Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Bankieren

16-02-2013, 15:25 door Anoniem, 19 reacties
Hallo

Doen jullie aan Internetbankieren, en zo ja hoe doen jullie dat veilig?

Groet
Anoniem
Reacties (19)
17-02-2013, 09:02 door Anoniem
Nee. Om verschillende redenen niet. Grote factor is dat eigenlijk alle banken in meer of mindere mate competentie missen en daarbovenover ondertussen helemaal niet meer geinteresseerd in naar klanten luisteren. Dat is deels niet hun schuld, qv regelgeving die ze tot onbezoldigd politie- en belastingcontroleur maakt, maar deels ook wel. Oh, en ICT en banken gaat ook niet helemaal lekker natuurlijk, want gewoon teveel betalen voor je brakke infrastructuur maakt het nog niet automatisch superieur aan een goed doordacht en solide opgezet systeem. Maar dat zou dan weer teveel kosten.

Dat ik dan flexibiliteit mis en daarvoor dan weer extra moet betalen in de vorm van langzame dienstverlening, extra "kosten" voor overschrijvingskaarten, sindsdien langzaam oplopende terugstuurfrequentie, en nog van zulke pesterijen, neem ik dan maar op de koop toe. Het zijn banken. Je kan (en mag!) niet meer zonder maar dienstverlening naar jou toe komt ze niet op de eerste plaats.

Zou ik wel telebankieren dan zou ik geen windows gebruiken (doe ik nu al niet), wel een bootcd met een unix plus browser gebruiken, en een banksysteem zoeken dat met TANs (niet mTAN, de papieren versie) werkt in plaats van een kastje waarvan ik niet weet wat het precies doet. Wellicht dat een kastje met gepubliceerde spec nog acceptabel is (cryptografische "full disclosure" van alles behalve de eigenlijke sleutel), maar VZIW zijn zulke nergens in gebruik.
17-02-2013, 15:22 door Anoniem
Als je de zoekmachine had gebruikt, dan weet je waar je moet zijn:

https://www.security.nl/artikel/45019/1/Security_Tip_van_de_Week%3A_internetbankieren_via_boot_cd.html
17-02-2013, 15:37 door Anoniem
Veilig internetbankieren doe je met een Linux-live CD of USB. ;)
17-02-2013, 15:51 door golem
Oh nee, toch niet nog een keer deze discussie. ;)

Volg onderstaande link maar eens.
https://www.security.nl/artikel/45019/1/Security_Tip_van_de_Week%3A_internetbankieren_via_boot_cd.html
17-02-2013, 17:02 door Anoniem
Gebruik een banking app met een niet gejailbreaked iphone of ipad. Tot nu toe zijn er nog geen incidenten bekend met internet bankieren op een iphone of ipad. Zelfs nog geen virussen. Een gesloten besturingssystreem zoals IOS van Apple heeft zijn voordelen :).
17-02-2013, 19:18 door Anoniem
Sinds een jaar of 10 maak ik gebruik van Internetbankieren en heb nog nooit problemen ondervonden,ook nog nooit phishingmail ontvangen.
Als besturingssysteem heb ik Linux(Debian),en internetbankieren doe ik met iceweasel(broertje van firefox).
Dan maak ik ook nog gebruik van de volgende Add-ons : ghostery , https-everywhere en wot .
Tijdens het internetbankieren maak ik ook nog weleens gebruik van het programma wireshark , wat een network trafic analyzer is , waarmee je kunt zien of je gegevens misschien onderschept worden .

Internetbankieren daar ben ik niet bang voor , men kan de banken wel op de schuld geven , maar het ligt ook aan de gebruiker , het gaat vaak mis tussen de rugleuning en het toetsenbord .
17-02-2013, 19:49 door Anoniem
Gebruik de Bankieren app voor je smartphone; veiliger dan via de pc/browser.
17-02-2013, 20:53 door Anoniem
Boot CD ? :) Alsof dat bescherming biedt tegen MiTM of modem hack (DNS). SSL certificaten bieden geen beveiliging aan.
18-02-2013, 00:02 door Spiff has left the building
Door golem:
Oh nee, toch niet nog een keer deze discussie. ;)
En door de redactie nu ook nog prominent neergezet,
dus ja hoor, nog een keer ;-)
18-02-2013, 08:08 door Anoniem
Door Anoniem: Nee. Om verschillende redenen niet. Grote factor is dat eigenlijk alle banken in meer of mindere mate competentie missen en daarbovenover ondertussen helemaal niet meer geinteresseerd in naar klanten luisteren. Dat is deels niet hun schuld, qv regelgeving die ze tot onbezoldigd politie- en belastingcontroleur maakt, maar deels ook wel. Oh, en ICT en banken gaat ook niet helemaal lekker natuurlijk, want gewoon teveel betalen voor je brakke infrastructuur maakt het nog niet automatisch superieur aan een goed doordacht en solide opgezet systeem. Maar dat zou dan weer teveel kosten.

