Bekijk deze filmpje eens.
www.proxpn.com

Dat zou haast wel voldoende zijn, geloof me.

Vanuit een beveiligingsoogpunt is dit niet zo handig. Op deze manier kun je juist een infectie oplopen. Zodra de machine volledig geïnfecteerd is is ook jouw beperkte account besmet.

Prima beveiliging lijkt me. Maar om nog meer zekerheid te hebben, doe deze beveiliging op een aparte PC waarmee je niet e-mailt en ook niet mee het internet op gaat (behalve naar de site van je bank). Steek er ook nooit een memory stick in. Nog veiliger is om op die aparte PC Linux of BSD te laten draaien.

Ik mis het in je opsomming, wifi niet gebruiken.

- Alleen op de gewone pc, dus niet draadloos

staat er dus wel in ;-) Voor de rest denk ik een goede opstelling om herhaling van je vervelende ervaring te voorkomen.

Een veilige methode is om je pc te booten vanaf CD / DVD en van daaruit te Internetbankieren, bv:
http://knoppix.net/, maar er zijn er tegenwoordig tientallen, zelf met Windows PE.

Fout. Moet zijn: Microsoft update. Ga met MSIE naar https://www.update.microsoft.com/ en stel dit in.
Zoals anderen hierboven al aangaven, dit is je grootste fout; juist als je unprivileged accounts voor security-sensitive zaken gaat gebruiken is het essentieel dat het systeem zelf integer blijft!
Dat is alleen zinvol als iedereen de PC gebruikt met beperkte rechten (alleen UAC voor de gebruiker die het beheer doet). Als je dat account + Firefox uitsluitend gebruikt voor internetbankieren, waarom zou je dan aanvullende meuk installeren (die je ook weer steeds moet updaten) zoals Adblock, NoScript en SandboxIE? Als je je bank niet kunt vertrouwen heb je een veel groter probleem (en niet alleen jij).

Het grote nadeel van een apart account voor internetbankieren is dat je geen iDEAL betalingen kunt doen. Tenzij je dat account natuurlijk ook voor het bezoeken van de betreffende webshops gebruikt. Maar dat verhoogt je beveiligingsrisico aanzienlijk; het installeren van NoScript is dan absoluut verstandig.

Het nut van SandboxIE in dit kader zie ik niet zo. Deze is vooral bedoeld om je systeem te beschermen tegen eventuele malware in je webbrowser. Als je tijdens een webshopsessie malware in je webbrowser oploopt zit die er tijdens de iDEAL sessie met je bank waarschijnlijk ook nog wel in. Zo'n sandbox kan compromissen bevatten om browserinstelingen "persistent" te maken (d.w.z. dat gewijzigde instellingen, cookies en bookmarks worden bewaard). Hoe meer compromissen, hoe groter de kans dat malware ook tussen sandboxed Firefox sessies kan overleven.

Ik zou ESET Smart Security vervangen voor ESET Antivirus en daarbij de Online Armor Premium firewall gebruiken.

http://www.online-armor-firewall.nl

Die bevat naast een uitstekende HIPS en extra DNS check ook een zgn. Bank modus waardoor helemaal geen verbinding kan worden gemaakt met verkeerde websites tijdens het internetbankieren. Ook kun je bepaalde programma's zoals je browser beperkte rechten geven terwijl je zelf in een admin account werkt.

Ben het met Bitwiper eens dat aanvullende meuk een beetje onzinnig is en het zelfs gevaarlijk kan zijn omdat veel gebruikers denken dat ze met meer applicaties ook automatisch beter beschermd zijn.

Onlangs las ik in een draadje om een aparte browser alleen te gebruiken voor bankieren en deze browser in de firewall alleen toestemming te geven om naar de bank site te gaan. En ook om de ip adressen van de bank op te nemen in de host file.

Ik vind dit eigenlijk een hele mooie oplossing. Wellicht is de firewall te omzeilen en de host file ook. Maar ik gelolof niet dat de exploits (die bij iedereen moeten werken) rekening zullen houden dat iemand browser x gebruikt om mee te bankieren.
Haal je dergelijke trucs uit, is jouw systeem dus niet meer zoals heel veel andere. En daarmee neemt de kans weer af dat je slachtoffer wordt.

Niet een reactie op je laatste vragen, maar hoe ik het heb gedaan:

Ik draai in VMware Player een linux operating system (Debian Squeeze). Dat systeem is alleen voorzien van de minimale softwarepakketten noodzakelijk om een desktop te draaien + de chromium browser. Dus niet de standaard browser.

