image

Juridische vraag: mag bank virusscanner verplichten?

woensdag 13 oktober 2010, 10:03 door Arnoud Engelfriet, 36 reacties

Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet en maak kans op zijn boek
"De wet op internet".

Arnoud is van alle markten thuis, maar vindt vooral in technische / hacking vragen een uitdaging. Vragen over licenties worden niet behandeld, aangezien die geen raakvlak met beveiliging hebben. De Juridische vraag is een rubriek op Security.nl, waar wetgeving en security centraal staan. Elk kwartaal kiest Arnoud de meest creatieve vraag, die dan zijn boek zal ontvangen.

Vraag: Recent wilde ik een bankrekening openen bij Argenta, en in de voorwaarden viel me op dat er expliciete eisen werden gesteld over veiligheid.

Cliënt dient regelmatig zijn pc te scannen op computervirussen en andere schadelijke programma’s met behulp van de meest recente versies van anti-virusprogramma’s en personal firewalls en passende maatregelen te treffen om zijn computer af te sluiten voor misbruik van buitenaf. Cliënt dient zelf zorg te dragen voor de aanschaf van een anti-virusprogramma en personal firewalls.

Nu is het goed dat banken eisen dat de klant enige verantwoordelijkheid neemt, maar kan een bank hiermee de klant verantwoordelijk stellen of de eigen verantwoordelijkheid afwijzen in geval van ontvreemding van geld via internetbankieren?

Antwoord: Inderdaad, steeds meer banken eisen expliciet dat je als klant, pardon cliënt(*), maatregelen neemt ter beveiliging van je internetbankieren. Dit is gebaseerd op regels uit het Burgerlijk Wetboek.

Sinds 2009 is de aansprakelijkheid voor fraude bij betalingen geregeld in artikel 7:529 BW. (Voor de mensen met e-commerce achtergrond: artikel 7:46g BW, waarin een andere regeling stond, is op datzelfde moment vervallen.) Dit artikel is ingevoerd op basis van Europese richtlijnen over financieel handelsverkeer. De hoofdregel is dat de klant bij verlies of diefstal van het betaalinstrument (zoals een digipass of een lijst TAN-codes) tot maxmaal € 150,– aansprakelijk is, behalve als de betaler "frauduleus of opzettelijk of met grove nalatigheid heeft gehandeld".

Wat dat precies inhoudt, zal nog moeten worden uitgevochten bij de rechter, maar algemeen gezegd is daarvan sprake als je de "maatschappelijk vereiste zorgvuldigheid" in zeer grote mate veronachtzaamt en geen acht slaat op wat duidelijk zou moeten zijn voor iedereen. Zeg maar: blunderen.

Wie zijn betaalinstrument kwijt is of vermoedt dat een derde daar toegang toe heeft, moet meteen een kennisgeving doen bij de bank (art. 7:524 BW). Hij is dan niet meer aansprakelijk voor betalingen gedaan met dat instrument na de datum van kennisgeving.

Uit dit artikel volgt ook dat je wettelijk verplicht bent je te houden aan de voorwaarden van je bank over gebruik van het betaalinstrument (zolang deze redelijk zijn natuurlijk). Beveiligingseisen zoals de Argentabank (maar ook andere banken) deze opleggen, zijn dus in principe rechtsgeldig als de eis vandaag de dag redelijk te noemen is. En mij lijkt eisen van een recent antivirusprogramma (als je Windows gebruikt) en een fatsoenlijke firewall wel redelijk.

Arnoud
(*) Wat is het verschil tussen klant en cliënt? Ongeveer 200 euro per uur.

Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. In 2008 verscheen zijn boek "De wet op internet".

Reacties (36)
13-10-2010, 10:34 door Anoniem
Maar wat als de bank eisen gaat stellen aan de overige software? Moet ik als Linux gebruiker over op een (in mijn ogen) minder veilig en duurder OS (lees Windows) overstappen als mijn bank dat in de voorwaarden eist? Op dit moment ben ik in 'overtreding',want ik draai op mijn Linux/OpenSolaris/BSD machines geen virusscanner. En kan de bank straks ook eisen stellen aan mijn telefoonprovider voor het bankieren via mobiel internet?
13-10-2010, 11:13 door Arnoud Engelfriet
Er wordt niet geëist dat je naar Windows gaat. Als de eisen in jouw geval onredelijk zijn, dan hoef je je daar niet aan te houden. Wel zul je moeten laten zien dat je minstens zo veilig bent als wanneer je onder Windows met de geëiste maatregelen zou hebben gewerkt.
13-10-2010, 11:19 door Anoniem
Ja. Of eigenlijk een soort netbook die alleen voor bankzaken kan gebruikt mag worden. Denk dat dit een nog betere oplossing is. Deze zou je uiteraard moeten aanschaffen met een maandelijks bedrag of zo iets.
13-10-2010, 11:52 door Anoniem
Hoi Arnoud Engelfriet, het is inderdaad een intresant onderwerp van de dag, Iets verplichten
is tegen de zin van de klanten. Je bent zelf verantwoordelijk voor de beveiliging van je computer,
dus aan jou de keus hoe je dat gaat doen, en of je de computer uptodate houdt,
als jij niet beschikt over de laatste versie van Flash Player, of een van de recent browser
zoude de bank je moet weigeren bij schaden uit tebetalen!, En heb je de pc's niet
voorzien van de laatst Windows updates, dat houd in je krijgt geen schaden vergoeding
als bankrekening geplunderd is! Ik vind het puur onzin om als bank de
de tuisgebruikers te gaan vereisen dat ze maar een anti virusscanner moet gaan installeren
om tekunnen bankieren! Bijvoorbeeld als je deel neemt aan p2p activiteid loop je nog veel meer risico dan
de gemiddeld internetter.
13-10-2010, 13:01 door Anoniem
De bank wil dat JIJ via internet alles gaat regelen, dat scheelt hun kantoren, bankmedewerkers en dus heeeel veel geld.
Dus omdat de bank goedkoper wil doen, moet IK maar een onbenoemde hoeveelheid maatregelen nemen.

