Security Professionals
- ipfw add deny all from eindgebruikers to any
Tor bankieren?
Als ik ergens op loacatie met mijn laptop moet bankieren gebruik ik altijd een VPN dienst als extra beveiliging. Nu vraag ik me af of ik daarvoor ook niet net zo goed de Tor browser kan gebruiken? Heb ik dan ook een veilige versleutelde verbinding zoals bij een VPN?
Reacties (14)
Door ab2604: Als ik ergens op loacatie met mijn laptop moet bankieren gebruik ik altijd een VPN dienst als extra beveiliging. Nu vraag ik me af of ik daarvoor ook niet net zo goed de Tor browser kan gebruiken? Heb ik dan ook een veilige versleutelde verbinding zoals bij een VPN?
Beter van niet. Sterker, waarom een VPN dienst ?
Wat er mis gaat bij internet bankieren heeft ongeveer nooit met 'man in the middle' te maken, en bijna altijd met gecompromitteerde user PCs.
En wat de banken aan detectie doen van geinfecteerde klanten wordt bepaald niet geholpen door legitieme transacties via trage tunnels van overal vandaan te laten komen.
Je hebt kans dat _of_ je transactie geblokkeerd wordt (vals-positief), of dat de detectiegrens voor jouw account access patroon een stuk losser wordt.
Lekker veilig.
Op locatie - controleer of je echt SSL gebruikt, en verder gewoon bankieren.
Als je je werkplek niet kunt vertrouwen, helpt een stapel VPN/Tor ook niet meer.
14-04-2015, 11:20 door
didrix
TOR geeft anonimiteit, maar veel minder veiligheid. Je verkeer gaat over een exit node: een vrijwillige man-in-the-middle aanval. HTTPS zou je moeten beschermen, maar daar zitten ook een paar haken en ogen aan. En als je inlogt op een dienst waar jouw identiteit mee gekoppeld is schermt het alleen maar je de locatie af voor in dit geval de bank. Ook kan de bank je account blokkeren vanwege "verdachte activiteit". Ik zie de voordelen dus niet echt.
Zoals gezegd. Vrees niet het netwerk maar de pc waarvandaan je werkt. Ook VPN geeft geen extra bescherming.
Tor is inderdaad niet voor het "Internet Bankieren" sterker nog zou ik liever via mijn eigen IP inloggen.
Op andere locaties gebruik een VPN / Static VPN IP en geef dit evt aan bij je bank, soms worden accounts geflagged doordat er van een andere locatie / ip / land word ingelogd.
Op andere locaties gebruik een VPN / Static VPN IP en geef dit evt aan bij je bank, soms worden accounts geflagged doordat er van een andere locatie / ip / land word ingelogd.
Antwoord van een Torbrowser gebruiker, die het op basis van de informatie van Torproject zelf als volgt begrepen heeft.
Kort antwoord :
Ja, op basis van inzicht in de techniek moet je met Torbrowser veilig kunnen internetbankieren mits de (bank)website goed georganiseerde HTTPS gebruikt.
Is het zinvol omdat te doen? Soms wel en soms niet.
Wel in geval van een onbekend wifi access point en de website wel HTTPS gebruikt maar nog geen HSTS implementatie heeft (hoe zou het ervoor staan met de banken, inmiddels allemaal HSTS geïmplementeerd? Misschien, misschien).
Niet als je al over een veilige verbinding beschikt en anoniem gelegde verbinding met de bank geen noodzakelijk voordeel biedt.
Of het onwennig zou voelen om met Tor te internetbankieren? Ja dat is weer wat anders.
In ieder geval, banken blokkeren (voor de verassende verandering) geen verkeer van Tor (zoals anderen dat met oa cloudflare wel doen).
Lang antwoord :
Als jij met Torbrowser een banksite bezoekt die een site heeft met een goede HTTPS verbinding heeft is jouw verbinding van begin tot eind encrypted, ook vanaf de exitnode.
Route :
• Verbinding van Jouw Computer -> encrypted verbinding naar -> Entry Guard (1e stap op het Tor netwerk)
• van Entry Guard -> encrypted verbinding naar -> Middle Node (2e stap op het Tor netwerk)
• van Middle Node -> encrypted verbinding naar -> Exit Node (3e laatste stap op het Tor netwerk)
• van Exit Node -> encrypted verbinding naar -> naar HTTPS website (vanaf hier verlaat je het Tor netwerk en ga je het gewone internet op via het ip adres van de exitnode)
Verwarring :
De verwarring blijft maar bestaan rondom het punt dat je vanaf de Exit Node het internet op gaat.
