Nieuwe regels Internetbankieren en non-Windows OS-en

Misschien mooi als mensen hun bank over een mening hierover kunnen vragen en de reactie hier weergeven. Als ik het document (zie http://www.nvb.nl/nieuws/...j-alle-banken-gelijk.html) van de NVB bekijk zie ik ook alleen het advies alles up tot date te houden, niet direct (en eigenlijk ook niet indirect) dat av-software zou moeten worden geïnstalleerd.

[ Voor 62% gewijzigd door begintmeta op 25-11-2013 16:30 ]

De vraag is ook een beetje hoe een en ander verwoord wordt en hoe ze het controleren natuurlijk. Als je security updates bijhoudt, en bijvoorbeeld een firewall een logscanner installeert, dan kun je natuurlijk "ja" antwoorden als de bank vraagt of je updates en beveiligingssoftware hebt.

Voor Windows is een virusscanner gebruikelijke beveiligingssoftware, voor Linux niet. Maar dat wil niet zeggen dat je niet aan beveiliging kunt doen op Linux

Daarom is het juist interessant om ze de boel wat te laten concretiseren.

Ik denk dat ze het met opzet vaag hebben gehouden omdat ze ook niet weten wat ze moeten vragen. Je kan best een firewall en een virusscanner installeren maar zo slecht configureren dat je er nog niks aan hebt. Een firewall krijg je bij de meeste Linux-distributies voorgeinstalleerd. Ik heb clamav geinstalleerd om te kunnen beweren dat ik een virusscanner heb, al weet ik dat het vrij zinloos is.

Ik maak me meer zorgen over de volgende stap, als de banken er achter komen dat de meeste gebruikers zo clueless zijn, en de meeste software zo slecht, dat een firewall en virusscanner niet genoeg zijn. Ik ben bang dat ze dan gaan eisen dat je specifieke versies draait. Banken hebben nu al van die lijstjes met aanbevolen configuraties. Dat is dat typische zoiets als "Windows 7 met Firefox 16". Enerzijds zullen gebruiker van alternatieve software buiten de boot vallen. Anderzijds ben ik bang dat die lijstjes snel verouderen en mensen gaan downgraden om aan de wensen van de bank te voldoen en dat ze dus hun Firefox 25 downgraden naar Firefox 16 omdat de bank het zegt.

Als ik het echt eng wil maken dan gaan de banken ons verplichten om hun eigen beveiligingssoftware te installeren die alleen werkt als het "Trusted" Computing chipje op je moederbord is geactiveerd.
"the hardware is not only secured for its owner, but also secured against its owner."
Wikipedia: Trusted Computing

Het maakt allemaal niks uit. Er is een andere methode!
De grootste fout zit nog steeds achter de computer.
Hoeveel mensen snappen dat de 'S' niet voor inloggen is?

De randomreader zou aangepast moeten worden: 1 knop genaamd [inloggen] en een knop [betalen], dat zou meer helpen dan S en I

Op facebook klaagde vandaag iemand dat hij geld kwijt is:

[ Voor 21% gewijzigd door DJMaze op 25-11-2013 20:11 ]

Ik had gehoopt dat men op GoT wat slimmer zou zijn dan op de t.net frontpage, het lijkt wel of iedereen daar zijn panties in a twist krijgt over een stomme regel.

Voor de duidelijkheid.... De 5 regels zijn:

1) Houd uw beveiligingscodes geheim.
2) Zorg ervoor dat uw bankpas nooit door een ander gebruikt wordt
3) Zorg voor een goede beveiliging van de apparatuur die u gebruikt voor uw bankzaken.
4) Controleer uw bankrekening.
5) Meld incidenten direct aan de bank en volg aanwijzingen van de bank op.

Gaan we verder kijken bij punt 3 dan staat er:

• Zorg dat de geinstalleerde software op de apparatuur, zoals computer, table en/of smartphone, die u voor het regelen van bankzaken gebruikt, is voorzien van actuele (beveiligings)updates. Geinstalleerde software is bijvoorbeeld het besturingssysteem en beveiligingsprogramma's, zoals virusscanner en firewall;
• Installeer geen illegale software;
• Beveilig de toegang tot de apparatuur die u gebruikt voor het regelen van uw bankzaken met een toegangscode
• Zorg er daarnaast voor dat door de bank verstrekte toepassing op de apparatuur die u gebruikt voor het regelen van uw bankzaken niet door onbevoegden kunnen worden gebruikt;
• Log altijd uit als u klaar bent met regelen van uw bankzaken.

Nou, misschien ligt het aan mij, maar ik zie nergens dat men verplicht wordt beveilingssoftware te installeren. Enkel dat aanwezige software (al dan niet beveilingssoftware) up-to-date dient te zijn. Het kan aan mij liggen, maar dit vind ik niet meer dan logisch.