De bank levert een dienst, en die behoort gewoon veilig te zijn ook al springen er 100 virussen op je (Windows) PC.
Zo zou het moeten zijn.
AS

Zou wat zijn als autofabrikanten gaan zeggen "ja, onze auto is veilig als je minder dan 20km/h rijdt, daarboven had je maar een rolkooi moeten inlassen, 5 puntsgordels moeten monteren, 20 airbags en een helm op moeten zetten".
13-10-2010, 13:29 door Wim ten Brink
Tja, hoe redelijk is die eis van een virusscanner? Als ik FreeBSD gebruik i.p.v. Linux, Windows of OS-X en hiermee alleen het internet-bankieren benader en verder niets, dan zou mijn systeem al behoorlijk veilig moeten zijn. Als straks het Google Chrome OS eindelijk uit Beta is, is de kans ook aanwezig dat je voor dat besturings-systeem geen virusscanner nodig hebt. In deze gevallen zou deze eis van de bank onredelijk bezwarend zijn.
Maar ja, het aantal gebruikers van Windows XP is op dit moment zelfs nog absurd hoog, waarbij de "gevaarlijke" service pack 2 bij diverse gebruikers nog steeds niet is bijgewerkt naar SP3. Nog steeds kun je momenteel van die kleine, geinige netbooks kopen met een SSD-schijf erin van 8 of 16 GB die gewoon niet krachtig genoeg zijn voor Vista of Windows 7, dus wordt er Windows XP op geinstalleerd. En dan vraag ik mij af hoeveel mensen er nog Windows 95 en Windows 98 gebruiken, hoewel dit er vast niet veel meer zijn...
Maar welke eisen kan een bank dan verder aan een virusscanner stellen? Is iedere virusscanner voldoende of stellen ze ook nog eens kwaliteits-eisen?
13-10-2010, 13:32 door Duck-man
Ik vind de eis van de bank niet eens zo gek hoor. Ze stellen alleen dat je minimale onderhoud moet plegen aan je computer voor je gaat internet bankieren. Software up to date, firewall en je computer virus vrijhouden zo goed als dat mogelijk is. Updaten en firewall geld voor elke OS. Je PC scannen op rare dingen geld voornamelijk voor Windows PC's maar ook Linux en Mac zijn er niet 100% vrij van.
Even twee zinnetjes
"Cliënt dient regelmatig zijn pc te scannen op computervirussen en andere schadelijke programma’s"
Elk half jaar je PC scannen is regel matig. Vraag is of dit afdoende is. Voor Linux ja, Mac waarschijnlijk ook maar Windows zou ik wat vaker doen.
"passende maatregelen te treffen om zijn computer af te sluiten voor misbruik van buitenaf"
Als dat van af live CD is, is dit dus goed.
Natuurlijk zal een bank je niet afstraffen als je op donderdag je PC update. Maar als je nog met XP zonder SP1,2, en 3 en IE6 werkt. Hebben ze wat mij betreft het recht vragen te stellen hou hun aansprakelijkheid hier ligt.

Gelukkig worden er geen eisen aan OS en browser gesteld, buiten dan up to date
13-10-2010, 15:13 door Anoniem
Bank vraagt om software te installeren ... idpv gewoon deftig online systeem te gebruiken.
Ik zit zelf bij fortis, elke actie vereist interactie met dat toestelletje met je kaart erin.
Kans tot mislopen van dingen is meteen een groot veelvoud gezakt.


Moest het OS nu gewoon secuur zijn, zou er weeral niets aan de hand zijn.
13-10-2010, 17:14 door Arnoud Engelfriet
Aanvulling nog even (met [url=http://oerlemansblog.weblog.leidenuniv.nl/2010/10/13/mag-een-bank-anti-virussoftware-aan-klan]dank aan collega-jurist Oerlemans[/url]): de rechter mag de aansprakelijkheid van de klant beperken als de klant niet opzettelijk of frauduleus heeft gehandeld (lid 3 van artikel 7:529 BW).
13-10-2010, 19:45 door Anoniem
Door Duck-man:
Als dat van af live CD is, is dit dus goed.
.....
Gelukkig worden er geen eisen aan OS en browser gesteld, buiten dan up to date


Een liveCD is per definitie niet up2date, en daarom dus NIET veilig.
Beter is het om een Guest Session (ubuntu/mac) of sandbox constructie te gebruiken.

Als mijn bank dat laatste zou eisen, zou ik dat niet alleen redelijk vinden, maar er zelfs een veilig gevoel bij krijgen, eindelijk een bank die beter dan andere banken nadenkt over digitale security.
13-10-2010, 20:56 door JanMeeuw
Ter illustratie :

De Ubuntu 10.10 LiveCD
net 3 dagen uit, heeft alweer important security updates.
Ook staat in de LiveCd de firewall uit........
Een beetje hacker is dan dus zo bij je binnen, er is geen ww nodig om root privileges krijgen....
Dan even de NTFS partities mounten.....
Zombie Time!
13-10-2010, 21:31 door Anoniem
Een sandbox-consctructie zal niet verhinderen - als je met een keylogger op je hoofdwindowssysteem zit -
dat alle toetsaanslagen geïntercepteerd worden.

Tenzij je router gecompromitteerd is, en tenzij je draadloos werkt, is er niets tegen een linux
live-cd.

