image

Security Tip van de Week: internetbankieren via boot cd

maandag 4 februari 2013, 11:24 door Konstantinos Karagiannis, 81 reacties

In de Security Tip van de week geeft elke week een andere professional, expert, onderzoeker of lezer een security tip. Persoonlijke tips, variërend van het veilig configureren van Windows, een handige security tool of het juist instellen van een firewall, waarmee de tipgever zijn systeem, applicatie of netwerk veiliger maakt.

Heb jij ook een leuke, originele, maar bovenal goede security tip die niet mag ontbreken, stuur dan een mail naar redactie@security.nl.

Deze week de tip van Konstantinos Karagiannis

Dit keer een tip voor iets wat ik eigenlijk overal zie, zowel bij vrienden als familie. Veel gezinnen gebruiken een gedeelde computer, waar ook de kinderen op spelen, ook al is de machine voor pa en ma bedoeld. In het geval van zo'n gedeelde computer zou ik alleen internetbankieren via een 'bootable distributie', een besturingssysteem dat je vanaf cd of USB-stick kunt starten. Kies gewoon iets waarmee je kunt werken en dat je vanaf aparte media opstart. Je doet hiermee je transacties, zet hem uit, herstart de computer en laadt vervolgens het standaard geinstalleerde besturingssysteem.

Op een gedeelde computer, zeker als er kinderen in het spel zijn, verschijnen er al snel allerlei pop-ups en is er malware in de achtergrond actief. Veel van de gamingsites die ik af en toe bekijk zijn prima om in een laboratorium een computer 'vies' te maken, en bijvoorbeeld te gebruiken om anti-virussoftware te testen. Ze staan vaak vol met drive-by download-aanvallen.

Het is natuurlijk een goed idee om de malware van deze machines te verwijderen, maar als je echt gevoelige transacties hebt, zou ik het niet van het geinstalleerde besturingssysteem uitvoeren.

Voor wie niet echt security-minded is, is een Ubuntu Live CD zeer gebruiksvriendelijk. Het is intuïtief uit te zoeken hoe het werkt en via een paar muisklikken weet je wat je moet doen.

Het is tegenwoordig erg eenvoudig om een USB-stick te maken waarmee je kunt opstarten, anders is er natuurlijk nog altijd de optie om een cd te branden. Het voordeel van een USB-stick is dat je bepaalde dingen kunt instellen, zoals te bezoeken websites.

Het gebruik van een account met verminderde rechten is geen oplossing. Eén van de grootste problemen met verminderde rechten is dat je elke twee minuten je zes-jarige hoort schreeuwen dat ze geen spel kan installeren. Gezinnen kunnen dan in de val trappen om in alle gevallen maar op oké en installeren te klikken en voor je het weet heb je een virus te pakken.

Als je eenmaal gewend bent om een cd of USB-stick te gebruiken dan wordt het vanzelf een tweede natuur. Het is inderdaad een extra stap, maar als je midden in een banktransactie zit wil je niet dat er een pop-up voor het één of ander verschijnt. Dat kan beangstigend zijn als je nagaat wat er nog meer op de achtergrond plaatsvindt.

Konstantinos Karagiannis is Principal Consultant Ethical Hacking. Werkzaam voor de unit 'Managed Security Solutions EHCOE' (EHCOE = Ethical Hacking Centre of Excellence) bij BT Global Services.

Dit artikel is geschreven op persoonlijke titel van de auteur en reflecteert niet noodzakelijk de zienswijze van Security.NL.

Reacties (81)
04-02-2013, 11:31 door Anoniem
Goed advies. Als aanvulling zou ik Tails adviseren voor de meer privacy/security minded mensen.
Je kan hem hier downloaden: https://tails.boum.org/. Super easy setup en je bent zeker dat er geen gekkigheid gebeurd tijdens je banksessie.
04-02-2013, 11:31 door Anoniem
Klinkt als een goede tip. Hebben andere mensen hier nog een mening over?
04-02-2013, 11:38 door Mysterio
Op een gedeelde computer, zeker als er kinderen in het spel zijn, verschijnen er al snel allerlei pop-ups en is er malware in de achtergrond actief. Veel van de gamingsites die ik af en toe bekijk zijn prima om in een laboratorium een computer 'vies' te maken, en bijvoorbeeld te gebruiken om anti-virussoftware te testen. Ze staan vaak vol met drive-by download-aanvallen.
Als je het al niet voor elkaar krijgt om de basis veiligheidsprincipes toe te passen, zoals werken met beperkte rechten, goede AV-producten, verschillende accounts, eventueel tools zoals Bitdefender PaySafe, up-to-date software en goede afspraken met kinderen m.b.t. veilige spelletjes-sites, dan vraag ik me af of je het ooit aangeleerd krijgt om een Boot-CD te gebruiken.
04-02-2013, 11:57 door Anoniem
Ik voorspel dat dit de standaard manier van bankieren wordt over een aantal jaar. Ik denk dat banken straks USB sticks of bootable CD's gaan leveren aan hun klanten.

De kosten van het maken van zo'n CD/USB stick is denk ik vele maken goedkoper, dan alle frauduleuze transacties vergoeden.

Nog een stapje verder, denk ik dat de banken gaan stellen, dat wanneer je niet gebruik maakt van zo'n bootable systeem, je ook niet meer de frauduleuze transacties vergoed krijgt. Dus dat de klant zelf opdraaid voor de illegale transacties die vanuit jouw account gebeuren.

Er zijn nu al strengere eisen in de maak / voorgesteld.
https://www.security.nl/artikel/43659/1/PvdA_stelt_vragen_over_eigen_risico_internetbankieren.html

En dan vraag ik me af, hoelang mobiel bankieren dan nog veilig blijft? Aangezien android systemen ook al onder vuur liggen met malware en virussen, is het wachten totdat daar ook de eeste frauduleuze transacties komen.

TheYOSH
04-02-2013, 11:59 door [Account Verwijderd]
Ja, ik verwacht ook niet dat een gebruiker makelijk een aparte CD zal starten om zijn bankzaken te doen, of hij of zij
moet al een keer het slachtoffer geworden zijn van Malware, Virus of nog erger.

Zou het niet mogelijk zijn om bv met VMware player het zelfde voor elkaar te krijgen? En dan natuurlijk wel elke mogelijke
koppeling tussen host OS en virtual verwijderen.
04-02-2013, 12:10 door [Account Verwijderd]
[Verwijderd]
04-02-2013, 12:20 door Anoniem
Je kunt zelfs nog iets verder gaan en deze livecd/usb gebruiken in combinatie met een aardig paranoide iptables script
zoals bijvoorbeeld "lockdown" (github.com/warkruid/lockdown), maar zoals iNeo al opmerkte ben ik dan ook al een keer slachtoffer geweest van malware.
04-02-2013, 12:24 door Anoniem
Gewoon een goede tip. Het is jammer dat heel veel mensen onwetend zijn over dit soort gevaren. Er zou meer aandacht voor moeten komen.

Anderzijds het is een "oplossing" voor een probleem. De basis is en blijft de oorzaak verhelpen; hoe lastig dit ook blijft.
04-02-2013, 12:26 door Above
Bitdefender Antivirus heeft ook al een mooie oplossing met het starten van internet bankieren kwam ik net achter met bankieren. Althans, 100% veilig ben je nooit.

Bitdefender Safepay
Online veiliger winkelen lijkt daarmee een van de speerpunten van het bedrijf. De beveiliging voor online aankopen wordt door Bitdefender Safepay genoemd en houdt in dat wanneer jij je bankzaken wil regelen, dat automatisch wordt gedaan via een speciaal beveiligde browser. Deze functie wordt vanzelf geactiveerd als de gebruiker inlogt op zijn account. En wanneer men gebruikmaakt van een publieke wifi-verbinding, dan vindt er een beveiligde VPN-verbinding plaats. Verder bevat Safepay een virtueel toetsenbord, wat het voor hackers moeilijker moet maken om je toetsaanslagen te lezen.

Dat de antivirussoftware met zijn tijd meegaat, wordt ook wel duidelijk door de Anti-Theft-module. Hiermee behoud je de controle over zowel je computer als je smartphones en/of tablets, zelfs als ze gestolen of kwijtgeraakt zijn. Je kunt de aangesloten apparaten vergrendelen, lokaliseren of als het kwaad al is geschied de gegevens op afstand wissen.
04-02-2013, 12:41 door Anoniem
De oplossingen die hier genoemd worden in combie met een Virtual machine, zal niet werken denk ik. Want deze zijn schrijfbaar. Ik denk dat de enige veilige manier is een Live CD van de bank, met daarop maar 1 browser, waar je maar naar 1 bank/website kunt.

Helaas zal dit betekenen als je bij meerdere banken zit, je ook meerdere Live CD's zult hebben. Wat natuurlijk best wel onwerkbaar wordt. Dus een oplossing zou kunnen zijn, dat er 1 Live CD wordt gemaakt voor alle banken samen. En met een white list van goed gekeurde bank websites wordt gewerkt.

Maar mijn stelling is dat veilig bankieren alleen kan op een niet schrijfbaar systeem. Dus een Live CD.

Maar om nog ff verder te gaan, dan wordt de volgende aanvalsvector de ADSL/Kabel router. Want ook hier zijn er lekken bekend voor bepaalde modellen, en ook hier zou je bijvoorbeeld via een gehackte DNS instelling, het bank verkeer kunnen door sturen, en aanpassen. Want ook SSL is niet altijd even veilig... En wie update nou zijn ADSL / Kabel router? Ok, met kabel kan die automatisch, als deze geherstart wordt via een power cycle.