Dat ik dan flexibiliteit mis en daarvoor dan weer extra moet betalen in de vorm van langzame dienstverlening, extra "kosten" voor overschrijvingskaarten, sindsdien langzaam oplopende terugstuurfrequentie, en nog van zulke pesterijen, neem ik dan maar op de koop toe. Het zijn banken. Je kan (en mag!) niet meer zonder maar dienstverlening naar jou toe komt ze niet op de eerste plaats.

Zou ik wel telebankieren dan zou ik geen windows gebruiken (doe ik nu al niet), wel een bootcd met een unix plus browser gebruiken, en een banksysteem zoeken dat met TANs (niet mTAN, de papieren versie) werkt in plaats van een kastje waarvan ik niet weet wat het precies doet. Wellicht dat een kastje met gepubliceerde spec nog acceptabel is (cryptografische "full disclosure" van alles behalve de eigenlijke sleutel), maar VZIW zijn zulke nergens in gebruik.

De postbode wel zo betrouwbaar.....flikkeren tegenwoordig alles bij oud papier.
18-02-2013, 08:39 door golem

Nee. Om verschillende redenen niet. Grote factor is dat eigenlijk alle banken in meer of mindere mate competentie missen en daarbovenover ondertussen helemaal niet meer geinteresseerd in naar klanten luisteren. Dat is deels niet hun schuld, qv regelgeving die ze tot onbezoldigd politie- en belastingcontroleur maakt, maar deels ook wel. Oh, en ICT en banken gaat ook niet helemaal lekker natuurlijk, want gewoon teveel betalen voor je brakke infrastructuur maakt het nog niet automatisch superieur aan een goed doordacht en solide opgezet systeem. Maar dat zou dan weer teveel kosten.

Banken hebben competentie genoeg, het is gewoon een kosten-baten verhaal.
18-02-2013, 09:18 door Anoniem
Door Anoniem: Zou ik wel telebankieren dan zou ik geen windows gebruiken (doe ik nu al niet), wel een bootcd met een unix plus browser gebruiken, en een banksysteem zoeken dat met TANs (niet mTAN, de papieren versie) werkt in plaats van een kastje waarvan ik niet weet wat het precies doet. Wellicht dat een kastje met gepubliceerde spec nog acceptabel is (cryptografische "full disclosure" van alles behalve de eigenlijke sleutel), maar VZIW zijn zulke nergens in gebruik.
Een bezwaar tegen TANs op papier is weer dat de inhoud van de transactie niet in het challenge/response-mechanisme kan worden meegenomen. Bij de RABO moet ik bij elke ondertekening het totaalbedrag van de transacties op het apparaatje intoetsen, en boven een bepaalde limiet komt daar dacht ik het tegenrekeningnummer bij. Bij TANs kan een man-in-the-middle ongebreideld transactiebedragen aanpassen en dat kan de schade aanzienlijk vergroten.

Je hebt gelijk dat het gebrek aan openheid over hoe die apparaatjes (en dus ook de smartcards op de bankpassen de je erin steekt) werken oncontroleerbaar maakt hoe robuust ze eigenlijk zijn. Maar terugvallen op een methode waarvan je zeker weet dat hij minder robuust is vind ik geen oplossing.
18-02-2013, 09:32 door Anoniem
Ja, bijna dagelijks. Maar wel alleen thuis via mijn eigen netwerk en mijn eigen machine, waarvan ik weet hoe ze beveiligd zijn. En natuurlijk altijd certificaatjes controleren.
18-02-2013, 09:40 door Anoniem
Zo mijn mogelijk. Waar het kan per papier en als het moet per boot CD, eigen verbinding en inderdaad certificaatjes controleren. 10 minuten later nog een keer inloggen om te kijken of er alleen dat 'gereserveerd' afgeboekt is waartoe ik opdracht heb gegeven.
18-02-2013, 11:01 door Anoniem
Door Anoniem:
Door Anoniem: Je hebt gelijk dat het gebrek aan openheid over hoe die apparaatjes (en dus ook de smartcards op de bankpassen de je erin steekt) werken oncontroleerbaar maakt hoe robuust ze eigenlijk zijn. Maar terugvallen op een methode waarvan je zeker weet dat hij minder robuust is vind ik geen oplossing.
Je weet niet hoe robuust die apparaatjes zijn maar je denkt wel zeker te weten dat een TAN minder robuust is?

Ik denk dat je complexiteit met robuustheid verward. Voor je het weet blijkt dat totale transactiebedrag er simpelweg ingexord, en is een handige MITMer daar achter gekomen. Denk je veiliger te zijn want je moet een extra handeling verrichten, is het stiekem toch niet waar. En ja, dit soort aanvallen komt voor.