Alles spreekt zelfs voor een live-cd als je alleen de banksite bezoekt. Vermits je niet
naar andere sites gaat, kan je niet besmet worden
Trouwens : je merkt het vlug als je met een verouderde linux-cd met verouderde browser
bezig bent, omdat verschillende websites dan niet goed weergegeven worden.
Phishing kan ook al niet. Software-keyloggers hebben er geen vat op. Je besturingssysteem
kan niet besmet zijn, want er zijn niet veel virussen voor linux, omdat je een bestand
of een script eerst uitvoerbaar moet maken opdat het zou uitgevoerd kunnen worden.

Het gemak van windows is tevens zijn zwakte (en ik ben een Windows 7 en win xp 3 gebruiker),
maar omdat ik me erger aan de vele obstakels om iets uit te voeren in linux, gebruik ik
het enkel vanaf een live-cd om mee te bankieren. Pclinuxos live cd (de openbox versie van 2010),
start op in 2 minuten.Je hebt linux mint live cd . Beide zijn zeer gebruikersvriendelijk. En je kan inloggen
als gebruiker (guest) in plaats van administrator.Dus zit je in een beperkt account.
En je hebt live-cd's die opstarten met een actieve firewall.

Bovendien werk je op die manier telkens met een zuiver systeem.

De meest gesofisticeerde virussen worden in het eerste stadium niet eens ontdekt door een virusscanner onder windows..

Begin dit jaar bleken talloze windowssystemen een bluescreen op te lopen door een bepaalde update.
Toen bleek dat een uitzonderlijk gesofisticeerde gewijzigde atapi.sys op het systeem aanwezig was, die
zijn verwoestende invloed al van voor het opstarten van windows liet gelden : dus vooraleer de meeste
virusscanners actief werden. Dat atapi.sys zat al een hele tijd ongemerkt op die systemen, en kon allerhande
processen in het opgestarte windows manipuleren, tot die bewuste update de malware aan het licht bracht
( en dat was dan nog "collateral damage" van die update, want er was niet eens gezocht naar dergelijke
gesofisticeerde malware)

Met een beperkt account onder win 7 ben je ook redelijk veilig, maar dan zijn er de reclamebanners,
adobe flash, en adobe reader, enz. die je kunnen infecteren.

Er is veel bekend over de functies van windows, en dagelijks zijn duizenden mensen bezig met
het zoeken naar gaten in het besturingssysteem.

Daarentegen bestaan er talrijke verschillende linuxsystemen, zodat het minder interessant
wordt. Het financieel uit te buiten aantal gebruikers is daar beduidend kleiner. Bovendien verandert het besturingssysteem daar constant. Een programma gecompileerd op een bepaald systeem,doet het niet op een ander systeem met een andere kernel.

Ik durf gewoon niet meer onder Windows te bankieren. Een live-cd lijkt me nog steeds het
summum van veiligheid.
13-10-2010, 21:57 door Bitwiper
Door Arnoud Engelfriet: En mij lijkt eisen van een recent antivirusprogramma (als je Windows gebruikt) en een fatsoenlijke firewall wel redelijk.
Het is te eenvoudig om malware te maken die door weinig tot geen virusscanners wordt gedetecteerd noch door firewalls wordt tegengehouden. Zodra die malware draait zal deze op de meeste thuis-PC's weinig problemen hebben bij het uitschakelen van de updatefunctionaliteit van de antivirussoftware. Indien nodig zal de malware ook de firewallconfiguratie aanpassen.

Daarom zou je net zo goed kunnen stellen dat iemand die een thuis-PC voor allerlei andere zaken naast internet-bankieren heeft gebruikt en bestolen wordt, "opzettelijk of met grove nalatigheid heeft gehandeld".

Maar dat is ook niet waar, want die bank-klant heeft nauwelijks een keuze. Je moet m.i. de banken grove nalatigheid verwijten dat ze klanten bijna dwingen te internetbankieren gebruik makend van general-purpose besturingssystemen op general purpose PC's waarop -zoals gebruikelijk- allerlei aanvullende (risico verhogende) software is geinstalleerd, en die bovendien niet zelden door huisgenoten met verschillende interesses worden gebruikt. Experts zoals prof. Bart Jacobs hebben er bij herhaling voor gewaarschuwd dat gewone PC's inherent onvoldoende veilig zijn voor kritische handelingen zoals internetbankieren. Virusscanners en firewalls zijn aantoonbaar slechts uiterst gebrekkige symptoombestrijdende lapmiddelen die bovendien een hoop nadelen meebrengen voor de gebruiker.

Begrijp me goed, ik raad bijna iedereen aan om een virusscanner te installeren en op z'n minst de sinds XPSP2 ingebouwde firewall aan te laten. Echter, de gemiddelde thuisgebruiker is niet in staat om vast te stellen of de beveiliging van z'n PC nog enigszins op orde is, iets dat je gebruikers van een besturingssysteem dat by default geen bestandsextensies laat zien en je niet vertelt dat third party software geupdate moet worden, m.i. ook niet kunt aanrekenen. Volgens http://support.microsoft.com/kb/314865 zou XP op een PC met 64MB (128MB recommended) moeten kunnen draaien; echter veel gebruikers klagen al maanden dat XP PC's met 512MB na het opstarten blijven hangen in de Automatic Update check van Microsoft Update.

