image

Bank wil computer van klanten op virussen scannen

donderdag 8 november 2007, 15:36 door Redactie, 21 reacties

De Nederlandse Vereniging van Banken liet laatst weten dat haar leden niets voelen om hun klanten van een virusscanner te voorzien, toch is het straks goed mogelijk dat als je wilt internetbankieren eerst je PC door de bank op malware moet laten scannen. De Spaanse virusbestrijder Panda Security kondigde drie weken geleden aan dat het een speciale virusscanner voor banken heeft ontwikkeld. In het persbericht stond vermeld dat banken ook zonder dat de klant dit weet zijn of haar computer kunnen scannen. Security.NL sprak laatst met verschillende onderzoekers van Panda of we hier inderdaad met "spyware" te maken hebben.

Volgens de beveiliger was het persbericht "ontsnapt" en nog onvolledig. "Panda Security for Internet Transactions" is in principe een kleinere versie van de Nanoscan die het bedrijf al gratis aanbiedt. Gebruikers moeten een ActiveX control voor Internet Explorer of een XPI bestand voor Firefox accepteren, waarna de virusscanner van zo'n 200KB wordt geïnstalleerd. De scanner kijkt alleen wat er in het geheugen draait. Ook kan die alleen maar banking trojans en andere financiële malware herkennen. Hierdoor duurt een scan twee tot vijf seconden, zodat internetbankieders niet lang hoeven te wachten, aldus onderzoeker Luis Corrons. Verschillende banken hebben inmiddels al een pilot met de scanner lopen, hoewel Corrons geen namen wilde noemen. Verder is men ook in gesprek met partijen zoals PayPal. De bank of website kan zelf bepalen wanneer er gescand wordt en hoe vaak. Zo is het mogelijk om tijdens het inloggen te scannen, maar ook tijdens het versturen van de transactie. Op deze manier wordt voorkomen dat malware zichzelf uitschakelt, en wacht totdat de transactie plaatsvindt.

Mocht er tijdens een scan malware worden aangetroffen, dan heeft de bank verschillende opties. Is het bijvoorbeeld een banking Trojan die geen gevaar voor de bank vormt, dan wordt de gebruiker bijvoorbeeld niet gewaarschuwd. Is de malware wel een potentieel gevaar, dan kan men de gebruiker de toegang ontzeggen of hem alleen maar waarschuwen. Voorlopig zouden alle banken de scanner, die over twee weken wordt gelanceerd, alleen vrijwillig aanbieden. Panda ziet het dan ook als een extra dienst naar de klanten toe, en niet iets dat als een dreigmiddel zal worden ingezet.

Het grote probleem voor banken is dat ze niet weten wanneer ze worden aangevallen en een aanval niet kunnen stoppen. Gemiddeld hebben banken twee dagen nodig om een aanval te stoppen, maar er zijn ook aanvallen die soms twee maanden doorgaan. De malware en e-mails worden dan verstuurd uit landen zoals China, waar het een stuk lastiger is om de verantwoordelijke partij "aan te sporen". Een probleem waar virusbestrijders mee te maken hebben is dat er dagelijks zo'n 4000 nieuwe malware exemplaren verschijnen. Hierdoor is het analyseren van malware bijna niet meer te doen.

Panda zegt de oplossing voor de problemen te hebben door alle informatie over malware, aanvallen en wat nog meer in een grote database te verzamelen, genaamd het "collective intelligence". Deze verzameling is veel groter dan een lokale virusscanner kan bevatten. "Geïnstalleerde virusscanners herkennen zo'n 500.000 exemplaren, terwijl de database over 2,5 miljoen exemplaren beschikt", zegt Corons. Een ander nadeel van de steeds groter wordende lokale databases is dat virusscanners steeds meer middelen vragen. Daarom bedacht men een oplossing om meer malware met minder middelen te detecteren. De lokale scanner heeft in dit verhaal geen signatures of heuristieke database meer, maar alleen de scan engine. Hierdoor kan men een zeer kleine virusscanner gebruiken, die al zijn informatie van de servers van Panda haalt. De beveiliger zegt alle processen, bestanden en applicaties te hebben gedocumenteerd, zodat er tijdens een memory scan meteen te zien is of een systeem geïnfecteerd is.

De opzet van Panda klinkt misschien goed, het leent zich ook voor misbruik. Wat als malware op het systeem de communicatie met de Panda server spoofed, of aan de bank laat weten dat het systeem schoon is? Corrons geeft toe dat ze aan alles gedacht hebben, maar dat als het systeem live gaat ze de aanvallen pas goed in kaart kunnen brengen. De beveiliger wil dan ook niet teveel over de zwakke plekken van het systeem vertellen, uit angst dat criminelen dit kunnen gebruiken. Op de vraag of het verbergen van informatie, waar aanvallers vroeger of later toch achter komen, bijdraagt aan de veiligheid, laat Corrons weten dat men alles moet doen om een stapje voor te blijven.