Qua netwerk draait dit Debian Squeeze in bridged mode, dus die krijgt een IP-adres via DHCP (of vast) van het router. DNS servers staan ingesteld op Google DNS en OpenDNS. Middels IP-tables blokkeer ik al het uitgaande verkeer, behalve datgene wat nodig is om te kunnen internetbankieren. Concreet is toegestaan: UDP/53 naar ingestelde DNS servers (en ook TCP/53 als fallback), verkeer (alleen poort 80/443) naar IP-ranges van Rabobank en Postbank/ING en (alleen poort 80) naar de OCSP en CRL servers van Verizon (voor certificaat controle). Ook is het toegestaan te verbinden met de update servers van Debian, security.debian.org en de mirror die ik gebruik (ftp.surfnet.nl), beiden alleen via HTTP op poort 80. Meer niet.

Dit is bedoeld voor het "gevaarlijke" deel van het internetbankieren, namelijk inloggen via de webinterface op de internetbankieren omgeving. Omdat het potentiele misbruik van iDeal veel kleiner/nihil is, doe ik dat gewoon vanuit mijn normale browser en mijn normale (unpriviliged) account (ook Debian, maar dan een nieuwere versie (Wheezy)). Normale browser is Firefox, met o.a. NoScript en RequestPolicy.

Apart schoon os met minimale software.

Instellingen van wizzkizz.

En dan na gebruik iedere keer je momentopname terugzetten.

En alleen naar je bank site gaan in elke sessie.

In principe zou dat kunnen maar beter is om inderdaad een apart account te maken voor het bankieren. Jouw dagelijkse account zou geinfecteerd kunnen worden. Omdat daar geen administrator rechten meer op zitten blijft die infectie beperkt tot dat account. Er van uitgaande dat ze geen bug hebben misbruikt om hun rechten te verhogen. Dat laatste is mogelijk maar dergelijke bugs zijn zeldzaam. Het device is dan om te zorgen dat alles netjes up-to-date is zodat je ook dat risico zo klein mogelijk maakt.

Gewoon eens aan uw bank gaan vragen wat zij doen qua beveiliging buiten niets in de meeste gevallen.

Het staat wel op dezelfde PC maar dat account heeft geen rechten om buiten zijn eigen directory's zaken te veranderen. Het heeft dan zeker geen rechten om op systeem niveau instellingen te wijzigen, een administrator account heeft die rechten wel. Daardoor blijft de schade relatief beperkt.

Probeer maar eens te browsen naar de home directory van dat andere account met jouw 'beperkte' account.

Ik denk dat De Bank(en) zelf maar eens een superveilige pc moeten fabriceren,welke dan door de klanten in bruikleen kan woren genomen.Een pc waarop je alleen maar verbinding kunt maken met de bank en alleen maar op mag en kan internetbankieren.Een pc waarbij de beveiliging in handen is vd bank,je hoeft als klant dus ook niet zelf antivirus of firewall erop te zetten.Maar je mag en kan er, als het goed is, dus alleen maar op internetbankieren,ga je het apparaat toch voor andere doeleinden gebruiken en daarvoor manipuleren dan vervalt je geld terug garantie bij het internetbankieren als je toch wordt bestolen door hackers. Nou is deze supersecure banking pc geen goed idee? Hoe dat technisch allemaal moet weet ik niet,daar heb ik de ballen verstand van eerlijk gezegd,ik denk aan bijv.linux op de pc en zo maar graag wat meningen/feedback over dit idee.

Naar aanleiding van vragen erover van o.a. mijn schoonzus, de schattige digibeet, heb ik er eens over nagedacht.
Het veiligst internetbankieren lijkt mij te doen als volgt.

1. Voorzie in een desktop, laptop of netbook.
2. Zet daarop een Linux-OS (als OpenSUSE?) met goede ondersteuning ten aanzien van exploits/patches.
3. Gebruik een gewone account voor internetbankieren en bewaar je gebruikersnaam/wachtwoord niet in de browser.
4. Gebruik dit systeem enkel en alleen voor internetbankieren (en buiten bereik van de kinderen houden dus).

Internet hoeft niet perse bedraad, denk ik, maar gebruik bij draadloos wel WPA2 en de volle 63 karakters wachtwoord.

Nog even een reactie op een deel van een bijdrage eerder in de thread:


Gebruikersaccountbeheer (User Account Control, UAC) is alleen met administrator-bevoegdheden aan te passen naar een hoger of lager niveau, maar heeft zijn invloed op het gehele systeem.
En ook via een Standaardgebruikers-account is "Instellingen voor Gebruikersaccountbeheer" in principe aan te passen, mits de gebruiker de toegang kan bevestigen met een administrator-password.

