"discussie met de bank" - die komt er pas als je vraagt of je van bank uit coulance geld mag hebben omdat je bestolen bent.

Zolang je structureel (re)boot met een DVD of UST stick of SD kaart die je alleen voor bankieren gebruikt zit je veiliger dan >99% van alle andere internet bankier gebruikers.
In elk geval in technisch opzicht.

Formeel klopt het en voldoe je niet aan de voorwaarden, maar ach, dan moeten ze maar aantonen voor de rechter dat je grof nalatig bent geweest. Overigens zou ik wel regelmatig een 'verse' live DVD gebruiken.

Wel grappig die niets zeggende voorwaarden van de banken.

ik heb om die reden ervoor gekozen een VM in te richten. ik zorg gewoon dat ik de vm up to date houd en er niets anders mee doe dan bankieren. ideal was een handige methode van betalen, maar is sindsdien niet veilig meer te gebruiken in mijn ogen. dus altijd handmatig overboeken.

ik weet t een vm op je machine is ook te hacken maar t is kiezen tussen kwaden. ik heb liever een up to date browser met no script en een https vervieerder dan een dvd met een verouderde browser waarbij in mijn ogen de man in the middle een grotere kans van slagen heeft.

Paar zaken.

1 - Het is belangrijk (en een relatief kleine moeite) om regelmatig de laatste versie van je live cd te downloaden en branden.
2 - Zolang je deze louter gebruikt voor bankzaken is het vrijwel onmogelijk dat je besmet raakt met malware.
3 - Malware moet je over het algemeen zelf installeren, ook bij een lek in verouderde software.


Een live-oplossing die schrijfbaar is, is natuurlijk niet veel beter dan je reguliere OS.
Ikzelf wil nog wel eens de rescue-disc van Kaspersky gebruiken als ik buiten de deur per se bankzaken moet regelen, maar thuis gebruik ik een VM met verschillende OS voor verschillende toepassingen.
Dat laatste is dan ook mijn advies: gebruik een VM!

Zeker nooit gelezen welke voorwaarden je mee akkoord gaat als je gaat internet bankieren ?

Je rekening is leeg, en de bank is je niks verplicht. Jij bent het die dan naar de rechter moet met een verhaal dat je recht meent te hebben om van je bank je verlies vergoed te krijgen.

De bank kan gewoon je _verzoek_ (niet je contractuele recht) om schadeloosstelling afwijzen en rustig achterover leunen en zien wat de rechter gaat zeggen als _jij_ daagt.

C't Banking geinstalleerd op een USB-stick. Die heeft geen kontakt met een eventueel geinfecteerde harde schijf.
Bij deze is na opstarten een update van het OS en van de extenties in Firefox mogelijk.


Eerst installeren op de stick, dan stick opstarten, dan kan de update gestart worden (simpele klik op een ikoon) van de speciale Ubuntu en Firefox kan voorzien worden van extra extensies.
Ook kan een ander toetsenbord-layout geinstalleerd worden naast de standaard Duitse. Ook kan de printer geinstalleerd worden.
Als wijzigingen bewaren is aangeklikt worden de updates en wijzigingen op de stick bewaard bij het afsluiten/rebooten van de stick.

Bij een volgende keer opstarten van de stick, dienen eerst beschikbare OS-updates geinstalleerd te worden (simpele klik op een Ikoon) + onder Firefox moet geklikt worden op extensies-update.
Deze wijzigingen kunnen nu niet meer bewaard worden (dus bewaren is alleen na de eerste keer opstarten mogelijk).

Als de steeds groter wordende hoeveelheid updates te groot wordt, of een update heeft een reboot nodig, moet de stick opnieuw gemaakt worden, waarna bij de eerste keer opstarten alle beschibare updates bewaard kunnen worden.

Groeten

In het geval er een rechter aan te pas komt (en dat zal wel snel gebeuren want aan de bank zelf heb je niets), zal de bank naar jou wijzen en roepen dat je nalatig geweest bent... en moet jij maar je onschuld bewijzen, of tenminste aannemelijk maken dat je toch echt je best gedaan hebt.

Persoonlijk zou ik zeggen dat een linux op een dvd (waar dus niet zomaar bijgeschreven kan worden en die dus iedere keer "vers" start) voor redelijk dichtgetimmerd mag doorgaan. Maar zorg dan dus dat je dit ook aannemelijk kan maken, zelf of via een expert van het type die rechtbanken wel vaker inhuren.

Hier kun je gebruik maken van de uitspraken van de banken zelf dat het maar "richtlijnen" zouden zijn, en dus geen bindende eisen. Zorg dat je dat ergens op papier hebt, dan kan je er mee zwaaien en zeggen dat je technisch vergelijkbare en net zo goede of zelfs betere dingen gedaan hebt, en dat je dat ook hard of tenminste zeer aannemelijk kan maken. Zorg dus dat je een dossier hebt --en hou het bij, makkelijker dan pas tegen de rechtzaak aan proberen bewijsmateriaal te verzamelen-- om de bank mee om de oren te slaan dat je echt wel je best gedaan hebt.

Daarnaast sta je redelijk sterk als je zelf netjes al je transacties bijhoudt en dan dus de rechtbank jouw administratie kan overleggen; alles wat daar niet in staat heb je geen toestemming voor gegeven en is dus de bank hun schuld.

Let wel, ik ben geen advocaat en dit is geen advocatenadvies en garantie hoe sterk je precies staat heb je ook al niet. Maar als je precies kan vertellen wat je wanneer gedaan hebt kan je al een stuk meer dan de meeste consumenten kunnen.

