Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 179, views: 47.179 •

ING biedt zijn klanten een gratis antimalwarepakket van de firma Trusteer aan. De veiligheidssoftware, beschikbaar voor Windows en OS X, zou malware, zoals trojans en keyloggers, kunnen herkennen en ook kunnen verwijderen.

ING stelt dat het in het buitenland al langer het pakket Trusteer Rapport aan zijn klanten levert en dat het pakket op de Nederlandse markt is aangeboden aan klanten die kampten met een besmette pc. De bank heeft nu besloten de software voor al zijn klanten beschikbaar te stellen. Opvallend is overigens dat de software op de ING-site niet via een versleutelde https-verbinding wordt aangeboden.

De Trusteer Rapport-software nestelt zich in de browser. Volgens Trusteer weet de software man-in-the-middle- en man-in-the-browser-aanvallen te voorkomen, en blokkeert het ook keyloggers en tools die pogen heimelijk screenshots te maken. De tool belooft ook phishingaanvallen te neutraliseren en gerommel met certificaten te herkennen. Trusteer Rapport is beschikbaar voor zowel Windows- als OS X-gebruikers, en is compatibel met Internet Explorer, Firefox, Chrome en Safari.

De software is volgens ING een goede aanvulling op bestaande virusscanners en firewalls, en moet internetbankieren veiliger maken. Desondanks blijft de bank zijn klanten adviseren om de laatste updates voor hun besturingssysteem te installeren en virusscanners actueel te houden.

Trusteer Rapport

Reacties (179)

Reactiefilter:-11790176+1118+25+30
1 2 3 ... 6
Opvallend is overigens dat de software op de ING-site niet via een versleutelde https-verbinding wordt aangeboden.

De Trusteer Rapport-software nestelt zich in de browser. Volgens Trusteer weet de software man-in-the-middle- en man-in-the-browser-aanvallen te voorkomen, en blokkeert het ook keyloggers en tools die pogen heimelijk screenshots te maken.
Je download het om man-in-the-middle etc. te voorkomen, maar kan er een oplopen door het te downloaden. Juist.
[...]


Je download het om man-in-the-middle etc. te voorkomen, maar kan er een oplopen door het te downloaden. Juist.
Tenzij de integriteit gevalideerd wordt (en sleutels niet uitlekken waarmee software ondertekend is).

Windows Update (WSUS) werkt bijvoorbeeld ook zo: gevoelige informatie gaat over HTTPS, de updates zelf over HTTP. Over het laatste wordt een integriteitscontrole gedaan, aangezien er niets geheim is aan de updates die Microsoft uitbrengt.

[Reactie gewijzigd door The Zep Man op 8 oktober 2012 13:37]

Hoe moet dat automatisch gebeuren bij eerste installatie? Alles wat daarvoor gebruikt kan worden, kan immers mee gemanipuleerd worden in het te downloaden bestand..

Integriteit van een eerste download verifiëren kan voor zover ik het volgalleen door de consument zelf gedaan worden, mits de hash daarvoor zelf veilig beschikbaar is. Maar geen hint dat die hash er is en geen doorsnee consument die dat zal doen. Kortom: enige oplossing is de download zelf beveiligen, via (o.a.) https.
Ook https is niet veilig op pc die besmet is, een pc die besmet is is helemaal niet meer te vertrouwen of je nu https gebruik of niet, alles wat je daarna installeer is niet betrouwbaar en kan mee geknoeid zijn zodra je het binnenhaalt en installeert. Of het systeem gebruikt rootkit zodat virus/malwarescanner helemaal het probleem niet ziet op het getroffen systeem.

Enige oplossing is voor besmet pc een verse installatie met origineel OS, en dan is simpel format soms niet eens genoeg, zelfs na format kan er nog virus overgedragen worden naar je nieuw installatie vanuit je oude besmette OS. Al weet ik niet of dat soort virussen nog kans hebben bij moderne cpu's en moederborden.

[Reactie gewijzigd door mad_max234 op 8 oktober 2012 14:38]

Ook https is niet veilig op pc die besmet is
Nee, inderdaad. Maar HTTPS is wel veilig op een pc die niet besmet is; HTTP is sowieso niet veilig, dat is het punt van de discussie. Bovendien, zelfs op een besmette pc zie ik geen enkele reden om nog een extra kwetsbaarheid toe te voegen (zou toch best jammer zijn als de besmetting die je al hebt opgeruimd had kunnen worden... behalve dan dat je vanwege een MitM-aanval een extra besmetting binnenhengelt. Toegegeven, da's niet een heel waarschijnlijk scenario, maar als er een goede oplossing voor het probleem is (lees: HTTPS), dan denk ik dat je die gewoon moet gebruiken.
Kan iemand die het wel snapt (dus weet wat SSL, HTTPS en algoritmes zijn en NIET een computer idee / pcm abonnee die ook wat gelezen heeft) even uitleggen wat het punt met HTTPS is? Ik snap het nl. niet. On-the-fly code injection is voor zover ik weet helemaal niet aan de orde van de dag nl., tenzij je al besmet bent (en dan maakt het geen hol meer uit of het http of https is)...

Anyways, je kunt je programma's ondertekenen met certificaten. Morrel met het programma en de ondertekening klopt niet meer. Zo moeilijk is dat dus helemaal niet (afgezien van de gemiddelde gebruiker die het toch niet kan verifieren - maar goed - die willen we nooit lastig vallen, niet eens met overbevolkings problemen, we hopen blijkbaar nog steeds massaal op de pest v2 of veestapels op de maan ofzo).

Moeten we niet ook vallen over het feit dat de binary gewoon op de server aangepast kan worden en misschien wel compleet vervangen wordt door een geheel ander product? Als we toch bezig zijn ;).
HTTPS biedt verificatie van de (server-) identiteit, heeft een (certificaat) revocation-mechanisme en versleuteling om spoofing- en MitM-aanvallen stukken moeilijker te maken. HTTPS en HTTP 'combineren' is gevaarlijk omdat er HTTP sessie-/cookie-informatie gelekt kan worden die misschien 'tegen de HTTPS sessie' gebruikt zou kunnen worden.

