Affected operating systems

* Windows

Als 80% van de wereld Linux zou gebruiken had er gestaan:

Affected operating systems

* Linux

Denk toch na..............................

fuck the trojanpaard ik heb betere niemand kan hacken

Als je zo'n dappere hacker bent met de beste trojans, neem
dan ook een keyboard met leestekens!

Ik maak gewoon gebruik van offline bankieren. Veel
makkelijker! Gewoon met een boekje en pinpas.
Dit is trouwens wel weer typisch iets wat niet in Nederland
zou kunnen, want hier maakt men gebruik van tokens.

In deze vorm kan het bij de meeste nederlandse banken
inderdaad niet - maar het is ook weer niet zo dat tokens
alles oplossen.

Een trojan zou in theorie bijvoorbeeld kunnen wachten tot
jij een internetbankieren-transactie doet, en zonder dat jij
het merkt een heel andere transactie naar de bank sturen.
Jij ziet op je scherm dat je 15 euro overmaakt naar je
kleinkind, maar in de werkelijkheid blijkt dat er 1500 euro
naar Al Quada is gegaan. 'oeps' ;).

Er zijn trouwens nog wel verfijndere truuks te verzinnen:
bij de ABN AMRO moet je bijvoorbeeld eerst met je token
inloggen. Een trojan kan jou er vrij eenvoudig toe bewegen
je token een paar keer te gebruiken door wat 'inloggen
mislukt - probeer het nog eens'-pagina's te laten zien.

?????? Wie heeft het over Linux ?????
Er staat hooguit welk OS er (weer) last van heeft.
Noem dan ook elk OS dat er NIET last van heeft.....

Denk toch na......................

eum...
ik meen me te herinneren dat security.nl niet bedoeld was om
scriptkiddies zoals jij te laten pochen over hen
zogehete 'hack'-kunsten.
als je toch indruk wil maken op de internet wereld met jouw fenomenale
programeerkunsten.
help dan eens om opensource programma's te schrijven waar iedereen iets
aan heeft, zoals pc cleaners en anti-virus tools

groeten

Kiran

Weet jij uberhaubt wel iets over de contructie van linux?
Als jij als gewone gebruiken inlogd, is dit niet mogelijk in
linux.

WAT EEN BENDE LULLEN!!

Nu ben ik best enthousiast over linux, maar dit is nu ook
niet waar. Een trojan heeft het onder linux wel wat
moeilijker, maar er zijn ook mogelijkheden (een local root
exploit, of zich in de browser nestelen).

Bovendien ga je voorbij aan het punt dat de vorige poster
(weliswaar op een wat onvolwassen manier) wilde maken: het
is niet verwonderlijk dat aanvallers vaak windows als
doelwit kiezen, omdat windows veel meer gebruikt wordt. Ik
ben het zelf niet helemaal met die stelling eens, maar die
discussie ga *ik* hier niet meevoeren.

Nee, als 80% van de wereld linux gebruikte, had er gestaan:
Affected operating systems

* Windows

Denk toch na

ik vrees dat de laatste denker nog eens beter na zal moeten denken.
scripters schrijven virussen naargelang het meest gebruikte OS.
als iedereen linux gebruikte, zou men de exploits van linux beginnen zoeken
en dan gaat men die uitbuiten.
dus dan had er gestaan *Linux*
en om af te sluiten...
denk toch eens na .. :P

Nietes, Windows!!! :D

Wat een hoop zeveraars hier. Linux of niet, die client pc is
niet te betrouwen.

Het enige echte veilige internetbankieren werkt met:
- betrouwbaar hardware token / rekenmachien buiten computer om
- 2 way authenticatie: rekenmachientje creëert challenge,
komt op scherm rekenmachien, gebruiker tikt dat in op scherm
computer, krijgt antwoord, en tikt dat weer in op zijn
rekenmachine, en rekenmachien zegt of ie met de goeie server
verbonden is
- signing van elke transactie: wanneer gebruiker geld
overschrijft, moet ie op zijn rekenmachien 1. rekeningnummer
en 2. bedrag intikken, en krijgt dan van rekenmachien een
handtekening-code die hij samen met de gegevens van de
transactie op het scherm moet intikken, waarna hij een
bestiging krijgt (handtekening server van transactie) die
hij op zijn rekenmachien kan/moet intikken om te weten of
alles goed gegaan is.

Wat je hier natuurlijk niet mee oplost, is vertrouwelijkheid
van de transacties. En natuurlijk de kwaliteit van het token
zelf, maar da's niet echt de weakest link waarschijnlijk.

Lijkt me duidelijk dat dit een onrealistisch systeem is,
véééls te moeilijk voor die arme gebruikers. Dus, zadelen ze
die maar op met onveilige, 'makkelijkere' systemen
gecombineerd met uitgekookte contracten waarin de
aansprakelijkheid van de banken netjes geëlimineerd wordt.

1. Geen signing betekent dat zelfs als je met een mooie
tokentje moet inloggen, een trojan horse gelijk welke
transactie kan uitvoeren wanneer je daadwerkelijk ingelogd bent
2. Geen token voor inloggen is natuurlijk nóg erger: een
trojan kan dan inloggegevens kopiëren en naar een centrale
sturen waar ze netjes voor andere doeleinden gebruikt kunnen
worden

Máár!! We hebben nog 1 redding, en dat is de controle op
grote transacties binnen de banken!! Stel je voor dat je als
maffiabende zo'n trojan maakt, netjes legaal geld versluist
naar jouw rekening binnen Nederland, dan moet je dat daar
natuurlijk nog af krijgen ook! Er bestaan natuurlijk
manieren, maar eenvoudig is het niet, en de kans is érg
groot dat er bellen gaan rinkelen.

Dus, voorlopig zou ik maar niet al té veel paniek zaaien.
(maar eerlijk gezegd, ik doe niet mee met internetbankieren...)

Toevoeging vorige post: 2 way betekent natuurlijk dat na
authenticeren server de client (rekenmachien) zich ook moet
authenticeren door een challenge op een goeie manier te
beantwoorden.

3. Geen 2-way authenticatie: man-in-the-middle mogelijk...

(wat men dan weer probeert af te vangen door een meer dan
uitgebreide monitoring van de ISP's...)

Denk toch eens na allemaal. Linux draait op zoveel
verschillende kernels dat een trojan het veel moeilijker zou
hebben dan nu met windows, als linux op 90% van de systemen
zou draaien.
Denk na!!! A.U.B. Laatje niet misleiden door rechtlijnige
quantitatieve gegevens.
Eerst nadenken, dan posten!! Want anders denken de mensen
dat security.nl een site voor imbecielen en halve zolen is.
Niemand wil dat.

Ik denk dat de laatste poster het volgende artikeltje wel
interessant zal vinden:

http://www.complang.tuwien.ac.at/anton/linux-binary-compatibility.html

De verschillende kernels bij Linux zijn GEEN probleem. Zeveraar.