Banken akkoord over beveiliging bij internetbankieren

[anton_2]

Tros Radar
Veilig internetbankieren
https://forum.www.trosradar.nl/viewtopic.php?f=133&t=143675

Vertel je bank de waarheid!
http://www.trosradar.nl/columns/archief/detail/article/vertel-je-bank-de-waarheid/

[Vistaus]

Tros Radar
Veilig internetbankieren
https://forum.www.trosradar.nl/viewtopic.php?f=133&t=143675

Ah, dankjewel! Die ga ik zo eens kijken!

[Vistaus]

Heb het even bekeken maar ik ben er nog niet wijzer van geworden. Moet ik nu wel of niet een virusscanner draaien op Linux? En hoe zit het met AmigaOS (desktop) en SailfishOS (smartphone) die geen virusscanner hebben? In de commentaren zag ik een paar mensen zeiden dat je zonder virusscanner op OSX ook goed zit. Dus dan zou dat ook voor de drie door mij genoemde gelden. Maarja, dan weet ik nog steeds niet wat wijsheid is...

Noot: voor het geval ik weer halve lezers krijg: ik doel dus op vanuit het aspect van de bank. Ik voel me *zelf* veilig bij de drie genoemde systemen omdat ik er veiligheidsupdates voor krijg en mijn software up-to-date houd.

[richard coenders]

Goedenavond Pjotr,

Heb Climav geinstalleerd op mint 13 maya (kreeg andere overigens niet erop) is dit een real time scanner? zie er ook een kruisje in staan
GUI-versie 4.38 kun je dit negeren of werkt de scanner dan mogelijk niet goed? Vraag dit ook vanwege de discussie op het forum over
veilig telebankieren ed. Hoe activeer je de firewall eenvoudig binnen linux,? zodra je afsluit is ie weer Uitgeschakeld!. Onlangs donatie gedaan, linux ziet er goed uit.  Bedankt RIchard

Niets is geheel veilig, maar die besturingssystemen zijn (mits geheel bijgewerkt) *aantoonbaar* vele malen veiliger dan een geheel bijgewerkte Windows met een geheel bijgewerkte antivirus. Je zit dus goed. 

Ja, Pjotr, dat zeg je en wij weten dat allemaal. Maar de huidige bureaucratie kennende zeggen "ze": geen antivirus! Dus niet goed. Er is maar één reden voor deze behoorlijke vage regels. Ze klinken wel mooi en goedbedoeld. Maar die banken willen gewoon geld en daar gaat het om. En dat gebeurt vast niet altijd netjes. De wereld barst toch van misstanden. De bankwereld is zeker geen heilige.

Eerst zien dan geloven.

met vriendelijke groeten,

Just Vecht

Met alle respect, maar dat lijkt me een tikje overdreven....
De nieuwe regels bieden alle ruimte voor het niet-gebruiken van antivirus. Dat is een feit. En daar houd ik mij aan. Binnen de regels.

Voor een eventuele discussie met een bank, ben ik niet bang. Bankmedewerkers zijn (op enkele beruchte uitzonderingen na) immers geen schurken, maar gewoon fatsoenlijke mensen die op een eerlijke manier hun brood verdienen. En dus voor rede vatbaar. Zo niet, dan hebben we altijd nog de rechter.

Maar ik verwacht niet, dat er ooit een rechter aan te pas zal hoeven te komen. Ook een bank heeft geen zin in een bij voorbaat verloren juridisch gevecht: rechters zijn ook niet gek....

[Ron]

Van de bank krijg ik het volgende standaard antwoord:
Hartelijk dank voor uw bericht. ***Bank stelt slechts richtlijnen op voor veilig gebruik van internetbankieren.
De bank heeft namelijk een zorgplicht om u als klant te informeren zodat internetfraude zoveel mogelijk voorkomen kan worden.
Deze richtlijnen zijn opgesteld door de Nederlandse Vereniging van Banken (NVB).
Ziet u tevens deze website voor meer informatie:
https://www.veiligbankieren.nl/nl/betaalmiddelen/internetbankieren/uniforme-veiligheidsregels.html
Wanneer u van mening bent dat uw apparatuur niet voldoet aan deze richtlijnen,
dan raden wij u af hiermee te internetbankieren.