Executables met een 'digitaal handig' kun je gewoon modificeren en dan opnieuw ondertekenen met een eigen handtekening. Vaak wordt alleen gekeken of de handtekening klopt en niet naar de identiteit van de uitgever. Ook kun je handtekeningen die verouderde algo's (MD5, RC4) gebruiken weldegelijk vervalsen met een modificatie + collission; zie (b.v.): http://blog.cryptographye...m/2012_06_01_archive.html.
Vooral om dat dit progsel zich in de browser "nestelt", de ideale plek voor een stukje malware
Maar waarom werkt deze software niet op Opera? Nah.
Tsja, downloads gaan vaak niet over https omdat het (vaak) niet hoeft. Een beetje fatsoenlijke installer zal de integriteit controleren bij het uitpakken, waardoor een gerichte mitm alweer een stuk lastiger is.
Een beetje fatsoenlijke installer
En een beetje fatsoenlijke MitM zal natuurlijk niet alleen zijn malware toevoegen, maar ook de te controleren checksum overschrijven (of gewoon de hele controle eruit slopen)...
Ik snap het dan niet:
Als ik antivir, avg, comodo antivirus producten download is het allemaal http en niet https.
Dit zou dan allemaal onvelig zijn?
Nah, bijna al die clubs ondertekenen hun software met certificaten. Verander er iets in en het gehele pakket doet het niet meer.

Maar goed, we moeten nu eenmaal vallen over ieder potentieel probleem. Dus ze kunnen ook gewoon de gehele executable aan de server kant vervangen door iets van zichzelf (zonder certificaat en/of controles dus).

Dus er blijft maar 1 oplossing over. Allemaal ophalen bij de notaris die het op CD (nee - geen rewritable) meegeeft in een verzegelde enveloppe en dan maar hopen dat die notaris te vertrouwen is. Bah, al weer een discrepantie :)
De malware kan alsnog (b.v. middels een geavanceerde MitM aanval) als overlay aan het orginele bestand toegevoegd worden. Run je de installer, dan wordt eerst de malware geinstalleerd en dan pas het originele installatie-bestand; wat dan dus al te laat is.

Maar als de download gewoon onder HTTPS is, op dezelfde url als waar je daadwerkelijk telebankiert en de installer fatsoenlijk ondertekent is, heb je toch aardig wat garanties.

De banken op hun beurt kunnen de integriteit van de aangeboden installatie-bestanden b.v. middels reverse-proxies/wafs 'live' tijdens de download door de klant controleren op echtheid, of een minder geavanceerd doch goedkopere pre-download checksum op de download-servers zelf.

Op die manier bouw je de keten aardig dicht; alleen al besmette clients blijven een verloren zaak.
Het zou mij persoonlijk niet verbazen als kwaadwillenden een email aan ING-klanten versturen met de 'vrolijke' boodschap dat de klanten nu beschermd zijn als ze de gratis Trusteer software downloaden met een link erbij naar een of andere geďnfecteerde versie van het pakket. Het lijkt mij persoonlijk handiger als ING de software vanuit een beveiligde en voor de klant bekende omgeving aanbied (alhoewel natuurlijk niet vanuit mijnING want dat is niet bruikbaar voor reeds geďnfecteerde computers van klanten). Of waarom niet de klanten een brief sturen met een (https) downloadlink en duidelijk maken dat ze de software nooit ergens anders vandaan mogen downloaden?

Het lijkt me trouwens niet de goedkoopste licentie die ze hebben afgenomen.... Gezien dat manier dat de software is te downloaden komt het feitelijk neer op een licentie voor de hele wereldbevolking. Vraag me af of het niet bijna goedkoper zou zijn geweest om het hele bedrijf over te nemen...
Het idee is oké maar ik ben bang dat klanten die deze software niet op hun PC willen straks geen schadeloosstelling van ING meer gaan krijgen als ze toch gehackt worden en daarmee hun bankgegevens gestolen worden. Nu is dat nog volledig voor rekening van de bank.
stiekem vind ik dat dan ook terecht, niet zozeer dat men verplicht wordt geacht dit software van ING te gebruiken, maar dat men verplicht wordt om av software te installeren en zonet is dat je eigen risico. (Maar wellicht ben ik de enige die dit vind)
Sterker nog: vorig jaar, toen ING een aantal keer minder lekker in het nieuws kwam vanwege beveiligingsissues en die (eventueel) gehackte site, was de reactie van de helpdesk op (voor de klant) onverklaarbare overschrijvingen bijna standaard: "U heeft een virus op uw pc".
Gaan ze dat nu een stapje verder doortrekken en uiteindelijk eisen dat dit progsel gebruikt wordt?

Eigenlijk heb ik door die nieuwsberichten en reacties van ze niet al teveel vertrouwen, maar natuurlijk verdient iedereen een tweede kans en het is goed dat ze dit doen.
Toch blijven ING en security imo nog geen gelukkige combinatie, daar verandert dit stukje software voor mij niet veel aan.
Ik wacht in ieder geval eerst wel op de recensies.
Wil je even toelichten dan hoe dat bij andere banken beter is? Beetje eenzijdig afzeiken nu en de problemen zijn overal hetzelfde. Wellicht dat andere gebruikers iets beter op het bedrag letten gezien ze mogelijk in moeten typen in de random reader.

Dat gezegd hebbende, het is niet bepaald zo dat de ING het totaal bedrag niet meestuurt in de SMS en dat niet verifieren heeft dus dezelfde resultaten als bij de andere banken... (you're fucked). Het niet controleren van het totaal bedrag is wat mij betreft dan ook de enige valide reden van de bank om niet tot restitutie over te gaan. Virusscanners en ook deze software lopen altijd achter op de nieuwste malware crap.