De een na hoogste instelling van Gebruikersaccountbeheer is de instelling waarmee Windows 7 geleverd wordt, maar de hoogste instelling is veiliger.
Over de instelling van Gebruikersaccountbeheer op de een na hoogste stand is eerder gewaarschuwd dat dat te weinig bescherming biedt. Er werd gesteld dat Gebruikersaccountbeheer daarmee 'gecastreerd' was (dus geen ballen meer had).
Zie: http://www.security.nl/artikel/31363/1/%22Gecastreerde%22_Windows_7_kwetsbaar_voor_virussen.html
Daarom Gebruikersaccountbeheer het liefst altijd op de hoogste stand instellen.

En is het werken in een Administrator-account veilig, mits Gebruikersaccountbeheer op de hoogste stand is ingesteld?
Nee. Het is beslist veel veiliger om standaard altijd in een Standaardgebruikers-account te werken, en alleen de dingen die vanuit een Administrator-account moeten gebeuren (zoals installeren en deïnstalleren van programma's) vanuit een Administrator-account uit te voeren.

Het sluit een aantal routes misschien een beetje af, maar veilig ben je niet (vooral niet omdat je denkt veilig te zijn en dan vervolgens minder oplet). Je traffic gaat nog steeds over de lijn, er staan nog steeds machines in je (thuis)netwerk die nog minder beschermd zijn en er zijn dus nog steeds mogelijkheden om iets leuks te doen met het netwerkverkeer thuis (session hijacking) via de andere machines. De banken zouden vpn sessies moeten laten opzetten met certificaten vanaf de bankpas voor het opzetten van de authenticatie tunnel en accesscode voor de rest. En dan een NAC voor veiligheidschecks van het werkstation erachter. Maar ja, dat is niet direct werkbaar (hoe check je al die verschillende virusscanners, OS etc. Bovendien vinden de banken het een brug te ver.
Jules

De beste beveiliging ben je zelf.

Wat Ivanhoe schrijft. Eventueel een dual boot maken op die pc en dan dat Linux-account uitsluitend gebruiken voor internetbankieren en vergelijkbare zaken.

Ubuntu is prima gewoon een installatie cd downloaden branden de computer opstarten van deze cd en alles wijst zich vanzelf formatteren hoeft niet gewoon de hele schijf selecteren bij installatie en Ubuntu overschrijft zelf alles.
meer info : http://www.ubuntu-nl.org/

Het is in princiepe niet nodig om een antivirusprogramma onder Linux te installeren,want Linux is van zich zelf al veilig genoeg.
Er komen vaker patches voor je distributie uit die je gebruikt, vaker dan wat er bij Windows het geval is.
Tevens is Linux naar mate het moderner wordt steeds meer een geintegreerd geheel met wat je voor bureaulad gebruikt.
Stel je gebruikt KDE of Gnome.
De later geinstalleerde programma´s worden dan ook regelmatig bijgewerkt,naar een nieuwere versie.
Bij Windows is het enkel en alleen Windows zelf en worden de appart geinstalleerde programma´s niet bijgewerkt.
Tevens heb je ook een voordeel met Linux dat de hele wereld er aan kan werken omdat het systeem open bron is.
Bij Windows mogen alleen de Microsoft programmeurs aan de code werken.
Je kan natuurlijk wel een antivirus programmma onder Linux installeren maar er zijn wel heel weinig van beschikbaar.
Op dit moment is er simpelweg alleen maar clamav voor Linux beschikbaar.
Dit programma heeft alleen niet zoveel opties beschikbaar als de Windows Antivirusbroers.

http://sites.google.com/site/computertip/multimedia
Hier staat hoe je alle codecs en flash kunt installeren in ubuntu.
Indien je dit aanhoud dan werkt alles.
Bekijk ook de gehele site, staan veel tips in.

Of Linux Mint installeren, die heeft de nodige codecs en flash al in zich.
Linux Mint is gebaseerd op Ubuntu, maar is in mijn ogen net even gebruikersvriendelijker.

Dat hangt van je Windows-versie af. Voor XP is dat inderdaad zo, maar voor Vista en 7 is dit toch echt Windows Update (http://img40.imageshack.us/img40/5247/winupdate.png).

Flash op Linux is ongeveer even veilig / onveilig als Flash op Windows, alleen is het voor criminelen economisch niet interessant om exploits voor Linux te ontwikkelen (behalve voor gerichte aanvallen). Het kan in principe geen kwaad om Flash te installeren, alleen bedenk wel dat Flash op Linux geen sandboxing heeft (het staat al wel gepland; zie https://secure.security.nl/artikel/40559/Linux-versie_Chrome_krijgt_Flash_sandbox.html). Maar, aangezien Ubuntu de updates goed voor je bijhoudt zijn de risico's minuscuul.

===> Ja, dat is de default, maar dat wil je niet!!! <===

Met Windows Update worden Microsoft Office en andere Microsoft applicaties (en, als ik me niet vergis, Microsoft Visual Studio libraries (DLL's) die door veel applicaties worden toegevoegd aan je systeem) niet geüpdate! Met Microsoft Update gebeurt dat wel.

