Kortom internet bankieren is unsafe. Tenzij je zeker weet dat je OS en browser oke is.


Maar hoe wil je je daarvan verzekeren? Op de blauwe ogen van je leverancier vertrouwen?

Ik ben benieuwd of er een realistisch PoC is voor Nederlandse banken. ING, RABO, ABN-AMRO.

Dat zou ik ook graag willen weten. Maw. dat deze banken op korte termijn onderzoeken of hun klanten tot de 'doelgroep' (kunnen) behoren.

Dat deed die al 5 maanden geleden :) inclusief de webbrowser FireFox

Desnoods vanaf een live-CD! De enige manier om echt veilig te bankieren op een windows systeem.

Die is er misschien nog niet, maar het is niet moeilijk te bedenken hoe het fout kan gaan. Door in de browser te gaan zitten kan wat de gebruiker ziet en intoetst onmerkbaar anders zijn dan wat de bank verstuurt en ontvangt. Domweg door het standaard Document Object Model aan te spreken vanuit aan de webpagina toegevoegde JavaScript kan ALLES in die pagina worden aangepast, dat is in wezen niet eens moeilijk als je de toegang eenmaal hebt, zeker als je alleen maar de tegenrekening door die van een katvanger hoeft te vervangen, en terugverandert waar de bank hem weer toont. Dit werkt zolang de overboeking niet zo groot is dat het tegenrekeningnummer zelf in de challenge wordt meegenomen.

Bankieren vanaf een besturingssysteem waar de trojan niet voor geschreven is, zoals Peter V suggereert, moet voorlopig voldoende zijn. Download een live cd en je kan aan de gang zonder iets te moeten installeren. De installatie-cd van Ubuntu is meteen als live cd te gebruiken, maar hij heeft helaas wel veel tijd nodig om op te starten. Misschien zouden banken lichte, snel startende live cd's moeten verspreiden onder hun klanten die gecontroleerd goed zijn en niets anders doen dan een browser starten die is aangepast om alleen maar verbinding te kunnen maken met de juiste banksite.

Dat zou best wel eens een goede basis kunnen zijn. Maar een traditionele Linux-distributie of een BSD kan ook. Ik heb zojuist onder Linux de hele grafische wereld afgesloten, en in een textconsole ingetypt:

startx /usr/bin/firefox http://www.security.nl/

Ik draai X-windows op dit moment zonder een window- of desktopmanager te hebben opgestart. Geen KDE, Gnome, wat dan ook. Desondanks zit ik in Firefox, kan ik met de preview-knop de popup met een preview oproepen, alles wat ik nodig heb om dit bericht te kunnen opstellen werkt. De windows hebben alleen geen randjes of andere decoraties (ik heb dus de sluiten-klop in de preview ook echt nodig om de preview af te sluiten, en heb geen idee hoe ik de popup zou moeten verplaatsen), en ik kan geen andere toepassingen starten in deze grafische sessie als Firefox het niet voor me doet. Als ik Firefox afsluit sluit ik de hele grafische sesie af. Dit geheel kan bij het booten automatisch gestart worden en je kan na afsluiten de hele computer automatisch afsluiten. En je kan een live-cd maken waarop in het geheel geen software aanwezig is die voor die ene functie niet nodig is. Een iptables-configuratie die alleen verbinding toestaat met het ip-adres waarop de banksite draait, de domeinnaam in de hosts-file, en een browserconfiguratie waarin alleen dat ene benodigde SSL-certificaat staat, en je bent al een leuk eind op weg, denk ik.

Ik denk dat het zonder (eenvoudige) windowmanager te spartaans is, maar dit illustreert het idee. Er bestaan voorbeelden van Linuxsystemen, SimPC voor ouderen bijvoorbeeld, die wat meer aan boord hebben maar desondanks tot iets heel basaals zijn dichtgetimmerd. Dat kan, Linux leent zich daarvoor, *BSD ongetwijfeld net zo goed. Wie weet is Chrome OS weinig meer dan een op deze manier uitgeklede Linux.

het is onmogelijk om je er tegen te wapenen.
Jammer maar gelukkig doe ik niet aan internetbankieren xd