Net zo goed als dat medicijnen altijd achter lopen op de 'laatste' virussen/ziektes. Alleen in IT land zijn de definities (vaccins) een stuk makkelijker en laten die geen jaren op zich wachten zoals bij bijv. AIDS (zei ik jaren? decennia is soms toepasselijker ;)). Maar ook in IT land duurt het vaak te lang, zeker als nieuwe malware zich heel gericht verspreid en het dus lang duurt voor de AV definities jongens een exemplaar hebben (bovendien richten die waarschijnlijk bijzonder overbelaste afdelingen zich waarschijnlijk eerst op de snel verspreiders - maar dat is een andere discussie).
Ik ben meer van mening dat men zich niet teveel moet ophangen aan av software, aangezien deze in wisselende kwaliteit aanwezig is en vaak niet kan voldoen aan de verwachtingen. Het biedt schijnveiligheid (ook voor de banken!).

Liever zou ik zien dat er innovaties komen op het gebied van authenticatie. Een betere two-factor authentication bijvoorbeeld. Of het dubbel moeten uitvoeren van opdrachten vanaf twee onafhankelijke devices (pas als beide binnen zijn, wordt het uitgevoerd - en dan vanaf wat hogere overboekingen of zo).
Wat is er dan wat jouw betreft zo mis aan de huidige two-factor authentication?
In de huidige variant krijg ik ten minste alleen op mijn pc te zien welk bedrag ik aan het overmaken ben. En naar wie ik het overmaak.
Liever heb ik dat ik het totale bedrag moet invullen zoals wat gebeurt wanneer je hoge bedragen overmaakt. (PS mijn bank is de ABN amro)
Misschien dat het bij ABN-AMRO wat minder handig werkt, maar bij de ING doet men een vrij doordachte en gebruikersvriendelijke two-factor: In de huidige variant krijg je zowel op je PC als op je mobiele telefoon de hoogte van het bedrag te zien. Dat zijn wel degelijk twee onafhankelijke devices. Een aanvullende oplossing kan zijn om ook de specificatie van de over te maken bedragen per sms te sturen.

@robvanwijk: mee eens. Het eerste probleem wordt al deels ondervangen, maar de echte oplossing (specificatie meesturen) noem ik ook al. Het tweede probleem laat de two-factor inderdaad als sneeuw voor de zon verdwijnen. Om meerdere redenen ben ik ook geen voorstander van bankieren op de smartphone, ook niet bij andere banken (al was het inderdaad maar omdat je zooi moet meeslepen). Laten ze daar maar een geheel onafhankelijk systeem voor ontwikkelen, met een andere authenticatie (misschien iets met voice response?). Tot die tijd het bankieren via je telefoon met klem afraden.

[Reactie gewijzigd door mae-t.net op 8 oktober 2012 16:41]

In de huidige variant krijg je zowel op je PC als op je mobiele telefoon de hoogte van het bedrag te zien.
Ja, maar je krijgt niet te zien naar welk rekeningnummer dat bedrag gaat.
In de huidige variant krijg je zowel op je PC als op je mobiele telefoon de hoogte van het bedrag te zien. Dat zijn wel degelijk twee onafhankelijke devices.
Ja, totdat je gaat internetbankieren op je smartphone.

Oorspronkelijk was de opzet met TAN-codes prima: echte two-factor (al is het dan zonder volledige specs in het smsje) én gebruiksvriendelijk ("iedereen" heeft "altijd" zijn telefoon bij zich, overal een random reader mee moeten slepen is lichtelijk onpractisch). Maar ja, toen (dankzij smartphones) opeens de browser en de sms op hetzelfde apparaat terecht kwamen werd het aanzienlijk kwetsbaarder (zeker omdat veel smartphones geen virusscanner draaien).
Maar zit je dan niet sowieso met het probleem van veiligheid van de smartphone? Ik zit er zelf niet heel diep in, maar ik heb zelf nog nooit iets gehoord van anti-malware voor Android of iOS, en standaard zit het er niet in - is daarmee de hele smartphone als apparaat voor bankieren niet ongeschikt?

Edit: het is blijkbaar wel beschikbaar, maar ik geloof niet dat er veel aandacht aan wordt besteed - in het smartphone-beleid van m'n werkgever wordt daar vooralsnog niets mee gedaan, bijvoorbeeld.

[Reactie gewijzigd door Adam_2.0 op 8 oktober 2012 16:24]

Toch beter in de Store kijken, anti-malware voor Android of iOS bestaat al heel lang. Windows Mobile 5 had trouwens al anti-malware/virus software die je kon kopen ;).
Voor iOS heb je in principe geen anti malware nodig door het gesloten systeem. Of zie ik dat verkeerd? Een pakket als Intego virus barrier is met name bedoeld om andere niet op te zadelen met virussen in (doorgestuurde) attachments. Natuurlijk slipt er wel eens een App door, maar de kans om met iOS met een virus besmet te raken is op dit moment nog minimaal. Tenzij je gaat jailbreaken natuurlijk.

Overigens dacht ik dat OSX al ingebouwde anti malware had, maar die zal misschien wat minder up to date zijn.

Ondertussen maak ik maar gebuik van tan codes via sms (Xperia P) en log ik op de ING site in op een ander Apparaat (iPad / MacBook). Op m'n Xperia de ING App gebruiken lijkt me geen goed idee. Maar als ik een iPhone had zou ik daar ook de ING App niet op gebruiken. Ik heb er geen goed gevoel bij, dat op één apparaat te doen.
Zal er aan liggen hoe het programma werkt en daar weet ik niet genoeg van. Mag hopen dat het iets van een signed app is, alleen HTTPS communicatie doet en met hashes en controle codes werkt waarmee het nog steeds bijzonder moeilijk is om er op in te breken.

Theoretisch blaten zonder enige onderliggende technische kennis van de app zelf is echter bijzonder makkelijk en tegenwoordig ook bijzonder gewaardeerd hier.

Op android moeten alle apps signed zijn overigens. http://developer.android....blishing/app-signing.html Als ze dan nog wat extra checks ingebouwd hebben kan het theorie wel stukken makkelijker te tappen zijn - het kan in de praktijk nog weleens bijzonder tegen vallen. Ik heb iig nog niet van fraude via het mobieltje (ie mobiel bankieren met de door de bank geleverde app - vind genoeg over de websites wat ze ook 'mobiel' bankieren noemen ipv internet bankieren).
Simpel: Niet internetbankieren op je telefoon.
Het dwingt geen expliciete controle van de gebruiker af. De gebruiker leert gewoon een trucje om de transactie te voltooien: in het geval van b.v. ABN AMRO het over en weer invoeren van een code, en in het geval van ING het invoeren van het TAN nummer. Ook al staat in de sms een volgnummer en het bedrag, de meeste mensen voeren blind het TAN nummer in (hupakee klaar).