En hoe zit het met iDeal? Je gaat niet voor elke aankoop ff je virtuele machine of LiveCD starten. Dus ook daar zit nog een aanvalsvector. Nu kun je daar volgens mij alleen maar het bedrag aanpassen.... Dus minder gevaarlijk maar toch...

Dus al met al, zal het nog wel ff een tijdje doorgaan met het kat en muis spelletje. Maar ik houd op met mijn doemdenken.
We zullen zien wat er dit jaar komt van de banken.

TheYOSH
04-02-2013, 12:58 door Anoniem
Deze "oplossing" is wel zo extreem gebruiksonvriendelijk. Het punt is namelijk dat je niet achter je computer gaat zitten voor een stevig uurtje "internetbankieren". In de praktijk ben je aan het surfen en wil je een paypal of ideal transactie doen. Moeten eindgebruikers serieus de link opschrijven, de computer opnieuw opstarten, de transactie uitvoeren en weer teruggaan naar de "normale" windows installatie?

Ja, het is veilig. Maar er is een balans tussen gebruiksgemak en veiligheid en die is met deze oplossing totaal zoek.

Ik ga het mantra herhalen: Zorg dat je een up-to-date systeem hebt. Gebruik Chrome zodat je geen losse flash installatie meer nodig hebt op je Windows systeem. Verwijderd Java en Flash. Update adobe. En het belangrijkste, gebruik een goede beveiligingssuite. Ik geef de voorkeur aan ESET Smart Security maar Gdata en Kaspersky doen het ook prima.

En als je kind elke 6 minuten administratorrechten nodig heeft denk ik dat het héél verstandig is deze uberhaupt niet op je eigen computer te laten. Zo'n berg software is nooit goed voor het systeem.
04-02-2013, 13:34 door golem

Als aanvulling zou ik Tails adviseren voor de meer privacy/security minded mensen.
Je kan hem hier downloaden: https://tails.boum.org/. Super easy setup en je bent zeker dat er geen gekkigheid gebeurd tijdens je banksessie.

Tails gebruiken voor internetbankieren ?
Juist niet doen.

Waarom wil je anoniem blijven voor je bank ?
Zodra je inlogt ben je bekend.

Via Tails ga je over het TOR-netwerk, lijkt mij voor banken gelijk
een trigger om het tegen te houden.

Je gaat internetbankieren via verbindingen van anderen.
Waarom het risico lopen, 1 security-probleem in Tails/TOR en daar ga je.
Het is een onnodige extra laag.
04-02-2013, 13:35 door golem
Hmm. mijn reactie werd 2x opgeslagen. Dus 2e even gewist.
04-02-2013, 13:35 door Anoniem
Lekker practische tip ook... Even geld overmaken - CDtje booten - potver, wat was het nummer ook alweer. E-mail zit in andere OS - effe Windows weer opstarten - ach laat maar, ik doe het zo wel.

Ook je belastingaangifte doen met on-line rekeningoverzichten, de contributie van de voetbalclub overmaken, je e-dentifier2 met USB gebruiken: dat gaat toch allemaal niet werken?

't Is de pest van security: de gouden driehoek tussen usability, features en security: pick only two...
04-02-2013, 13:48 door SimonS
Door iNeo: Ja, ik verwacht ook niet dat een gebruiker makelijk een aparte CD zal starten om zijn bankzaken te doen, of hij of zij
moet al een keer het slachtoffer geworden zijn van Malware, Virus of nog erger.

Zou het niet mogelijk zijn om bv met VMware player het zelfde voor elkaar te krijgen? En dan natuurlijk wel elke mogelijke
koppeling tussen host OS en virtual verwijderen.

Dat is zeker mogelijk iNeo. Het voordeel echter van een bootable cd is dat deze niet gewijzigd kan worder, dus elke keer dat je hem opstart is hij clean. Nadeel (klein) is dat je handmatig de url van je bank moet intikken
04-02-2013, 13:50 door SimonS
Door Mysterio:
Op een gedeelde computer, zeker als er kinderen in het spel zijn, verschijnen er al snel allerlei pop-ups en is er malware in de achtergrond actief. Veel van de gamingsites die ik af en toe bekijk zijn prima om in een laboratorium een computer 'vies' te maken, en bijvoorbeeld te gebruiken om anti-virussoftware te testen. Ze staan vaak vol met drive-by download-aanvallen.
Als je het al niet voor elkaar krijgt om de basis veiligheidsprincipes toe te passen, zoals werken met beperkte rechten, goede AV-producten, verschillende accounts, eventueel tools zoals Bitdefender PaySafe, up-to-date software en goede afspraken met kinderen m.b.t. veilige spelletjes-sites, dan vraag ik me af of je het ooit aangeleerd krijgt om een Boot-CD te gebruiken.

Voor iemand die goed bekend is met computers is dit misschien overduidelijk, maar Jan Normaalgebruiker is allang blij dat alles werkt. Of opstarten via een cd of usb dan wel gemakkelijk uit te leggen is is een 2e :)
04-02-2013, 14:12 door golem

Of opstarten via een cd of usb dan wel gemakkelijk uit te leggen is is een 2e :)

Heel makkelijk lijkt me.
Opstartvolgorde in BIOS / UEFI wijzigen zodat PC altijd eerst probeert op te starten
vanaf CD/DVD.
Dan kleine demonstratie/uitleg. CD plaatsen/verwijderen.
04-02-2013, 14:16 door yobi
De boot-CD kan een goede oplossing zijn. Zelf zou ik een oude computer inrichten met Linux en deze voor de transacties gebruiken. Het race-monster met Windows is dan voor de rest van de familie.
04-02-2013, 14:26 door Charley51
Door Anoniem: Deze "oplossing" is wel zo extreem gebruiksonvriendelijk. Het punt is namelijk dat je niet achter je computer gaat zitten voor een stevig uurtje "internetbankieren". In de praktijk ben je aan het surfen en wil je een paypal of ideal transactie doen. Moeten eindgebruikers serieus de link opschrijven, de computer opnieuw opstarten, de transactie uitvoeren en weer teruggaan naar de "normale" windows installatie?

Ja, het is veilig. Maar er is een balans tussen gebruiksgemak en veiligheid en die is met deze oplossing totaal zoek.

Ik ga het mantra herhalen: Zorg dat je een up-to-date systeem hebt. Gebruik Chrome zodat je geen losse flash installatie meer nodig hebt op je Windows systeem. Verwijderd Java en Flash. Update adobe. En het belangrijkste, gebruik een goede beveiligingssuite. Ik geef de voorkeur aan ESET Smart Security maar Gdata en Kaspersky doen het ook prima.

En als je kind elke 6 minuten administratorrechten nodig heeft denk ik dat het héél verstandig is deze uberhaupt niet op je eigen computer te laten. Zo'n berg software is nooit goed voor het systeem.
1e Alinea: "extreem gebruiksonvriendelijk" slaat nergens op. Wat is er zo ingewikkeld aan het opstarten met een cd? En je gaat niet "zomaar" internetbankieren, maar men werkt daar bewust naartoe. En ja, het is beter voor de "awareness" om dit soort zaken constant via een apart systeem te doen.
2e alinea: je overdrijft. Hoe gemakkelijker iets lijkt, des te meer risico je loopt.
3e alinea: het mantra kost een gemiddelde gebruiker veel meer tijd. Even MS updaten ben je toch al gauw een half uurtje kwijt, de nodige herstarts(!) daargelaten. Daarbij kost beveiliging ook nog eens extra geld, terwijl je nooit zeker weet, of dit helemaal afdoende is.

Als ik eenmaal een cd-tje heb, hoef ik alleen daarvan op te starten, eventueel een verbinding maken en daarna de browser te starten en het adres van de bank te typen. Geschatte tijd: pl/min 5 minuten. De volgende keer begin ik weer precies vanaf 0 (nul), dus dat went heel snel. Na opstarten zit ik met 3 muisklikken op de server van de bank! En het veiligst is, dat je het ip-nummer van de bank opsnort, dat scheelt ook nog eens een dns-query. Je gaat dan rechtstreeks naar de inlogpagina.
En het mooiste is, dat het helemaal legaal is en niets kost.
04-02-2013, 14:35 door Anoniem
Wij gebruiken geen Linux , geen FireFox en geen boot CD. Alleen duurzame beveiligingen op Win7 en Win8. Niet te vergeten onze eigen kennis van beveiliging. Wij hebben nog nooit gevaar opgelopen en zijn 24hr. online. Bankieren en allerlei andere zakelijke dingen gaat prima zo! Wilden we gewoon even kwijt......

RjSeeker.c.c Et Tim Luo
ELD
04-02-2013, 14:41 door Anoniem
En het mooiste is, dat het helemaal legaal is en niets kost.

Haha! Niets kost?!? Heb jij je moeder wel eens uitgelegd hoe ze het IP adres van d'r bank kan "opsnorren"?!? Failover mechanismes daargelaten die je verwijzen naar een andere server is dat gewoon geklungel voor het merendeel van het volk.Gratis betekent niet dat het niets kost - het kost eindeloos veel bellen, uitleggen en frustratie...

Waarom denk je dat er zoveel gehacked wordt - omdat mensen het niet begrijpen! En booten naar CD naar een OS dat anders is dan Windows, met een browser die anders is dan IE of Firefox (en ja - Firefox is anders onder linux), en ook: met een CDtje dat na een jaar flink achterloopt qua beveiliging. Het gaat gewoon niet werken...

