Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Windows bankieren

08-01-2014, 17:17 door akfteo, 12 reacties
Ik zie veel topics voorbijkomen over veilig online bankieren. Bijna altijd wordt er het advies gegeven een Linux live-cd te gebruiken. Op zich ben ik het hier helemaal mee eens, maar ik denk dat dit toch voor veel mensen een brug te ver is. Vandaar hierbij maar eens een workaround voor veiliger bankieren op een Windows systeem, zoals ik het bij verschillende vrienden en familieleden heb geinstalleert. Let wel, ik ga hierbij uit van een Windows systeem dat goed wordt onderhouden, dus alle software up to date, goede viruscanner/firewall, geen geklik op vreemde links. e.d.

- gebruik een apart standaard gebruikersaccount uitsluitend voor online bankieren
- gebruik Firefox Portable zodat de browser buiten het systeem wordt bewaard
- installeer Firefox portable op een SD-card met schrijfbeveiliging
- addons noscript en httpseverwhere
- open de browser in Sandboxie
- maak van de Bitdefender Quick Scan de startpagina van de browser en run altijd eerst deze scan (als een second opinion)
- ga daarna direct naar de website van je bank

Is bovenstaande serie maatregelen waterdicht? Nee, absoluut niet! Alle maatregelen zijn op individueel niveau misschien vrij gemakkelijk door een virus te omzeilen. Maar wanneer we alle extra "veiligheidslaagjes" bij elkaar optellen dan moet een virus (dat al op het systeem is genesteld) in staat zijn om:

- en/of rechten te hebben in meerdere standaard gebruikersaccounts
- en/of de schrijfbeveiliging op de SD-card weten te omzeilen
- en/of geen problemen hebben met het feit dat de browser in Sandboxie draait
- en/of niet gestopt worden door noscript
- en/of niet gedetecteerd worden door de Bitdefender scan

Kortom: niet 100% waterdicht maar (volgens mij) wel een stuk veiliger dan maar gewoon online bankieren in je standaard browser.
Reacties (12)
08-01-2014, 18:12 door DannyB
Ik gebruik zelf ook een apart account enkel voor het internet bankieren binnen Windows 8.
Vanuit het admin account (wat ik doorgaans niet gebruik) heb ik ouderlijk toezicht aan gezet en sta ik alleen firefox toe als applicatie dat gestart mag worden. In firefox heb ik de website van mijn bank ingesteld als startpagina om typefouten te voorkomen.

Redelijk simpel en volgens mij redelijk veilig.
08-01-2014, 19:43 door akfteo - Bijgewerkt: 08-01-2014, 21:04
Door DannyB: Ik gebruik zelf ook een apart account enkel voor het internet bankieren binnen Windows 8.
Vanuit het admin account (wat ik doorgaans niet gebruik) heb ik ouderlijk toezicht aan gezet en sta ik alleen firefox toe als applicatie dat gestart mag worden. In firefox heb ik de website van mijn bank ingesteld als startpagina om typefouten te voorkomen.

Redelijk simpel en volgens mij redelijk veilig.

Dat had ik nog niet bedacht, om het account verder te beperken m.b.v. ouderlijk toezicht. Ga ik me eens in verdiepen, ik vraag me wel af in hoeverre een virus zich hier iets van aantrekt natuurlijk. Maar het zou wel weer een extra laagje in de beveiliging kunnen zijn.

Update: ik heb het gebruikersaccount voor online bankieren ondertussen onder ouderlijk toezicht ingesteld, niet via Windows maar via mijn virusscanner. Alle websites geblokkeerd behalve die van mijn bank. Dit lijkt mij inderdaad een hele nuttige toevoeging aan het lijstje maatregelen.
08-01-2014, 21:00 door Anoniem
Als een Live CD al een brug te ver is dan zou het bijna verboden moeten worden om achter een computer te mogen zitten.
Goed, het maken van die CD misschien nog wel maar het gebruik? Ik heb jaren geleden eens een kind van 12 een (Suse) CD gegeven en helemaal alleen uit laten zoeken hoe ze de zaak op een HDD kon installeren. Een uurtje of wat later was het een feit en de zaak was up and running. Tegenwoordig zijn de installes nog gemakkelijker en mag een live CD al helemaal geen issue zijn.