Dat hiermee het nut van de "dienst"verlening van de bank alweer een stukje afkalft omdat je allerlei extra administratie moet bijhouden, ach, dat hebben we reeds bij de nieuwe richtlijnen opgemerkt. Dit is slechts een bijeffect, ook al is het best wel werk om zo'n logboek secuur bij te houden. Zij tonen zich wantrouwig en onvertrouwbaar; vertrouw ze dan ook niet en verwacht geen coulance. Hou precies bij wat jij doet met je bankiercomputer en je bankieren. Precies zodat je kan laten zien dat wat zij beweren onzin is en dat jij echt wel je best gedaan hebt. Zorg dat je ze ten alle tijden kan dwingen te doen wat je van ze wil, dan is hun "coulance" niet meer dan dat ze hun eigen gezichtsverlies beperken door jou je zin te geven.

Dit is hun "due dilligence" ten voeten uit, en is nu dus helaas noodzakelijkerwijs wat jij tegen henzelf moet inzetten.

Wat ik mij nu inde context van deze discussie de hele tijd afvraag:

als de bewijslast ligt bij mij, de gebruiker, HOE kan ik dan ACHTERAF bewijzen dat mijn systeem wel aan de voorwaarden heeft voldaan?

Stel ik wordt vandaag online bestolen en over 6 weken is er een rechtszaak omdat de bank niet wil vergoeden. Hoe bewijs ik dan dat op het moment van diefstal ik aan de voorwaarden voldeed (dus uptodate virusscanner uptodate software e.d.)

En andersom geredeneerd, hoe kan een bank controleren of mijn systeem toen uptodate was?

Wat heel veel beter aan kan zijn is als die schrijfbare live oplossing *alleen* gebruikt wordt om te bankieren, na een reset, en verder voor helemaal niks.
Een regulier OS doet z'n besmetting niet op tijdens het bankieren, maar tijdens al die andere dingen die je ermee doet.

Bij ASN Bank wordt Linux expliciet genoemd in hun systeemvereisten voor internetbankieren.

Lees even https://www.security.nl/posting/375096/De+veiligheidsregels+van+de+NVB+zijn+geen+regels+maar+richtlijnen! door.

De bewijslast dat je je als klant grof nalatig bent geweest ligt bij de bank. Panikeren over hoe je als klant in 's hemelsnaam je onschuld kan bewijzen is dus helemaal nergens voor nodig.

VM = Veilige Machine?

Volgens de Wet(!!!) ligt de bewijslast nog altijd bij de bank. Dat zij anders willen doen voorkomen in een aantal voorwaarden, doet daar niets aan af.

Wat betreft die 6 weken ben je erg optimistisch, de meeste banken reageren niet eens inhoudelijk op dit soort zaken binnen 6 weken. Bij een afwijzing van je verzoek tot schadeloos-stelling is er de zgn. "geschillen-commissie" welke in feite altijd in het voordeel van de bank oordeelt na een zo lang mogelijke traineer-periode-van-beraad. Pas dan is het gebruikelijk om een rechter te benaderen, en dan ben je al snel een jaar of wat verder.

Nu kun je ook direct naar de rechter stappen, maar dan is het inderdaad zo dat je (advocaat) met een sterke bewijslast moet komen, vooraleer de rechtbank je zaak überhaupt in behandeling neemt. De kosten zijn ook voor de "klager" in dit geval.


Dit zou ik dus zeker niet doen, ten eerste maak je slapende honden wakker, ten tweede, in het geval ooit fout mocht gaan, heeft de bank extra "bewijsmateriaal" dat jij als consument eigenlijk helemaal niet weet waar je mee bezig houdt. Althans, zo zal het uitgelegd worden aan de rechter...


Conclusie:
Aparte (niet-schrijfbare) boot-disc regelmatig up-to-date houden (meer kun je niet doen!), of een VM gaan gebruiken.
Let er bij een VM wel op dat je de host zelf opnieuw moet installeren en het beste enkel en alleen kunt gebruiken om de VM in te draaien, waarin je dan weer je andere OS(-en) en applicaties draait. Dit komt natuurlijk niet ten goede aan het gebruikersgemak (systeembelasting) buiten het bankieren om.

Het grootste risico is en blijft de gebruiker natuurlijk, goed opletten en bewuste omgang houdt 99% v/d risico's al buiten de deur.

Een 2e pc(oude pc) is het gemakkelijkst. Daar ubuntu op zetten, en voor bankieren eerst updaten.

Of een sata switch kopen, dan kun je 4 hd's apart stroom op zetten.(in china kost dit ongeveer 20 tot 30 dollar).
Dus je hebt dan 4 pc's in een kast zitten(of 2 hd's natuurlijk). Voor je de pc aanzet kies je hd, en booten, en bankieren.
Dan heb je 1 pc voor windows en 1 voor linux.
Zelf heb ik 4 hd's om met verschillende sytemen te testen.
1 voor bank(linux), 1 voor algemeen gebruik(ook linux), en 1 voor internet kopen(linux), en 1 systeem om te testen(bijv bsd).
Ja, bank en internet aankopen staan apart.

Ik heb helemaal nergens gezien in bankier voorwaarden dat je RECHT zou hebben op vergoeding van je verlies *tenzij* je grof nalatig geweest zou zijn.
schuld of onschuld, als er met de juiste credentials overgeboekt is is het geld weg en _misschien_ dat de bank je verlies wil overnemen. Helemaal niet dat je dat _altijd_ krijgt tenzij de bank bewijst dat jij nalatig geweest bent.

Onjuist, de bank moet aantonen dat JIJ grof nalatig bent geweest. Aangezien dat een uitdaging voor ze gaat worden als ze niet de beschikking hebben over jouw computer(s). Zonder gerechtelijk bevel gaan ze die ook niet krijgen van mij en dat bevel komt er nooit.