Wat eventueel wel zou werken is van dat CD-tje een VMware image opbooten ipv de hele machine.
04-02-2013, 14:49 door Patio
Met een Mac moet een andere oplossing worden gezocht of gewoon de standaardmethode blijven gebruiken. Trouwens: De kinderen hebben toch hoop ik nog geen pinpas?
04-02-2013, 15:06 door [Account Verwijderd]
[Verwijderd]
04-02-2013, 15:09 door Anoniem
Ik ken security officers bij banken die dit al jaren intern bepleiten. Sinds 2003 om precies te zijn.
04-02-2013, 15:11 door Anoniem
Door exit: Er is dus een super veilige oplossing, de live cd, sinds 2005 of zo, maar de meeste mensen willen niet leren of vinden het te veel moeite, nou ja dan heb je gewoon pech gehad als het je overkomt, maar dan ook niet huilen want veilig internet bankieren zal nooit bestaan, nu niet en in de toekomst nog minder en banken leggen de schuld ook steeds meer bij de klant dus als klant zul je altijd verliezen.

Er is een superveilige methode tegen longkanker - niet roken. En tegen hart en vaatziekten - vooral geen vet en zout eten. Geen drank, dat helpt ook tegen dood gaan. En word je toch ziek, dan niet huilen, dan heb je gewoon pech gehad...

Het is natuurlijk de 'scene' hier vooral gefocused op security, en niet op functionaliteit, dus dat verklaart. Maar veiligheid is niet het enige doel in het leven - het moet ook leuk blijven...
04-02-2013, 15:51 door Anoniem
Door Charley51:
Door Anoniem: Deze "oplossing" is wel zo extreem gebruiksonvriendelijk.
1e Alinea: "extreem gebruiksonvriendelijk" slaat nergens op. Wat is er zo ingewikkeld aan het opstarten met een cd? En je gaat niet "zomaar" internetbankieren, maar men werkt daar bewust naartoe. En ja, het is beter voor de "awareness" om dit soort zaken constant via een apart systeem te doen.
2e alinea: je overdrijft. Hoe gemakkelijker iets lijkt, des te meer risico je loopt.
3e alinea: het mantra kost een gemiddelde gebruiker veel meer tijd. Even MS updaten ben je toch al gauw een half uurtje kwijt, de nodige herstarts(!) daargelaten. Daarbij kost beveiliging ook nog eens extra geld, terwijl je nooit zeker weet, of dit helemaal afdoende is.

Als ik eenmaal een cd-tje heb, hoef ik alleen daarvan op te starten, eventueel een verbinding maken en daarna de browser te starten en het adres van de bank te typen. Geschatte tijd: pl/min 5 minuten. De volgende keer begin ik weer precies vanaf 0 (nul), dus dat went heel snel. Na opstarten zit ik met 3 muisklikken op de server van de bank! En het veiligst is, dat je het ip-nummer van de bank opsnort, dat scheelt ook nog eens een dns-query. Je gaat dan rechtstreeks naar de inlogpagina.
En het mooiste is, dat het helemaal legaal is en niets kost.

Het opstarten van een CD is niet ongebruiksvriendelijk. Het moenten onderbreken van je internetsessie, je computer opnieuw starten, bankieren en je oude omgeving weer starten daarintegen wél. Dat is het gebruiksonvriendelijke element aan deze oplossing.

Ja, gemak(zucht) is een risico an sich, maar met deze oplossing doe je de voordelen van telebankieren teniet. En Windows updates starten doorgaans als de computer afsluit, dus daar heeft de gebruiker weinig hinder van in een thuisomgeving.

Mijn punt is dat dit voor de doorsnede computergebruiker gewoon erg omslachtig is. Bovendien lijk je te suggereren dat een bootable omgeving geen (betaalde) virusscanner nodig heeft. Doodzonde, want als je al die moeite doet om een veilig OS te booten heb je alsnog geen bescherming als er tóch nog malware aanklopt.
04-02-2013, 16:26 door Anoniem
Het punt met dit soort Tips is altijd dat de mensen waarvoor het bedoeld is hier helemaal niets mee kunnen.

Voor mij met al m'n kennis is het een appeltje eitje om ff een bak op te starten van USB of CD m'n ding te doen en klaar te zijn, maar met die kennis weet ik ook wel hoe ik m'n workstation zo moet inrichten dat ik geen gevaar loop.

tegen de tijd dat mijn vader een bootable medium aan de gang heeft en weet hoe hij dan verder moet inloggen. Dan zijn we een maand verder.

De schrijver van dit artikel leidt dan ook duidelijk aan beroepsdeformatie. Opzich een prima plan, maar totaal onwerkbaar voor de mensen waarvoor het dient. wat mij betreft.
04-02-2013, 16:27 door [Account Verwijderd]
[Verwijderd]
04-02-2013, 16:30 door Anoniem
Door Anoniem: Wij gebruiken geen Linux , geen FireFox en geen boot CD. Alleen duurzame beveiligingen op Win7 en Win8. Niet te vergeten onze eigen kennis van beveiliging. Wij hebben nog nooit gevaar opgelopen en zijn 24hr. online. Bankieren en allerlei andere zakelijke dingen gaat prima zo! Wilden we gewoon even kwijt......

RjSeeker.c.c Et Tim Luo
ELD

duurzame beveiligingen : vertel dan eens hoe.
Of heb je het over beveiligingen die de thuisgebruiker nooit zal aanschaffen ?
Want dit verhaal gaat wel over de thuisgebruiker.

Nooit gevaar gelopen : Onzin, er is altijd gevaar.
04-02-2013, 16:35 door Anoniem
Ach gebruik er een laptop voor waar ik niets anders mee doet. En met me desktop gebruik ik voor de games, films enz...
04-02-2013, 18:25 door Anoniem
Ik heb 1 schone windows 7 insallatie in vmware en daarbij maak ik gebruik van een vpn.
Ben ik klaar sluit ik de machine af en ga ik verder in mijn normale vmware workstation.

Denk dat dit wel redelijk safe is.
04-02-2013, 19:38 door Duck-man
Eén van de grootste problemen met verminderde rechten is dat je elke twee minuten je zes-jarige hoort schreeuwen dat ze geen spel kan installeren.
Ik weet het niet hoor maar zit hier niet het probleem? Een zes jarige die om de twee minuten zit te schreeuwen dat ze geen spel kan installeren. Moet gewoon eens op gevoed worden. En als ze wat ouder worden moet je je kinderen digitale hygiëne bij brengen. Je leert je kindjes toch ook handen wassen als ze naar de WC zijn geweest, handen voor de mond als ze hoesten. etc.
Natuurlijk is er niks mis mee om LINUX op je PC te zetten met goede toegangs-rechten. Alleen jammer dat deze deskundige weer niet verder komt dan Ubuntu.
04-02-2013, 19:40 door Anoniem
Ik heb kort geleden een Linux Mint cd gemaakt. Ik had daarbij ook de optie Linux Mint oo mijn systeem te instaleren dus naast Windows. Heb ik geprobeerd en bij het opstarten krijg ik dan netjes de keuze of ik met linux of Windows wil opstarten. Deze methode is dus veel gebruiks vriendelijker dan opstarten vanaf een cd )gaat veel sneller. Maar er zitten ongetwijfeld nadelen aan verbonden, bijvoorbeeld dat het minder veilig is dan vanaf een cd???
04-02-2013, 22:17 door Charley51
Door Anoniem:
En het mooiste is, dat het helemaal legaal is en niets kost.

Haha! Niets kost?!? Heb jij je moeder wel eens uitgelegd hoe ze het IP adres van d'r bank kan "opsnorren"?!?
Heel simpel: één e-mail naar de bank en je krijgt het zó. 1 x opschrijven en op een post-it aan het scherm plakken. Voor de duidelijkheid: geen wachtwoord erbij zetten dus.

Ik heb aan genoeg mensen uitgelegd hoe het werkt (gewoon ff erbij gaan zitten) en begeleiden. Desnoods nog 1 keer bij een volgend bezoek en dan weten ze het meestal. Je moet ze zelf de stappen ook laten opschrijven op papier. (actief bij betrekken) Dan hebben ze iets, waarop ze terug kunnen vallen. Je moet je bewust worden van het (mogelijke) gevaar, wat aanwezig is bij internetbankieren.

Maar je moet het ook allemaal wel willen en het vooral niet als 'lastig' ervaren, want dan leer/wil je het nooit. Nou ja, totdat er 30.000 euro van je rekening verdwijnt, dan ben je ineens wèl gemotiveerd. Snap je? Zie Anoniem 12:20 die heeft zijn les geleerd.

@Duck-man (19:38): Je kunt wel andere distro's nemen, maar Ubuntu (en derivaten) hebben wel de beste hardware-herkenning en draait op (nagenoeg) iedere configuratie. Je moet bij internetbankieren ook nog niet eerst eens allerlei hardware-problemen gaan oplossen, dat schiet dus niet op.
04-02-2013, 23:30 door cowboysec
Heel goed artikel, Konstantinos Kennelijk ben ik niet de enige die daar zo over denkt.

