Nieuws
image

Rechter: Wachtwoord genoeg voor internetbankieren

woensdag 8 juni 2011, 11:32 door Redactie, 13 reacties

Een Amerikaanse rechter heeft geoordeeld dat banken die klanten via een gebruikersnaam en wachtwoord laten inloggen, voldoende beveiliging bieden. De zaak was door Patco Construction Company aangespannen. Aanvallers wisten via de Zeus Trojan de inloggegevens voor internetbankieren te stelen en maakten vervolgens tijdens een periode van een week een kleine 600.000 dollar over. Het bedrijf wist zo´n 240.000 dollar terug te krijgen, maar bleef met een schadepost van een kleine 350.000 dollar zitten.

Volgens Patco was de bank nalatig en had het zich niet aan de contractvoorwaarden gehouden, doordat het klanten toestaat om met gebruikersnamen en wachtwoorden in te loggen. De rechter oordeelde echter in het nadeel van Patco. David Navetta van de Information Law Group begrijpt het oordeel van de rechter. "Redelijke beveiliging betekent geen 'bullet-proof' bescherming en dat bedrijven altijd over de laatste beveiligingstechnologieën moeten beschikken om aansprakelijkheid te voorkomen. De rechter erkent dit concept en ik denk dat het een goed iets is."

Gartner-analist Avivah Litan noemt de beslissing een schande. "Dit is eerlijk gezegd een grove onrechtvaardigheid tegen kleine Amerikaanse bedrijven. Het is ook een complete mislukking van de banktoezichthouders in de Verenigde Staten, wat geen verrassing is, gegeven de geschiedenis van toezichthouders in de 21e eeuw."

Reacties (13)
08-06-2011, 11:50 door gizmokke
de dag van vandaag is internet rotzooi met al die trojans,malware of noem het zoals je het wilt.je kunt nog niet meer met een gerust gevoel pc banking uitvoeren op je pc.er is zoveel antivirus software en online scans maar als die niks vinden is je pc dan wel echt schoon?je gaat met een gerust gevoel slapen terwyl er een trojan banker in je pc zit dat niet werd gedetecteert door av,de dag erna uw centjes foetsi maak het maar mee !!!
08-06-2011, 12:54 door prikkebeen
De standaarden voor het bankverkeer zijn inderdaad ver onder de maat in de USA. In dit geval was het wel zo dat het bedrijf al een contract had met die bank en dus wist dat dat zo was. Daar bovenop hadden ze hun eigen computers niet op orde en dat is weer niet de schuld van de bank. Rechter had weinig keus lijkt mij.
Ik zal wel afgebrand worden maar het is hier al eens vaker gezegd: gebruik geen Windows pc voor het bankieren. Virus, trojan en malware scanners herkennen amper de helft van alle rotzooi en dat is onaanvaardbaar. Linux of een Mac is een betere keuze.
Het is niet 100% veilig, dat is niets, maar wel veel veiliger en als je kunt kiezen moet je de oplossing kiezen die het veiligst is. Veiligheid is een proces en daar ben je zelf onderdeel van.
Als dit bedrijf geen trojan had gehad op zijn (Windows) pc en wel bestolen had geweest hadden ze wellicht nog een kans gehad.
08-06-2011, 13:22 door Anoniem
Boot vanaf een linux life cd als je bankzaken wil regelen. Klaar...

My two cents...
08-06-2011, 14:02 door Anoniem
Door prikkebeen: Ik zal wel afgebrand worden maar het is hier al eens vaker gezegd: gebruik geen Windows pc voor het bankieren. Virus, trojan en malware scanners herkennen amper de helft van alle rotzooi en dat is onaanvaardbaar. Linux of een Mac is een betere keuze.

Inderdaad, je word afgeschoten. Het is onzin om te beweren, dat Windows systemen niet veilig zijn. Ook Linux en Mac zijn niet veilig. Tenminste dat geldt altijd, wanneer usernaam en wachtwoord de enige beveiliging zijn. Zodra iemand een keylogger weet te installeren en de logs kan uitlezen (via internet of fysiek) is zo'n beveiliging gekraakt. Ook voor man-in-the-middle aanvallen zijn ze niet veilig, wanneer de onverlaten de router kunnen overnemen (en dat is in een aantal gevallen vrij simpel naar het schijnt). Op die manier is nl. alle internetverkeer om te leiden.

