[OPGELOST]Hoe (on)veilig is Linux?

[testcees]

Inmiddels heeft elke fatsoenlijke router wel een firewall. Hoe nuttig is een firewall clientside nog dan?

Sommigen lezen waarschijnlijk dat ‘de regels’ er om vragen (net als een virusscanner).
Serieus nuttig kan het ook zijn als je gezamenlijk gebruik maakt van een wifi-netwerk.

voor iptables basis:
gaat het uitvoeren via:

Duidelijk verhaal. Helaas alleen op poortnummer, net als de firewall in veel internetrouters. Alle applicatie kunnen de open poorten (ongemerkt) gebruiken. Maar ‘volgens de regels’ heb je zo wel een firewall.

[SeySayux]

UItgaande firewalls gebaseerd op poorten hebben volgens mij niet veel zin. Daarmee sluit je geen aanvallers buiten, je sluit alleen jezelf op. Als een programma echt wilt een verbinding naar buiten maken, kost wat het kost, zal het wel een poort vinden (of nog eenvoudiger: gaat gewoon over HTTP, dat zo goed als altijd open staat).

Blokkeer sowieso alle inkomende poorten, een lijst van domeinen, en whitelist een aantal programma's om het netwerk te mogen gebruiken (bv. je browser, je e-mail client, je chatprogramma en natuurlijk de update manager).

Op Mac is er Little Snitch dat je automatisch waarschuwt als een programma een netwerkverbinding probeert aan te leggen (met optie om dit te verhinderen). Geen idee of er iets soortgelijk op Linux is.

[Lowlands]

Dat doet Comodo ook in Windows.Ook geen idee of dat in Linux werkt.

[coos]

Bij de veiligheidseisen waaraan je moet voldoen, o.a. bij Ing, wordt vermeld welke besturingssystemen mogen worden gebruikt. Daarbij staat geen enkele linux versie genoemd. Bij navraag bij Ing wordt ik niet veel wijzer, zij geven aan dat als ik niet één van de door hun genoemde besturingssysteem gebruik, het risico voor mezelf is. Dat zou dan inhouden dat als er iets fout gaat ik voor de kosten op moet draaien. Dus moet ik maar weer over naar de overschrijvingskaart?
Heeft hier iemand ervaring mee. 
 

[Reijer]

Nog een reden om meteen weg te lopen! Ik hoor net op de radio dat ING van plan is klantgegevens aan bedrijven te verkopen.

[markba]

Bij de veiligheidseisen waaraan je moet voldoen, o.a. bij Ing, wordt vermeld welke besturingssystemen mogen worden gebruikt.

Interessant. Waar lees je dit?

[Bobbie]

http://www.ing.nl/de-ing/veilig-bankieren/veilig-internetbankieren/beveilig-uw-computer/besturingssystemen-en-browsers/index.aspx

[markba]

http://www.ing.nl/de-ing/veilig-bankieren/veilig-internetbankieren/beveilig-uw-computer/besturingssystemen-en-browsers/index.aspx

Daar wordt gesproken over:

Aanbevolen combinatie van besturingssystemen en browsers
.....

Het wordt aanbevolen. Dus niet: als  je zo'n 'aanbevolen'combi niet gebruikt, je dan ineens niet veilig bezig bent of zo.

Bij de veiligheidseisen waaraan je moet voldoen, o.a. bij Ing, wordt vermeld welke besturingssystemen mogen worden gebruikt.

Je hoeft er dus niet aan te voldoen. Want dat staat er niet.

[Ramana]

Binnenkort maakt het niet meer zoveel uit hoe veilig Linux is. Als het aan de ING ligt worden al onze betalingen geanalyseerd en doorverkocht aan belanghebbenden. Handig voor Appie (hoewel, die weet het al, maar niet wat u bij de concurrent koopt. Dus toch handig) , handig voor uw verzekering (u rookt, drinkt,  eet fast food,... dan hebben een andere polis voor u). Er is geen data te bedenken waar zoveel informatie van een persoon/gezin/bedrijf kan worden gehaald als uit betalingen via de bankpas. Dus niet hoe veilig is Linux, maar hoe veilig, betrouwbaar is de ING?

