Security Professionals - ipfw add deny all from eindgebruikers to any

ING internetbankieren voor zakelijke klanten krijgt security downgrade

12-10-2010, 12:35 door DJ de DJ, 44 reacties
Afgelopen week ontving ik een brief van de ING dat de zakelijke internetbanking ging veranderen. Voorheen werkte het met calculators (niet de beste, maar toch). Vanaf 7 november gaat men over op het systeem van de TAN-codes. Dit verouderde systeem staat bekend als phishing-gevoelig en kent natuurlijk veel andere security nadelen zoals het feit dat het account slechts met een username en password is beveiligd. Ik heb gebeld met ING maar die reageren niet inhoudelijk behalve dat het systeem met de TAN-codes echt minstens net zo veilig is als met de calulators maar dat is natuurlijk niet zo. Immers:
- SMS is af te luisteren en telefoons zijn te stelen. SMS-diensten zijn in het buitenland niet altijd snel genoeg.
- TAN-code lijsten zijn van tevoren bekend, kunnen worden gehengeld, zijn niet transactieafhankelijk en zijn te lang geldig.
- Username/passw is onvoldoende beveilgiing voor mijn transactiegegevens

deze nadelen gelden niet voor bijv. het systeem met de tokens van de Rabo en de ABN Amro.

Ik vind dit daarom een achteruitgang in het beveiligingsniveau van de internetdienst en kan dat moeilijk begrijpen. Accepteren doe ik het daarom ook niet dus ik ga mijn zakelijke rekeningen opzeggen. Buiten de financiele motieven van ING om dit zo te doen, zijn er nog andere redenen? Ik kan ze niet bedenken.....
Reacties (44)
13-10-2010, 10:13 door SirDice
Door DJ de DJ: Accepteren doe ik het daarom ook niet dus ik ga mijn zakelijke rekeningen opzeggen.
Dat is de enige manier om ze te laten merken dat je het er absoluut niet mee eens bent.
13-10-2010, 10:24 door donnerd
Dit is echt de domste actie van de ING tot nu toe!
Die bank wordt door de staat gesteund, ze stonden immers tijdens de krediet crisis op omvallen en toen besloot meneer Bos de bank over te nemen, en dan gaan ze dit doen.
Liegen + downgraden... ik doe opleiding voor netwerkbeheerder en zou echt ontslag nemen als men mij zou verplichten dit te doen, want voor de veiligheid moet je juist UPgraden.
Daarnaast is het ook al aantal keren in de programma van de vara genaamd "kassa" hierover gesproken geweest en ook de ICT mensjes die daar als expert zaten, vonden de tan-code manier eveneens onveilig.
Ik juig het dus toe om de zakelijke contracten met deze bank op te zeggen.
13-10-2010, 10:39 door Anoniem
- SMS is af te luisteren en telefoons zijn te stelen. SMS-diensten zijn in het buitenland niet altijd snel genoeg.
De kans op afluisteren is wel heel klein. Als je telefoon wordt gestolen moeten ze nog steeds jouw id/wachtwoord hebben.
Als het dus fout is dat je eigen schuld.

- TAN-code lijsten zijn van tevoren bekend, kunnen worden gehengeld, zijn niet transactieafhankelijk en zijn te lang geldig.
De lijsten zijn bekend, maar wat via SMS komt niet. Dus maak een goede keuze.

- Username/passw is onvoldoende beveilgiing voor mijn transactiegegevens
TAN code via SMS is het derde component die hier even niet genoemd wordt.

Kortom, paniek om niets.
Frans.
13-10-2010, 10:55 door Anoniem
They are retarded...
13-10-2010, 11:05 door [Account Verwijderd]
[Verwijderd]
13-10-2010, 11:06 door OmroepMax
Omroep Max zoekt contact met gedupeerden van phishing. In het consumententelevisieprogramma 'Meldpunt!' besteden we aandacht aan betalingsverkeer via internet en de risico's daarvan. Bent u door phishing benadeeld doordat ongewild geld van uw rekening is afgeschreven? Durft u hierover op tv te vertellen om zodoende anderen hiervoor te behoeden? Mail dan met: meldpunt@omroepmax.nl

Redactie 'Meldpunt!'
Omroep Max
13-10-2010, 11:07 door Anoniem
Het enige probleem dat ik zelf heb met het systeem van de ING is dat als je ook bij ze belegt, men je aandelen portefeuille kan verhandelen met alleen je username/password combi.

De TAN codes is in elk geval nog enige vorm van beveiliging. Bij veel buitenlandse banken heb je enkel en alleen de username/password combi nodig om overboekingen te kunnen doen.
13-10-2010, 11:12 door Arjon
Op dit moment lijkt mij een userID/password + TAN via SMS vrij veilig.
Er zijn immers eenvoudigere manieren te bedenken om iemand geld afhandig te maken.

Toch ben ik het eens in zoverre dat een bank in ieder geval, na een grondige risicoanalyse, het zo veilig mogelijk moet maken. Dit kan soms heel eenvoudig door een procedure anders op te stellen, maar ook door het veranderen van een foutboodschap.