Of Panda de oplossing voor de internetbankieren problematiek heeft gevonden is afwachten. Onling banking is big business en ook andere vendors zullen zich op deze markt richten. Voor banken zou het een goedkopere oplossing kunnen zijn dan het verstrekken van volwaardige virusscanners aan hun klanten. En de klanten? De eerste reacties op Security.NL waren zeer negatief. Toch is een extra check voor consumenten die geen beveiligingsdeskundige zijn best handig, zolang het maar transparant gebeurt.

Reacties (21)
08-11-2007, 16:07 door awesselius
Juist.... een ActiveX of een XPI die 'enkel' kijkt wat er in
het geheugen draait.....

Helemaal met Firefox die zo goed als geheel JavaScript
gebaseerd is, dan kun je toch wel dingen injecteren of XSS
toepassen.

http://www.claimyourrights.eu/
http://www.thinkfree.ca/

- Unomi -
08-11-2007, 16:34 door Eerde
"All your base are belong to us"

Ik vraag me af hoe ze mijn goed beveilgde Linux-box gaan
scannen...
08-11-2007, 16:45 door Anoniem
nanoscan werkt alleen op windows operating systemen.
hopelijk gaat mijn bank me niet verplichten om een windows
operating systeem te draaien.
08-11-2007, 17:03 door Anoniem
Uomi, het gaat m.i. niet om een infectie te gaan stoppen, maar enkel om
het detecteren, waarop dan (door de bank) een actie kan ondernomen
worden. redirecten, blocken, ...

Ik vermoed ook dat niemand je gaat verplichten om windows te gebruiken,
maar diegenen die wel windows gebruiken zullen naar alle
waarschijnlijkheid wel makkelijker geïnfecteerd geraken. En deze info kan
dan voor de bank wel nuttig zijn.
08-11-2007, 18:42 door Anoniem
Gaat problemen opleveren met Linux?

Ben ik speciaal overgestapt naar Linux vanwege virussen
onder Windows, wordt mijn systeem natuurlijk weer niet
ondersteund.

Je moet een crappy OS draaien voor ondersteuning en dan
laten controlleren dat het veilig is.

Het is een gekke wereld.
08-11-2007, 20:30 door Anoniem
Dit is geen oplossing maar een marketingmiddel. Het is sinds
het bestaan van virussen al ruimschoots bekend dat een
virusscanner net zo zinvol is als de beperking van de kennis
gaat. Aanvallen op banken zijn zo specifiek dat ze maar een
beperkt bereik hebben aan duur en effectiviteit. Tegen de
tijd dat het herkend is en er voor de signatures gemaakt
zijn om ze met een scanner te herkennen is het in bijna alle
gevallen waarschijnlijk al te laat om effectief te zijn. Ja,
iedere beperking kan helpen maar dat moet dan nog wel
afgewogen worden tegen de negatieve gevolgen. En daar zijn
er een stuk meer van dan de voordelen.
09-11-2007, 01:12 door Anoniem
Banken konden misschien beter hun girotel-achtige software
uitbreiden met vpn- en/of https-mogelijkheid. En dan zonder
gebruik van een browser.
Hoeveel moeite zou dat zijn?
En hoeveel zou het opleveren?
En laat de hipste bank ook nog eens linux ondersteunen!
Het zou een gekke wereld zijn! :)
09-11-2007, 02:53 door spatieman
genaamd windows...
09-11-2007, 08:17 door Anoniem
Door Un0mi
Juist.... een ActiveX of een XPI die 'enkel' kijkt wat er in
het geheugen draait.....

Helemaal met Firefox die zo goed als geheel JavaScript
gebaseerd is, dan kun je toch wel dingen injecteren of XSS
toepassen.

- Unomi -
Het is niet "geheel" javascript hoor.

Wel een goed plan maar heb zo mijn twijfels ;)

NielsK
09-11-2007, 09:34 door Anoniem
Een client gebaseerde oplossing gaat nooit werken.

Immers je kunt het OS niet vertrouwen (of het nu Windows of Linux is), een
voorbeeld zijn de rootkits die niet te vinden zijn terwijl het OS actief is.

Daarnaast mag een stukje software wat je van een website download nooit
zoveel rechten hebben dat hij al je files kan bereiken. De volgende stap is dat
het object (zogenaamde virus scanner) wordt aangepast en dat het al je files
besmet of doorstuurt als een bepaald keyword gevonden wordt.

Microsoft is zelf ook met een dergelijk iets bezig. Een Active-X object waarmee
je de integriteit van een werkstation controleert. In mijn ogen een niet
aceptabele oplossing.

Volgens mij de enige (maar moeilijk haalbare oplossing) is een ´closed
hardware´ (of een virtuele machine) oplossing die readonly is, en elke keer
nadat hij gebruikt is, wordt verwijderd. Een one-time browser oplossing...
09-11-2007, 09:41 door Anoniem
Success! Ik neem aan dat deze organisaties wel inzien dat
dit geen goed idee is.
09-11-2007, 10:26 door Anoniem
Zolang je vrij kunt kiezen of je het al dan niet installeert ben ik down met dit
soort oplossingen.

