Banken akkoord over beveiliging bij internetbankieren

[Vistaus]

Vanaf 1 juli 2014 hanteren alle banken dezelfde (uniforme) tekst in de voorwaarden voor internetbankieren. Voor mijn bank heb ik deze bij het inlogscherm ontvangen. Er staat expliciet (en letterlijk):

'De computer of laptop die u gebruik voor uw bankzaken moet beveiligd zijn met antivirussoftware en een firewall'

Lijkt nu echt een harde eis te zijn...

Ja, ik weet nog steeds niet hoe ze dit waar willen maken. Ze kunnen me moeilijk verbieden om geen bankzaken op AmigaOS (desktop) en SailfishOS (smartphone) en Arch Linux (laptop) meer te doen. En alleen voor laatstegenoemde is er antivirus, voor die eerste twee niet, maar krijg voor AmigaOS en SailfishOS wel gewoon veiligheidsupdates binnen via de update manager.

[erik1984]

Met ING blijft het ook lachen

Ok, er staat aanbevolen en niet verplicht, maar vind het toch een merkwaardig lijstje. Blijkbaar is Windows 8.1 helemaal niet aanbevolen en als je Windows 8 gebruikt dan zijn Firefox en Chrome opeens niet meer goed.

[Ron]

Even de kat aan het spek binden:
Geachte;
volgens de website van de *** Bank moet ik o.a. mijn computer uitrusten met een antivirus programma.
Voor mijn computer bestaat dit niet op een afdoende manier.
Er is wel een antivirus programma, maar dat scant uitsluitend op Windows virussen en niet op virussen in het systeem zelf, simpelweg omdat deze (bijna) niet bestaan.
Er zijn er wel een paar, maar deze worden door de ontwikkelaars van het besturingssysteem gezien als studie-objecten en worden in het besturingssysteem zelf onschadelijk gemaakt.

Een firewall zit standaard in het systeem, maar de routers die ik gebruik. hebben ook een ingebouwde firewall, vanuit dat punt ben ik dus dubbel beveiligd.

Wanneer de eisen keihard zijn, hoe dacht U dit te controleren, tenslotte moet de bank de onveiligheid aantonen, er is in deze geen omgekeerde bewijslast.
Ook kan ik, nadat ik een verkeerde afschrijving constateer een antivirus programma installeren en daarmee aantonen dat ik beveiligd ben.

Graag Uw mening en visie in deze,
Vriendelijke groeten
Nu maar de reactie afwachten, ik ben bang ze het doorsturen naar het hoofdkantoor, waarna ik niets meer hoor.

[VuurVosje]

Nee, waarschijnlijk krijg je een standaardbriefje van helpdeskmedewerker 4.634 dat naar de voorwaarden op de website verwijst.
 

[testcees]

Lijkt nu echt een harde eis te zijn...

Gebruik voor het regelen van uw bankzaken een computer met daarop een virusscanner, firewall en anti-spyware.

Hoewel ik zelf voor internetbankieren Ubuntu zonder (actieve) virusscanner gebruik zou ik opkijken als iemand (helemaal een bank) dit (zondermeer) een goed beveiligde computer noemt.

Misschien heb ik in mijn onschuld wel een vreemde pakketbron toegevoegd of losse software gedownload en geïnstalleerd.
Ook zijn er extra netwerkdiensten geïnstalleerd zoals ssh voor toegang vanaf internet, met alle risico's van dien.
Misschien heb ik van internet wel wat handige (maar onbegrepen) sudo-terminalopdrachten overgenomen die de beveiliging niet ten goede komen…

Nu maar de reactie afwachten,

Je verwacht toch niet dat er voor jouw computer een uitzondering op de regel wordt gemaakt...

[Vistaus]

Met ING blijft het ook lachen

Ok, er staat aanbevolen en niet verplicht, maar vind het toch een merkwaardig lijstje. Blijkbaar is Windows 8.1 helemaal niet aanbevolen en als je Windows 8 gebruikt dan zijn Firefox en Chrome opeens niet meer goed.

En afgaande op dat lijstje zijn Firefox en Chrome op Mac OSX ook niet meer goed...

[Vistaus]

Lijkt nu echt een harde eis te zijn...

Gebruik voor het regelen van uw bankzaken een computer met daarop een virusscanner, firewall en anti-spyware.

Hoewel ik zelf voor internetbankieren Ubuntu zonder (actieve) virusscanner gebruik zou ik opkijken als iemand (helemaal een bank) dit (zondermeer) een goed beveiligde computer noemt.