In het plaatje rechtsboven in http://en.wikipedia.org/wiki/Windows_UpdateHier (ingezoomed: http://en.wikipedia.org/wiki/File:Windows_Update.png) zie je -onopvallend- staan:Als je dat ziet moet je beslist op "Find out more" kliken (of deze link volgen: http://go.microsoft.com/fwlink/?LinkId=146977 - bron: http://blogs.technet.com/b/mu/archive/2009/03/20/enabling-microsoft-update-to-keep-office-2003-office-xp-and-other-microsoft-products-secure-and-up-to-date.aspx).

De reden dat MS niet automatisch "Microsoft Updates" configureert, is, vermoed ik, dat ze willen dat gebruikers die stap handmatig maken zodat MS kan checken of de op dat moment geïnstalleerde Microsoft software legaal is.

N.b. e.e.a. geldt voor MKB- en thuisgebruikers, bij grootzakelijke WSUS gebruikers werkt dit natuurlijk anders.

Linux het flauwe afkooksel van ...

Dual boot - Linux naast Windows 7 - is een prima optie. Vanaf een Linux CD opstarten lijkt mij overbodig.

Jammer van die harde schijf en de tijd/moeite die je erin hebt gestoken! De grote linux distro's hebben wel een live-optie, van debian en ubuntu weet ik dat die er zijn voor zowel CD als usb-stick. Voordeel van de versie op USB stick is dat je ook een schrijfbaar bestandssysteem kunt aanmaken op die stick, zodat de wijzigingen die je doet (geïnstalleerde updates, firewall-instellingen) behouden blijven. Dit gecombineerd met de veiligheid van een apart besturingssysteem voor internetbankieren.

Echter, er is imo wel een grote maar aan dat verhaal. Updates installeren is leuk, maar het betekent wel dat je medium beschrijfbaar is én dus theoretisch gesproken kan malware zich daar ook op opslaan. Dus ik zou dat dan wel combineren met een firewall-instelling die alleen strikt noodzakelijk verkeer toestaat (zie mijn post van Dinsdag, 10:42 en de post van Anoniem van Dinsdag 14:44 hierboven).

Ik zie de meerwaarde van linux naast windows op je pc niet echt als je het alleen voor internetbankieren wilt gebruiken. In een dual-boot setup zul je toch moeten herstarten voordat je kunt internetbankieren, dus of je dat nu vanaf CD/USBstick doet of een aparte partitie, dat maakt qua tijd/effort niet uit. Plus dat het mis kan gaan met installeren, dus voor je eigen gemoedsrust tijdens de installatie zou ik het niet aanbevelen (hoewel het met Wubi niet echt heel erg mis kan gaan geloof ik).

Als je het gelijktijdig met windows wilt draaien, kom je op een virtuele machine uit (vmware, virtualbox, hyper-v). Ik heb het zelf bij mijn ouders zo geïnstalleerd, een vmware player die draait op een Windows 7 x64 host. Heel theoretisch gezien maakt dat je iets kwetsbaarder voor een man-in-the-middle aanval, omdat de netwerklaag van de host gecompromitteerd kan zijn. Echter, als je de normale activiteiten op je Windows pc doet vanaf een gewoon gebruikersaccount (dus zonder beheerdersrechten), dan is dat absoluut te verwaarlozen. Het geeft een groot stuk aan gemak ten koste van alleen een erg theoretisch risico, dus die risicoanalyse valt in mijn geval zeker uit ten gunste van gebruikersgemak.

Het antwoord op beide vragen is ja :)

Bij de firewall zou ik ook willen aanraden om je ubuntu installatie alleen verbinding te laten maken met de servers waarmee die noodzakelijkerwijs moet communiceren: bank, ssl uitgever van bankwebsite en update-servers van ubuntu. Dan maakt malware practisch gesproken vrijwel geen kans.

Gewoon een volledige Ubuntu installatie en diverse ad-ons in Firefox (Ghostery en meer ) en eventueel Virtual Box installeren met een Windows versie voor als het even niet werkt onder Ubuntu ( silverlicht als voorbeeld ) zo heb ik de laptop van mijn vrouw gemaakt ze kijkt af en toe RTL uitzending gemist.
Zo kan je toch de beveiliging van Ubuntu gebruiken bij het normale gebruik en als het echt nodig is vanuit Ubuntu toch een Windows versie opstarten.Let wel op deze Windows versie moet je wel weer redelijk beveiligen virusscanner en updates zou ik wel doen.
Ik vind dit een ideaal systeem want heel soms heeft Ubuntu toch wat tekortkomingen.

Liberté Linux op een USB-stick en alles blijft gezond.