Ook voor niet met derden gedeelde computers maar voor 'toepassings'-gedeelde computers kan ik dit aanbevelen. Beschouw de PC waarmee je veel surft over de Internet-golven, leuke spelletjes op draait, downloadt en ga zo maar door als een soort test-omgeving. Deze omgeving is doorgaan te onbetrouwbaar om veilig te kunnen Internet-bankieren. Om dan toch veilig te bankieren adviseer ik ook een aparte boot CD - of stick, die je voor de transacties opstart en verlaat als je daarmee klaar bent.

Is 'fool-proof' en anno 2013 snel uit te voeren (kost je maar enkele minuten extra in totaal). Als je 1x een echt security probleem hebt ben je de extra tijd voor jaren kwijt. Scannen, cleanen ...kost doorgaans dagen en dat zijn vele minuten dus.
04-02-2013, 23:31 door cowboysec
Door Anoniem: Klinkt als een goede tip. Hebben andere mensen hier nog een mening over?
Mijn mening heb ik bij de algemene reactie al geplaats. Ik onderschrijf dit advies 100%!
04-02-2013, 23:33 door cowboysec
Door Mysterio:
Op een gedeelde computer, zeker als er kinderen in het spel zijn, verschijnen er al snel allerlei pop-ups en is er malware in de achtergrond actief. Veel van de gamingsites die ik af en toe bekijk zijn prima om in een laboratorium een computer 'vies' te maken, en bijvoorbeeld te gebruiken om anti-virussoftware te testen. Ze staan vaak vol met drive-by download-aanvallen.
Als je het al niet voor elkaar krijgt om de basis veiligheidsprincipes toe te passen, zoals werken met beperkte rechten, goede AV-producten, verschillende accounts, eventueel tools zoals Bitdefender PaySafe, up-to-date software en goede afspraken met kinderen m.b.t. veilige spelletjes-sites, dan vraag ik me af of je het ooit aangeleerd krijgt om een Boot-CD te gebruiken.
Ondanks de basis veiligheidseisen (ik hanteer er wel 50!) onderschrijf ik dit advies. Onkundigen, leken, kinderen... en zelfs gevorderden kunnen in 'test-omgevingen' snel besmet raken ondanks opvolgend evan de fundamentele basisveiligheden.

Door een aparte boot/USB te gebruiken sluit je dit gewoon uit en ben je tijdelijk veilig genoeg voor Internet-bankieren.
04-02-2013, 23:40 door cowboysec
Door Anoniem: Ik voorspel dat dit de standaard manier van bankieren wordt over een aantal jaar. Ik denk dat banken straks USB sticks of bootable CD's gaan leveren aan hun klanten.

De kosten van het maken van zo'n CD/USB stick is denk ik vele maken goedkoper, dan alle frauduleuze transacties vergoeden.

Nog een stapje verder, denk ik dat de banken gaan stellen, dat wanneer je niet gebruik maakt van zo'n bootable systeem, je ook niet meer de frauduleuze transacties vergoed krijgt. Dus dat de klant zelf opdraaid voor de illegale transacties die vanuit jouw account gebeuren.

Er zijn nu al strengere eisen in de maak / voorgesteld.
https://www.security.nl/artikel/43659/1/PvdA_stelt_vragen_over_eigen_risico_internetbankieren.html

En dan vraag ik me af, hoelang mobiel bankieren dan nog veilig blijft? Aangezien android systemen ook al onder vuur liggen met malware en virussen, is het wachten totdat daar ook de eeste frauduleuze transacties komen.

TheYOSH
- er is geen betere oplossing dan een aparte boot USB/stick zolang de architecturen niet drastisch veranderen. Ik ben het met de voorspelling helemaal eens.
- De banken zullen inderdaad zich steeds harder gaan opstellen. Het zou een hoop schelen als ze transparanter zouden communiceren op dit gebied en zo'n advies zouden afgeven om een bootstick of zo te gebruiken voor bankieren
- Ik hoorde vorige week dat in Duitsland al een behoorlijke discussie bij de banken zou zijn aangaande TAN-codes op smartdevices waarop je ook Internet bankiert. Ik kan helaas nog geen harde bronnen vinden, zoals gewoonlijk.

De banken zijn zelf behoorlijk schuld an al die problemen. Ze weten best dat leken het niet meer kunnen vinden, maar vinden dat niet hun probleem. Ze willen af van die handmatige (balie-)handelingen.

Ik hoop dat Opstelten met zijn NCSC hier ook wat aan doet.

Het is allemaal niet zo moeilijk voor deskundigen, edoch technisch zeer complex. Alleen al die politiek, commercie, ;het willen beheersen als manager zonder kennis en kunde... die het beeld zo vertroebelen en de uitvoering lastig maken.
04-02-2013, 23:41 door Anoniem
Mijn grootste probleem blijft mijn wachtwoord-manager: "roboform".
Ik ken voor mijn banken, noch mijn gebruikersnaam, noch wachtwoord uit mijn hoofd.
Dezen zijn op z'n langst en willekeurig en zijn opgeslagen alleen in de wachtwoordmanager.

Hoe ga je bij een live-cd om met wachtwoordmanagers?
04-02-2013, 23:43 door cowboysec
Door iNeo: Ja, ik verwacht ook niet dat een gebruiker makelijk een aparte CD zal starten om zijn bankzaken te doen, of hij of zij
moet al een keer het slachtoffer geworden zijn van Malware, Virus of nog erger.

Zou het niet mogelijk zijn om bv met VMware player het zelfde voor elkaar te krijgen? En dan natuurlijk wel elke mogelijke
koppeling tussen host OS en virtual verwijderen.

Cowboysec:
ik praktiseer deze methoden al jaren.
De stick/CD boot-oplossing is het ultieme middel voor veilig Internet bankieren. Het is echt heel gemakkelijk, en is gewoon een 'startsleutel' van je auto waarmee je naar de bank rijdt.

Virtual Systemen maken het wel een stuk veiliger maar er zijn gemeenschappelijke resources (geheugen, videoRAM, disk) waar malware doorheen kan glippen. Er is zelfs malware die Virtuele systemen herkent en daarop anticipeert.
04-02-2013, 23:46 door cowboysec
Door exit: Onbegrijpelijk dat het wiel toch steeds weer opnieuw uitgevonden moet worden, zijn mensen nou dom of lijkt het maar zo.

Sommige mensen zijn dom, sommigen onkundig, anderen bedweterig.
Daarnaast houden de banken dit 'mistig' om vooral geen negatieve effecten te krijgen waardoor e0bankieren zou stagneren ergo zou afnemen.

Door deze discussies hier en in andere media steeds te voeren worden steeds meer mensen betrokken en neemt de awareness wel toe.
04-02-2013, 23:50 door cowboysec
Door Anoniem: Gewoon een goede tip. Het is jammer dat heel veel mensen onwetend zijn over dit soort gevaren. Er zou meer aandacht voor moeten komen.

Anderzijds het is een "oplossing" voor een probleem. De basis is en blijft de oorzaak verhelpen; hoe lastig dit ook blijft.

Dit is de ULTIEME oplossing in mijn ogen. En zelfs amerikaanse militairen doen het om in onveilige omgevingen veilig te kunnen communiceren. Maar helaas weten de managers, nederlandse politici en wat nog meer het altijd betere met alle gevolgen van dien.

Deze oorzaak zal nooit weg gaan, net als natuurlijke (griep-)virussen en noem maar op steeds weer opstaan en muteren.

Dit houdt de computers/Internet juist levend en dynamisch.

Ook komen daarmee zaken aan het daglicht die men graag duister wil houden al/niet te goeder trouw.
04-02-2013, 23:53 door [Account Verwijderd]
[Verwijderd]
04-02-2013, 23:54 door cowboysec
Door Anoniem: De oplossingen die hier genoemd worden in combie met een Virtual machine, zal niet werken denk ik. Want deze zijn schrijfbaar. Ik denk dat de enige veilige manier is een Live CD van de bank, met daarop maar 1 browser, waar je maar naar 1 bank/website kunt.

Helaas zal dit betekenen als je bij meerdere banken zit, je ook meerdere Live CD's zult hebben. Wat natuurlijk best wel onwerkbaar wordt. Dus een oplossing zou kunnen zijn, dat er 1 Live CD wordt gemaakt voor alle banken samen. En met een white list van goed gekeurde bank websites wordt gewerkt.

Maar mijn stelling is dat veilig bankieren alleen kan op een niet schrijfbaar systeem. Dus een Live CD.

Maar om nog ff verder te gaan, dan wordt de volgende aanvalsvector de ADSL/Kabel router. Want ook hier zijn er lekken bekend voor bepaalde modellen, en ook hier zou je bijvoorbeeld via een gehackte DNS instelling, het bank verkeer kunnen door sturen, en aanpassen. Want ook SSL is niet altijd even veilig... En wie update nou zijn ADSL / Kabel router? Ok, met kabel kan die automatisch, als deze geherstart wordt via een power cycle.

En hoe zit het met iDeal? Je gaat niet voor elke aankoop ff je virtuele machine of LiveCD starten. Dus ook daar zit nog een aanvalsvector. Nu kun je daar volgens mij alleen maar het bedrag aanpassen.... Dus minder gevaarlijk maar toch...

Dus al met al, zal het nog wel ff een tijdje doorgaan met het kat en muis spelletje. Maar ik houd op met mijn doemdenken.
We zullen zien wat er dit jaar komt van de banken.

TheYOSH
Cowboysec:
OK. Maar laten we gewoon eens beginnen metv de PC. De volgende stap is dan de kabel, het internet, SSl en wat nog meer.
Je kunt overigens met 1 life CD alle banken benaderen.
iDeal is ook bankieren: beschouw dit als hetzelfde in dit betoog.