Veilig is eigenlijk alleen de oudste manier van bankieren. Ga naar het kantoor, schrijf daar de opdracht tot overmaken uit en overhandig die aan de baliemedewerker. Wordt het geld dan ontvreemd, is het een bankmedewerker en is de bank aansprakelijk.
08-06-2011, 15:26 door prikkebeen
Inderdaad, je word afgeschoten. Het is onzin om te beweren, dat Windows systemen niet veilig zijn. Ook Linux en Mac zijn niet veilig.

Dat had ik al geschreven als je goed had gelezen.
Linux en Mac zijn op dit moment wel de veiligste manier. En ik ben niet de enige die dat zegt. Het is hier op security.nl en elders regelmatig langsgekomen. Ook bedrijven die zich expliciet met security bezig houden onderschrijven dat.
08-06-2011, 15:46 door Anoniem
Wat een onzin om te beweren dat linux en mac de veiligste manier zijn. keyloggers bestaan in allerlei formaten, softwarematig, hardwarematig. Daarnaast heb je nog phising mails, redirects en allerlei andere mogelijkheden. De betreffende rechter heeft geen flauw benul over de huidige stand van zaken. Met droge ogen beweren dat inlognaam en wachtwoord voldoende zijn is hetzelfde als rond 2000 nog beweren dat de wereld plat is, het centrum Jeruzalem is en dat ook de zon om de aarde draait. En als je dan zegt dat linux en mac veilig zijn, dan ben je geen haar beter.
08-06-2011, 17:24 door Anoniem
Door Anoniem: Wat een onzin om te beweren dat linux en mac de veiligste manier zijn. keyloggers bestaan in allerlei formaten, softwarematig, hardwarematig. Daarnaast heb je nog phising mails, redirects en allerlei andere mogelijkheden. De betreffende rechter heeft geen flauw benul over de huidige stand van zaken. Met droge ogen beweren dat inlognaam en wachtwoord voldoende zijn is hetzelfde als rond 2000 nog beweren dat de wereld plat is, het centrum Jeruzalem is en dat ook de zon om de aarde draait. En als je dan zegt dat linux en mac veilig zijn, dan ben je geen haar beter.
Even iets beter lezen.. Prikkebeen zegt zelf al dat niets 100% veilig is, dus er is niemand die hier beweert dat het wel helemaal veilig is. Ik ben zelf Windows gebruiker, maar je kunt toch moeilijk ontkennen dat er op dit moment nog steeds minder malware is voor Linux en Mac dan voor Windows... Dus je reactie lijkt me wat overdreven.

Overigens vindt ik het idee van een "live cd" voor internet bankieren wel een goeie. Of dat nu Windows, Linux of Mac gebaseeerd is, als je met een schone cd begint, kan er maar weinig misgaan, lijkt mij...
08-06-2011, 20:50 door Anoniem
Ik wil binnenkort ook voor het eerst gaan internetbankieren, maar dan wel bij de Rabobank met zo'n RandomReader...

Mijn eigen beveiliging bestaat verder uit: MSE en geregeld scannen met MSS (Microsoft Safety Scanner) en MBAM, Windows/Vista/Firewall staat aan, IE8 (SmartScreen-filter ingeschakeld); bij Help/Over.Internet.Explorer staat: Versleutelingssterkte 256-bits, AVG linkscanner (Surf-Shield én Search-Shield beide ingeschakeld).

Tegen Keyloggers gebruik ik KeyScrambler Personal (dat is een klein gratis programma die je toets-aanslagen beveiligd door encryptie zodat keyloggers moeilijker kunnen meelezen wat er werkelijk getypt wordt), zie:

http://www.qfxsoftware.com/index.html
http://www.qfxsoftware.com/ks-windows/which-keyscrambler.htm
http://www.qfxsoftware.com/ks-windows/how-it-works.htm

Kan ik op deze manier met een gerust hart gaan internetbankieren bij de Rabobank en is hun systeem met zo'n RandomReader wel "veilig genoeg"???
08-06-2011, 21:59 door Bitwiper
De USA is toch HET "voorbeeld" land van de marktwerking (is er daar dan geen enkele bank die het wel begrepen heeft)?
08-06-2011, 22:22 door [Account Verwijderd]
[Verwijderd]
08-06-2011, 23:05 door DarkViewOfTheWorld
Door Anoniem: Wat een onzin om te beweren dat linux en mac de veiligste manier zijn. keyloggers bestaan in allerlei formaten, softwarematig, hardwarematig.