Ga je naar een gewone HTTP website dan is jouw verkeer vanaf de Exit node in te zien, dat kan al vanaf de exit node zelf of op allerlei punten onderweg (! net zoals bij standaard webverkeer !) naar die website.
In de hele discussie rondom o-o-o wat vinden 'wij' (onbewezen) Tor onveilig, wordt vaak even vergeten dat bij het standaard internet gebruik verkeer over HTTP ook niet veilig is.
Misschien vandaar ook wel de discussies in security land dat veel websites onterecht op HTTP zitten in plaats van op HTTPS (en dan nog goed implementeren natuurlijk).
Met het gebruik van HTTP is je verkeer niet veilig.
Een HTTPS website bezoeken met mixed content (HTTP en HTTPS) verkeer maakt het verkeer eveneens niet veilig.
Torbrowser gebruiken en een HTTP website bezoeken is ook een vorm van 'mixed', ook van mixed secure verbindingen en daarmee is in dat geval ook je verkeer niet geheel veilig. *
Geheel versleuteld HTTPS verkeer is in principe wèl veilig en dat geldt dus ook voor Tor.
(laten we de hoog academische discussies en theorie even daarbuiten).
Ga je naar een goed beveiligde website is jouw verkeer (in principe/normaliter) niet in te zien.
Je kan op dat punt van de exitnode misschien eventueel een MitM aanval doen door SSL-Strip attack (?) toe te passen maar bij mijn weten zie je dan in je eigen url browser balk dat je geen daadwerkelijke HTTPS verbinding hebt maar een verbinding over HTTP.
Met wat Social Engineering technieken kan je best zorgen dat dat niet opvalt maar dat valt dan onder Visual Social Engineering en dat risico geldt ook voor standaard web verkeer.
Kan het en is het veilig ? :
Ja, als je bank het toestaat (volgens mij wel) en als de verbinding van begin tot eind versleuteld is lijkt me dat je ook veilig kan internetbankieren via Tor. Dat is ook helemaal niet zo raar als je buiten Nederland gaat kijken.
Het gebruik van Torbrowser als veilige oplossing in sommige situaties is ook al eens in de media aangestipt rondom het voetbal kampioenschap in Brazilië, voor mensen die met gebruik van lokale wifi veilig privé/bank zaken wilden regelen.
Torbrowser bevat standaard namelijk allerlei maatregelen en addons al ingebouwd die een gewone browser nog niet heeft of helemaal niet heeft.
Volgens mij is internetbankieren met Tor veilig, maar waarom zou je dat in Nederland doen.
Je kan veilig thuis over je eigen Wifi of beter nog gewoon de kabel internetbankieren, daarnaast gebruikt inmiddels de meerderheid (?) een app voor internetbankieren vanaf de smartphone.
Hoe veilig dat nou is, met de bankapp op je smartphone en via de wifi van jan en alleman?
Ik heb geen idee.
Pc-Laptop en mobiel :
De Torbrowser variant voor iOS/Android (niet van Torproject) zou ik in ieder geval niet gebruiken voor internetbankieren. Daar waarschuwt die ontwikkelaar zelf ook voor.
Niet verwarren dus de Torbrowser van Torproject voor Pc en laptop en de mobiele 'Torbrowser' die niet van Torproject is.
Waar is Torbrowser voor bedoeld ? :
Lees het zelf op www.torproject.org
Hoewel het grote doel van Torbrowser wat anders voor het voetlicht wordt gebracht, namelijk bescherming door privacy bieden, staat nergens dat Torbrowser expliciet niet bedoeld is voor internetbankieren!
Staat er niet.
Verder heeft Torproject een hele uitgebreide FAQ waar heel veel in staat over van alles en nog wat.
HTTPS://www.torproject.org/docs/faq.html.en
Meer misvattingen - VPN en Tor :
Tor en VPN zijn twee heel verschillende toepassingen met verschillende voor en nadelen.
Wat VPN in ieder geval niet is is een goede privacy oplossing.
VPN is géén echte privacy oplossing !!
HTTPS://www.torproject.org/docs/faq.html.en#IsTorLikeAVPN
VPN en Tor kunnen in gecombineerd gebruik, wanneer je dat goed doet, wel elkaar versterken.
Bankieren : Nog veiliger? :
Als je toch bezig bent..
Overweeg deze optie eens, het beste van twee werelden.
Een live dvd met Torbrowser, van Tails.
HTTPS://tails.boum.org/
Tails is dan nog veiliger voor internetbankieren met Tails opstarten, internetbankieren, alles afsluiten.
Je pc hardware/firmware moet natuurlijk wel in orde en te vertrouwen zijn.