Het aantal transacties is doorsnee toch maar enkele keren per week en dat USB/booten ervoor kost maar minyuten extra en kun je gemakkelijk plannen. De banken zouden het gewoon verplicht moeten stellen dan hebben we gen verdere discussie meer hierover.
04-02-2013, 23:58 door cowboysec
Door Anoniem: Deze "oplossing" is wel zo extreem gebruiksonvriendelijk. Het punt is namelijk dat je niet achter je computer gaat zitten voor een stevig uurtje "internetbankieren". In de praktijk ben je aan het surfen en wil je een paypal of ideal transactie doen. Moeten eindgebruikers serieus de link opschrijven, de computer opnieuw opstarten, de transactie uitvoeren en weer teruggaan naar de "normale" windows installatie?

Ja, het is veilig. Maar er is een balans tussen gebruiksgemak en veiligheid en die is met deze oplossing totaal zoek.

Ik ga het mantra herhalen: Zorg dat je een up-to-date systeem hebt. Gebruik Chrome zodat je geen losse flash installatie meer nodig hebt op je Windows systeem. Verwijderd Java en Flash. Update adobe. En het belangrijkste, gebruik een goede beveiligingssuite. Ik geef de voorkeur aan ESET Smart Security maar Gdata en Kaspersky doen het ook prima.

En als je kind elke 6 minuten administratorrechten nodig heeft denk ik dat het héél verstandig is deze uberhaupt niet op je eigen computer te laten. Zo'n berg software is nooit goed voor het systeem.

Deels mee eens. Maar een USB/boot is toch een stuk veiliger. De banken zouden de risico-inschatting bij de gebruiker moeten leggen. Als die vindt zelf een alternatief te hebben, dan moet dat kunnen maar moet hij zelf het risico 100% dragen voor als het mis gaat.

Ja; probeer dan te plannen en koop niet lukraak tussendoor.
Je gaat doorgaans toch ook niet voetballen, tijdens de wedstrijd winkelen, fietsen, geld halen in je wielrennersbroek in de pauze,
tijdens je werk een auto kopen in de pauze ...

Laten we nu eindelijk een goed starten en het niet allemaal zo lastig houden.
05-02-2013, 00:01 door cowboysec
Door Anoniem: Lekker practische tip ook... Even geld overmaken - CDtje booten - potver, wat was het nummer ook alweer. E-mail zit in andere OS - effe Windows weer opstarten - ach laat maar, ik doe het zo wel.

Ook je belastingaangifte doen met on-line rekeningoverzichten, de contributie van de voetbalclub overmaken, je e-dentifier2 met USB gebruiken: dat gaat toch allemaal niet werken?

't Is de pest van security: de gouden driehoek tussen usability, features en security: pick only two...

Ik weet het. Ik doe het ook niet altijd.
Maar het is iemand eigen keuze of hij gemakkelijker, veiliger of sneller wil werken.
Het gegeven is er. De oplossing is er.

Probeer het gewoon anders te organiseren en je bent dan wel niet meet 100% snel, maar 99,9 etc.
05-02-2013, 00:03 door cowboysec
Door SimonS:
Door Mysterio:
Op een gedeelde computer, zeker als er kinderen in het spel zijn, verschijnen er al snel allerlei pop-ups en is er malware in de achtergrond actief. Veel van de gamingsites die ik af en toe bekijk zijn prima om in een laboratorium een computer 'vies' te maken, en bijvoorbeeld te gebruiken om anti-virussoftware te testen. Ze staan vaak vol met drive-by download-aanvallen.
Als je het al niet voor elkaar krijgt om de basis veiligheidsprincipes toe te passen, zoals werken met beperkte rechten, goede AV-producten, verschillende accounts, eventueel tools zoals Bitdefender PaySafe, up-to-date software en goede afspraken met kinderen m.b.t. veilige spelletjes-sites, dan vraag ik me af of je het ooit aangeleerd krijgt om een Boot-CD te gebruiken.

Voor iemand die goed bekend is met computers is dit misschien overduidelijk, maar Jan Normaalgebruiker is allang blij dat alles werkt. Of opstarten via een cd of usb dan wel gemakkelijk uit te leggen is is een 2e :)

Autorijden is voor leken ook lastig zonder theorie en rijles.
Computers/Internet veiesen ook enige opleiding en kennis/kunde, helaas en malware/hackers duwen ons met de neus hierop.
05-02-2013, 00:05 door cowboysec
Door yobi: De boot-CD kan een goede oplossing zijn. Zelf zou ik een oude computer inrichten met Linux en deze voor de transacties gebruiken. Het race-monster met Windows is dan voor de rest van de familie.

Is al beter dan gemengde Windows-omgevingen.
Zo'n speciale Linux-omgeving is een stuk veiliger.
Echter, die kan toch snel besmet raken.

Die speciale USB-sticks met Linux kun je niet naar schrijven, dus daar heb je dat niet. Alleen moet je daar na het bankieren mee uitloggen en rebooten want het geheugen (RAM) kan bij bezoek van non-banken ook besmet raken en dan heb je weer het normale verhaal.
05-02-2013, 00:18 door cowboysec
Door Charley51:
Door Anoniem: Deze "oplossing" is wel zo extreem gebruiksonvriendelijk. Het punt is namelijk dat je niet achter je computer gaat zitten voor een stevig uurtje "internetbankieren". In de praktijk ben je aan het surfen en wil je een paypal of ideal transactie doen. Moeten eindgebruikers serieus de link opschrijven, de computer opnieuw opstarten, de transactie uitvoeren en weer teruggaan naar de "normale" windows installatie?

Ja, het is veilig. Maar er is een balans tussen gebruiksgemak en veiligheid en die is met deze oplossing totaal zoek.

Ik ga het mantra herhalen: Zorg dat je een up-to-date systeem hebt. Gebruik Chrome zodat je geen losse flash installatie meer nodig hebt op je Windows systeem. Verwijderd Java en Flash. Update adobe. En het belangrijkste, gebruik een goede beveiligingssuite. Ik geef de voorkeur aan ESET Smart Security maar Gdata en Kaspersky doen het ook prima.

En als je kind elke 6 minuten administratorrechten nodig heeft denk ik dat het héél verstandig is deze uberhaupt niet op je eigen computer te laten. Zo'n berg software is nooit goed voor het systeem.
1e Alinea: "extreem gebruiksonvriendelijk" slaat nergens op. Wat is er zo ingewikkeld aan het opstarten met een cd? En je gaat niet "zomaar" internetbankieren, maar men werkt daar bewust naartoe. En ja, het is beter voor de "awareness" om dit soort zaken constant via een apart systeem te doen.
2e alinea: je overdrijft. Hoe gemakkelijker iets lijkt, des te meer risico je loopt.
3e alinea: het mantra kost een gemiddelde gebruiker veel meer tijd. Even MS updaten ben je toch al gauw een half uurtje kwijt, de nodige herstarts(!) daargelaten. Daarbij kost beveiliging ook nog eens extra geld, terwijl je nooit zeker weet, of dit helemaal afdoende is.

Als ik eenmaal een cd-tje heb, hoef ik alleen daarvan op te starten, eventueel een verbinding maken en daarna de browser te starten en het adres van de bank te typen. Geschatte tijd: pl/min 5 minuten. De volgende keer begin ik weer precies vanaf 0 (nul), dus dat went heel snel. Na opstarten zit ik met 3 muisklikken op de server van de bank! En het veiligst is, dat je het ip-nummer van de bank opsnort, dat scheelt ook nog eens een dns-query. Je gaat dan rechtstreeks naar de inlogpagina.
En het mooiste is, dat het helemaal legaal is en niets kost.

100% mee eens. Als we maar vaak en hard genoeg roepen zullen de twijfelaars ook overstag gaan.

Laat de mensen die het beter weten, en niet middels deze oplossing willen werken dan maar lastige (paniek-)situaties meemaken en discussies met de bank voeren; ik niet.
Als PC-supporter maak ik dit regelmatig mee bij anderen en die schrikken dan elke keer hard.
05-02-2013, 00:20 door cowboysec
Door Anoniem: Wij gebruiken geen Linux , geen FireFox en geen boot CD. Alleen duurzame beveiligingen op Win7 en Win8. Niet te vergeten onze eigen kennis van beveiliging. Wij hebben nog nooit gevaar opgelopen en zijn 24hr. online. Bankieren en allerlei andere zakelijke dingen gaat prima zo! Wilden we gewoon even kwijt......

RjSeeker.c.c Et Tim Luo
ELD

Ik zelf heb ook > 50 security maatregelen en neem ook wel eens het risico om het niet te doen. Maar iha ben ik voorstander van de boot-oplossing via stick of CD.
05-02-2013, 00:23 door cowboysec
Door Anoniem:
En het mooiste is, dat het helemaal legaal is en niets kost.

Haha! Niets kost?!? Heb jij je moeder wel eens uitgelegd hoe ze het IP adres van d'r bank kan "opsnorren"?!? Failover mechanismes daargelaten die je verwijzen naar een andere server is dat gewoon geklungel voor het merendeel van het volk.Gratis betekent niet dat het niets kost - het kost eindeloos veel bellen, uitleggen en frustratie...

Waarom denk je dat er zoveel gehacked wordt - omdat mensen het niet begrijpen! En booten naar CD naar een OS dat anders is dan Windows, met een browser die anders is dan IE of Firefox (en ja - Firefox is anders onder linux), en ook: met een CDtje dat na een jaar flink achterloopt qua beveiliging. Het gaat gewoon niet werken...

