image

"USB-stick met VM oplossing voor veilig internetbankieren"

vrijdag 8 oktober 2010, 17:30 door Redactie, 18 reacties

In Amerika blijven banken en bankklanten met internetbankieren worstelen. Afgelopen week werd er een wetsvoorstel gepresenteerd om scholen en gemeenten dezelfde rechten als consumenten te geven in het geval hun bankrekening wordt geplunderd. Alleen consumenten kunnen in in de VS in aanmerking voor een vergoeding komen, terwijl bedrijven, onderwijsinstellingen en gemeenten de schade zelf moeten dragen. De afgelopen maanden werden in Amerika talloze instanties het doelwit van criminelen, die vooral de Zeus Trojan gebruikten om online bankrekeningen te legen.

Naast wetgeving zullen de banken ook een beter beveiligde vorm van internetbankieren moeten aanbieden. Volgens Avivah Litan, financieel fraude analist van Gartner, zijn er verschillende nieuwe en veel belovende technologieën die bankklanten tegen dit soort aanvallen moeten beschermen. Litan doelt dan op speciaal "gecodeerde USB-sticks", die een virtueel besturingssysteem op de computer van de klant laden en alle toetsaanslagen tussen de bank en klant versleutelen.

Vooralsnog zijn zowel de wetgeving als USB-sticks toekomstmuziek. Het wetsvoorstel zal naar alle waarschijnlijkheid pas begin volgend jaar behandeld worden.

Reacties (18)
08-10-2010, 17:46 door spatieman
eh.
is een ubuntu, of aanverwante, life CD niet makelijker ?
USB sticks kunnen ook beschreven worden.
een CD niet meer.
08-10-2010, 18:32 door Anoniem
Misschien omdat ze bij nieuw ontdekte veiligheidsgaten meteen de VM op de usb-stick
willen (kunnen) aanpassen. ??
En dan natuurlijk eerst remote controle of de USB-stick nog in juiste (originele) toestand
is voordat je verder kan met bankieren.
08-10-2010, 19:38 door cyberpunk
Als ze nu eens zo'n Digipass invoeren; daar werken hier nu al verschillende banken mee.
08-10-2010, 20:02 door Necrowizard
Door spatieman: eh.
is een ubuntu, of aanverwante, life CD niet makelijker ?
USB sticks kunnen ook beschreven worden.
een CD niet meer.

Dat is dan ook weer een nadeel; live CD's verouderen snel, en bevatten na een paar weken dus al niet meer de laatste patches. Als je dus "veilig" wilt internetbankieren oid, kan je elke week een nieuwe live CD branden... Denk niet dat er echt veel normale mensen zijn die dat willen doen.

Volgens mij zijn er wel USB-sticks met zo'n switch om ze read-only te maken, dat lijkt me dan een stuk handiger
08-10-2010, 20:02 door Anoniem
Digipass ?
Het gaat niet om authorisatie/inloggen.
Maar om in een veilige omgeving, zonder malware, te kunnen
internetbankieren.
09-10-2010, 03:25 door Anoniem
en hoe ga jij alle toetsaanslagen tussen de bank en klant versleutelen als er malware op het systeem staat ?
Afaik tenzij je de usb stick boot, en niet als VM laad, verzorgt het host OS nog altijd alle hardware afhandeling en ben je dus nog steeds vatbaar voor dezelfde keylogger ?
09-10-2010, 11:57 door [Account Verwijderd]
[Verwijderd]
09-10-2010, 17:21 door Anoniem
Wat is VM?
09-10-2010, 22:35 door Anoniem
Grappig voorstel welke nooit gaat vliegen in Nederland.
Banken willen dat online bankieren anytime, anywhere, from any device, mogelijk is.
USB sticks met virtuele OS-'en e.d. gaan niet draaien op een XBox 360 gebaseerd Internet Cafe ergens achter in de rimboe van Thailand. Een programma starten vanaf een reguliere Unix PC of Windows Machine in een InternetCafe of Hotel ook niet.

Of gaan de banken eindelijk inzien dat je niet anytime, anywhere, from any device moet kunnen bankieren?
09-10-2010, 22:52 door meeuw
Mocht dit populair worden dan verwacht ik dat criminelen de BIOS van gebruikers zullen hacken, op die manier is je live cd / usb ook niet meer veilig.
10-10-2010, 06:22 door Anoniem
Wat is VM? Leg even uit wat VM is, zodat ik het artikel kan lezen resp. begrijpen.
10-10-2010, 09:06 door Anoniem
@Anoniemen: http://lmgtfy.com/?q=vm en http://en.wikipedia.org/wiki/Virtual_machine
alstublieft.
10-10-2010, 10:08 door Prlzwitsnovski
"USB-stick" en "veilig" past niet in 1 zin.
10-10-2010, 11:31 door cyberpunk
Door Anoniem: Digipass ?
Het gaat niet om authorisatie/inloggen.
Maar om in een veilige omgeving, zonder malware, te kunnen
internetbankieren.