'Conclusie' :
In het geval van wel verbinding met een HTTPS website maar nog geen HSTS implementatie op een site en een onbekend (niet je eigen) wifi access point biedt Torbrowser een voordeel omdat je verbinding van begin tot eind versleuteld is.
Wanneer er op delen in de verbinding gebruik wordt gemaakt van een http verbinding is er net zoals bij alle andere internetverkeer sprake van een onveiliger verbinding.
Meet dus met 1 maatstaf als je over http praat en daarbij Torbrowser aanhaalt maar praat liever over de noodzakelijke voordelen van het gebruik van HTTPS in alle gevallen waarin dat voordeel kan bieden.
Zinniger en nuttiger.
* Toch nog meer veiligheid verwachten bij HTTP gebruik?
In het geval met een HTTP verbinding vanaf de exit node moet nog worden angetekend dat er heel veel exitnodes zijn en dat je automatisch iedere 10 minuten wisselt van Exitnode.
Voor een succesvolle attack bij een exitnode met HTTP verkeer moet je dus maar net over die exitnode gaan van die ene persoon die kwade wil in de zin heeft, kleine kans (maar het kan)
Of er moet sprake zijn van een grootschalig kwaadaardig cluster van slechte exitnodes en dat valt op, dat wordt in de gaten gehouden door Torproject. Niet aan de orde (voor zover bekend).
In de aankomende nieuwe versie van Torbrowser (nu nog de Alpha versie, maar heel stabiel) heb je de optie om met 1 klik te zien 'in welk land' je exit node staat die je gebruikt.
Met sommige landen zou ik in sommige gevallen (bij een software downloadje?) voor de zekerheid in zulke situaties je verbinding vernieuwen omdat als er misbruik is voorgekomen dat nou net dergelijke landen betreft, laat je zekere algemene kennis maar werken, je komt daar wel uit. Geen garantie deze aanpak, wel een zinnige kansberekening op basis van wat wel eens is voorgevallen.
Blijft verder staan dat je natuurlijk een download checkt op virussen/malware en op de opgegeven hash en dat je kort of lang kunt praten over veiligheid, gebruik van http verbindingen levert sowiezo een risico op.
Kort antwoord :
Ja, op basis van inzicht in de techniek moet je met Torbrowser veilig kunnen internetbankieren mits de (bank)website goed georganiseerde HTTPS gebruikt.
Is het zinvol omdat te doen? Soms wel en soms niet.
Wel in geval van een onbekend wifi access point en de website wel HTTPS gebruikt maar nog geen HSTS implementatie heeft (hoe zou het ervoor staan met de banken, inmiddels allemaal HSTS geïmplementeerd? Misschien, misschien).
Niet als je al over een veilige verbinding beschikt en anoniem gelegde verbinding met de bank geen noodzakelijk voordeel biedt.
Of het onwennig zou voelen om met Tor te internetbankieren? Ja dat is weer wat anders.
In ieder geval, banken blokkeren (voor de verassende verandering) geen verkeer van Tor (zoals anderen dat met oa cloudflare wel doen).
Lang antwoord :
Als jij met Torbrowser een banksite bezoekt die een site heeft met een goede HTTPS verbinding heeft is jouw verbinding van begin tot eind encrypted, ook vanaf de exitnode.
Route :
• Verbinding van Jouw Computer -> encrypted verbinding naar -> Entry Guard (1e stap op het Tor netwerk)
• van Entry Guard -> encrypted verbinding naar -> Middle Node (2e stap op het Tor netwerk)
• van Middle Node -> encrypted verbinding naar -> Exit Node (3e laatste stap op het Tor netwerk)
• van Exit Node -> encrypted verbinding naar -> naar HTTPS website (vanaf hier verlaat je het Tor netwerk en ga je het gewone internet op via het ip adres van de exitnode)
Verwarring :
De verwarring blijft maar bestaan rondom het punt dat je vanaf de Exit Node het internet op gaat.
Ga je naar een gewone HTTP website dan is jouw verkeer vanaf de Exit node in te zien, dat kan al vanaf de exit node zelf of op allerlei punten onderweg (! net zoals bij standaard webverkeer !) naar die website.
In de hele discussie rondom o-o-o wat vinden 'wij' (onbewezen) Tor onveilig, wordt vaak even vergeten dat bij het standaard internet gebruik verkeer over HTTP ook niet veilig is.
Misschien vandaar ook wel de discussies in security land dat veel websites onterecht op HTTP zitten in plaats van op HTTPS (en dan nog goed implementeren natuurlijk).
Met het gebruik van HTTP is je verkeer niet veilig.
Een HTTPS website bezoeken met mixed content (HTTP en HTTPS) verkeer maakt het verkeer eveneens niet veilig.