Wat eventueel wel zou werken is van dat CD-tje een VMware image opbooten ipv de hele machine.
Weet je moeder ook hoe de motor onder de kap van haar auto werkt?
Ik ben en blijf voor de boot-CD-/stick; lees maar argumenten in de andere replys
05-02-2013, 00:24 door cowboysec
Door Anoniem:
Door exit: Er is dus een super veilige oplossing, de live cd, sinds 2005 of zo, maar de meeste mensen willen niet leren of vinden het te veel moeite, nou ja dan heb je gewoon pech gehad als het je overkomt, maar dan ook niet huilen want veilig internet bankieren zal nooit bestaan, nu niet en in de toekomst nog minder en banken leggen de schuld ook steeds meer bij de klant dus als klant zul je altijd verliezen.

Er is een superveilige methode tegen longkanker - niet roken. En tegen hart en vaatziekten - vooral geen vet en zout eten. Geen drank, dat helpt ook tegen dood gaan. En word je toch ziek, dan niet huilen, dan heb je gewoon pech gehad...

Het is natuurlijk de 'scene' hier vooral gefocused op security, en niet op functionaliteit, dus dat verklaart. Maar veiligheid is niet het enige doel in het leven - het moet ook leuk blijven...

Pas maar op met je bankrekening zou ik zeggen. Ik wil wel roken en leuke dingen doen op de PC zonder discussie met de bank of kwaijtraken van gegevens of geld.
05-02-2013, 00:25 door cowboysec
Door Anoniem:
Door Charley51:
Door Anoniem: Deze "oplossing" is wel zo extreem gebruiksonvriendelijk.
1e Alinea: "extreem gebruiksonvriendelijk" slaat nergens op. Wat is er zo ingewikkeld aan het opstarten met een cd? En je gaat niet "zomaar" internetbankieren, maar men werkt daar bewust naartoe. En ja, het is beter voor de "awareness" om dit soort zaken constant via een apart systeem te doen.
2e alinea: je overdrijft. Hoe gemakkelijker iets lijkt, des te meer risico je loopt.
3e alinea: het mantra kost een gemiddelde gebruiker veel meer tijd. Even MS updaten ben je toch al gauw een half uurtje kwijt, de nodige herstarts(!) daargelaten. Daarbij kost beveiliging ook nog eens extra geld, terwijl je nooit zeker weet, of dit helemaal afdoende is.

Als ik eenmaal een cd-tje heb, hoef ik alleen daarvan op te starten, eventueel een verbinding maken en daarna de browser te starten en het adres van de bank te typen. Geschatte tijd: pl/min 5 minuten. De volgende keer begin ik weer precies vanaf 0 (nul), dus dat went heel snel. Na opstarten zit ik met 3 muisklikken op de server van de bank! En het veiligst is, dat je het ip-nummer van de bank opsnort, dat scheelt ook nog eens een dns-query. Je gaat dan rechtstreeks naar de inlogpagina.
En het mooiste is, dat het helemaal legaal is en niets kost.

Het opstarten van een CD is niet ongebruiksvriendelijk. Het moenten onderbreken van je internetsessie, je computer opnieuw starten, bankieren en je oude omgeving weer starten daarintegen wél. Dat is het gebruiksonvriendelijke element aan deze oplossing.

Ja, gemak(zucht) is een risico an sich, maar met deze oplossing doe je de voordelen van telebankieren teniet. En Windows updates starten doorgaans als de computer afsluit, dus daar heeft de gebruiker weinig hinder van in een thuisomgeving.

Mijn punt is dat dit voor de doorsnede computergebruiker gewoon erg omslachtig is. Bovendien lijk je te suggereren dat een bootable omgeving geen (betaalde) virusscanner nodig heeft. Doodzonde, want als je al die moeite doet om een veilig OS te booten heb je alsnog geen bescherming als er tóch nog malware aanklopt.

Als je alleen de banktrabsacties doet is de kans op besmetting nihil!
05-02-2013, 00:29 door cowboysec
By the way ik gebruik zelf de bootstick-software die US defensie overal ter wereld hanteer: LPS

http://www.spi.dod.mil/lipose.htm

LPS differs from traditional operating systems in that it isn't continually patched. LPS is designed to run from read-only media and without any persistent storage. Any malware that might infect a computer can only run within that session. A user can improve security by rebooting between sessions, or when about to undertake a sensitive transaction. For example, boot LPS immediately before performing any online banking transactions. LPS should also be rebooted immediately after visiting any risky web sites, or when the user has reason to suspect malware might have been loaded. In any event, rebooting when idle is an effective strategy to ensure a clean computing session. LPS is updated on a regular basis (at least quarterly patch and maintenance releases). Update to the latest versions to have the latest protection.

Ik ga er vanuit dat de amerikaanse militairen slimmer zijn dan ik totdat het tegendeel is bewezen.

Het werkt met Firefox.
05-02-2013, 01:01 door Anoniem
Boot-CD (CDRW) is vlgs. mij de enige goede oplossing, omdat na het ISO schrijven er niet stiekem iets bij gezet kan worden (zoals bij USB-stick wel kan).
Het OS op die CD moet dan wel ingesteld zijn op geen data-uitwisseling/kontakt met de harde schijf. Er zijn 2 OS-en die die kant en klaar aanbieden: LPS en Webconverger.
Echter LPS is al sinds september 2012 niet meer geupdated, voorheen hadden ze om de 1-3 maanden een update (o.a. voor Firefox). Er is dus nu iets mis met LPS, nu die niet meer geupdated wordt.
Dan blijft dus alleen Webconverger over. Die update nog wel af en toe. Die boot onmiddellijk in de browser/internet, er valt door de gebruiker niets in te stellen of te veranderen (dat kon bij LPS wel !!).

Een bootable USB-stick blijft beschrijfbaar na het aanmaken (behalve het systeem van C't-banking, dat is een beveiligde Ubuntu die na het aanmaken 1x geupdated kan worden voor systeem-updates, daarna is het verder toevoegen/updaten afgestopt. Wel heel slim, maar dat zal dan toch neefje-ITC-nerd voor tante Truus moeten doen).

Eigenlijk is dus Webconverger op een RWCD de eenvoudigste en duidelijkste oplossing (behalve dan dat het door 1 man getrokken wordt (dus geen organisatie), hij heeft wel een paar community-hulpen).

Groeten
05-02-2013, 02:34 door Anoniem
Het gaat er niet om hoe veilig te internetbankieren.
Het gaat erom dat mensen veilig willen internetbankieren.

Als men googled vindt men als snel praktisch tips.
Maar zelfs deze zijn vaak al te technisch.

Ik snap dat het lastig is om voor zo iets simpels terug de helicopter in te gaan voor wat meer overview.
Onderschat het niet, het is allemaal te omslachtig voor veel mensen.

Tegenwoordig en steeds meer is de trend internetbankieren via mobile/tablet/whatever.
Best lastig booten, zo'n live CD van een iPad.

Enige juiste advies zou zijn, simpelweg niet meer doen. Maar ja, men is gehecht geraakt aan deze vorm van 'luxe'. Met mensen iets regelen is nou eenmaal moeilijker/tijdrovender dan iets op een machine doen kennelijk.

Nou ja, dan maar gewoon het risico accepteren. Blijft tenslotte maar geld.
05-02-2013, 07:59 door [Account Verwijderd]
[Verwijderd]
05-02-2013, 09:05 door Anoniem
Door exit:
Linux heeft geen virusscanner nodig en zeker niet als je een live cd hebt.

Sorry, wát?

Blijkbaar is het te verantwoorden dat eindgebruikers hun systeem 2 keer moeten herstarten om een transactie uit te voeren onder het mom van "de veiligheid is het waard", maar dan wél roepen dat Linux geen AV nodig heeft?

Noch Linux, noch een live cd is een garantie voor het niet kunnen oplopen van malware. De kans is klein, maar blijkbaar nemen we geen enkel risico, dus sluit dan ook dit niet uit.
05-02-2013, 09:24 door yobi
Natuurlijk kan ook een Linux systeem besmet raken. Ik heb het nog nooit meegemaakt. Het is echter niet uit te sluiten. Met een boot-cd kan men iedere keer opnieuw beginnen. Het systeem wordt dan in RAM geladen. Ook deze zou in korte tijd besmet kunnen raken. Na een herstart is de besmetting weer verdwenen.

Tegenwoordig doen mensen ook transacties met de smartphone. Het gaat nu eenmaal vaak goed. Ook de kans op een besmette Windows-PC valt wel mee. Anders zou toch meer dan 50% besmet zijn.

Gevaren voor een Windows PC kunnen aardig worden beperkt door de eerder genoemde adviezen. Gevaren zijn veelal het gebruik van Java in de browser, het installeren van illegale software, vreemde USB of CD plaatsen, surfen naar vreemde sites.
05-02-2013, 09:35 door john west
Waardeloos advies,met een Ubuntu CD internet bankieren.
Ik internet bankier met een desktop met een aparte Harddisk in een mobile rack.
Puur Windows 7 zonder extra's met Google Chrome en Windows live mail.
Verder niets.
Niet surfen,alleen de bank,en geen bijlage's openen.
Werkt perfect,risico is zeer laag,en gebruiks vriendelijk
Geen paswoorden opslaan,nog naam.
05-02-2013, 09:58 door Anoniem
Tijd voor een compromis...