Let ook op dat de zin in de topicstart
Apparatuur die voor bankzaken wordt gebruikt (meestal een pc) moet zijn voorzien van actuele beveiligingssoftware.
heel anders is dan is het document staat
Zorg voor een goede beveiliging van de apparatuur die u gebruikt voor uw bankzaken.

Ik vraag me af waar dat verschil vandaan komt?

[ Voor 9% gewijzigd door Ramon op 25-11-2013 20:24 ]

Dus een XP machine met de laatste updates geldt dan ook? Wie bepaalt dat ik een nieuwe PC met een nieuw OS wil hebben om mijn zaken te kunnen doen? Ik wil dat helemaal niet...

Alle Tweakers weten zo onderhand wel dat 8 april 2014 de doodsteek betekent voor Windows XP ondersteuning, waar ook nieuwe updates onder zullen vallen. De eenvoudige gebruiker die dat allemaal niet zo bijster interesseert loopt vanaf dan een groter risico om in de problemen te komen door gaten in het OS. Toch zullen die mensen kunnen zeggen dat ze een goede beveiliging hebben en dat hun OS up-to-date is.

Ik begrijp niet hoe de NVB met deze regels in de hand kan verantwoorden dat er apps voor internet bankieren worden uitgebracht op zwaar verouderde Android versie's zoals 2.3.x. Dan zullen ze zich op zijn minst aan hun eigen voorschriften moeten gaan houden en deze apps alleen nog aanbieden op de allerlaatste 4.x releases,

Leuk topic.

1e wat ik me afvraag; hoe gaan ze dit controleren? Dit kan (technisch) haast niet anders dan een simpel formulier met "Heeft u een virusscanner? Ja / Nee".

Of worden browsers nu ineens verplicht om dit soort info via JavaScript opvraagbaar te maken? Leuk beveiligingslek.
Een plugin installeren speciaal voor je bank is mogelijk nog erger. Een random phishing site vraagt om een plugin; jij denkt; ha, nieuwe versie van de Rabobank plugin. En alsnog je systeem geroot.

Dus; ik denk dat het beperkt moet blijven tot "Heeft u de volgende zaken gecontroleerd? Ja/Nee".

Ramon schreef op maandag 25 november 2013 @ 20:20:
Ik had gehoopt dat men op GoT wat slimmer zou zijn dan op de t.net frontpage, het lijkt wel of iedereen daar zijn panties in a twist krijgt over een stomme regel.

Je hebt gelijk hoor, we draven door.

Ik denk dat het een beetje een allergische reactie is omdat banken zo machtig en belangrijk zijn dat ze je leven grondig in de war kunnen schoppen als er iets mis gaat. Er zijn nogal wat gruwelverhalen van mensen die enorm in de problemen zijn gekomen door de starre houding van een bank die alleen maar naar de centen kijkt.

Daarnaast heb ik een trauma overgehouden aan de jaren 1995-2005 toen Microsoft oppermachtig was en je als gebruiker van alternatieve software voortdurend in de knel kwam en daarbij weinig sympathie kreeg. "Doe niet zo moeilijk, installeert toch gewoon Windows" was het devies.

Toegegeven, het slaat nergens op om dat nu in de schoenen van de banken te schuiven, maar ik denk dat het daar vandaan komt.

Rainmaker schreef op maandag 25 november 2013 @ 21:41:
Leuk topic.

1e wat ik me afvraag; hoe gaan ze dit controleren? Dit kan (technisch) haast niet anders dan een simpel formulier met "Heeft u een virusscanner? Ja / Nee".

Of worden browsers nu ineens verplicht om dit soort info via JavaScript opvraagbaar te maken? Leuk beveiligingslek.
Een plugin installeren speciaal voor je bank is mogelijk nog erger. Een random phishing site vraagt om een plugin; jij denkt; ha, nieuwe versie van de Rabobank plugin. En alsnog je systeem geroot.

Dus; ik denk dat het beperkt moet blijven tot "Heeft u de volgende zaken gecontroleerd? Ja/Nee".

Banken kennende maken ze ongetwijfeld een tooltje dat je in geval van een evt claim moet late draaien en waardoor zij kunnen zien of je aan de eisen voldoet.
Vervolgens bel je de bank om te vragen of ze ook een linux versie hebben, want je OS snapt de .exe niet

Ook met windows was je bij bv. de rabobank nog niet klaar hoor. De eerste paar jaar dat ik Rabo internetbankieren had kon ik niet inloggen omdat het alleen onder IE werkte.