Als banken onder bovengenoemde omstandigheden de betreffende klant middels deze niet-proportionele en daarmee -relatief- bespottelijke eisen (recent antivirusprogramma, "fatsoenlijke" -wat is dat?- firewall en up-to-date software) een poot uitdraaien, is dat de wereld op z'n kop en is er sprake van ordinair onrecht.
14-10-2010, 09:39 door Syzygy
Enkele opmerkingen mijnerzijds:

Ter voorkoming van Malware het verplicht laten installeren van een Virusscanner:

Oke , maaaaaaar:

Daar er veel leveranciers zijn van deze software en ze in kwaliteit nogal verschillen (false negatives, false positives, updates die besturingsbestanden verwijderen etc.) lijkt me dit een te beprekte maatregel om de risico's bij de klant af te dekken (het is een stap in de goede richting wellicht ) immers, als men een virusscaner heeft geinstalleerd en niet frequent definitie files ophaalt dan heeft deze maatregel weinig nut.
Ik ben trouwens toch een tegenstander van dit soort VERPLICHTINGEN mede omdat hiermee gesuggereerd wordt dat de klant de oorzaak is van alle bankfraude, maar dat terzijde.

Als men dit verplicht stelt dan zal er dus ook wel een soort controle "orgaan" moeten zijn, hoe gaat men dat dan invullen ??

Daarnaast is het succes van bankfraude merendeels te wijten aan de gebrekkige security policies bij een bank dus zou ik de verantwoordelijkheid even terug willen schuiven:

Wij als klanten stellen een eis dat de banken ............................................. (vul maar in, het is tenslotte ONS geld) .
14-10-2010, 11:15 door Anoniem
Dit is heel normaal, we hebben dit ook opgenomen in onze overeenkomsten voor webhosting :)

De door de Opdrachtgever ten minste te treffen maatregelen zijn onder andere:
- het gebruik maken van een wachtwoord wat moeilijk te achterhalen is;
- software onderdelen van een derde (zoals een forum of Contentmanagingsystem) up-to-date te houden;
- het werksysteem voldoende te beveiligen met antivirus software, dit met het oog op virussen die FTP-wachtwoorden kunnen onderscheppen.
14-10-2010, 12:18 door spatieman
ok, en nu een sarcastische vraag..
en wat als ik nu een live CD gebruik, puur om te telebankieren, whatever???
14-10-2010, 13:41 door Mysterio
Het punt is meer het verantwoordelijkheidszwaartepunt dan of de aanbevolen middelen afdoende zijn. Als jouw geld wordt gestolen krijg je het normaal gesproken terug, na aangifte doen etc... Maar mocht jouw geld gestolen zijn maar jouw PC vol staan met shit, is dan de bank nog steeds verantwoordelijk?

Heb jij je best gedaan om het veilig te houden dan zal jou hoogstwaarschijnlijk geen blaam treffen en jij je geld eenvoudig terugkrijgen. Doe je dat niet dan is het niet heel gek dat banken niet zomaar de verantwoordelijkheid op zich nemen.
14-10-2010, 13:53 door [Account Verwijderd]
[Verwijderd]
14-10-2010, 17:43 door Anoniem
Wat een gezeik...linux gebruikers download clamav gratis draai het .
Ik heb nog nooit een virus gezien by the way.
suse linux
15-10-2010, 09:04 door Anoniem
ik was gisteren bij een klant waar de ing het internet bankieren had geblokkeerd wegens virussen op de laptop
ik ben dit gaan controleren en er bleken diverse Trojaans op te staan
dus verplichten zou een goede eerste stap zijn tegen wachtwoord fraude
ik heb ze verwijderd met een progamma dat heet Trojaan anti remover van simpel soft
30 dagen gratis en zeer aan te bevelen

pc hulp zuid holland
15-10-2010, 10:05 door Wim ten Brink
Door Anoniem: Wat een gezeik...linux gebruikers download clamav gratis draai het .
Ik heb nog nooit een virus gezien by the way.
suse linux
Wat een domme opmerking. Veel Windows gebruikers hebben ook nog nooit een virus gezien, maar zijn er ondertussen wel mee besmet! De enige reden waarom Windows kwetsbaarder is voor virussen dan Linux is omdat Windows gigantisch veel meer gebruikers heeft dan Linux. Wat zal de verhouding zijn? 1 op 50? 1 op 100?
Virussen ontstaan niet vanzelf maar ontstaan doordat mensen redenen hebben om zo'n virus te schrijven. En daarbij zoeken ze vaak -maar niet altijd- de meest eenvoudige prooi op om te besmetten. Op dit moment is dat Windows. Maar ondertussen komt er ook al steeds meer malware uit die zich richt op andere, populaire systemen. En dan vooral systemen die nog kwetsbaar zijn. Adobe Flash en Acrobat Reader zijn twee producten die ook erg kwetsbaar zijn. Het porten van .NET code naar Linux/Mono maakt Linux ook kwetsbaarder. Wine heeft het ook al mogelijk gemaakt dat malware onder Linux zou kunnen draaien. Maar er zijn ook al zat virussen geschreven die specifiek Linux systemen aanvallen. In 2005 waren er al bijna 1000 virussen bekend die zich specifiek op Linux hadden gericht. Daar zitten we tegenwoordig al heel ver boven. Als je dan ook bedenkt dat veel organisaties hun linux systemen minder up-to-date houden dan Windows gebruikers dan geeft dat al aan dat er vroeg of laat een enorm drama kan ontstaan onder Linux-gebruikers als een Linux-virus opeens massaal rond gaat. En dat is alleen maar een kwestie van tijd.
Je moet verder bedenken dat veel commerciele virus-schrijvers zich vooral op Windows richten omdat Windows systemen het meeste gebruikt worden voor het uitvoeren van financiele transacties. Als iedereen dit onder Linux zou doen, dan zou Windows een beetje veiliger worden en Linux fors onveiliger... Waarom? Omdat het dan een interessanter doelwit wordt.
15-10-2010, 10:13 door Wim ten Brink
Door Anoniem: ik was gisteren bij een klant waar de ing het internet bankieren had geblokkeerd wegens virussen op de laptop
ik ben dit gaan controleren en er bleken diverse Trojaans op te staan
dus verplichten zou een goede eerste stap zijn tegen wachtwoord fraude
ik heb ze verwijderd met een progamma dat heet Trojaan anti remover van simpel soft
30 dagen gratis en zeer aan te bevelen