Duidelijk een nietszeggende opmerking, die het heeft over richtlijnen i.p.v. eisen !
Hierop dan maar de volgende reactie gegeven:
Geachte ******;
Uw bericht is geen antwoord op mijn vraag!
m.i. zijn het richtlijnen (Uw eigen woorden) en geen verplichting.
Het systeem dat ik gebruik ik volgens een test van de Engelse overheid het veiligste systeem dat er bestaat!
Sterker nog, ik denk dan mijn computer zonder enige vorm van beveiliging veiliger is dan een Windows-systeem met alle beveiligingen aangezet.
Het antwoord is dan ook een "standaard" opmerking van een instantie, die op deze manier alle verantwoordelijkheid probeert af te schuiven naar de (eind)gebruiker.
De vraag zal ik dan anders formuleren:

1. Mijn telefoon is 4 jaar oud en krijgt geen updates meer (Android versie 2.1).
    Wat is het standpunt van de bank, wanneer ik hiermee wil internet-bankieren?
   (persoonlijk zou ik dit afraden, terwijl dit apparaat voldoet aan de door de bank gestelde richtlijnen)

2. Een computer, uitgerust met Linux als besturingssysteem.
    Hiervoor bestaan alleen antivirus programma's, die scannen op Windows virussen.
    Op dit systeem kunnen deze dus geen schade kunnen aanrichten.
    Naar mijn idee de veiligste manier, terwijl dit niet strookt met de richtlijnen van de bank.

De reden dat ik deze vragen stel:
De richtlijnen / eisen zijn opgesteld voor 98% van de gebruikers, die met een Windows of een Apple (OS-X) computer werken, of met een tablet met Android of IOS (Apple).
De overige 2% van de gebruikers werkt met een Linux, Unix, BSD, Haiku, of ander besturings-systeem.
Kijk voor een lijst hiervan op https://nl.wikipedia.org/wiki/Lijst_van_besturingssystemen

Mijn vraag is dus eigenlijk, hoe de bank beoordeelt, of mijn computer veilig is, wanneer de eisen/richtlijnen spreken over een "verplicht" antivirus programma, terwijl dat op veel systemen totaal nutteloos is.
Een computer-virus bestaat niet, een virus kan alleen een besturings-systeem infecteren, de meesten zijn dus Windows-virussen.

Hopelijk is het door deze uitleg nu iets duidelijker voor U geworden wat ik bedoel met mijn vraag.

In afwachting van Uw antwoord,
Hoogachtend,
Ron
En nu maar wachten op de volgende opmerking van een bank zonder ICT kennis ..........

[testcees]

Het systeem dat ik gebruik ik volgens een test van de Engelse overheid het veiligste systeem dat er bestaat!
Sterker nog, ik denk dan mijn computer zonder enige vorm van beveiliging veiliger is dan een Windows-systeem met alle beveiligingen aangezet.

Die test ging uit van een speciaal geprepareerd Ubuntu installatie met extra beveiligingen zoals versleuteling, aparte /home- en /tmp- partitie met “noexec” attribuut, geen terminalvenster enz. enz. Geen standaard Ubuntu desktop (zie https://www.gov.uk/government/publications/end-user-devices-security-guidance-ubuntu-1204/end-user-devices-security-guidance-ubuntu-1204#provisioning-steps). Overigens scoorde Windows 8 in die test maar 1 puntje lager ('device update policy').

[Ron]

Die test ging uit van een speciaal geprepareerd Ubuntu installatie

ik ga ze natuurlijk niet alles voorkauwen

[Hommel]

Ik denk als er wettelijk niet word vastgelegd we nog maanden kunnen door gaan met bekvechten.
Er is een brief geheim maar geen Mail geheim, dit is niet in de wet opgenomen.
Dus ben altijd op eigen risico aan het mailen en je kan niemand de schuld geven als dit op straat komt te
liggen.
Als niet in de wet word opgenomen wie en hoe de verhouding van verantwoording heeft Klant Bank
of wat er tussen zit komen we hier nooit uit.
Nu word door weinig informatie en je de waan geven het goed te doen de mogelijkheid ontnomen om
je te kunnen verdedigen en om de juiste maatregelen nemen om veilig te bankieren.
Simpel omdat er geen men daar niets over los laat of dat ze het zelf niet weten.
Dus wil het eens fout gaan wat leg je bij de rechter wettelijk neer als bewijs juist te hebben gehandeld.
Dit is voor beide kanten dan een probleem, alleen de bank is verplicht alles goed te beheren en de klant
zo veel mogelijk te informeren op veilig bankieren, maar hiermee is het wettelijk niet opgelost.
Bewijzen wie er fout is, en wie kan dat?