Torbrowser gebruiken en een HTTP website bezoeken is ook een vorm van 'mixed', ook van mixed secure verbindingen en daarmee is in dat geval ook je verkeer niet geheel veilig. *
Geheel versleuteld HTTPS verkeer is in principe wèl veilig en dat geldt dus ook voor Tor.
(laten we de hoog academische discussies en theorie even daarbuiten).
Ga je naar een goed beveiligde website is jouw verkeer (in principe/normaliter) niet in te zien.
Je kan op dat punt van de exitnode misschien eventueel een MitM aanval doen door SSL-Strip attack (?) toe te passen maar bij mijn weten zie je dan in je eigen url browser balk dat je geen daadwerkelijke HTTPS verbinding hebt maar een verbinding over HTTP.
Met wat Social Engineering technieken kan je best zorgen dat dat niet opvalt maar dat valt dan onder Visual Social Engineering en dat risico geldt ook voor standaard web verkeer.
Kan het en is het veilig ? :
Ja, als je bank het toestaat (volgens mij wel) en als de verbinding van begin tot eind versleuteld is lijkt me dat je ook veilig kan internetbankieren via Tor. Dat is ook helemaal niet zo raar als je buiten Nederland gaat kijken.
Het gebruik van Torbrowser als veilige oplossing in sommige situaties is ook al eens in de media aangestipt rondom het voetbal kampioenschap in Brazilië, voor mensen die met gebruik van lokale wifi veilig privé/bank zaken wilden regelen.
Torbrowser bevat standaard namelijk allerlei maatregelen en addons al ingebouwd die een gewone browser nog niet heeft of helemaal niet heeft.
Volgens mij is internetbankieren met Tor veilig, maar waarom zou je dat in Nederland doen.
Je kan veilig thuis over je eigen Wifi of beter nog gewoon de kabel internetbankieren, daarnaast gebruikt inmiddels de meerderheid (?) een app voor internetbankieren vanaf de smartphone.
Hoe veilig dat nou is, met de bankapp op je smartphone en via de wifi van jan en alleman?
Ik heb geen idee.
Pc-Laptop en mobiel :
De Torbrowser variant voor iOS/Android (niet van Torproject) zou ik in ieder geval niet gebruiken voor internetbankieren. Daar waarschuwt die ontwikkelaar zelf ook voor.
Niet verwarren dus de Torbrowser van Torproject voor Pc en laptop en de mobiele 'Torbrowser' die niet van Torproject is.
Waar is Torbrowser voor bedoeld ? :
Lees het zelf op www.torproject.org
Hoewel het grote doel van Torbrowser wat anders voor het voetlicht wordt gebracht, namelijk bescherming door privacy bieden, staat nergens dat Torbrowser expliciet niet bedoeld is voor internetbankieren!
Staat er niet.
Verder heeft Torproject een hele uitgebreide FAQ waar heel veel in staat over van alles en nog wat.
HTTPS://www.torproject.org/docs/faq.html.en
Meer misvattingen - VPN en Tor :
Tor en VPN zijn twee heel verschillende toepassingen met verschillende voor en nadelen.
Wat VPN in ieder geval niet is is een goede privacy oplossing.
VPN is géén echte privacy oplossing !!
HTTPS://www.torproject.org/docs/faq.html.en#IsTorLikeAVPN
VPN en Tor kunnen in gecombineerd gebruik, wanneer je dat goed doet, wel elkaar versterken.
Bankieren : Nog veiliger? :
Als je toch bezig bent..
Overweeg deze optie eens, het beste van twee werelden.
Een live dvd met Torbrowser, van Tails.
HTTPS://tails.boum.org/
Tails is dan nog veiliger voor internetbankieren met Tails opstarten, internetbankieren, alles afsluiten.
Je pc hardware/firmware moet natuurlijk wel in orde en te vertrouwen zijn.
'Conclusie' :
In het geval van wel verbinding met een HTTPS website maar nog geen HSTS implementatie op een site en een onbekend (niet je eigen) wifi access point biedt Torbrowser een voordeel omdat je verbinding van begin tot eind versleuteld is.
Wanneer er op delen in de verbinding gebruik wordt gemaakt van een http verbinding is er net zoals bij alle andere internetverkeer sprake van een onveiliger verbinding.
Meet dus met 1 maatstaf als je over http praat en daarbij Torbrowser aanhaalt maar praat liever over de noodzakelijke voordelen van het gebruik van HTTPS in alle gevallen waarin dat voordeel kan bieden.
Zinniger en nuttiger.
* Toch nog meer veiligheid verwachten bij HTTP gebruik?