Laten we ING maar als voorbeeld gebruiken. De ING (https://mijn.ing.nl) heeft er voor gekozen om een andere melding te geven, voor een foutief wachtwoord, dan voor een foutieve gebruikersnaam:

foutief wachtwoord:
"U heeft uw gebruikersnaam en/of wachtwoord verkeerd ingevuld. Probeer het opnieuw. Let op: als u uw codes 3x foutief invoert, wordt uw toegang geblokkeerd en dient u nieuwe codes aan te vragen."

foutieve gebruikersnaam:
"U heeft uw gebruikersnaam en/of wachtwoord verkeerd ingevuld. Probeer het opnieuw.

Let op: Als u uw codes 3x foutief invoert, wordt uw toegang geblokkeerd en dient u nieuwe codes aan te vragen via de link 'Inlogcodes vergeten' onderaan dit scherm."


Dit lijkt mij voor de ING eenvoudig en goedkoop aan te passen en kan, zij het een klein beetje, bijdragen aan de veiligheid.
Zo zijn er ongetwijfeld meerdere manieren om de veiligheid te vergroten, zelfs met geringe kosten.
13-10-2010, 11:36 door Anoniem
Door Hugo: Volgens mij werkt de ING allang niet meer met TAN-lijsten. Alleen nog maar met TAN-codes via SMS. Mobiele telefoons zijn inderdaad te stelen. Maar die calculators ook! De beveiliging van je bankrekening hangt voor het grootste deel af van hoe jijzelf met de beveiligingsmaatregels omgaat. Ik ben al vele jaren Postbank/ING klant en mijn rekening is nog nooit geplunderd.

Een calculator hoef je niet te stelen, die haal je gewoon bij de bank. In combinatie met je bankpas heb je pas een werkende code, dus zonder bankpas kan je niet internetbankieren.
13-10-2010, 11:47 door DJ de DJ
Door Anoniem: - SMS is af te luisteren en telefoons zijn te stelen. SMS-diensten zijn in het buitenland niet altijd snel genoeg.
De kans op afluisteren is wel heel klein. Als je telefoon wordt gestolen moeten ze nog steeds jouw id/wachtwoord hebben.
Als het dus fout is dat je eigen schuld.

Er zijn heel veel manieren om aan de username/password te komen voor fraudeurs. Keyloggers, phishing of andere malware werkt hier goed voor. Daarna moet men de TAN code onderscheppen. Je stelt dat de kans hierop erg klein is, maar daar ben ik het niet mee eens. Binnen afzienbare tijd worden de rainbowtables voor A5/1 encryptie op internet gepost door Karsten Nohl. Het is daarna met zo'n 500 EUR aan apparatuur (www.ettus.com) mogelijk om GSM signalen te onderscheppen en te decrypten. Dat valt dik binnen de vaardigheden en de motivatie van fraudeurs, en het is dus logisch dat zij dit zullen gaan doen. Bedenk wel dat we met deze keus van de ING voor minstens de komende 5 jaar aan deze methode vastzitten. En veiliger gaat het niet worden.


- TAN-code lijsten zijn van tevoren bekend, kunnen worden gehengeld, zijn niet transactieafhankelijk en zijn te lang geldig.
De lijsten zijn bekend, maar wat via SMS komt niet. Dus maak een goede keuze.

Als ik op vakantie ga, of voor zaken in het buitenland zit moet ik kunnen bankieren (de belastingdienst eist van mij als ondernemer betaling op tijd!). In het buitenland werken SMS diensten vaak langzamer en zijn dus niet bruikbaar. Ik zal dus voor mijn vakantie over moeten stappen op lijsten, en teruggaan naar SMS diensten als ik weer thuis ben. Niet werkbaar dus.


- Username/passw is onvoldoende beveilgiing voor mijn transactiegegevens
TAN code via SMS is het derde component die hier even niet genoemd wordt.

Nee, dat was het eerste punt: GMS (incl SMS) is af te luisteren.

Groeten!
13-10-2010, 11:50 door Anoniem
Nou dan zijn ze het eerste slachtoffer van het concept regeeraccooord...
13-10-2010, 11:50 door DJ de DJ
Door Hugo: Volgens mij werkt de ING allang niet meer met TAN-lijsten. Alleen nog maar met TAN-codes via SMS.

Nee, voor mensen zonder GSM, of buiten ontvangstgebeid of in het buitenland worden de lijsten nog steeds gehanteerd.

Mobiele telefoons zijn inderdaad te stelen. Maar die calculators ook!

Daarom hebben de calculators van o.a. ABN Amro en Rabo ook de Pincode van het pasje nodig.


De beveiliging van je bankrekening hangt voor het grootste deel af van hoe jijzelf met de beveiligingsmaatregels omgaat. Ik ben al vele jaren Postbank/ING klant en mijn rekening is nog nooit geplunderd.

Ja, het deel dat ik zelf in de hand heb, behandel ik dan ook met zorg. Maar als de architectuur wijzigt waardoor ik een lager beveiligingsniveau krijg, is dat niet acceptabel voor mij. Mijn rekening is ook nog nooit geplunderd, maar dat betekent niet dat het niet gebeurt.....
13-10-2010, 12:03 door Sith Warrior
Als ik hierboven lees dat je met dat ding alleen je bankpas nodig hebt, om te kunnen bankieren, klinken tan codes mij veiliger in de oren.

Als iemand mijn pas onderschept, en zo een apparaat heeft kun je al aan de gang. Terwijl als iemand mijn tan code lijst onderschept (ik las ergens dat je die niet meer kon krijgen bij de ING hier, maar dat is niet waar die hebben ze nog steeds). Kun je nog steeds niks met deze codes, je zult eerst mijn username en password moeten kraken.