[testcees]

Ik denk als er wettelijk niet word vastgelegd we nog maanden kunnen door gaan met bekvechten.

Ik denk dat het wettelijk is vastgelegd, desondanks kunnen we nog maanden doorgaan met bekvechten.

Artikel 233
Een beding in algemene voorwaarden is vernietigbaar
a. indien het, gelet op de aard en de overige inhoud van de overeenkomst, de wijze waarop de voorwaarden zijn tot stand gekomen, de wederzijds kenbare belangen van partijen en de overige omstandigheden van het geval, onredelijk bezwarend is voor de wederpartij;

Iemand een virus gezien voor Ubuntu? Nee? Echt niet? Zolang ik alleen software uit de juiste pakketbronnen gebruik en regelmatig update kan ik (op moment van schrijven) dan ook nog wel zonder virusscanner. Nogmaals:

Bij een zeer geavanceerde Trojan helpt zelfs de beste virusscanner niet, dus om dan te zeggen “u had géén enkele virusscanner en daarom bent u volledig zelf aansprakelijk voor het verlies” gaat wat ver. De bankvoorwaarden moeten natuurlijk wel redelijk zijn (art. 6:233 BW).

Een virusscanner kan ook een onjuist gevoel van veiligheid geven (een virusscanner geeft geen (!) veiligheid bij software voor Ubuntu die je buiten de pakketbron om download en installeert).

Toch was het wel goed (leuk?) eens de windows partitie (dualboot) te scannen op virussen met ClamAV/ClamTk. Pas op, er kunnen ook onterechte meldingen zijn.

[Ron]

Het antwoord van de bank:
Geachte heer ******,
Wij begrijpen uit uw correspondentie dat u zich bezighoudt met het op een zo veilig mogelijke manier omgaan met internet, en internetbankieren.
Dit waarderen wij zeer.

Als ***Bank zien we echter dat niet al onze klanten zich hebben verdiept in deze materie.
Daarom zijn er uniforme veiligheidsregels opgesteld om het risico op fraude te verkleinen.
Hiervan zult u uiteraard al op de hoogte zijn.
Deze werden ook in de vorige email aangehaald.
Er wordt hierin, zoals u gezien hebt, niet gesproken over een verplichting van een antivirus programma.
Voor het merendeel van onze klanten heeft het wel onze voorkeur, zoals u mogelijk kunt begrijpen.

We hebben het dan ook niet als eis, maar wanneer er wel gebruik van gemaakt wordt, dient hij up-to-date te zijn om risico’s te minimaliseren.

U sprak in uw email over twee punten.
Hieronder zal ik hier concreet op ingaan.

Punt 1: U bent bezorgd over het kunnen internetbankieren op verouderde mobiele apparaten.
Specifiek voor mobiele apparaten heeft ***Bank de Mobiel Bankieren app ontwikkeld om veilig mee te bankieren. Hiervoor geldt op dit moment dat minimaal Android versie 2.3 vereist is.
Kan er op het apparaat niet meer geupdate worden naar een nieuwere versie?
Dan voorkomen wij dat de app gebruikt kan worden op dit apparaat.
Apparaten op Android 2.1 worden zodoende dus niet meer ondersteund.

U heeft gelijk dat hiermee bankieren niet wenselijk is.
Sommige klanten zullen via de browser op verouderde Android toestellen ***Bank benaderen.
Deze vorm van internetbankieren kunnen we helaas niet voorkomen, maar heeft wel onze aandacht.