[Bert Ernste]

Vooralsnog een proef van de ING Bank, waar je inderdaad vrijwillig aan meedoet (of niet), maar het lijkt mij een (steil) hellend vlak.

[Vistaus]

Je hoeft er dus niet aan te voldoen. Want dat staat er niet.

Dat staat er niet, maar dat bedoelen ze wel:
http://forum.ubuntu-nl.org/index.php?topic=83591.msg903957#msg903957

"Daarbij staat geen enkele linux versie genoemd. Bij navraag bij Ing wordt ik niet veel wijzer, zij geven aan dat als ik *niet* één van de door hun *genoemde* besturingssysteem gebruik, het risico voor mezelf is."

Bij de Rabobank wordt een keurig lijstje aangeboden bij het contactformulier met welk systeem je draait.....ook Linux staat daar tussen.
Dat weet ik omdat ik een paar weken geleden een vraag heb gesteld over Firefox die raar deed bij betalingen.

Ik weet niet wat ABN AMRO precies op hun contactformulier heeft staan maar toen ik anderhalf jaar geleden vroeg of ze Opera wilden toevoegen aan ondersteunde browsers ondanks het geringe marktaandeel deden ze dat keurig dus ik neem aan dat ABN wat dat betreft met Linux op hetzelfde vlak zal zitten. ING is volgens mij de enige van de grote drie die zo Linux-onvriendelijk is (of elk ander systeem met gering marktaandeel).

[XPijtoptant]

Om even terug te gaan naar de vraag van TS, die inmiddels niets meer van zich heeft laten horen in deze ongebreidelde discussie.
Ook Linux is niet 100% veilig als het om online bankieren gaat.
Ik heb mij met deze vraag de laatste tijd ook bezig gehouden en ben in principe tot de conclusie gekomen dat ik het online bankieren afzeg om bij voorbaat problemen te voorkomen. Mede vanwege het laatste nieuws over ING, waar ik klant van ben.
Alles onder het motto dat Ik mij door een bank niet laat voorschrijven wat ik met mijn PC doe.

Voor gewoon te internetten, acht ik een goed ondersteunde en onderhouden Linux distro zoals Ubuntu veilig genoeg.

De grootste risicofactor ben je m.i. nog altijd zelf. Overal op klikken wat leuk lijkt is vragen om problemen.

[Vistaus]

Als je via overschrijvingskaarten betalingen doet, dan weet ING nog steeds aan wie je geld betaalt aangezien het nog steeds door hun wordt verwerkt... Ja, wat je doet met je PC, dat gedoe ben je dan vanaf. Maar dat ze veel van je weten en evt. reclame kunnen voorschotelen, dat kunnen ze ook doen via de ouderwetse papieren want die gaan toch via hun.

[XPijtoptant]

Als je via overschrijvingskaarten betalingen doet, dan weet ING nog steeds aan wie je geld betaalt aangezien het nog steeds door hun wordt verwerkt... Ja, wat je doet met je PC, dat gedoe ben je dan vanaf. Maar dat ze veel van je weten en evt. reclame kunnen voorschotelen, dat kunnen ze ook doen via de ouderwetse papieren want die gaan toch via hun.

Het verhandelen van klantgegevens door ING is een zijpad in deze discussie, maar is voor mij wel van invloed op mijn beslissingen. Als ik een Opt-in of Opt-out regeling niet betrouwbaar genoeg vind, dan ga ik alles wat contant kan worden afgerekend ook contant afrekenen. Of voor een betaalrekening overstappen naar een bank die aan dit soort geintjes niet meedoet.
Dan maar wat minder gemak en meer privacy.

[Vistaus]

Ik zou dan eerder voor gemak kiezen en gewoon overstappen naar een bank zonder geintjes. Daar bereik je meer mee, naar mijn mening. Maar goed, het is jou keuze en ik respecteer je keuze.

[loti]

Na mijn vraag over een kritieke GnuTLS-bug,  welke inmiddels is verholpen,  is hier een discussie losgebarsten waar volgens mij al eerder een topic over was geopend. Maar goed het is een actueel onderwerp en het laatste woord zal hierover nog niet zijn gesproken.