De kans dat en iemand mijn tan code lijst bemachtigd, en mijn username en password weet te kraken, acht ik uiterst klein.
(Maar dat komt vooral door hoe ik met die laatste omga, en het voorkomen van maleware / spyware op het device waar ik op internet bankier).
13-10-2010, 12:06 door Anoniem
Hier is er niks over bekend. Er is geen communicatie geweest met een inhoud van deze strekking. Lijkt me eerlijk gezegd ook een beetje erg onwaarschijnlijk, zeker in situaties waar twee mensen voor een betaling moeten 'tekenen' want dat zou belachelijk onveilig worden. We zullen het in de gaten houden en er wat navraag op doen.
13-10-2010, 12:31 door donnerd
Door Sith Warrior: Als ik hierboven lees dat je met dat ding alleen je bankpas nodig hebt, om te kunnen bankieren, klinken tan codes mij veiliger in de oren.

Als iemand mijn pas onderschept, en zo een apparaat heeft kun je al aan de gang. Terwijl als iemand mijn tan code lijst onderschept (ik las ergens dat je die niet meer kon krijgen bij de ING hier, maar dat is niet waar die hebben ze nog steeds). Kun je nog steeds niks met deze codes, je zult eerst mijn username en password moeten kraken.

De kans dat en iemand mijn tan code lijst bemachtigd, en mijn username en password weet te kraken, acht ik uiterst klein.
(Maar dat komt vooral door hoe ik met die laatste omga, en het voorkomen van maleware / spyware op het device waar ik op internet bankier).
Je makkelijk slachtoffer worden van spyware terwijl je antivirus programma dit niet door heeft.. security.nl heeft pas nog gemeld dat de zogenoemde scareware programma's nauwelijks worden herkend als virus, terwijl het juist grote virussen zijn.
Tan code lijst is makkelijk te hengelen, er zijn genoeg slachtoffers omdat criminelen steeds geliktere phishing websites weten te bouwen.
mobiele telefoon is af te luisteren.

Maar bij de rabo/ABN heb je je pasje nodig en een calculator - daarna krijg je na het intoetsen van je pincode een bepaalde inlog code terug gestuurd en via deze code kan je inloggen, maar het slimme aan deze code is... dat deze code slechts 1 maal geldig is, dus na het intoetsen ervan dien je per direct opnieuw je pincode in te moeten voeren etc.
dus kans op stelen van deze code is minimaal.
13-10-2010, 12:34 door DJ de DJ
Door Sith Warrior: Als ik hierboven lees dat je met dat ding alleen je bankpas nodig hebt, om te kunnen bankieren, klinken tan codes mij veiliger in de oren.

Nee, bankpas (met chip, dus geen magneetstrip) plus PIN. Kortom, datgene wat je ook nodig hebt om cash uit de muur te halen.


Als iemand mijn pas onderschept, en zo een apparaat heeft kun je al aan de gang. Terwijl als iemand mijn tan code lijst onderschept (ik las ergens dat je die niet meer kon krijgen bij de ING hier, maar dat is niet waar die hebben ze nog steeds). Kun je nog steeds niks met deze codes, je zult eerst mijn username en password moeten kraken.

Klopt niet, PIN code is in die gevallen ook nodig.
13-10-2010, 12:39 door DJ de DJ
Door Anoniem: Hier is er niks over bekend. Er is geen communicatie geweest met een inhoud van deze strekking. Lijkt me eerlijk gezegd ook een beetje erg onwaarschijnlijk, zeker in situaties waar twee mensen voor een betaling moeten 'tekenen' want dat zou belachelijk onveilig worden. We zullen het in de gaten houden en er wat navraag op doen.

ZIe http://www.ing.nl/zakelijk2/nieuws-en-kennis/de-nieuwe-ing-voor-u/index.aspx onder kopje 'internetbankieren'. Voor bepaalde zakelijke klanten die de andere offline banking applicatie gebruiken (die waar jij het waarschijnlijk over hebt en met smartcards werkt) geldt dit niet.

groeten
13-10-2010, 13:08 door Sokolum
De TAN methode gevoelig voor 'man in the middle attack'.

ABN-AMRO is ook vatbaar.
RABO-BANK niet vatbaar bij hogere bedragen,
ING-BANK, geen ervaring.

Eens, een TAN password is niet betrouwbaar. Met je TAN user+pass kunnen ze zichzelf ongelimiteerd toegang verschaffen naar je rekening en toeslaan wanneer je rekening goed gevuld is. Dat is het grote nadeel van TAN. Bij een ABN-AMRO, RABO-BANK calculator kunnen ze dat niet, alleen wanneer jij inlogt, kunnen ze meekijken.

Een ander nadeel van TAN en de ABN-AMRO calculator, is dat de autorisatie code niet is afgestemd kan worden op het te over te maken bedrag. RABO-BANK kan/doet dat wel. RABO zal bij het overboeken van een hoog bedrag (500+ euro dacht ik), met de calculator verifiëren of er ook werkelijk alleen maar dat gewenste bedrag word overgeboekt.