Waar staat dat je WEL recht op vergoeding hebt ?
Ook al is je PC (eventueel bewijsbaar) up to date ?

Hoe ingewikkeld, en met hoeveel kabeltjes wil je het hebben? Dan is een boekje overschrijvingskaarten met eigen bijdrage veel gemakkelijker, veiliger en goedkoper. Bij elkaar opgeteld wellicht: verstandiger.

"Ik gebruik een Linux live DVD voor internet bankieren. Een live DVD heeft echter geen up to date virusscanner, en ook zal niet alle software altijd up-to-date zijn vanwege het simpele feit dat de live DVD niet beschrijfbaar is."

Het geheugen van je computer is wel beschrijfbaar, en je kan gewoon zorgen dat je een LiveDVD gebruikt met een virusscanner, waarbij je deze bijwerkt.

Zo werkt een antivirus LiveDVD ook, die werkt niet op basis van verouderde definities. Overigens kan ook malware actief zijn in het geheugen van je computer, wanneer je werkt met een LiveDVD.

Indien jij ervoor kiest om te werken vanaf een systeem dat *niet* voldoet aan de eisen van de bank, dan zou ik er volledig op rekenen dat de bank je bij schade (waarschijnlijk succesvol) voor de schade zal laten opdraaien.

"De bewijslast dat je je als klant grof nalatig bent geweest ligt bij de bank. Panikeren over hoe je als klant in 's hemelsnaam je onschuld kan bewijzen is dus helemaal nergens voor nodig."

Indien de bank aantoont dat je je zaken niet op orde had, conform de regels die per 1 Januari van kracht zijn, dan zal daar al snel de conclusie uit volgen dat je 'grof nalatig' bent geweest. Dat jij ervanuit gaat gelijk te krijgen is redelijk naief te noemen.

Het is immers je eigen keuze om te werken op een systeem zonder de nodige security updates en zonder een up to date virusscanner, waarmee je dus bewust de regels zoals die nu gelden terzijde schuift.

"Persoonlijk zou ik zeggen dat een linux op een dvd (waar dus niet zomaar bijgeschreven kan worden en die dus iedere keer "vers" start) voor redelijk dichtgetimmerd mag doorgaan"

Da's leuk voor een discussie tussen techneuten, maar in de rechtzaal zal het al snel gaan om de vraag of je je wel/niet hebt gehouden aan de geldende voorschriften en of er daardoor dus sprake is van verwijtbaar gedrag.

Zelfs al zou de rechter je technisch snappen, dan nog blijft overeind staan dat je de voorschriften niet hebt gevolgd. En daardoor kan je verantwoordelijk gesteld worden.

"Stel ik wordt vandaag online bestolen en over 6 weken is er een rechtszaak omdat de bank niet wil vergoeden. Hoe bewijs ik dan dat op het moment van diefstal ik aan de voorwaarden voldeed (dus uptodate virusscanner uptodate software e.d.)"

Een zeer goede vraag. Ik vraag me wat dat betreft ook af hoe dat zal lopen met malware die nog niet op het moment dat je schade oploopt in de definition files van virusscanner bekend is.

Gaat de rechter dan contact zoeken met een AV bedrijf om uit te zoeken in hoeverre je virusscanner door jouw verantwoording de malware niet onderschepte, of door het feit dat de malware simpelweg nog niet was opgenomen in de definition files door de AV leverancier.

Het is snel het woord van de bank tegenover het woord van de klant, waarbij de rechter maar moet gaan bepalen wie gelijk heeft.

Vergeet niet dat het een hoop geld en moeite kost om naar de rechter te gaan.
Dat hebben ze goed voor elkaar bij de banken: er is een klachteninstituut wat 100% de mening en voorwaarden van de
bank als uitgangspunt hanteert (dus als bestolen klant krijg je daar altijd ongelijk), en dan moet je naar de rechter, wat
steeds duurder gemaakt wordt door de overheid. Heb je een advocaat nodig dan kost dat ook heel veel geld.
De bank hoopt dat je dit niet gaat doen, en doe je het wel dan zetten zij een mega-advocaat op de zaak zodat je altijd
verliest met je beperkte middelen. Wat ze immers bij de bank niet willen is precedentwerking, en de individuele klant
interesseert ze geen moer.

Welke wet ?

Als het erop aan komt sta jij als eisende partij te claimen dat je van de bank geld (terug) wilt hebben.
'wie eist bewijst'.
Ondanks dat je een contract hebt waarin niks staat over jouw recht daarop. Zelfs niet als je systeem wel up to date zou zijn.

De definitie van coulance is "gematst worden zonder dat er een recht op bestaat".

Jij bent degene die op dat moment met een lege rekening zit.
Wiens probleem is dat nou ?
Wat dat bank betreft kan dat prima zo blijven.

Dan blijf je toch lekker op je computer zitten met je lege rekening ?

Misschien had ik beter het volgende artikel kunnen linken, waar wel de betreffende wetsartikelen worden aangehaald: https://www.security.nl/posting/371573/Juridische+vraag%3A+wie+is+aansprakelijk+voor+fraude+met+internetbankieren%3F

Een beetje absurd. Live DVD en VM's om te kunnen internetbankieren.
Ik begrijp wel dat dat veiliger is maar loop je dan ook met scheenbeschermers onder je kleren?

Natuurlijk nog absurder dat banken ons het niet langer mogelijk maken om papieren afschriften te ontvangen (alleen nog tegen betaling), kantoren sluiten (zodat oma ook kan leren internet bankieren, want dat is handig voor haar) en vervolgens nieuwe producten introduceren zoals contactloos betalen, chippen e.d.

Volgens mij zitten de meeste van ons niet echt op zitten te wachten op contactloos betalen net als die shit OV chipkaart. (Is dat nou echt goedkoper als een papieren strippenkaart?)