pc hulp zuid holland
Weet je wat hier interessant aan is? Op de een of andere manier wist de ING dus dat deze laptop besmet was, dus dat de klant maatregelen moest nemen! Dus als de ING deze trojans kan detecteren, waarom moet de klant dan nog voor antivirus software zorgen? De ING kan dit toch opmerken?
Ik snap je goede bedoeling, maar veel gebruikers zullen na zo'n reactie toch op deze manier denken. Ik hou mij al sinds 1992 bezig met de bestrijding van virussen als een taak naast mijn normale werkzaamheden als software engineer. Ik weet dat veel gebruikers gewoon een hekel hebben aan antivirus software omdat het geheugen modig heeft en het systeem vertraagt. Plus, veel virusscanners kosten geld en iedereen wil juist graag gratis software. Een open-source virusscanner is dan een goed alternatief, maar dan vergeten mensen natuurlijk weer om deze te updaten. En soms vinden ze een leuk spelletje op het Internet maar geeft de virusscanner een waarschuwing, dus zetten ze de scanner uit zodat ze het spelletje alsnog kunnen spelen. Mijn ervaring is dan ook dat de gemiddelde computer-gebruiker een enorme sukkel is, en naarmate computers eenvoudiger worden in het gebruik worden de gebruikers ook steeds dommer. Best jammer, omdat 20% van de computer-gebruikers echt geniale specialisten zijn en dit soort bemoedering van de bank absoluut niet nodig hebben.
15-10-2010, 11:00 door Anoniem
@ Arnout :

"En mij lijkt eisen van een recent antivirusprogramma (als je Windows gebruikt) en een fatsoenlijke firewall wel redelijk. "

Wat is de definitie van een ''recent antivirusprogramma'' en een ''fatsoenlijke firewall", en in hoeverre wil men deze eisen technisch gaan controleren, en hoe zit het dan wanneer je een ''onbekende'' virusscanner gebruikt ? Een klant van mij is Chinees, en op al zijn systemen draait Rising Antivirus. Wanneer de bank technische controles uitvoert, dan is de kans groot dat men ten onrechte zal 'vaststellen' dat zijn systemen niet voorzien zijn van een antivirusprogramma ?
15-10-2010, 11:08 door Arnoud Engelfriet
Er zijn geen harde definities - dit is het recht, geen wiskunde. Verwacht dus geen lijstje als "het moet Comodo Internet Security 2011 of Norton 2010 of later zijn".

Termen als "recent" en "fatsoenlijk" worden ingevuld aan de hand van wat redelijk en billijk is, of beter gezegd van wat de maatschappij vandaag de dag als zodanig beschouwt. In de praktijk zal de rechtbank waarschijnlijk een IT-deskundige laten opdraven die komt vertellen wat een firewall is, waartegen die moet beschermen en of de firewall van de klant aan die eisen voldoet.

Als die deskundige vervolgens zegt dat de gebruikte firewall naar zijn mening onvoldoende is, dan kan de klant zelf een andere deskundige meenemen die uitlegt waarom zijn firewall wel goed genoeg is. Je krijgt dan ongeveer dezelfde discussie als hier dus: is Windows met firewall X beter dan Linux?

De bank mag niet eenzijdig een scan doen bij de klant en constateren "u draait Norton 2007, dat is te oud dus u bent bij deze afgesloten van internetbankieren". De rechter bepaalt of de voorwaarden zijn geschonden.
15-10-2010, 12:04 door Wim ten Brink
Ik vraag mij af of de opkomst van tablet computers zoals de iPad en zo nog van invloed zal zijn op hoe de banken deze voorwaarden verder zullen formuleren. Vooral ook omdat banken ook steeds meer richting mobiele apparaten willen gaan. Ik kan mij voorstellen dat banken straks speciale apps gaan ontwikkelen zodat je alleen maar met bepaalde tablet-computers nog kunt internet-bankieren. Het zou het een en ander wel veiliger kunnen maken en de verantwoording weer bij de bank terugleggen.
Een aantal jaar geleden maakten banken nog gebruik van hun eigen software voor internet-bankieren. Girotel van de Postbank, bijvoorbeeld. Dat waren aparte applicaties die via de telefoonlijn rechtstreeks contact zochten met de bank, en niet over het Internet. Bij dat soort software ligt de schuld natuurlijk bij die software als blijkt dat deze gevoelige gegevens heeft gelekt.
Wat dat betreft heeft het internet-bankieren banken al redelijk vrij kunnen maken van hun eigen verantwoording! Als het nu mis gaat kunnen ze nu de klant eerst de schuld geven in plaats van hun eigen software! En met dit soort voorwaarden proberen ze steeds meer verantwoording bij de klant te leggen. Aan de ene kant best logisch, want het drukt hun kosten. Aan de andere kant, sommige gebruikers zijn hiervoor gewoon te dom en worden al snel slachtoffers en je zou toch verwachten dat de bank juist die klanten beter voor moet lichten over de risico's en het hoe en waarom ze hun systeem goed moeten beveiligen. Een regeltje over AV software in de algemene voorwaarden is daarvoor niet genoeg, simpelweg omdat 99% van alle gebruikers deze niet of nauwelijks leest.
15-10-2010, 17:21 door Anoniem
Volgens de rabobanksite http://www.rabobank.nl/particulieren/servicemenu/veiligheid/wat_kunt_u_doen/beveilig_uw_computer/default is een personal firewall "een programma dat uw computer beschermt tegen misbruik van buitenaf en waarschuwt wanneer iemand uw computer wil binnendringen".