Misschien heb ik in mijn onschuld wel een vreemde pakketbron toegevoegd of losse software gedownload en geïnstalleerd.
Ook zijn er extra netwerkdiensten geïnstalleerd zoals ssh voor toegang vanaf internet, met alle risico's van dien.
Misschien heb ik van internet wel wat handige (maar onbegrepen) sudo-terminalopdrachten overgenomen die de beveiliging niet ten goede komen…

Nu maar de reactie afwachten,

Je verwacht toch niet dat er voor jouw computer een uitzondering op de regel wordt gemaakt...

Maar hoe zit dat dan met een systeem dat veiligheidsupdates krijgt maar geen antivirussoftware kent? Zie mijn reactie: http://forum.ubuntu-nl.org/index.php?topic=82241.msg909954#msg909954
Ik ben wel beveiligd want de 2 systemen zijn beveiligd en krijgen veiligheidsupdates. Maar antivirussoftware is er niet. Dus dan ben ik volgens jou, ondanks de komst van veiligheidsupdates, toch niet goed beveiligd en zijn die twee systemen bij voorbaat ongeschikt voor internetbankieren?

[Vistaus]

En afgaande op dat lijstje zijn Firefox en Chrome op Mac OSX ook niet meer goed...

Nee, dat staat er niet. Er staat wat zij Aanbevelen, dat is wat anders.

Klopt, maar ik schreef het in de stijl van erik1984, op wie ik reageerde.

[VuurVosje]

Deze is ook leuk:

ING lapt eigen veiligheidsregels aan haar laars

ING neemt het niet zo nauw met de 'uniforme veiligheidsregels particulieren', die afgelopen november van kracht werden. Dat staat in een artikel in de Geldgids, die vrijdag 7 februari verschijnt.

Het gaat al mis bij de eerste van de 5 veiligheidsregels, opgesteld door de banken zelf: 'Houd uw beveiligingscodes geheim'. In de uitleg staat vervolgens: 'Sla de codes niet op. Of, als het echt niet anders kan, alleen in een voor anderen onherkenbare vorm die alleen door uzelf is te ontcijferen.'. En in de eigen voorwaarden van ING staat: 'Sla uw gebruikersnaam niet op'. 

Maar ING blijkt eigenhandig én onversleuteld (leesbaar dus), gebruikersnamen op de computers van klanten op te slaan. Dat doet de bank bij iedereen die ooit het vakje 'Onthoud mijn gebruikersnaam' heeft aangevinkt. De gebruikersnaam wordt vervolgens opgeslagen in een cookie op de harde schijf van de computer van de klant. Woordvoerder Ronald van Buuren bevestigt ons desgevraagd nog eens wat ook in de voorwaarden staat. Hij laat per mail weten: 'Een herkenbare gebruikersnaam van internetbankieren mag je niet opslaan in een document op je computer.'

Telefonisch voegt van Buuren daaraan toe: 'Klanten moeten hun gebruikersnaam niet in een eigen document zetten. Vaak zetten ze daar ook nog expliciet bij dat het hun gebruikersnaam is, en misschien zetten ze daar hun wachtwoord ook wel bij. Als een hacker dan gaat zoeken op ‘gebruikersnaam' vindt hij ze zo. Met cookies ligt dat anders.'

Maar zo'n groot verschil is er niet, want ING slaat die informatie in het cookie-tekstbestand op als 'userID', gevolgd door de gebruikersnaam. Kortom, als een hacker een computer doorzoekt op 'userID', is hij enkel een wachtwoord verwijderd van ongeautoriseerde toegang tot internetbankieren.

Bron:
http://www.consumentenbond.nl/test/geld-verzekering/betalen-en-sparen/betaalrekeningen/nieuws/2014/ing-lapt-eigen-veiligheidsregels-aan-haar-laars/

[Bloom]

Ik vind het verbijsterend dat ING Nederland zo'n basisfouten blijft maken inzake beveiliging, terwijl de homebanking van ING België al jaren perfect beveiligd is en niet gekraakt kan worden!

[testcees]

Deze is ook leuk:

Leuk, ook bij andere banken kan ik kiezen om de gebruikersnaam (of pasnummer) op te slaan door “onthouden” aan te vinken. Als dit een serieus veiligheidsprobleem is mag je verwachten dat deze optie al lang was weggehaald (bericht is van februari). Het is ook wel gemakkelijk, je wachtwoord onthouden is al lastig genoeg. 