En vervolgens worden we zelf verantwoordelijk gemaakt voor de beveiliging en moeten we zelf aantonen welke maatregelen we hebben genomen t.a.v. die beveiliging. (U heeft niet de laatste 30 security updates van microsoft geinstalleerd dus u bent nalatig geweest en jammer dat u en die 100.000 andere die ene app op u tablet hebben geïnstalleerd zonder de voorwaarden te lezen).

Ik denk dat ik maar eens met de heren van Candy Crush ga praten of zij nog iets bij willen verdienen naast die 80 cent voor 5 levens.

Ah. Goed punt, die artikelen geven je een stuk meer rechten dan wat vroeger het geval was.
Coulance kun je niet _eisen_, maar dwingend recht natuurlijk wel.

Ik gebruik zelf Ubuntu 12.04 zowel op mijn laptop en desktop computer en ik doe ook op allebei de bankzaken ( ING ) ik heb gebeld met de ING om inderdaad te vragen hoe het zat met bankieren en Ubuntu omdat.

1 - Geen actieve virusscanner
2 - Geen actieve firewall wel ingeschakelde ingaande firewall in het modem
3 - Geen actieve anti spyware maatregelen
4 - Op de laptop wel ingeschakelde firewall alleen bij openbare netwerken.


De helpdesk medewerker zei dat het gebruik van Ubuntu op zich al veilig genoeg was maar je blijft altijd wel kwetsbaar voor sociaal engineering en er werd mij op het hart gedrukt dat de bank alleen bij zeer grove nalatigheid tot het niet betalen van schade overgaat.
Toen stelde ik dat al is de kans maar 0.01 procent dat een virusschrijver erin slaagt om een virus te ontwikkelen dat gegevens van een Ubuntu machine zou kunnen stelen en misbruiken zijn antwoord was dat door de bank dat dan niet als grove nalatigheid zou worden gezien.
Hij stelde zelfs nog dat de kans dat zoiets met een Windows machine zou gebeuren ( zero day ) vele malen groter is en dat de bank mits bij een actieve virusscanner ook gewoon tot vergoeding over zou gaan.

Ik heb 1 foutje gemaakt in het gesprek ik heb niet naar een schriftelijke bevestiging gevraagd

Om een lang verhaal kort te maken sommige oplossingen die hier worden aangedragen zijn zwaar overdreven live cd,s VM enz enz gewoon een populaire Linux distro de updates altijd installeren en er kan je weinig gebeuren naar mijn inziens.

Ik werk ook met linux en mijn windows xp is binnenkort niet meer bruikbaar voor bankieren. Tot heden gebruikte ik windows omdat de veiligheidsvoorschriften van de bank nergens linux ondersteunden.

Het lijkt me zo dat een live cd/dvd de beste garantie is dat je met een schone machine start. Als je direct de browser start en enkel op de banksite inlogt, dan minimaliseer je het risico op werken met een besmette computer.

Als je updates gaat installeren, dan kan er voordat de update is afgerond ook een infectie optreden die gebruikers-ongerelateerd is.
Gebruik van een systeem dat ook voor andere toepassingen wordt gebruikt, vergroot de kans op infecties en is daarmee altijd gevaarlijker dan de schone start. Ook als je in een virtuele machine werkt.

Als je de browser wat veiliger wilt maken, is gebruik van noscript, adblock plus, e.d., handig om infectie van onbekende bron te vermijden. Maar als je dan een site van de bank bezoekt, dan zal je worden doorgestuurd naar andere domeinen dan die van je bank, waardoor je de controle op foute handelingen niet kan maximaliseren en maar moet vertrouwen op de banksoftware. Sterker nog: wil je de browser een veilige status geven, dan moet je voordat je de bank gaat bezoeken alle extensies uitschakelen, want extensies kunnen malware bevatten en jij kan niet garanderen dat die extensies 100% veilig zijn.

Ik vind dat de bank de gebruiker met problemen opzadelt, die eigenlijk door de bank moeten worden voorkomen. Laat de bank maar een tool ter beschikking stellen die ik kan gebruiken om mijn bankzaken te regelen. Dan mag de bank daarbij het programma laten werken op mijn computer, als het maar van mijn harde schijven en andere gekoppelde media afblijft.
Dus bijvoorbeeld een bootable onbeschijfbare usb-stick waarvan ik kan booten en de bankzaken regelen.

Nu moet ik een computer hebben die ik niet naar eigen inzicht kan gebruiken, omdat ik anders niet aan de bankvoorwaarden zou kunnen voldoen.

Dat is toch van den zotte.

Ik wil van te voren zekerheid hebben dat ik geen risico loop en daar geen limitatie in het gebruik van mijn computer aan gekoppeld zien. Ook heb ik geen behoefte aan windows en dat wil ik dus ook niet moeten aanschaffen.

Ik zie niet in waarom een live cd veiliger is dan een goed beveiligd echt systeem. Een live cd voorkomt niet dat je op een gespoofde website komt, je zou alleen al vanwege alle onveilige ssl certificaten die in de browser worden gerevoked dan dagelijks een nieuwe cd moeten bakken.

Bedoel je dit?
http://www.heise.de/ct/projekte/Sicheres-Online-Banking-mit-Bankix-284099.html

Ik snap niet waarom iedereen het nog slikt? Je neemt een dienst af waarvoor je betaald en als er iemand met je centen vandoor gaat moet je nog aan "voorwaarden" gaan voldoen. Voor het oude alternatief moet je nog betalen ook.
Dus wie dwingt ons nou "vriendelijk" die kant op...