Uiteraard een wassen neus want de useragent veranderen en het werkte gewoon, maargoed wel behoorlijk knullig want IE6 werkte prima maar de recentste FF van die tijd niet omdat het volgens de helpdesk onveilig zou zijn

Vraag me dan ook af wat bv. "recente beveiligings updates" voor een telefoon inhouden? Mijn S3 draait op een (custom sammy based) Android 4.1 rom, dat was tot vol kort de nieuwste versie door Samsung uitgegeven, maar google heeft ondertussen 4.4 al vrijgegeven. Dus ja wat is dan de nieuwste "beveiligings update"...

Heerlijk vaag

De regels zijn zeer breed te interpreteren.
Daarnaast zijn de meest recente beveiligingsupdates waarschijnlijk gewoon de updates die iedere gebruiker kan installeren. En niet vage custom roms/patches e.d. waar je expert voor moet zijn.

Linux is hier ook niet anders, als je netjes alles update en niet op Ubuntu 2 blijft steken is er niets aan de hand lijkt me zo. Ze specificeren nergens expliciet dat je een Windows computer moet gebruiken, sterker nog, dat mogen ze waarschijnlijk niet eens van de mededingingsautoriteit.

Daarnaast spreken ze ook over illegale software...
Is dat dan bij wet verboden programmatuur of slechts ongelicenceerde software.
We weten allemaal wat ze bedoelen, maar het is niet waterdicht beschreven.
Mogelijk is het storen of kapen van andere systemen met software verboden bij wet. Houdt dat dan in dat als je malware hebt je meteen niet meer aan die regel voldoet en dus meteen de sigaar bent?

Het is allemaal vaag, ik verwacht dat ook nog veel gedoe bij de eerste claims of uitgebreide versies van de bank zelf.

DJMaze schreef op maandag 25 november 2013 @ 20:06:
Op facebook klaagde vandaag iemand dat hij geld kwijt is:

Nu zit ik niet bij de Rabobank, maar dit ziet er best legitiem uit. Enige wat mij direct opvalt zijn verkeerd lidwoord voor internetbankieren en een verkeerde vervoeging van worden (word). Ik kan de URL niet geheel zien maar die lijkt ook te kloppen (+groene balk). Hooguit misschien nog iets dat tekst in de pagina injecteert?

The Eagle schreef op maandag 25 november 2013 @ 23:26:
[...]

Banken kennende maken ze ongetwijfeld een tooltje dat je in geval van een evt claim moet late draaien en waardoor zij kunnen zien of je aan de eisen voldoet.
Vervolgens bel je de bank om te vragen of ze ook een linux versie hebben, want je OS snapt de .exe niet

Zijn er ook virusscanners die via Wine draaien?

Alle grappen terzijde, als punt 3 van Ramon klopt:
3) Zorg voor een goede beveiliging van de apparatuur die u gebruikt voor uw bankzaken.

Dan is het hebben van een "mainstream" Linux/BSD met richting de nul exploits en virussen al een vorm van beveiliging. Het kan makkelijk beargumenteerd worden dat die minder vaak gehackt worden dan Windows machines.

Ik denk dat zodra er iemand met een niet windows machine slachtoffer is geworden er vast wel een (proef)proces gestart gaat worden, met wat hulp van de techneuten hier, om tot jurisprudentie te komen.

Wie weet sponsort Tweakers wel

http://youtu.be/-DT7bX-B1Mg

We are legion..

spone schreef op maandag 25 november 2013 @ 23:57:
Nu zit ik niet bij de Rabobank, maar dit ziet er best legitiem uit. Enige wat mij direct opvalt zijn verkeerd lidwoord voor internetbankieren en een verkeerde vervoeging van worden (word). Ik kan de URL niet geheel zien maar die lijkt ook te kloppen (+groene balk). Hooguit misschien nog iets dat tekst in de pagina injecteert?

Dat zou inderdaad kunnen want de url klopt ook (bankieren.rabobank.nl).
Maar als de "checks" die de bank meld dus allemaal legitiem zijn, hoe los je dan op dat iemand niet op 'S' drukt?

Zoals ik al zei, de banken kunnen zoveel eisen, maar de fout zit altijd achter de computer.
Aan de andere kant heeft de bank ons internetbankieren opgedragen om de kosten van personeel en een pand te drukken. Dat zij dan vervolgens meer geld kwijt zijn aan claims is dan ook hun verantwoordelijkheid.

Zou het wat zijn om weer personeel aan te nemen en een fysieke locatie om de internet kosten te drukken?

Even terug komend op mijn vorige Rabobank info http://www.rabobank.nl/pa...ternetfraude_met_virussen
Tja, daar kan geen "up to date" virusscanner tegenop.