Er bestaan nu eenmaal minder exploits voor mac/linux machines.

De discussie over of de code van het OS veiliger is of niet doet niet ter zake, het is gewoon een feit dat er minder exploits bestaan voor deze OS'en.

Minder exploits = kleinere kans om iets 'kwaadaardig' op te lopen = Veiliger.

Tegen de keyloggers : Hoe gaat iemand in godsnaam een keylogger installen op een live cd ?
Je hebt de hash van de iso die je download en dus kan checken of er niets mee uitgespookt is.
En daarna staat ie op een Compact Disc-Read Only Memory.

En als het over hardware keyloggers gaat ... tja ... er zal altijd wel een manier zijn voor de volhardende pro, maar dit neemt 99.99% van de waarschijnlijke aanvals vectoren weg.

Mitm aanvallen zijn best niet zo gemakkelijk om volledig geslaagd uit te voeren, meestal rekenen ze op onoplettendheid van de user ivm ssl status / certificaat.
09-06-2011, 11:19 door DarkViewOfTheWorld
Tegen Keyloggers gebruik ik KeyScrambler Personal (dat is een klein gratis programma die je toets-aanslagen beveiligd door encryptie zodat keyloggers moeilijker kunnen meelezen wat er werkelijk getypt wordt), zie:

http://www.qfxsoftware.com/index.html
http://www.qfxsoftware.com/ks-windows/which-keyscrambler.htm
http://www.qfxsoftware.com/ks-windows/how-it-works.htm

Kan ik op deze manier met een gerust hart gaan internetbankieren bij de Rabobank en is hun systeem met zo'n RandomReader wel "veilig genoeg"???

Ik heb geen ervaring met dit stuk software ... maar het is software ... ergens hooked dat ding in op de kernel om zo je toets aanslagen te 'encrypten' ... wat houd malware tegen van de aanslagen te recorden voor de hook van deze software ?

Overigens is het gebruik van zo'n software over het algemeen kleiner, en hoe minder mensen het gebruiken, hoe groter de kans dat criminelen met dit specifiek stuk software niet kunnen omgaan.
12-06-2011, 14:28 door Anoniem
Even iets beter lezen.. Prikkebeen zegt zelf al dat niets 100% veilig is, dus er is niemand die hier beweert dat het wel helemaal veilig is. Ik ben zelf Windows gebruiker, maar je kunt toch moeilijk ontkennen dat er op dit moment nog steeds minder malware is voor Linux en Mac dan voor Windows... Dus je reactie lijkt me wat overdreven.

Overigens vindt ik het idee van een "live cd" voor internet bankieren wel een goeie. Of dat nu Windows, Linux of Mac gebaseeerd is, als je met een schone cd begint, kan er maar weinig misgaan, lijkt mij...

Kennelijk begrijp je toch niet helemaal welke mogelijkheden er allemaal zijn, ook als je je verbinding start vanaf een schone cd. In dat geval ga je ervan uit dat de verbinding verder volkomen veilig is. En die aanname kan je gewoon niet doen. Ik ben het ermee eens dat de meesten daar geen last van zullen hebben, maar bedrijven hebben nu eenmaal meer de bijzondere aandacht van kwaadwillenden en zijn het slachtoffer van meer gerichte aanvallen. Ook vanaf een livecd blijft het mogelijk om data verkeer te beinvloeden qua route, het werkstation te voorzien van hardware keyloggers. Als ze dan je inlognaam en wachtwoord bemachtigen, dan is het hek van de dam. TwoFactor authenticatie is ook niet meer betrouwbaar als je gebruik maakt van SecureID waarbij je gebruik maakt van tokens die aangemaakt zijn voor de aanpassing na de inbraak op het RSA systeem. Lockheed Martin is met deze informatie gehackt. Daar is het ten zeerste aan te raden je tokens om te ruilen. Maar om op je opmerking terug te komen of mijn reactie overdreven is? Nou, misschien richting natuurlijke personen wel, maar richting bedrijven zeker niet.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search