[Gandyman]

Het verhandelen van klantgegevens door ING is een zijpad in deze discussie, maar is voor mij wel van invloed op mijn beslissingen. Als ik een Opt-in of Opt-out regeling niet betrouwbaar genoeg vind, dan ga ik alles wat contant kan worden afgerekend ook contant afrekenen. Of voor een betaalrekening overstappen naar een bank die aan dit soort geintjes niet meedoet.
Dan maar wat minder gemak en meer privacy.

ING is niet de enigste die jouw gegevens doorverkoopt aan 3e als hun plannetje doorgaat.
Ook appie hein met zijn pasje, Bouwmarkten waar je een pasje hebt, je shell pasje, credit cart en ja zelfs je provider verkoopt je gegevens waarna je weer spammail krijgt....  het gaat heel ver ......

Ik vrees dat maar weinig mensen de afgelopen 30 jaar de impact op hun privacy goed hebben ingeschat terwijl ze zo dagelijks bezig waren.
En nu ?
Nu is het te laat, er is altijd wel ergens een bedrijf waar jouw gegevens staan en die zijn allang weer doorverkocht, en nogmaals doorverkocht en nogmaals en nogmaals....
De banken keten van Dirk Scheringa waren hier een ster in, en die kochten al jarenlang alle gegevens van mensen waarna je weer gebeld werd omdat ze je lening goedkoper konden oversluiten, (komt dit je niet bekend voor?)
Of een aanbieding van een verzekering..........
Je word gebeld door een energie maatschappij ?  en hoe denk je dat zij aan jouw gegevens komen ?
Nou simpel nootje, je huidige energie maatschappij heeft jouw gegevens doorverkocht aan die ander voor € 6.-

Maar als de ING hiermee gaat beginnen dan betaal ik niets meer voor de administratie kosten en voor mijn pasjes en rekeningen enz enz.
het is het 1 of het ander.

Want hoe dan ook, privacy heb je toch al niet meer, dus dan maar proberen er zelf een beetje voordeel uit te halen.

Nu terug komend op de vraag van de TS.

Buiten dat Linux ongelofelijk veilig is, ook zonder AV of extra firewall, lijkt het me een beetje bizar hoe banken nu nadat ze dicennia lang honderden miljoenen verlies geleden hebben komen met deze eisen.....

Want stel dat mijn rekening online word geplukt, hoe wil de bank dan gaan bewijzen dat mijn PC besmet is ??
Hoe wil de bank gaan bewijzen dat mijn firewall niet goed heeft gewerkt ?
Hoe wil de bank hard maken dat ik geen AV programma en firewall op mijn PC heb ??

Word mijn PC in beslag genomen en voor nader onderzoek naar TNO gestuurd om vervolgens in de rechtbank dmv een uitgebreid verslag aan te tonen dat ik onveilig aan het bankieren was ?
En dan nog, als ik 3 computers thuis heb staan, hoe wil de bank dat kunnen aantonen dat ik juist met die onveilige computer gebankierd heb ?

In Nederland geld bewijslast om te bepalen of je schuldig bent, en niet omgekeerd.

En dan nog, kan je nadat de boel geript is ff snel een AV programma en firewall op je PC zetten zodat de bank wederom met legen handen staat.

Ook Femke kan nu nog steeds met haar moeder aangifte doen en al het geld terug eisen, want de bank  is ervoor verzekerd en zij moeten aantonen dat je nalatig geweest bent.
Zij kunnen bij geen enkele rechter aankomen met het verhaal dat je zomaar op straat je pasje aan een voorbijganger hebt uitgedeeld, want geen mens doet dit.
Dus het pasje is onvrijwillig afhandig gemaakt, wat op zich al strafbaar is waarna de bankrekening geplunderd is.

Mijn vader is hetzelfde overkomen en de bank heeft netjes al het geld terug gestort.
Voorwaarde is wel dat je zo snel mogelijk het verloren gewaande pasje blokkeert waarmee je aantoont je best te doen de schade te voorkomen of te beperken.

[VuurVosje]

Maar als de ING hiermee gaat beginnen dan betaal ik niets meer voor de administratie kosten en voor mijn pasjes en rekeningen enz enz.
het is het 1 of het ander.