Alle inkomende verbindingen kan je echter prima met de standaard firewall van Windows XP/Vista/7 blokkeren. Dan heb je alleen nog bedreigingen over van 'binnen uit', maar die kunnen makkelijk meeliften op browsers en poort 80. Vooral omdat er dan toch al malware op de computer moet staan om deze uitgaande verbinding te initiëren.

De windows firewall, microsoft security essentials plus een firewall voor inkomende verbindingen op het modem/router (eventueel met een lang wachtwoord op dit modem/router) lijkt mij meer als afdoende om veilig te kunnen internet bankieren.

Samen met het gebruikelijke patchen van alle applicaties e.d. natuurlijk! En UAC, DEP, etc.
UPnP uitzetten voorkomt ook misbruik van buitenaf.
16-10-2010, 22:18 door Anoniem
Artikelen 7.1 en 7.3 zijn voor mij reden (genoeg) om geen rekening bij deze bank te openen.
Verder vind ik het absoluut niet servicegericht van Argenta dat zij haar klanten niet een duwtje in de juiste richting geeft, zoals bijvoorbeeld Santander die haar klanten aanspoort om veilig internet te bankieren met het gratis te downloaden Trusteer Rapport.
17-10-2010, 02:40 door Anoniem
bizar...
dus als ik wil internet bankieren moet ik dus een virus scanner draaien?

dat houdt dus in dat ik mijn linux er af moet gaan gooien om vervolgens een onveilig OS als windows moet gaan installeren omdat daar wel virusscanners voor zijn?

clamav is overigens een linux virusscanner om WINDOWS virussen op te sporen..
de ironie..
17-10-2010, 12:44 door P5ycH0
Als de banken nu eens Microsoft dwingen een veiliger systeem te bouwen en onveilige systemen niet online laten gaan.
Uiteindelijk vindt 99% van de ellende plaats op die systemen.
17-10-2010, 15:14 door Wim ten Brink
Door P5ycH0: Als de banken nu eens Microsoft dwingen een veiliger systeem te bouwen en onveilige systemen niet online laten gaan.
Uiteindelijk vindt 99% van de ellende plaats op die systemen.
Kan. Gaat gelijk de prijs van Windows omhoog naar €2000 per licentie. Want dergelijke code is gewoon veel duurder te produceren. Dan krijg je dus dat Linux populairder wordt en er steeds meer veiligheids-problemen met Linux ontdekt worden. En uiteindelijk komt men dan tot de conclusie dat Linux net zo'n grote, Zwitserse gatenkaas is als Windows. Dus gaat iedereen over op Mac OS-X in de hoop dat Apple wel iets degelijks kan bouwen maar helaas, pindakaas... Ook daar worden massaal lekken ontdekt.
-
Wat je verder ook nog eens over het hoofd ziet is dat het niet alleen Microsoft is die ervoor zorgt dat Windows zo onveilig is. Er worden tegenwoordig steeds meer lekken ontdekt in applicaties van derden. Adobe Acrobat Reader en Adobe Flash zijn twee voorbeelden van applicaties die momenteel veel ellende veroorzaken op Windows. Ook Firefox -nota bene een opensource applicatie- heeft regelmatig allerlei beveiligingslekken die weid open staan en zo kwaadaardige code toestaan. Simpele zaken zoals printerdrivers van HP of videodrivers van NVidea kunnen ook kwetsbaarheden vertonen waar een hacker een aanvalsvector op kan openen.
-
En om de boel nog eens erger te maken, er zijn gewoon veel gebruikers die lang niet al hun software op legale manier verkrijgen. Door met vrienden en kennissen software uit te wisselen en door filmpjes te downloaden en af te spelen worden er tegenwoordig best veel besmettingen doorgegeven. Download-sites en bittorrent trackers maken de boel alleen nog erger omdat besmettingen op die manier ver verspreid kunnen worden. En ik weet het, het klinkt als propaganda van de BSA en Brein tesamen. Het is alleen jammer dat het ook nog eens waar is.
Een aantal jaar geleden werd opeens al ontdekt dat er een virus in een simpel JPG plaatje kon zitten dankzij het principe van buffer overflows. Je kon vervolgens niet eens meer veilig een plaatje openen zonder je systeem te beschadigen. Daar heeft men ondertussen wel veel van geleerd maar de werkelijkheid is dat tegenwoordig zelfs een bestand met alleen data erin al voor narigheid kan zorgen. En dan kun je systemen nog zo veilig willen maken als je kunt, er is altijd weer een veiligheidslek dat gewoon over het hoofd wordt gezien...
18-10-2010, 11:41 door Bitwiper
In https://secure.security.nl/artikel/34782/1/ABN-Amro_klanten_geskimd_in_bankfiliaal.html heb ik een gerelateerd comment opgenomen waarin ik verwijs naar bovenstaand artikel.
18-10-2010, 19:49 door Anoniem
/* Maar er zijn ook al zat virussen geschreven die specifiek Linux systemen aanvallen. */

Ja hoor,ik draai ook een virus scanner op linux....voor (linux en windows)en dan nog nooit een virus gezien gezien.
19-10-2010, 10:16 door Wim ten Brink
Door Anoniem: /* Maar er zijn ook al zat virussen geschreven die specifiek Linux systemen aanvallen. */

Ja hoor,ik draai ook een virus scanner op linux....voor (linux en windows)en dan nog nooit een virus gezien gezien.