In het geval met een HTTP verbinding vanaf de exit node moet nog worden angetekend dat er heel veel exitnodes zijn en dat je automatisch iedere 10 minuten wisselt van Exitnode.
Voor een succesvolle attack bij een exitnode met HTTP verkeer moet je dus maar net over die exitnode gaan van die ene persoon die kwade wil in de zin heeft, kleine kans (maar het kan)
Of er moet sprake zijn van een grootschalig kwaadaardig cluster van slechte exitnodes en dat valt op, dat wordt in de gaten gehouden door Torproject. Niet aan de orde (voor zover bekend).
In de aankomende nieuwe versie van Torbrowser (nu nog de Alpha versie, maar heel stabiel) heb je de optie om met 1 klik te zien 'in welk land' je exit node staat die je gebruikt.
Met sommige landen zou ik in sommige gevallen (bij een software downloadje?) voor de zekerheid in zulke situaties je verbinding vernieuwen omdat als er misbruik is voorgekomen dat nou net dergelijke landen betreft, laat je zekere algemene kennis maar werken, je komt daar wel uit. Geen garantie deze aanpak, wel een zinnige kansberekening op basis van wat wel eens is voorgevallen.
Blijft verder staan dat je natuurlijk een download checkt op virussen/malware en op de opgegeven hash en dat je kort of lang kunt praten over veiligheid, gebruik van http verbindingen levert sowiezo een risico op.
TOR geeft anonimiteit, maar veel minder veiligheid. Je verkeer gaat over een exit node: een vrijwillige man-in-the-middle aanval.
Precies, internet bankieren via TOR heeft meer nadelen dan voordelen. Ik snap ook niet waarom iemand dit nou graag zou willen. Encryptie wordt geboden via de HTTP verbinding naar de bank.
Ook kan de bank je account blokkeren vanwege "verdachte activiteit". Ik zie de voordelen dus niet echt.
Vanuit het oogpunt van risk management zal de bank je verbinding inderdaad verdachter vinden dan normaal; daar heb je als legitieme gebruiker weinig aan (immers zijn er diverse banking trojans en andere financiele malware types die hun verkeer via TOR laten lopen).
Waarom zou je willen internet bankieren via TOR, wil je je identiteit verbergen voor de bank, terwijl je inlogt met je persoonlijke credentials ? Welke meerwaarde heeft het ? TOR levert geen veiligheid, enkel privacy, die je bij het inloggen weer opgeeft.
Tails is dan nog veiliger voor internetbankieren met Tails opstarten, internetbankieren, alles afsluiten.
Je pc hardware/firmware moet natuurlijk wel in orde en te vertrouwen zijn.
Je pc hardware/firmware moet natuurlijk wel in orde en te vertrouwen zijn.
Nou, leg jij dan maar uit wat er veiliger is aan internetbankieren via Tails (of Tor) dan aan internetbankieren, waarbij je een direkte verbinding maakt naar de systemen van de bank. Wat is het voordeel ?
TOR heeft bar weinig meerwaarde voor diensten als internetbankieren. Immers is TOR een privacy tool, terwijl je bij het inloggen op de bankomgeving je na identificatie die privacy weer opgeeft.
In de hele discussie rondom o-o-o wat vinden 'wij' (onbewezen) Tor onveilig, wordt vaak even vergeten dat bij het standaard internet gebruik verkeer over HTTP ook niet veilig is.
Tuurlijk, steekt je kop in het zand, en vraag je vooral nooit af waarom mensen TOR exit nodes draaien. Je beseft je dat bijvoorbeeld inlichtingendiensten dergelijke nodes opzetten en monitoren om informatie te verzamelen omdat je zo de concentratie ''interessant'' verkeer verhoogt ? Om maar een voorbeeld te noemen ?
TOR heeft voordelen, en TOR heeft ook nadelen. Al willen sommigen dat pertinent niet in zien.
Je kan op dat punt van de exitnode misschien eventueel een MitM aanval doen door SSL-Strip attack (?) toe te passen maar bij mijn weten zie je dan in je eigen url browser balk dat je geen daadwerkelijke HTTPS verbinding hebt maar een verbinding over HTTP.
Klopt. Met andere woorden, je loopt in zo'n situatie dus extra risico, omdat de beheerder van zo'n exit node een MiTM aanval uitvoert met SSL stript, al kan je dat wel zien in je adresbalk.
Is dat nou veiliger, of onveiliger dan internet bankieren zonder het gebruik van een TOR exit node, waardoor de beheerder van die exit node jou niet aan kan vallen ? ;)
In de hele discussie rondom o-o-o wat vinden 'wij' (onbewezen) Tor onveilig, wordt vaak even vergeten dat bij het standaard internet gebruik verkeer over HTTP ook niet veilig is.