Als je daarentegen op je smartphone nogmaals dezelfde transactie zou moeten invoeren, dan kijk je nogmaals kritisch naar bedrag en rekeningnummer. Ik noem maar wat hoor, ik snap dat dit niet de meest vriendelijke methode is.

Maar ik wil twee dingen aantonen: ten eerste, de mens automatiseert heel snel en zal altijd voor de snelste afhandeling gaan (niet de veiligste) en ten tweede, antivirus software biedt schijnveiligheid waardoor mensen nog minder gaan opletten bij wat ze op het internet doen. Ik zie helaas beide zaken veel om me heen gebeuren, met name bij niet-doorgewinterde computergebruikers...
Dat is misschien wel de achterliggende strategie inderdaad...
Ook gevaarlijk is dat mensen straks denken goed beveiligd te zijn door het programma van de ING en geen virusscanner meer installeren..Of dit programma en een virusscanner geven veel conflicten met elkaar.
Die schadeloosstellingen zijn een coulance die de banken aanbieden om hun betrouwbare karakter in stand te houden. Het kost ze bakken met geld, maar het alternatief is dat iedereen zijn geld weer in een sok onder het bed bewaart.
Ik denk dus dat ze in ditsoort software investeren omdat het simpelweg loont om mensen op zoveel mogelijk manieren aan te sporen en te helpen hun systeem te beveiligen. Dat kost ze uiteindelijk aan schadeloosstellingen minder dan de ontwikkeling van de software.
Ik heb eens zitten Googlen. Het is een redelijk onbekend product, er zijn nauwelijks reviews en laat staan reviews waar je iets aan hebt. Dit viel me wel op, schijnbaar is het makkelijk te kraken.

http://malwaretips.com/Th...ypassed-virtually-useless

Het filmpje is wel lang (47 minuten).

Ik denk dat de ING nog beter klanten een bekend bestaand pakket kan aanbieden in plaats van dit obscure pakket.
Het filmpje is van vorig jaar... Dit programma is continue in ontwikkeling. Je wilt niet weten hoeveel klanten bij ons hier baat bij hebben. Als wij zeker weten dat de klant een virus heeft dan is het 100% zeker dat Zeus / SpyEye of Torpig etc gevonden worden. En kan de klant veilig de vervolgstappen uitvoeren en is hij van het virus af. Heel enkel merk ik dat de klant met zijn eigen pakket het heeft weten te verwijderen. Maar we zijn toch altijd nog een beetje huiverig omdat de klant niet lezen wat de naam van het virus is. Ze zeggen dan .. Ja het was een Trojan. Maar welke weten we niet. Daarom raden we altijd als extra ook Trusteer aan,. Omdat we een optimale service moeten kunnen bieden. Wij zijn er persoonlijk erg blij mee. Want het is tot nu toe een top product.
Via een omweg kan het nog steeds omzeilt worden. Ook de current build. En Zeus / SpyEye of Torpig zijn redelijk verouderde virussen, en zijn er maar drie. Terwijl er dagelijks zo'n 10.000 virussen/varianten bijkomen. Dus dit vind ik een waardeloos voorbeeld.
Er zijn voor zover bekent is geen varianten met daarachter een netwerk wat gericht is op bankgegevens stelen wat zo massaal wordt gebruikt bij nederlanse banken als SpyeEye en Zeus varianten ( lees varianten dus meer dan 3). En omdat er volgens jou 10k virussen bij komen per dag, is dit van mij ( wat gebasseerd is op mijn dagelijkse werkzaamheden ) een waardeloos voorbeeld. Het is gewoon een geconstateerd feit. Deze virussen hebben nagenoeg de zelfde signature. En dus kunnen veel varianten en de originele geupdate versies worden gevonden door Trusteer. Er zal vast wel een tijd aanbreken dat er een variant komt die niet gedetecteerd wordt... Maar zo gaat het altijd... Wij huppelen achter de virussen aan, en vaak niet anders om, want dan was elke pc lekker veilig en hadden we geen problemen.
Klinkt alsof je dit product verkoopt.....

Het filmpje is van september 2011. Zelfs al betreft het een 2011 versie van het product, dan is het om te janken. Je kan de encryptie zelf aan uit zetten, een stuk malware kan simpelweg dus eerst snel het programma uitzetten en dan zijn werk doen. Meeste AV producten hebben ook systemen om hun eigen integriteit te controleren. Dit programma maakt geen melding aan de gebruiker dat de beveiliging in feite is uitgezet.

De encryptie is ronduit belachelijk als je de voorbeelden hoort in het filmpje.

Het is ook opvallend hoeveel mensen BSOD's krijgen na het installeren van Rapport. Daarnaast zijn er erg veel klachten te lezen van sloom internet na het installeren van Rapport.

Wat mij ook opvalt is dat Rapport niet meedoet in tests van iets als AV Comparatives. Er zijn nauwelijks reviews te vinden, en de reviews die ik kan vinden zijn nou niet echt van hoog niveau.
Als wij zeker weten dat de klant een virus heeft dan is het 100% zeker dat Zeus / SpyEye of Torpig etc gevonden worden. En kan de klant veilig de vervolgstappen uitvoeren en is hij van het virus af
Hoe weet je dit zeker wat het dan is?

Overigens zijn Spyeye, Zeus en Torpig niet zomaar trojans waar je eenvoudig vanaf komt. Torpig kan zelfs een herinstallatie overleven. De allerbeste oplossing is dan nog echt je schijf goed te formatteren met iets als DBAN en vers te installeren.

Als ik alles zo lees/zie dan is dit geen beveiliging, gewoon een groot marketing budget.
Providers bellen soms klanten die een virus hebben of stellen deze telefonisch op de hoogte dat hun pc besmet is. Ik kan niet zeggen hoe de ING dit opmerkt. Maar het zal ook wel voor een deel in samenwerking zijn met de providers en of een eigen detectie systeem. Er is niet maar 1 manier om een virus te detecteren.