Waar mogelijk met cash betalen of stiekem hopen dat contact loos betalen wel veilig is :)

Ik ben zelf een Linux gebruiker , zelfs gebruiker van meerdere distro's , die op de computer geïnstalleerd staan. Tot mijn grote verbazing krijg ik hier te lezen dat men met een Live CD/DVD schijfje of USB stick kan internet bankieren.
Om aan internetbankieren te doen moet Linux wel degelijk geïnstalleerd staan op de computer, en de eerste bank die dit tegendeel beweerd mag met mij contact nemen.
Het word ook aanbevolen om een Linux LTS distro te installeren en net als Windows deze up to date houden , en niet te reageren op Phishing berichten, want dit is de grootste oorzaak van fraude bij internet bankieren.
En een computer waarop Windows7 of Windows8 geïnstalleerd staat, en niet up to date gehouden word, is even kwetsbaar voor hackers en internetcriminelen als een computer waarop windows xp geïnstalleerd staat.

Ik wil hier alvast nog iets nuttigs aan toevoegen.
Wanneer je als klant via internet bankieren bestolen word, en je bank kan alle bewijzen voorleggen dat hun systeem degelijk beveiligd is , ben jij als klant zelf verantwoordelijk .
Ik weet niet hoe dat in Nederland zit, maar hier in België staat dat duidelijk beschreven wanneer je een contract afsluit om aan internet bankieren te doen.

Hier in Nederland kan je van alles in contracten zetten maar als dat in conflict is met wettelijke regelgeving dan geldt de wet en niet het contract.

In dit geval staat er:


Artikel 529
2.
De betaler draagt alle verliezen die uit niet-toegestane betalingstransacties voortvloeien, indien deze zich hebben voorgedaan doordat hij frauduleus heeft gehandeld of opzettelijk of met grove nalatigheid een of meer verplichtingen uit hoofde van artikel 524 niet is nagekomen. In dergelijke gevallen is het in het eerste lid bedoelde maximumbedrag niet van toepassing.

Dus als jij aan art 524 hebt voldaan dan is het helemaal aan de bank om het te bewijzen:


Artikel 524
1.
De betaaldienstgebruiker die gemachtigd is om een betaalinstrument te gebruiken,
a. gebruikt het betaalinstrument overeenkomstig de voorwaarden die op de uitgifte en het gebruik van het betaalinstrument van toepassing zijn, en
b. stelt de betaaldienstverlener, of de door laatstgenoemde gespecificeerde entiteit, onverwijld in kennis van het verlies, de diefstal of onrechtmatig gebruik van het betaalinstrument of van het niet-toegestane gebruik ervan.
2.
Voor de toepassing van het eerste lid, onder a, neemt de betaaldienstgebruiker, zodra hij een betaalinstrument ontvangt, in het bijzonder alle redelijke maatregelen om de veiligheid van de gepersonaliseerde veiligheidskenmerken ervan te waarborgen.

Hoezo moet linux geinstalleerd staan voordat je kan internetbankieren? Meer dan een werkende browser heb je niet nodig voor internetbankieren en daarvoor werkt een liveCD ook prima. Wellicht is dat in België inderdaad anders, maar dat is dan misschien handig om even toe te lichten :)

Nadeel van een LiveCD zou je kunnen noemen dat hij mogelijk niet helemaal up to date is, waardoor je tijdens je bankiersessie een besmetting oploopt. Maar als je je beperkt tot enkel bankieren is dat risico niet bijster groot.
Als je de reacties hierboven gelezen zou hebben (met name het linkje naar een achtergrond artikel van Arnoud Engelfriet hierover), dan zou je hebben kunnen weten dat het in Nederland dus anders zit ;)

.... en wat als je host OS geïnfecteerd is met een keylogger?

Het is al vaker gemeld hier:
Een Virtuele Machine (de guest) is niet veiliger als je hem juist voor bankzaken gebruikt, de echte pc (de host) kan door je gewone surfwerk al besmet zijn en het verkeer van de VM moet toch eerst weer door de host en kan daar dus gemanipuleerd zijn.
Een VM wordt gebruikt om je host te beschermen en niet andersom. Wil je de host dus schoonhouden dan doe je je normale surfwerk in een VM en kan je (iets) rustig(er) je bankzaken op de host uitvoeren.

Waarom verstrekken de banken geen "Browser in the Box" oplossing?
Of installeer je deze zelf: http://www.sirrix.com/content/pages/home_en.htm


On the basis of a “Browser-in-the-Box” concept a virtual machine is provided with a reduced operating system and a web browser encapsulated therein. Malware cannot thus penetrate the host operating system; a potential damage in the separated virtual machine will vanish with each start of the browser by returning to a certified starting point. All of that is fully transparent to the user.

Protection against malware and data Leakage

In contrast to simple sandboxing methods provided by standard browsers "Browser in the Box" isolates all activities of the browser completely from the host operating system. Merely a single shared folder within the host is made accessible for a separate user account. This folder stores all persistent configuration data like favorites of the browser. Equally all downloaded files are initially stored in this folder and are only forwarded into the normal user accessible download folder after a malware scan.

Besides this extensive protection of the host system against any attacks from the Internet, "Browser in the Box" reliably prevents any uploads of files into the Internet. Hence, the confidentiality of critical company or authority information is not already jeopardized by simply providing Internet access to its employees.

"Browser in the Box" provides a cost efficient and carefree surf environment without any limitation in comfort. The expensive and complex usage of dedicated terminal servers as an alternative for secure surfing can be avoided. The performance impact is minimal for today’s computer architectures.

Je durft dit wel hard te zeggen maar technisch gezien ligt dit anders en klopt het dus niet helemaal.
Ik kan je naar een site laten gaan in een VM (vmware/virtualbox) waarna je host besmet zal zijn en andersom.
LiveDVD blijft beste optie.. Je kan natuurlijk zelf ook een livecd maken van linux of windows met bijhorende virusscanner.

