' site. Tel daar een EV cert bij op en je hebt al heel wat zekerheid.
En door wie word die hostfile gecontroleerd? Niet door de bank! Dat zal de gebruiker dus zelf moeten doen (of door software laten doen). En dat doet "jan de simpele internet gebruiker" echt niet.- Phissing? Nope, hosts file wordt continue gecontroleerd, en ik typ de URL altijd handmatig in. En al hebben ze alle overboekingsgegevens, dan nog matcht de TAN code niet bij 'de echte' site. Tel daar een EV cert bij op en je hebt al heel wat zekerheid.
Dus als een stukje mallware vervolgens de host file aanpast, waarin de site van de bank ineens naar een phishing site geredirect word, dan de gemiddelde pc gebruiker dat dus niet in de gaten.
Ondertussen denkt de gebruiker zijn bankzaken te doen maar worden er op de achtergrond nog meer transacties "klaar gezet".
Door Anoniem: Internetbankieren met een gedateerde live-CD is niet slim. De SSL libraries zijn de laatste tijd vaak gepatched. De live-CD van Ubuntu 7.04 die je destijds hebt gebrand/gekregen bevat dus een kwetsbare versie van SSL waardoor Internetbankieren erg onveilig wordt.
En daarom brand je dus regelmatig een nieuwe versie van welke distro dan ook... Of draai jij ook nog op windows 95? omdat je dat toen ooit eens geinstalleerd hebt?
19-10-2009, 16:14 door
[Account Verwijderd]
[Verwijderd]
Is er ook onderzoek gedaan dan naar Nederlandse banken ? Voorzover ik weet hoeft er voor de bank geen software te worden geïnstalleerd op je PC maar wordt er per opdracht een versleuteling gevraagd die, ook weer voorzover ik weet, nog nooit gekraakt is. Ik snap ook niet waarom er meteen dan naar Linux gegrepen wordt of Ubuntu. Maar ja ..
mvgr
Herman
mvgr
Herman
Voor de bank maakt het niet uit welke besturingssoftware er wordt gebruikt, ook niet of de computer beveiligd is met de beschikbare middelen.
Als er onterecht geld verdwijnt van je rekening moet jij bewijzen dat je het zelf niet hebt en dat is erg moeilijk, vermoedelijk ben jezelf het `haasje`.
Wanneer bankier je veilig?
Ik heb geen idee!
Een ding kan je helpen, zorg dat er zo weinig mogelijk op je lopende rekening staat.
Of gebruik de ouderwetse overschrijvingen, ik weet, het is omslachtiger maar wel veiliger.
Als er onterecht geld verdwijnt van je rekening moet jij bewijzen dat je het zelf niet hebt en dat is erg moeilijk, vermoedelijk ben jezelf het `haasje`.
Wanneer bankier je veilig?
Ik heb geen idee!
Een ding kan je helpen, zorg dat er zo weinig mogelijk op je lopende rekening staat.
Of gebruik de ouderwetse overschrijvingen, ik weet, het is omslachtiger maar wel veiliger.
Een Linux live CD is JUIST geschikt hiervoor. Maak als bank een speciale internetbankieren cd, die direct opstart met de site van de bank. Klaar! De quote in de titel is onzinnig. Het tegenovergestelde is waar. Of de redactie plaatst maar halve info, of deze man is niet in staat om iets verder te kijken en de oplossing die onder zijn neus ligt onder woorden te brengen.
Juist Linux. Juist wel.
Juist Linux. Juist wel.
Een Linux live CD is JUIST geschikt hiervoor. Maak als bank een speciale internetbankieren cd, die direct opstart met de site van de bank. Klaar! De quote in de titel is onzinnig. Het tegenovergestelde is waar. Of de redactie plaatst maar halve info, of deze man is niet in staat om iets verder te kijken en de oplossing die onder zijn neus ligt onder woorden te brengen.
Hoe weet je zeker dat dat de originele bank -cd is en niet een ripoff? Die je alsnog naar een vage banksite brengt!
Grappig ! In Linux distro's worden net als bij Windows regelmatig gaten gevonden die door kwaadwillenden misbruikt kunnen worden. Bankieren met een live-cd is daarom alleen veilig als je telkens na het uitbrengen van patches een nieuwe cd zou branden. Het aantal uitgebrachte patches is bij Linux niet minder dan bij Windows. Je zou dus elke week/twee weken een nieuwe live-CD moeten branden om veilig te kunnen blijven bankieren.