Wat je zegt over SpyEye Zeus en Torpig klopt. Die kunnen een verwijdering overleven. Omdat het in het geheugen / mbr zit. Daarom start Trusteer de pc ook opnieuw op omdat je dan het bootrecord kan scannen / schoonvegen. Het is echt geen dom goedkoop programma het werkt echt. En ik verkoop niets. Het is immers gratis... Dan is het net of alles waar je tevreden over bent een verkoop praatje lijkt...

En waarom rapport niet meedoet met dit soort onderzoeken kan je vragen aan de support desk van Trusteer zelf. Die beantwoorden deze vragen waarschijnlijk wel. ING biedt het aan. Maar hun eigen supportDesk kan je misschien meer vertellen. En nogmaals het is een AANVULLING. Geen compleet pakket wat duizenden handtekeningen van virussen heeft zoals NORTON of iets dergelijks.

Wat ik wel heb meegemaakt is dat het systeem van een klant dusdanig naar de vernieling is geholpen ( software matig ) dat bij het installeren van een scanner / detecteren van het virus het systeem BSOD't. Dit is meestal wanneer er een vitaal onderdeel is beschadigt / besmet.

Over alle virusscanners is wat op te merken. Maar je kan er op rekenen dat wij blij zijn dat we zoveel klanten nu echt goed kunnen helpen. Dat was voor Trusteer helaas niet altijd het geval.

[Reactie gewijzigd door maradesign op 8 oktober 2012 16:32]

Providers bellen soms klanten die een virus hebben of stellen deze telefonisch op de hoogte dat hun pc besmet is.
Doorgaans sluiten ze die klanten af eerst. Maar je moet dan wel echt een enorme spam server zijn geworden willen ze dat doen. Genoeg mensen worden nooit geďnformeerd dat hun systeem onderdeel uitmaakt van een botnet.
Daarom start Trusteer de pc ook opnieuw op omdat je dan het bootrecord kan scannen / schoonvegen.
Dan zou Rapport dus al werken voor het OS geladen is? Ik denk het niet. Geen enkele scanner is dan actief. Het virus ook niet eens.

Een virus in het geheugen ben je kwijt met een reboot. Even de stroom eraf en je RAM is leeg.

Het rottig van Torpig is dat deze in de MBR zit en hooks plaatst op je harde schijf. Tevens misleid Torpig veel scanners door een schone MRB, Torpig slaat je oude MRB ook op daarvoor. Je moet dus een scanner hebben die of door deze truc heen kan zien en dan MRB kan herstellen of je moet een Live Cd gebruiken.

Ik denk dat de invloed van Trusteer nihil is op de AV markt. Ze zijn in bedrijf sinds 2006, maar in 6 jaar heeft in product kennelijk weinig indruk gemaakt. Nog nergens is het product voorbij gekomen in mainstream media. Dat de banken het pushen zegt niets. Dat kan net zo goed zijn dat Trusteer het goedkoopste was in licentie voor ze.

Persoonlijk vertrouw ik liever op andere AV oplossingen.
Torpig in dit geval kan gedetecteerd worden. Maar voor het OS start grijpt het niet direct in. Het is tot nu toe alleen voorgekomen dat het in windows wordt gedetecteerd en met een restart uit het MBR wordt gehaald. Voor de gedetailleerde werking van het programma, het aanpakken van de methode dat het via hooks werkt en het virus een mbr backup terug kan zetten heb ik geen verstand van. Maar Trusteer geeft in dit geval wel aan dat het op een Trojan gaat genaamd Torpig. Dus het lijkt mij dat hij dit in de reboot ook dusdanig weet te verwijderen. Anders zouden er meer schade gevallen moet zijn.. en dat hou je als bank niet stil lijkt me...Maar dat is maar een mening. Tevens komt bij dit soort besmettingen ook aangepaste code voor op de pc die extra schermen en of content aan de website toevoegt om social engineering mogelijk te maken. Als bij een klant vervolgens ook deze situatie verholpen is en hij vervolgens overboekingen kan doen zonder dat het naar een IBAN oid wordt verzonden kan ik er alleen maar uit opmaken dat het tot nu toe erg goed werkt.

En ik neem ook aan dat Trusteer gekozen is omdat het moeiteloos naast andere software draait omdat het maar een aanvulling is. Nu heb ik zelf genoeg naast elkaar draaien. Maar ik kan het mij veroorloven om zo een best mogelijke mix te vinden van software waar ik de beste ervaringen mee heb. Een bank heeft die luxe niet. Dus er zou wel degelijk een betere reden aan zitten dan alleen het prijskaartje. Maar ook dat weet ik niet zeker. Lijkt me wel een valide argument. Maar dat van jou kan net zo goed.

[Reactie gewijzigd door maradesign op 8 oktober 2012 18:19]

hier draait het met chrome in ieder geval niet!

chrome: 22.0.1229.79
De OS X versie schijnt ook niet erg stabiel te zijn:

https://discussions.apple.com/thread/2795623
Het is niet perse obscuur. Weliswaar redelijk onbekend in NL maar bv in de UK al erg veel aangeboden.
Jammerlijk is de reactie van Trusteer op de hele 44Con presentatie: de 'exploit' danwel 'bug' zou meteen zijn verholpen ondanks zogenaamd geweigerde 'full disclosure'.
Digit Security heeft echter vrijwel meteen alle info aangeboden.
Wat niet zal zijn bevallen is het feit dat er helemaal geen bug of exploit tijdens de presentatie is getoond maar structurele ontwerp fouten.
Digit Security link

HitmanPro Alert lijkt me wel een mooi alternatief voor Trusteer Rapport, zo gauw het uit beta is.
Voor rekening van de bank betekend gewoon dat ze dat geld ergens anders (lees: bij de andere klanten) vandaan halen. Goede zaak dus als ze dit voor Windows gebruikers verplicht zouden stellen.
Goede zaak dus als ze dit voor Windows gebruikers verplicht zouden stellen.
En uiteraard dan ook voor de OS X gebruikers.
Want het fabeltje dat daar amper virussen en dergelijke op voorkomen is sinds geruime tijd ook om zeep :)

Maar of het daadwerkelijk gaat helpen.........
Zoals hierboven beschreven is het pakket al reeds makelijk te kraken.