Nu ook gebruik ik altijd nanoscan voor ik ga pc banken, dus op zich maakt
het dan niet uit, maakt het enkel gemakkelijker; T is in hun belang dat ik
zonder infectie op hun site kom, want als ik het verpest moeten ze toch
betalen.
09-11-2007, 10:33 door Darkman
Misschien is een extra identificatie een oplossing.
Na de internet transactie een sms of e-mail met link of code
om de betaling te annuleren of nogmaals te bevestigen.
Betalingen die je niet zelf hebt gedaan, of waarvan
rekeningnummers zijn veranderd kunnen dan onderschept worden.
09-11-2007, 23:59 door Anoniem
Ja en het ergste is nog dat het bedrijf dat de scanner aanbied Panda is,
heel betrouwbaar bedrijf maar niet heus. Dit bedrijf spamt namelijk: nooit
zaken gedaan met dat bedrijf maar we ontvingen op diverse mailadressen
spam van ze om hun produkten vooral maar te kopen!!! Niet dus!
11-11-2007, 20:56 door Anoniem
Ik heb ook zo is een mail gekregen om "viagra" te kopen ;-)

Een legitiem bedrijf kan dat zich niet veroorloven van spam te zenden, lijkt
me eerder de tactics vr een phisingsite.

Het geeft me geen reden om het echte product niet meer te vertrouwen.

testen en dan beoordelen lijkt m.i. een beter idee.

eth-x
12-11-2007, 15:39 door Anoniem
Dat gaat nog leuk worden als de nano-scanner een false
positive
afgeeft en je eigen rekening niet in kan komen.
En aangezien transacties bij sommige banken alleen nog maar
via internetbankieren verloopt is de ramp compleet als je
een dringende betaling moet doen

De klant zit op de blaren voor een ander.
01-12-2007, 12:04 door Anoniem
Mag ik ook rechtmatig de bank scannen, en kijken of zij niet zijn
geinfecteerd ??? Nee dus.

Normaal geven ze dat niet toe, om hun klanten niet af te schrikken, en zo
naar een andere bank jagen. Misschien is er wel iemand bij de bank die
kleine bedragen ergens naar doorsluist. Of misschien loopt er een cracker
naar de lokale brievenbus en hengeld mijn acceptgiro's eruit. Misschien zijn
de bank computers niet goed beveiligd, en loopt hun software achter [ bugs
].

Nu moet ik al letten op :
1] Dat ik naar de juiste website van de bank ga.
2] Dat ik een slotje zie voor de https verbinding.
3] De juiste code[s] invoer.

Hoe veel stappen moet ik doorlopen ??????

Misschien moeten banken eens beter nadenken over andere kleinere en
veiligere applicaties om bankzaken mee te kunnen doen.

Volgens mij zijn de banken zelf niet goed beveiligd, of men wil nog meer
"controle" op ons mensen. Sinds 9/11 is er niks meer van onze privacy over.

Nee hoor, geef mij maar lekker de acceptgiro kaart.
01-12-2007, 12:38 door Anoniem
Door Anoniem
Nee hoor, geef mij maar lekker de acceptgiro kaart.
ja want die is 100% veilig, not.
07-12-2007, 21:28 door Anoniem
Ik boot gewoon een live SUSE cdrom en ga dan
bankieren....daarna pc uit alles weg...:)
Volgende keer weer een schone boot....
Das de manier en kost niks...en gaat sneller dan
scannen.....en saver en kan natuurlijk ook op een windows
macine...ff zonder dan he...;)
08-12-2007, 17:13 door Anoniem
Ze hoeven het niet te proberen mij te verplichten wat voor een
OS ik draai, dus mijn computer scannen?
Only root can do that.
08-12-2007, 22:59 door Anoniem
Door Anoniem
Door Anoniem
Nee hoor, geef mij maar lekker de acceptgiro kaart.
ja want die is 100% veilig, not.

Klopt maar wel een stuk veiliger, tenzij ze mijn acceptgiro uit de brievenbus
hengelen, maar dat was niet de hoofdzaak van mijn verhaal.

Nog een paar jaar en dan gaat alles via Internet, en daar gaat het juist
steeds fout. Kijk hier maar eens goed op het forum, elke week verliest of
wordt er iets gestolen waarop persoonlijke gegevens staan, waarvoor ik niet
heb gekozen. Internet is heel leuk en makkelijk, maar het is nu eenmaal
niet veilig, en toch worden je bepaalde dingen opgedrongen.

Het kan best allemaal sneller en makkelijk gaan, maar als het niet veilig is
hoeft het voor mij niet meer.

Crackers vinden steeds weer nieuwe malware uit, waardoor ze steeds een
voorsprong hebben op de antie virus bedrijven. Tevens hecht men meer
waarde aan wat gegevens die in computers zijn ingevoerd. fout of niet fout.

Ik ben zelf al eens slachtoffer geweest van iets wat in een computer stond
geregisteerd maar helemaal niet zo was. Ik heb heel heel veel moeite
moeten doen om te bewijzen dat het niet zo was. En ik kan je vertellen dat
dit geen leuke ervaring was. Het is dat ik een volhouder ben, wat andere
mensen misschien niet 1,2,3 zouden doen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.