Tja, Linux heeft inderdaad veel minder last van virussen. Jammer genoeg zijn virussen niet het enige gevaar op het Internet, en Linux is nog steeds kwetsbaar voor hackers, wormen en andere risico-volle malware. Vooral veel beginnelingen installeren een Linux-box met alles erop en eraan, inclusief webserver functionaliteit en allerlei modules die ze zelf niet gebruiken maar die wel een aanvals-vector opleveren voor hackers. Windows heeft vooral last van virussen, Linux heeft meer last van wormen die over het Internet kruipen. Onder Linux vind je vooral gebruikers die te laks zijn met beveiliging en dus een zwakke beveiliging hebben ingesteld, vaak nog met eenvoudig te raden wachtwoorden. Maar dat zijn vooral beginnersfouten. Helaas zijn er veel amateurs aan het rommelen met Linux, waardoor er toch genoeg kwetsbare systemen zijn.
De opkomst van Linux maakt vooral scripting virussen erg populair. Dat begon al ruim 25 jaar geleden met het Christmas virus dat vooral bij IBM de mailservers wist plat te leggen. En dat in de tijd van voor het Internet! En zonder de invloed van de Microsofties... Nu ontstaan er vooral veel cross-platform scripting taaltjes met PHP en JavaScript als de meest populaire varianten en deze zijn ideaal om cross-platform virussen in te schrijven. En dit soort aanvallen gaan vooral over van web server naar web server. Of mail server naar mail server.
Het is overigens al weer een oudje maar ik weet nog goed hoe het Spaller virus in 2002 rondwaarde over diverse Linux systemen. Een virus dat misbruik kon maken van een bug in de SSL beveiliging onder OpenSSL. Het is het eerste virus onder Linux waar ik mee te maken kreeg via mijn werk, en hij was niet erg leuk om te bestrijden. Maar goed, tussen 2000 en 2004 waren er best veel ontwikkelingen op het gebied van Linux malware. Het dwong de Linux developers dan ook om de beveiliging beter dicht te timmeren in de nieuwere kernels.
19-10-2010, 17:11 door Anoniem
Eureka?:

Is het een idee om internetbankieren alleen maar te gebruiken met bijvoorbeeld een Ubuntu* live cd:

Heel simpel, je herstart je pc met de Ubuntu* live cd erin,
je doet je internet bankzaken,
je haalt de cd er weer uit,
reboot je pc en klaar.

Veilig genoeg voor thuisgebruik?

* Gebruik van Ubuntu is slechts een voorbeeld, dit kan elke livecd met internetondersteuning zijn.
01-11-2010, 18:13 door Anoniem
Door WorkshopAlex: Helaas zijn er veel amateurs aan het rommelen met Linux, waardoor er toch genoeg kwetsbare systemen zijn.
Ik ben benieuwd hoe dat zich ontwikkelt, al aangenomen dat Linux ooit meer dan die 1-3% op de desktop gaat halen die het nu heeft. Rommelende amateurs vormen natuurlijk ook een groot deel van de Windows-gebruikers, dat hangt samen met het grote marktaandeel op de desktop, en dat verklaart voor een deel waarom dat zo'n vruchtbaar platform voor malware is.

Het lastige van computers is dat de meeste gebruikers werkelijk geen flauw benul hebben wat een computer eigenlijk is. Google illustreerde dat een jaar of wat geleden heel leuk door mensen op straat wat gerichte vragen te stellen, en te constateren dat de meesten het onderscheid tussen een webbrowser en de zoekpagina van Google niet kunnen maken. Dat suggereert dat voor veel mensen het een grote interfacebrei is, waarvan ze niet weten wat zich locaal bevindt en wat elders, wat een applicatie is en wat een document (ik ken mensen die elk Word-document een programma'tje noemen). Laat staan dat ze iets van de onderliggende werking en architectuur snappen, of welke rol een besturingssysteem speelt en hoe ongeveer. In die brei weten ze een aantal handelingen uit te voeren (let eens op hoeveel mensen een URL als zoekargument bij Google invullen en nooit de locatiebalk gebruiken), en de totale brei noemen ze computer.

Dat klinkt misschien denigrerend, maar zo bedoel ik het niet; iedereen is weer goed in andere dingen, en er zijn vele onderwerpen waarin ik zelf een volledige knurft ben. Het betekent wel dat als een leek behalve gebruiker ook beheerder van een systeem is, alle normaal benodigde beheerhandelingen zo volkomen fool-proof moeten zijn opgezet dat het de grootste sufferd nog niet lukt om iets stuk te maken. Het lijkt me moeilijk om dat te combineren met systemen die niet tegelijk heel restrictief en gesloten zijn, en veelzijdigheid en flexibiliteit vormen nou juist de kracht van computers.

Voorlopig betekent dit dat banken niet kunnen aannemen dat de systemen van hun klanten veilig genoeg zijn voor internetbankieren. Vanuit mijn wat pessimistische kijk op wat je van mensen mag verwachten in hun omgang met computers verwacht ik niet dat de bewustwordingscampagnes die de banken nu voeren het probleem werkelijk op zullen lossen.