Cookies worden altijd leesbaar opgeslagen, ook voor andere sites. Een mogelijke oplossing is je hele computer (of /home map) versleutelen. Eenvoudiger is het als de browser voortaan de cookies versleuteld opslaat. Dat komt er aan? https://codereview.chromium.org/24734007

Ondanks deze beveiliging zullen cookies leesbaar zijn als je bent ingelogd. Voor (jou en) mij was duidelijk dat je “onthouden” niet moet aanvinken als je éénmalig inlogt op een andere computer.

Ze kunnen me moeilijk verbieden om geen bankzaken op AmigaOS (desktop) en SailfishOS (smartphone) en Arch Linux (laptop) meer te doen. En alleen voor laatstegenoemde is er antivirus, voor die eerste twee niet

Je kan er voor kiezen deze systemen maar niet te gebruiken voor internetbankieren als je er niet zeker van bent. Vindt jij het systeem wel veilig genoeg,

Bij een zeer geavanceerde Trojan helpt zelfs de beste virusscanner niet, dus om dan te zeggen “u had géén enkele virusscanner en daarom bent u volledig zelf aansprakelijk voor het verlies” gaat wat ver. De bankvoorwaarden moeten natuurlijk wel redelijk zijn (art. 6:233 BW).

[Vistaus]

Ja, ik vind die systemen veilig genoeg. Ze krijgen beveilingsupdates en ik houd alle updates ook goed bij en dat is wat naar mijn mening het belangrijkste is. Maar het gaat er hier niet om wat ik veilig vind. Als dat zo was, dan hadden we dit topic niet gehad. Het gaat erom wat de bank als veilig beschouwd...

[markba]

Maar het gaat er hier niet om wat ik veilig vind. Als dat zo was, dan hadden we dit topic niet gehad. Het gaat erom wat de bank als veilig beschouwd...

We zouden het ze (de banken) gewoon eens kunnen vragen of men daar Linux (zonder AV) een veilig systeem vindt, dan hoeven we hier idd niet te gaan speculeren.....

[PKing]

Ik heb het mijn bank gevraagd, met de opmerking wanneer Linux niet veilig genoeg geacht wordt, ik dan maar moet stoppen met Internmetbankieren.
Tot nu toe heeft mijn eega een telefoontje gehad dat het bij een "technische afdeling" ligt.

Ik wacht het maar eens af.

[Vistaus]

Maar het gaat er hier niet om wat ik veilig vind. Als dat zo was, dan hadden we dit topic niet gehad. Het gaat erom wat de bank als veilig beschouwd...

We zouden het ze (de banken) gewoon eens kunnen vragen of men daar Linux (zonder AV) een veilig systeem vindt, dan hoeven we hier idd niet te gaan speculeren.....

Niet alleen Linux, maar elk OS dat updates krijgt maar geen AV (beschikbaar) heeft.

[Gandyman]

Hoe het went of keert gebruik in ieder geval niet IE van Microsoft, er is weer een rel rond deze geweldig gammele browser, en microsoft is natuurlijk druk bezig het lek te dichten, alhoewel het erop uit zal draaien dat ze diverse functies zullen uitschakelen....

Lees hier meer:
http://www.rtlnieuws.nl/nieuws/binnenland/veiligheidslek-internet-explorer#node_824381

[Gandyman]

Bij de gemeente op het werk word het personeel alsvolgt ingelicht:

Lek internet explorer 
dinsdag 29 april 2014 10:18 

Zoals je in het nieuws hebt kunnen lezen, is er een lek in Internet Explorer. Bij de *** zijn we goed beveiligd, maar zijn er wel zaken waar je rekening mee moet houden.

Hackers kunnen een speciale, gevaarlijke website opzetten. Zodra een gebruiker van Internet Explorer die site bezoekt, kan de hacker bijvoorbeeld een virus op de computer installeren. Een hacker moet er dus wel eerst in slagen om gebruikers van Internet Explorer naar zo'n gevaarlijke website te lokken. Dat kan via een link in een e-mail of op sociale media. Je loopt als IE-gebruiker dus niet onmiddellijk gevaar, maar er is wel een groot risico als je per ongeluk op een foute link klikt.

Advies
We raden je raad aan dit soort e-mails direct te verwijderen en niet te klikken op links die hierin staan. Houd hier dus ook rekening mee als je aan het thuiswerken bent.

Bij vragen neem contact op met de helpdesk; bel naar 4444 of mail naar helpdesk@****.nl.
 

In principe moet je diegene die dit zo opschrijft een schop onder de kont geven, want dit is foute informatie waarbij de mensen worden gerustgesteld........
Microsoft geeft zelf aan dat ze nog geen oplossing hebben voor dit lek en dus is IE op het werk niet goed beveiligt zoals in het verhaaltje word beweerd.