Punt 2: Linux is een besturingssysteem met veel voordelen ten opzichte van Windows.
Helaas is dit slechts in gebruik bij een zeer klein aantal van onze klanten.
U kunt zich wellicht voorstellen dat de richtlijnen voor veilig internetbankieren niet systeem specifiek zijn opgesteld.
Waarschijnlijk nog even ten overvloede: Er zijn verschillende antivirus programma’s op Linux beschikbaar.
Deze scannen ook op virussen die gericht zijn op Linux systemen.
Er zijn, zoals u ook al noemde, minder virussen in omloop die gericht zijn op Linux, maar dat wil helaas niet zeggen dat ze er niet zijn en dat virusscanners op Linux hier niet op controleren.
Voor meer informatie een interessant artikel op linux.org over dit onderwerp:
http://www.linux.org/threads/malware-and-antivirus-systems-for-linux.4455/

Wij spelen op het gebied van beveiliging een adviserende rol en proberen hiermee de risico’s voor onze klanten, met welke besturingssysteem dan ook, te minimaliseren.

Hopelijk heb ik u hiermee voldoende geïnformeerd.

[Vistaus]

In ieder geval een gedegen antwoord met zelfs een doorverwijzing naar een Linux-site! Dát is tenminte een goed antwoord Goed, blijft mijn vraag t.o.v. niet-Linux nog open maar goed, dit is een erg goed antwoord geweest.

[midas]

Heb ik nu ook gedaan met nieuwe installatie Ubuntu 14.04:

1. Niets buiten de repro installeren.
2. Firewall 'aan'
3. ClamTK als virusscanner (on-demand)

Laat nu die banken maar komen...

[testcees]

Er zijn verschillende antivirus programma’s op Linux beschikbaar.
Deze scannen ook op virussen die gericht zijn op Linux systemen.
Er zijn, zoals u ook al noemde, minder virussen in omloop die gericht zijn op Linux, maar dat wil helaas niet zeggen dat ze er niet zijn en dat virusscanners op Linux hier niet op controleren.
Voor meer informatie een interessant artikel op linux.org over dit onderwerp:
http://www.linux.org/threads/malware-and-antivirus-systems-for-linux.4455/

Het is dus geen eis maar wel een duidelijk advies.

It is still recommended that Linux users have antivirus software installed on Linux systems

Ga je nu wel antivirussoftware installeren Ron?

Kan dit advies overgenomen worden op onze “Direct doen na installatie” pagina? Kan dat worden beperkt tot de enige opensource virusscanner uit het Ubuntu softwarecentrum (pakketbronnen), ClamAv/ClamTK of ook de prioritaire scanners die worden genoemd op www.linux.org?

[Ron]

Ga je nu wel antivirussoftware installeren Ron?

Daar ga ik nu een paar maanden over nadenken ........

[midas]

Mmm...volgens mij is de ASN-bank de enige bank die linux expliciet noemt :-)

[Bloom]

Er zijn GEEN virussen voor Linux in omloop, tenzij je conceptspullen meetelt die vereisen dat de gebruiker hen roottoegang verleent.

[testcees]

Er zijn GEEN virussen voor Linux in omloop, tenzij je conceptspullen meetelt die vereisen dat de gebruiker hen roottoegang verleent.

Volgens het artikel op linux.org kunnen virussen zijn verstopt in installatiebestanden (die je argeloos roottoegang geeft om iets te installeren) en er zijn meer vormen van malware.  Om kwaadaardige dingen te doen heeft malware niet altijd roottoegang nodig. 

It is still recommended that Linux users have antivirus software installed on Linux systems

[Tom]

Ik doe geen online banking ,dus ken er verder niks van.
Oké Clamav geeft alleen Windows virussen aan moest je er hebben ,nu stel je doet online banking ,en dan krijg je een bericht van uw bank ,hallo Client ons beveiligings-pakket (of scanner) heeft een Windows virus in uw bericht gevonden.
Tot onze grote spijt moeten wij deze deze dienst online banking met u opzeggen ,uit veiligheid voor bla bla ....
Zou zo iets kunnen gebeuren vraag ik mij af ,ik weet het niet ,alleszins zou dan een ClamAV  b.v wel zijn nut kunnen hebben.