Het gebruik van live-cd's, wat hierboven door verschillende mensen is gesuggereerd, is zeker interessant. Waarom maken banken niet zelf een live-cd, tot op het bot uitgekleed zodat er niets overbodigs meer opstaat? Een die alleen een beveiligde verbinding met de server van de bank toestaat, en met niets anders, en die direct de bancaire applicatie opstart, en niets anders. Die applicatie hoeft dan niet eens per se een webtoepassing meer te zijn. Datacommunicatie kan ook via een VPN of SSH lopen. SSH-sessies kunnen met challenge-response geauthenticeerd worden, als daar een PAM-module voor bestaat of ontwikkeld wordt kan het bestaande token worden ingezet. Een dergelijke opzet zou de gewenste restrictieve omgeving kunnen leveren.
02-11-2010, 13:24 door Wim ten Brink
Door Anoniem:
Ik ben benieuwd hoe dat zich ontwikkelt, al aangenomen dat Linux ooit meer dan die 1-3% op de desktop gaat halen die het nu heeft. Rommelende amateurs vormen natuurlijk ook een groot deel van de Windows-gebruikers, dat hangt samen met het grote marktaandeel op de desktop, en dat verklaart voor een deel waarom dat zo'n vruchtbaar platform voor malware is.
In principe is de Linux-markt al iets groter dan dat. Sowieso is het besturings-systeem van Apple deels gebaseerd op de code van FreeBSD, maar goed... Da's geen Linux. :-) Google Chrome OS is ook een Linux-clone, net als Android. Deze twee besturings-systemen beloven erg populair te worden. Diverse netbooks worden ook geleverd met Linux in plaats van Windows, simpelweg omdat deze computertjes meestal voor simpele taken worden gebruikt: webbrowsen, documentjes schrijven en emailen. Soms ook agenda's e.d. Het is dat Windows 7 Home Premium ondertussen de Linux-varianten heeft weggejaagd, maar ze waren even in opkomst.
Natuurlijk kent ook Windows de nodige rommelende amateurs. Hierbij ligt ook nog eens een deel van de schuld bij hardware-fabrikanten die rommelige drivers meeleveren voor hun rand-apparatuur. Er wordt ook wel eens beweerd dat Windows zelf een rommeltje is, maar velen vergeten dat Windows -als meest populaire desktop- juist een aantrekkelijk doelwit is voor hackers!

Door Anoniem: Het lastige van computers is dat de meeste gebruikers werkelijk geen flauw benul hebben wat een computer eigenlijk is.
Dat klopt ook wel. Veel gebruikers denken ook niet erg na bij hun dagelijkse computer-gebruik. Pas als er dingen misgaan beginnen ze te klagen en vaak geven ze dan ook nog de verkeerde zaken de schuld. Zelfs meer ervaren ITers begaan nog regelmatig de nodige fouten die soms tot vervelende situaties kan leiden.

Door Anoniem: Dat klinkt misschien denigrerend, maar zo bedoel ik het niet; iedereen is weer goed in andere dingen, en er zijn vele onderwerpen waarin ik zelf een volledige knurft ben. Het betekent wel dat als een leek behalve gebruiker ook beheerder van een systeem is, alle normaal benodigde beheerhandelingen zo volkomen fool-proof moeten zijn opgezet dat het de grootste sufferd nog niet lukt om iets stuk te maken. Het lijkt me moeilijk om dat te combineren met systemen die niet tegelijk heel restrictief en gesloten zijn, en veelzijdigheid en flexibiliteit vormen nou juist de kracht van computers.
Het porbleem is dat als je een systeem idioot-proof maakt, evolutie altijd weer zorgt voor een nog betere idioot. ;-) Kortom, een systeem volledig tegen de grootste suffers beschermen kan alleen maar door een computer zonder aan/uit knop te produceren. (Die dus altijd uit staat.)

Door Anoniem: Voorlopig betekent dit dat banken niet kunnen aannemen dat de systemen van hun klanten veilig genoeg zijn voor internetbankieren. Vanuit mijn wat pessimistische kijk op wat je van mensen mag verwachten in hun omgang met computers verwacht ik niet dat de bewustwordingscampagnes die de banken nu voeren het probleem werkelijk op zullen lossen.
Tja, maar hoe los je dit op? Sommige gebruikers missen de kennis om hun systeem te beveiligen, anderen hebben die kennis wel maar zijn bewust onveilig bezig. Denk hierbij aan gebruikers die vanaf allerlei sites software downloaden en installeren en daarbij hun virusscanner waarschuwingen compleet negeren. Denk aan al die mensen die van hun webbrowser een waarschuwing krijgen dat een bepaalde site malware bevat en dan alsnog doorklikken om deze te bekijken. Denk aan gebruikers die een virusscanner gratis meekregen met hun computer en deze al 4 jaar lang niet meer updaten. Sommige gebruikers weten wel beter maar gaan alsnog nonchalant om met hun data.
Denk ook even aan al die gebruikers die een enkele gebruikersnaam/wachtwoord gebruiken voor honderden sites en forums, inclusief online bankieren.

Door Anoniem: Het gebruik van live-cd's, wat hierboven door verschillende mensen is gesuggereerd, is zeker interessant. Waarom maken banken niet zelf een live-cd, tot op het bot uitgekleed zodat er niets overbodigs meer opstaat? Een die alleen een beveiligde verbinding met de server van de bank toestaat, en met niets anders, en die direct de bancaire applicatie opstart, en niets anders. Die applicatie hoeft dan niet eens per se een webtoepassing meer te zijn. Datacommunicatie kan ook via een VPN of SSH lopen. SSH-sessies kunnen met challenge-response geauthenticeerd worden, als daar een PAM-module voor bestaat of ontwikkeld wordt kan het bestaande token worden ingezet. Een dergelijke opzet zou de gewenste restrictieve omgeving kunnen leveren.
Het probleem is vooral dat gebruikers overal bij hun bankgegevens willen komen. Bijvoorbeeld om via iDeal te betalen. Dan wil je niet een live CD starten. Dat moet gewoon onmiddelijk! Vraag je eens af hoeveel gebruikers op hun werk internet-bankieren. Of in een Internet-cafe. Of via hun mobiele telefoon of iPad waarbij ze gebruik maken van een open Wifi netwerk dat toevallig in de buurt zit.
Er is geen ultieme, onkraakbare beveiliging. Beveiliging is altijd te omzeilen, te kraken. Het enige wat een beveiliging sterk maakt is de moeite die het kost om deze uiteindelijk te omzeilen. Veiligheid is een illusie.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.