TAN is no-go (al jaren niet meer).
Per SMS Codes ontvangen lijkt mij voor toch erg veilig. GSM afluisteren is mogeelijk, in de praktijk lijkt het mij niet eenvoudig om grootschalig een GSM aanval te voeren. Het zal actie zijn gericht aan één persoon en dan nog moet dat persoon zo'n SMS dienst gebruiken.
13-10-2010, 13:10 door [Account Verwijderd]
[Verwijderd]
13-10-2010, 13:30 door eMilt
Door Sokolum: Een ander nadeel van TAN en de ABN-AMRO calculator, is dat de autorisatie code niet is afgestemd kan worden op het te over te maken bedrag. RABO-BANK kan/doet dat wel. RABO zal bij het overboeken van een hoog bedrag (500+ euro dacht ik), met de calculator verifiëren of er ook werkelijk alleen maar dat gewenste bedrag word overgeboekt.
ABN-AMRO verifieert het rekeningnummer via de calculator bij transacties boven de 5000 euro.
13-10-2010, 13:37 door Anoniem
Leuk, GSM is gekraakt en ineens valt iedereen over de veiligheid van SMSjes. Stel nu dat iemand mijn SMS kan afluisteren. Wat staat daar dan voor informatie in?

*doet sms checken*

"Geef nooit uw TAN code! Totaalbedrag overboekingen E xx.xxx,xx. Hoogste overschrijving E x.xxx,xx naar rekening *834.. volgnumer xxx; TAN-code xxxxxxxx."

Bel de politie, schakel de landmacht in!!

Hebben jullie eigenlijk wel een idee waar jullie over praten? Hebben jullie ooit wel eens van classificatie van informatie gehoord? Of een risico assessment? Of maximale schade vs kosten van mitigeren? Of acceptatie van risico's? Of uberhaupt van risico management?

En wat betref de topic starter. Wat is nu eigenlijk je maximale risico's? En zijn deze risico's gedekt?
Succes bij de ABN en RABO. Het gras is altijd groener....
13-10-2010, 13:58 door DJ de DJ
Door Sokolum: De TAN methode gevoelig voor 'man in the middle attack'.

ABN-AMRO is ook vatbaar.
.....

Een ander nadeel van TAN en de ABN-AMRO calculator, is dat de autorisatie code niet is afgestemd kan worden op het te over te maken bedrag.

De ABN Amro e-Identifer-II heeft dit opgelost en is daarmee niet meer vatbaar hiervoor. Het doet dit door een terugkoppeling op het display van de e-Identifier zodat daar te zien is wat er precies naar wie wordt overgemaakt.
13-10-2010, 13:58 door Sith Warrior
Door donnerd:
Door Sith Warrior: Als ik hierboven lees dat je met dat ding alleen je bankpas nodig hebt, om te kunnen bankieren, klinken tan codes mij veiliger in de oren.

Als iemand mijn pas onderschept, en zo een apparaat heeft kun je al aan de gang. Terwijl als iemand mijn tan code lijst onderschept (ik las ergens dat je die niet meer kon krijgen bij de ING hier, maar dat is niet waar die hebben ze nog steeds). Kun je nog steeds niks met deze codes, je zult eerst mijn username en password moeten kraken.

De kans dat en iemand mijn tan code lijst bemachtigd, en mijn username en password weet te kraken, acht ik uiterst klein.
(Maar dat komt vooral door hoe ik met die laatste omga, en het voorkomen van maleware / spyware op het device waar ik op internet bankier).
Je makkelijk slachtoffer worden van spyware terwijl je antivirus programma dit niet door heeft.. security.nl heeft pas nog gemeld dat de zogenoemde scareware programma's nauwelijks worden herkend als virus, terwijl het juist grote virussen zijn.
Tan code lijst is makkelijk te hengelen, er zijn genoeg slachtoffers omdat criminelen steeds geliktere phishing websites weten te bouwen.
mobiele telefoon is af te luisteren.

Maar bij de rabo/ABN heb je je pasje nodig en een calculator - daarna krijg je na het intoetsen van je pincode een bepaalde inlog code terug gestuurd en via deze code kan je inloggen, maar het slimme aan deze code is... dat deze code slechts 1 maal geldig is, dus na het intoetsen ervan dien je per direct opnieuw je pincode in te moeten voeren etc.
dus kans op stelen van deze code is minimaal.

Ik gebruik een OS om te telebankieren, waar geen spyware op kan komen. Simpelweg omdat er niks geinstalleerd kan worden (Live distro idee). En je rabo pas, het slimme vind ik juist het kutte. Ik acht namelijk de kans veel groter dat ik geskimmed word (mn pas gegevens gejat en pin code). Dan dat en iemand mijn tan lijst weet te bemachtigen en ook nog is mijn username en password van telebankieren.
13-10-2010, 14:20 door Anoniem
Dat GSM onderschept kan worden is al bijna 20 jaar bekent, nu kan het echter met een lage investering. Echter, probeer tussen alle SMSjes de juiste te vinden met de TAN code. Daarbij, nog steeds id/wachtwoord. Als je slorig bent en een keylogger o.i.d. hebt, is dat dan de schuld van de ING dat derden dan in staat zijn om jouw geldverkeer (met veel moeite) te manipuleren?

Het mooie van TAN via SMS is juist dat een ander communicatie kanaal wordt gebruikt.

En ja, wanneer SMS in het buitenland te lang duurt, kun bij de ING nog steeds de transactie afronden ook al is er enig vertraging.

Frans.
13-10-2010, 14:40 door Preddie
Door Anoniem: Leuk, GSM is gekraakt en ineens valt iedereen over de veiligheid van SMSjes. Stel nu dat iemand mijn SMS kan afluisteren. Wat staat daar dan voor informatie in?