[Vistaus]

Ik doe geen online banking ,dus ken er verder niks van.
Oké Clamav geeft alleen Windows virussen aan moest je er hebben ,nu stel je doet online banking ,en dan krijg je een bericht van uw bank ,hallo Client ons beveiligings-pakket (of scanner) heeft een Windows virus in uw bericht gevonden.
Tot onze grote spijt moeten wij deze deze dienst online banking met u opzeggen ,uit veiligheid voor bla bla ....
Zou zo iets kunnen gebeuren vraag ik mij af ,ik weet het niet ,alleszins zou dan een ClamAV  b.v wel zijn nut kunnen hebben.

De bankt mailt je niet op die manier en als ze dat als melding geven in je internetbankieren-omgeving, dan moeten ze eerst maar aantonen hoe ze dat hebben gevonden en om welk virus het specifiek gaat.

[Ron]

Is mijn persoonlijke mening in deze.

Zeg gewoon, dat je voor internetbankieren altijd opstart met de DVD, daar kan nooit een virus op komen.
Is mijn persoonlijke mening in deze.

[Vistaus]

Weet je wat? Ik ben er klaar mee. Ik ga mezelf niet indekken voor een stelletje nitwits die de schuldvraag graag naar de klant verplaatsen. Ik houd mijn systemen (AmigaOS, Antergos/Arch Linux en SailfishOS) voldoende veilig, ze krijgen alledrie tevens veiligheidsupdates via de update managers en ik doe geen rare dingen en de router-firewall staat aan. Het is hun probleem, niet het mijne, zo simpel is het

[testcees]

Zeg gewoon, dat je voor internetbankieren altijd opstart met de DVD, daar kan nooit een virus op komen.

Zeg je nou dat je maar beter niet de waarheid kan vertellen als je (X)ubuntu gebruikt (uiteraard niet van DVD)?

Weet je wat? Ik ben er klaar mee. Ik ga mezelf niet indekken

Moedige beslissing. 

[Bloom]

Volgens het artikel op linux.org kunnen virussen zijn verstopt in installatiebestanden (die je argeloos roottoegang geeft om iets te installeren) en er zijn meer vormen van malware.  Om kwaadaardige dingen te doen heeft malware niet altijd roottoegang nodig.

Dat artikel zegt NIETS over hoe malware op Linux terecht zou moeten komen. Wat je ook van het internet haalt, het is niet uitvoerbaar (in tegenstelling tot bij Windows). Dus is de volledige medewerking van een gebruiker nodig. Een besmet bestand binnenhalen, uitvoerbaar maken en dan nog met rootrechten uitvoeren ook.
Zonder rootrechten kan malware - als die gestart raakt! - aan je homedirectory maar niet daarbuiten. Veel minder leuk.

It is still recommended that Linux users have antivirus software installed on Linux systems

Die aanbeveling is m.i. niet nodig zolang er door antimalwaresoftware alleen gecontroleerd wordt op Windows malware. En zolang er niet effectief Linux malware "in het wild" aangetroffen wordt.

[testcees]

Wat je ook van het internet haalt, het is niet uitvoerbaar (in tegenstelling tot bij Windows). Dus is de volledige medewerking van een gebruiker nodig. Een besmet bestand binnenhalen, uitvoerbaar maken en dan nog met rootrechten uitvoeren ook.

Het kan gemakkelijker door een .deb bestand te downloaden. Dubbelklikken start Ubuntu softwarecentrum die, zoals altijd, om je wachtwoord vraagt.

Zonder rootrechten kan malware - als die gestart raakt! - aan je homedirectory maar niet daarbuiten. Veel minder leuk.

Je homedirectory is leuk genoeg, daar staat nu juist je persoonlijke en gevoelige gegevens, gegevens van je browser, e-mailberichten enz. De rest van het systeem is juist niet interessant, die kan je zo opnieuw installeren.
Op een Ubuntu systeem kan je bestanden buiten je eigen homedirectory wel lezen.

[Ron]

Zeg je nou dat je maar beter niet de waarheid kan vertellen als je (X)ubuntu gebruikt (uiteraard niet van DVD)?

Wanneer de banken moeilijk doen, wanneer al mijn spaargeld verdwenen is, dan neem ik liever het zekere voor het onzekere.
Maar voorlopig is het hopelijk niet nodig, er zal eerst een rechter aan te pas moeten komen, om te kijken of de omgekeerde bewijslast wel is toegestaan.......