Het advies hierboven om LPS te gebruiken is wellicht een goede. Booten vanaf CD blijft voor veel mensen een te grote drempel. Virtualbox gebruiken om het LPS iso image te booten is natuurlijk veel makkelijker. Je blijft toegang houden tot je mail of andere programma's, en je hoeft niet alle openstaande apps af te sluiten om te rebooten.

Het risico dat een stukje malware zo slim is om mijn ISO te veranderen en daar in dan weer malware te installeren - dat risico lijkt me zo enorm klein dat we dat voor lief nemen
05-02-2013, 11:48 door golem
Door john west: Waardeloos advies,met een Ubuntu CD internet bankieren.
Ik internet bankier met een desktop met een aparte Harddisk in een mobile rack.
Puur Windows 7 zonder extra's met Google Chrome en Windows live mail.
Verder niets.
Niet surfen,alleen de bank,en geen bijlage's openen.
Werkt perfect,risico is zeer laag,en gebruiks vriendelijk
Geen paswoorden opslaan,nog naam.

Leuk voor je dat jij het met extra hardware hebt opgelost.
Maar voor de andere 99% is dit een zeer goed advies.
05-02-2013, 11:58 door Anoniem
Met een Mac moet een andere oplossing worden gezocht of gewoon de standaardmethode blijven gebruiken.
Het scheelt al heel veel als je standaard twee accounts aanmaakt. Één met administrator rechten waarmee je nieuwe software installeert en één zonder administrator rechten waar je je normale werk op doet. Als dat account besmet raakt wordt het al lastiger om je systeem files te infecteren.

En voor internet bankieren kun je dan ook nog je gast account gebruiken. Zodra je daar uitlogt worden alles gewist. Als je daar weer inlogt wordt er dus gewoon weer een clean account aangemaakt.
05-02-2013, 12:42 door Anoniem
Als ik de discussie lees heb ik toch het idee dat veel mensen alleen rekening houden met hun eigen kennis en capaciteiten van computers en software, kennis die veel verder reikt dan dat van de gemiddelde PC-gebruiker.

Ben je iets aan het bestellen op internet en wil je dit meteen met Ideal afrekenen dan kan dat dus niet omdat je over moet stappen op een CD. Die bestelling kan je niet porten naar je CD om het daar af te rekenen.

De CD werkt dus alleen met het inloggen op de bank zelf.

Al gauw is ook de software op de CD achterhaald en zijn er patches nodig. Dit kan dus niet, want het is een CD. Dan moet je weer een nieuwe CD downloaden. Software op de PC update zichzelf tegenwoordig goed, zelfs die van Adobe.
Het is bovendien te omslachtig voor de gewone PC gebruiker: als ik dit mijn 64-jarige vader moet uitleggen dan gaat hij weer gewoon naar de winkel... ipv het op internet te bestellen.

Het uitleggen van het gebruik van een (niet al te moeilijk) encryptieprogramma heb ik keer gedaan bij een kennis... en dat viel niet mee: je krijgt te maken met verschillende drive-letters vanwege het container-bestand vs gemounte container. Voor de gemiddelde PC-gebruiker is dit onoverzichtelijk en moeilijk. Na een tijdje was het zoiets van: hoe zit dat ook alweer? Weer uitleggen. Een heel gedoe allemaal, ik begin er niet meer aan. Het omslachtige gebruik van een bank-cd is toch redelijk vergelijkbaar met het probleem van het virtuele winkelkarretje etc.

Dit is een militaristische manier van beveiliging die werkt, maar niet geschikt is voor de gemiddelde gebruiker.
05-02-2013, 13:00 door Anoniem
Door Anoniem: Ik voorspel dat dit de standaard manier van bankieren wordt over een aantal jaar. Ik denk dat banken straks USB sticks of bootable CD's gaan leveren aan hun klanten.

De kosten van het maken van zo'n CD/USB stick is denk ik vele maken goedkoper, dan alle frauduleuze transacties vergoeden.

Nog een stapje verder, denk ik dat de banken gaan stellen, dat wanneer je niet gebruik maakt van zo'n bootable systeem, je ook niet meer de frauduleuze transacties vergoed krijgt. Dus dat de klant zelf opdraaid voor de illegale transacties die vanuit jouw account gebeuren.

Er zijn nu al strengere eisen in de maak / voorgesteld.
https://www.security.nl/artikel/43659/1/PvdA_stelt_vragen_over_eigen_risico_internetbankieren.html

En dan vraag ik me af, hoelang mobiel bankieren dan nog veilig blijft? Aangezien android systemen ook al onder vuur liggen met malware en virussen, is het wachten totdat daar ook de eeste frauduleuze transacties komen.

TheYOSH

Het is een veilige manier om te internetbankieren, dat klopt.
Maar het zal ongetwijfeld gaan gebeuren dat oplichters een geprepareerde cd-rom of usb-stick toesturen om daarmee alsnog illegale transacties te kunnen uitvoeren.
De zwakste schakel is nog altijd de gebruiker zelf!
05-02-2013, 15:56 door golem
Door Anoniem: Als ik de discussie lees heb ik toch het idee dat veel mensen alleen rekening houden met hun eigen kennis en capaciteiten van computers en software, kennis die veel verder reikt dan dat van de gemiddelde PC-gebruiker.

Ben je iets aan het bestellen op internet en wil je dit meteen met Ideal afrekenen dan kan dat dus niet omdat je over moet stappen op een CD. Die bestelling kan je niet porten naar je CD om het daar af te rekenen.

De CD werkt dus alleen met het inloggen op de bank zelf.

Al gauw is ook de software op de CD achterhaald en zijn er patches nodig. Dit kan dus niet, want het is een CD. Dan moet je weer een nieuwe CD downloaden. Software op de PC update zichzelf tegenwoordig goed, zelfs die van Adobe.
Het is bovendien te omslachtig voor de gewone PC gebruiker: als ik dit mijn 64-jarige vader moet uitleggen dan gaat hij weer gewoon naar de winkel... ipv het op internet te bestellen.

Het uitleggen van het gebruik van een (niet al te moeilijk) encryptieprogramma heb ik keer gedaan bij een kennis... en dat viel niet mee: je krijgt te maken met verschillende drive-letters vanwege het container-bestand vs gemounte container. Voor de gemiddelde PC-gebruiker is dit onoverzichtelijk en moeilijk. Na een tijdje was het zoiets van: hoe zit dat ook alweer? Weer uitleggen. Een heel gedoe allemaal, ik begin er niet meer aan. Het omslachtige gebruik van een bank-cd is toch redelijk vergelijkbaar met het probleem van het virtuele winkelkarretje etc.

Dit is een militaristische manier van beveiliging die werkt, maar niet geschikt is voor de gemiddelde gebruiker.


Ik denk dat de gemiddelde gebruiker dit wel kan. Je 64 jarige vader valt misschien
niet in die categorie.
De software op CD mag achterhaald worden, maar dat is niet erg.
LTS versie gebruiken, 1x in de 2 jaar vervangen. Valt allemaal wel mee.

Het uitleggen van encryptie/containerbestand is wel een paar stapjes hoger dan dit.

Maak anders een filmpje voor je vader met 1 of ander screencapture programma, dan
kan hij elke keer weer opnieuw kijken hioe het werkt.
05-02-2013, 16:34 door Duck-man
Door Charley51: @Duck-man (19:38): Je kunt wel andere distro's nemen, maar Ubuntu (en derivaten) hebben wel de beste hardware-herkenning en draait op (nagenoeg) iedere configuratie. Je moet bij internetbankieren ook nog niet eerst eens allerlei hardware-problemen gaan oplossen, dat schiet dus niet op.
Als ik hoor live CD denk ik KNOPPIX, hoor ik privacy live CD dan denk ik "Liberté Linux". Hoor ik Ubuntu dan denk ik ja hoor is er weer iemand die achter de grote meute aan hobbelt.Tuurlijk is Ubuntu een goede distro maar niet de beste voor internet bankieren vanaf CD. Wat heb je nodig? Een browser en eventueel java (bank afhankelijk).
Of als je nog een oude USB stick hebt van bv 64 MB kan je daar DSL (Dam Small Linux) opzetten.
Live CD kan natuurlijk ook Live USB zijn of live DVD.
Of maak een dual boot met bv OpenSuSE hier kan je goed de root en user rechten scheiden ziet er mooi uit en geen last van wat je kinderen van 6 er op zetten.

Kijk gewoon eens op http://distrowatch.com/ en maak je eigen keuze
05-02-2013, 18:24 door Anoniem
Valt er nog iets zinnigs te zeggen over de write-protect schakelaar die sommige USB sticks hebben, of een OS op een SD kaartje met ook een write-protect (standaard)? Het schijnt dan SD kaartjes niet erg bootable zijn, maar verdwijnen wel handig in je laptop. I.c.m. Life CD lijkt me dit een super veilige en snellere oplossing als je bios het trekt.
gr Nico
05-02-2013, 19:10 door [Account Verwijderd]
[Verwijderd]
05-02-2013, 19:23 door joep da poope
De gemiddelde internetter heeft een laptop, en die werkt natuurlijk draadloos. Na 2x starten vanaf de cd en het intypen van "djeiidunxnue" (wpa2 sleutel) is deze het natuurlijk helemaal zat.
06-02-2013, 00:21 door cowboysec
Door Anoniem: Boot-CD (CDRW) is vlgs. mij de enige goede oplossing, omdat na het ISO schrijven er niet stiekem iets bij gezet kan worden (zoals bij USB-stick wel kan).
Het OS op die CD moet dan wel ingesteld zijn op geen data-uitwisseling/kontakt met de harde schijf. Er zijn 2 OS-en die die kant en klaar aanbieden: LPS en Webconverger.
Echter LPS is al sinds september 2012 niet meer geupdated, voorheen hadden ze om de 1-3 maanden een update (o.a. voor Firefox). Er is dus nu iets mis met LPS, nu die niet meer geupdated wordt.
Dan blijft dus alleen Webconverger over. Die update nog wel af en toe. Die boot onmiddellijk in de browser/internet, er valt door de gebruiker niets in te stellen of te veranderen (dat kon bij LPS wel !!).