[Reactie gewijzigd door mistervis007 op 8 oktober 2012 13:36]

Jouw geld blijft jouw geld, ze kunnen niet zomaar eventjes geld van jouw rekening afhalen omdat iemand anders gehackt is. Banken laten zich hiervoor gewoon verzekeren en schuiven de kosten van de rekening door naar de klant. m.a.w jij als klant betaald een verzekering hiervoor.

[Reactie gewijzigd door IStealYourGun op 8 oktober 2012 13:44]

Dus halen ze het indirect bij de andere klanten vandaan. Duh.
Neen, bij veel banken moet je betalen voor een debetrekening en in die kosten zit een verzekering voor o.a dit soort zaken.
En wie betaald die kosten voor die debetrekening dan?? Als dat niet de klant zelf is wil ik graag van jou de naam van die bank horen.

Begrijp je nu. Je bedoelt dat elke rekening van een klant apart is verzekerd. Ik betwijfel dit ten zeerste, mijn gevoel zegt me dat een bank daar eerder een collectieve verzekering voor afsluit en deze kosten naar ratio verdeeld over alle klanten. Dus alle klanten betalen voor die verzekering ook als ze daar geen gebruik van maken en dus wordt het ook bij andere klanten verhaald. Het is maar hoe je het bekijkt. :D

[Reactie gewijzigd door swemmela op 8 oktober 2012 14:08]

Ook als je een positief saldo hebt en geld verliest door digitale diefstal dan krijg je dan meestal gewoon terug van de bank. Dus dat van die debet-rekening klopt niet.

Voor de bank is dit een gecalculeerd risico en de kosten daarvan zijn uiteraard voor alle klanten.
Verzekeren? Banken die zich verzekeren? Nou dat denk ik niet, het is gewoon een kosten post voor hun. Ze hebben in de loop der tijd gewoon veel kosten weg gehaald door kantoren te sluiten etc.

Dit risico is gewoon een kostenpost voor een bank! En ik denk dat er geen verzekeringsmaatschappij / bank is die dit risico kan/wil/gaat verzekeren.
En waarom enkel de Windows gebruikers? Zijn er werkelijk nog steeds mensen die denken dat OSx onkwetsbaar is? Van zodra een bank onderscheid gaat maken tussen haar klanten op basis van besturingssysteem, die bank ziet mij (en vele anderen) nooit meer terug.

Wat mij als niet-ING klant wel opvalt is dat er vooral veel last is van phishing bij deze bank, houd dit programma dat tegen? Misschien eens een gerapporteerde phishingsite maar veel meer niet denk ik.
En zit er dan niet ergens een dikke fout bij de manier waarop ING werkt, van andere banken hoor ik dat namelijk totaal niet (of zo eens heel af en toe)?
Zelfs het pakket dat ze aanbieden is maar een schijnvertoning, het heeft niet echt lovende kritieken als ik zo wat rond lees, het is niet via een versleutelde verbinding te downloaden (niet dat dat zo een ramp is, maar een bank is snel een doelwit. Voor zover ik me herinner was de vroegere bankensoftware (toen het nog niet puur via de website ging) ook enkel op een versleutelde verbinding te downloaden of op cd af te halen in de bank zelf).
Was het dan niet beter als bank samen te werken met enkele antivirus pakketten of beveiligingspakketten om een goede korting te bieden aan hun klanten voor het pakket dat ze al gebruiken (of willen gebruiken)?

[Reactie gewijzigd door MClaeys op 8 oktober 2012 14:02]

Het vooruit sturen van TAN-codes in papieren lijsten of per 5 in SMS, maakt de ING-klant inderdaad kwetsbaarder voor phishing.

Wat mij betreft schaffen ze dat per onmiddelijk af en sturen ze alleen nog TAN-codes per stuk in een SMS. Dan werkt het echt uitstekend en is het zelfs minder gevoelig voor phishing dan de pas+reader die veel andere banken gebruiken. Immers kan je met pas+reader op aanvraag van een phisher nog steeds een code generen, maar zonder transactie op de ING-site kan je nooit een TAN-code genereren.
TAN-codes komen altijd per stuk in een sms.

Wel is het zo indien je tegelijk meerdere overschrijvingen doet er maar 1 TAN-code gestuurd wordt.
Echter, er wordt altijd een volgnummer én het totaal bedrag getoond wat je ook ziet in de popup waar je de TAN-code invult.
Je kon ook altijd een voorraad TAN-codes per SMS krijgen. Als ze dat inmiddels afgeschaft hebben, mag je mijn opmerking daarover als niet geschreven beschouwen. De laatste keer dat ik keek, bestonden de papieren lijsten echter nog wel.
Wat mij betreft schaffen ze dat per onmiddelijk af en sturen ze alleen nog TAN-codes per stuk in een SMS.
Nee dank je, ik blijf liever bij mijn TAN-lijst. Aangezien je in een aantal gevallen wachtwoord van je account kunt resetten door een SMS te laten sturen, hoeft een aanvaller alleen maar je telefoon te jatten en je loginnaam af te kijken. Wachtwoord en TAN-codes komen per sms...