Waarom een live cd veiliger is dan een goed beveiligd systeem ?

Omdat een goed beveiligd systeem niet bestaat.

antivirus programmatuur vangt slechts een deel van de infecties af en loopt altijd achter op de ontwikkelingen van nieuwe infecties. In die tussentijd kan het systeem door het virus dusdanig worden gemuteerd dat een antivirusprogramma de besmetting niet meer zal kunnen ontdekken.
Ook updates in een os/browser/plugin/etc. lopen altijd achter de feiten aan.

Dus hoe langer een systeem gebruikt is, hoe groter de kans dat het systeem besmet is geraakt.

Vandaar dat een niet up-to-date live-cd met de schone start toch veiliger zal zijn

(tenzij er natuurlijk zeer bekende grote lekken op zo'n cd staan, want dan wacht een hacker gewoon op een nieuwe gebruiker met dit os en infecteert hem real-time en misbruikt dan gelijk de vermoedelijke banktransactie die volgt).

Om spoofing te voorkomen geef ik altijd het ip-nummer van de login pagina van de bank op in plaats van de URL.

Ik bedoel:
Ik gebruik voor internetbankieren uitsluitend een linux live-cd. (Knoppix) Browser Iceweasel met NoScript.

In plaats van bijvoorbeeld http://www.ing.nl, tik je dan in je browser http://145.221.55.11
Dan kom je zonder tussenkomst van een DNS direct op de inlogpagina van ING.

Omdat je dan een monocultuur creeert die nog erger is dan die van Windows.

Gebruik voor gevoelige zaken (bankzaken enz.) een Chromebook +/- 299 Euro. Als we de levensduur van het Chromebook schatten op +/- 4 jaar dan zijn de maandelijkse kosten +/- 6 Euro, vergelijkbaar met een goed veiligheidspakket. De veiligheid bij een Chromebook wordt automatisch en buiten de (on)kunde van de gebruiker geregeld, veiliger kan bijna niet.

Heb ik ook geprobeerd, browser-in-the-box. Heel gemakkelijk te installeren (voor iedereen) en op zich een prima oplossing maar... er wordt gebruik gemaakt van een verouderde versie van Oracle VM en een verouderde browser. De laatste versie van browser-in-the-box is van januari 2013.

Een "veilige" oplossing met verouderde software...???? Helaas, denk het niet!

Precies. Ik heb ook "clamav" op mijn computer, gewoon een pakketje wat de Linux distributie aanbiedt.
Dit is een totaal waardeloze scanner. Je leest wel eens van die verhalen over hoe bepaalde gratis virus scanners voor
Windows het niet helemaal halen bij de kwaliteit van een betaalde, nou ik kan je verzekeren dat dit ding nog minstens
twee ordes van grootte slechter is. Je zult echt moeite hebben om een trojan of virus te vinden die door dit ding herkend
wordt (behalve het bekende testbestandje natuurlijk).
Maar je hebt wel een virusscanner!!! En daar gaat het om.

Heb je op hun site onder download gekeken? Browser_In_The_Box.3.3.0-r24.Archive.

Oracle VM Virtualbox 4.2.22 is van Jan 2014 en Firefox ESR is versie 24.3.0 (portable versie) is van 24 Feb 2014.
Werkt perfect. download complete packkage is 444 mb, Gemakkelijk binnen 5 minuten geinstalleerd door iedere digibeet. En veilig.... de tijd zal het leren maar dat is met alles in het leven...

Hoezo verouderde software ??@#

Zonder voor of tegen te zijn is me dit echt te gortig.
Cijfers bij de toelichting svp, en wat vragen om te beantwoorden.

- hoeveel virus/malware exemplaren zijn er eigenlijk voor linux ?
Help dat mysterie eens op te lossen en te kwantificeren.

- hoe is de detection rate voor linux virussen voor op ClamAv gebaseerde scanners?
Cijfers en voorbeelden s.v.p., iedereen praat elkaar na in internetposts, exacte cijfers lastiger (?) te vinden.

Ik vermoed iets van 75% (?) wat in dat geval beter zou kunnen maar niet in de buurt komt van jouw suggestie.
Neem het restpercentage eens (de gemiste 25%?) van het aantal actuele daadwerkelijke dreigingen (alle actuele linux virussen en malware bijelkaar) en geef eens het concrete aantal malware exemplaren waarop je dan uitkomt.

Ik ben buitengewoon benieuwd om welk (laag) aantal dat dan gaat en hoe je de kans inschat daar dan net door besmet te raken.
Harde (indicatieve mag ook) cijfers graag!

Dan weten we waar we het over hebben (hopelijk).

p.s.

Want dat is natuurlijk de grap eigenlijk.
Immers, de mensen die zich het meest bewust zijn van security hier, roepen moord en brand, discussiëren zich suf over de kans dat ze iets niet vergoed krijgen.
Dat terwijl de kans dàt ze besmet raken waarschijnlijk nihil is vanwege de genomen maatregelen of geoptimaliseerde systeemconfiguraties.
Uitgetekend, wanneer de kans nihil is dat je besmet maakt gebruik dan je energie voor andere zaken om je over op te winden, zonde van je tijd (?) die onwaarschijnlijke 'what if' situaties.

extra leeslinkje : Top 5 Misconceptions about ClamAV
http://www.clamav.net/lang/en/2011/03/30/top-5-misconceptions-about-clamav/
Realiteitsgehalte mag je zelf beoordelen

Totdat morgen de server een ander ip adres krijgt en ben je weer de klos. Mijn punt is, een live cd is niet beveiligd en alle beveiliging is dus de discipline van de gebruiker. Bovendien is zo'n live cd vaak verouderd (of de browser) waardoor nep ssl certificaten niet worden opgemerkt.