Naar mijn idee is het onverstandig om mensen die niet eens weten hoe ze op een veilige manier met Windows moeten omspringen het idee te geven dat ze veilig werken als ze maar een (Linux)-live-cd gebruiken. Dat geeft valse veiligheid en leidt door ondeskundig gebruik en veroudering van de software op de live-cd juist tot onveilige situaties.
Ik denk dat het voor de algemene I-veiligheid goed zou zijn als niet alleen computernerds zich er mee zouden bezighouden maar ook 'nerds' op het gebied van menselijk gedrag. Doen we dat niet dan blijven we technologische oplossingen op elkaar stapelen waardoor het systeem op zichzelf uiteindelijk alleen maar complexer en dus kwetsbaarder wordt. Voor de middelmatig geinformeerde gebruiker wordt het daardoor steeds moeilijker om met het oog op de veiligheid de juiste keuzes te maken.
Naar mijn idee is het onverstandig om mensen die niet eens weten hoe ze op een veilige manier met Windows moeten omspringen het idee te geven dat ze veilig werken als ze maar een (Linux)-live-cd gebruiken. Dat geeft valse veiligheid en leidt door ondeskundig gebruik en veroudering van de software op de live-cd juist tot onveilige situaties.
Ik denk dat het voor de algemene I-veiligheid goed zou zijn als niet alleen computernerds zich er mee zouden bezighouden maar ook 'nerds' op het gebied van menselijk gedrag. Doen we dat niet dan blijven we technologische oplossingen op elkaar stapelen waardoor het systeem op zichzelf uiteindelijk alleen maar complexer en dus kwetsbaarder wordt. Voor de middelmatig geinformeerde gebruiker wordt het daardoor steeds moeilijker om met het oog op de veiligheid de juiste keuzes te maken.
Grappig ! In Linux distro's worden net als bij Windows regelmatig gaten gevonden die door kwaadwillenden misbruikt kunnen worden. Bankieren met een live-cd is daarom alleen veilig als je telkens na het uitbrengen van patches een nieuwe cd zou branden. Het aantal uitgebrachte patches is bij Linux niet minder dan bij Windows. Je zou dus elke week/twee weken een nieuwe live-CD moeten branden om veilig te kunnen blijven bankieren.
Naar mijn idee is het onverstandig om mensen die niet eens weten hoe ze op een veilige manier met Windows moeten omspringen het idee te geven dat ze veilig werken als ze maar een (Linux)-live-cd gebruiken. Dat geeft valse veiligheid en leidt door ondeskundig gebruik en veroudering van de software op de live-cd juist tot onveilige situaties.
Ik denk dat het voor de algemene I-veiligheid goed zou zijn als niet alleen computernerds zich er mee zouden bezighouden maar ook 'nerds' op het gebied van menselijk gedrag. Doen we dat niet dan blijven we technologische oplossingen op elkaar stapelen waardoor het systeem op zichzelf uiteindelijk alleen maar complexer en dus kwetsbaarder wordt. Voor de middelmatig geinformeerde gebruiker wordt het daardoor steeds moeilijker om met het oog op de veiligheid de juiste keuzes te maken.
Naar mijn idee is het onverstandig om mensen die niet eens weten hoe ze op een veilige manier met Windows moeten omspringen het idee te geven dat ze veilig werken als ze maar een (Linux)-live-cd gebruiken. Dat geeft valse veiligheid en leidt door ondeskundig gebruik en veroudering van de software op de live-cd juist tot onveilige situaties.
Ik denk dat het voor de algemene I-veiligheid goed zou zijn als niet alleen computernerds zich er mee zouden bezighouden maar ook 'nerds' op het gebied van menselijk gedrag. Doen we dat niet dan blijven we technologische oplossingen op elkaar stapelen waardoor het systeem op zichzelf uiteindelijk alleen maar complexer en dus kwetsbaarder wordt. Voor de middelmatig geinformeerde gebruiker wordt het daardoor steeds moeilijker om met het oog op de veiligheid de juiste keuzes te maken.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