*doet sms checken*

"Geef nooit uw TAN code! Totaalbedrag overboekingen E xx.xxx,xx. Hoogste overschrijving E x.xxx,xx naar rekening *834.. volgnumer xxx; TAN-code xxxxxxxx."

Bel de politie, schakel de landmacht in!!

Hebben jullie eigenlijk wel een idee waar jullie over praten? Hebben jullie ooit wel eens van classificatie van informatie gehoord? Of een risico assessment? Of maximale schade vs kosten van mitigeren? Of acceptatie van risico's? Of uberhaupt van risico management?

En wat betref de topic starter. Wat is nu eigenlijk je maximale risico's? En zijn deze risico's gedekt?
Succes bij de ABN en RABO. Het gras is altijd groener....

Leuke termen als risicomanagement risicoassesment. Toevallig mag ik me gecertificeerd noemen op dat gebied en moet ik concluderen dat jij geen idee hebt waar je het over hebt. Fout nr 1 van een risicomanager: Jij bent niet diegene die bepaald of een risico acceptabel is maar dat doet diegene waarvoor jij die analyse uitvoert. In dit geval is dat de topic starter en niet jij.

Verder impliceer jij dat het een overschat risico is, nogmaals dat bepaal jij niet meer je opdrachtgever of in dit geval de topic starten. De overheid heeft inmiddels Digi-D ook onveilig verklaard door het gebruik van SMS over GSM (A3/1 encryptie) Dit gebeurt niet voor niks en geloof mij dat daar ook een risicomanager zit die de afweging maakt omdat te concluderen. Nogmaals bepaalde de overheid hier voor haar zelf dat het onveilig is, jij als burger mag dat ook concluderen als je op de hoogte ben van de risico's en je deze niet acceptabel vind.

Buiten dit alles, geef je schijn dat je weer dat je geen enkele idee hebt over geautomatiseerde gegevens verwerking laat staan malware. De leuke variant van Zeus heeft namelijk al een overboeking gedaan voordat jij je smsje leest...... maar welke informatie staat er nu eigenljik in zoon sms heh ?

Feit is gewoon dat de techniek die de rabobank veilig is omdat er meer factoren worden gebruikt ook feit is dat dit elke dat opnieuw bewezen moet worden. Iets wat vandaag de dag veilig wordt geacht kan morgen gekraakt zijn en als onveilig worden betiteld....... met deze argumenten denk ik dat jij reactie totaal geen grondslag meer heeft ...
13-10-2010, 15:27 door DJ de DJ
Door Anoniem: Leuk, GSM is gekraakt en ineens valt iedereen over de veiligheid van SMSjes. Stel nu dat iemand mijn SMS kan afluisteren. Wat staat daar dan voor informatie in?

*doet sms checken*

"Geef nooit uw TAN code! Totaalbedrag overboekingen E xx.xxx,xx. Hoogste overschrijving E x.xxx,xx naar rekening *834.. volgnumer xxx; TAN-code xxxxxxxx."

Exact, en dat is nu precies wat de aanvaller nodig heeft om de transactie te kunnen afronden! Wat bedoel je hiermee te zeggen?


Hebben jullie eigenlijk wel een idee waar jullie over praten? Hebben jullie ooit wel eens van classificatie van informatie gehoord? Of een risico assessment? Of maximale schade vs kosten van mitigeren? Of acceptatie van risico's? Of uberhaupt van risico management?

is mijn beroep, dus ja.


En wat betref de topic starter. Wat is nu eigenlijk je maximale risico's? En zijn deze risico's gedekt?
Succes bij de ABN en RABO. Het gras is altijd groener....

Mijn maximale risico is het gehele saldo van mijn rekening. Want in een worst case is het weg, en krijg ik het niet terug. Dit risico is niet met zekerheid gedekt omdat het beleid van de ING niet garandeert dat fraudeslachtoffers altijd vergoeding krijgen. Dus moet ik uit oogpunt van risicomanagement, zelf zorgen dat ik gebruik maak van beveiligde technologien. En als mijn bank dan plots het niveau aantoonbaar verlaagt, dan neemt mijn risico dus toe omdat de kans op het optreden ook toeneemt. (risico = kans * impact). Derhalve is mijn bedreigingsprofiel gewijzigd en heb ik een nieuw assessment uitgevoerd. Het resultaat hiervan is dat ik een nieuwe maatregel moet implementeren (lees: zoek een nieuwe bank) die mijn risico mitigeert tot een voor mij acceptabel niveau. Zo genoeg antwoord?
13-10-2010, 16:08 door Anoniem
Door dat TAN code systeem is ING wel de enige bank waarbij je tenminste nog kunt internetbankieren als je pas ingeslikt/ gestolen of geblokkeerd is.

De papieren lijsten zijn er wel degelijk nog steeds, al moedigen ze wel particulieren aan om op sms over te stappen.
13-10-2010, 16:54 door DJ de DJ
Door Anoniem: Door dat TAN code systeem is ING wel de enige bank waarbij je tenminste nog kunt internetbankieren als je pas ingeslikt/ gestolen of geblokkeerd is.