Aan Hr. Ivanhoe (5-3-2014)

Inderdaad, het Bankix programma/OS op een USB-stick.
Kan na opstarten altijd even geupdated worden. Dus nooit een verouderd systeem, en onafhankelijk van hoe de HDD er aan toe is.
Ideaal lijkt het. Tenzij de repository van Ubuntu/Heise gekompromiteerd raakt.

Voor tante Betje en opa Piet misschien toch nog niet simpel genoeg vermoed ik.


Een Chromebook (suggestie 6-3-2014) lijkt mij een simpele en goede oplossing (wel via een netwerkkabel aansluiten dan, geen WiFi-gedoe bij tante Betje of opa Piet).
Echter wie heeft de verantwoording voor het up-to-date en veilig houden van het OS? Als er iets verkeerd gaat (financieel), wie is er dan verantwoordelijk (Google zal dat waarschijnlijk afwijzen)?


Groeten

Nooit USB of iets dergelijks, altijd CD vasthouden.

Bak iets om de zoveel maanden wat bij het booten een signature file naar beneden trekt. Moet je alleen even iedere (zoveel) maand(en) die signature file hard op je cd bakken, nieuwe cd en weer booten, signature file trekken, hop, heb je up-to-date antivirus op je dikke beveiliging.

bovendien heeft de bank NIET het recht om ons te dwingen te internet bankieren, zelf deze faciliteit nog niet geheel uitontwikkeld te hebben en ons als consumenten voor te schrijven wat wij exact moeten consumeren om dit gat op te vullen.

Minimum eisen okay. Maar als ik de bank kan vertellen waarom een LPS zonder AV veiliger is dan hun eisen, geen recht om het risico bij mij neer te leggen. Tenzij ik weer kostenloos via papiertjes mag bankieren waar internet bankieren is UITGESCHAKELD op mijn rekening.

We hebben alle mogelijkheden, in de wet ook, om via consumenten bond hier onze rechtsstaat via desnoods jurisprudentie wat up te daten. net als die av dus.

Ik zie dat er ondertussen inderdaad een nieuwe versie is van browser-in-the-box van maart 2014. Nu met Firefox ESR en dat lijkt me en goede keuze. Echter... er is ondertussen alweer een nieuwere versie uit van Oracle VM. En sus is ook de nieuwe versie van browser-in-the-box alweer niet up-to-date. Het is dus weer wachten op een update maar dat kan bij browser-in-the-box ook zo maar weer een half jaar of langer duren.

Het lijkt me dus handiger dan zelf maar Oracle VM te installeren en daarin Linux draaien dan kun je alles in ieder geval altijd zelf up to date houden.

V.w.b. de verantwoordelijkheid die ligt op hetzelfde niveau als bij een (virus)scanner.
De gebruiker heeft alle maatregelen genomen die van hem/haar redelijkerwijs kunnen worden verwacht.
Er is dus nooit sprake van grove nalatigheid.
Een netwerkkabel is mogelijk beter maar ook hier geldt hetzelfde als bij iedere andere beveiligde computer.

een live cd is read-only, maar wat in het geheugen geladen wordt is WEL schrijfbaar.
Een flashexploit is dus al genoeg om je live OS te infecten en je credentials te stelen.

Zorgen dat je up-to-date bent dus, zelfs met een live cd!

"De kwaliteit van virusscanner voor Linux hoeft ook niet erg best te zijn. Er zijn immers weinig Linux virussen die 'in the wild' actief zijn :-)"

Daar zal je veel aan hebben op het moment dat je wel wordt besmet, en indien vervolgens je bankrekening wordt geplunderd. Dan kan je roepen "maar de kans was erg klein". Verder vraag ik mij af waarom je in hemelsnaam voor een kwalitatief slechte scanner zou kiezen.

"Ik snap niet waarom iedereen het nog slikt? Je neemt een dienst af waarvoor je betaald en als er iemand met je centen vandoor gaat moet je nog aan "voorwaarden" gaan voldoen."

Tja, heb je zelf ook nog enige verantwoordelijkheid ? Of is dat principe je geheel vreemd ? Indien jij zelf nalatig bent, dan vind ik het niet meer dan normaal dat je zelf ook voor (een deel van) de schade opdraait. Waarom moet de bank altijd de schade dragen, ook wanneer deze voortvloeit uit jouw handelen ?

Clamav claimt dat het ook op Windows virussen enzo scant. Maar dat valt erg tegen.
Ik kan me niet voorstellen dat hij voor cross-platform rommel (Flash, Java, Javascript) ineens zoveel beter werkt.

Het is gewoon een onding. Ik snap best dat je met een vrijwilligersteam zo iets niet in de lucht kunt houden hoor.
Alleen ben ik bang dat er mensen denken dat ze iets goeds hebben, terwijl dat niet zo is. Dat zou kunnen betekenen
dat dit programma juist een risico vormt.
(het is ook al meerdere malen voorgekomen dat er overflow bugs in de scanner zaten die het mogelijk maakten dat
een malicious bestand de controle van de computer overnam onder de user waaronder die scanner draait)

Vrij moeilijk om met een live cd up-to-date te zijn, hooguit de laatste versie maar ook die loopt per definitie achter.
Vraag mij wel af of het een reëel gevaar is als je als volgt handelt:

- Star de computer met de live CD.
- Ga direct (URL) naar de betreffende pagina en handel de zaken af.
- Zet de computer uit.

Het is natuurlijk niet de bedoeling vooraf allerlei dubieuze sites te bezoeken!