Je spreekt jezelf toch aardig tegen, wanneer je risico's tegelijkertijd erkent en ontkent.
De kans dat zo'n malicious exit node beheerder in staat is om jouw verbinding te kapen wanneer je geen gebruik maakt van zijn dienst (ongeacht of je HTTP of HTTPS gebruikt) is immers "ietsje" kleiner, want dan wordt je niet via zijn systemen geleid.
Je kiest er dus zelf voor om je verkeer om te leiden, via systemen van onbekende derden, die te goeder danwel te kwader trouw jou een dienst bieden. Hier mee vergroot je het risico op zaken als SSLStrip aanvallen - zoals je zelf terecht aangeeft (of op sniffing van een HTTP verbinding zonder encryptie).
De veiligheid van je verbinding is immers niet enkel afhankelijk van de vraag of je wel/geen encryptie gebruikt, maar ook van de vraag hoe je verkeer wordt gerouteerd, en wie er dus de mogelijkheid hebben om je verkeer te sniffen, of aanvallen uit te voeren, afhankelijk van de route welke je verkeer aflegt.
In ieder geval, banken blokkeren (voor de verassende verandering) geen verkeer van Tor
Zouden banken verkeer vanaf TOR volgens jullie wel/niet moeten toestaan, mede gezien de informatie in onderstaande artikelen (zal volgens sommigen hier, die ieder crimineel gebruik van TOR als verzinsels van de hand wijzen wel allemaal verzonnen zijn, maar dat terzijde) ?
Cyber gang busted for operating TorRat banking malware
http://www.scmagazine.com/cyber-gang-busted-for-operating-torrat-banking-malware/article/318676/
ChewBacca - a New Episode of Tor-based Malware
http://securelist.com/blog/58192/chewbacca-a-new-episode-of-tor-based-malware/
Detected 64-bit ZeuS banking trojan using Tor network
http://securityaffairs.co/wordpress/20409/cyber-crime/zeus-banking-trojan-64bit.html
New "LusyPOS" Malware Uses Tor For C&C Communications
http://www.securityweek.com/new-lusypos-malware-uses-tor-cc-communications
Tor may have driven up bank fraud over the past 14 years
http://blog.trendmicro.com/tor-may-driven-bank-fraud-past-14-years/
"Nou, leg jij dan maar uit wat er veiliger is aan internetbankieren via Tails (of Tor) dan aan internetbankieren, waarbij je een direkte verbinding maakt naar de systemen van de bank. Wat is het voordeel ?"
Nuancering van mijn eigen opmerking; het gebruik van een LiveCD/LiveDVD is natuurlijk altijd goed bij internetbankieren.
Nuancering van mijn eigen opmerking; het gebruik van een LiveCD/LiveDVD is natuurlijk altijd goed bij internetbankieren.
Meeste banken waar ik geld heb blokkeren of frustreren verkeer via tor exit nodes.
@ 15:47 & 16:04 Dezelfde persoon? Denk het wel.
Jammer dat je/jullie de moeite niet hebt willen nemen de reactie van 14:38 goed door te lezen en daarna even te laten bezinken.
De antwoorden op je/jullie vragen zijn al gegeven. Nauwkeuriger lezen.
Ik ga in op je flamebait pogingen (krijg je soms extra zakgeld voor dit soort ongefundeerde stoorzender gedrag ?)
Er wordt uitgebreid stilgestaan in de 14:38 reactie bij het verschil tussen een HTTP en een HTTPS verbinding.
Een bank die een HTTP verbinding zou aanbieden zou voor iedereen een onveilige verbinding betekenen.
Vanuit het oogpunt van risk management zal de bank je verbinding inderdaad verdachter vinden dan normaal; daar heb je als legitieme gebruiker weinig aan (immers zijn er diverse banking trojans en andere financiele malware types die hun verkeer via TOR laten lopen).Niet onderbouwde veronderstellingen.
Het malware en virus verhaal over Tor is slap geklets, je hebt duidelijk en de 14:38 reactie niet gelezen en bent daarnaast niet op de hoogte van het nieuws en de methode waar inderdaad een keer sprake was een infectie aanval op een exit node (alsook hetzelfde land waar dat het geval was).
Ga het uitzoeken, heel nuttig. Ik ga je hier niet helemaal bijpraten.
Overnieuw en nu de 14:38 tekst wel goed lezen!
De enige relevante vraag die overblijft is deze en die wordt op zich ook door niemand als zodanig ontkend maar ik wil wel een poging doen een belang te kunnen onderstrepen.