Het gaat er dan ook niet om hoeveel werk ik als klant moet doen, het gaat er over in welke mate ik kan zien wat er gebeurt. Dat reduceert onzekerheid want ik kan beter opletten op "de gevaarlijke stukken", in dit geval certificaatjes controleren. Dan biedt een velletje genummerde getallen minder onzekerheid dan een apparaatje waar je iets op moet intoetsen. Zelfs als je pas er in moet ben je niet zeker: Die kan geskimd worden, ook de chip, en ook EMV is gevoelig voor MITMaanvallen. Of nog mooier, de versie in gebruik bij de ABN met USBaansluiting bleek ook MITMgevoelig.

Vandaar dus dat ik de simpelste methode verkies: TANs, want het simpelst te doorgronden, en niet afhankelijk van een pas die zelf ook niet vrij is van gaten en lekken.
18-02-2013, 13:12 door Anoniem
Door Anoniem: Gebruik de Bankieren app voor je smartphone; veiliger dan via de pc/browser.

Dan heb je toch iets niet goed begrepen volgens mij dan.

Hoeveel berichten staan er hier niet over malware en mobiele telefoons? Heel veel.
Brenno de Winter, Prof. Bart Jacobs, en anti virus bedrijven waarschuwen al voor de gevaren ervan.
En toch gebruiken steeds meer mensen hun smartphone om op te bankieren.

Vragen om problemen dus, en slechts een kwestie van tijd.

http://www.eenvandaag.nl/economie/39866/hoe_veilig_is_internetbankieren_
http://omroep.vara.nl/media/183656
https://www.youtube.com/watch?v=jE6S6dZlNnY

En natuurlijk ken jij je smartphone beter dan je pc toch?

Op vandaag is het al voldoende om op een besmette website te komen, zonder iets aan te klikken.
Dan gaan we dus ook zien voor op de smartphone.

Maar goed mij zal het allemaal worst zijn, want mijn euro's zijn het toch niet.
18-02-2013, 18:01 door Anoniem
Door Anoniem: De postbode wel zo betrouwbaar.....flikkeren tegenwoordig alles bij oud papier.
Voorheen was de postbesteller een ambtenaar, want hij werd geacht betrouwbaar te zijn. Ziedaar de prijs die we betalen voor het op afstand zetten (oftewel privatiseren) van de posterijen.

En dan hebben we het nog niet over het "opengooien" van de postmarkt met een rare, scheve marktverhouding: De voormalig monopolist heeft nog allerlei wettelijke verplichtingen als minimaal zoveel bussen per 1000 bewoners en minstens zovaak bestellen. De concurrentie hoeft dat allemaal niet en komt dan ook maar één keer per week langs. En ze gooien net zo goed de post lukraak in een willekeurige bus, of ernaast, of weetikhet. Want die zijn nog goedkoper.

In een tijd dat "iedereen" aan de email gaat. Waar overigens ook geen enkele aflevergarantie opzit. Of een geheimhoudingsgarantie. Ik heb zowaar een publieke sleutel bij DNB gespot, maar de rest? Geen flauw benul.
19-02-2013, 00:34 door WesleySmalls
Door Anoniem: Nee. Om verschillende redenen niet. Grote factor is dat eigenlijk alle banken in meer of mindere mate competentie missen en daarbovenover ondertussen helemaal niet meer geinteresseerd in naar klanten luisteren. Dat is deels niet hun schuld, qv regelgeving die ze tot onbezoldigd politie- en belastingcontroleur maakt, maar deels ook wel. Oh, en ICT en banken gaat ook niet helemaal lekker natuurlijk, want gewoon teveel betalen voor je brakke infrastructuur maakt het nog niet automatisch superieur aan een goed doordacht en solide opgezet systeem. Maar dat zou dan weer teveel kosten.

De enige incompetentie in het hele verhaal is de gebruiker

Dat ik dan flexibiliteit mis en daarvoor dan weer extra moet betalen in de vorm van langzame dienstverlening, extra "kosten" voor overschrijvingskaarten, sindsdien langzaam oplopende terugstuurfrequentie, en nog van zulke pesterijen, neem ik dan maar op de koop toe. Het zijn banken. Je kan (en mag!) niet meer zonder maar dienstverlening naar jou toe komt ze niet op de eerste plaats.

Internetbankieren is voor zover ik weet hardstikke gratis hoor

Zou ik wel telebankieren dan zou ik geen windows gebruiken (doe ik nu al niet), wel een bootcd met een unix plus browser gebruiken, en een banksysteem zoeken dat met TANs (niet mTAN, de papieren versie) werkt in plaats van een kastje waarvan ik niet weet wat het precies doet. Wellicht dat een kastje met gepubliceerde spec nog acceptabel is (cryptografische "full disclosure" van alles behalve de eigenlijke sleutel), maar VZIW zijn zulke nergens in gebruik.

Dat zou een goede manier zijn, alleen naar mijn mening erg omslachtig. Ik persoonlijk doe het gewoon via de browser
19-02-2013, 03:24 door [Account Verwijderd]
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.