Het huidige systeem met de calculator van de ING gebruikt geen pas. Dus ook zonder TAN codes kan dit, maar is nou net het systeem dat wordt uitgefaseerd.
13-10-2010, 17:04 door Anoniem

... En als mijn bank dan plots het niveau aantoonbaar verlaagt, dan neemt mijn risico dus toe omdat de kans op het optreden ook toeneemt. (risico = kans * impact). Derhalve is mijn bedreigingsprofiel gewijzigd en heb ik een nieuw assessment uitgevoerd. Het resultaat hiervan is dat ik een nieuwe maatregel moet implementeren (lees: zoek een nieuwe bank) die mijn risico mitigeert tot een voor mij acceptabel niveau. Zo genoeg antwoord?


Ik weet niet zeker of het niveau 'aantoonbaar verlaagd' is.

Er zijn een aantal deelgebieden in dit vraagstuk:
- is TAN een slechte beveiligingsmethodiek?
- is sms veilig genoeg om een code over te versturen?
- is een papier met TAN codes veilig genoeg voor bankzaken?
- is login/password wat leidt tot 'read-only' toegang tot bankgegevens veilig genoeg voor bankzaken?
- is de totale combinatie login/password + TAN welke via papier of sms bekend is veilig genoeg?

Als je naar de afzonderlijke onderdelen kijkt is er best iets op aan te merken.
Maar om een transactie te doen dient iemand over zowel je login/wachtwoord als over je TAN te beschikken.
Hij moet je telefoon of TAN lijst in bezit hebben en gelijktijdig je login credentials voor ING.
Dat is al een stuk minder waarschijnlijk, tenzij we te maken hebben met een tegen 1 persoon gerichte actie.
En dan zitten we in een heel ander vraagstuk, want dan is een pas/card-reader niet per definitie veiliger.
13-10-2010, 18:13 door DJ de DJ
Door Anoniem:

... En als mijn bank dan plots het niveau aantoonbaar verlaagt, dan neemt mijn risico dus toe omdat de kans op het optreden ook toeneemt. (risico = kans * impact). Derhalve is mijn bedreigingsprofiel gewijzigd en heb ik een nieuw assessment uitgevoerd. Het resultaat hiervan is dat ik een nieuwe maatregel moet implementeren (lees: zoek een nieuwe bank) die mijn risico mitigeert tot een voor mij acceptabel niveau. Zo genoeg antwoord?


Ik weet niet zeker of het niveau 'aantoonbaar verlaagd' is.

Er zijn een aantal deelgebieden in dit vraagstuk:
- is TAN een slechte beveiligingsmethodiek?

TAN-codes die echt werken als een one-time-password zijn prima, want die zijn beperkt geldig en niet van tevoren bekend. De TAN-lijsten zijn dat niet. De SMS-TAN's wel.


- is sms veilig genoeg om een code over te versturen?

Ik vind van niet, omdat het mogelijk is om in bulk SMS te tappen voor een voor een aanvaller economisch rendabel bedrag. Dit bedrag gaat nog verder dalen en komt daarmee in hetzelfde bereik als skim-apparatuur voor skimmers. Het doorzoeken van alle SMS'sen is kinderspel. Zie 'man grep' ;-)


- is een papier met TAN codes veilig genoeg voor bankzaken?

nee want van tevoren bekend en lang geldig.


- is login/password wat leidt tot 'read-only' toegang tot bankgegevens veilig genoeg voor bankzaken?

Ik vind van niet, omdat read-only betekent dat daarmee enorm veel informatie bekend raakt die voor gerichte (social engineering) aanvallen kan worden gebruikt. Maar dat is zo in mijn situatie, wellicht gelden voor andere mensen andere normen. Maar alleen al hierom vind ik het te risicovol.


- is de totale combinatie login/password + TAN welke via papier of sms bekend is veilig genoeg?

En dat is inderdaad de totale optelsom, maar die valt vanuit mijn perspectief dus negatief uit.
13-10-2010, 19:29 door Anoniem
Misschien een domme vraag maar als je een tancode, verkregen per sms. hebt gebruikt voor een transactie is deze tancode dan niet waardeloos en niet meer te gebruiken? ik neem aan dat je ze random krijgt toegezonden? Wat heb je dan aan oude codes als je telefoon wordt gestolen bijvoorbeeld?
13-10-2010, 20:26 door Anoniem
Door Anoniem: Misschien een domme vraag maar als je een tancode, verkregen per sms. hebt gebruikt voor een transactie is deze tancode dan niet waardeloos en niet meer te gebruiken? ik neem aan dat je ze random krijgt toegezonden? Wat heb je dan aan oude codes als je telefoon wordt gestolen bijvoorbeeld?
Je kunt ze maar een keer gebruiken, ik werk ook met ing.
13-10-2010, 22:05 door Anoniem
Jongens niet zoveel paniek over ING. Als GSM/TAN niet veilig genoeg is, kan je bij ING nog altijd met FTP uit de voeten.

http://www.ing.nl/businessbanking/internetbankieren/ing-ftp-service/index.aspx

Zo, ook weer opgelost.
13-10-2010, 23:03 door DJ de DJ
Door Anoniem: Misschien een domme vraag maar als je een tancode, verkregen per sms. hebt gebruikt voor een transactie is deze tancode dan niet waardeloos en niet meer te gebruiken? ik neem aan dat je ze random krijgt toegezonden? Wat heb je dan aan oude codes als je telefoon wordt gestolen bijvoorbeeld?