Bij mij mogen ze mijn TAN-lijst jatten, maar ze moeten dan nog steeds mijn wachtwoord hebben. En jatten ze mijn telefoon, resetten ze mijn wachtwoord, dan kunnen ze nog niets overschrijven.
Moeten ze ook nog wel even je bankpasje jatten, want ze vragen voor een wachtwoord-reset wel wat meer gegevens:
- rekeningnummer
- pasnummer
- geldigheidsdatum pas
- geboortedatum

Maar inderdaad toch wel jammer dat een wachtwoord per SMS gestuurd kan worden. Maar goed, als mijn telefoon en/of bankpas gejat wordt is natuurijk wel een van de eerste zaken het blokkeren van (mobiel) bankieren...
Laat ING maar eens bewijzen, dat je dit pakket niet geinstalleerd had staan op een bepaald moment.
Dat is nu ook weer niet zo moeilijk aangezien dit soort software vaak informatie moet ophalen van de servers van de leverancier. Dus gewoon eventjes in de log-files kijken is voldoende. -_-
een log file van een derde is te vertrouwen sinds wanneer?

mijn inziens zou het een wassen neus zijn..
er valt niet te bewijzen dat er geen antivirus of firewallsoftware op de pc stond op het moment van de kraak (als je dat moment uberhaupt kan terughalen...)
Client-fingerprinting. De beveiligingssoftware zou de browser-useragent string kunnen aanpassen of een JS/ActiveX object ontsluiten dat de telebankieren-website kan controleren. Niet dat malware dat niet kan faken; of dat een bank dergelijke gebruikersvoorwaarden aan haar clienten zal gaan stellen, maar an sich kan een bank dan in haar eigen logs opzoeken of een client het geinstalleerd had staan op moment X.
Als je de gebruikersvoorwaarde op nahoud van meeste banken, dan vereisen die dat de gebruiker een firewall en een anti-virus pakket heeft draaien. Als je dan naar de praktijk kijkt, dan hebben de slachtoffer vaak geen firewall en/of anti-virus pakket, dus de schadeloosstelling is nu ook al een gunst van de bank.
@ CILLER
Wat nou als je Linux gebruikt? Dan is dit pakket niet eens te installeren en krijg je geen schadevergoeding?
Het idee is oké maar ik ben bang dat klanten die deze software niet op hun PC willen straks geen schadeloosstelling van ING meer gaan krijgen als ze toch gehackt worden en daarmee hun bankgegevens gestolen worden. Nu is dat nog volledig voor rekening van de bank.
Het gevaar is eerder dat de verantwoording nu onduidelijk wordt. Gaat ING nu meehelpen om computers te beveiligen? Zij bieden het immers aan, en hierom wordt ook een bepaalde verwachting gemaakt.

Overigens is Trusteer niet zo erg interessant: als het populair wordt, dan zal de volgende generatie malware er gewoon rekening mee houden. Wat nodig is, is een vertrouwde omgeving waarbinnen de gebruiker elke te versturen transactie kan verifiëren. Dit is niet op de eigen computer of GSM/smartphone, aangezien hier geen goede controle op mogelijk is vanuit de bank.
Ik vraag me ook af hoe deze software de klanten helpt die bankieren via de smartphone, tablet of Linux PC? De echte oplossing is het internetbankieren by-design veilig te maken. Niet met extra software achteraf. En zeker geen software die om man-in-the-middle-aanvallen te voorkomen zich als man-in-the-middle plaatst...
De ING kan onmogelijk zien of jij al dan niet die software gebruikt, bovendien werken banken niet op die manier bij het al dan niet toewijzen van schade.

Wat ik zelf afvraag is of deze software dan weer compatible is met bijvoorbeeld het virtuele keyboard van mijn Kaspersky, als ik dit artikel lees dan lijkt het er juist op dat deze software die virtuele keyboard ook afschermt namelijk..
Ik hoop het niet. Ik heb weinig zin dat m'n Mac zo traag wordt als een Windows computer omdat daar tig beveiliging- en validatiesoftware dingen de boel vertragen.
>'als een Windows computer'
Oh boy, here we go.
Ik ken het hele software pakket niet en overigens ook niet als een veilige app beschouwd voor OSX. Dit is meer commercieel verkoop want ik denk dat niemand deze scanner haast kent.

Betere keuze voor OSX is ClamXav .... staat tevens gratis in de store.

Als je betrouwbaar wil internet bankieren ... prive-modus, do-not-track, check je url, copy je wachtwoord niet naar het klembord en gebruik je gezond verstand.
Goed initiatief. Zo toon je als bank iig wel dat je de risico's van je internet-bank-product onderkent en serieus neemt en meedenkt over risicopreventie. Een veel realistischer houding dan gewoon maar roepen dat je product 100% veilig is en niemand zich zorgen hoeft te maken.
Goed initiatief, maar als ik een beetje op dit pakket zoek zijn de berichten er over niet zo denderend....

http://www.pcpro.co.uk/re...re-trouble-than-its-worth
(2010) Rapport was always hovering near the top of my process list for resource usage, and it stopped all my screengrab utilities from working (not just on the HSBC site, but everywhere).

http://www.mymoneyblog.co...are-is-it-safe-legit.html
(2011) Some users of the of the software have noted that it slows down your system. Trusteer counters that it’s most likely due to your other security software conflicting with what Rapport is trying to do.

Dat zijn wat oudere paginas, dus het kan opgepakt zijn, maar toch...
Weet niet of ik het wel zo goed vind. Het lijkt enorm nobel. Maar het zou mij niks verbazen dat straks de eerste vraag van ING aan slachtoffers van internet fraude is of ze dit pakketje wel hebben geinstalleerd. En dan mag je raden wat het vervolg is als de klant "nee" antwoordt. No moneeeeey meneerke. Zo gezien dekt ING niet alleen de klant in, maar vooral zichzelf, aangezien ze nu bijna altijd moeten vergoeden bij internet fraude.
Dus iedere klant moet maar een onbekend pakket software installeren?
Dit is pure commerce als men echt veiligheid aan klanten willen bieden moet men met realistische oplossingen komen niet halfgebakken.
Erg goed initiatief van de ING, hopelijk maken ze hun klanten duidelijk dat het geen 100% zekerheid biedt tegen phising/<andere methoden>/etc. Als de tool niet teveel conflicten opwakkert naast het draaien van mijn eigen anti-virus pakket zal ik het ook zeker aan laten staan.
Opvallend is overigens dat de software op de ING-site niet via een versleutelde https-verbinding wordt aangeboden.
Hoe is dit 'opvallend'? Je kunt ook te kritisch kijken he.
Het is opvallend in de zin dat over een http-verbinding (per definitie onversleuteld) er vanalles mis kŕn gaan. Tijdens het downloaden van dit softwarepakket over http bestaat dus de mogelijkheid dat je via een man-in-the-middle aanval een virus binnenkrijgt.
Gezien de hoeveelheid valse certificaten die de laatste tijd in het nieuws is, is die kans toch al niet nul bij gebruik van https. Bovendien moet die mitm wel erg specifiek zijn.
als je 100% zeker wil zijn geen last van phising te hebben, check dan gewoon je url!
dat is alles en daar heb je geen resource vretende hulp middelen voor nodig. Alleen maar je ogen en het alfabet!
Totdat je dnsserver of je hostfile aangepast is, dan niet meer.