"Niet als je al over een veilige verbinding beschikt en anoniem gelegde verbinding met de bank geen noodzakelijk voordeel biedt."
Er kunnen vanuit privacy en dus ook veiligheidsoverwegingen redenen zijn waarom jij in een minder veilig buitenland absoluut niet wil dat anderen weten met welk land of welke website jij connectie maakt!
Dat kan dus ook een bank zijn.
Die bank weet wel dat jij het bent maar de wifi aanbieder/provider/whatever er verder tussen zit kan niet zien.
In Nederland, zoals al geopperd hier, zal dat voordeel er vermoedelijk niet zijn. Daarmee is het uitblijven van de voordeel nog niet per definitie een nadeel.
Ja daar trappen we niet in.
Aangetoond is dus NIET dat Torbrowser (per defininitie en in dit geval) minder veilig is.
Aangetoond is WEL dat Torbrowser (in dit geval) nog wat extra veiligheid biedt bij gebruik van openbare wifi, je weet namelijk zeker dat je verbinding van begin tot eind versleuteld is in het geval een website geen HSTS heeft geïmplementeerd!
Dat laatste stukje (draadloze)beveiliging zou je dus wel missen met je laptop op een terras met onbekende wifi en een met een gewone browser.
Hopelijk is met deze reactie het zand nu wat meer je ogen gewreven, de rest moet je zelf doen. ;)
Groet
14:38 door Anoniem 14-03-2015
Jammer dat je/jullie de moeite niet hebt willen nemen de reactie van 14:38 goed door te lezen en daarna even te laten bezinken.
De antwoorden op je/jullie vragen zijn al gegeven. Nauwkeuriger lezen.
Ik ga in op je flamebait pogingen (krijg je soms extra zakgeld voor dit soort ongefundeerde stoorzender gedrag ?)
Precies, internet bankieren via TOR heeft meer nadelen dan voordelen. Ik snap ook niet waarom iemand dit nou graag zou willen.
Nee er zijn niet meer nadelen, hooguit zijn voordelen in andere situaties hier niet van toepassing. Dat is daarmee nog geen nadeel.Encryptie wordt geboden via de HTTP verbinding naar de bank.
Encryptie wordt niet geboden bij HTTP dat is nou het het punt.Er wordt uitgebreid stilgestaan in de 14:38 reactie bij het verschil tussen een HTTP en een HTTPS verbinding.
Een bank die een HTTP verbinding zou aanbieden zou voor iedereen een onveilige verbinding betekenen.
Ook kan de bank je account blokkeren vanwege "verdachte activiteit". Ik zie de voordelen dus niet echt.
Vanuit het oogpunt van risk management zal de bank je verbinding inderdaad verdachter vinden dan normaal; daar heb je als legitieme gebruiker weinig aan (immers zijn er diverse banking trojans en andere financiele malware types die hun verkeer via TOR laten lopen).
Het malware en virus verhaal over Tor is slap geklets, je hebt duidelijk en de 14:38 reactie niet gelezen en bent daarnaast niet op de hoogte van het nieuws en de methode waar inderdaad een keer sprake was een infectie aanval op een exit node (alsook hetzelfde land waar dat het geval was).
Nou, leg jij dan maar uit wat er veiliger is aan internetbankieren via Tails (of Tor) dan aan internetbankieren, waarbij je een direkte verbinding maakt naar de systemen van de bank. Wat is het voordeel ?
Als je de discussie over veilig internetbankieren hebt gemist en niet weet welk voordeel een live cd/dvd kan bieden. Ga het uitzoeken, heel nuttig. Ik ga je hier niet helemaal bijpraten.
TOR heeft bar weinig meerwaarde voor diensten als internetbankieren. Immers is TOR een privacy tool, terwijl je bij het inloggen op de bankomgeving je na identificatie die privacy weer opgeeft.
De meerwaarde is wel degelijk in de 14:38 reactie uitgelegd. Tuurlijk, steekt je kop in het zand,
<knip><knip><knip>
Om maar een voorbeeld te noemen ?
Gezakt. <knip><knip><knip>
Om maar een voorbeeld te noemen ?
Overnieuw en nu de 14:38 tekst wel goed lezen!
De enige relevante vraag die overblijft is deze en die wordt op zich ook door niemand als zodanig ontkend maar ik wil wel een poging doen een belang te kunnen onderstrepen.
Waarom zou je willen internet bankieren via TOR, wil je je identiteit verbergen voor de bank, terwijl je inlogt met je persoonlijke credentials ? Welke meerwaarde heeft het ? TOR levert geen veiligheid, enkel privacy, die je bij het inloggen weer opgeeft.