Aan de oude codes heb je niets, maar met de telefoon kun je nieuwe ontvangen!
13-10-2010, 23:52 door Anoniem
Door Anoniem: Door dat TAN code systeem is ING wel de enige bank waarbij je tenminste nog kunt internetbankieren als je pas ingeslikt/ gestolen of geblokkeerd is.

De papieren lijsten zijn er wel degelijk nog steeds, al moedigen ze wel particulieren aan om op sms over te stappen.

Dat heb ik juist liever niet, als ik mijn pas heb laten blokkeren omdat hij gestolen is of ik ZeuS op mijn machine op ofzo dan zou degene die mijn gegevens heeft dus ook mogelijk kunnen internetbankieren.
14-10-2010, 07:21 door Anoniem
Door DJ de DJ:
Door Anoniem: - SMS is af te luisteren en telefoons zijn te stelen. SMS-diensten zijn in het buitenland niet altijd snel genoeg.
De kans op afluisteren is wel heel klein. Als je telefoon wordt gestolen moeten ze nog steeds jouw id/wachtwoord hebben.
Als het dus fout is dat je eigen schuld.

Er zijn heel veel manieren om aan de username/password te komen voor fraudeurs. Keyloggers, phishing of andere malware werkt hier goed voor. Daarna moet men de TAN code onderscheppen. Je stelt dat de kans hierop erg klein is, maar daar ben ik het niet mee eens. Binnen afzienbare tijd worden de rainbowtables voor A5/1 encryptie op internet gepost door Karsten Nohl. Het is daarna met zo'n 500 EUR aan apparatuur (www.ettus.com) mogelijk om GSM signalen te onderscheppen en te decrypten. Dat valt dik binnen de vaardigheden en de motivatie van fraudeurs, en het is dus logisch dat zij dit zullen gaan doen. Bedenk wel dat we met deze keus van de ING voor minstens de komende 5 jaar aan deze methode vastzitten. En veiliger gaat het niet worden.


- TAN-code lijsten zijn van tevoren bekend, kunnen worden gehengeld, zijn niet transactieafhankelijk en zijn te lang geldig.
De lijsten zijn bekend, maar wat via SMS komt niet. Dus maak een goede keuze.

Als ik op vakantie ga, of voor zaken in het buitenland zit moet ik kunnen bankieren (de belastingdienst eist van mij als ondernemer betaling op tijd!). In het buitenland werken SMS diensten vaak langzamer en zijn dus niet bruikbaar. Ik zal dus voor mijn vakantie over moeten stappen op lijsten, en teruggaan naar SMS diensten als ik weer thuis ben. Niet werkbaar dus.


- Username/passw is onvoldoende beveilgiing voor mijn transactiegegevens
TAN code via SMS is het derde component die hier even niet genoemd wordt.

Nee, dat was het eerste punt: GMS (incl SMS) is af te luisteren.

Groeten!
TAN by SMS is het beste compromis tussen veiligheid & werkbaarheid voor een particulier. De gemiddelde internet crimineel zal niet de tijd besteden die nodig is om deze beveiliging te kraken tenzij dit een aanval gericht is op 1 persoon in welk geval ze binnen zullen komen hoe sterk je beveiliging ook is.
14-10-2010, 10:21 door Anoniem
Door Anoniem: Jongens niet zoveel paniek over ING. Als GSM/TAN niet veilig genoeg is, kan je bij ING nog altijd met FTP uit de voeten.

http://www.ing.nl/businessbanking/internetbankieren/ing-ftp-service/index.aspx

Zo, ook weer opgelost.

Haha, epic... sftp zal nog wel te modern zijn voor de meest automatiserings systemen...
14-10-2010, 14:05 door musiman
Dit speelde eind vorig jaar toch ook al? Toen was het voor particuliere klanten van de ING en vond ik het al een slechte zet van ING. Zeker gezien dit artikel op tweakers.net:
http://www.security.nl/artikel/34726/1/%22Pinpasfraude_kinderspel_bij_ING%22.html
19-10-2010, 17:21 door Anoniem
Door Predjuh:

Leuke termen als risicomanagement risicoassesment. Toevallig mag ik me gecertificeerd noemen op dat gebied en moet ik concluderen dat jij geen idee hebt waar je het over hebt.


Jochie, dit is al weer de zoveelste keer dat je met je certificering zwaait. Ken je deze post nog? Je komt net kijken. Hoe oud ben je eigenlijk? Ik gok niet ouder dan 22.

http://security.nl/artikel/30975/1/Security_gerelateerde_vacatures.html


Fout nr 1 van een risicomanager: Jij bent niet diegene die bepaald of een risico acceptabel is maar dat doet diegene waarvoor jij die analyse uitvoert. In dit geval is dat de topic starter en niet jij.

Nee, de risico drager bepaalt of een risico acceptabel is. Dus de kernvraag is hier: "Wie draagt het risico?"
En dat hoeft niet perse de topicstarter te zijn. Sterker nog, dat is niet de topicstarter. Het enige dat de topicstarter mag bepalen is of hij klant blijft. Alle andere beslissingen mbt risico ligt bij de service provider, in dit geval de bank. En laat die nu ook toevallig degene zijn die alle schade dekt.

Leuk vak he?