Dat is het punt,
Ga je in een bunker zitten omdat je niet door een meteoriet geraakt wil worden?
Nee, omdat de kan reëel erg klein is dat je geraakt wordt en het onzinnig is je daar nog druk over te maken.


Ten aanzien van degenen die op en aanmerkingen hebben op de ClamAv engine, houd eens op met kritiek-papegaaien en onderbouw negatieve stellingen tav de scanresultaten van ClamAv maar met cijfers.
By the way, het gaat hier over Linux, kritiek lijkt vooral uit windows hoek te komen, niet erg maar even niet relevant, windowsgebruikers hebben zeer ruim keuze genoeg uit andere scanners.

Discussie en vraag is inderdaad of ClamAv alle honderden miljoenen windowsvirussen moet kunnen herkennen, voor Linux systemen niet zo interessant misschien.
Dus, hoeveel Linux virussen en Malware zwerft er rond en wat laat de ClamAv scanner daarvan door?

Onderbouw je mening of kritiek met cijfers, daar hebben mensen wat aan.
Kom maar op.

ClamAV is bedoeld om Windows virussen tegen te houden op Linux niveau, dus virussen detecteren voordat het kwetsbare Windows geïnfecteerd kan worden.

Hiervoor wordt ClamAV b.v. gekoppeld aan een Mail Server (Sendmail/Procmail/etc.) Het is een service binnen Linux om Windows te beschermen, dank je wel doen het graag voor jullie.

Shadowserver test continu diverse virusscanners op effectiviteit, zie https://www.shadowserver.org/wiki/pmwiki.php/AV/VirusWeeklyStats. Daar zie je dat ClamAV gewoon een middenmoter is die beter presteert dan Symantec, Norman en Microsoft Security Essentials. In de zelfde orde dus als de gerenomeerde betaalde virusscanners onder Windows. Maar niet onderbouwde beschuldigingen het web op slingeren is natuurlijk heel populair.

Ik heb tientallen malen "known malware" gescand met ClamAV, geconstateerd dat deze niks vond, en diverse malen
samples ingezonden. Er is geen verbetering zichtbaar.
Wieweet zien andere vergelijkers die andere bestandcollecties scannen andere resultaten.

Ook heb ik wel eens met de heuristic mogelijkheden getest maar dit gaf een lawine van false positives.
Maar als anderen blij zijn met dit ding, gebruik hem gerust hoor.

Met uitzondering van de persoonlijke voorkeur die kan/hoef je 'niet' met cijfers onderbouwen, is de kritiek volstrekt niet verifiëerbaar onderbouwd.

Wel verifieerbaar,
onder eerder opgegeven link deze week is in de vergelijking van 47 scanners te zien
https://www.shadowserver.org/wiki/pmwiki.php/AV/VirusWeeklyStats

* Plaats 23, Clam (Windows)
Gedetecteerd: 3,518,207 van Totaal: 3,865,225
Percentage: 91.0220%

* Plaats 27, Clam (Linux)
Gedetecteerd: 3,438,345 van Totaal: 3,865,225
Percentage: 88.9559%

Qua plaats ergens op de helft gaat niet op voor het scan percentage, dat is stukken hoger dan 50%, namelijk 88 a 91%.

Laten we nog eens kijken naar de definitie van 'ondermaats', zou de scanner op plaats 47 daaraan voldoen met een scanpercentage van 4%?

* Plaats 47, Panda (Linux)
Gedetecteerd: 165,052 van Totaal: 3,865,225
Percentage: 4.2702%

Beste Linux scanner plaats 8 VirusBuster (Linux)
Gedetecteerd: 3,652,061 van Totaal: 3,865,225
Percentage: 94.4851%

Scanner op plaats 1 windows, Avast (Windows)
Gedetecteerd: 3,713,180 van Totaal: 3,845,983
Percentage: 96.5470%

Een scanpercentage van rond de 90 procent van ClamAv valt niet in de categorie beschamend slecht, kwalitatief slechte scanner, of andere vergelijkbare negatieve termen. Los van de persoonlijke voorkeur verder.

Met een dergelijke scanner kan je zonder meer serieus naar een bank staande houden dat je voldoende maatregelen hebt genomen je systeem tegen virussen te beveiligen. De bank verplicht je namelijk nog niet voortdurend de best geteste scanner te kiezen.

Je kiest dus de scanner die je het meeste ligt, dat is een persoonlijke keuze.
Waar nogmaals niemand wat mee op schiet is het ventileren van negatieve niet onderbouwde vaagheden.
Onderbouw kritiek met cijfers, zeker in het geval van ontwikkelaars die het niet doen voor dikke poen (bijkomend voordeel; geen voortdurende aandachttrekkerij met mediaberichten), dit hebben ze namelijk niet verdiend.

Om aan internetbankieren te doen behoeft Linux niet op de computer geinstalleerd te zijn.
Bankieren gaat via de Browser en is m.i. OS onafhankelijk.
Een Live CD of Live USB-stick met Linux gaat prima.
Pas op: Ja kan de Linux-ISO op een stick zetten (Gelijk aan een Live CD, niet te beschrijven.) of Linux installeren op een Stick (Gelijk aan het normaal gebruik van Linux, wel te beschrijven.)
Een ISO op een USB-stick werkt vele male sneller dan een Live CD.

Niet gratis, maar ook niet veel duurder dan een betaald beveiligingspakket: Een Chromebook (+/- 250 Euro).
Er van uitgaande dat de Chromebook 3 jaar meegaat. (83 Euro/jaar).
De beveiliging wordt geheel automatisch geregeld, de gebruiker kan er niet eens invloed op uitoefenen.
Bovendien kan de Chromebook op veel andere manieren ook nog nuttig zijn.

Bij gebruik van een Chroombook kan de bank, op technische gronden, nooit (grove) nalatigheid aanvoeren!