Waarbij ik moet opmerken dat we nog met IE 8 werken versie 8.0.760 1.17514 , wat volgens mij redelijk outdated is 

[Vistaus]

Ik vind het wel vreemd dat de halve media alleen maar over IE spreekt. Goed, MS heeft het niet gedicht en dat moeten ze doen, goed dat ze dat aankaarten. Maar niemand van de media durft te zeggen dat andere browsers tot voor kort ook kwetsbaar *waren* voor ditzelfde lek zoals Firefox bijv.: https://www.mozilla.org/security/announce/2014/mfsa2014-30.html Ze zouden dat op zijn minst er bij kunnen zetten. Niet alleen om aan te tonen dat het geen IE-specifiek lek is, maar ook om aan te tonen dat de concurrentie hetzelfde lek allang gedicht heeft.

[PKing]

En om aan te geven dat internetbankieren met de beschikbare browsers zowieso niet veilig is?

[testcees]

We zouden het ze (de banken) gewoon eens kunnen vragen of men daar Linux (zonder AV) een veilig systeem vindt,

Rare vraag. Hoezo is mijn Linux computer (zonder AV) ineens veilig?

Misschien heb ik wel vreemde pakketbronnen toegevoegd, software gedownload en geïnstalleerd, netwerkdiensten (zoals ssh) toegevoegd of (handige maar onbegrijpelijke) sudo-terminalopdrachten overgenomen van internet waardoor het minder veilig is geworden.
Welke Linux distributie(s) ik gebruik (en of deze allemaal even snel zijn met securitypatches) laat ik er even buiten.

[Vistaus]

We zouden het ze (de banken) gewoon eens kunnen vragen of men daar Linux (zonder AV) een veilig systeem vindt,

Rare vraag. Hoezo is mijn Linux computer (zonder AV) ineens veilig?

Misschien heb ik wel vreemde pakketbronnen toegevoegd, software gedownload en geïnstalleerd, netwerkdiensten (zoals ssh) toegevoegd of (handige maar onbegrijpelijke) sudo-terminalopdrachten overgenomen van internet waardoor het minder veilig is geworden.
Welke Linux distributie(s) ik gebruik (en of deze allemaal even snel zijn met securitypatches) laat ik er even buiten.

Daarom vulde ik ook aan: http://forum.ubuntu-nl.org/index.php?topic=82241.msg910196#msg910196

[markba]

We zouden het ze (de banken) gewoon eens kunnen vragen of men daar Linux (zonder AV) een veilig systeem vindt,

Rare vraag. Hoezo is mijn Linux computer (zonder AV) ineens veilig?

Omdat de AV die er voor Linux bestaat, alleen Windows-malware scant en het dus overbodig is?
(maar dit antwoord wist je al, toch?)

[testcees]

Omdat de AV die er voor Linux bestaat, alleen Windows-malware scant en het dus overbodig is?
(maar dit antwoord wist je al, toch?)

Ja, dat wist ik en daarom blijft de vraag: Waarom zou een (iedere) Linux computer veilig genoeg zijn?
Dat is niet alleen afhankelijk van de ondersteuning met security-updates.

[markba]

Omdat de AV die er voor Linux bestaat, alleen Windows-malware scant en het dus overbodig is?
(maar dit antwoord wist je al, toch?)

Ja, dat wist ik en daarom blijft de vraag: Waarom zou een (iedere) Linux computer veilig genoeg zijn?

Hmm, omdat deze zonder AV net zo veilig is (zo niet veiliger) als een ander OS met AV misschien?

Dat is niet alleen afhankelijk van de ondersteuning met security-updates.

Ah, dat is je punt. Alles wat andere OS'en onveilig maakt (bv niet installeren van updates) geldt voor alle OS'en, dus ook voor Linux. In die zin is het geen onderscheidend element.

Bij gelijkblijvend onderhoud en verantwoord installatiebeleid is Linux veiliger (zie mijn quote boven).

[Vistaus]

Grappig dat niemand antwoord heeft op mijn argument over andere besturingssystemen Ik weet dat het een Ubuntu-forum is, maar als de experts hier het al niet weten...

Maar goed, even serieus weer: ik blijf bij wat ik eerder zei: gebruik je Windows, installeer een AV. Gebruik je een ander OS (OSX, Linux, AmigaOS, Haiku, welk-ander-OS-dan-ook): zorg dat je een ondersteunde versie gebruikt, d.w.z. dat je beveiligingsupdates krijgt en zorg dat je een browser gebruikt die onderhouden wordt. En als je je aan die twee houdt, verzuim het dan ook niet om updates te negeren; installeer minimaal 1 keer per week de updates (als die er zijn).