[Reactie gewijzigd door MrPan op 9 oktober 2012 07:50]

Maar dat zal niet buiten mijn weten gebeuren.
Deze staat in OSX onder een afgeschermde map (dus inloggen is noodzakelijk).
En je kan met automator je DNS file automatisch laten flushen 'dscacheutil -flushcache'.
Verder installeer ik geen software van derden van onbekende bron.

Degene die toch allerlei vage dingen installeren en vage websites komen ... heeft een virusscanner toch maar weinig nut.
Nog nooit van dit beveiligingsprogramma gehoord, dat is voor mij al meteen een afknapper. Er staat ook niets in het artikel over eventuele veiligheidsprestaties van dit pakket. Zijn er tweakers die hier iets meer over kunnen zeggen?

[Reactie gewijzigd door Barleone op 8 oktober 2012 13:22]

Dat jij er nog nooit van hebt gehoord zegt meer iets over jou dan over de software.
Wanneer je ook maar een beetje bent geďnteresseerd in beveiligingssoftware dan moest je al geruime tijd op de hoogte zijn van het bestaan van en de werking van Trusteer Rapport.

Over de effectiviteit van dit programma kunnen we nog lang redetwisten hier op Tweakers, zal wel geen eenduidige conclusie uit kunnen worden getrokken.

Weet in ieder geval zeker dat ik 't zelf echt niet nodig heb, 't zal mijn huidige beveiliging alleen maar in de weg zitten en/of onnodige foutmeldingen veroorzaken of zelfs mijn huidige beveiliging ondermijnen.

Een ander is er misschien wél mee geholpen omdat zijn/haar beveiliging te wensen over laat.
Ik zie niet wat deze software nou toevoegd
zou malware, zoals trojans en keyloggers, kunnen herkennen en ook kunnen verwijderen
Elk anti-malware pakket doet dit al. Ik zie niet wat dit pakket nou extra weet te bieden t.o.v. wat er al in de markt is. Ook als aanvulling lijkt het me nutteloos, de functies zitten dan al in je AV pakket.

En een fout/niet geldig certificaat herkennen kan elke browser ook wel.
Ik zie niet wat deze software nou toevoegd
Nee waarschijnlijk is deze software ook niet bedoeld voor gebruikers als jij. Maar de gemiddelde half-digibete burger zonder benul van anti-malware-programma's en met een gezonde dosis koudwatervrees is blij als de bank zelf met een oplossing komt voor mogelijke beveiligingsrisico's.
Genoeg klanten zullen het pakket snel downloaden denk ik wel. Maar als je gewoon logisch denkt dan moet je toch wel weten dat je dit al hebt. De claims die dit pakket maakt staan ook op de doosjes van elk ander AV programma.
Je zou inderdaad zeggen dat de software vooral voor digibete gebruikers bedoeld is. Maar, als ik op het screenshot afga: waarom is die software dan in het Engels?
de software nestelt zich in de browser... dus IE, FF, chrome, Safari en natuurlijk alle versies, ie7 ->9 en laten we vooral netscape niet vergeten ;).

als ik lees wat het allemaal detecteert vermoed ik toch echt dat het op zijn minst hoofdzakelijk buiten de browser werkt. Ik zal het vanavond eens op een CM gooien om er naar te kijken maar ik ben ietwat sceptisch tot nu toe.
De volgende browsers worden ondersteund:

http://www.trusteer.com/support/supported-platforms
Voor Windows-besturingssystemen (Windows XP, Vista, 7 of Server), ondersteunt Rapport de volgende browsers:
Internet Explorer 6, 7, 8 en 9
Firefox 14 en 15
Google Chrome 21 end 22

Voor Mac OS X (Leopard 10.5 en hoger), ondersteunt Rapport:
Firefox 14 en 15 (inclusief 64-bitversie)
Safari 4, 5.0, 5.1 en 6.0 (inclusief 64-bitversies)
Ik heb als opera gebruiker dus weinig aan dit pakket.

[Reactie gewijzigd door martijn.s op 8 oktober 2012 13:35]

maar dit soort software tast juist mijn veiligheid aan omdat ik standaard dingen heb uitgeschakeld. en ik wil geen troep op de computer ik bepaal zelf wat er nodig is.
Tja., dat is maar net hoe je het bekijkt.

Opera wordt ook niet ondersteund door (Mijn) ING...
Oh jee, ik zie de spam mail al komen; Download nu onze GRATIS Malware Scanner, groeten ING ICT :)
Het is goed dat een bank dit soort tools aan hun gebruikers beschikbaar stelt want veel "simpele" gebruikers zijn niet zo bezig met het opzoeken en installeren van software waar ze geen interesse in of weet van hebben. Als een bank het aanbied is de kans groter dat deze groep gebruikers wel actie ondernemen.
Het zou fijn zijn, als de bank de algemene voorwaarden van deze tool in het Nederlands op hun website zet. Zodat ik die eerst kan door lezen voor dat ik hem download.
Sowieso is die hele site mbv Google-Translate gebouwd lijkt het wel ... hoe amateuristisch is het taalgebruik en dat kennen we van ..?
De spam mail inderdaad.
Wat nu als het programma allemaal "false positives" geeft en gebruikers daardoor niet meer durven te internetbankieren?

Een certificaat wat over de datum is, is misschien niet erg netjes, maar niet per definitie reden tot paniek. Uiteindelijk komt het toch op de gebruiker zelf aan.
1 2 3 ... 6

Op dit item kan niet meer gereageerd worden.



Populair:Apple iPhone 6Samsung Galaxy Note 4Apple iPad Air 2FIFA 15Motorola Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox One 500GBSamsung

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013