Verder impliceer jij dat het een overschat risico is, nogmaals dat bepaal jij niet meer je opdrachtgever of in dit geval de topic starten. De overheid heeft inmiddels Digi-D ook onveilig verklaard door het gebruik van SMS over GSM (A3/1 encryptie) Dit gebeurt niet voor niks en geloof mij dat daar ook een risicomanager zit die de afweging maakt omdat te concluderen. Nogmaals bepaalde de overheid hier voor haar zelf dat het onveilig is, jij als burger mag dat ook concluderen als je op de hoogte ben van de risico's en je deze niet acceptabel vind.

Appels met peren vergelijken. Je DIGI-D stuurt wellicht gegevens die in het kader van de WBP over een vertrouwd kanaal verstuurd dienen te worden. Dat heeft niets met een TAN code of de eventuele misbruik van internetbankieren dmv afluisteren te maken, maar dat is een wettelijke verplichting.

En zelfs met mijn, volgens jou, gebrekkige kennis kan ik je vertellen dat TAN codes volgens mij niet onder de WBP vallen. Maar een plusje voor de poging.



Buiten dit alles, geef je schijn dat je weer dat je geen enkele idee hebt over geautomatiseerde gegevens verwerking laat staan malware. De leuke variant van Zeus heeft namelijk al een overboeking gedaan voordat jij je smsje leest...... maar welke informatie staat er nu eigenljik in zoon sms heh ?

Wauw! Die Zeus moet wel heeeeeeeel erg slim zijn! Hij kan dus zowel mijn computer (as if ik Windows draai) als mijn telefoon besmetten. En dan kan hij ook nog eens mijn mobiel aan mijn computer en bankaccount koppelen, en dan kan hij ook nog eens realtime mijn smsjes afvangen en deze aan een overboeking koppelen, en dan kan hij met die TAN code geautomatiseerd een transactie goedkeuren en daarna mij iets anders voorschotelen.. en dat allemaal voordat ik mijn smsje lees.

Misschien ben je in de war met de mogelijkheden bij je RABO bank rekening? Geen idee trouwens. Daar ben ik geen klant.



Feit is gewoon dat de techniek die de rabobank veilig is omdat er meer factoren worden gebruikt ook feit is dat dit elke dat opnieuw bewezen moet worden.

Normaal gesproken neem ik zoiets best van iemand aan.... alleen van jou niet want ik heb nu al een paar keer jouw analyserend vermogen in actie gezien.



Iets wat vandaag de dag veilig wordt geacht kan morgen gekraakt zijn en als onveilig worden betiteld.......

Het slimste stukje uit je hele post


met deze argumenten denk ik dat jij reactie totaal geen grondslag meer heeft ...

Wot???!?!

Ik zou de volgende keer even wachten met conclusies trekken over het kennisniveau van een persoon. Denk niet dat je met een certificering toepasbare kennis in huis hebt. De wereld verschilt een heleboel van je studieboeken.


@DJdeDJ
Mooie risico analyse! Veel geluk bij je nieuwe bank.
20-10-2010, 10:55 door Anoniem
Door Anoniem:
Nee, de risico drager bepaalt of een risico acceptabel is. Dus de kernvraag is hier: "Wie draagt het risico?"
En dat hoeft niet perse de topicstarter te zijn. Sterker nog, dat is niet de topicstarter. Het enige dat de topicstarter mag bepalen is of hij klant blijft. Alle andere beslissingen mbt risico ligt bij de service provider, in dit geval de bank. En laat die nu ook toevallig degene zijn die alle schade dekt.

Leuk vak he?

De bank dekt de financiële schade welke direkt gerelateerd is aan de phishing actie.
Maar daar gaan een paar dagen overheen i.v.m onderzoek.
Fijn voor alle automatische incasso's die mis gaan (regelmatig zijn er additionele incassokosten aan verbonden en hoop handmatig werk). De boodschappen die je niet kan betalen. Pech als je tank bijna leeg is, kan je ook moeilijk naar je werk.
Er zit wel degelijk een risico bij de topicstarter.
21-10-2010, 08:40 door Anoniem
@Anoniem dinsdag 17.21.
Goed punt! Het blijft altijd leuk om security.nl te lezen. Temeer omdat zogenaamde 'experts' (jochies met een certificering en powerpoint skills) inderdaad altijd denken dat de praktijk is zoals het lezen uit een boek. Ach gelukkig zie ik deze 'experts' niet meer zo vaak, aangezien het personeelsbeleid bij ons inmiddels is aangescherpt tot minimaal 10 jaar relevante werkervaring. Maar ik mis het wel een beetje..
21-10-2010, 10:45 door Anoniem
Schaf PC banking en dergelijke af en loop terug alle dagen naar de bank, stop onderweg om iets te eten en te drinken in goed gezelschap.
21-10-2010, 13:34 door ej__
De bank dekt nu nog het risico. Dat gaat vast veranderen, initieel lag de bewijslast al bij de gebruiker. Daar is men toen van teruggekomen.

Enne: bankieren kan ook vanaf je mobiel. Zeus is er ook voor mobieltjes. Weg 2factor.
22-10-2010, 13:35 door Anoniem
Door DJ de DJ:
Door Hugo: Volgens mij werkt de ING allang niet meer met TAN-lijsten. Alleen nog maar met TAN-codes via SMS.

Nee, voor mensen zonder GSM, of buiten ontvangstgebeid of in het buitenland worden de lijsten nog steeds gehanteerd.

Niet alleen voor hen. TAN op papier is heeeeeel waarschijnlijk veruit de meest gebruikte methode bij ex-Postbank klanten. Gebruik van SMS vergt actie van de gebruiker.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.