Nee, de banken moeten hun verantwoordelijkheid nemen en een dedicated 'banking' device beschikbaar stellen.
Maar helaas, de kans dat ik met 50 met pensioen ga is nog groter.
08-01-2014, 21:03 door Anoniem
Het uitvoeren van de voorgestelde aanpassingen zijn vele malen lastiger dan het runnen van een live CD.
09-01-2014, 10:38 door akfteo
Door Anoniem: Het uitvoeren van de voorgestelde aanpassingen zijn vele malen lastiger dan het runnen van een live CD.

Welnee, omschakelen naar ander account, sd-kaartje erin, browser automatisch laten openen in sandboxie (betaalde versie) en... klaar! Duurt minder dan 1 minuut. Als je eerst nog de bitdefender scan uitvoert komt er een minuutje bij.

Het opstarten vanaf een live-cd duurt meestal wel een minuut of 4, daarna opstarten windows idem dito

Het instellen van de maatregelen is eenmalig en gepiept binnen 10 a 15 minuten. Het maken van een live-cd kost ook ongeveer zoveel tijd..

Dan, een live-cd moet ook regelmatig vernieuwd worden. Je bent met een live-cd sowieso al (vaak) met een niet up to date systeem aan het bankieren terwijl je windows systeem wel gemakkelijk helemaal up to date kan zijn. Dus wat is dan veiliger? Een verouderde live-cd of een up to date windows systeem met deze maatregelen?

Maar... ik wilde geen discussie beginnen over live-cd's of windows... Maar gewoon voor diegenen die om wat voor reden dan ook willen of moeten bankieren onder windows hier een veiliger methode voor bedenken.

Dus laat vooral weten wat je vindt van de voorgestelde maatregelen, verhogen ze inderdaad duidelijk de veiligheid? Dat is waar ik graag reacties op wil...
20-01-2014, 20:03 door Anoniem
Ik zit te denken om in virtial box (heb ik toch al geinstalleerd staan) een nieuwe virtuele machine te maken met een linux distributie met firefox die ik dan alleen voor internet bankieren ga gebruiken. Virtual box wordt opgestart onder een gebruikers account met beperkte rechten.

Zou dit niet veiliger zijn dan de optie van de topic starter ?

Welke linux distributie zou ik het beste kunnen gebruiken?
21-01-2014, 13:11 door Anoniem
Wat ik me afvraag bij het lezen van deze tips is of de schrijvers hiervan het echt niet jammer vinden dat ze werkelijk al het gebruiksgemak van digitaal bankieren zelf teniet doen?

Als je bij bol.com iets wil bestellen is dat klik-klik-(eDentifier, randomreader, TAN-code-) klaar. Toch lees ik hier over gebruikers die voor zo'n transactie naar een boot CD herstarten.

Dit is objectief gezien inderdaad veiliger maar alleen als het OS, de browser en de antivirus (ja, ook op Linux) eerst worden geupdate. En vreemd genoeg slaan veel gebruikers die laatste stappen dan wel weer over.

Ik ben dus vooral benieuwd naar de discussie over veiligheid vs gebruiksgemak.
21-01-2014, 15:19 door Anoniem
het probleem bij dit artikel net als bij dat men zegt bij een live cd is dat de browser snel out of date is en niet gemakkelijk is up te daten. dit maakt een man in de middle attack een stuk eenvoudiger. ik heb nu een linux machine ingericht in een vm welke iedere keer eerst update en ik zorg dat de browser altijd up to date is te samen met de no script plugin. hoe dan ook vind ik dat het lastig onderwerp is om de juiste manier te kiezen. ik vind dan ook dat banken hier een beter advies voor moeten uitbrengen of zelfs een eigen linux of dergelijke op cd moeten uitgeven. ook vind ik het ... dat je sinds het verscherpte toezicht op de richtlijnen eigenlijk niet meer gebruik kan maken van het i-deal systeem. dit is rond uit jammer.
21-01-2014, 16:04 door Anoniem
Door Anoniem: ik vind dan ook dat banken hier een beter advies voor moeten uitbrengen of zelfs een eigen linux of dergelijke op cd moeten uitgeven.