Precies: zo gaan ze het spelen.
De Google methode: iets gratis aanbieding zodat veel mensen er gebruik van maken, maar later blijkt 'gratis' natuurlijk niet echt gratis (je betaalt met je gegevens).
Overigens ben ik bang dat dit niet meer te stoppen is: er zullen genoeg mensen zijn die best willen betalen met hun privégegevens in ruil voor een gratis betaalpakket, extra rente, freebees, airmiles, bonuspunten, whatever.
Zoals Gandyman al aangaf, we ondergaan het nu vaak ook al.... 
 

[Gandyman]

Nu is het de klant die naar de rechter moet en dat is de omgekeerde wereld.

Passief zijn doen ze expres want ze hopen erop dat je het bijltje erbij neerlegd.
In principe hoef je niet naar de rechter te stappen.
Je begint eerst zelf met brieven schrijven dat je binnen 14 dagen het geld terug op de rekening wilt hebben.
Daarna een brief sturen dat je wederom 14 dagen geeft en daarna volgt de wettelijke rente clausule.

Als de bank daarna nog niet reageert stap dan (als je er geen geld voor hebt) naar een wetswinkel of zoek een prodeo-advocaat.
Zodra de bank begint met een voorstel dat ze gaan vergoeden als jij de aanklacht laat vallen of stopt met de zaak ga je er niet op in.
Gewoon doorgaan en eventueel RTL4 of de krant erbij halen, je gaat geheid winnen.

En als iedereen dit spelletje meteen opstart gaan die banken in de toekomst wel met respect hun klanten helpen want het gaat ze dan meer kosten dan opleveren.
Nu verdienen ze geld aan al die klanten die nix opeisen.....

[Vistaus]

RTL4 ofzo lijkt me wat overdreven. Waarom niet Tros Radar (of evt. Opgelicht danwel Kassa)? Die krijgen vaker dit soort zaken binnen en meestal kunnen ze heel wat voor je betekenen.

[Gandyman]

RTL4 ofzo lijkt me wat overdreven. Waarom niet Tros Radar (of evt. Opgelicht danwel Kassa)? Die krijgen vaker dit soort zaken binnen en meestal kunnen ze heel wat voor je betekenen.

RTL4 heeft een veel groter bereik en veel meer macht om zaken af te dwingen, dat hebben ze in de afgelopen jaren wel bewezen.

Sja Femke zoals ik al zij die eikels hopen en voeren beleid om mensen te ontmoedigen zodat ze niet hoeven uit te keren.
En overstappen naar een andere bank heeft over het algemeen niet zoveel zin, ze zijn echt allemaal hetzelfde.

[Vistaus]

@Gandyman: Heb jij alle banken aan de tand gevoeld op dit onderwerp? Want anders kun je moeilijk zeggen dat ze allemaal hetzelfde handelen... Wie weet zit er toch eentje tussen die je zal verbazen.

[Gandyman]

Ook al krijgen ze opdracht van hoger hand (wat helaas ook zo is) dan nog vind ik dat iemand zich normaal of aardig kan opstellen van een bedrijf.
Uiteindelijk ben je een klant die ook nog eens betaald voor de service.

Het is je goed recht over te stappen en als dit je wraakgevoelens enigzins vergoed moet je het zeker doen.
Ik zei dit alleen maar om te voorkomen dat je denkt dat de problemen hiermee definitief over zijn, omdat die banken allemaal op dezelfde leest werken, en je bij de eerst volgende X weer dit gezeik hebt.

1 van de weinige banken waarvan men dacht dat die nog een beetje netjes was, was de Rabobank, en juist zij hebben een mega fraude gepleegd door met de rente te knoeien, getuige het Libor schandaal.

[Vistaus]

Het gaat er niet om of een bank wel of niet netjes is (fraude uitgezonderd!), het gaat erom of jij je prettig voelt bij een bank.

[Gandyman]

Daar gaat het dus wel om!

En om te voorkomen dat iemand (in dit geval Femke) de volgende keer bij een aanvaring weer diep teleurgesteld word waarschuw ik vast op voorhand.
Het gaat er dus wel degelijk om.