Een bootable USB-stick blijft beschrijfbaar na het aanmaken (behalve het systeem van C't-banking, dat is een beveiligde Ubuntu die na het aanmaken 1x geupdated kan worden voor systeem-updates, daarna is het verder toevoegen/updaten afgestopt. Wel heel slim, maar dat zal dan toch neefje-ITC-nerd voor tante Truus moeten doen).

Eigenlijk is dus Webconverger op een RWCD de eenvoudigste en duidelijkste oplossing (behalve dan dat het door 1 man getrokken wordt (dus geen organisatie), hij heeft wel een paar community-hulpen).

Groeten
Bedanktvoor de tips
06-02-2013, 00:32 door cowboysec
Boot-CD (CDRW) is vlgs. mij de enige goede oplossing, omdat na het ISO schrijven er niet stiekem iets bij gezet kan worden (zoals bij USB-stick wel kan).
Het OS op die CD moet dan wel ingesteld zijn op geen data-uitwisseling/kontakt met de harde schijf. Er zijn 2 OS-en die die kant en klaar aanbieden: LPS en Webconverger.

Echter LPS is al sinds september 2012 niet meer geupdated, voorheen hadden ze om de 1-3 maanden een update (o.a. voor Firefox). Er is dus nu iets mis met LPS, nu die niet meer geupdated wordt.
....Ik kan me dat bijna niet voorstellen... Ik begreep eerder dat ze eigenlijk niet / nauwelijks hoeven te updaten, maar toch.
Deze stick kan niet schrijven naar zichzelf. n je gebruikt hem eigenlijk alleen naar veilige sites alsbanken e als je wilt ook anderen maar niet tegelijkertijd in 1 sessie. Ik hou het in de gaten.

Dan blijft dus alleen Webconverger over. Die update nog wel af en toe. Die boot onmiddellijk in de browser/internet, er valt door de gebruiker niets in te stellen of te veranderen (dat kon bij LPS wel !!).
...Deze kende ik nog niet. Zal ik naar kijken

Een bootable USB-stick blijft beschrijfbaar na het aanmaken (behalve het systeem van C't-banking, dat is een beveiligde Ubuntu die na het aanmaken 1x geupdated kan worden voor systeem-updates, daarna is het verder toevoegen/updaten afgestopt. Wel heel slim, maar dat zal dan toch neefje-ITC-nerd voor tante Truus moeten doen).
--- goede tip

Eigenlijk is dus Webconverger op een RWCD de eenvoudigste en duidelijkste oplossing (behalve dan dat het door 1 man getrokken wordt (dus geen organisatie), hij heeft wel een paar community-hulpen).

Ik zie grotendeels positieve adviezen in lijn met de gedachte van booten vanaf CD/DVD/stick op basis van een 'gehardened' Linux-systeem, wat dat dan ook even is.
06-02-2013, 10:02 door [Account Verwijderd]
[Verwijderd]
06-02-2013, 15:21 door Anoniem
Is Comodo Dragon die in een sandbox draait wel veilig?
06-02-2013, 17:28 door Anoniem
Het is verbluffend, bij de pretenties die de LINUX-wereld (en BSD-) heeft, dat er zo weinig gedaan wordt al la bootable-secured-CD/USB als LPS + Webconverger + C'T-Banking.
Hier zou Linux en BSD een gat in de publieke behoefte kunnen vullen.

Ik vind de uitspraak "Gebruik Linux (standaard, dus niet als bootable-secured-CD) want die heeft geen virussen " arrogant en misleidend.

Het is natuurlijk wel zo dat iemand die zo'n CD/USB uitbrengt, ter verantwoording geroepen zou kunnen worden als het mis gaat.
Mogelijk is dit een reden voor terughoudendheid voor het maken en uitbrengen van zoiets.

Groeten
06-02-2013, 18:59 door [Account Verwijderd]
[Verwijderd]
07-02-2013, 10:21 door Anoniem
Door astip:
Door Anoniem: Is Comodo Dragon die in een sandbox draait wel veilig?

Waarom zou dat niet veilig zijn?

Dit is dan toch veel eenvoudiger dan boot cd's en dergelijke.
07-02-2013, 22:53 door cowboysec
Door Anoniem: Boot-CD (CDRW) .............
Echter LPS is al sinds september 2012 niet meer geupdated, voorheen hadden ze om de 1-3 maanden een update (o.a. voor Firefox). Er is dus nu iets mis met LPS, nu die niet meer geupdated wordt.......................
Groeten

Cowboysec:
- No trace of work activity (or malware) can be written to the local computer.
- LPS differs from traditional operating systems in that it isn't continually patched; bron: http://spi.dod.mil/lipose.htm

Is precies wat ik wil, dus.

Lightweight Portable Security - http://www.datamation.com/security/75-top-open-source-tools-for-protecting-your-privacy-4.html
Used by the U.S. government, this project turns any PC (or Mac) into a secure computing node. When you plug in a USB drive containing LPS into your system, it enables secure, private Web browsing and prevents the system from downloading any malware. Operating System: OS Independent.

It’s Banking Day at the Ranch and a Linux Live CD is in the Saddle!- http://billmullins.wordpress.com/2013/02/05/its-banking-day-at-the-ranch-and-a-linux-live-cd-is-in-the-saddle/

Ik ga er vanuit dat de Amerikaanse militairen wel weten hoe ze veilig kunnen communiceren in veilige omgevingen, todat ik een betere optie verneem! Wie de schoen past trekken hem aan.

Tot dan kan ik zo veilig genoeg Internetten naar de bank en heb ik tijd genoeg voor leukere dingen dan steeds maar weer uit te zoeken wat beter is en er vervolgens achter te komen dat ik weer wat over het hoofd heb gezien wat slimme hackers wel al zagen.

Her zou eens goed zijn als banken een voorbeeldfunctie met zo'n oplossing zouden geven waarbij het eindrisico toch altijd bij de gebruiker zou moeten blijven. Alleen is de kans op inbreuke dermate gering, dat je dat dan snel durft te nemen.
08-02-2013, 20:47 door cowboysec
Vandag op deze site:
Fortinet adviseert internetbankieren vanaf CD zie https://www.security.nl/artikel/45093/1/Fortinet_adviseert_internetbankieren_vanaf_CD.html
10-02-2013, 10:42 door golem
Door Anoniem:
Door astip:
Door Anoniem: Is Comodo Dragon die in een sandbox draait wel veilig?

Waarom zou dat niet veilig zijn?

Dit is dan toch veel eenvoudiger dan boot cd's en dergelijke.

Ja, eenvoudiger maar veel minder veilig.
Comodo Dragon in sandbox mag dan veilig zijn, maar als door andere oorzaak je
systeem besmet is loop je toch weer risico.
Het mooie van de bootcd is zeer simpel : je start elke keer je pc op in een schone omgeving,
21-02-2013, 11:44 door Spiff has left the building
Door Anoniem, 05-02-2013, 11:58 uur:
En voor internet bankieren kun je dan ook nog je gast account gebruiken. Zodra je daar uitlogt worden alles gewist. Als je daar weer inlogt wordt er dus gewoon weer een clean account aangemaakt.
Ik vermoed dat Anoniem Windows 7 "Guest Mode" verwarde met "Guest Account".
Als ik me niet vergis was "Guest Mode" een steady state optie die werd aangeboden in de Windows 7 bèta, en/of release candidates, en/of Windows 7 preview.
In Windows 7 RTM werd het echter niet meer aangeboden, maar werd alleen nog "Parental Controls" aangeboden, met veel beperktere functionaliteit, niet meer de "Guest Mode" steady state functionaliteit.

Over Windows 7 "Guest Mode",
twee bronnen van vóór het uitkomen van Windows 7 RTM:
http://lifehacker.com/5176876/windows-7-guest-mode-creates-bomb+proof-accounts
http://www.addictivetips.com/windows-tips/what-is-windows-7-guest-mode-and-how-to-enable-it/

Die twee genoemde bronnen vermeldden over Windows 7 "Guest Mode":
• Prevents system setting changes. Any attempts to change the system while running under a safeguarded account are prevented.
• Prevents the installation of applications and other software. Once you’ve enabled Guest Mode, it is impossible to install or permanently configure already installed software applications.
• Prevents the user from writing to the disk outside of their user profile.
• Data saved inside of the user profile is deleted when the user logs off.
Een account waarvoor "Guest Mode" was ingeschakeld startte na uitloggen en opnieuw inloggen dus 'schoon'.
Maar voor een "Guest Account" geldt dat niet.
En zoals al aangegeven, "Guest Mode" wordt inmiddels niet meer aangeboden.

Nogmaals, ik vermoed dat Anoniem "Guest Account" en het niet meer bestaande Windows 7 "Guest Mode" verwarde.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.