En die sturen ze dan naar je op? Hoe onderscheid je die dan van een door een willekeurige crimineel verspreidde versie?

Veiligheid en gemak bijten elkaar hier enorm.

Eerdere comments elders in dit forum gaven al aan dat de bank mensen dwingt in de richting van internet bankieren. Misschien waar, misschien niet (mijn schoonvader houdt het nog steeds bij papieren overschrijvingen die hij bij de bank in de brievenbus doet dus dat kan blijkbaar), maar ik vraag me af hoeveel gebruikers nou echt terug willen naar een offline bank. Ik in elk geval niet.

Banken zouden veel meer kunnen zien als het gaat om wat er op de machine van de gebruiker gebeurt, maar dat willen we vanwege privacy weer niet. Minstens 1 bank probeert vast te stellen of een request misschien door een machine gedaan is, of dat er sprake is van een mitm om vervolgens de transacties niet direct door te laten lopen maar manueel te intervenieren. Misschien doen andere banken dat ook - ik kan me voorstellen dat daar ook niet al te veel over gemeld wordt om de criminelen geen aanwijzingen te geven over dat wat ze moeten zien te vermijden. Dat gebrek aan transparantie geeft ons dan weer het gevoel dat er niet voldoende gedaan wordt om ons als klant te helpen.

Ik kijk uit naar de eerste processen waarin vastgesteld gaat worden waar nou precies eenieders verantwoordelijkheid begint en eindigt. Tot die tijd ga ik er vanuit dat ik zelf zoveel mogelijk moet doen en dat mijn bank waardeert dat ik dat gedaan heb en uit zal betalen wanneer er ondanks mijn voorzorgsmaatregeln, toch iets gebeurt.

Maar misschien ben ik naief...
19-02-2014, 10:42 door Anoniem
Ik geloof dat een verouderde live CD/USB Linux (Mint) helemaal geen probleem is als je het volgende aanhoudt:

- (Her)start de computer met de Live CD/USB.
- Ga direct naar de betreffende site en handel de zaken af.
- Zet de computer uit om e.v.t. sporen in het geheugen te wissen.

Natuurlijk ga je niet eerst het hele internet afzoeken en dan pas je bankzaken doen.

Op deze manier lijkt het mij onwaarschijnlijk dat er malware wordt geladen en actief wordt.

Live Linux Mint op USB start op in ongeveer 30 seconde.

Mocht ik het niet goed zien dan graag commentaar.
19-02-2014, 21:59 door Anoniem
Ja, prima, echter er wordt naar mijn mening(en die van anderen) teveel op dit forum uitgegaan van de stelling dat alle normale mensen begrijpen en kunnen wat er door jullie en de zeer gewaardeerde starter @ akfteo wordt aangedragen.
Ik heb het een en ander eens geprobeerd, echter na de installatie van de browser Firefox Portable op een SD-kaart zijn de genoemde addons niet te vinden om te zwijgen over de volgende maatregels om dit via Sandboxie automatisch op te starten? Misschien is het voor de duidelijkheid voor veel mensen beter om een "goede" handleiding/instructie erbij te plaatsen zodat meer mensen hier gebruik van kunnen maken, ook al is men misschien nog niet zo slim, echter voor de veiligheid is dit al een stap in de goede richting.
20-02-2014, 12:32 door Charley51
Vraag aan je bank het ip-nummer, waarmee je moet inloggen. Als je tekst in de adresbalk typt, dan gaat die eerst via DNS het ip-nummer opvragen. Dat kan ook worden omgeleid of gespoofd. Scheelt weer 1 aanvalsmethode en het gaat ook nog eens sneller ...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.