Dat is relatief. Met de Digipass van Rabobank.be log je in met een persoonlijk gebruikersnummer en een nummer dat je verkrijgt met de Digipass (hiervoor moet je je PIN-code intypen in de Digipass). Zonder PIN-code geraak je nergens, maar het kan nog wat veiliger. Bij Rabobank.be heb je geen kaart nodig. Bij Dexia heb je die wél nodig (die steek je immers in de Digipass).

Voor Dexia moet je ook inloggen met het nummer op je bankkaart, je krijgt een code op de website te zien die je moet invoeren in de Digipass en daarna je PIN-code. Dit creëert een nieuwe code die je moet ingeven op de site. Bij elke actie moet je werken met de Digipass en codes. Wil je iets overschrijven, dan wordt de som van de overschrijvingen gebruikt in de code.

Bijv. ik schrijf 45 euro over naar rekening X en 55 naar rekening Y, dan moet ik eerst mijn PIN-code ingeven in de Digipass, dan de code die ik op het scherm te zien krijg, dan de som (100) van de overschrijvingen en dan moet ik de code ingeven die door de Digipass gegenereerd wordt. Als er dus iemand tussen zit, dan kan die nooit gaan lopen met een bedrag dat hoger (of lager) is dan de som van die overschrijvingen.

Ik voel me daar redelijk goed bij. :-) En bovendien, banken in België zijn verantwoordelijk. Als er iets fout loopt, dan moeten zij de klant vergoeden. Onder andere Dexia heeft dat al gedaan, zelfs in gevallen waar de klant in fout (Windows Updates niet geïnstalleerd, virussen, Trojans, ...) was.
10-10-2010, 15:07 door xy22
Door Anoniem: Wat is VM?
Door Anoniem: Wat is VM? Leg even uit wat VM is, zodat ik het artikel kan lezen resp. begrijpen.
VM staat voor Virtual Machine. Maar op zo'n toon vragen-eisen dat iemand het toelicht, is vreemd als het tweede zoekresultaat bij Google voor "vm" een wikipediapagina is die dit uitstekend uitlegt. Een hoog "Let me google it for you" gehalte zogezegd.
http://en.wikipedia.org/wiki/Virtual_machine
11-10-2010, 12:51 door Dev_Null
"Security blijft giswerk", zolang je niet het volledig inzicht hebt in alle informatie van de gebruikte systemen,hardware, software.
Zo maar een paar vragen die bij me opkomen bij dit verhaal:
1. USB stick maakt via BIOS contact met de rest van het (chips op het ) moederboard:
- Wie zegt dat het BIOS en de processor fabrikanten te vertrouwen zijn?
2. Niet iedere device heeft een USB port?
- Hoe ga je dan internet bankieren?

3. USB poorten kunnen uitgezet zijn (via de bios) op een computer?
- En toen?

4. Hoe bewijs je dat het VM systeem niet ge-backdoor-ed is?
- Zolang er geen hardcoded bewijs is, blijft het giswerk of je VM systeem echt dicht zit

5. Welke "codering:" gebruikt het systeem
- Hoogstwaarschijnlijk met een ingebouwde NSA, FBI hackable ingangen :-)


De veiligste manier van bankieren is je gezicht laten zien aan de balie in een bankgebouw, face-to-face en daar cash op de balie leggen :-) De rest is slechts bs, een security sprookje ;-) of nachtmerrie.
11-10-2010, 14:13 door cyberpunk
Door Dev_Null:

De veiligste manier van bankieren is je gezicht laten zien aan de balie in een bankgebouw, face-to-face en daar cash op de balie leggen :-) De rest is slechts bs, een security sprookje ;-) of nachtmerrie.

De veiligste manier? En dan daar ter plekke overvallen worden zeker!? ;-)

BTW Rabobank.be heeft geen "echte" balie...
12-10-2010, 11:08 door Anoniem
Door Anoniem: Wat is VM? Leg even uit wat VM is, zodat ik het artikel kan lezen resp. begrijpen.

Wat is USB?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.