De hint in de 14:38 reactie :"Niet als je al over een veilige verbinding beschikt en anoniem gelegde verbinding met de bank geen noodzakelijk voordeel biedt."
Er kunnen vanuit privacy en dus ook veiligheidsoverwegingen redenen zijn waarom jij in een minder veilig buitenland absoluut niet wil dat anderen weten met welk land of welke website jij connectie maakt!
Dat kan dus ook een bank zijn.
Die bank weet wel dat jij het bent maar de wifi aanbieder/provider/whatever er verder tussen zit kan niet zien.
In Nederland, zoals al geopperd hier, zal dat voordeel er vermoedelijk niet zijn. Daarmee is het uitblijven van de voordeel nog niet per definitie een nadeel.
TOR heeft voordelen, en TOR heeft ook nadelen. Al willen sommigen dat pertinent niet in zien.
Nietszeggende open deur, behalve dan een illustratie van dat er een heel grot blik anti Tor pieples zijn die niet weten waar ze het over hebben en hopen door discussies tot in het extreme te trekken dan voordeel behalen met het mikken op een uitkomst in het midden. Ja daar trappen we niet in.
Aangetoond is dus NIET dat Torbrowser (per defininitie en in dit geval) minder veilig is.
Aangetoond is WEL dat Torbrowser (in dit geval) nog wat extra veiligheid biedt bij gebruik van openbare wifi, je weet namelijk zeker dat je verbinding van begin tot eind versleuteld is in het geval een website geen HSTS heeft geïmplementeerd!
Dat laatste stukje (draadloze)beveiliging zou je dus wel missen met je laptop op een terras met onbekende wifi en een met een gewone browser.
Hopelijk is met deze reactie het zand nu wat meer je ogen gewreven, de rest moet je zelf doen. ;)
Groet
14:38 door Anoniem 14-03-2015
@ab2604: stel deze vraag ook eens aan je bank. Juiste contactgegevens vindt je via https://www.veiligbankieren.nl/nl/vraag-en-antwoord.html
Door ab2604: Als ik ergens op loacatie met mijn laptop moet bankieren gebruik ik altijd een VPN dienst als extra beveiliging. Nu vraag ik me af of ik daarvoor ook niet net zo goed de Tor browser kan gebruiken? Heb ik dan ook een veilige versleutelde verbinding zoals bij een VPN?
Bij het standaard gebruik van de internetbankieren webapplicaties (dus zonder VPN of TOR) heb je altijd een versleutelde verbinding omdat er HTTPS wordt gebruikt. Het is hierbij wel een goede gewoonte even te verifiëren of er daadwerkelijk HTTPS wordt gebruikt en of je wel op de goede website zit (controleer dus de hostname!). Mocht je echt paranoide zijn dan kan je zelfs nog de fingerprint van het SSL certificaat van de server controleren.
Het gebruik van VPN voegt toe dat in het geval van een MitM aanval (of in eventuele logging van ISP o.i.d.) niet te zien is met welke servers verbinding is gemaakt en geen enkel verkeer (dus ook niet eventuele zaken die over HTTP gaan) in te zien of aan te passen is. Dit geldt dan uiteraard tot aan de VPN server. In de meeste gevallen zal je deze server of zelf onder controle hebben of een (betaalde) dienst afnemen van een grote VPN provider die belooft geen logging bij te houden. Als jij steeds vanaf dezelfde VPN server verbinding maakt met de bank zal de bank het IP-adres voor jou als "normaal" beschouwen.
Het gebruik van TOR voegt toe dat wederom niet te zien is met welke servers jij verbinding maakt zo lang je gebruik maakt van HTTPS. Wanneer je informatie verstuurd die jou kan identificeren over een HTTP verbinding dan kan men op de exit node (en misschien wel op alle nodes ervoor?) precies zien dat jij verbinding maakt met desbetreffende server. De bank zal kunnen zien dat jij via het TOR netwerk verbinding maakt en jouw IP-adres zal niet hetzelfde zijn als normaal, dus bij eventuele fraudedetectie heb je kans dat dit wordt bestempeld als mogelijk frauduleus waardoor bijvoorbeeld betalingen worden afgekeurd.
Naar mijn mening voegt het gebruik van TOR voor internetbankieren niks toe ten opzichte van het gebruik van een VPN. Het is zelfs nadeliger omdat het de fraudedetectie bij de bank zou kunnen frustreren. Ik raad dus aan om voor internetbankieren een VPN te gebruiken en geen TOR.
Het gebruik van een Live CD/DVD is trouwens een zeer goed idee aangezien het de ultieme bescherming tegen malware is (mits deze malware natuurlijk niet meegebakken is op je Live CD/DVD).
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
